Bundesamt für Sicherheit in der Informationstechnik

M 2.358 Dokumentation der Systemeinstellungen von Speichersystemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Dokumentation der Systemeinstellungen zum Speichersystem weist die Umsetzung von technischen und organisatorischen Vorgaben nach und beschreibt die individuelle Konfiguration der Institution. Die Dokumentation ist Grundlage für die Administration im Normalbetrieb und für die Planung und Durchführung von Änderungen. Zudem ist eine aktuelle und korrekte Dokumentation Grundlage der Notfallvorsorge.

Daten, die im Notfall relevant sind, müssen in allen Notfallszenarien zugreifbar sein. Dabei muss jedoch beachtet werden, dass Informationen zu den Systemeinstellungen vertraulich sind und daher ausreichend vor unberechtigtem Zugriff geschützt werden müssen.

Dokumentiert werden sollten insbesondere folgende Informationen:

Zur Organisation:

  • Eine Beschreibung der definierten Rollen und der zugehörigen Rechteprofile
  • Die administrativen Benutzer des Speichersystems mit zugeteilter Rolle
  • Der Zeitpunkt der Einrichtung von Benutzerkennungen und -rechten sowie gegebenenfalls die Befristung und weitere Erläuterungen
  • Die Kontaktdaten des Benutzers und dessen organisatorische Einbindung
  • Vorgaben zu Datensicherung und Notfallvorsorge

Zur Technik:

  • Die Aufstellung aller Speichergeräte mit Angaben zu Typ, Zweck und Anwenderkreis
  • Die logischen und physischen Zuordnungen der Speichergeräte zu den Servern
  • Sämtliche Anbindungen der Speichergeräte an die Netze (SAN, LAN, gegebenenfalls WAN zur Fernüberwachung)
  • Eine Aufstellung, welche Geräte über eine NAS-Schnittstelle Daten exportieren
  • Eine Aufstellung aller Management-Schnittstellen (In-Band und Out-Band). Diese sollte auch eine Übersicht enthalten, welche Schnittstellen aktiv sind und welche Dienste darüber erreichbar sind.

Zur Administration:

  • Eine grafische Darstellung der Netze (SAN, LAN, gegebenenfalls WAN) und der konfigurierten Verbindungen zwischen Speichersystemen, Servern und Administrations-PC.
  • Alle erforderlichen Angaben zur Aktivierung und Deaktivierung von Schnittstellen und Diensten.
  • Die notwendigen Einstellung für die Datensicherung
  • Die Einstellungen zur Protokollierung
  • Empfehlenswert ist eine kurze Darstellung ("Kochbuch") der Handhabung von wichtigen oder regelmäßig durchzuführenden Administrationstätigkeiten.

Die Dokumentation zur Organisation sollte regelmäßig (mindestens alle 6 Monate) daraufhin überprüft werden, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch den Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht.

Die technische Dokumentation sollte noch häufiger zumindest stichprobenartig überprüft werden, da sie die Grundlage der Notfallvorsorge ist.

Prüffragen:

  • Entspricht die Dokumentation der Systemeinstellungen den technischen und organisatorischen Vorgaben und beschreibt sie die spezifische Konfiguration der Speichersysteme der Organisation?

  • Sind die im Notfall relevanten Daten in allen Notfallszenarien verfügbar?

  • Sind vertrauliche Daten aus der Dokumentation der Systemeinstellungen vor dem Zugriff Unberechtigter geschützt?

  • Sind die Vorgaben zu Datensicherung und Notfallvorsorge für Speichersysteme dokumentiert?

  • Wurde die Dokumentation zu Speichersystemen (insbesondere der Rechtevergabe) mindestens alle 6 Monate überprüft?

Stand: 13. EL Stand 2013