Bundesamt für Sicherheit in der Informationstechnik

M 2.288 Erstellung von Sicherheitsrichtlinien für z/OS-Systeme

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Vor dem Einsatz von z/OS-Systemen müssen Sicherheitsrichtlinien für das z/OS-System und besonders auch für das Sicherheitssystem RACF (Resource Access Control Facility) geplant und festgelegt werden. Es sind folgende Empfehlungen zu berücksichtigen:

  • Die z/OS-Systeme müssen in das unternehmens- bzw. behördenweite Sicherheitsmanagement eingebunden werden.
  • Eine Richtlinie zur Wiederherstellung der RACF-Datenbank unter z/OS muss erstellt werden (siehe Maßnahme M 6.93 Notfallvorsorge für z/OS-Systeme ).
  • Ein Berechtigungsprozess für den Zugriff auf sicherheitskritische System-Ressourcen, wie z. B. APF -Dateien (Authorized Programming Facility), SVCs (SuperVisor Calls) usw., muss beschrieben und eingeführt sein.
  • Ein Eskalations- und Meldeverfahren muss aufgebaut sein. In ihm muss festgelegt sein, wer Sicherheits-Verstöße erkennt, weitermeldet und welche Abwehrmaßnahmen zu ergreifen sind.
  • Es sollte eine Prüfliste mit Kontrollfragen erstellt werden, die alle wichtigen sicherheitsrelevanten Einstellungen des z/OS-Systems erfasst und deren Soll-Werte festlegt. Anhand dieser Prüfliste werden die Arbeitsanweisungen für die System- und RACF-Administratoren erstellt. Die Prüfliste dient dem Auditor als Basis für die Überprüfung der Systemsicherheit. In regelmäßigen Abständen muss die Prüfliste überarbeitet werden. Als Basis für eine solche Prüfliste können die Maßnahmen M 4.211 Einsatz des z/OS-Sicherheitssystems RACF und M 4.209 Sichere Grundkonfiguration von z/OS-Systemen dienen.

Prüffragen:

  • Werden vor dem Einsatz von z/OS-Systemen Sicherheitsrichtlinien für das z/OS-System und besonders auch für das Sicherheitssystem RACF geplant und festgelegt?

  • Existiert ein Eskalations- und Meldeverfahren für Sicherheitsvorfälle im Zusammenhang mit z/OS-Systemen?

  • Existiert eine Prüfliste mit Kontrollfragen, die alle wichtigen sicherheitsrelevanten Einstellungen des z/OS-Systems erfasst und deren Soll-Werte festlegt?

Stand: 13. EL Stand 2013