Information Security Policy der enviaM
Transcrição
Information Security Policy der enviaM
Information Security Policy der enviaM Blatt 1 - 46 Ausgabe 01.05.2012 Version 5.8 Auszug aus der Information Security Policy der enviaM Exemplar für den IT-Dienstleister - außer Netzwerkdienstleister - Bearbeiter: Herr Keller Verantwortlich: IV-Strategie S-T Mindeststandards IV-Anwender Inhaltsverzeichnis Seite 1 Information Security Policy der enviaM Blatt 2 - 46 Ausgabe 01.05.2012 Version 5.8 Inhaltsverzeichnis 1 2 Information Security Policy für die enviaM _________________________________________ 5 1.1 Einleitung _______________________________________________________________________ 5 1.2 Zielsetzung und Gültigkeitsbereich der Information Security Policy ______________________ 5 Mindeststandards für die enviaM __________________________________________________ 5 2.1 3 Mindeststandards für den IT-Anwender ____________________________________________ 6 3.1 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 Kennwörter und Zugriffsschutz _____________________________________________________ 6 Kennwörter und ergänzende Verfahren _______________________________________________________ 6 Kontrollierter Zugang zu den Daten _________________________________________________________ 7 Verlassen des Arbeitsplatzes _______________________________________________________________ 7 Druckausgabe auf Netzwerkdruckern ________________________________________________________ 8 Unterwanderung des Zugangs- und Zugriffsschutzes ____________________________________________ 8 Schutz der Daten _________________________________________________________________ 8 Schutzbedarfsfeststellung _________________________________________________________________ 8 Datensicherung _________________________________________________________________________ 8 Handhabung mobiler Datenträger ___________________________________________________________ 9 Vertrauliche und streng vertrauliche Daten ____________________________________________________ 9 Löschen nicht mehr benötigter Datenbestände ________________________________________________ 10 Weitergabe von IT-Anwendungen __________________________________________________________ 10 3.3 Installation und Nutzung von IT-Komponenten_______________________________________ 10 3.4 Nutzung von E-Mail _____________________________________________________________ 11 3.5 Schutz vor Schadensprogrammen __________________________________________________ 11 3.6 4 Einleitung _______________________________________________________________________ 5 Phishing Täuschung und Angeln von Kennwörtern ________________________________ 12 3.7 Mobiles Arbeiten ________________________________________________________________ 13 3.8 Internetnutzung _________________________________________________________________ 14 3.9 Datenschutzvorschriften __________________________________________________________ 15 3.10 Nutzung sozialer Medien (z.B. Facebook, Twitter, Xing) ________________________________ 15 3.11 Melden von Sicherheitsvorfällen ___________________________________________________ 15 3.12 Sicherstellung des Sichtschutz bei Gebäuden und des Schutzes vor indirektem Zugriff ______ 16 Mindeststandards für den IT-Dienstleister _________________________________________ 17 4.1 4.1.1 Grundlegendes __________________________________________________________________ 17 Cloud Computing ______________________________________________________________________ 17 4.2 Physischer Zugangsschutz ________________________________________________________ 18 4.3 Zugangs- und Zugriffsregularien ___________________________________________________ 18 4.3.1 4.3.2 4.3.3 4.4 4.4.1 4.5 4.5.1 Zugangsberechtigung ___________________________________________________________________ 18 Zugriffsrechte _________________________________________________________________________ 20 Sichere Administration __________________________________________________________________ 20 System- und anwendungsrelevante Regelungen _______________________________________ 21 Betrieb von Servern und Clients ___________________________________________________________ 21 Richtlinien zur sicheren Programmentwicklung, konfiguration, Installation und Wartung __ 22 Regelungen für die Planung der IT-Anwendung _______________________________________________ 22 Mindeststandards IV-Anwender Inhaltsverzeichnis Seite 2...... Information Security Policy der enviaM Ausgabe 01.05.2012 Version 5.8 Regelungen für die Entwicklung der IT-Anwendung ___________________________________________ 22 Sicherheit im Entwicklungs- und Wartungsprozess ____________________________________________ 23 Besonderheiten bei der Entwicklung von Web-basierten Anwendungen ____________________________ 23 Besonderheiten zur SAP-Anwendungsentwicklung ____________________________________________ 24 4.5.2 4.5.3 4.5.4 4.5.5 4.6 Personelle und organisatorische Sicherungsmaßnahmen _______________________________ 24 4.6.1 4.6.2 4.6.3 4.6.4 Verpflichtung und Aufsichtspflicht _________________________________________________________ 24 Vertragliche Regelungen _________________________________________________________________ 25 Sicherheitsschulung von Administratoren ____________________________________________________ 25 Mitarbeiterbesprechung zum Thema IT-Sicherheit _____________________________________________ 25 4.7 Regularien für die IT-Netzwerkinfrastruktur und dem IT-Netzwerkbetrieb _______________ 25 4.8 Datensicherung _________________________________________________________________ 25 4.9 IT-Notfallmanagement ___________________________________________________________ 26 4.10 Schutz vor Schadensprogrammen __________________________________________________ 26 4.10.1 4.10.2 4.10.3 4.11 4.12 Basismaßnahmen ____________________________________________________________________ 26 Schutz vor Viren _____________________________________________________________________ 27 Schutz vor Aktiven Inhalten __________________________________________________________ 27 Allgemeine Regularien ___________________________________________________________ 28 4.11.1 4.11.2 4.11.3 4.11.4 4.11.5 4.11.6 4.11.7 4.11.8 4.11.9 Fernbetreuung / Fernwartung ___________________________________________________________ 28 PC von Externen _____________________________________________________________________ 29 Sicherung von mobilen IT-Komponenten wie z.B. Notebooks __________________________________ 29 Datenträger _________________________________________________________________________ 29 Reparatur __________________________________________________________________________ 30 Konfiguration und Betrieb des Webbrowsers für das Internet __________________________________ 30 Konfiguration und Betrieb des Webbrowsers im Intranet ______________________________________ 31 Sicherheit der Systemdokumentation _____________________________________________________ 31 Überwachung _______________________________________________________________________ 31 Einsatz kryptografischer Techniken ________________________________________________ 31 4.12.1 4.12.2 4.12.3 5 Blatt 3 - 46 Grundsätze _________________________________________________________________________ 31 Anforderungen an die Bereitstellung von kryptografischen Schlüsseln ___________________________ 32 RWE Basis PKI______________________________________________________________________ 33 Organisatorische Maßnahmen der Gesellschaften der enviaM-Gruppe __________________ 34 5.1 Einhaltung von gesetzlichen, regulatorischen oder sonstigen relevanten Vorschriften _______ 34 5.2 Rolle und Aufgaben des Bereiches IT _______________________________________________ 34 5.3 Behandlung von Ausnahmen ______________________________________________________ 34 5.4 Änderungsprozess / Erstellung von neuen IT-Anwendungen ____________________________ 36 5.5 Handhabung von Zugriffsberechtigungen ___________________________________________ 36 5.5.1 5.5.2 5.5.3 5.5.4 5.5.5 Überprüfung von Zugangs-/Zugriffsberechtigungen____________________________________________ 36 Berechtigungen und Profile_______________________________________________________________ 36 Funktionstrennung______________________________________________________________________ 37 Vergabe von Zugangsberechtigungen _______________________________________________________ 37 Überprüfung von Kennwortrichtlinien ______________________________________________________ 37 5.6 Regelungen zum Update-Management des beauftragten IT-Dienstleisters _________________ 38 5.7 Regelung zur Nutzung Web-basierter Anwendungen __________________________________ 38 5.8 Schulungs- und Ausbildungsmaßnahmen ____________________________________________ 38 5.9 IT-Notfallmanagement ___________________________________________________________ 38 5.10 Security Incident Reporting _______________________________________________________ 38 Mindeststandards IV-Anwender Inhaltsverzeichnis Seite 3...... Information Security Policy der enviaM 6 Blatt 4 - 46 Ausgabe 01.05.2012 Version 5.8 5.11 Durchführung von Schutzbedarfsfeststellung und Sicherheitsanalyse ____________________ 38 5.12 Regularien zur Abtrennung eines Konzerngesellschaftsnetzes oder anderer Schutzzonen ____ 38 5.13 Technische Sicherheitsüberprüfungen ______________________________________________ 38 5.14 Umgang mit personenbezogenen Daten _____________________________________________ 39 5.15 Einsatz von kryptografischen Methoden_____________________________________________ 40 Glossar ______________________________________________________________________ 41 Mindeststandards IV-Anwender Inhaltsverzeichnis Seite 4 Information Security Policy der enviaM Blatt 5 - 46 Ausgabe 01.05.2012 Version 5.8 1 Information Security Policy für die enviaM 1.1 Einleitung Das vorliegende Dokument wurde auf Grundlage der Information Security Policy der enviaM erstellt, welche eine grundlegende Richtlinie für die IT-Sicherheit der enviaM-Gruppe darstellt. Sie gilt auch für Auftragnehmer, die als IT-Anwender, IT-Technik der enviaM-Gruppe nutzen. Dieses Dokument beinhaltet die Mindeststandards und besitzt bindenden Charakter. Aus Konsistenszgründen wurden Kapitelüberschriften ohne Kapiteltext im Dokument belassen. 1.2 Zielsetzung und Gültigkeitsbereich der Information Security Policy Die Information Security Policy zielt auf Erhaltung und Fortführung einer Grundsicherheit der unternehmenseigenen Rechner, Applikationen und Daten, sowie der einzelnen IT-Netze und deren Vernetzung. Handlungsrichtlinien bzw. -verfahren und Empfehlungen, die in dieser Policy ausgesprochen werden, sind für alle Tochtergesellschaften mit Mehrheitsbeteiligungen verbindlich. Dies schließt auch IT-Komponenten ein, die die Gesellschaften selbst betreiben oder betreiben lassen. Die aufgeführten Mindeststandards bilden die Grundlage für die jeweils in den einzelnen Gesellschaften zu installierenden Sicherheitsrichtlinien. Sie sind verbindlich für alle IT-Anwender. Zielsetzung ist die Schaffung eines ganzheitlichen Grundschutzes der IT-Infrastruktur. Die Information Security Policy wird nach Inkrafttreten durchgesetzt. Eine Überprüfung der installierten Sicherheitsrichtlinien trägt zu einer konsequenten Umsetzung der Information Security Policy im Unternehmen bei; den Anstoß hierzu gibt der IT-Bereich. 2 Mindeststandards für die enviaM 2.1 Einleitung Durch die Umsetzung und Einhaltung der Mindeststandards wird eine Grundsicherheit hergestellt, auf deren Basis ein vertrauensvolles Arbeiten miteinander ermöglicht wird. Nachfolgend sind die Themengebiete, die in den Mindeststandards behandelt werden, aufgeführt: Festlegung des Schutzbedarfes Physischer Zugangsschutz Zugangs- und Zugriffsregularien Personelle und organisatorische Maßnahmen Notfallvorsorgemaßnahmen Notebook Sicherheitsmaßnahmen Schutz vor Schadensprogrammen Schutzmaßnahmen bei der Verwendung von E-Mail Allgemeine / Sonstige Regularien Verschlüsselung und digitale Signatur Die aufgestellten Regelungen stellen organisatorische und technische Maßnahmen dar, die gemäß Kapitel 1.2 Zielsetzung und Gültigkeitsbereich der Information Security Policy" anzuwenden sind. ITDienstleister müssen ihre Mitarbeiter in angemessener Form verpflichten. Die Form der Verpflichtung bleibt den Unternehmen überlassen. Mindeststandards IV-Anwender Mindeststandards für Anwender Seite 5...... Information Security Policy der enviaM Blatt 6 - 46 Ausgabe 01.05.2012 Version 5.8 3 Mindeststandards für den IT-Anwender Die aufgestellten Sicherheitsrichtlinien sind verbindlich für alle IT-Anwender. Durch den zunehmenden Einsatz der IT ist unser Unternehmen immer mehr von ihrer ordnungsgemäßen Funktionsfähigkeit abhängig. Dabei besteht das Risiko, dass durch Fehlfunktionen oder (bewusstes oder unbewusstes) menschliches Fehlverhalten die Sicherheit sensitiver Informationen verloren geht (Verlust von Vertraulichkeit, Verfügbarkeit oder Integrität). Darüber hinaus kann dadurch der gesamte ITSystemverbund zum Ziel von Schadensprogrammen oder Angriffen werden (sowohl von innen als auch von außen). Die Einhaltung der im Folgenden aufgeführten Regelungen und Hinweise für Sie als IT-Anwender führen zu einem Mindeststandard der IT-Sicherheit. Sie dienen dem Schutz der eingesetzten IT-Komponenten, Anwendungen und Daten und helfen, Fehlverhalten zu vermeiden. Neben dem Einsatz von technischen Hilfsmitteln entscheidet oftmals Ihr aktives Handeln zur Wahrung des Schutzes von z.B. wettbewerbsrelevanten Unternehmensinformationen. Seien Sie wachsam und helfen Sie mit, indem Sie die in dieser Information Security Policy festgelegten Regelungen nach bestem Wissen und Gewissen zum Schutz der eingesetzten IT-Komponenten, Anwendungen und Daten anwenden und einhalten. IV-Sicherheit geht alle an Regel Befolgen Sie gewissenhaft die Mindeststandards für den IT-Anwender Sie werden regelmäßig über die Inhalte der Information Security Policy informiert. Bei Fragen zur Information Security Policy wenden Sie sich an Ihren Vorgesetzten oder den Hinweis IT-Bereich. + Regel für Personalverantwortliche Regel Unterweisen Sie einmal jährlich Ihre zugeordneten Mitarbeiter zum Thema IT-Sicherheit. Alternativ oder ergänzend ist die Belehrung auch im Rahmen andere Veranstaltungen (z.B. im Rahmen einer Arbeitsschutzunterweisung) möglich. Hinweis Bei Bedarf unterstützt hierbei der IT-Bereich. Durch Rückfluss der Anregungen und Probleme an den IT-Bereich kann entsprechender Einfluss auf die geltenden Sicherheitsrichtlinien genommen werden. 3.1 Kennwörter und Zugriffsschutz Kennwörter und andere Verfahren der Zugriffsberechtigung (z.B. SecurID-Karte und PIN Glossar) sind wichtige Mittel zur Absicherung der IT-Arbeitsmittel vor missbräuchlicher Nutzung. Ein sorgsamer Umgang mit diesen ist deshalb unerlässlich, ähnlich wie bei der Handhabung von Geheimnummer und Scheckkarte. 3.1.1 Kennwörter und ergänzende Verfahren Richtige Nutzung von Kennwörtern Verwenden Sie persönliche und geheim zu haltende Kennwörter ( Regel Glossar). Teilen Sie niemandem Ihr Kennwort mit (z.B. am Telefon oder per E-Mail), auch nicht Ihrem IT-Dienstleister. Beachten Sie, dass Kennwörter mindestens 7 Stellen lang sein müssen. Mindeststandards IV-Anwender Mindeststandards für Anwender Seite 6...... Information Security Policy der enviaM Blatt 7 - 46 Ausgabe 01.05.2012 Version 5.8 Verwenden Sie keine Tastaturmuster, Datumsangaben, Begriffe aus Wörterbüchern oder aus dem allgemeinen Sprachgebrauch. Verwenden Sie, sofern möglich, mindestens drei der nachfolgenden Zeichentypen: Großbuchstaben, Kleinbuchstaben, Sonderzeichen und/oder Ziffern (z.B. Anfangsbuchstaben eines Satzes). Wechseln Sie regelmäßig, spätestens nach 90 Tage, Ihre Kennwörter. Das neue Kennwort darf nicht mit den letzten drei zuvor verwendeten Kennworten identisch sein. Ersetzen Sie umgehend voreingestellte Kennwörter durch persönliche. Notieren Sie sich nirgends Kennwörter im Klartext (z.B. in Dateien) Verwenden Sie Kennwörter, die Sie im betrieblichen Umfeld nutzen, nicht außerhalb des enviaM (z.B. im Internet) Zur Absicherung des Zugriffs auf das Unternehmensnetz und zur Anwendung von z.B. Verschlüsselung oder Signatur ( Glossar) kommen häufig neben dem Kennwort ergänzende oder andere Verfahren der Absicherung zum Einsatz. Ergänzende Verfahren zur Absicherung des Zugriffsschutzes Regel Beachten Sie die Maßnahmen, die Sie von Ihrem IT-Dienstleister bei Einrichtung des Verfahrens erhalten. Falsche Kennworte OpaFritz Beispiel Wernesgrüner Porsche911 Asdfghjk TheBeatles 22Nov85 3.1.2 Kontrollierter Zugang zu den Daten Während Ihrer Abwesenheit kann es in Ausnahmefällen notwendig sein, dass auf Ihre mit Kennwörtern geschützten IT-Komponenten, Anwendungen und Daten zugegriffen werden muss. Der kontrollierte Zugang ist zu ermöglichen. Regel 3.1.3 Regel Verlassen desArbeitsplatz Arbeitsplatzes für den Stellen Sie beim Verlassen Ihres Arbeitsplatzes sicher, dass kein Unberechtigter Ihren PC/Ihren Bildschirm oder mobile Geräte nutzen kann. Regel Der installierte Bildschirmschoner darf in seiner Konfiguration nur dahingehend verändert werden, den Zeitraum der Aktivierung des Bildschirmschoners herunterzusetzen. Keinesfalls ist die Kennwortsperre des Bildschirmschoners zu deaktivieren. Kennworte und Zugriffsschutz Seite 7 Information Security Policy der enviaM Blatt 8 - 46 Ausgabe 01.05.2012 Version 5.8 Sicherungsmaßnahmen Abmelden vom PC Beispiel Nutzung einer Bildschirm-/Tastatursperre Abschließen des Raumes 3.1.4 Druckausgabe auf Netzwerkdruckern Ihr gedrucktes Dokument enthält Unternehmensdaten aus Ihrem Aufgabengebiet, die nicht in falsche Hände gelangen dürfen. Netzwerkdrucker Regel Die Druckausgabe auf Netzwerkdruckern ist von Ihnen zu beaufsichtigen und sofort nach Beendigung des Druckauftrages aus dem Drucker zu entfernen. 3.1.5 Unterwanderung des Zugangs- und Zugriffsschutzes Unberechtigten Zugriff vermeiden Regel Versuchen Sie nicht vorsätzlich Zugriff auf Daten zu erlangen, zu denen Sie keine Zugriffsberechtigung haben. Wenn Sie bemerken, dass Ihnen ein unberechtigter Zugriff auf Daten, IT-Komponenten oder Anwendungen gewährt wird, so informieren Sie bitte umgehend den IT-Sicherheitsbeauftragten. 3.2 Schutz der Daten Jeder Mitarbeiter muss verantwortungsbewusst mit den Daten umgehen, mit denen er arbeitet. Insbesondere gilt dies für vertrauliche/streng vertrauliche Daten. Eines besonderen Schutzes bedürfen Daten bzw. Informationen, die nicht zur allgemeinen Veröffentlichung bestimmt sind (Vertraulichkeit), bei denen es in besonderem Maße darauf ankommt, dass sie nicht missbräuchlich verändert wurden (Integrität), an die besondere Anforderungen bzgl. Verfügbarkeit gestellt werden, oder deren Versand, Empfang oder Verarbeitung nachgewiesen werden muss (Verbindlichkeit), Je nach Höhe des Schutzbedarfs werden sie eingeteilt in vertrauliche oder streng vertrauliche Daten. Der Verantwortliche für die Daten/Informationen bestimmt, inwiefern eine Information vertraulich ist und legt ggf. zusätzliche Maßnahmen fest, die diese Informationen weiter schützen sollen. 3.2.1 Schutzbedarfsfeststellung Regel Die Einstufung Ihrer Daten ( Glossar) in gering vertraulich, vertraulich oder streng vertraulich erfolgt zwischen Ihnen und Ihrem personellen Verantwortlichen, dies ist zu dokumentieren. Weitere Hinweise hierzu können sie bei Ihrem Vorgesetzten oder dem IT-Bereich erhalten. 3.2.2 Hinweis Datensicherung Unberechtigten Zugriff vermeiden Speichern Sie Ihre Daten grundsätzlich im Netzwerk; dort werden sie regelmäßig gesichert. Kennworte und Zugriffsschutz Regel Seite 8 Information Security Policy der enviaM Blatt 9 - 46 Ausgabe 01.05.2012 Version 5.8 Dateien sind so abzulegen, dass Inhalt und Verwendungszweck der Daten dem Kreis der Zugriffsberechtigten entspricht. Bei Daten, die nicht auf einem Netzlaufwerk liegen, sind Sie selbst für die Datensicherung verantwortlich. Lagern Sie Ihre selbst durchgeführte Datensicherungen vertraulicher/ streng vertraulicher Daten an einem besonders gesicherten Ort. Ihr IT-Dienstleister stellt Ihnen hierzu geeignete Verfahren und Informationen (z.B. Anleitungen) für die Datensicherung zur Verfügung. Globale, unternehmensweite Verzeichnisse (z.B. envia-temp) unterliegen keinen Berechtigungsbeschränkungen. Alle dort abgelegten Daten sind für alle Netzwerknutzer lesbar, veränderbar oder können gelöscht werden. Diese Verzeichnisse unterliegen nicht der zentralen Datensicherung. 3.2.3 Hinweis Hinweis Handhabung mobiler Datenträger Aufbewahrung und Versand mobiler Datenträger Bewahren Sie mobile Datenträger verschlossen auf. (z.B. in einem abgeschlossenen Schrank, Schreibtisch oder Raum) Regel Bewahren Sie Datenträger mit schutzbedürftigen Daten in einem Tresor auf. Versenden Sie Datenträger nur an berechtigte Empfänger. Verwenden Sie nur unbenutzte (neue) oder sorgfältig gelöschte Datenträger. Verwenden Sie für den Versand von mobilen Datenträgern nur verschlossene und je nach dem Schutzbedarf der Daten versiegelte oder verplombte Umschläge/Behälter oder verschlüsseln die die Daten. Die Lesbarkeit der von Ihnen angelegten gesicherten Datenbestände ist von Ihnen stichprobenartig und turnusmäßig zu überprüfen. Nicht mehr zu verwendende Datenträger müssen über den IT-Bereich entsorgt werden 3.2.4 Vertrauliche und streng vertrauliche Daten Umgang mit vertraulichen Daten Versenden Sie vertrauliche Daten nur verschlüsselt. Regel Kennzeichnen Sie vertrauliche Daten möglichst deutlich, z.B. durch die Verwendung einer entsprechenden E-Mail-Option. Schützen Sie vertrauliche/streng vertrauliche Daten zum Schutz der Integrität durch den Einsatz der digitalen Signatur ( Glossar digitale Signatur ) Vor Herausgabe von IT-Komponenten zur Reparatur, müssen alle vertraulichen/streng vertraulichen Daten entweder verschlüsselt oder sicher entfernt werden. ( Glossar sicheres Löschen ) Verschlüsseln Sie vertrauliche/streng vertrauliche Daten auf mobilen IT-Komponenten. Falls möglich, richten Sie zusätzlich ein Zugriffskennwort ein. Schutz der Daten Seite 9 Information Security Policy der enviaM Blatt 10 - 46 Ausgabe 01.05.2012 Version 5.8 Weisen Sie Ihren IT-Dienstleister darauf hin, wenn Sie vertrauliche/streng vertrauliche Daten auf einer zur Reparatur vorgesehenen IT-Komponente gespeichert haben. Es soll erreicht werden, dass kein Unberechtigter diese Daten lesen bzw. unbemerkt verfälschen kann. Hinweis Verschlüsselungsverfahren schützen nicht vor Zerstörung oder Löschung der Daten. Eine regelmäßige Datensicherung ist deshalb nach wie vor erforderlich. Aufbewahrung der Schlüssel Regel Tragen Sie Sorge, dass die für die Verschlüsselung Ihrer Daten und Nachrichten vergebenen geheimen Schlüssel sicher aufbewahrt werden und nicht in falsche Hände geraten. Geeignete Verschlüsselungsinstrumente können über den IT-Bereich beschafft werden. Hinweis Bei der Verschlüsselung muss sichergestellt sein, dass Ihre Daten im Notfall auch ohne Ihr Zutun wieder entschlüsselt und damit für das Unternehmen wieder nutzbar gemacht werden können. 3.2.5 vertrauliche Daten = hoher Schutzbedarf streng vertrauliche Daten = sehr hoher Schutzbedarf Hinweis Löschen nicht mehr benötigter Datenbestände Entfernen nicht mehr benötigter Daten Löschen Sie nicht mehr benötigte Datenbestände im Netzwerk und auf Datenträgern. Regel Schutzbedürftigen Daten sind so zu löschen, dass die Daten nicht rekonstruiert werden können. Hinweis Bedenken Sie, dass normalerweise die Daten nicht physisch gelöscht werden, sondern nur Hinweis deren Einträge im Inhaltsverzeichnis. Die Daten können mit Hilfe entsprechender Dienstprogramme wieder sichtbar gemacht werden. Werkzeuge zum sicheren und vollständigen Löschen können über den IT-Bereich beantragt werden. 3.2.6 Weitergabe von IT-Anwendungen Weitergabe von Anwendungen Sie dürfen keine IT-Anwendungen innerhalb oder außerhalb der enviaM weitergeben (z.B. über e-Mail oder Internet), auch wenn Sie diese selbst erstellt haben. 3.3 Regel Installation und Nutzung von IT-Komponenten Das Unternehmen stellt Ihnen IT-Komponenten für Ihre Arbeit zur Verfügung, die den Vorgaben der ITSicherheit entsprechen. Eine nicht autorisierte Nutzung oder Veränderung dieser IT-Komponenten kann einen erheblichen Schaden für das Unternehmen hervorrufen. Sichere Nutzung von IV-Komponenten Regel Verwenden Sie nur ordnungsgemäß lizenzierte Standard-/Anwendungssoftware oder Daten (z.B. keine unberechtigten Kopien lizenzierter Programme) Schutz der Daten Seite 10 Information Security Policy der enviaM Blatt 11 - 46 Ausgabe 01.05.2012 Version 5.8 Regel Laden Sie keine Software (auch Programmänderungen) aus dem Internet oder von Onlinediensten. Ausgenommen von dieser Regelung sind Viewer-Anwendungen, die auf CDROMs geliefert werden, um deren Inhalt zu sichten. Es ist Ihnen nicht gestattet, eigenständig Hardware und Software auf betrieblichen ITKomponenten zu installieren. Insbesondere ist Ihnen die eigenständige Installation von WLAN-Karten, ISDN-Karten, Modems ( Glossar) und sonstigen Geräten zur Datenübertragung untersagt, weil hierdurch leicht ein unberechtigter Zugriff zum IT-Netzwerk entstehen kann. Sie dürfen sicherheitstechnische Einstellungen (z.B. in Office-Anwendungen, Web Browser, E-Mail) auf keinen Fall verändern oder deaktivieren. Schließen Sie keine privaten IT-Komponenten an betriebliche IT-Komponenten an. Setzen Sie betriebliche IT-Komponenten nur zur Erledigung ihrer betrieblichen Aufgaben ein. IT-Komponenten von Fremdfirmenmitarbeitern dürfen nicht ans Unternehmensnetz angeschlossen werden. Bitte achten Sie darauf bzw. geben dieses Verbot entsprechend weiter. Nur der IT-Dienstleister ist berechtigt, Hardware und Software auf betrieblichen ITKomponenten zu installieren. Hinweis Reparatur und Entsorgung Regel Bei erforderlicher Reparatur oder Entsorgung von IT-Komponenten müssen Sie stets Ihren ITDienstleister einschalten. 3.4 Nutzung von E-Mail Nachrichten und Daten, die über öffentliche Netze (z.B. Internet) verschickt werden, haben den Charakter einer mit Bleistift geschriebenen Postkarte . Der Inhalt der Nachricht oder Daten kann von jedem, dem diese Postkarte in die Hände fällt, gelesen und verändert werden. In öffentlichen Netzen kann der Empfänger nicht sicher sein, dass der Absender tatsächlich der ist, für den er sich ausgibt. Deshalb ist darauf zu achten, dass Nachrichten nicht durch Unberechtigte gelesen oder gar verändert werden. Was Sie bei E-Mails beachten müssen Regel Richten Sie keine automatische Weiterleitung Ihrer empfangenen E-Mails in ein öffentliches Netz ein. Verwenden Sie keine E-Mail-Konten im Internet für betriebliche Zwecke. Verschlüsseln Sie vertrauliche/streng vertrauliche Daten beim Versenden von E-Mail. Verwenden Sie in jedem Fall eine digitale Signatur bei zu übermittelnden Nachrichten und Daten, bei denen Ihre Identität als Absender und die Unverfälschtheit der Nachricht zweifelsfrei feststehen müssen. Fordern Sie dies im Bedarfsfall auch umgekehrt, wenn Sie der Empfänger sind. 3.5 Schutz vor Schadensprogrammen Schadensprogramme können über Internet, e-Mail oder mobile Datenträger in das Unternehmensnetzwerk gelangen und zu erheblichen Beeinträchtigungen für den IT-Anwender und Schäden für das UnterInstallation und Nutzung von IV-Komponenten Seite 11 Information Security Policy der enviaM Blatt 12 - 46 Ausgabe 01.05.2012 Version 5.8 nehmen führen. Sie sind u.a. in der Lage, Daten zu verfälschen, zu zerstören oder an Unberechtigte zu versenden Regel Virenschutz Öffnen Sie keine Dateien aus nicht vertrauenswürdiger Quelle z.B. als Anhang von E-Mails ( Glossar), aus dem Internet ( Glossar), oder von mobilen Datenträgern. Geben Sie keine Dateien auch harmlos erscheinende aus nicht vertrauenswürdigen Quellen weiter. Dasselbe gilt auch, wenn zwar die Quelle vertrauenswürdig erscheint, jedoch keine Dateizusendung von dort erwartet wurde. Die vom IT-Dienstleister eingestellten Virenschutzprogramme dürfen Sie nicht ändern oder deaktivieren, in ihrem Lauf abbrechen oder gar löschen. Prüfen Sie alle Dateien, die Sie aus externen Quellen erhalten vor der erstmaligen Benutzung mit dem auf Ihrem Arbeitsplatzrechner befindlichen On-Demand-Virenscanner ( Glossar) Jedes Auftreten eines Schadensprogramms oder ein entsprechender Verdacht ist unverzüglich dem IT-Dienstleister zu melden. Betreiben Sie Ihren Rechner bis zur Klärung des Problems keinesfalls weiter. Leiten Sie Warnungen vor Schadensprogrammen ausschließlich an den IT-Dienstleister weiter. Anzeichen für einen möglichen Virenbefall Beispiel Unerklärliches Systemverhalten (häufige Fehlerfenster, Programmabstürze, Rechnerabstürze, usw.) Ungewöhnliche Aktivitäten des Rechners Unerklärlich langsame Netzwerkverbindungen 3.6 Phishing Täuschung und Angeln von Kennwörtern Beim 'Phishing' versuchen Betrüger Sie zu täuschen, um Zugangsdaten zu erlangen oder Ihren Rechner mit einem Schadprogramm zu infizieren, indem Sie auf unseriöse Web-Seiten geleitet werden. Sicherer Umgang mit Phishing -e-Mails Regel Werden Sie per E-Mail zum Besuchen einer Web-Seite, zum Antworten per E-Mail oder Telefon aufgefordert, um personenbezogene Daten oder Zugangsinformationen abzugleichen, so antworten und reagieren Sie auf diese Anfragen in keinem Fall direkt. Leiten Sie die e-Mail zur Überprüfung an den IT-Sicherheitsbeauftragten Ihres Unternehmens weiter, damit er sich mit dem Versender in Verbindung setzen kann. In Zweifelsfällen hinsichtlich der Authentizität von E-Mails informieren Sie bitte Ihr Informationsmanagement. Anzeichen für Phishing -Mails Einfaches Phishing beinhaltet in E-Mails häufig - keine persönliche Anrede, - weist grammatikalische oder orthographische Fehler auf oder - ist nicht in der erwarteten Sprache verfasst. - enthaltene Links zeigen auf Ihnen nicht bekannte Web-Seiten (Überprüfung durch Bewegung des Mauszeigers auf den Link). Schutz vor Schadensprogrammen Beispiel Seite 12 Information Security Policy der enviaM - Androhungen ( Sie MÜSSEN Zeitdruck ausgeübt wird. Blatt 13 - 46 Ausgabe 01.05.2012 Version 5.8 , sonst wird Ihr Zugang gesperrt ), durch die künstlicher Die Tricks der Betrüger werden jedoch gerade in letzter Zeit genannten Merkmale nicht immer vorhanden sein. immer ausgefeilter. So müssen die oben Seien Sie deswegen besonders wachsam Regel bei Auffälligkeiten, die nicht dem sonst bekannten Erscheinungsbild des Absenderunternehmens entsprechen. bei Übertreibungen zur Sicherheit oder sonstigen Geschäftsangelegenheiten. bei Angabe vollständiger personenbezogener Daten von Ihnen, die für den Vorgang unnötig sind. bei Aktionen, die von Ihnen verlangt werden, die seitens des Absender-Unternehmens ausgeschlossen worden sind. bei unerwarteten Anlagen oder Download-Links, insbesondere wenn diese von nicht vertrauenswürdigen Stellen herrühren. Überprüfung des Absenderunternehmens mit dem Internet-Browser Wenn Sie die Überprüfung der Anfrage mit dem Internetbrowser vornehmen wollen, so öffnen Sie eine neue Internet-Browser-Sitzung, und tippen Sie die Internetadresse des Unternehmens selbst ein oder verwenden Sie einen zuvor festgelegten Favoriteneintrag. Hinweis Für weitere Informationen wenden Sie sich bitte an Ihren IT-Sicherheitsbeauftragten. 3.7 Mobiles Arbeiten Mobile IT-Komponenten wie z.B. Laptops, Notebooks, PDAs oder Speicher-Sticks ( Glossar) unterliegen einer erhöhten Gefährdung, z.B. durch Diebstahl. Damit verbunden ist insbesondere der Verlust von Unternehmensinformationen. Sicherheitsmaßnahmen für mobile IV-Komponenten Regel Verschlüsseln Sie vertrauliche und streng vertrauliche Daten auf mobilen Endgeräten. Sichern Sie tragbare Rechner (z.B. Laptops) vor Diebstahl, indem Sie diese entweder mit einem Stahlseil an stationären Gegenständen befestigen oder wegschließen. Melden Sie den Verlust eines mobilen Endgerätes umgehend dem IT-Bereich. Wenn Sie mit dem mobilen Endgerät unterwegs sind Gewähren Sie nicht autorisierten Personen keine Einsicht auf den Bildschirm Ihres Rechners. Behalten Sie den tragbaren Rechner unter Ihrer Kontrolle. Geben Sie das mobile Endgerät nicht als Fluggepäck auf. Lassen Sie mobile Endgeräte nicht offen und sichtbar im Auto oder im Hotelzimmer liegen. Überlassen Sie mobile Endgeräte nicht dem Hotelpersonal. Nutzen Sie zur Aufbewahrung des mobilen Endgerätes den Zimmersafe sofern vorhanden. Besonderheiten beim Fernzugriff in das Unternehmensnetzwerk Regel Regel Beim Fernzugriff müssen Sie eine verschlüsselte Anbindung zum Unternehmensnetz wählen. Mobiles Arbeiten Seite 13 Information Security Policy der enviaM Blatt 14 - 46 Ausgabe 01.05.2012 Version 5.8 Sie dürfen nicht auf vertrauliche/streng vertrauliche Daten im Unternehmensnetz über eine fremde IT-Komponente oder ein fremdes IT-Netzwerk zugreifen, wenn diese nicht der enviaM-Information Security Policy oder einer äquivalenten Richtlinie unterliegen. Hinweis Nähere Informationen zum Fernzugriff erhalten Sie von Ihrem IT-Bereich. Regel Falls Ihr Gerät für die Nutzung von kabellosen Netzen vorgesehen ist (z.B. WLAN, Bluetooth ( Glossar) etc.), so dürfen Sie auf keinen Fall die Einstellungen zum Aufbau von kabellosen Verbindungen ändern bzw. die Schutzkomponenten umkonfigurieren. Ist Ihr Gerät auch zum Anschluss an öffentliche Netze (z.B. so genannte Hot Spots ( fen) zugelassen, ist eine aufmerksame Nutzung dieses Dienstes Ihrerseits notwendig. Regel Glossar) in Flughä- Nutzung von kabellosen Netzen Regel Verbinden Sie sich nur mit Ihrem Unternehmensnetz (z.B. über VPN). Eine direkte Nutzung des Internets über angebotene öffentliche Netze ist nicht erlaubt. Aktivieren Sie kabellose Verbindungen nur, wenn Sie sie aktuell benötigen. Achten Sie soweit es Ihnen möglich ist - darauf, dass die Schutzmaßnahmen an Ihrem System, insbesondere die Personal Firewall ( Glossar), aktiv sind. Lassen Sie in keinem Fall zu, dass andere Systeme sich direkt mit Ihrem Rechner verbinden. 3.8 Internetnutzung Das Internet ist eine der Hauptgefahrenquellen für die IT-Sicherheit des Unternehmens. Technische Sicherheitsvorkehrungen können nicht vor allen Gefährdungen schützen. Deshalb ist bei der Benutzung des Internets besondere Vorsicht geboten. Zugang zum Internet und anderen externen Datennetzen Regel Beachten Sie, dass der Abruf oder die Speicherung von bestimmten Internet-Inhalten strafrechtlich verfolgt werden kann. Nutzen Sie zum Zugriff auf das Internet ausschließlich die dafür vorgesehenen und mit entsprechenden Schutzeinrichtungen (Firewall ( Glossar) versehenen Zugangswege Ihres ITDienstleisters. Ausschließlich Ihr IT-Dienstleister ist berechtigt, Internet-Zugriffssoftware (z. B. Browser ( Glossar) zu installieren und zu konfigurieren. Diese Konfigurationen dürfen Sie in keinster Weise verändern. Es ist Ihnen prinzipiell verboten, ISDN-Karten, Modems ( Datenübertragung lokal zu installieren. Glossar) und sonstige Geräte zur Eine Kombination einer Datenübertragung über ISDN-Karten, Modems ( Glossar) und sonstige Geräte mit einem gleichzeitig bestehenden Netzzugang ist nicht gestattet. Beim Betrachten von Internetseiten werden Sie unter Umständen gefragt, ob Sie die Ausführung von Software wie Steuerelemente oder Plugins zulassen wollen. Konfiguration des Internet Browsers Aktivieren Sie die Programmausführung nur für den Besuch von vertrauenswürdigen Seiten. Mobiles Arbeiten Hinweis Regel Seite 14 Information Security Policy der enviaM Blatt 15 - 46 Ausgabe 01.05.2012 Version 5.8 Regel Stellen Sie Ungereimtheiten bei der Nutzung des Browsers fest, so benachrichtigen Sie unverzüglich Ihren IT-Dienstleister. Ungereimtheiten bei der Browsernutzung immer wieder auftauchende Browserfenster gleichen Inhalts Beispiel trotz richtiger Eingabe in der Adresszeile werden andere Webseiten geöffnet 3.9 Datenschutzvorschriften Personenbezogene Daten unterliegen besonderen gesetzlichen Regelungen. Beachtung von Datenschutzregelungen Achten Sie generell auf die Einhaltung der nationalen Regelungen und Gesetze zum Daten- Regel schutz (z.B. in Deutschland das BDSG). Befolgen Sie die unternehmensintern getroffenen Datenschutzregelungen, z.B. des Datenschutz-Handbuchs. Alle Regelungen im Unternehmen, die die Weitergabe von Unternehmensinformationen betreffen, insbesondere für den Versand über das Internet oder andere öffentliche Netze, sind grundsätzlich einzuhalten. Wenden Sie sich bei Fragen zum Datenschutz an den Datenschutzbeauftragten. Hinweis 3.10 Nutzung sozialer Medien (z.B. Facebook, Twitter, Xing) Soziale Medien stellen ein erhebliches Risiko für die Datensicherheit dar: Sie sind ein beliebtes Angriffsziel von Schadprogramm-Autoren und Hackern. Versehentliche Datenverluste treten häufig an dieser Stelle auf. Regeln bei Nutzung sozialer Medien Regel Informationen, die veröffentlicht werden, müssen den Datenschutz- und Geheimhaltungsrichtlinien der enviaM entsprechen. Kennwörter für Social-Media-Systeme müssen sicher sein und der Kennwortrichtlinie der enviaM entsprechen. Das Kennwort darf nicht für andere Anwendungen im Unternehmen verwendet werden. Der Benutzer hat die geltenden Vorschriften bei der Zuweisung von Berechtigungen für soziale Medien zu beachten und den Zugriff auf Daten, sofern möglich, angemessenen Kontrollen zu unterwerfen. Benutzer dürfen ausschließlich mit konformen Systemen auf Social-Media-Systeme zugreifen. Der Benutzer hat das Informationsmanagement der enviaM über Verstöße gegen die Sicherheitsvorschriften zu informieren bzw. zu melden, wenn er Richtlinienabweichungen vermutet. Hinweis 3.11 Melden von Sicherheitsvorfällen Informationssicherheit geht alle etwas an. Helfen Sie mit und melden sicherheitsrelevante Vorfälle und Verstöße. Internetnutzung Seite 15 Information Security Policy der enviaM Blatt 16 - 46 Ausgabe 01.05.2012 Version 5.8 Meldung von Sicherheitsvorfällen Beispiele für Sicherheitsvorfälle durch eigene oder externe Mitarbeiter: Beispiel Vorsätzliche Handlungen: - Diebstahl von Daten oder Datenträgern, Sabotage, vorsätzliche Veränderung von Informationen - Vorteilsnahme durch Weitergabe von vertraulichen Informationen Verstoß gegen Sicherheitsrichtlinien: - unberechtigte Personen in Sicherheitsbereichen - unbegleitete Betriebsfremde - unverschlüsselter Versand von vertraulichen Informationen per eMail - Verstoß gegen Vorschriften der enviaM Mindeststandards für den IT-Anwender Zugriff Dritter auf interne oder vertrauliche Daten: - beabsichtigte oder versehentliche Vorfälle - Verlust von Datenträgern (z.B. Laptops) - eMail oder Fax mit vertraulichem Inhalt an falsche Empfänger Vorfälle in Folge von Schwachstellen in Sicherheitskonzepten und verfahren: - Versagen des Virenschutzes - Versagen physikalischer Zutrittskontrollen Hinweis Für weitere Informationen wenden Sie sich bitte an Ihren IT-Sicherheitsbeauftragten. 3.12 Sicherstellung des Sichtschutz bei Gebäuden und des Schutzes vor indirektem Zugriff Informationsträger dürfen nicht von außerhalb des Gebäudes durch Dritte eingesehen werden. + Regel für Personalverantwortliche Regel Zur Absicherung müssen entsprechende Schutzvorkehrungen in Abstimmung mit dem Mitbestimmungsgremium getroffen werden. Regeln zum Sichtschutz Regel Teilen sie ihrem Vorgesetzten mit. wenn sie feststellen, dass Informationsträger von außen eingesehen werden können. Sorgen sie dafür, dass Bildschirme, Einsatzpläne oder ähnliche an der Wand angebrachte Informationsträger (mit schutzbedürftigen Informationen) so platziert werden, dass sie nicht von außen einsehbar sind (insbesondere bei Parterre-Büros) Wenn es notwendig ist, die Fensterscheiben durch Bekleben mit Milchglasfolie zu schützen, ist dies mit der Arbeitssicherheit und dem zuständigen Mitbestimmungsgremium abzustimmen. Soziale Medien Hinweis Seite 16 Information Security Policy der enviaM Blatt 17 - 46 Ausgabe 01.05.2012 Version 5.8 4 Mindeststandards für den IT-Dienstleister In diesem Kapitel werden die Anforderungen und Regularien an den IT-Dienstleister zur Realisierung eines Grundschutzes der IT-Komponenten und der Unternehmensdaten. Die Regularien zum Netzbetrieb und Konfigurationsvorgaben zur IT-Infrastruktur werden wegen ihres stark technischen Charakters in jeweils einer Technischen Ergänzung zur Information Security Policy behandelt. Diese beinhalten unter anderem die Regularien zum Anschluss an das Internet, zur Erweiterung der Netze und zum Anschluss von Netzen anderer Gesellschaften an das Globale enviaM Netzwerk (GLEN) und das RWE Corporate Network RCN. Die Aufgaben des IT-Dienstleisters werden vorrangig dadurch geprägt, dass dieser neben den organisatorischen Tätigkeiten die geforderten Technologien nach dem Stand der Technik zu errichten, zu betreiben und zu warten hat. Die Rolle und die Aufgaben des Bereiches ITs ergeben sich aus der IT-Strategie (siehe Kapitel 5, Organisatorische Maßnahmen ). Bei Ausnahmeregelungen, die in dieser Information Security Policy angegeben sind, ist in der Regel der IT-Bereich hinzuzuziehen. Des weiteren übernimmt der IT-Bereich eine koordinierende Funktion bei der strategischen Ausrichtung und Umsetzung der Information Security Policy für die enviaM. Zwischen dem IT-Dienstleister und dem IT-Bereich sind die zu erbringenden Dienstleistungen in Bezug auf die IT-Sicherheit in Form einer definierten Aufgabenteilung oder einer Servicevereinbarung festzulegen. 4.1 Grundlegendes Alle in diesen Dokumenten aufgeführten Inhalte sind vom beauftragten IT-Dienstleister sofern für die Dienstleistungserbringung relevant einzuhalten bzw. umzusetzen. Erfolgt seitens des beauftragten ITDienstleisters eine Unterbeauftragung, so hat der beauftragte IT-Dienstleister für eine entsprechende Verpflichtung des Unterbeauftragten zu sorgen. Wird im Nachfolgenden von schutzbedürftigen Daten ( Glossar), Anwendungen oder ITKomponenten gesprochen, so sind dies Daten, Anwendungen oder IT-Komponenten, die durch einen hohen bis sehr hohen Schutzbedarf gekennzeichnet sind ( Kapitel 0 Für den Auftragnehmer nicht zutreffend. Durchführung von Schutzbedarfsfeststellung und Sicherheitsanalyse Die Aufgaben des IT-Dienstleisters werden vorrangig dadurch geprägt, dass dieser neben den organisatorischen Tätigkeiten die geforderten Technologien nach dem Stand der Technik zu errichten, zu betreiben und zu warten hat. Der IT-Dienstleister hat alle seine Mitarbeiter, die im Rahmen einer Diensterbringung für eine Gesellschaft der enviaM-Gruppe tätig sind, zur Einhaltung auf die im Kapitel 3 definierten Mindeststandards für den IT-Anwender genannten Regelungen zu verpflichten. Der IT-Dienstleister gestattet und ermöglicht der beauftragenden Gesellschaft der enviaM-Gruppe die Einhaltung der für den beauftragten IT-Dienstleister verbindlichen Richtlinien zu überprüfen. 4.1.1 Cloud Computing Werden Dienstleistungen nach dem Prinzip des Cloud Computings erbracht, so sind hierbei generell alle Anforderungen aus der Security Policy zu erfüllen Zusätzlich sind alle Basisanforderungen (Einstufung B) nach dem BSI Eckpunktepapier " Sicherheitsempfehlungen für Cloud Computing Anbieter" für Private und Public Clouds zu erfüllen. Mindeststandards IV-Dienstleister Seite 17 Information Security Policy der enviaM Blatt 18 - 46 Ausgabe 01.05.2012 Version 5.8 Liegt ein hoher Schutzbedarf vor (Einstufung Vertraulichkeit >= " hoch" und/oder Verfügbarkeit >= " hoch" ) so sind die entsprechenden Anforderungen C+ und/oder V+ aus dem BSI Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter" zu erfüllen. 4.2 Physischer Zugangsschutz Generell sind folgende Grundregularien einzuhalten: a) Server (Dateiserver, Applikationsserver, Datenbankserver) mit schutzbedürftigen Daten sind gegen physischen Zugang abzusichern. b) Der Zutritt zu Räumen, die Servertechnik mit schutzbedürftigen Daten enthalten, sowie der Zugriff auf Verteilereinrichtungen sind zu regeln und entsprechend zu kontrollieren. c) Der Zutritt zu Räumen, die Servertechnik mit schutzbedürftigen Daten enthalten, ist zusätzlich zu protokollieren. d) Schutzbedürftige Daten, die nicht angemessen gegen physischen Zugang gesondert geschützt werden können, sind verschlüsselt aufzubewahren. e) Netzwerk-Verteilerkästen müssen vor unbefugtem Zugriff abgesichert sein. f) Für Router und Bridges sind Ersatzgeräte vorzuhalten. Weiterhin sind sie in verschlossenen Räumen oder abgeschlossenen Schaltschränken unterzubringen. Wenn dies nicht möglich ist, muss der ITBereich eine Ausnahmeregelung erlassen ( Kapitel 5.3 Behandlung von Ausnahmen). Der ITDienstleister muss durch Beauftragung der Konzerngesellschaft für eine Überwachung der Komponenten sorgen. Die Überwachung umfasst die regelmäßige Überprüfung der Konfiguration und physische Beschaltung der Geräte auf unberechtigte Änderungen. g) Standalone-Rechner, die von einem entfernten Standort aus am Globalen enviaM Netzwerk (GLEN) betrieben werden, um z.B. auf zentrale Anwendungen zugreifen zu können, müssen über einen physischen Zugangsschutz (z.B. separat abgeschlossener Raum, mit definierten Zugangsregelungen, oder Verschluss aller zum Zugang gehörigen IT-Komponenten bei nicht Benutzung) verfügen. h) Bei Übertragung schutzbedürftiger Daten müssen die entsprechenden Netzwerkkomponenten (Bridge, Switch, Managementsoftware etc.) vor unberechtigtem Zugriff geschützt werden. i) Kabel dürfen für Unbefugten nicht zugänglich sein. Für eine Überprüfung der Verkabelung sind eine aktuelle Dokumentation und eine eindeutige Kennzeichnung aller Kabel erforderlich. j) Besteht zu Räumen kein entsprechender Zugangsschutz, oder befinden sich externe Unternehmen im gleichen Gebäude ohne weitere physische Zugangssicherung, so sind Anschlussdosen nur bei Bedarf freizuschalten (dies umfasst ebenso Mehrzweckräume, die für Sitzungen etc. genutzt werden). Die Freischaltung ist zu dokumentieren, und wenigstens zweimal jährlich zu überprüfen. k) Netzbereiche, in denen besonders schutzbedürftige Daten ausgetauscht werden, d.h. Daten, deren Schutzbedarf als sehr hoch" festgelegt wurde, sind netzwerktechnisch vom restlichen Netz zu isolieren ( Technische Ergänzung zur Information Security Policy Regularien für den Netzbetrieb", Kapitel 2.5.4 Schutzzonen mit hohem oder sehr hohem Schutzbedarf ). l) Datensicherungsmedien sind unter Verschluss zu halten. m) IT-Systeme (wie z.B. PC) und die darin gespeicherten Daten sind, soweit dies möglich und sinnvoll ist, durch restriktive Zutrittsregelungen vor Diebstahl und vor unberechtigtem Zugriff zu schützen. 4.3 4.3.1 Zugangs- und Zugriffsregularien Zugangsberechtigung Die Möglichkeiten zum Einrichten von Zugangsberechtigungen zu IT-Komponenten, Netzwerkbetriebssystemen und IT-Anwendungen sind zu nutzen, um die aufgeführten Kennwortrichtlinien ( Kapitel 3.1 Kennwörter und Zugriffsschutz ) umzusetzen. Zudem ist eine Zugangsberechtigung zu sperren, Mindeststandards IV-Dienstleister Seite 18 Information Security Policy der enviaM Blatt 19 - 46 Ausgabe 01.05.2012 Version 5.8 falls für diese mehr als fünf Fehlanmeldungen durchgeführt worden sind, oder diese über das Kennwortänderungsintervall nicht mehr benutzt worden ist. Ausnahmen sind vom Information Security Officer der enviaM zu genehmigen und zu dokumentieren. Sofern technisch möglich, hat der ITDienstleister die gleichen Kennwortregelungen und die gleichen Nutzerkennungen über alle in Frage kommenden IT-Komponenten, Netzwerkbetriebssysteme und IT-Anwendungen einzurichten. Nach Absprache mit dem IT-Bereich sind entweder der Einsatz eines Boot-Kennwortes oder mindestens folgende Maßnahmen auf der zu schützenden IT-Komponente vorzusehen: Unterbinden des Boot-Vorgangs von Diskette oder anderen bootfähigen Datenträgern durch eine kennwortgeschützte BIOS-Einstellung und Keine parallele Installation mehrerer Betriebssysteme. PCs im mobilen Einsatz (Notebooks) sind mit einer Pre-Boot-Authentisierung zum Schutz bzgl. unberechtigtem Zugang und Vertraulichkeit auszuliefern. Wird ein mobiler PC (z.B. Notebook) ohne Pre-Boot Authentifizierung genutzt, so müssen temporär angelegte Daten (insbesondere temporäre Zwischenkopien von orignär verschlüsselten Dateien oder z.B. das pagefile) vor dem Herunterfahren des Rechners sicher gelöscht werden. PCs und sonstige IT-Komponenten sind, sofern dies von den Möglichkeiten des Betriebssystems und von den operationellen Anforderungen her machbar ist, vor ihrer Auslieferung an die Benutzer so zu konfigurieren, dass sicherheitsrelevante Operationen ( Glossar) nur von dazu besonders berechtigten Personen (Administratoren) durchgeführt werden können. Ausnahmen sind vom Information Security Officer zu genehmigen und zu dokumentieren. Eventuell vor der Auslieferung eingerichtete Kennwörter sind bei der Auslieferung vom Benutzer / Administrator, der dann für das System verantwortlich ist, zu ändern. Der Dienstleister hat die Anwender darauf hinzuweisen. Auslieferungskennwörter dürfen nicht auf Systeme im produktiven IT-Einsatz übernommen werden. Sofern der Einsatz einer Bildschirm- und Tastatursperre (kennwortgeschützter Bildschirmschoner) vom Betriebssystem der ausgelieferten IT-Komponente unterstützt wird, so ist dieser einzusetzen. Kann ein Zeitintervall zum Sperren der IT-Komponente bei inaktiver Nutzung angegeben werden, so ist dieses auf maximal 10 Min. Wartezeit einzustellen. Der Auftraggeber ist verpflichtet, einmal jährlich eine Überprüfung der Kennwortrichtlinien durchzuführen oder durchführen zu lassen, sofern keine automatisierte Einhaltung der Kennwortrichtlinien (z.B. bei der Eingabe der Kennwörter) vorgenommen werden kann. Benötigte Wörterbücher sind an einer zentralen Stelle zusammenzutragen bzw. Verweise auf entsprechend zu benutzende Wörterbücher sind zu pflegen. Wenn Verstöße gegen die Kennwortrichtlinien festgestellt werden, sind geeignete, in Abstimmung mit dem IT-Bereich festgelegte organisatorische Maßnahmen zu ergreifen. Sind die Voraussetzungen einer Zugangsberechtigung zu einem IT-System nicht mehr gegeben, so sind die erteilten Zugangsberechtigungen umgehend zu sperren. Eine Zugangsberechtigung muss durch entsprechende Identifikations- und Authentifikationsmechanismen einen eindeutigen Rückschluss auf eine Person zulassen. In Ausnahmefällen kann durch den ITDienstleister in Abstimmung mit dem Information Security Officer der enviaM eine Zugangsberechtigung einer kleinen geschlossenen Benutzergruppe erteilt werden. Sofern der IT-Dienstleister Entsperrungen oder Änderungen an Kennwörtern vornimmt, hat er die Berechtigung des Anforderers zu überprüfen. Das Verfahren ist mit dem Auftraggeber abzustimmen. Alle genannten Regelungen (bis auf die Einrichtung des PC oder sonstiger IT-Komponenten mit lediglich Benutzerrechten) sind ebenso für Zugangsberechtigungen von Mitarbeitern oder Beauftragten des IT- Mindeststandards IV-Dienstleister Seite 19 Information Security Policy der enviaM Blatt 20 - 46 Ausgabe 01.05.2012 Version 5.8 Dienstleisters, die im Rahmen einer Diensterbringung für eine Gesellschaft der enviaM-Gruppe benötigt werden, einzuhalten. Verantwortlich hierfür ist der beauftragte IT-Dienstleister. 4.3.2 Zugriffsrechte Zugriffsrechte auf Daten oder IT-Komponenten sind nur auf Antrag und nur insoweit zu gewähren, als sie zur Aufgabenerfüllung notwendig sind. Insbesondere die Zugriffsrechte auf die installierte Software sind nach Möglichkeit so einzustellen, dass nur Administratoren dort Schreibzugriff haben. Der für die Daten Verantwortliche legt fest, welche Anwender welche Daten mit welchen Zugriffsrechten bearbeiten dürfen. Die erteilten Zugriffsrechte sind in regelmäßigen Abständen mit diesen vorgegebenen Rechten abzugleichen, indem der IT-Dienstleister die in den Systemen vergebenen Rechte auflistet und diese Listen zur Überprüfung an den Fachbereich übergibt. Alle genannten Regelungen sind ebenso für Zugriffsrechte von Mitarbeitern oder Beauftragten des ITDienstleisters, die im Rahmen einer Diensterbringung für eine Gesellschaft der enviaM-Gruppe benötigt werden, einzuhalten. Verantwortlich hierfür ist der beauftragte IT-Dienstleister. Darüber hinaus dürfen sich Administratoren des IT-Dienstleisters im Rahmen Ihrer Tätigkeit nur insoweit zusätzliche Zugriffsrechte aneignen, wie sie für beauftragte Aufgaben des Kunden benötigt werden. Eingerichtete und nicht mehr weiter benötigte Zugriffsrechte sind nach Erledigung des Auftrages unverzüglich wieder zurückzunehmen. 4.3.3 Sichere Administration Der Sicherung von administrativen Zugängen zu IT-System kommt eine entscheidende Bedeutung zu, da bei Kompromittierung der Administrationsumgebung die Integrität des gesamten Systems und seiner Ressourcen gefährdet ist. Die im Folgenden dargestellten Regularien gelten dabei für alle administrativen Zugänge zu besonders schutzbedürftigen IT-Ressourcen. Hierzu gehören insbesondere: alle für die IT-Sicherheit unmittelbar notwendigen Komponenten (Firewall-Systeme, Remote Access Systeme, Content Filter, Authentisierungssysteme etc.) Netzwerkinfrastrukturkomponenten (Router, zentrale Switche, WLAN Access Points etc.) Administratorkonten mit sehr weitgehenden Benutzerrechten (wie z.B.: Domänenadministratoren) IT-Systeme mit mindestens hohem Schutzbedarf Unter administrativen Zugängen sind dabei neben den Betriebssystemzugängen auch Administrationsumgebungen von Datenbanken oder Anwendungen zu verstehen. Die administrativen Zugänge sind durch folgende Maßnahmen zu schützen: Für die Administration sind sichere Basisprotokolle wie z.B. SSH zu verwenden. Protokolle mit bekannten Sicherheitslücken dürfen nicht eingesetzt werden. Der administrative Verkehr ist möglichst verschlüsselt zu übertragen. Die Verwendung von generischen oder gemeinsam genutzten Konten ist nicht erlaubt. Jeder interaktive Zugang muss über personenbezogene Kennungen erfolgen. Die Verwendung von nicht personalisierten Standard-Konten (wie z.B. root oder administrator ) ist nur zulässig, wenn es technisch nicht anders realisierbar ist. In diesem Fall ist der Zugang zu diesen Kennungen besonders zu überwachen und eine Fremdverwendung durch häufigen Kennwortwechsel (mind. einmal monatlich) zu erschweren. Weiterhin ist das Kennwort immer sicher (z.B. verschlüsselt) zu übertragen, an keiner Stelle zu speichern und bei jedem Anmeldevorgang neu einzugeben Mindeststandards IV-Dienstleister Seite 20 Information Security Policy der enviaM Blatt 21 - 46 Ausgabe 01.05.2012 Version 5.8 Der Zugang zu den administrativen Konten und eine Veränderung an den Berechtigungen dieser Administratorkonten sind zu protokollieren. Die Protokolle sind regelmäßig auf Missbrauch durchzusehen. Eine Fremdverwendung ist durch häufigen Kennwortwechsel (mind. einmal monatlich) zu erschweren. Die Administratoren sind mit einem kryptografisch starken Verfahren (Smart Card, Token) zu authentisieren. Die mehrfache Verwendung eines zugangsberechtigten Kennwortes ist nur in Ausnahmefällen zulässig, sofern das Kennwort immer sicher (z.B. verschlüsselt) übertragen wird, an keiner Stelle gespeichert ist und bei jedem Anmeldevorgang einzugeben ist. Für automatisierte Abläufe sind spezielle Kennungen einzurichten, die keinen interaktiven Zugriff ermöglichen. Innerhalb des internen Netzes ist auch eine Identifizierung des zugreifenden Systems anhand seiner IP-Adresse und eines sicher übertragenen Kennwortes (z.B. verschlüsselt) zulässig. Alle administrativen Rechte sind möglichst granular zu vergeben. Alle administrativen Tätigkeiten sind zu protokollieren und regelmäßig auf Missbrauch durchzusehen. Wird ein Missbrauch festgestellt, so ist dieser umgehend dem Information Security Officer der enviaM mitzuteilen. Alle vorgenommenen Änderungen sind umgehend zu dokumentieren, um im Fehlerfall jederzeit auf die aktuelle Konfiguration zugreifen zu können. Die Dokumentation ist nicht auf dem betroffenen System selbst, sondern entweder auf einem anderen System oder in schriftlicher Form anzufertigen. Es ist zu verhindern, dass das Logging ausgeschaltet oder umgangen wird oder Protokolldateien manipuliert werden können. 4.4 4.4.1 System- und anwendungsrelevante Regelungen Betrieb von Servern und Clients Den Servern in einem IT-Netz kommt eine besondere Bedeutung zu, da diese bei fehlerhafter Konfiguration oder mangelnder Wartung (z.B. Einspielen von sicherheitsrelevanten Updates) trotz bestehender Zugriffsregularien ein lohnendes Angriffsziel darstellen können. Sofern die Clients untereinander erreichbar sind, kommt der Clientabsicherung ebenso eine wichtige Bedeutung zu, da insbesondere durch Peer to Peer Networking eine Gefährdung von auf den Clients abgespeicherten schutzbedürftigen Daten besteht. Bei vom Hersteller oder sonst publizierten, kritischen IT-Sicherheitslücken ( Glossar) zu vom ITDienstleister betriebenen IT-Systemen oder Anwendungen ist ein Update-Managementprozess beim ITDienstleister anzustoßen. Der Update-Managementprozess hat i.d.R. zwei Stufen. Innerhalb der ersten Stufe ist zu klären, wie mit einer sicherheitskritischen Schwachstelle umzugehen ist (z.B. Lösung durch Installation des Updates oder Einrichtung von alternativen Maßnahmen). Die zweite Stufe sieht die Umsetzung der in der ersten Stufe festgelegten Maßnahmen vor. Für beide Stufen sind für den Regelfall maximale Bearbeitungszeiträume mit den Kunden zu vereinbaren. Das Vorgehen ist zu dokumentieren und für den Kunden transparent zu machen. Der Update-Managementprozess ist unter Einbeziehung der Kunden aufzusetzen. Existiert zu einer sicherheitskritischen Lücke eine zugehörige, veröffentlichte Möglichkeit zur Ausnutzung (Exploit), so ist der oben genannte Prozess entsprechend der Gefährdung zu beschleunigen. Da eine Beschreibung von einzelnen Konfigurationen zu den vom IT-Dienstleister eingesetzten Serverund Clientsystemen über das Regulierungsmaß der Information Security Policy hinausgeht, wird an dieser Stelle auf vom Hersteller existierende oder in Kraft gesetzte Umsetzungsstandards verwiesen. Der IT-Dienstleister ist verpflichtet, diese Leitlinien als grundlegendes Maß zum Aufbau einer sicheren ITInfrastruktur anzuwenden. Entsprechende Regelungen/Hinweise in diesen Leitlinien oder Richtlinien, die Mindeststandards IV-Dienstleister Seite 21 Information Security Policy der enviaM Blatt 22 - 46 Ausgabe 01.05.2012 Version 5.8 für einen kontinuierlichen Betrieb nicht umsetzbar sind, müssen schriftlich dokumentiert und begründet werden. Je nach Sicherheitskritikalität der nicht umsetzbaren Regelungen/Hinweise sind Alternativmaßnahmen umzusetzen. Grundlegend ist ein Sicherheitsniveau anzustreben, das den Regelungen des Grundschutzhandbuches vom Bundesamt für Sicherheit in der Informationstechnik (Deutschland) entspricht. 4.5 Richtlinien zur sicheren Programmentwicklung, konfiguration, Installation und Wartung Die hier beschriebene Vorgehensweise gilt verbindlich für alle Entwicklungstätigkeiten, die für die enviaM-Gruppe durchgeführt werden. Werden bereits bestehende Anwendungen angepasst, so ist durch eine Kosten-/Nutzenanalyse die Umsetzung der genannten Maßnahmen zu prüfen. Änderungen an bestehenden Anwendungen durch die hier aufgeführten Maßnahmen werden nur durch eine explizite Beauftragung der Maßnahme notwendig. 4.5.1 Regelungen für die Planung der IT-Anwendung Vor oder zumindest während der Festlegung eines Pflichten- oder Lastenheftes für eine neu zu entwickelnde IT-Anwendung oder für die Erweiterung / Änderung einer bestehenden IT-Anwendung sind ITSicherheitsaspekte zu berücksichtigen, um IT-sicherheitskritische Vorgänge oder Sachverhalte zu identifizieren. Hierzu ist eine Schutzbedarfsfeststellung durchzuführen. Ergibt sich aus dieser Schutzbedarfsfeststellung ein hoher bis sehr hoher Schutzbedarf, so ist eine dem Projekt angemessene Ergänzende Sicherheitsanalyse durchzuführen. Sich daraus ergebende Maßnahmen sind in das Pflichten- bzw. Lastenheft der IT-Anwendung aufzunehmen. Sowohl Schutzbedarfsfeststellung als auch Sicherheitsanalyse sind durch den Auftraggeber der IT-Anwendung durchzuführen bzw. durchführen zu lassen. Für die Entwicklung einer neuen IT-Anwendung ist seitens des IT-Dienstleisters eine zumeist von der Programmiersprache abhängige Programmierrichtlinie anzuwenden. Die darin enthaltenen Vorgaben implizieren Einheitlichkeit, Lesbarkeit und Pflegbarkeit des Programm-Codes und schützen somit vor Implementierungsfehlern. Unabhängig von der Programmiersprache sind in der jeweiligen Programmierrichtlinie mindestens folgende Punkte festzulegen: Namenskonventionen Aufbau von Source-Dateien Aufbau von Klassen / Funktionen / Methoden / Kommentaren Alle Änderungen an der IT-Anwendung sind zu dokumentieren und einer Qualitätssicherung zu unterziehen, um unberechtigte Änderungen an der IT-Anwendung abzuwenden. Die technische Infrastruktur für Entwicklung, Test und Wartung der IT-Anwendung ist strikt bzgl. der Zugriffsrechte und unberechtigter Modifikationen zu kontrollieren. Insbesondere ist der Zugriff auf die Entwicklungsumgebung auf benannte (Projekt-)Mitarbeiter / Entwickler-Ressourcen einzuschränken. Der jeweilige Projektleiter der IT-Anwendungsentwicklung ist verantwortlich für die Planung/Auswahl einer solchen Infrastruktur. Die Aufgabe selbst kann delegiert werden. 4.5.2 4.5.2.1 Regelungen für die Entwicklung der IT-Anwendung Generelle Sicherheit Unabhängig von der Schutzbedarfseinstufung und den daraus resultierenden Maßnahmen im Pflichtenoder Lastenheft sind für die sichere Entwicklung bzw. für die Sicherheit einer neuen IT-Anwendung generelle Vorgaben einzuhalten. Dabei handelt es sich um Richtlinien, die den Grundschutz einer neu zu entwickelnden IT-Anwendung sicherstellen. Im Wesentlichen dienen diese dazu, eine Korrumpierung der IT-Anwendung zu verhindern, so dass sich das Risiko für benachbarte IT-Systeme nicht erhöht (Risikovererbung). Mindeststandards IV-Dienstleister Seite 22 Information Security Policy der enviaM Blatt 23 - 46 Ausgabe 01.05.2012 Version 5.8 Es ist grundsätzlich darauf zu achten, dass spezielle Funktionalitäten, die ausschließlich den Zweck verfolgen, die Entwickler-Tätigkeiten zu vereinfachen, spätestens zum Zeitpunkt des Integrationstests deaktiviert bzw. entfernt werden. Davon ausgenommen sind Funktionalitäten, die zur weiteren Pflege/Wartung der Software unabdingbar sind. Jegliche Art von Eingabewerten ist vom System auf Gültigkeit zu überprüfen, um z.B. Buffer Overflows und somit die Möglichkeit zur Ausführung von beliebigem Code zu vermeiden. Die Ausgabewerte sind entsprechend ihrer Anforderungsdefinition zu überprüfen. Zusätzlich sind wann immer möglich SyntaxElemente zu verwenden, die Schutzmechanismen gegen bekannte Angriffsmuster (z.B. Buffer Overflow) bereits von sich aus bieten bzw. Compiler zu verwenden, die die Implementierung solcher Schadfunktionen unterbinden. Derartige Vorgaben (Syntax, Compiler) sind soweit möglich bereits in der Programmierrichtlinie festzulegen. Für Anwendungen mit einem hohen oder sehr hohen Schutzbedarf sind Protokollierungsmechanismen zu implementieren, die eine nachträgliche Verfolgung von sicherheitskritischen Vorfällen möglich machen. Beispielhaft sind nachfolgende Protokollfunktionen aufgeführt: Administratoraktivitäten (soweit die Software dies vorsieht), sicherheitsrelevante Benutzeraktivitäten und sicherheitsrelevante Systemaktivitäten Eine Auswahl der Maßnahmen ist in Abhängigkeit der ergänzenden Sicherheitsanalyse festzulegen. Die Übertragung von Informationen zur Authentisierung eines Benutzers ebenso wie die Ablage von Kennwörtern in einem eigenen Repository ist durch anerkannte kryptografische Verfahren abzusichern bzw. zu verschlüsseln ( Kapitel 2.4 der Technischen Ergänzung zur Information Security Policy für die enviaM -Konfigurationsvorgaben ). Die entsprechend verwendeten Krypto-Algorithmen müssen in jedem Fall sicherstellen, dass eine Klartextübermittlung bzw. ein wiederholtes Senden der Authentisierungsdaten für eine erfolgreiche Anmeldung an der IT-Anwendung ausgeschlossen ist. Es sind die bereits vom Betriebssystem vorgegebenen Mechanismen zur Authentisierung (z.B. Kerberos) zu nutzen. Um dem Anwender einen einheitlichen Zugriff auf die IT-Komponenten zu ermöglichen, sind soweit beeinflussbar die gleichen Kennwortregelungen und die gleichen Benutzerkennungen für die neue ITAnwendung vorzusehen, wie bereits bei existierenden Regelungen aus bestehenden IT-Komponenten, Netzwerkbetriebssystemen oder anderen IT-Anwendungen. Falls erforderlich sind Programmentwicklung und Transportwesen zu trennen. Transportaufträge sind gegen Manipulationen zu schützen. 4.5.3 Sicherheit im Entwicklungs- und Wartungsprozess Entwicklungs-, Konfigurations- und Wartungsumgebungen sind strikt bzgl. Zugriffsrechten und unberechtigten Modifikationen zu kontrollieren. Der Projektleiter der IT-Anwendungsentwicklung ist ebenso verantwortlich für die Sicherheit der oben genannten Umgebungen. Für die eingesetzten Programmiersprachen sind Programmierrichtlinien seitens des IT-Dienstleisters einzusetzen. Alle Änderungen an der IT-Anwendung sind zu verifizieren, um unberechtigte Änderungen an der IT-Anwendung abzuwenden. 4.5.4 Besonderheiten bei der Entwicklung von Web-basierten Anwendungen Bei der Entwicklung von Web-basierten Anwendungen, die aus dem Internet erreichbar sind, sind besondere Vorkehrungen zu treffen. Insbesondere sind folgende Aspekte neben den bereits oben genannten zu berücksichtigen: Es ist eine penetrante und restriktive Überprüfung der Eingabeparameter und der Übergabeparameter an Schnittstellen und Funktionsaufrufen vorzunehmen, so dass z.B. eine Ausführung von nicht vorgesehenem Programm-Code durch Buffer Overflow oder durch Cross Site Scripting nicht möglich ist. Mindeststandards IV-Dienstleister Seite 23 Information Security Policy der enviaM Blatt 24 - 46 Ausgabe 01.05.2012 Version 5.8 Der erstellte Source-Code ist durch eine - vom Entwicklungsteam unabhängige - Stelle (keine Zertifizierung nach Common Criteria gefordert) einer Qualitätssicherung zu unterziehen. Der Source-Code darf nicht auf produktiven Systemen verbleiben. Bei Einsatz von Scriptsprachen sind diese nach technischer Möglichkeit im Vorfeld zu kompilieren oder es ist dafür Sorge zu tragen, dass diese von Dritten nicht abgerufen werden können. Der Betreiber / Auftraggeber der IT-Anwendung ist über die gesamte Laufzeit der Anwendung über mögliche Sicherheitslücken zu informieren, die ggf. Einsicht in Teile der Entwicklungsarbeiten ermöglichen, oder es ist ein Mechanismus einzurichten, der es dem Betreiber der Anwendung ermöglicht, dies nachzuvollziehen. Es ist sicherzustellen, dass der Betreiber der Anwendung alle zusätzlich zum Betriebssystem installierten Dienste, Zusatzkomponenten, etc. kennt, so dass bei bekannt werden von Sicherheitslücken bei diesen Diensten, Zusatzkomponenten, etc. der Betreiber unmittelbar ein Updatemanagementprozess mit dem Ziel zur Verringerung des Ausmaßes der Sicherheitslücke anstoßen kann. Der beauftragte Dienstleister zur Anwendungsentwicklung muss dem Betreiber die hierfür notwendigen Informationen zur Verfügung stellen. Werden schutzbedürftige Daten in der Anwendung verarbeitet, so ist in jedem Fall eine Sicherheitsanalyse durchzuführen. Eine Absicherung der schutzbedürftigen Daten ist mehrstufig vorzunehmen, so dass durch einen Fehler einer Komponente ein Zugriff auf diese Daten nicht möglich wird. Die Ablage von Kennwörtern für z.B. Datenbanken oder Applikationsserver, ist verschlüsselt zu erfolgen, oder es ist eine mehrstufige Absicherung vorzunehmen. 4.5.4.1 Regelungen zur Entwicklung von Web-basierten Anwendungen für das Intranet Bei der Entwicklung von Intranetseiten bzw. Anwendungen ist die Einbeziehung von ActiveX nicht erlaubt. Sollte der Einsatz dieser Technologie aber unvermeidbar sein (die Funktionalität kann nicht oder mit nur unverhältnismäßig hohem Aufwand mit anderen Techniken realisiert werden), so muss die Anwendung auf das Intranet der enviaM und ihrer Beteiligungsgesellschaften beschränkt bleiben. Ausnahmen sind durch den IT-Bereich zu genehmigen. Kapitel 5.3 Behandlung von Ausnahmen Der Einsatz von Scripting-Technologie ist am Client erlaubt, ist jedoch bei der Anwendungsentwicklung clientseitig zu vermeiden bzw. nur bei unbedingter Notwendigkeit einzusetzen. Nicht signierte JavaApplets sind generell nur in der besonders gesicherten Umgebung des Browsers ( Sandbox ) auszuführen. Signierte Applets können bei Bedarf weitergehende Rechte beantragen. Zur Signierung sind Signaturen/Zertifikate eines Trust Centers oder einer durch den IT-Bereich anerkannte Zertifizierungsstelle zu verwenden. Ein Java-Applet, das von einer zentralen Stelle der enviaM signiert ist, gilt für die Benutzung im Intranet als sicher. Das Vorgehen hierzu ist mit dem IT-Bereich abzustimmen. 4.5.5 Besonderheiten zur SAP-Anwendungsentwicklung Bei eigener Programmentwicklung ist eine Prüfung auf Schadfunktionen vorzunehmen sowie eine Berechtigungsprüfung zu implementieren. Es sind Programmierrichtlinien auf Basis der Empfehlungen von SAP zu erarbeiten und deren Einhaltung ist zu überprüfen. Programmentwicklung und Test ist nur auf einem Testsystem zulässig. Programmentwicklung und Transportwesen sind zu trennen. Transportaufträge sind gegen Manipulation zu schützen. 4.6 4.6.1 Personelle und organisatorische Sicherungsmaßnahmen Verpflichtung und Aufsichtspflicht Betriebsfremde (Besucher sowie Wartungspersonal) dürfen nicht unbeaufsichtigt an Rechnern, Kommunikationsanlagen oder Netzwerkkomponenten arbeiten. Sofern sich ein unbeaufsichtigtes Arbeiten nicht vermeiden lässt, sind wenigstens stichprobenartig Überprüfungen der durchgeführten Tätigkeiten vorzunehmen. Betriebsfremde, die im Rahmen ihrer Tätigkeiten Zugriff auf IT-Anlagen haben oder die sich regelmäßig in einem Gebäude befinden, so dass ein solcher Zugriff möglich erscheint, müssen auf Geheimhaltung und auf die anzuwendenden gesetzlichen Vorgaben (siehe Kapitel 5.14 Umgang mit Mindeststandards IV-Dienstleister Seite 24 Information Security Policy der enviaM Blatt 25 - 46 Ausgabe 01.05.2012 Version 5.8 personenbezogenen Daten) zum Schutz personenbezogener Daten verpflichtet sein. Für die Organisation dieser Verpflichtung ist derjenige Mitarbeiter zuständig, der den Kontakt mit den Betriebsfremden abwickelt (i.d.R. der fachliche Vorgesetzte). Für betriebsfremdes Personal, das in keinem direkten Zusammenhang mit seiner Tätigkeit im Unternehmen Zugang zu IT-Komponenten hat, z.B. Putz- oder Handwerkerpersonal, sind entsprechende organisatorische Maßnahmen zu treffen, so dass ein Missbrauch von IT-Anlagen weitestgehend ausgeschlossen werden kann. 4.6.2 Vertragliche Regelungen Bei der Zusammenarbeit mit externen Partnern, ist es erforderlich, datenschutz- und datensicherheitsrelevante Aspekte (insbesondere die Verpflichtung aus dieser Policy) vertraglich zu regeln. 4.6.3 Sicherheitsschulung von Administratoren Mitarbeiter, die in der IT eine besonders verantwortungsvolle Tätigkeit wie etwa die Administration von Systemen und Netzen wahrnehmen, müssen besonders vertrauenswürdig sein. Bei der Einstellung bzw. der Übertragung dieser Tätigkeiten ist daher besondere Sorgfalt anzuwenden. Ferner sind diese Mitarbeiter vor der Aufgabenübernahme hinsichtlich der IT-Sicherheit besonders zu schulen. 4.6.4 Mitarbeiterbesprechung zum Thema IT-Sicherheit Zur Vorbereitung der jährlich abzuhaltenden Mitarbeiterinformationen erstellt der IT-Dienstleister entsprechende Unterlagen (z.B. kurze Darstellung der aktuellen Situation im Unternehmen, statistische Auswertungen und Tendenzen von Virenvorfällen, Einbruchsversuchen und Schulungsfolien zu Schwerpunktthemen). 4.7 Regularien für die IT-Netzwerkinfrastruktur und dem IT-Netzwerkbetrieb Die Gesamtheit der vernetzten IT-Komponenten wird als Globales enviaM Netzwerk (GLEN) bezeichnet. Grundsätzlich ist das GLEN gegen nicht autorisierten ( Glossar) Zugriff oder schadhaften Einflüssen zu schützen. Dies trifft insbesondere für den Perimeterschutz zum Internet oder Partnern und Kunden zu. Die genauen Regelungen zum Schutz des GLEN sind in der Technischen Ergänzung zur Information Security Policy der enviaM Regularien für den Netzbetrieb aufgeführt. Jeder IT-Dienstleister, der netzwerktechnische Dienstleistungen erbringt, hat die in der Technischen Ergänzung zur Information Security Policy der enviaM Regularien für den Netzbetrieb aufgeführten Regelungen verbindlich einzuhalten. Zur Sicherstellung eines ordnungsgemäßen IT-Betriebes sind die Leistungen eines NetzwerkDienstleisters z.B. mittels Service Level Vereinbarungen (SLA) hinreichend genau festzulegen und auf Umsetzung zu überprüfen. Netzwerkdienstleistungen Dritter (z.B. Netzwerkleitungen) sind entsprechend des allg. Schutzbedarfes der zu übermittelten Daten abzusichern. Die Datenhoheit (z.B. beim Einsatz kryptographischer Verfahren, die Schlüssel) liegt dabei immer bei der beauftragenden Gesellschaft. 4.8 Datensicherung Zum Schutz des Unternehmenskapitals Information müssen Anwenderdaten neben der Abspeicherung im produktiven Umfeld (i.d.R. auf der Festplatte) separat gesichert werden. Zentral gesicherte Datenbestände sind an einem sicheren Ort in einem anderen Brandabschnitt als die in Betrieb befindlichen IT-Komponenten aufzubewahren. Ein Zugriff auf die gesicherten Daten ist entsprechend der Schutzklasse der gesicherten Daten abzusichern. Schutzbedürftige Daten sind in einem Safe o.ä. gesicherten Ort aufzubewahren. Mindeststandards IV-Dienstleister Seite 25 Information Security Policy der enviaM Die Lesbarkeit der angelegten gesicherten Datenbestände ist regelmäßig zu überprüfen. Blatt 26 - 46 Ausgabe 01.05.2012 Version 5.8 zumindest stichprobenartig Das Zurückspielen von Sicherungskopien erfolgt nur für den anfordernden und berechtigten Anwender. Der IT-Dienstleister hat die Berechtigung des Anforderers entsprechend zu prüfen. Anwender, die eigene Datenbestände auf Ihrem PC führen müssen und daher durch Kapitel 3.2.2 Datensicherung zu eigenen Datensicherungsmaßnahmen verpflichtet sind, unterstützt der ITDienstleister durch geeignete Verfahren. 4.9 IT-Notfallmanagement Die Definition des Begriffes Notfall und dessen Abgrenzung zu den Begriffen Betriebsstörung und Kata1 strophe sind dem Krisenhandbuch zu entnehmen. Zur Sicherstellung eines angemessenen IT-Notfallmanagements sind die IT-bezogenen Anteile des Krisenhandbuchs verbindlich anzuwenden. Die Zuständigkeiten für das Management von IT-Notfällen sind innerhalb des IT-Dienstleister verbindlich zu regeln. Die Schnittstellen zum Informationsmanagement der enviaM sind mit den entsprechend verantwortlichen Stellen abzustimmen und festzulegen. Der IT-Dienstleister muss den enviaM Gesellschaften die IT-Dienstleistung zur Realisierung der im Krisenhandbuch definierten Wiederanlaufklassen anbieten. 4.10 Schutz vor Schadensprogrammen 4.10.1 Basismaßnahmen Zur Abwehr der Bedrohungen durch Schadensprogramme (Viren ( Glossar), Würmer ( Glossar), manipulierte aktive Inhalte usw.) ist in erster Linie der in das lokale Netz eingehende, aber nach Möglichkeit auch der ausgehende Datenverkehr (Gefahr des Virenexports!) durch geeignete Active-ContentScanner zu überprüfen. Der Einsatz dieser Content-Scanner ist in einem dreistufigen Schutzsystem durch Gateway-, Server- und Desktop-Scanner umzusetzen. Dabei sind mindestens zwei unterschiedliche Scan-Engines einzusetzen, um die Auswirkungen von Fehlfunktionen einzuschränken und eine insgesamt höhere Erkennungsrate zu erzielen. Die eingesetzten Scanner müssen über effiziente Funktionen für ein zentrales Management verfügen, um so auch entfernte und nur zeitweise mit dem lokalen Netz verbundene Systeme zu versorgen. Unabdingbar ist die zentrale Pflege von Konfiguration, Version, Pattern ( Glossar) und Policies. Gateway-Scanner sind als zentrale Maßnahme zur Kontrolle der Internet-Kommunikation einzusetzen und müssen den Datenstrom für E-Mail, Filetransfer und Webverkehr kontrollieren können. Gerade über den HTTP-Port werden auch andere Dienste als der erwartete Webverkehr transportiert, so z.B. der Transport bei Web-Services oder auch das widerrechtliche Durchtunneln von Firewalls z.B. für Onlinespiele. Zur Abwehr dieser Bedrohungen auf Anwendungsebene sind herkömmliche Virenscanner nicht geeignet. Es müssen bei festgestelltem Bedarf darauf spezialisierte Gateway-Scanner eingesetzt werden. Problematisch ist die Zunahme von verschlüsselter Kommunikation, z.B. durch Nutzung von SSL, da diese durch zentrale Gateway-Scanner nicht kontrolliert werden kann. Somit ist eine zentrale Kontrolle auf Schadensprogramme nur möglich, wenn die Verschlüsselung am Gateway endet oder zumindest unterbrochen wird. Hierfür eignen sich z.B. SSL-Proxies, die auch verschlüsselte Webinhalte für ContentScanner verfügbar machen. Beabsichtigt der IT-Dienstleister einen solchen SSL-Proxy zu betreiben, ist im Vorfeld der Einsatz mit dem IT-Bereich der hierzu auch die Mitbestimmungsgremien einbeziehen kann genau abzuklären. 1 Die Beschreibung des IV-Notfallmanagements ist gemäß BdV 9-02 Krisenmanagement (BdV 2006-08/00) im Krisenhandbuch der enviaM als Checkliste im Handlungsmuster 10 hinterlegt. Mindeststandards IV-Dienstleister Seite 26 Information Security Policy der enviaM Blatt 27 - 46 Ausgabe 01.05.2012 Version 5.8 Pattern-basierte Content-Scanner müssen über die Möglichkeit des Downloads von Pattern ( Glossar) aus dem Internet verfügen bzw. von zentralen intern zu erreichenden Servern. Engine- und vor allem Pattern-Updates sind periodisch zu aktualisieren. Darüber hinaus sind bei Bedarf zusätzliche Aktualisierungen vorzunehmen, wenn sich etwa ein neuer gefährlicher Virus ( Glossar) schnell verbreitet und dafür aktualisierte Pattern verfügbar werden. Es ist dafür Sorge zu tragen, dass diese Aktualisierung auch auf den Arbeitsplatzrechnern der Benutzer geschieht, beispielsweise durch automatische Software-Verteilung. Zumindest die Engine-Updates sind aber vorherigen Funktionstests zu unterziehen. Ist die zu bevorzugende zentrale Versorgung auch der Arbeitsplatzrechner mit Pattern nicht realisierbar (z.B. bei mobilen Nutzern), muss der IT-Dienstleister für andere Möglichkeiten der Aktualisierung sorgen, z.B. durch direkten Bezug aus dem Internet. Hierauf ist der Anwender von seinem IT-Dienstleister entsprechend hinzuweisen. Dateitypen, die wegen ihrer Gefährlichkeit nicht in das lokale Netz gelangen dürfen, sind am Netzübergang durch Firewall oder Gateway-Scanner zu blockieren. Hierfür ist in der "Technischen Ergänzung zur Information Security Policy" eine Blockliste angegeben, die bei Vorliegen neuer Erkenntnisse zu aktualisieren ist. Ausnahmen z.B. für Administratoren sind nur in gut begründeten und dokumentierten Fällen zulässig. 4.10.2 Schutz vor Viren Möglichst alle, zumindest aber die zentral bereitgestellten Server müssen über einen Virenscanner verfügen. Auf Mail- und Groupware-Servern sind hierauf spezialisierte Scanner einzusetzen, die auch über die Möglichkeit einer nachträglichen Löschung von Schadensprogrammen verfügen sollten. Der Einsatz eines Virenscanners auf den Arbeitsplatzrechnern (inkl. Notebooks, etc.) ist verpflichtend. Dieser Virenscanner muss sowohl als On-Demand-Scanner als auch als On-Access-Scanner (Virenwächter) eingesetzt werden. Die On-Access-Funktion ist permanent zu aktivieren, die On-Demand-Funktion ist regelmäßig, (mindestens wöchentlich) spätestens nach einem Update der Virenpattern aufzurufen, was in der Regel automatisch (zeitgesteuert oder beim Hochfahren des Rechners) geschehen kann. Beide Funktionen müssen, soweit technisch möglich, vom Anwender unbeeinflussbar ablaufen. Der IT-Dienstleister ist verpflichtet die aktuelle Bedrohungslage durch Schadensprogramme über alle ihn zur Verfügung stehenden Informationsquellen (Virenbefall, Mitteilung eines CERT oder einschlägige Foren im Internet) zu beobachten. Insbesondere ein erhöhter Virenbefall im Unternehmensnetzwerk kann Anlass zu einer akuten Bedrohungssituation sein. Beim Vorliegen einer akuten Bedrohungslage aktiviert der IT-Dienstleister nach Zustimmung des Bereiches IT einen flächendeckenden On-Demand Scan auf allen betreuten Arbeitsplatzrechnern. Je Bedrohungslage sind die Server mit einzubeziehen. Auf den Servern muss zumindest ein On-Demand-Virenscanner eingesetzt werden, der regelmäßig aufzurufen ist (mindestens wöchentlich und nach Möglichkeit automatisch zeitgesteuert). Die Verwendung einer einheitlichen Hotline-Nummer für den Erstkontakt mit dem IT-Anwender ist anzubieten Erlauben Anwendungen (z.B. Office-Anwendungen) einen Schutz gegen Makroviren, so ist dieser durch den IT-Dienstleister in der Konfiguration einzurichten. 4.10.3 Schutz vor Aktiven Inhalten Schadensprogrammen, die sich in dynamisch geladenen Programmteilen z.B. beim Laden von Webseiten verbergen, muss mit darauf spezialisierten Content-Scannern begegnet werden. Diese müssen in der Lage sein, Active Contents wie Java, ActiveX, JavaScript oder Jscript zu kontrollieren oder zumindest zu blockieren. Es gelten die Basismaßnahmen zur Abwehr von Schadensprogrammen ( Kapitel 4.10.1 Basismaßnahmen ). Die Nutzung von Aktiven Inhalten im Rahmen von frei gegebenen Netzdiensten (z.B. PDF, Adobe Flash) ist wegen der damit verbundenen hohen Sicherheitsrisiken jeweils jährlich einer Sicherheitsanalyse zu unterziehen und dem Information Security Officer vorzulegen. Ermittelt die Sicherheitsanalyse neu Mindeststandards IV-Dienstleister Seite 27 Information Security Policy der enviaM Blatt 28 - 46 Ausgabe 01.05.2012 Version 5.8 aufgetretene behandlungspflichtige Risiken, ist eine Entscheidung zur Nutzung der identifizierten risikobehafteten Aktiven Inhalte durch den Information Security Officer herbeizuführen. Bei einer Freigabe von Active Contents sind folgende Richtlinien zu beachten: Die allgemeine Nutzung von ActiveX ist am jeweiligen Netzeingang (Internet, Intranet) oder durch eine zentral vorgegebene Clientkonfiguration zu blockieren. Nur in begründeten und dokumentierten Ausnahmefällen und bei zusätzlichen Schutzmaßnahmen (z.B. Einschränken der Zugriffe nur auf bestimmte vertrauenswürdige Ziele; Vorliegen von signierten Controls) kann eine begrenzte Freigabe erfolgen. Java und JavaScript/Jscript sind durch hierauf spezialisierte Scanner zu kontrollieren. Bei Vorliegen schädigender Inhalte sind diese vom Scanner sofort zu eliminieren. Webbrowser und deren Komponenten sind wegen ihrer hohen Gefährdung durch Angriffe über manipulierte Active Contents bzgl. Sicherheitsupdates immer auf dem aktuellsten Stand zu halten. Werden bestehende Sicherheitslücken eines Webbrowsers durch den Anbieter nicht mehr umgehend behoben bzw. in verifizierter Form zur Verfügung gestellt, so ist auf eine aktuelle Version des Webbrowsers zu wechseln. Diese ist jedoch vor der Freigabe einem Review (anzustoßen durch den IT-Bereich) zu unterziehen. 4.11 Allgemeine Regularien 4.11.1 Fernbetreuung / Fernwartung Das Need-to-know-Prinzip beim Fernzugriff / -wartung ist zu wahren. Insbesondere bei: Schaltung von Leitungen Erteilung von Benutzerrechten Zugriff auf Daten Zur Absicherung der vertraulichen Kommunikation und Authentisierung ist der Einsatz kryptografischer Methoden vorgeschrieben. Beim Wartungszugang zu Systemen, bei denen potenziell Zugang zu schutzbedürftigen Daten besteht, ist die Benutzung eines verschlüsselten Zugangs zu empfehlen. Es sollte ein Warnhinweis konfiguriert werden, welcher beim Zugriff auf einen Server oder ein Netzwerkelement angezeigt wird. Der Warnhinweise soll deutlich machen, dass der Zugriff auf dieses Gerät nur autorisierten Benutzern gestattet ist und Zuwiderhandlungen strafrechtliche Konsequenzen nach sich ziehen können. Die Informationen in diesem Text sollten einem potenziellen Angreifer keine detaillierten Informationen über den Gerätetyp und eingesetzte Software bereitstellen, da ansonsten allgemein bekannte Schwachstellen des spezifischen Gerätes leicht ausgenutzt werden können. Für Fernwartungsvorgänge ist eine starke Authentisierung ( Glossar) vorzusehen. Fernbetreuung und -wartung darf im Regelfall nur unter Mitwirkung des zuständigen Mitarbeiters erfolgen. Wenn dies technisch machbar ist, muss der Fernzugang so konfiguriert werden, dass keine Möglichkeit besteht, schutzbedürftige Daten, insbesondere personenbezogene Daten, einzusehen, zu ändern, zu löschen oder zu kopieren. Ist es technisch möglich, Netzwerkdienste oder andere IT-Systeme durch z.B. Browsing direkt oder von dem zu wartendem IT-System zu erkunden, so muss dies genau kontrolliert werden. Der Auftragnehmer muss den Nichtzugriff auf diese Daten vertraglich bestätigen und den Nachweis führen, dass seine Mitarbeiter auf das Datengeheimnis nach § 5 BDSG verpflichtet sind. Alle Aktivitäten sind - wenn möglich - zu protokollieren und regelmäßig zu kontrollieren. Mindeststandards IV-Dienstleister Seite 28 Information Security Policy der enviaM Blatt 29 - 46 Ausgabe 01.05.2012 Version 5.8 Die technischen Details zu den Regelungen zur Fernbetreuung und Fernwartungszugängen sind festzulegen, so dass ein ordnungsgemäßer Betrieb sichergestellt ist. 4.11.2 PC von Externen Externe PC dürfen grundsätzlich nicht an Rechner und an Netze angeschlossen werden. Ausnahmen sind über den Information Security Officer der enviaM zu genehmigen Kapitel 5.3 Behandlung von Ausnahmen. Wird ein externer PC an ein LAN angeschlossen, so muss dieser den gleichen Regelungen unterliegen, wie ein normaler Mitarbeiter-PC. Der Bereitsteller / Betreiber eines solchen PC ist ebenfalls auf Geheimhaltung und auf die Einhaltung der anzuwendenden gesetzlichen Vorgaben ( Kapitel 5.14 Umgang mit personenbezogenen Daten) sowie auf den Inhalt der vorliegenden Richtlinie zu verpflichten. Vom IT-Dienstleister ist ein geeignetes Verfahren bereitzustellen, das den Schutz des Netzes der enviaM beim Anschluss fremder PCs sicherstellt. Dies kann z.B. darin bestehen, dass der Anschluss in einer Quarantänezone erfolgt oder zunächst eine Sicherheitsprüfung des PCs vorgenommen wird. 4.11.3 Sicherung von mobilen IT-Komponenten wie z.B. Notebooks Alle mobilen IT-Komponenten (minimal managed oder managed) wie z.B. Notebook, Smartphone sind mit einer starken Verschlüsselungslösung für die darauf abgespeicherten Daten zum Schutz bzgl. unberechtigtem Zugang und Vertraulichkeit auszustatten. Für Desktopsysteme ist dies ebenfalls vorzusehen, wenn diese außerhalb der zugangsgeschützten Räume der Gesellschaft betrieben und schutzbedürftige Daten auf diesen Rechnern verarbeitet werden. Hierbei ist eine transparente, vom Benutzer nicht zu beeinflussende Festplattenverschlüsselung einzusetzen. Dem Anwender ist das Merkblatt ( Kapitel Fehler! Verweisquelle konnte nicht gefunden werden. Fehler! Verweisquelle konnte nicht gefunden werden. ) bei der Auslieferung von mobilen Geräten ( Glossar) auszuhändigen. Der IT-Dienstleister hat einen Nachweis zu führen, dass der Anwender dieses Merkblatt erhalten hat. Der IT-Dienstleister hat einen Prozess gegenüber dem Kunden zu etablieren, der es ermöglicht, nach einer Verlustmeldung des Kunden, umgehend Dienste, die einen Zugriff auf Unternehmensdaten mittels des mobilen Endgerätes ermöglichen (z.B. E-Mail) zu deaktivieren und ggf. Daten, die lokal auf der mobilen IT-Komponente gespeichert sind, zu löschen. Der Anschluss von mobilen enviaM IT-Komponenten an nicht der Information Security Policy unterliegenden Netzwerken ist nicht gestattet. Ausnahmen regelt der IT-Bereich Kapitel 5.3 Behandlung von Ausnahmen. Für diesen Fall sind vom IT-Dienstleister zusätzliche Sicherheitsmaßnahmen zum Schutz der enviaM IT-Komponente im fremden Netz einzurichten (z.B. Aktualisierung des Virenscanners ohne Verbindung zum enviaM-Netz, Personal Firewall zum Schutz gegen Verbindungen aus dem Fremdnetz). Darüber hinaus ist ein geeignetes Verfahren - zum Ausschluss einer Fremdeinwirkung - für den Wiederanschluss an das Netz der enviaM vorzusehen. Die IT-Komponenten sind wenn technisch möglich so zu konfigurieren, dass durch Anschluss von Datenträgern (z.B. Speicher-Sticks ( Glossar) über die USB-Schnittstelle ( Glossar)) keine automatische Ausführung von Skripten oder Programmen stattfindet (Unterbindung der Autostart-Funktion). 4.11.4 Datenträger 4.11.4.1 Aufbewahrung von Datenträgern Mobile Datenträger sind verschlossen aufzubewahren. Dies kann in einem abgeschlossenen Schrank, Schreibtisch oder Raum erfolgen. Dabei sind Originaldatenträger und Datensicherungen schutzbedürftiger Dateien nach Möglichkeit an einem feuerfesten gesicherten Ort zu lagern. Mindeststandards IV-Dienstleister Seite 29 Information Security Policy der enviaM Blatt 30 - 46 Ausgabe 01.05.2012 Version 5.8 4.11.4.2 Vernichtung von Datenträgern Unverschlüsselte schutzbedürftige Daten sind vor Ort beim Kunden falls technisch noch möglich - mit einer sicheren Löschmethode ( Glossar) vom Datenträger zu entfernen. Vor Vernichtung von Datenträgern (z.B. bei einem Geräteaustausch) ist der Kunde nach dem Vorhandensein von unverschlüsselten schutzbedürftigen Daten zu befragen. Beim Austausch von Datenträgern sind die Unterauftragnehmer durch Verträge zur physischen Vernichtung der Daten und ggf. anschließenden Entsorgung der nicht mehr benötigten Datenträger zu verpflichten. Hierbei ist der Unterauftragnehmer insbesondere zur vertraulichen Handhabung der ggf. noch auf den Datenträgern vorhandenen Daten zu verpflichten (Verbot der Anfertigung von Kopien, Entsorgung der Datenträger ohne jegliche Möglichkeit der Datenwiederherstellung, etc.). Die Vertrauenswürdigkeit eines Unterauftragnehmers ist vom beauftragenden IT-Dienstleister zu überprüfen. 4.11.5 Reparatur Falls eine Reparatur von physischen IT-Komponenten nur durch Externe erfolgen kann, muss das Wartungspersonal beaufsichtigt werden, sofern davon Datenträger mit unverschlüsselten schutzbedürftigen Daten betroffen sind. Defekte Geräte und Festplatten mit unverschlüsselten schutzbedürftigen Daten dürfen nur über Einschaltung des IT-Dienstleisters oder des Information Security Officers zur Reparatur nach außen gegeben werden. Bei unverschlüsselten schutzbedürftigen Daten wird der Datenträger ausgebaut, bevor das defekte Gerät das Gebäude verlässt. 4.11.6 Konfiguration und Betrieb des Webbrowsers für das Internet Als Webbrowser für das Internet darf nur der standardisierte Webbrowser verwendet werden (zu Ausnahmen Kapitel 5.2 Behandlung von Ausnahmen). Es ist über geeignete Maßnahmen sicherzustellen, dass der Anwender keine weitere Internet-Zugangssoftware auf dem Endsystem installieren kann. Zur Durchsetzung einer enviaM einheitlichen Policy bei den Sicherheitseinstellungen des InternetBrowsers ist der Einsatz von zentral vorgegebenen Konfigurationseinstellungen notwendig (siehe auch Technische Ergänzung zur Information Security Policy - Konfigurationsvorgaben, Kapitel 2.1). Diese sind so anzulegen, dass sie vom Anwender nicht geändert werden können. Die in der Zone der vertrauenswürdigen Websites eingetragenen Webseiten sind zentral vorzugeben. Da bei allen Webinhalten (auch denen der extern zugänglichen Webserver der enviaM) grundsätzlich von einer möglichen Kompromittierung ausgegangen werden muss, darf der Anwender keine Möglichkeit haben, eigenmächtig Webseiten als vertrauenswürdig zu kennzeichnen. Die Verwendung von Browser-Erweiterungen (u.a. Plug-Ins) ist anzulehnen an die Praxis zur Verwendung von standardisierter Software. So sind solche Erweiterungen im Normalfall erst nach Aufnahme in dem IT-Dienstleister und dem Auftraggeber vereinbarten IT-Warenkorb zu verwenden. Unter Einhaltung entsprechender Vorsichtsmaßnahmen, wie z.B. Virencheck und Austesten, ist der Download ( Glossar) von Patches und Updates durch den IT-Dienstleister erlaubt, auch wenn dazu im Einzelfall eine von den Standardeinstellungen des Browsers abweichende Konfiguration erforderlich ist. Diese Patches und Updates sind zeitnah zu installieren. Es ist sicherzustellen, dass alle Endsysteme (insbesondere Browser und ggf. verwendete Plug-Ins) mit den jeweils aktuellen Versionen und Patches versorgt werden. Da viele Sicherheitsprobleme bereits vor der Verfügbarkeit eines Patches bekannt werden, sind die einschlägigen Webseiten und Mailinglisten auf das bekannt werden neuer Schwachstellen in den eingesetzten Komponenten zu überwachen. Es ist sicherzustellen, dass Konfigurationsänderungen, die die erfolgreiche Ausnutzung einer noch nicht durch den Hersteller behobenen Schwachstelle verhindern, zeitnah umgesetzt werden können. Bei Nutzung von zentralen Content-Scannern für aktive Inhalte wie Java und JavaScript/Jscript können diese für die Internet-Zone freigegeben werden. Erfolgt keine Untersuchung aktiver Inhalte auf SchadMindeststandards IV-Dienstleister Seite 30 Information Security Policy der enviaM Blatt 31 - 46 Ausgabe 01.05.2012 Version 5.8 funktionen ist deren Nutzung zu unterbinden (am Netzeingang oder am Endsystem). Die Nutzung von ActiveX ist über eine zentral vorgegebene Konfiguration zu unterbinden. Ggf. können bestimmte ActiveX Controls (z.B. Adobe Acrobat Reader, Macromedia Flash) zur Nutzung freigegeben werden, allerdings nur unter der Maßgabe, dass die so geöffneten Dokumente über einen zentralen oder lokalen Content-Scanner auf bösartige Inhalte hin überprüft werden. Werden ActiveX Controls zur Ausführung zugelassen, so ist sicherzustellen, dass beim Auftreten von Sicherheitsproblemen in diesen Controls unverzüglich aktualisierte Versionen installiert werden können. Ist dies nicht möglich, so sind die jeweiligen Controls zu sperren. Dateidownloads sind vor der Auslieferung an den Arbeitsplatz zentral und lokal auf Schadensprogramme zu überprüfen. Durch die lokale Prüfung wird sichergestellt, dass auch Daten, die über verschlüsselte Verbindungen (HTTPS) übertragen wurden, untersucht werden können. 4.11.7 Konfiguration und Betrieb des Webbrowsers im Intranet Grundsätzlich gelten bei der Nutzung des Webbrowsers in Intranet die gleichen Regularien wie für das Internet ( Kapitel 4.11.6 Konfiguration und Betrieb des Webbrowsers für das Internet). Zusätzlich gilt: Werden auf Intranet-Webseiten selbst entwickelte ActiveX Controls oder Java Applets verwendet, müssen diese mit einem vom Browser als vertrauenswürdig eingestuften Zertifikat signiert werden. Die serverseitige Adressvergabe für die Intranet-Server ist langfristig zu planen, da jegliche Modifikation mit Einstellungsarbeiten an den eingesetzten Clients einhergeht. Dies ist wegen des unterliegenden Mengengerüsts mit evtl. hohem organisatorischem und somit auch finanziellem Aufwand verbunden. Die Zone für vertrauenswürdige Seiten des Browsers enthält die Intranet-Server, die im Globalen enviaM Netzwerk GLEN zur Verfügung gestellt werden. Stellt ein Intranet-Server sichere HTML-Seiten zur Verfügung (https), so ist der Server ebenfalls unter der https-Adressierung einzutragen. Zur Entwicklung von Web-basierten Anwendungen siehe Kapitel 4.5 grammentwicklung, konfiguration, Installation und Wartung . Richtlinien zur sicheren Pro- 4.11.8 Sicherheit der Systemdokumentation Die Einstufung des Schutzbedarfs für die Systemdokumentation ist zu prüfen und entsprechend festzulegen. Entsprechend des festgelegten Schutzbedarfs der Systemdokumentation ist diese zu schützen. 4.11.9 Überwachung Die Überwachung der Systemnutzung liegt in der individuellen Verantwortung des IT-Dienstleisters. 4.12 Einsatz kryptografischer Techniken 4.12.1 Grundsätze Der Einsatz von kryptografischen Methoden dient folgenden Zwecken: Wahrung der Vertraulichkeit durch Verschlüsselung Sicherstellung der Integrität der Daten und Authentizität des Absenders durch Signatur Authentisierung eines Zugreifenden Verbindlichkeit (Nichtabstreitbarkeit) Kryptografische Methoden sind immer dann anzuwenden, wenn die Sicherheit der Daten oder Kommunikation anderweitig nicht gewährleistet ist. Beispiele hierfür sind die Übertragung schutzbedürftiger Daten über nicht vertrauenswürdige Netze, der Zugriff auf schutzbedürftige Ressourcen von externer Stelle usw. Für den Einsatz von kryptografischen Methoden in der enviaM Gruppe gelten folgende Grundsätze: Es dürfen nur Kryptoalgorithmen und -protokolle angewendet werden, die nach aktuellem Stand der Technik als sicher gelten. Dabei sind möglichst standardisierte und offen gelegte AlgoMindeststandards IV-Dienstleister Seite 31 Information Security Policy der enviaM Blatt 32 - 46 Ausgabe 01.05.2012 Version 5.8 rithmen einzusetzen. Die Verwendung von eigenen bzw. nicht allgemein anerkannten Kryptoalgorithmen ist nicht zulässig. Neben der Güte des Kryptoalgorithmus bestimmt die Länge des verwendeten Schlüssels die Stärke der kryptografischen Methode. Auch hier sind allgemein anerkannte Mindestlängen der Schlüssel einzusetzen, um eine nach aktuellem Stand der Technik angemessene Sicherheit zu erzielen. Der für IT-Sicherheit zuständige Bereich pflegt eine Übersicht über die nach aktuellem Stand der Technik ausreichend sicheren Kryptoalgorithmen (siehe Technische Ergänzung zur Information Security Policy Konfigurationsvorgaben , Kapitel 2.4). Diese werden als starke Kryptoalgorithmen bzw. starke Verschlüsselung bezeichnet. Dem Kunden sind vom IT-Dienstleister die besonderen Handhabungsbedingungen beim Einsatz von starker Kryptographie, insbesondere bei starker Authentisierung mitzuteilen. Hierzu gelten die folgenden Grundsätze: Immer getrennte Aufbewahrung der mit dem Besitz verbundenen IT-Komponente von der ITKomponente mit der z.B. ein Netzwerkzugang vorgenommen wird. Handhabung der Wissenskomponente wie Kennwörter ( Kapitel 3.1 Kennwörter und Zugriffsschutz ). Ausnahmen: Das Kennwort muss mindestens vier Zeichen lang sein und muss - falls technisch möglich spätestens nach 180 Tagen gewechselt werden. Der IT-Dienstleister darf bei Implementierung von Kryptoalgorithmen nur die dort aufgeführten Algorithmen und Mindestschlüssellängen einsetzen. Ausnahmen sind nur in Abstimmung mit dem IT-Bereich zulässig. Ist der Einsatz starker Kryptoalgorithmen aufgrund von rechtlichen Rahmenbedingungen nicht zulässig bzw. sind dazu spezielle Genehmigungen erforderlich, weist der IT-Dienstleister die enviaM darauf hin. Fordert die Information Security Policy in einem Bereich zwingend den Einsatz von starken kryptografischen Methoden und ist dieser nachweisbar aus technischen oder rechtlichen Gründen nicht möglich, so darf keine Nutzung der vorgesehenen Dienstleistung erfolgen. Ausnahmen davon dürfen vom IT-Bereich nur zugelassen und vom IT-Dienstleister umgesetzt werden, wenn die Sicherheit anderer Gesellschaften der enviaM Gruppe, Gesellschaften des RWE Konzerns oder übergeordneter IT-Ressourcen nicht gefährdet ist. Der IT-Dienstleister ist aufgefordert, bei der Konzeption von entsprechenden Anwendungen die Vorgaben zur PKI-Infrastruktur, Zertifikatsgestaltung, etc. aus den Dokumenten zur RWE Basis PKI ( Glossar) einzuhalten. Die Auswahl von Kryptoprodukten (siehe auch Einsatzfelder für Kryptoprodukte) ist unter dem Aspekt der operativen Nutzbarkeit im RWE Basis PKI-Umfeld entsprechend vorzunehmen, so dass diese Produkte einheitlich auf die Basis-Komponenten wie z.B. Smart Card oder Software-PSE zurückgreifen können. Die aktuellen Dokumente zur RWE Basis PKI werden nach berechtigter Anfrage über das für den IT-Dienstleister zuständigen Bereiches IT zur Verfügung gestellt. 4.12.2 Anforderungen an die Bereitstellung von kryptografischen Schlüsseln Beim Einsatz von kryptografischen Methoden kommt der Behandlung von Schlüsseln eine wichtige Bedeutung zu. Sofern die jeweilige Anwendung nicht auf die Infrastruktur der RWE Basis PKI zurückgreift, sind vom ITDienstleister geeignete Verfahren für die Schlüsselgenerierung, -speicherung und -verwaltung sowie die Bereitstellung öffentlicher Schlüssel zu implementieren. Da bei Verlust der Schlüssel erhebliche Konsequenzen und ggf. der Verlust von Daten droht, sind auch Prozesse zum Backup und Recovery von Schlüsseln vorzusehen. Mindeststandards IV-Dienstleister Seite 32 Information Security Policy der enviaM Blatt 33 - 46 Ausgabe 01.05.2012 Version 5.8 Dabei gelten folgende Grundsätze: Schlüssel sind in der Regel zentral zu erzeugen und bereitzustellen. Eine Generierung durch den Benutzer selbst ist nur in speziellen Fällen sinnvoll. Sofern der Schlüssel zur Authentisierung eines Benutzers oder zur Sicherung seiner persönlichen Kommunikation vorgesehen ist, muss sichergestellt sein, dass nur der Benutzer Zugriff auf den Schlüssel erhält und diesen durch ein nur ihm bekanntes Kennwort oder eine PIN schützen kann. Die Wiederherstellung eines derartigen Schlüssels aus dem Backup darf nur im Rahmen eines gesicherten Prozesses möglich sein, der soweit möglich sicherstellt, dass Dritte nicht in Besitz des Schlüssels gelangen können. Der Schlüssel ist nur an den zugeordneten Benutzer auszuliefern. 4.12.3 RWE Basis PKI Die RWE Basis PKI bietet eine konzernweit einheitliche Infrastruktur für die Erzeugung und Verwaltung von asymmetrischem Schlüsselmaterial und X.509 Zertifikaten ( Glossar). Die initiale Zertifikatshierarchie der RWE Basis PKI besteht aus einer Wurzel-Zertifizierungsinstanz (Root Certification Authority, Root-CA), zwei ausgebenden Zertifizierungsinstanzen (Issuing CAs) für Endnutzerzertifikate sowie den Endnutzerzertifikaten. Die beiden Zertifizierungsinstanzen geben Zertifikate mit unterschiedlichem Sicherheitsniveau aus: Zertifikate einer RWE Issuing Certification Authority, deren zugehöriges Schlüsselmaterial in einem sicheren Prozess auf einem Trägermedium mit Kryptocontroller gespeichert und an den Zertifikatsnehmer ausgegeben wird (hohes bis sehr hohes Sicherheitsniveau) Zertifikate einer RWE Issuing Certification Authority, deren Schlüsselmaterial auf einem Trägermedium ohne Kryptocontroller gespeichert und an den Zertifikatsnehmer ausgegeben wird (normales bis hohes Sicherheitsniveau) Das Verwaltungssystem unterstützt konzernweit den PKI Workflow für Beantragung, Personalisierung, Ausgabe und Sperrung von Schlüsselmaterial, Zertifikaten und Trägermedien (Personal Security Environments, PSEs). Das RCD als konzernweit verfügbarer Verzeichnisdienst ist primäre Quelle für die Daten des Zertifikatsnehmers im Zertifikatsprofil im Rahmen der Beantragung und Speicher für Zertifikate und Zertifikatssperrlisten im Rahmen der Veröffentlichung im Intranet der RWE. Beim Einsatz von Kryptoprodukten gemäß der Aufstellung in dem Dokument Technische Ergänzung zur Information Security Policy für die enviaM Konfigurationsvorgaben , Kapitel. 2.4.1, ist festzulegen, welchem Sicherheitsniveau die Zertifikate der RWE Basis PKI entsprechen müssen. Die Kryptoprodukte sollen folgende Überprüfungen durchführen: Das Sicherheitsniveau der Zertifikate durch Validierung der jeweiligen RWE Issuing Certification Authority (d.h. wird für eine Kryptoanwendung zwingend ein hohes Sicherheitsniveau gefordert, dann darf ein Zertifikat der RWE Issuing Certification Authority für Nutzerzertifikate mit normalem Sicherheitsniveau nicht als vertrauenswürdig eingestuft und akzeptiert werden). Die Vertrauenswürdigkeit der Zertifikate entlang der Zertifikatshierarchie bis zum Zertifikat der RWE Root-CA. Die Gültigkeit der Zertifikate durch automatische Überprüfung der zum Zeitpunkt der Überprüfung aktuellen Zertifikatssperrlisten. Mindeststandards IV-Dienstleister Seite 33 Information Security Policy der enviaM Blatt 34 - 46 Ausgabe 01.05.2012 Version 5.8 5 Organisatorische Maßnahmen der Gesellschaften der enviaMGruppe In diesem Abschnitt sind alle organisatorischen Maßnahmen zusammengefasst, die weder eindeutig in die Mindeststandards für den Anwender noch für den IT-Dienstleister eingeordnet werden können. Sie sind dennoch bei der Auftragserfüllung durch den Auftragnehmer zu beachten. 5.1 Einhaltung von gesetzlichen, regulatorischen oder sonstigen relevanten Vorschriften Neben den in dieser IT-Sicherheitsrichtlinie festgelegten Maßnahmen zur Realisierung eines Basisschutzes kann es erforderlich sein - auf Grund von z. B. gesetzlichen, regulatorischen oder sonstigen für enviaM relevanten Anforderungen zusätzliche Maßnahmen zu etablieren. Insbesondere IT-Anwendungen können hiervon betroffen sein: So zum Beispiel Anwendungen, die im Prozess der Bilanzbildung für die enviaM eine Aufgabe wahrnehmen, oder originär digital einfließende oder erzeugte steuerrelevante Daten verarbeiten. Im Nachfolgenden sind einige Grundsätze und Vorschriften (z. B. für Deutschland) aufgeführt, bei denen ggf. im Bereich der IT zusätzliche Maßnahmen zu den in dieser IT-Sicherheitsrichtlinie definierten notwendig sind: Basel II Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBs) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) Bundesdatenschutzgesetz (BDSG) Telemediengesetz (TMG) Telekommunikationsgesetz (TKG) Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz EnWG) Richtlinie Datenaustausch und Mengenbilanzierung (DuM) Datensicherheitsstandard der Payment-Card-Industrie (PCI DSS) 5.2 Rolle und Aufgaben des Bereiches IT Die Rolle und die Aufgaben des Bereiches IT ergeben sich aus der IT-Strategie des RWE-Konzerns. Bei Ausnahmeregelungen, die in dieser Information Security Policy angegeben sind, ist in der Regel der ITBereich hinzuzuziehen. Des Weiteren übernimmt der IT-Bereich eine koordinierende Funktion bei der strategischen Ausrichtung und Umsetzung der Information Security Policy für die enviaM durch den IT-Dienstleister. Zwischen dem IT-Dienstleister und dem IT-Bereich sind die zu erbringenden Dienstleistungen in Bezug auf die IT-Sicherheit in Form einer definierten Auftragserteilung oder einer Servicevereinbarung festzulegen. 5.3 Behandlung von Ausnahmen Bei Ausnahmeregelungen, die in dieser Information Security Policy angegeben sind, ist der IT-Bereich der enviaM hinzuzuziehen. Ausnahmen, die der IT-Bereich für die enviaM Gruppe entscheidet: Freigabe von Browserzusätzen oder Internetzugriffssoftware Organisatorische Maßnahmen der Gesellschaften Seite 34 Information Security Policy der enviaM Blatt 35 - 46 Ausgabe 01.05.2012 Version 5.8 Freigabe von weiteren Protokollen, die zur Kommunikation an den verschiedenen Netzwerkgrenzen eingesetzt werden dürfen Ausnahmen, die der IT-Bereich einer Gesellschaft der regelt und ggf. zu Regularien die Information Security Policy eingebracht werden: ISDN-, Modeminstallationen /-betrieb mit parallelem Zugang zum enviaM Netzwerk Freigabe nicht standardisierter Browserzusätze oder Internetzugriffssoftware in Einzelfällen Freigabe von Kryptoalgorithmen und Mindestschlüssellängen, die nicht den Vorgaben der Information Security Policy entsprechen. Freigabe der Nutzung von Instant Messaging nur unter Beachtung der dafür vorgesehenen Schutzmaßnahmen ( Technische Ergänzung zur Information Security Policy-Kapitel 3.6) und mit dem Hinweis auf Anwenderrichtlinien: Verbot der Freigabe von ganzen Datenbereichen (file sharing) Verbot des Imports von Programmen Hinweise zu Verhaltensregeln und Nutzungsrisiken Vorgegebene Trennung von SAP-Systemen in Test-, Qualitätssicherungs- und Produktionssystem wird nicht vorgenommen. Ausnahmen, die der IT-Bereich einer Gesellschaft regelt: Entscheidung gegenüber dem IT-Dienstleister, ob und bei welchen IT-Komponenten ein BootKennwort einzurichten ist. Soweit der IT-Bereich auf das Boot-Kennwort verzichtet, verzichtet, hat es dem IT-Dienstleister die beiden folgenden Alternativmaßnahmen bindend vorzuschreiben: a) Unterbinden des Boot-Vorgangs von Diskette oder anderen bootfähigen Datenträgern durch eine passwortgeschützte BIOS-Einstellung und b) keine parallele Installation mehrerer Betriebssysteme. Werden auf mobilen PCs (z.B. Notebook) Verschlüsselungsprodukte (z.B. E-Mail- oder Verzeichnisverschlüsselung) eingesetzt oder schutzbedürftige Informationen ("Vertraulich" oder "Streng vertraulich ) verarbeitet, so ist in jedem Fall die Pre-Boot-Authentisierung zu aktivieren. Ist eine Nutzung der Pre-Boot-Authentifizierung technisch nicht oder nur mit erheblichem Aufwand möglich (z.B. Touchpads im Workforce Einsatz) so kann nach erfolgter Risikoanalyse und ggf. Einsatz alternativer Maßnahmen von der Aktivierung einer Preboot-Authentifizierung abgesehen werden. Es sind jährlich der Wegfall der Pre-Boot-Authentiserung als auch in diesem Kontext durchgeführte Risikoanalysen auf Validität zu überprüfen. Abweichungen zur Durchführung des On-Demand-Scans auf dem Anwender-PC Direkter Internet- oder Onlinezugang, ohne gleichzeitige Anbindung an das Netzwerk der enviaM Freigabe von Benutzerkonten, die von mehr als einer Person genutzt werden ( Zugangsberechtigung) Kapitel 4.3.1 Anschluss von PCs externer Mitarbeiter an das LAN der enviaM ( Kapitel 4.8.2). In diesem Fall ist der IT-Dienstleister mit der Einrichtung von zusätzlichen Sicherheitsmaßnahmen zu beauftragen ( Kapitel 4.8.2 PC von Externen) Organisatorische Maßnahmen der Gesellschaften Seite 35 Information Security Policy der enviaM Blatt 36 - 46 Ausgabe 01.05.2012 Version 5.8 Freischaltung einzelner vertrauenswürdiger Webseiten für ActiveX ( Technische Ergänzung zur Information Security Policy, Kapitel 2.2.3) (eine sicherheitstechnische Bewertung ist vorab durchzuführen). Freigabe von Ports an der Firewall Änderungen des Kennwortänderungsintervalls Festlegungen der in der Zone der vertrauenswürdigen Websites eingetragenen Webseiten. Betrieb von Routern und Bridges ohne physischen Zugangsschutz ( gangsschutz) Kap. 4.2 Physischer Zu- Nutzung von betrieblichen mobilen IT-Komponenten in nicht der Information Security Policy unterliegenden Netzwerken. In diesem Fall ist der IT-Dienstleister mit der Einrichtung von zusätzlichen Sicherheitsmaßnahmen zu beauftragen ( Kapitel 4.11.3 Sicherung von mobilen ITKomponenten wie z.B. Notebooks) Vergabe von lokalen Administrationsrechten auf Clientsystemen an Anwender ( Zugangsberechtigung / Kapitel 4.3.2 Zugriffsrechte) 5.4 Kapitel 4.3.1 Änderungsprozess / Erstellung von neuen IT-Anwendungen Für jede neu zu erstellende IT-Anwendung oder bei Änderung einer IT-Anwendung ist vor Festlegung eines Pflichten- oder Lastenheftes eine Schutzbedarfsfeststellung durchzuführen. Die Ermittlung des Schutzbedarfs muss jedoch spätestens vor der Beauftragung zur Implementierung der Änderungen vorliegen. Ergibt sich aus dieser Schutzbedarfsfeststellung ein hoher bis sehr hoher Schutzbedarf, so ist eine Sicherheitsanalyse durchzuführen und entsprechend ergänzende Maßnahmen in das Pflichtenbzw. Lastenheft mit aufzunehmen. 5.5 5.5.1 Handhabung von Zugriffsberechtigungen Überprüfung von Zugangs-/Zugriffsberechtigungen Der IT-Dienstleister ist verpflichtet, einmal jährlich die Benutzerberechtigungen aufzulisten und dem Datenverantwortlichen zur Prüfung vorzulegen. Der IT-Bereich hat die Aufgabe, den Prozess zur Überprüfung der Benutzerberechtigungen in den Fachabteilungen zu monitoren und zu dokumentieren. 5.5.2 Berechtigungen und Profile Für Client-Server-Systeme oder bei Systemen in denen für das Geschäft wertvolle Informationen verarbeitet werden (hoch oder sehr hoch schutzbedürftige Informationen) ist ein Benutzerberechtigungskonzept zu erstellen. In dem Berechtigungskonzept für ein System sind alle erforderlichen Regelungen für das Management der Berechtigungen, für den Zugriff auf das System sowie die Bestandteile (Rollen etc.) nachvollziehbar zu dokumentieren. Ein Berechtigungskonzept muss neben der ggf. relevanten Einhaltung gesetzlicher Anforderungen, insbesondere dem Need-to-know-Prinzip sowie dem Schutzbedarf der in diesem System gespeicherten Informationen, Rechnung tragen. Berechtigungskonzepte beinhalten die Zuständigkeiten und Dateneigentümerschaften, die im Allgemeinen nicht personenspezifisch verfasst werden, sondern auf organisatorische Rollen referenzieren. Diese Rollen werden von Personen in einem Unternehmen wahrgenommen (z.B. Beteiligungscontroller). Des Weiteren ist das Verwalten dieser Berechtigungsrollen ein weiterer integraler Bestandteil des Berechtigungskonzeptes. Analog werden die einzelnen Rechte für den Zugriff auf die Informationen in einem System nicht personenspezifisch zugeordnet. Vielmehr werden im Allgemeinen Zugriffsberechtigungen auf ein System Organisatorische Maßnahmen der Gesellschaften Seite 36 Information Security Policy der enviaM Blatt 37 - 46 Ausgabe 01.05.2012 Version 5.8 zu logisch sinnvollen, den Aufgaben entsprechend organisatorischen Rollen bzw. Berechtigungsrollen zusammengefasst. Änderungen an Benutzerstammsätzen sind vom Dateneigentümer (oder in seinem Auftrag) zu protokollieren. 5.5.3 Funktionstrennung Die Grundsätze der Funktionstrennung sind so abzubilden, wie sie für die Abwicklung der zugrunde liegenden Geschäftsprozesse erforderlich sind. Bei Ausnahmen der Funktionstrennung ist eine starke Authentifizierung der Anwender notwendig. 5.5.4 Vergabe von Zugangsberechtigungen Grundlegend sind in den Berechtigungsvergabeprozessen / strukturen soweit technisch und organisatorisch möglich - Vorkehrungen zu treffen, um die nachfolgenden Aspekte sachgerecht abzubilden. Es ist zwischen Änderungs- und Anzeigeberechtigungen zu differenzieren. Grundlegend darf niemand seine eigene Tätigkeit alleine kontrollieren, niemand seine eigenen Arbeitsergebnisse in einer späteren Stufe bearbeiten (Vertuschung vorausgegangener Manipulationen). Beispiele zwingend voneinander zu trennender Berechtigungen sind: Einkauf/Verkauf, Debitoren/Kreditoren, Kasse/Güter, Kasse/Buchführung. Ausnahmen sind zu begründen und zu dokumentieren, außerdem ist in solchen Fällen eine starke Authentifizierung der Anwender notwendig. Es ist sicherzustellen, dass Anwender sich nicht selbst höhere Berechtigungen vergeben können. Administratoren dürfen nicht gleichzeitig Anwender sein (Ausnahmen sind vom Datenanforderer zu begründen und vom Dateneigentümer freizugeben und zu dokumentieren). Änderungen von Profilen sowie deren Freigabe sind vom Dateneigentümer zu protokollieren. Es ist regelmäßig vom Dateneigentümer zu überprüfen, dass die Funktionstrennung eingehalten ist. Die Aufgaben des Dateneigentümers können delegiert werden, dieser muss die ordnungsgemäße Handhabung jedoch zumindest stichprobenhaft überprüfen. Für die Zuordnung und Vergabe von Berechtigungsprofilen zu Benutzerkennungen ist ein manipulationssicheres Verfahren zu verwenden. Die Vorgänge dieses Verfahrens sind zu dokumentieren. Für besonders hohe Berechtigungen ist eine starke Authentifizierung des Anforderers oder das Vier-AugenPrinzip notwendig. Sofern die Vergabe von Berechtigungen und die Definition von Rollen nicht innerhalb einer Gesellschaft erfolgt und ggf. bei einem IT-Dienstleister beauftragt wird, so ist der IT- Dienstleister zusätzlich zu Kapitel 4 zu den oben aufgeführten Regelungen auf Einhaltung zu verpflichten. Der Information Security Officer muss die Ausnahme vor Umsetzung genehmigen und dokumentieren. 5.5.5 Überprüfung von Kennwortrichtlinien Werden Unternehmensdaten so abgespeichert, dass der Zugang oder Zugriff auf diese Informationen nur noch durch das Wissen einer Person (z.B. Kennwortschutz einer Office-Datei) oder durch einen Besitz oder eine Kombination aus den beiden geschützt ist, so ist ein Verfahren einzuführen, dass der Zugang oder Zugriff auf diese Informationen für das Unternehmen in jedem Fall gewahrt bleibt. Bei der Ausarbeitung und In-Kraft-Setzung dieses Verfahrens ist zu prüfen, ob die Mitbestimmungsgremien einzubeziehen sind. In Abstimmung mit dem Betriebsrat ist mindestens einmal pro Jahr die Einhaltung der Kennwortrichtlinien zu überprüfen. Des Weiteren ist ein generelles Verfahren ggf. unter Einbeziehung der Mitbestimmungsgremien erarbeiten, das regelt, wie bei Nichteinhaltung der Kennwortrichtlinien verfahren wird. Organisatorische Maßnahmen der Gesellschaften zu Seite 37 Information Security Policy der enviaM 5.6 Blatt 38 - 46 Ausgabe 01.05.2012 Version 5.8 Regelungen zum Update-Management des beauftragten IT-Dienstleisters Der Information Security Officer der enviaM hat mit dem IT-Dienstleister einen Update-Managementprozess zu vereinbaren. Dieser Prozess muss zum Ziel haben, dass bei veröffentlichten kritischen ITSicherheitslücken ein geregelter Vorgang zur Risikominimierung abgearbeitet wird. 5.7 Regelung zur Nutzung Web-basierter Anwendungen Da bei der Nutzung von Web-basierten Unternehmenszugängen wie z.B. beim E-Mail-Zugang oder Terminal-Server-Zugang (Workplace) grundsätzlich nicht ausgeschlossen werden kann, dass schutzbedürftige Dateien lokal (zwischen-) gespeichert werden können, hat der Information Security Officer der enviaM eine Entscheidung zu treffen, ob generell der Abruf von E-Mail-Anhängen gesperrt und/oder die Einbindung von lokalen Laufwerken unterbunden werden sollen. Die Entscheidung ist zu dokumentieren und entsprechend transparent zu machen. Zudem sind die Regelungen zum Vorgehen beim Zugriff auf Web-basierte Anwendungen (gemäß Technische Ergänzung zur Information Security Policy für die enviaM Punkt 2.4. Zugriff über das Internet (VPN) anzuwenden. 5.8 Schulungs- und Ausbildungsmaßnahmen Für den Auftragnehmer nicht zutreffend. 5.9 IT-Notfallmanagement Für den Auftragnehmer nicht zutreffend. 5.10 Security Incident Reporting Für den Auftragnehmer nicht zutreffend. 5.11 Durchführung von Schutzbedarfsfeststellung und Sicherheitsanalyse Nur für Auftragnehmer, die Sicherheitsanalysen im Auftrag der enviaM erstellen zutreffend. 5.12 Regularien zur Abtrennung eines Konzerngesellschaftsnetzes oder anderer Schutzzonen Besonders sensitive Bereiche im Unternehmensnetz, ggf. auch das gesamte Netz einer Konzerngesellschaft, sind bei Bedarf zusätzlich abzusichern, indem z.B. eine netzwerktechnsiche Absicherung vorgenommen wird. Es ist eine logische netzwerktechnische Trennung vom RCN vorzunehmen, wenn die Vorgaben der ISMS Group Baseline von einer Gesellschaft oder Teilbereichen dieser nicht erfüllt werden. 5.13 Technische Sicherheitsüberprüfungen Auch bei Beachtung aller empfohlenen Sicherheitsmaßnahmen ist niemals von einem lückenlosen Schutz einer IT-Umgebung auszugehen. Fehler in der verwendeten System- oder Anwendungssoftware oder in der Betreuung der verwendeten Komponenten können ebenso die Sicherheit bedrohen wie neue, bisher noch wenig beachtete Angriffsstrategien. Deswegen ist die ständige Überprüfung aller Sicherheitsmaßnahmen unabdingbar, um die Zielsetzung einer sicheren IT-Umgebung zu erreichen. Hierzu sind in unterschiedlichen Zeitintervallen aufeinander abgestimmte Formen der Sicherheitsüberprüfung zu veranlassen: Externe Tests mit Security-Scannern Schwachstellenanalysen mit Security Scannern ergeben ein aktuelles Bild der Sicherheitslage der untersuchten Bereiche und sind für alle externen Netzübergänge (Internet, Dial-In, Festverbindungen) periodisch durchzuführen. An hoch bedrohten Netzübergängen wie dem zum Internet sind mindestens jährlich und zusätzlich bei größeren Änderungen der IT-Umgebung ÜberprüOrganisatorische Maßnahmen der Gesellschaften Seite 38 Information Security Policy der enviaM Blatt 39 - 46 Ausgabe 01.05.2012 Version 5.8 fungen mit Security-Scannern durchzuführen, an allen übrigen Netzübergängen sind auch größere Zeitabstände zwischen den Tests zulässig. Dabei sind bei externen Tests auf Netz- und Systemebene auch Tests auf Anwendungsebene vorzusehen, sofern solche Anwendungen für externe Nutzer angeboten werden. Interne Tests mit Security Scannern Lokale Netze sind ebenfalls periodischen Überprüfungen zu unterziehen, dabei sind mindestens einmal jährlich Tests auf Netz- und Systemebene durchzuführen. Diese Tests schließen grundlegend alle internen Sicherheitskomponenten, wichtige Server und auch exemplarisch ausgewählte Arbeitsplatzsysteme ein. Intern genutzte Techniken, die durch unberechtigten externen Zugriff gefährdet sind (z.B. WLAN), sind zumindest bei ihrer Einführung mit entsprechenden Scannern zu überprüfen. Gezielte Einbruchsversuche durch Penetrations-Tests Penetrations-Tests erweitern den Einsatz von Security-Scannern dahingehend, dass sie nicht nur das Ziel haben Schwachstellen zu suchen, sondern diese auch auszunutzen. Sie werden weitgehend manuell durchgeführt und versuchen durch mehrstufiges Ausnutzen von Schwachstellen widerrechtlichen Zugriff auf Systeme oder geschützte Netzbereiche zu erlangen. PenetrationsTests (im Gegensatz zu voll automatisierten Scan-Tests) sind bei hoch bedrohten externen Systemen (z.B. Webserver) und Netzübergängen (z.B. Internet-DMZ) mindestens einmal jährlich durchzuführen. Auch im internen Netz ist zumindest für hoch schutzbedürftige Systeme und Anwendungen der Einsatz von Penetrations-Tests empfohlen, evtl. zusammen mit Scanner-Tests. Die Verantwortung für die Initiierung von Sicherheitsüberprüfungen liegt beim Information Security Officer. Die Ergebnisse der durchgeführten Sicherheitsüberprüfungen sind dem Auftraggeber mitzuteilen. Der Information Security Officer hat das Recht, die Ergebnisse der Sicherheitsüberprüfungen einzusehen. IT-Dienstleister sind vom Dateneigentümer auf die regelmäßige Durchführung der vorgesehenen Sicherheitsüberprüfungen zu verpflichten. Der IT-Dienstleister gestattet und ermöglicht der beauftragenden Gesellschaft oder einer von dieser beauftragten Gesellschaft, die Einhaltung der für den beauftragten ITDienstleister verbindlichen Richtlinien zu überprüfen 5.14 Umgang mit personenbezogenen Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Den Umgang mit diesen Daten regelt innerhalb von Deutschland das Bundesdatenschutzgesetz (BDSG). In anderen Ländern sind die entsprechend gültigen nationalen Gesetze anzuwenden. Bei einem Versand von personenbezogenen Daten über nationale Grenzen hinweg greift innerhalb der EU-Länder die EU-Datenschutzrichtlinie. Bei anderen Ländern (Nicht EU-Ländern) ist die Übermittlung von personenbezogenen Daten an Auflagen gebunden. In der Regel sind in solchen Fällen entsprechende vertragliche Vereinbarungen zu treffen. Generell ist auf die Einhaltung der anzuwendenden Regelungen und Gesetze sowie der unternehmensintern getroffenen Datenschutzregelungen zu achten. Bereits bei der Entwicklung oder dem Kauf von IT-Anwendungen (ggf. auch bei Standardsoftware) ist sicherzustellen, dass der Datenschutzbeauftragte frühzeitig eingeschaltet wird, wenn mit dieser IT-Anwendung/Software personenbezogene Daten verarbeitet werden. Bei Unklarheiten, ob personenbezogene Daten verarbeitet werden, ist eine Abstimmung mit der für den Datenschutz zuständigen Stelle erforderlich. Für Fragen steht der Datenschutzbeauftragte zur Verfügung. Organisatorische Maßnahmen der Gesellschaften Seite 39 Information Security Policy der enviaM Blatt 40 - 46 Ausgabe 01.05.2012 Version 5.8 5.15 Einsatz von kryptografischen Methoden In einzelnen Bereichen sieht die Information Security Policy den Einsatz von kryptografischen Methoden zur Sicherung vor. Die Gesellschaften sind in diesem Zusammenhang verpflichtet, zu prüfen, ob ein Einsatz rechtlich zulässig ist (insbesondere bei grenzüberschreitendem Einsatz) bzw. ob zunächst spezielle Genehmigungen eingeholt werden müssen. Die Gesellschaft informiert ihren IT-Dienstleister über das Ergebnis dieser Prüfung. Fordert die Information Security Policy in einem Bereich zwingend den Einsatz von starken kryptografischen Methoden und ist dieser aus technischen oder rechtlichen Gründen nicht möglich, so darf keine Nutzung erfolgen. Ausnahmen davon dürfen vom IT-Bereich nur zugelassen und beim IT-Dienstleister angefordert werden, wenn die Sicherheit anderer Gesellschaften oder übergeordneter IT-Ressourcen nicht gefährdet ist. Im RWE-Konzern sind verschiedene Dokumente zur RWE Basis PKI zur konzernweiten einheitlichen Nutzung in Kraft gesetzt worden. Die Gesellschaften sind aufgefordert, bei der Konzeption von entsprechenden Anwendungen diese Standards zu berücksichtigen oder die Nutzung bestehender PKIInfrastrukturanteile einzuplanen. Der Aufbau davon losgelöster PKI s darf nicht erfolgen. Ausnahmen sind über die Konzerngremien zu genehmigen. Organisatorische Maßnahmen der Gesellschaften Seite 40 Information Security Policy der enviaM Blatt 41 - 46 Ausgabe 01.05.2012 Version 5.8 6 Glossar Access Point ACL-Anzeigewerkzeug ActiveX Anwendung Arbeitsplatzrechner Authentifizierung Authentisierung Autorisierung BDSG Betaversion Betriebssystem Bluetooth Booten mobiler ITKomponenten Browser Chipkarte Client Daten Datenträger, mobiler Digitale Signatur DMZ Download Glossar Zugangspunkt für den Aufbau von kabellosen Netzen (WLAN). Der Access Point verbindet die an ihn per Funktechnologie angeschlossenen Endsysteme untereinander. Darüber hinaus stellt er einen Übergang zu kabelgebundenen Netzen bereit. Werkzeug, mit dem die Zugriffsrechte für mehrere Dateien bzw. Verzeichnisse angezeigt werden können. ACL steht für Access Control List aktive Elemente im Internet in Programmiertechnik der Firma Microsoft, die bei Aufruf, z.B. Ansicht einer Webseite, auf einer IT-Komponente (z.B. PC) ausgeführt werden siehe IT-Anwendung Endgerät, das zur Speicherung und Verarbeitung von Daten geeignet ist. Häufig wird Client, System, Personal Computer oder einfach PC auch synonym zu Arbeitsplatzrechner benutzt. Prüfung einer Authentisierung, d.h. Überprüfung der Identität eines Kommunikationspartners Vorlage eines Nachweises zur Identifikation eines Kommunikationspartners Prüfen und Gewähren der Berechtigung eines Kommunikationspartners für bestimmte Operationen, wie zum Beispiel zum Zugriff auf Daten Bundesdatenschutzgesetz Programmversion, die noch nicht alle Tests durchlaufen hat Steuerprogramm auf einem Rechner, das die Hardware des Rechners verwaltet und die Ausführung von Programmen steuert Funktechnologie für kabellose Verbindungen mit kurzer Reichweite. Bluetooth wird insbesondere zur Verbindung von Endgeräten untereinander eingesetzt (Handy, Notebook, PDA, Digital Kamera etc.). Start- / Einschaltvorgang eines Notebooks, eines Handhelds / Personal Digital Assistant (PDA), eines Handy s oder sonstiger aktiver IT-Komponenten auf denen Daten gespeichert oder verarbeitet werden können. Programm zum Darstellen von Daten auf dem Bildschirm, vorzugsweise aus dem Internet Plastikkarte mit einem elektronischen Baustein, der ein persönliches Kennwort, persönliche Schlüssel sowie ggf. Verfahren zur Ver- und Entschlüsselung enthalten kann Client oder Clientsystem siehe Arbeitsplatzrechner Informationen, die mittels IT-Komponenten erstellt, transportiert, gespeichert, verarbeitet oder gelöscht werden Diskette, Magnetband, Magnetooptische Datenträger, CD-ROM, DVD, etc. Technik, um sicherzustellen, dass ein elektronisch übertragenes Dokument nicht verändert wurde und von einem bestimmten Absender stammt Demilitarisierte Zone: Netzwerkbereich zwischen einem zu schützenden Netz und einem oder mehreren anderen Netzen. Typischerweise wird der Netzwerkbereich durch einen inneren und einen äußeren Router und einer dazwischen liegenden Firewall aufgebaut. Kopieren von Daten aus einem anderen Rechner und Abspeichern auf einer ITKomponente Seite 41 Information Security Policy der enviaM Blatt 42 - 46 Ausgabe 01.05.2012 Version 5.8 E-Mail elektronische Post; Versenden von Notizen und Dateien über ein privates oder öffentliches Netz Externes IT-Netz Ein IT-Netzwerk, das die Vorgaben der Information Security Policy nicht erfüllt. Externe Gesellschaft Eine Gesellschaft, die die Vorgaben der Information Security Policy nicht erfüllt. Evtl. betriebene IT-Netze gelten dann auch als externe IT-Netze. Externer Zugriff Externe Zugriffe sind keine internen Zugriffe (s. Interner Zugriff) Festplatte Datenträger im PC, der normalerweise nicht ausgetauscht werden kann Firewall System aus Hard- und Software, das unerlaubte Kommunikation zwischen Netzen verhindert Freeware Programme und Daten, die ohne Lizenz benutzt werden dürfen Hardware alle Teile, aus denen ein Rechner und seine Komponenten gebaut sind Globales enviaM Netzwerk TCP/IP basiertes Unternehmensnetzwerk, zu dem alle angeschlossenen Gesellschaften die Regularien der Information Security Policy erfüllen müssen Hot Spots Bezeichnung für öffentliche kabellose Netze (meist auf WLAN-Technologie basierend), mit denen man sich in de Regel gegen Gebühr verbinden kann. Über das Netz des Hot Spots besteht eine Verbindung zum Internet. Hot Spots werden derzeit an vielen öffentlichen Plätzen aufgebaut, z.B. in Flughäfen oder Hotels. http-Tunneling Zumeist widerrechtliche Nutzung des an der Firewall für Webverkehr freigegebenen Kommunikationskanals für Spiele, Instant Messaging oder Herunterladen von Mediadateien. Identifikation, Feststellung der Identität eines Kommunikationspartners anhand eines einIdentifizierung deutigen Unterscheidungsmerkmals IDS Ein Intrusion Detection System hat die Aufgabe, gerade stattfindende Angriffe zu erkennen und Alarm auszulösen. Typische Positionierung für Kontrollpunkte sind ausgewählte Stellen im Netzwerk und wichtige Zielsysteme. IEEE 802.11 internationaler Standard für den Aufbau von kabellosen Funknetzen (siehe WLAN) Interner Zugriff Bezogen auf das IT-Netz der enviaM. Als interner Zugriff wird bezeichnet: Zugriffe von Mitarbeitern auf IT-Komponenten innerhalb des IT-Netzes der enviaM Zugriffe von Mitarbeitern der enviaM über RAS, Internet oder anderen Zugangsmöglichkeiten auf das IT-Netz der enviaM Automatische Kommunikationsverbindungen (z.B. Server Server) innerhalb eines IT-Netzes der enviaM Internet öffentliches Netz, an dem mittlerweile viele Millionen Rechner angeschlossen sind Internetzugriffssoftware Programme, die Zugriff zum Internet erlauben wie Browser, Dateiübertragungsprogramme (File Transfer Protocol; ftp) usw. Intranet unternehmensinternes Netz, auf das mit denselben Hilfsmitteln zugegriffen wird wie auf das Internet IPS Intrusion Prevention Systeme sind eine Fortentwicklung von IDS und versuchen erkannte Angriffe sofort zu unterbinden. ISDN Integrated Services Digital Network; digitales Leitungsprotokoll zur Sprachund Datenübermittlung Glossar Seite 42 Information Security Policy der enviaM IT-Anwendung IT-Komponenten IT-Netz IT-System JAVA Java-Skript Kennwort Kritische IT-Sicherheitslücke Kryptografie Kryptografischer Tunnel Kryptoserver LAN Lizenz MAC Makrovirus Mobile Datenträger / Mobile Endgeräte Modem Glossar Blatt 43 - 46 Ausgabe 01.05.2012 Version 5.8 Synonym für Programm, welches auf einem Betriebssystem oder (Anwendungs-)Server ausgeführt werden kann. Zu den IT-Komponenten gehören: Arbeitsplatzrechner (stationäre und mobile), Workstation, Bereichs- und Unternehmensrechner (Server) Handheld / Personal Digital Assistant (PDA), Handy, Smart Card oder sonstige aktive IT-Komponente auf der Daten gespeichert oder verarbeitet werden können. Periphere Geräte wie Drucker, Plotter, Scanner, Datenträgerlaufwerke u.a. Datenträger Programme Kommunikationsverbindungen Alle Formen von IT-Netzen bei denen IT-Systeme mittels Übertragungsmedien wie z.B. Kupferkabel zwecks Datenkommunikation untereinander verbunden sind. Ein IT-System bietet die Umgebung für den Ablauf einer IT-Anwendung und/oder zur Speicherung von Daten. Ein IT-System kann sich aus einer oder mehreren IT-Komponenten zusammensetzen. Programmiersprache, die bevorzugt im Internet verwendet wird aktive Elemente im Internet, eingebettet in eine Webseite, die bei Ansicht auf dem eigenen PC ausgeführt werden persönlich zugeordnet, ermöglicht den Zugang und die Nutzung von Rechnern und Programmen IT-Sicherheitslücke in einer IT-Komponente, bei der ein Angreifer einen weitgehenden, nicht autorisierten Zugriff auf diese IT-Komponente erlangen kann (z.B. Rechte eines Administrators) oder bei der Masseninfektionen (z.B. durch Schadprogramme) wahrscheinlich sind. Wissenschaft von der Ver- und Entschlüsselung; liefert mathematische Verfahren, um mittels Zeichenketten (Schlüssel) lesbare Daten für nicht Berechtigte unlesbar zu machen Verbindung von zwei Punkten, zwischen denen die Verbindung durch eine starke Authentisierung und/oder Verschlüsselung der Datenübertragung abgesichert ist Server, der das eine Ende eines kryptografischen Tunnels aufbauen kann Local Area Network; lokales Netz, mit dem PCs verbunden werden erworbene Berechtigung zur Nutzung eines Programms Media Access Control; kann auf unterster Netzwerkebene zur Zugangssteuerung genutzt werden. Jede Netzwerkkarte besitzt eine weltweit eindeutige MAC-Adresse Schadprogramm das z.B. beim Öffnen von Dokumenten ausgeführt wird und sich darüber verbreitet oder ggf. Schaden anrichtet (siehe auch Virus). Portable IT-Komponenten zur Speicherung oder Verarbeitung von Daten wie z.B. Notebook, PDA, Blackberry, Handy oder Speicher-Stick. Anschlussgerät, um Rechner über eine Telefonleitung miteinander zu verbinden Seite 43 Information Security Policy der enviaM Blatt 44 - 46 Ausgabe 01.05.2012 Version 5.8 Öffentliches Netz Offenes Netzwerk, das prinzipiell von jedem genutzt werden kann. Ein Beispiel für ein öffentliches Netz ist das Internet oder ein Wählnetz eines Telekommunikationsanbieters On-Access-Virenscanner Permanent mitlaufender Virenscanner, der bei Dateizugriff (z.B. von einer Diskette, Festplatte oder einer in einer Mail angehängten Datei) automatisch eine Virenüberprüfung durchführt On-Demand-Virenscanner Automatisch oder manuell gestarteter Virenscan auf einem vorgegebenen Speichermedium (Diskette, Festplatte, etc.). Ein On-Demand-Virenscanner kann mehr Viren erkennen als ein On-Access-Virenscanner. Pattern Virensignaturdatei, als Basis zur Erkennung der jeweils aktuellen Viren. PC / Personal Computer Siehe unter Arbeitsplatzrechner PDA Personal Digital Assistant (auch: Handheld). Bezeichnet Minicomputer, die an das Unternehmensnetzwerk nur über die Verbindung an andere Rechner (PC's oder Notebooks) angeschlossen werden können. Beispiele für PDA's sind: Terminplaner, Palm, Handsprings, Psion, Smartphones, PocketPC Personal Firewall Schutzprogramm, das auf einer IT-Komponente Endsystem (z.B. Arbeitsplatzrechner oder Notebook) installiert wird und die gesamte Kommunikation des Systems überprüft und unzulässigen Verkehr unterbindet. PIN-Nummer Personal Identifikation Number, wird im Zusammenhang mit Smartcards genutzt, die den Zugriff zum Karteninhalt und den darauf befindlichen kryptografischen Schlüsseln und Funktionen ermöglicht. PKI Public Key Infrastructure: Ermöglicht es Kunden und Geschäftspartnern, einfache, wirtschaftliche, rechtswirksame und sichere elektronische Geschäftsprozesse zu beiderseitigem Vorteil zu nutzen. Ist ein System von Komponenten, Diensten und Verfahren, um Schlüssel und Zertifikate für den Einsatz von Kryptografie zu generieren, zu verteilen und zu administrieren. PKI-Dienst Dienst wie z.B. Authentisierung oder Verschlüsselung von E-Mail, der durch Anwendung von asymmetrischen Verschlüsselungsverfahren im Kontext einer Public Key Infrastructure realisiert werden kann. Plug-In Zusatzkomponente für einen Browser. Ursprüngliche Schnittstelle für Plug-Ins wurde von Netscape entwickelt und hat sich als Industriestandard durchgesetzt Public Domain Software Programme und Daten, die ohne Lizenz benutzt werden dürfen Public Key Infrastructure Siehe unter PKI Remote Access Service Möglichkeit, sich von einem dezentralen Rechner über Telefon in einen Server einzuwählen und das daran angeschlossene Netz inkl. der dort angebotenen Dienste zu nutzen RWE Basis PKI Sicherheitsinfrastruktur zur Etablierung eines einheitlichen Vertrauenslevels und einheitlicher Prozesse zum Zertifikatsmanagement und Aufbau von Basisdiensten zur Nutzung dieser Zertifikate z.B. für E-Mail-Signatur oder verschlüsselung. RWE Global Access Bezeichnung eines IT-Dienstes der RWE zur Einwahl in das RWE Corporate Network und Nutzung des persönlichen Desktops und weiterer Anwendungen wie z.B. E-Mail oder SAP. Schutzbedarfsfeststellung Verfahren zur Klassifizierung von Informationen, Daten und IT-Komponenten bzgl. des bestehenden Schutzbedarfes. Glossar Seite 44 Information Security Policy der enviaM Blatt 45 - 46 Ausgabe 01.05.2012 Version 5.8 Schutzbedürftige Daten Daten die durch eine Klassifikation als hoch oder sehr hoch schutzbedürftig eingestuft worden sind. Server Rechner im Netz, der für zugelassene Benutzer Programme und Daten bereithält Shareware Programme und Daten, die ohne Lizenz getestet werden dürfen; bei längerer Benutzung ist meistens eine Gebühr an den Urheber fällig Sicheres Löschen Physikalisches Löschen von Dateninhalten auf einem Speichermedium. Bei magnetischen Speichermedien werden Effekte wie Restmagnetisierung durch mehrmalige Löschung des Inhaltes berücksichtigt Sicherheitskritisches Update zu einer kritischen IT-Sicherheitslücke (siehe kritische IT-SicherheitsUpdate lücke). Sicherheitsrelevante Operationen, die i.d.R. nur mit Administratorrechten durchgeführt werden Operationen können. Signatur Technik um sicherzustellen, dass ein elektronisch übertragenes Dokument Digitale Signatur nicht verändert wurde und/oder von einem bestimmten Absender stammt Smart Card Eine Plastikkarte die zur sicheren Speicherung von kryptografischen Schlüsseln, die im Rahmen einer PKI zum Einsatz kommen. Software Alle Programme, die auf einem Rechner zur Ausführung kommen können Speicher-Stick Kleine mobile IT-Komponente, mit der Daten i.d.R. über die USB-Schnittstelle bequem zwischen einem PC/PDA o.ä. und dieser Komponente ausgetauscht werden können Starke Authentisierung Authentisierungsverfahren, bei dem Besitz und Wissen zum Zugang auf IT-Komponenten notwendig sind. Ein Beispiel dazu: Als Besitz dient eine elektronische Karte, die zeitabhängige Schlüssel generiert, als Wissen wird eine PIN zum Zugang zur elektronischen Karte und ein Kennwort zum Zugang auf ein LAN benötigt. starke Kryptoalgorithmen Nach dem aktuellen Stand der Technik als ausreichend sichere Kryptoalgostarke Verschlüsselung rithmen bzw. Verschlüsselung erachtet. Details hierzu sind in der Technischen Ergänzung zur Information Security Policy der enviaM Konfigurationsvorgaben angegeben. Terminal Datenendgerät, Bildschirm Token-Karte Zumeist elektronisches Gerät in Form eines Schlüsselanhängers oder Scheckkarte, mit dem Einmal-Kennwörter für eine starke Authentisierung generieren werden können. Trojanisches Pferd Software, die neben einer erkennbaren Hauptwirkung verdeckte Nebenwirkungen auf einem PC oder in einem Datennetz hat USB-Schnittstelle Universal Serial Bus: Moderne Schnittstelle z.B. an einem PC mit der schnell und einfach periphere IT-Komponenten, wie z.B. Tastatur, Maus oder SpeicherStick angeschlossen werden können. Umsetzungsstandard Technische Ausarbeitung zumeist zur Konfiguration von IT-Komponenten (z.B. Konfiguration eines Webservers), die von dem IT-Dienstleister n bei der Inbetriebnahme und/oder beim Betrieb von IT-Komponenten beachtet werden muss. Verschlüsselung mathematische Verfahren, um mittels Zeichenketten (Schlüssel) lesbare Daten für nicht Berechtigte unlesbar zu machen; die Umkehrung ist die Entschlüsselung Glossar Seite 45 Information Security Policy der enviaM Blatt 46 - 46 Ausgabe 01.05.2012 Version 5.8 Vertrauenswürdige Seiten Web-Seiten im Internet, denen der Anwender vertraut. Beispiele für vertrauenswürdige Seiten sind die von Banken, größeren Gesellschaften oder Organisationen Vertrauenswürdige Zone Hier: netzwerktechnischer Verbund von einzelnen Konzerngesellschaftsnetzen oder -netzteilen, der per jeweiliger Willenserklärung gebildet werden kann. Virus Programm oder Datei mit ausführbaren Befehlen, die Daten auf einem Rechner verfälschen, zerstören oder an Unberechtigte weiterleiten können; hat die Fähigkeit, sich an andere Programme anzuhängen und sich dadurch auf einem PC oder in Datennetzen zu verbreiten WAN Wide Area Network; Weitverkehrsnetz; Verbindung von Rechnern über große Entfernungen Web-based-Training Interaktive Anwendung zur Schulung von Inhalten mittels eines Browsers Webseite Darstellung von Daten aus einer bestimmten Adresse im World Wide Web Wechselmedium Mobiler Datenträger oder Speichermedium das ohne Werkzeug von einer anderen IT-Komponente (ohne Datenträger) getrennt werden kann. Also z.B. Speicherkarte (z.B. SD-Karte), CD-ROM, DVD, Magnetband, USB-Speichermedien (Speicher-Stick, Festplatte), hot-swap-fähiges Speichermedium. WEP Wired Equivalent Privacy: Internationaler Standard zur Verschlüsselung in Kabellosen Funknetzen (WLAN). Windows Betriebssystem des Herstellers Microsoft WLAN Wireless Local Area Network: Kabellose Funknetze (in der Regel auf Basis des IEEE Standards 802.11), in denen sich mehrere Endsysteme wie in einem kabelgebundenen LAN miteinander verbinden lassen. World Wide Web (WWW) Heute der am meisten genutzte Dienst im Internet. Darstellung von Informationen (Texte, Bilder, Grafiken etc.) in einem weltweit einheitlichen Format Wurm Virusartige Datei, die sich sehr schnell (wurmartig) ausbreitet. Zertifikat Ein Zertifikat ist ein elektronischer " Ausweis" . Das Zertifikat enthält Informationen über die Identität einer Person und Signaturprüfdaten, mit deren Hilfe Signaturen dieser Person zugeordnet werden können. Das Zertifikat ist durch die elektronische Signatur seines Ausstellers vor Veränderungen geschützt. Zugangsberechtigung Erlaubt einer Person, bestimmte Ressourcen wie IT-Systeme bzw. SystemKomponenten und Netze zu nutzen. Zugriffsberechtigung Erlaubt eine Person im Rahmen ihrer Funktionen oder eine bevollmächtigte ITAnwendung, Informationen, Daten oder auch IT-Anwendungen, zu nutzen oder Transaktionen auszuführen. Zutritt Mit Zutritt wird das Betreten von abgegrenzten Bereichen wie z. B. Räumen oder geschützten Arealen in einem Gelände bezeichnet. Zutrittsberechtigung Erlaubt einer Person, bestimmte Umgebungen zu betreten, also beispielsweise ein Gelände, ein Gebäude, definierte Räume eines Gebäudes oder Schaltschränke eines Raumes. Glossar Seite 46