Bundesamt für Sicherheit in der Informationstechnik

M 2.285 Festlegung von Standards für z/OS-Systemdefinitionen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Festlegung von Standards für die z/OS-Systemdefinitionen ist eine der Voraussetzungen für ein funktionierendes System-Management. Standards unterstützen aber auch die Umsetzung von Sicherheitsregeln und deren Überwachung. Die folgenden Empfehlungen sollten dabei beachtet werden:

Vereinbarte z/OS-System-Standards müssen nachvollziehbar dokumentiert sein. Die Dokumentation muss für die Administratoren verfügbar sein.

Die Einhaltung der z/OS-System-Standards sollte regelmäßig überprüft werden.

Es sollte überlegt werden, eine Standardisierung für die folgenden Objekte zu vereinbaren:

  • Account-Nummer in Jobs und für USER oder STCs
  • ACS-Routinen
  • Allokierungs-Regeln
  • Application-ID (IMS)
  • Assembler-Standards
  • Benutzergruppen-Kennzeichen
    z. B. Netzadministration, Entwicklung, Test, Produktion und DB-Administration
  • COBOL-Compiler-Optionen
  • Command-Character (Console)
  • Command-Character (Terminal)
  • Coupling-Facility-Namen
  • Dateien
    anzulegende Dateien sollten katalogisiert sein
  • Datei-Namen
    evtl. mit Unterscheidungsmerkmalen für System, Entwicklung und Produktion. Der letzte Qualifier legt in der Regel die Dateiart fest. Kennzeichnung von Target- und DLIB-Dateien
  • Datenbank-Namen
  • DFSMS
    DATA-CLASS, STORAGE-CLASS, MANGEMENT-CLASS, STORAGE-GROUP, LLQ-Zuordnungen
  • IMS-ID
  • IMS-Start-Prozeduren
  • Initiator-Klassen
  • ISMF-Schutz-Festlegungen
  • JES2
    Job-Klassen, Initiator, Parameter
  • JOBCAT und STEPCAT sollten nicht verwendet werden (IBM hat im August 2004 angekündigt, den Support zu JOBCAT und STEPCAT ab z/OS 1.7 einzustellen.)
  • Job-Namen
    evtl. mit Unterscheidungsmerkmalen für Entwicklung und Produktion
  • Katalog-Namen
  • LOGON-Prozeduren-Namen
  • Member-Namen
    evtl. mit Unterscheidungsmerkmalen für Entwicklung und Produktion
  • Output-Klassen
  • PAGE-Datasets
  • Parmlib-Member für JESx
  • Prozeduren-Namen
  • RACF-Resource-Klassen
  • SMF-Belegung (System Management Facility)
  • SMP/E-Datei-Namen
  • SMP/E-Umgebungen für verschiedene Subsysteme
  • SMP/E-Zonen-Datasets
  • SMP/E-Zonen-Namen
  • SMS-Datei-Namen
  • SSID (Sub-System ID)
  • Vermeidung von Standortkennzeichen
    Standortkennzeichen haben sich im Rahmen von Umstrukturierungen und Anwendungsverlagerungen nicht unbedingt als vorteilhaft erwiesen
  • STC-Namen (Started Tasks)
  • STEPCAT sollte nicht verwendet werden
  • SVC-Belegung
  • Sysplex-ID
  • Systemdateien-Namen
  • System-ID (mit Sysplex-Kennung)
  • Table-Space-Namen
  • TSO-LOGON-Prozeduren
  • UNIT-Klassen
  • USER-ID
  • USERMODs
  • Volume-Namen (System-Volumes, Anwendungs-Volumes)

In Abhängigkeit von den eingesetzten Subsystemen, Datenbanksystemen, Software-Produkten und Anwendungen kann diese Liste noch durch weitere Objekte ergänzt werden.

Prüffragen:

  • Wurden die vereinbarten z/OS-Standards nachvollziehbar dokumentiert?

  • Ist die Dokumentation der z/OS-Standards für die Administratoren verfügbar?

  • Wird die Einhaltung der z/OS-System-Standards regelmäßig überprüft?

Stand: 13. EL Stand 2013