Bundesamt für Sicherheit in der Informationstechnik

M 2.360 Sicherheits-Audits und Berichtswesen bei Speichersystemen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Revisor

Umfang und Häufigkeit von Sicherheitsüberprüfungen auf Speichersystemen werden durch die Daten, die auf dem jeweiligen Speichersystem verarbeitet werden, bestimmt. Bei komplexen Systemen, in denen eine Vielzahl von Anwendungen ihre Daten auf dem Speichersystem ablegen, muss eine Analyse der Geschäftsprozesse und eine darauf abgestimmte Feststellung des Schutzbedarfs vorgenommen werden. Dabei ist für Anwendungen und Daten, die die wesentlichen Geschäftsprozesse unterstützen, der Schutzbedarf festzustellen, um Anforderungen an die Häufigkeit und Tiefe von Sicherheits-Audits zu erhalten. Wie üblich geben die strengsten Anforderungen einer einzelnen Anwendung die Vorgabe für das Gesamtsystem.

Zur Überwachung aller sicherheitsrelevanten Tätigkeiten muss ein Prozess eingerichtet werden. In diesem muss festgelegt sein, welche Sicherheitsreports regelmäßig erstellt werden. Da Speichersysteme komplex zusammengesetzt sein können, müssen Sicherheitsreports relevante Beobachtungen aus verschiedenen Quellen zusammenstellen und bewerten. Zudem muss festgelegt werden, wie mit Abweichungen von den Vorgaben umgegangen wird. Die Sicherheitsreports sollten als Information für den Auditor verwendet werden.

Inhalt eines Audits

Ein Audit gleicht die Sicherheitsvorgaben mit den aktuellen Einstellungen und Daten ab. Durch ein solches Audit wird überprüft, ob die geforderten Sicherheitseinstellungen und Abläufe eingehalten werden.

Ziel des Sicherheitsaudits

Wichtig ist, dass ein Audit nur zur Feststellung von Tatsachen und nicht zur Ermittlung von Schuldigen dient, siehe auch M 2.199 Aufrechterhaltung der Informationssicherheit .

Sicherheits-Berichtswesen

Das Resultat eines Audits kann als eine einfache Soll-Ist-Gegenüberstellung gehalten werden. Der Bericht soll in gebotener Kürze die Vorgaben z. B. aus der Sicherheitsrichtlinie darstellen und die Feststellungen des Audits zu den einzelnen Vorgaben darstellen. Wenn Abweichungen vom Soll gefunden werden und Maßnahmen zur Besserung bekannt sind, so sollten diese direkt in den Report geschrieben werden.

Unabhängigkeit der Auditoren

Die Durchführung der Audits muss durch unabhängige Auditoren erfolgen, d. h. das durchführende Personal darf sich und seine Arbeit nicht selbst auditieren.

Auch wenn die Tätigkeit der Auditoren durch die Administratoren des Speichersystems unterstützt wird, benötigen sie tiefere Kenntnisse über das Speichersystem zur Durchführung ihrer Tätigkeit. Diese Kenntnisse sind durch regelmäßige Schulungen zu erwerben bzw. zu aktualisieren.

Autorisierung der Auditoren

Wenn die Auditoren selbstständig und ohne Unterstützung durch die Administratoren tätig werden sollen, so ist eine Rolle "Auditor" für alle Komponenten des Speichersystems zu definieren. Die Rechte zu dieser Rolle sollten als "Nur Lesen" aller Einstellungen und Logdateien des Speichersystems definiert werden.

Wenn keine konkreten Vorgaben der Institution vorliegen, so sollte der Auditor mindestens die folgenden Bereiche prüfen:

  • Es gibt ein Sicherheitskonzept für die technische Ausgestaltung und organisatorische Regelungen des Speichersystems.
  • Der Schutzbedarf der gespeicherten Daten in Bezug auf Verfügbarkeit und Vertraulichkeit wurde nach Vorgaben der Anwender festgelegt und dokumentiert.
  • Bei Inbetriebnahme wurden in allen Komponenten (Speicher, Sicherungsgeräte, gegebenenfalls SAN-Switche), Administrations-PC und zusätzlicher Software die Standardpasswörter ersetzt.
  • Alle Komponenten (Speicher, Sicherungsgeräte, gegebenenfalls SAN-Switche) sind in zutrittsgeschützten Räumen mit angemessener Infrastruktur (Stromversorgung, Klimatisierung) stationiert.
  • Administrative Zugriffe auf Speichersysteme erfolgen ausschließlich über ein separates Administrationsnetz.
  • Das Administrationsnetz ist durch Firewall, Anti-Viren-Software und gegebenenfalls ein IDS abgesichert.
  • Zur Administration werden nur gesicherte Verbindungen (z. B. über https, ssh) genutzt.
  • Der Zugriff auf die Speichersysteme und ihre Daten ist ausreichend geschützt und vom restlichen Institutionsnetz geeignet abgetrennt.
  • Die Daten werden verschlüsselt transportiert bzw. gespeichert, wenn dies aufgrund ihres Schutzbedarfs erforderlich ist.
  • Das Logging ist so eingestellt, dass Fehlersituationen und Missbrauchsversuche protokolliert werden. Die Protokolldateien werden regelmäßig kontrolliert.
  • Grundkonfiguration und folgende relevante Änderungen der Konfiguration sind schriftlich dokumentiert. Ein Netzplan der Topologie der Speichersysteme und ihrer Verbindungen zum LAN ist vorhanden und aktuell. Diese Dokumentation ist auch im Notfall verfügbar.
  • Nach Änderungen werden sicherheitsrelevante Einstellungen des Speichersystems erneut überprüft.
  • Der störungsfreie Ablauf von Datensicherungen und die Brauchbarkeit von Sicherungsmedien werden regelmäßig kontrolliert.

Prüffragen:

  • Gibt es einen Überwachungsprozess für alle sicherheitsrelevanten Tätigkeiten und Quellen eines Speichersystems, in dem festgelegt ist, welche Sicherheitsreports regelmäßig erstellt werden?

  • Ist geregelt, wie mit Abweichungen von Vorgaben umgegangen wird?

  • Werden Umfang, Tiefe und Häufigkeit der Sicherheits-Audits auf Speichersystemen von den darauf verarbeiteten Daten und dem Schutzbedarf ihrer Anwendungen bestimmt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK