Bundesamt für Sicherheit in der Informationstechnik

M 2.526 Planung des Betriebs der Speicherlösung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Der dauerhafte sichere Betrieb einer Speicherlösung erfordert eine sorgfältige Planung. Neben der Festlegung des Betreiberkonzeptes und des Aufstellungsortes der Speicherlösung muss der Betrieb der Speicherlösung organisatorisch geregelt und dokumentiert werden. Zur Unterstützung des Betriebes sollte ein Betriebshandbuch erstellt und regelmäßig aktualisiert werden.

Die wesentlichen Themen für die Planung des Betriebs der Speicherlösung sind im Folgenden ausführlich beschrieben.

Auswahl eines Betreiberkonzeptes

Die Entscheidung für ein Betreiberkonzept ist in der Regel bereits im Rahmen der Planung der Speicherlösung gefallen. Für den Betrieb der Speicherlösung werden hierzu nähere Angaben, beispielsweise hinsichtlich der verantwortlichen Ansprechpartner, benötigt. Daher ist durch die Institution zu dokumentieren, ob der Betrieb der Speicherlösung durch eigenes Personal oder durch einen Dienstleister mit oder ohne Übergabe der Betriebsverantwortung erfolgen wird.

Angaben zum ausgewählten Dienstleister, zu den verantwortlichen Ansprechpartnern und möglichen Besonderheiten beispielsweise bei der Entscheidung für die Nutzung von Storage as a Service (SaaS) sind ebenfalls zu dokumentieren.

Aufstellung der Speicherlösung

Die notwendigen Maßnahmen hinsichtlich der Aufstellung der Speicherlösung sollten ebenfalls bereits im Rahmen der Planung einer Speicherlösung betrachtet werden. In der Regel stehen sie in engem Zusammenhang mit dem gewählten Betreiberkonzept. Die Entscheidung hinsichtlich der Unterbringung in eigenen Räumen oder bei einem Dienstleister ist schriftlich festzuhalten.

In M 2.351 Planung von Speicherlösungen wird eine Reihe wichtiger Aspekte bezüglich der erforderlichen Infrastruktur für die einzusetzende Speicherlösung dargestellt. Für die Planung des Betriebs der Speicherlösung ist die Einhaltung dieser Vorgaben zu prüfen, und die Informationen hinsichtlich des gewählten Aufstellungsortes der Speicherlösung und möglicher Besonderheiten sind gegebenenfalls zu ergänzen.

Es ist sicherzustellen, dass die dokumentierten Maßnahmen zur Aufstellung der Speicherlösung nicht im Widerspruch zu M 1.59 Geeignete Aufstellung von Speicher- und Archivsystemen stehen.

Erstellung und Pflege eines Betriebshandbuchs

Es ist ein Betriebshandbuch zu erstellen und zu pflegen, das alle relevanten Informationen im Zusammenhang mit dem Betrieb der Speicherlösung beinhaltet. Neben einem Überblick hinsichtlich Architektur und Schnittstellen der Speicherlösung sollte das Betriebshandbuch Aufschluss über die notwendigen administrativen Schritte zur Installation und zur Aufnahme des tatsächlichen Betriebs enthalten. Darüber hinaus ist die Betriebsdokumentation im Rahmen dieser Maßnahme auf Vollständigkeit der Vorgaben zum laufenden Betrieb, zur Unterbrechung des Betriebs, zur Überwachung der Speicherlösung und hinsichtlich der Archivierung und Löschung von Daten zu prüfen. Fehlende oder fehlerhafte Angaben sind zu ergänzen bzw. zu korrigieren.

Es ist festzuschreiben, dass die Administratoren zur Einhaltung der Vorgaben des Betriebshandbuchs verpflichtet sind und Abweichungen gesonderter Regelungen bedürfen. Das Betriebshandbuch ist regelmäßig, mindestens einmal im Jahr zu aktualisieren,

In den Hilfsmitteln des IT-Grundschutzes findet sich ein Dokument, in dem eine Mustergliederung zur Erstellung eines Betriebshandbuchs für eine Speicherlösung dargestellt ist.

Abgrenzung bzw. Definition der Verantwortungsbereiche

In Abhängigkeit vom gewählten Betreiberkonzept sind weitergehende Angaben zu erfolgten Abgrenzungen hinsichtlich des Leistungs- bzw. Funktionsumfangs der Speicherlösung schriftlich festzuhalten.

Darüber hinaus sind alle benötigten Verantwortungsbereiche zu definieren. So sind beispielsweise Aussagen darüber zu treffen, wer im Fall einer Störung des Betriebs verantwortlich ist, wie die Alarmierungskette aussieht und welche Reaktionszeiten in einem solchen Fall festgelegt sind. Die Kontaktdaten der Ansprechpartner müssen den zuständigen Administratoren bekannt und zugänglich gemacht werden. Sie sollten in einem deutlich kürzeren Intervall als einmal im Jahr aktualisiert werden.

Weitere Angaben hierzu finden sich auch in M 2.356 Vertragsgestaltung mit Dienstleistern für Speicherlösungen sowie in M 6.98 Notfallvorsorge und Notfallreaktion für Speicherlösungen . Es ist sicherzustellen, dass die dokumentierten Abgrenzungen und definierten Verantwortungsbereiche nicht widersprüchlich sind.

Umsetzung der Mandantenfähigkeit des Betriebs

Maßnahme M 2.528 Planung der sicheren Trennung von Mandanten in Speicherlösungen beschreibt die vorhandenen Möglichkeiten zur Umsetzung der Mandantenfähigkeit in Speicherlösungen.

Es ist sicherzustellen, dass im Rahmen der Planung des Betriebs der Speicherlösung dokumentiert wird, welche konkreten organisatorischen oder technischen Maßnahmen die Institution zur Trennung unterschiedlicher Mandanten ergreift. Dabei ist darzustellen, ob die Mandantentrennung allein auf Netzebene oder zusätzlich durch den Einsatz produktspezifischer Funktionen wie beispielsweise mittels virtueller Fileserver (auch unter diversen Herstellerbezeichnungen wie vFiler, virtuelle Datamover etc. bekannt) umgesetzt wird.

Darüber hinaus wird eine Übersicht aller erfassten Rollen und der zugehörigen Rechte benötigt. Diese Übersicht sollte regelmäßig auf ihre Aktualität überprüft werden.

Integration der Speicherlösung in die vorhandene Umgebung

Es ist zu dokumentieren, wie die geplante Speicherlösung für den Betrieb in die vorhandene Umgebung integriert werden soll. Dazu sollte die Institution zunächst alle benötigten Schnittstellen erfassen und entsprechend darstellen. Daneben sind Vorgaben zur notwendigen Erweiterung bzw. zum Austausch bestehender Komponenten und zur Anpassung bestehender Prozesse darzustellen. Während der Planung des Betriebs der Speicherlösung sind veränderte Anforderungen und Aufgaben für die Mitarbeiter zu identifizieren und den Verantwortlichen frühzeitig mitzuteilen. Im Rahmen der erforderlichen Maßnahmen sind insbesondere die Vorgaben aus M 3.54 Schulung der Administratoren des Speichersystems zu beachten.

Umgang mit Tests und Freigabe der Teile der Speicherlösung

Es sind Vorgaben zur Durchführung von Tests sowie zur Freigabe von Komponenten der Speicherlösung und Steuerungssoftware zu machen und schriftlich festzuhalten.

Dabei sind Regelungen hinsichtlich benötigter Wartungsfenster und bestehender vertraglicher Vereinbarungen zu beachten. Es ist festzulegen, unter welchen Bedingungen der Einsatz einer Testumgebung verpflichtend ist und welche Voraussetzungen für die Freigabe eines Systems erfüllt sein müssen.

Wird die Speicherlösung durch einen externen Dienstleister betrieben, sind daneben die Vorgaben aus M 2.356 Vertragsgestaltung mit Dienstleistern für Speicherlösungen zu beachten.

Einsatz von Verschlüsselung

Für den Betrieb ist zu regeln, welche Aufgaben die Administratoren der Speicherlösung beim Einsatz von Verschlüsselung haben. Hierzu gehören z. B. die Verwaltung der Schlüssel, die Durchführung von Datensicherungen und insbesondere auch die Wiederherstellung verschlüsselter Daten.

Bei Verschlüsselung der Informationen sind der Baustein B 1.7 Kryptokonzept sowie die Maßnahme M 4.448 Einsatz von Verschlüsselung für Speicherlösungen zu beachten.

Prüffragen:

  • Sind alle erforderlichen Regelungen, Anforderungen und Einstellungen zum Betrieb der Speicherlösung dokumentiert?

  • Wann wurde die Betriebsdokumentation für die Speicherlösung das letzte Mal aktualisiert?

  • Sind die Auswahl und Festlegung des Betreibermodells sowie die zugehörigen Entscheidungskriterien nachvollziehbar dokumentiert?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK