Bundesamt für Sicherheit in der Informationstechnik

M 2.291 Sicherheits-Berichtswesen und -Audits unter z/OS

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Revisor

Zur Überwachung aller sicherheitsrelevanten Tätigkeiten muss ein Prozess eingerichtet werden. In diesem muss festgelegt sein, welche Sicherheitsreports regelmäßig erstellt werden und wie mit Abweichungen von den Vorgaben umgegangen wird. Diese Sicherheitsreports sollten als Information für den Auditor verwendet werden.

Darüber hinaus müssen zur Erhöhung der Betriebssicherheit eines z/OS-Systems regelmäßig Sicherheits-Audits durchgeführt werden. Durch solche Audits wird überprüft, ob die geforderten Sicherheitseinstellungen und Abläufe eingehalten werden. Vorgaben hierfür finden sich in M 2.288 Erstellung von Sicherheitsrichtlinien für z/OS-Systeme .

Sicherheits-Berichtswesen

SMF-Sätze (System Management Facility) als Quelle des Berichtswesens

Für die Überwachung der Informationssicherheit von z/OS-Systemen sind die SMF-Sätze des Typs 80 von Bedeutung. Sie protokollieren alle Zugriffe auf Ressourcen, die durch RACF-Profile geschützt werden. In diesen Profilen kann durch RACF-Definitionen festgelegt werden, ob nur unerlaubte oder auch erlaubte Zugriffe protokolliert werden. Unerlaubte Zugriffe müssen in jedem Fall protokolliert werden. Bei systemkritischen Dateien sollten in einem Produktionssystem auch die erlaubten Zugriffe über SMF erfasst werden, wenn die Datei dabei geändert wird. Beim Protokollieren über SMF-Sätze sollte immer darauf geachtet werden, dass durch das Aktivieren von SMF-Funktionen nicht zu viele Logdaten entstehen. Die Kapazität und die Performance des Systems darf nicht zu stark beeinträchtigt werden.

Es muss sichergestellt werden, dass der SMF-Satz Typ 80 auch wirklich geschrieben wird. Dies wird im Member SMFPRM00 in der Parmlib definiert. Der Schutz der Parmlib ist in Maßnahme M 4.209 Sichere Grundkonfiguration von z/OS-Systemen näher beschrieben.

Einsatz von Tools

  • Einsatz des RACFICE-Tools
    Es ist zu überlegen, IBMs ICE-Tool (RACFICE) basierend auf IBMs DFSORT einzusetzen und dabei vorgefertigte Reports zu verwenden, vorhandene anzupassen oder neue zu erstellen.
    Bei den SMF-Sätzen können beispielsweise fehlgeschlagene Zugriffsversuche auf Ressourcen, erlaubte Zugriffe infolge besonderer Berechtigungen (OPERATIONS) und fehlgeschlagene Zugriffsversuche mit falschem Passwort als Reports erzeugt werden.
    Aus der RACF-Datenbank können zum Beispiel die Dateiprofile selektiert nach UACC (Universal Access), gesperrte Benutzerkennungen und Profile, die in den letzten 90 Tagen verändert wurden, als Reports erzeugt werden.
  • Einsatz des RACF-Programms DSMON
    Es ist zu überlegen, das RACF-Programm DSMON als Basis für weitere Berichte zu benutzen. Dies ist in jedem Fall zu empfehlen, wenn kein Real-Time-Monitor eingesetzt werden soll, um Veränderungen an vitalen z/OS-Definitionen kontrollieren zu können.
  • Einsatz von Independent Vendor Tools
    Die Auswertung der in den SMF-Sätzen protokollierten Informationen erfordert besondere Systemkenntnisse, wie z. B. der SMF-Programmfunktion. Es ist deshalb zu überlegen, separate Tools zur Auswertung dieser Datensätze einzusetzen. Entsprechende Programme sind von verschiedenen ISVs (Independent Software Vendors) erhältlich.
  • Einsatz eines Real-Time-Monitors
    Bei besonderen Sicherheitsanforderungen ist zu überlegen, ob ein Berichtswesen auf Stapelverarbeitungsbasis aktuell genug ist oder ob ein Real-Time-Monitor zur Erkennung bestimmter Sicherheitsverstöße nicht sinnvoller ist. Dabei werden die SMF-Sätze über SMF-Exits (IEF083, IEF084, IEF085) direkt abgefangen und zu einem Monitor-Programm geleitet, das die Analyse und Darstellung übernehmen kann (siehe auch Maßnahme M 4.209 Sichere Grundkonfiguration von z/OS-Systemen).
    Wichtige Informationen für eine Echtzeit-Überwachung sind z. B.:
    • Änderungen an APF -Dateien
    • Benutzung von Kennungen mit dem Attribut SPECIAL oder OPERATIONS
    • Erlaubte Zugriffe auf Grund des Attributes OPERATIONS
    • Mehrfache Zugriffsversuche mit falschem Passwort
    • Benutzung des Notusers

z/OS-Sicherheits-Audits

Unabhängigkeit der Auditoren

Die Durchführung der Audits muss durch unabhängige Auditoren erfolgen, d. h. das durchführende Personal darf sich und seine Arbeit nicht selbst auditieren.

Die Auditoren müssen z/OS-System- und RACF-Kenntnisse zur Durchführung ihrer Tätigkeit haben. Diese Kenntnisse sind durch regelmäßige Schulungen zu erwerben bzw. zu aktualisieren.

Autorisierung der Auditoren

Die Auditoren müssen Zugangsberechtigung zum System mit dem RACF-Attribut AUDITOR haben. Auch für die Files in HFS-Dateien muss dieses Attribut im jeweiligen FSP (File Security Packet) aktiviert sein.

Kontrolle über SMF-Sätze

Grundlage für das Audit sind die SMF-Sätze des Recordtyps 80. Die Informationen in der RACF-Datenbank legen dabei fest, welche Ereignisse in den SMF-Sätzen protokolliert werden. Es muss deshalb sichergestellt werden, dass diese SMF-Sätze geschrieben werden und für Auswertungen zur Verfügung stehen.

Überprüfung von RACF-Profilen

Die Auditoren sollten überprüfen, ob bei Neueinrichtungen und Veränderungen von RACF-Profilen

  • Genehmigungen vorliegen,
  • die Funktionen bzw. Attribute (SPECIAL, OPERATIONS) in ihrem Befugnisumfang begründet sind (gilt auch für GROUP-SPECIAL und GROUP-OPERATIONS).

Gegenstand des Sicherheits-Audits

Ein vollständiges Sicherheits-Audit ist sehr komplex und muss eine große Anzahl von sicherheitsrelevanten Funktionen überwachen. Die folgenden Funktionen sollten mindestens überwacht werden:

  • Kritische System-Einstellungen:
    • Program Properties Table (PPT)
    • Kontrolle der APF-Dateien (Authorized Programming Facility)
    • Kontrolle der Dateien aus der Linklist
    • SVC-Einsatz (SuperVisor Call)
    • Tabelle ICHRIN03 (Started Task Table)
  • Kritische RACF-Funktionen:
    • RACF Authorized Caller
    • Einsatz von RACF Exits
    • RACF Started Procedures (hier besonders die Attribute Privileged und Trusted)
    • RACF Global Access Table
  • Kritische Aktionen:
    • Aktivitäten von Kennungen mit SPECIAL, OPERATIONS (gilt auch für GROUP-SPECIAL und GROUP-OPERATIONS) oder Notuser, IBMUSER
    • Veränderung von sensitiven RACF-Parametern durch den Einsatz des SETROPTS-Kommandos
    • Alle Aufrufe des RACDEF-SVC (SVC 133) und alle Veränderungen an RACF-Profilen, die durch diesen RACF-Befehl entstanden sind
  • Hinweise auf potentielle Sicherheitsverstöße:
    • Ballung von fehlgeschlagenen Anmelde- oder Zugriffsversuchen
    • Veränderung von Audit-Attributen
    • Behauptete bzw. identifizierte Benutzeridentität
    • Art des versuchten Zugriffs (Erfolg oder Scheitern)

Einsatz von Audit-Tools

Zur Kontrolle der zu überwachenden Definitionen sollte mindestens der DSMON von RACF und das RACFICE-Paket eingesetzt werden. Es ist zu prüfen, ob ein zusätzliches Programm-Paket beschafft werden sollte, das die Auditoren bei ihrer Arbeit unterstützt.

Wichtig ist, dass ein Audit nur zur Feststellung von Tatsachen und nicht zur Ermittlung von Schuldigen dient, siehe auch M 2.199 Aufrechterhaltung der Informationssicherheit .

Prüffragen:

  • Ist ein Prozess zur Überwachung aller sicherheitsrelevanten Tätigkeiten unter z/OS eingerichtet, in dem festgelegt ist, welche Sicherheitsreports regelmäßig zu erstellen sind?

  • Werden regelmäßig Sicherheits-Audits des z/OS-Systems durchgeführt?

  • Ist bei z/OS-Sicherheits-Audits gewährleistet, dass das durchführende Personal sich und seine Arbeit nicht selbst auditiert?

  • Sind die Auditoren für die Auditierung von z/OS-Systemen ausgebildet und auf einem aktuellen Schulungsstand?

  • Haben die z/OS-Auditoren eine Zugangsberechtigung zum System mit dem RACF -Attribut AUDITOR?

Stand: 13. EL Stand 2013