Leitlinien und Richtlinien - Deutsche Rentenversicherung · Um mögliche Gefahren zu erkennen, die...

Leitlinien und Richtlinien

Zur Nutzung des Verfahrens Antrag-Online der Deutschen Rentenversicherung bei den Gemeindebehörden und Versicherungsämtern

05.09.2005

2

Autoren

Dörthe Rückl Deutsche Rentenversicherung/Bund, Würzburg Tel.: +49(0)931 6002 231 EMail: [email protected]

3

Inhaltsverzeichnis

PRÄAMBEL............................................................................................................................. 5

1 LEITLINIEN ZUR IT-SICHERHEIT FÜR DEN EINSATZ DES VERFAHRENS "ANTRAG-ONLINE" ................................................................................ 7

1.1 KERNSATZ ..................................................................................................... 7 1.2 ZIEL DER RICHTLINIEN.................................................................................. 7 1.3 GELTUNGSBEREICH....................................................................................... 7 1.4 GENEHMIGUNG UND ÄNDERUNG .................................................................. 7 1.5 VERANTWORTLICHE FÜR DAS VERFAHREN ANTRAG-ONLINE BEI DEN

GEMEINDEBEHÖRDEN/ VERSICHERUNGSÄMTERN ....................................... 8

2 HANDLUNGSANWEISUNGEN ........................................................................... 9

§ 1 IT-SICHERHEITSKOORDINATOR .................................................................... 9 § 2 WARTUNGS- UND REPARATURARBEITEN ..................................................... 9 § 3 BENUTZER- UND ZUGANGSVERWALTUNG.................................................... 9 § 4 REAKTION AUF STÖRUNGEN, VERLETZUNGEN DER SICHERHEITSPOLITIK ODER

ALARMIERUNGEN ......................................................................................... 9 § 5 EINWEISUNG UND SCHULUNG..................................................................... 10 § 6 ALLGEMEINE SICHERHEITSANWEISUNG ..................................................... 10 § 7 VERTRETUNGSREGELN................................................................................ 10 § 8 REGELUNGEN ZUM PASSWORT, ABMELDEN VOM SYSTEM ........................ 10 § 9 AUSSCHEIDEN EINES MITARBEITERS .......................................................... 11 § 10 ORDNUNGSGEMÄßE ENTSORGUNG VON SCHÜTZENSWERTEN BETRIEBSMITTELN

11

ANHANG A: ALARMIERUNGSPLAN FÜR SICHERHEITSVORFÄLLE................ 12

ANHANG B: RICHTLINIEN.............................................................................................. 15

I. ORGANISATION .......................................................................................................... 15

§ 1 DER LOKALE IT-SICHERHEITSKOORDINATOR BEI GEMEINDEBEHÖRDEN UND

VERSICHERUNGSÄMTERN........................................................................... 16 § 2 WARTUNGS- UND REPARATURARBEITEN IM HAUSE .................................. 16 § 3 EXTERNE WARTUNGS- UND REPARATURARBEITEN ................................... 17 § 4 EINRICHTUNG VON ACCOUNTS ................................................................... 17 § 5 UMGANG MIT PASSWÖRTERN...................................................................... 18 § 6 VERGABE VON ZUGRIFFSRECHTEN ............................................................. 18 § 7 VORGEHEN BEI PROBLEMEN UND VERSTÖßEN ........................................... 19

II. PERSONAL ........................................................................................................... 19

§ 8 EINARBEITUNG / EINWEISUNG NEUER MITARBEITER ................................. 19 § 9 VERPFLICHTUNG DER MITARBEITER AUF EINHALTUNG EINSCHLÄGIGER GESETZE,

VORSCHRIFTEN UND REGELUNGEN............................................................ 20

4

§ 10 VERTRETUNGSREGELUNGEN....................................................................... 20 § 11 UMGANG MIT DEM PASSWORT, ABMELDEN VOM SYSTEM ......................... 20 § 12 AUSSCHEIDEN EINES MITARBEITERS .......................................................... 21

III. BEHANDLUNG VON SICHERHEITSVORFÄLLEN ..................................... 22

§ 13 SICHERHEITSVORFÄLLE .............................................................................. 22 § 14 ESKALATIONSSTUFEN ................................................................................. 22 § 15 REAKTION AUF STÖRUNGEN ODER ALARMIERUNGEN................................ 23 § 16 EVALUIERUNG DER ESKALATIONSSTRATEGIE ............................................ 23

ANLAGE: ERFORDERLICHE SICHERHEITSMAßNAHMEN FÜR HARDWARE UND BETRIEBSYSTEME ................................................................................................... 24

GLOSSAR............................................................................................................................... 35

5

Präambel

Die Deutsche Rentenversicherung (DRV) bietet den Gemeinden / Versicherungsäm-tern (GuV) eine Softwarelösung zur computerunterstützten Antragserfassung (kurz "Antrag-Online") von Rentenanträgen an.

Da die Speicherung, Verarbeitung und die Kommunikation personenbezogene Daten beinhalten, ist ein hoher Schutzbedarf im Hinblick auf Integrität und Vertraulichkeit gegeben. Um mögliche Gefahren zu erkennen, die den Schutz der Daten bedrohen, und Maßnahmen dagegen zu definieren, wurde auf der Grundlage des IT-Grund-schutzhandbuchs (GSHB) ein Sicherheitskonzept erstellt. Dies entspricht auch den Anforderungen des § 151 a SGB IV für eine Onlineanbindung im Verfahren Antrag-Online.

Die erforderlichen Sicherheitsvorkehrungen beim Zugang zum Programm sowie für die Datenspeicherung und den Datentransport sind in der Applikation implementiert. Darüber hinaus wurde die "Datensenke", dazu gehören Server und Hosts bei der Deutschen Rentenversicherung, die die Daten empfangen, und der Datentransfer vom Client (GuV) zum Server (DRV) sicherheitsgeprüft.

Weitere Sicherheitsmaßnahmen sind für die im Antrag-Online-Verfahren eingesetz-ten IT-Komponenten bei der Gemeindebehörde bzw. dem Versicherungsamt erfor-derlich. Da die IT-Strukturen in den am Verfahren beteiligten GuV sehr vielfältig sind, wurden zunächst alle möglichen Komponenten (Bausteine) ermittelt. Zu diesen Bau-steinen sind lt. GSHB gewisse Gefährdungen und entsprechende Maßnahmen dage-gen definiert. Diese sind im Einvernehmen mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) im Basissicherheitscheck zu den GuV festgelegt worden. Eine ausführliche Beschreibung dieser Maßnahmen befindet sich im IT-Grundschutzhandbuch (GSHB).

Einige der Maßnahmen betreffen direkt den Umgang mit dem Programm Antrag-Online (Organisation, Personal, Behandlung von Sicherheitsvorfällen). Für diese Maßnahmen sind im Teil 2 in dem vorliegenden Dokument in knapper Form Hand-lungsanweisungen beschrieben, die in den Leit- und Richtlinien im Anhang B aus-führlicher beschrieben werden. Der Bezug zum Basissicherheitscheck und GSHB wird hier mit Referenzen verdeutlicht.

Zum anderen muss gewährleistet sein, dass die für das Verfahren eingesetzte Hard-ware und Betriebssysteme sowie deren Handhabung den Sicherheitsanforderungen genügen. Dafür sind die Maßnahmen umzusetzen, die im Teil 3 , "Erforderliche Si-cherheitsmaßnahmen für Hardware und Betriebssysteme", aufgelistet und im GSHB genauer beschrieben sind.

Das BSI weist im GSHB besonders auf die Notwendigkeit hin, dass „für die sinnvolle Umsetzung und Erfolgskontrolle von Sicherheitsmaßnahmen“ ein IT-Sicherheitsma-

6

nagement notwendig sei, das die Planungs- und Lenkungsaufgaben wahrnimmt. Aufgaben zum IT-Sicherheitsmanagement, die speziell Antrag-Online betreffen, wer-den zentral von der Deutschen Rentenversicherung wahrgenommen. Dennoch wer-den die Maßnahmen zu diesem Baustein ebenfalls in Teil 3 unter „Empfohlene Maß-nahmen“ aufgelistet, da sie der Sicherheit der IT-Infrastruktur bei den GuV dienen, im Gegensatz zu den oben genannten Maßnahmen allerdings keinen direkten Einfluss auf die Sicherheit von Antrag-Online haben.

Die Einhaltung der Handlungsanweisungen sowie der Maßnahmen für Hardware und Betriebssysteme ist eine Voraussetzung für die Teilnahme an dem Antrag-Online- Verfahren mit Datenabruf und Datenübermittlung von bzw. an die Rentenversiche-rung und liegt im Verantwortungsbereich der Gemeindebehörden und Versicherungs-ämter (siehe Verpflichtungserklärung, Teil 4).

Teil 1: Leitlinien zur IT-Sicherheit für den Einsatz des Verfahrens "Antrag-Online" Teil 2: Handlungsanweisungen

• Anhang A: Alarmierungsplan. • Anhang B: Richtlinien gemäß GSHB

Teil 3: Anlage: Erforderliche Basissicherheitsmaßnahmen für Hardware und Be-triebsysteme

Teil 4: Verpflichtungserklärung

7

1 Leitlinien zur IT-Sicherheit für den Einsatz des Verfahrens "Antrag-Online"

1.1 Kernsatz

§ 1 Alles, was nicht explizit erlaubt ist, ist verboten.

1.2 Ziel der Richtlinien

§ 2 Die Richtlinien dienen der Erreichung und Aufrechterhaltung eines hohen Schutzbedarfs im Hinblick auf Integrität und Vertraulichkeit der Daten gemäß Empfehlungen des BSI Grundschutzhandbuchs.

1.3 Geltungsbereich

§ 3 Der Geltungsbereich der Leitlinien und Richtlinien sowie der Basis-sicherheitsmaßnahmen erstreckt sich auf alle Daten, Systeme und Netzwerkkomponenten, die im Zusammenhang mit dem Programm "Antrag-Online" stehen.

§ 4 Die Leitlinien und Richtlinien sind für alle Mitarbeiter der Gemeinden und der Versicherungsämter, die "Antrag-Online" bedienen, benut-zen oder damit zu tun haben, bindend.

1.4 Genehmigung und Änderung

§ 5 Die Leitlinien und die Richtlinien zur IT-Sicherheit des Programms "Antrag-Online" werden durch den IT-Sicherheitsbeauftragten der Deutschen Rentenversicherung in Absprache mit dem Datenschutz-beauftragten und mit dem Verantwortlichen für Antrag-Online im Einklang mit dem BSI-Grundschutzhandbuch verabschiedet bzw. geändert und in Kraft gesetzt.

§ 6 Der IT-Sicherheitsbeauftragte ist für die Definition, Dokumentation, Freigabe und Kontrolle von Sicherheitsstandards für Antrag-Online gemäß dem IT-Grundschutzhandbuch verantwortlich. Er kann diese Aufgabe an den Verantwortlichen für Antrag-Online bei der Deut-schen Rentenversicherung delegieren.

§ 7 Der Verantwortliche für Antrag-Online ist der Ansprechpartner der Deutschen Rentenversicherung für Versicherungsämter und Ge-

8

meindebehörden in Fragen der Sicherheit, die Antrag-Online betref-fen.

§ 8 Alle Vereinbarungen mit den Teilnehmern am Antrag-Online-Verfahren bedürfen einer schriftlichen Form.

1.5 Verantwortliche für das Verfahren Antrag-Online bei den Gemeinde-behörden/ Versicherungsämtern

§ 9 Der Leiter der Gemeindebehörde bzw. des Versicherungsamtes ist der Verfahrensverantwortliche für Antrag-Online. Er sorgt für die Einhaltung der Sicherheitsvorschriften, die in den Richtlinien und in den erforderlichen Basissicherheitsmaßnahmen beschrieben sind.

9

2 Handlungsanweisungen

Die Handlungsanweisungen stellen in knapper Form Maßnahmen dar, die in den Richtlinien im Anhang B an den in Klammern angegeben Stellen (R § n, R = Richtli-nie, n = Nummer) ausführlicher beschrieben werden.

§ 1 IT-Sicherheitskoordinator

Die am Verfahren Antrag-Online teilnehmenden Gemeindebehörden und Versiche-rungsämter (GuV) benennen den zuständigen Versicherungsträgern und der Deut-schen Rentenversicherung einen IT-Sicherheitskoordinator und seinen Vertreter (R § 1)

§ 2 Wartungs- und Reparaturarbeiten

Um nicht autorisierte Handlungen zu vermeiden, sollten Wartungs- und Reparaturar-beiten, insbesondere wenn sie durch Externe durchgeführt werden, durch eine fach-kundige Kraft beaufsichtigt werden. Bei Wartungen oder Reparaturen, die außer Haus durchgeführt werden müssen, ist das Programm Antrag-Online und die zugehö-rigen Datenbestände auf dem betroffenen System vorher physikalisch zu löschen. (R § 2, 3)

§ 3 Benutzer- und Zugangsverwaltung

Die Anmeldung an die Anwendung erfolgt über Benutzerkennung und Passwort. Der Leiter der Organisation, der für die Nutzung des Verfahrens verantwortlich ist, und der lokale Administrator regeln die Vergabe von Zugriffsrechten grundsätzlich und dokumentieren diese. Dabei ist nur den Benutzern und Administratoren, die mit An-trag-Online arbeiten, Schreib-/Lesezugriff auf alle Installationsverzeichnisse der aktu-ellen Version zu gewähren. Es ist darauf zu achten, dass die Rollentrennung von Administrator und Anwender, wie im Programm vorgesehen, eingehalten wird.

Benutzer, die online Daten empfangen oder senden sollen, müssen zuvor vom Leiter der Organisation der Deutschen Rentenversicherung zur Freigabe gemeldet und zer-tifiziert werden. (R § 4-6) (Kryptokonzept)

§ 4 Reaktion auf Störungen, Verletzungen der Sicherheitspolitik oder Alar-mierungen

Bei Missbrauch bzw. Schadensverdacht sind die im Alarmierungsplan (Anhang A) festgelegte Schritte einzuhalten. (R § 7 + R §13)

10

Nach einem eingetretenen Sicherheitsvorfall ab Eskalationsstufe 2 soll der IT-Sicher-heitskoordinator die Durchführung der Maßnahmen einer abschließenden Bewertung unterziehen und die Ergebnisse dieser Bewertung allen beteiligten Stellen mitteilen. (R §16)

§ 5 Einweisung und Schulung

Die Benutzer und Administratoren, die mit Antrag-Online arbeiten, erhalten eine Un-terweisung in der Anwendung des Programms. Der Administrator muss außerdem fundierte Kenntnisse über die eingesetzten IT-Komponenten bzw. Protokolle besitzen und auch entsprechend geschult werden. (R § 8)

§ 6 Allgemeine Sicherheitsanweisung

Alle Mitarbeiter erhalten eine allgemeine Sicherheitsanweisung für die Nutzung der allgemeinen technischen Infrastruktur sowie der sicherheitsorganisatorischen Maß-nahmen, die in einer Dienstanweisung zusammengefasst sind. Die Mitarbeiter sind auf die Einhaltung der einschlägigen Gesetze, Vorschriften und Regelungen zu ver-pflichten. (R § 9)

§ 7 Vertretungsregeln

Es muss geregelt sein, wer den Administrator für Antrag-Online vertritt. Der Vertreter muss ausreichend geschult sein. Standardnutzer dürfen sich nicht gegenseitig vertre-ten, d.h. Nutzerkennung und Passwort dürfen in keinem Fall weitergegeben werden. (R § 10)

§ 8 Regelungen zum Passwort, Abmelden vom System

Folgende Regelungen zum Passwort müssen eingehalten werden (R § 11):

• Die im Programm implementierten Sicherheitsvorkehrungen bei der Passwortein-gabe und -verwaltung sind im Handbuch nachzulesen

• Das Passwort darf nicht leicht zu erraten sein.

• Das Passwort muss geheim gehalten werden und sollte nur dem Benutzer per-sönlich bekannt sein.

• Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Per-sonen bekannt geworden ist.

• Jeder Benutzer muss sich nach Aufgabenerfüllung am IT-System abmelden.

11

§ 9 Ausscheiden eines Mitarbeiters

Beim Ausscheiden eines Mitarbeiters sind folgende Schritte durchzuführen (R § 12):

• Es dürfen keine Daten vernichtet oder entwendet werden.

• Der Account des Mitarbeiters ist zu sperren.

• Der Schlüssel des Mitarbeiters für die Datenübertragung zur/von der Deutschen Rentenversicherung ist zu sperren.

§ 10 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln

Beim Entsorgen von Festplatten, auf denen Daten aus dem Verfahren Antrag-Online gespeichert sind, und von gedruckten Materialien, wie z.B. Formulare oder Unter-schriftenblatt, ist darauf zu achten, dass keine Rückschlüsse auf vorher gespeicherte Daten möglich sind.

12

Anhang A: Alarmierungsplan für Sicherheitsvorfälle

Nach Eingang einer Meldung über eine sicherheitsrelevante Unregelmäßigkeit muss zunächst entschieden werden, ob es sich um ein lokales Sicherheitsproblem oder um einen Sicherheitsvorfall mit ggf. zu erwartenden größeren Schäden handelt.

Verantwortlichkeiten

Der IT-Sicherheitskoordinator ist aus Sicht der Deutschen Rentenversicherung der Notfall-Verantwortliche. Er ist für die Bewertung von Sicherheitsvorfällen (Eskalati-onsstufen) und rechtzeitige Einleitung von Notfallmaßnahmen zuständig. Er sollte ei-ne erste Einschätzung der möglichen Schadenshöhe, der Folgeschäden, der poten-tiell intern und extern Betroffenen und möglicher Konsequenzen abgeben. Weitere Ansprechpartner sind der Behördenleiter und der Datenschutzbeauftragte.

Eskalationsstufen

Die Eskalationsstufen beschreiben ein hierarchisches Modell zur Behandlung von Si-cherheitsvorfällen, bei dem jede höhere Stufe die Maßnahmen der darunter liegen-den beinhaltet.

Stufe 1

Was kennzeichnet Sicherheitsstufe 1:

z.B.:

- gehäufte Probleme bei der Benutzeranmeldung

- gehäufte Probleme beim Versenden und Empfangen der Datensätze

- gehäufte Probleme bei der Installation

- gehäufte Probleme beim Anlegen/Sperren von Nutzern

- gehäufte Probleme bei der Vergabe von Zertifikaten

- Verlust von Daten

Maßnahmen:

- Mitarbeiter meldet den Vorfall dem Administrator

- Administrator meldet den Vorfall dem IT-Sicherheitskoordinator

- IT-Sicherheitskoordinator sorgt für die Qualitätssicherung

- IT-Sicherheitskoordinator informiert die Hotline der Versicherungsträger

- Innerhalb von 2 Werktagen erhält das Versicherungsamt eine Erklärung zum weiteren Vorgehen

13

Stufe 2


z.B.:

- Verdacht auf Missbrauch von Daten

- Verlust von Daten

- Verdacht auf unautorisierte Änderung von Daten

- Verdacht auf unerlaubte Änderung am Programm (Code und Konfiguration)

- Datensätze, die nicht mehr zugreifbar sind (z.B. durch Datenmanipulation)

- Fehlermeldungen des Systems, die auf einen Missbrauch hindeuten

- massenhaftes Auftreten von Computer-Viren

Maßnahmen:

- Mitarbeiter meldet den Vorfall dem IT-Sicherheitskoordinator

- IT-Sicherheitskoordinator veranlasst Sperrung der Benutzerschlüssel für die Onlineübertragung aller Antrag-Online-Nutzer des betroffenen Versicherung-samtes/der Gemeindebehörde und informiert den Behördenleiter

- IT-Sicherheitskoordinator veranlasst Sperrung aller lokalen Nutzer-Accounts zum Programm Antrag-Online sowie zu den entsprechenden Verzeichnissen

- IT-Sicherheitskoordinator informiert den Antrag-Online-Verantwortlichen der Deutschen Rentenversicherung

- Die Unterstützung der Deutschen Rentenversicherung bei der Aufklärung des Sicherheitsvorfalls wird durch die lokal Verantwortlichen sichergestellt (Dokumentation, Sicherung von Beweismitteln, Erreichbarkeit der Verant-wortlichen)

- Der Verantwortliche für Antrag-Online definiert die Voraussetzungen für ei-nen Wiederanlauf

- Innerhalb von 1 Werktag erhält das Versicherungsamt eine Erklärung zum weiteren Vorgehen

14

Stufe 3


z.B.:

- vorsätzlicher Missbrauch der Anwendung (z.B. Screenshots)

- Abruf von Daten, die nicht für den Geschäftsablauf notwendig sind (Abruf zusätz-licher Versicherungskonten)

- Missbrauch von Daten

- unerlaubte Weitergabe von Daten

- unautorisierte Änderung von Daten

- unerlaubte Änderung am Programm (Code und Konfiguration)

Maßnahmen:

- IT-Sicherheitskoordinator informiert umgehend den Verantwortlichen für Antrag - Online der Deutschen Rentenversicherung und den Behördenleiter

- Innerhalb von 1 Werktag erhält das Versicherungsamt eine Erklärung zum weite-ren Vorgehen

- Prüfung durch den zuständigen Datenschutzbeauftragten des Versicherungsam-tes

- Information der Aufsichtsbehörden der Versicherungsämter

15

Anhang B: Richtlinien

In dem Basissicherheitscheck für die Gemeindebehörden und Versicherungsämter (GuV) sind Maßnehmen festgelegt, deren Umsetzung die Sicherheit des Verfahrens Antrag-Online gewährleisten. Diejenigen, die direkt den Umgang mit dem Programm Antrag-Online betreffen, sind hier auf der Grundlage des GSHB in verkürzter Form beschrieben. Sie sind folgenden Bausteinen zugeordnet:

I. Organisation

II. Personal

III. Behandlung von Sicherheitsvorfällen

Mit dem angegeben Paragrafen (R § n) werden die Richtlinien im Basissicherheits-check referenziert, andererseits wird zu jeder Richtlinie im Abschnitt „Grundlage“ auf die entsprechende Maßnahme (M n.m) im GSHB bzw. Basissicherheitscheck hinge-wiesen:

- n enthält die Nummer der Richtlinie

- der Titel enthält eine Kurzbezeichnung der Richtlinie bzw. der Gruppe von Richtlinien

- Grundlage beschreibt die Maßnahme im Grundschutzhandbuch

I. Organisation

Die folgende Grafik stellt eine rollenbasierte Darstellung der Sicherheitsorganisation im Rahmen des Antrag-Online dar:

Anm.: Es handelt sich bei den Rollendefinitionen um Idealformen; so kann es sein, dass in kleinen GuV der Behördenleiter gleichzeitig auch IT-Sicherheitskoordinator ist.

DRV GuV

16

§ 1 Der lokale IT-Sicherheitskoordinator bei Gemeindebehörden und Versicherungsämtern

Er trägt die Verantwortung für:

die Umsetzung von Sicherheitsstandards für Installation, Konfiguration, Betrieb und Nutzung der Antrag-Online-Clients,

die autorisierte und rechtzeitige Einleitung von Notfallmaßnahmen (Notfall-Verantwortlicher) bei Eintreten der unten definierten Sicherheitsvorfälle,

die Entgegennahme von Meldungen über Sicherheitsvorfälle,

die Untersuchung und Bewertung von Sicherheitsvorfällen,

die Nachbearbeitung des Sicherheitsvorfalls und

die Überprüfung der Einhaltung der Sicherheitsvorkehrungen.

Grundlage: BSI Grundschutzhandbuch (M 2.1 (2))

Vorgaben aus der Definition des Datenschutzbeauftragten

Notfall-Definition, Notfall-Verantwortlicher

Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen

§ 2 Wartungs- und Reparaturarbeiten im Hause

Um nicht autorisierte Handlungen zu vermeiden, sollten Wartungs- und Reparaturar-beiten, insbesondere wenn sie durch Externe durchgeführt werden, durch eine fach-kundige Kraft beaufsichtigt werden.

Als Maßnahmen vor und nach Wartungs- und Reparaturarbeiten sind einzuplanen:

Ankündigung der Maßnahme gegenüber den betroffenen Mitarbeitern.

Wartungstechniker müssen sich auf Verlangen ausweisen.

Der Zugriff auf Daten durch den Wartungstechniker ist soweit wie möglich zu vermeiden.

Die dem Wartungstechniker eingeräumten Zutritts-, Zugangs- und Zugriffsrechte sind auf das notwendige Minimum zu beschränken und nach den Arbeiten zu wi-derrufen bzw. zu löschen.

Nach der Durchführung von Wartungs- oder Reparaturarbeiten sind - je nach "Eindringtiefe" des Wartungspersonals - Passwortänderungen erforderlich.

17

Die durchgeführten Wartungsarbeiten sind zu dokumentieren (Umfang, Ergebnis-se, Zeitpunkt, evtl. Name des Wartungstechnikers).

Grundlage: BSI Grundschutzhandbuch (M2.4 (2))

Regelungen für Wartungs- und Reparaturarbeiten

§ 3 Externe Wartungs- und Reparaturarbeiten

Bei Wartungen oder Reparaturen, die außer Haus durchgeführt werden müssen, ist das Programm Antrag-Online und die zugehörigen Datenbestände auf dem betroffe-nen System vorher physikalisch zu löschen.


Regelungen für Wartungs- und Reparaturarbeiten

§ 4 Einrichtung von Accounts

Account-Namen müssen eindeutig gewählt werden. Aus der Wahl eines Account-Namens sollte der Verwendungszweck hervorgehen.

Accounts dürfen grundsätzlich nur durch den Administrator eingerichtet werden.

Accounts für den Administrator und seinen Vertreter müssen auf diese Mitarbeiter beschränkt sein.

Wenn ein Mitarbeiter ausscheidet oder seine Tätigkeit wechselt, müssen alle ihm zugewiesenen Accounts unverzüglich gelöscht und alle ihm bekannten Passwör-ter geändert werden.

Die vorübergehende Sperrung einer Zugangsberechtigung sollte bei länger wäh-render Abwesenheit der berechtigten Person vorgenommen werden, um Miss-bräuche zu verhindern.

Die Ausgabe bzw. der Einzug von Zugangsmitteln wie Benutzerkennungen ist zu dokumentieren.

Jeder Arbeitsplatzrechner eines Mitarbeiters muss so konfiguriert werden, dass nach 5 Minuten ohne Benutzerrückmeldung der manuelle Zugriff auf den Rechner automatisch gesperrt wird, z. B. durch einen Bildschirmschoner mit Passwort-schutz.

18

Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1))

Organisation

Vergabe von Zugangsberechtigungen

Vergabe von Zugriffsberechtigungen

§ 5 Umgang mit Passwörtern

Passwörter dürfen grundsätzlich nicht weitergegeben werden.

Bei Verlust eines Administrationspasswortes müssen zusätzliche Möglichkeiten existieren, um administrativen Zugang zum jeweiligen System zu erlangen.

Bei Verdacht auf Kompromittierung von Accounts oder Passwörtern sind die Passwörter unverzüglich zu ändern.

Es ist verboten, die Benutzer-Passwörter zu hinterlegen. Die Administrator-Passwörter müssen dagegen sicher deponiert werden (z.B. im Tresor).

Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1) M 2.22(2))

Organisation

Regelungen des Passwortgebrauchs

Hinterlegen des Passwortes

§ 6 Vergabe von Zugriffsrechten

Die Festlegung und Veränderung von Zugriffsrechten ist vom Administrator oder IT-Sicherheitskoordinator für Antrag-Online zu veranlassen und zu dokumentie-ren.

Nur den Benutzern und Administratoren, die mit dem Programm Antrag-Online arbeiten, ist Schreib-/Lesezugriff auf alle Installationsverzeichnisse der aktuellen Version zu gewähren.

Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1))

Vergabe von Zugriffsrechten

19

§ 7 Vorgehen bei Problemen und Verstößen

Bei Missbrauch bzw. Schadensverdacht sind die im Alarmierungsplan festgeleg-ten Schritte einzuhalten.

Bei vorsätzlichem oder fahrlässigem Verstoß gegen die Leit- und Richtlinien durch die Mitarbeiter sind die gleichen Maßnahmen zu treffen wie bei Missach-tung von Organisationsanweisungen. Nach Prüfung durch den Datenschutzbe-auftragten der Deutschen Rentenversicherung sind in Abhängigkeit von der Schwerwiegendheit des Verstoßes die Aufsichtsbehörden der Versicherungsäm-ter zu informieren.


Reaktion auf Verletzung der Sicherheitspolitik

II. Personal

§ 8 Einarbeitung / Einweisung neuer Mitarbeiter

Neue eingestellte Mitarbeiter müssen vor Nutzung des Programms Antrag-Online eine Einweisung bekommen.

Jedem Mitarbeiter sind die notwendigen Dokumentationen (Handbuch, Installati-onshandbuch) zur Verfügung zu stellen.

Im Rahmen der Einweisung neuer Mitarbeiter müssen diesen die Handlungsan-weisungen sowie der Leitfaden und die Richtlinien bekannt gemacht werden.

Grundlage: BSI Grundschutzhandbuch (M 3.1 (1), M 3.4 (1), M 3.5 (1) , M 3.6 (2) )

Geregelte Einarbeitung/Einweisung neuer Mitarbeiter

Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen

Schulung zu IT-Sicherheitsmaßnahmen

20

§ 9 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen

Bei der Einstellung von Mitarbeitern müssen diese verpflichtet werden, einschlä-gige Gesetze (z. B. §5 BDSG "Datengeheimnis"), Vorschriften und interne Rege-lungen einzuhalten. Damit sollen neue Mitarbeiter mit den bestehenden Vorschrif-ten und Regelungen zur IT-Sicherheit bekannt gemacht und gleichzeitig zu deren Einhaltung motiviert werden.

Die erforderlichen Exemplare der Vorschriften und Regelungen müssen ausge-händigt bzw. an zentraler Stelle zur Einsichtnahme vorgehalten werden.

Die Verpflichtung muss von den Mitarbeitern gegengezeichnet werden.


Geregelte Einarbeitung/Einweisung neuer Mitarbeiter

Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vor-schriften und Regelungen

§ 10 Vertretungsregelungen

Vertretungsregelungen haben den Sinn, für vorhersehbare (Urlaub, Dienstreise) und auch unvorhersehbare Fälle (Krankheit, Unfall, Kündigung) des Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen.

Es muss geregelt sein, wer wen in welchen Angelegenheiten mit welchen Kom-petenzen vertritt.

Der Vertreter muss ausreichend geschult sein, damit er die Aufgaben inhaltlich übernehmen kann.

Standardnutzer dürfen sich nicht gegenseitig vertreten, d.h. Nutzerkennung und Passwort dürfen in keinem Fall weitergegeben werden.

Grundlage: BSI Grundschutzhandbuch ( M 3.3 (1))

Vertretungsregelungen

§ 11 Umgang mit dem Passwort, Abmelden vom System

Jeder Antrag-Online Account muss bei der ersten Anmeldung geändert werden.

Folgende Regelungen zum Passwort müssen eingehalten werden:

21

Das Passwort darf nicht leicht zu erraten sein.

Das Passwort muss geheim gehalten werden und darf nur dem Benutzer persön-lich bekannt sein.

Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Per-sonen bekannt geworden ist.

Die im Programm implementierten Sicherheitsvorkehrungen bei der Passwortein-gabe und -verwaltung sind im Handbuch nachzulesen.

Wird ein System von mehreren Benutzern genutzt und besitzen die einzelnen Benutzer unterschiedliche Zugriffsrechte, so kann der erforderliche Schutz mittels einer Zugriffskontrolle nur dann erreicht werden, wenn jeder Benutzer sich nach Aufgabenerfüllung am IT- System abmeldet.

Grundlage: BSI Grundschutzhandbuch (M 3.5(1)) (3.5(1))

Regelungen des Passwortgebrauchs (M 2.11)

Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfüllung

§ 12 Ausscheiden eines Mitarbeiters

Beim Ausscheiden eines Mitarbeiters ist zu gewährleisten, dass keine Daten ver-nichtet oder entwendet werden.

Der Account des Mitarbeiters ist zu sperren.

Der Schlüssel des Mitarbeiters für die Datenübertragung zur/ von der Deutschen Rentenversicherung ist zu sperren.

Wenn der Mitarbeiter die Rolle des Administrators inne hatte, müssen die Pass-wörter aller Systeme geändert werden, zu denen der ausgeschiedene Mitarbeiter Zugang besaß.


Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern

22

III. Behandlung von Sicherheitsvorfällen

§ 13 Sicherheitsvorfälle

Als Sicherheitsvorfall wird ein Ereignis bezeichnet, das Auswirkungen nach sich zie-hen kann, die einen großen Schaden sowohl bezüglich Vertraulichkeit als auch Integ-rität der Daten hervorrufen können. Die Verfügbarkeit hat dabei keine Bedeutung.

Sicherheitsvorfälle werden zum Beispiel erkennbar durch:

Datensätze, die ohne erkennbaren Grund verloren gehen

Ohne erkennbaren Grund gesperrte Kennungen

Datensätze, die nicht mehr zugreifbar sind (z.B. durch Datenmanipulation)

Fehlermeldungen des Systems, die auf einen Missbrauch hindeuten

massenhaftes Auftreten von Computer-Viren

vorsätzlicher Missbrauch der Anwendung (z.B. Screenshots)

Abruf von Daten, die nicht für den Geschäftsablauf notwendig sind (Abruf zusätz-licher Versicherungskonten)


Behandlung von Sicherheitsvorfällen

§ 14 Eskalationsstufen

Die Eskalationsstufen beschreiben ein hierarchisches Modell zur Behandlung von Si-cherheitsvorfällen, bei dem jede höhere Stufe die Maßnahmen der darunter liegen-den beinhaltet.

Für Antrag-Online werden folgende Eskalationsstufen unterschieden:

Stufe 1 Qualitätssicherung als Vorstufe zur Eskalation

Stufe 2 Standard-Eskalation

Stufe 3 Krisen-Eskalation

Die Qualitätssicherung sichert die Systemdaten und beschreibt die zur Klassifizie-rung und Bearbeitung nötigen Informationen für eintretende Sicherheitsvorfälle.

Die Standard-Eskalation beschreibt die Vorgehensweise bei absehbaren bzw. eingetretenen Abweichungen der Standardnutzung.

Die Krisen-Eskalation ist eine weitere Aktionsstufe innerhalb der Eskalationspro-zedur, die bei Störungen mit hohem Schaden und hoher Tragweite zur Anwen-

23

dung kommt, sofern die Möglichkeiten der Standard-Eskalation für diese spezielle Situation nicht ausreichend sind.


Eskalationsstrategie für Sicherheitsvorfälle

§ 15 Reaktion auf Störungen oder Alarmierungen

Es muss untersucht werden, wie und wo die Verletzung der Leit- und Richtlinien entstanden ist.

Anschließend müssen die angemessenen schadensbehebenden oder -mindern-den Maßnahmen durchgeführt werden. Soweit erforderlich, müssen zusätzliche schadensvorbeugende Maßnahmen ergriffen werden. Die durchzuführenden Ak-tionen hängen sowohl von der Art der Verletzung als auch vom Verursacher ab.

Es muss geregelt sein, wer für Kontakte mit anderen Instanzen/Organisationen verantwortlich ist, um Informationen über bekannte Sicherheitslücken einzuholen oder um Informationen über aufgetretene Sicherheitslücken weiterzugeben. Es muss dafür Sorge getragen werden, dass evtl. mitbetroffene Stellen schnellstens informiert werden.

Die Verantwortlichkeiten und Maßnahmen sind im Alarmierungsplan beschrieben. Der Alarmierungsplan muss

- allen Notfallverantwortlichen in den GuV zur Verfügung gestellt werden,

- an zentraler Stelle redundant gehalten werden,

- allen Mitarbeitern bekannt gemacht werden.

Grundlage: BSI Grundschutzhandbuch (M6.58 (1) – M 6.65 (2)) )


§ 16 Evaluierung der Eskalationsstrategie

Nach einem eingetretenen Sicherheitsvorfall ist die Durchführung der Maßnahmen zu auditieren und einer abschließenden Bewertung zu unterziehen. Die Ergebnisse die-ser Bewertung sind allen beteiligten Stellen mitzuteilen, um eine transparente Opti-mierung der Sicherheitsmechanismen zu ermöglichen. Grundlage: BSI Grundschutzhandbuch (M6.66 (2))


24

Anlage: Erforderliche Sicherheitsmaßnahmen für Hardware und Betriebssysteme

Wie in der Präambel erwähnt, wurde auf der Grundlage des IT-Grundschutzhandbu-ches ein Basissicherheitscheck für die Gemeindebehörden und Versicherungsämter durchgeführt. Dabei wurden Maßnahmen für bestimmte IT-Komponenten (Bausteine) festgelegt, die gewährleisten sollen, dass die für das Verfahren eingesetzte Hardware und Betriebssysteme sowie deren Handhabung den Sicherheitsanforderungen genü-gen. Im folgenden sind die Maßnahmen aus dem Basissicherheitscheck zusammen-gestellt, für die keine Handlungsanweisungen im vorliegenden Dokument abgeleitet wurden:

1. Maßnahmen für bestimmte IT-Komponenten

Baustein 4.3.2 Serverraum

Maßnahme Beschreibung

M 1.15 Geschlossene Fenster und Türen

M 1.23 Abgeschlossene Türen

M 1.58 Technische und organisatorische Vorgaben für Serverräume

M 2.14 Schlüsselverwaltung

M 2.16 Beaufsichtigung oder Begleitung von Fremdpersonen

M 2.17 Zutrittsregelung und –kontrolle

M 2.18 Kontrollgänge (optional)

Baustein 5.5 PC unter Windows NT


M 2.4 Regelungen für Wartungs- und Reparaturarbeiten

M 2.9 Nutzungsverbot nicht freigegebener Software

M 2.10 Überprüfung des Software-Bestandes

M 2.22 Hinterlegen des Passwortes

25

M 2.25 Dokumentation der Systemkonfiguration

M 2.26 Ernennung eines Administrators und eines Vertreters (optional)

M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen (optional)

M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile (optional)

M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung (optional)

M 2.34 Dokumentation der Veränderungen an einem bestehenden System (optional)

M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems

M 3.4 Schulung vor Programmnutzung

M 3.5 Schulung zu IT-Sicherheitsmaßnahmen

M 3.10 Auswahl eines vertrauenswürdigen Administrators und seines Vertreters (optional)

M 3.11 Schulung des Wartungs- und Administrationspersonals (optional)

M 4.1 Passwortschutz für IT-Systeme

M 4.2 Bildschirmsperre

M 4.3 Regelmäßiger Einsatz eines Viren-Suchprogramms

M 4.4 Verschluss der Diskettenlaufwerkschächte (optional)

M 4.15 Gesichertes Login

M 4.17 Sperren und Löschen nicht benötigter Accounts und Terminals

M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen (optio-nal)

M 4.44 Prüfung eingehender Dateien auf Makro-Viren

M 4.48 Passwortschutz unter Windows NT

M 4.49 Absicherung des Boot-Vorgangs für ein Windows NT System

M 4.51 Benutzerprofile zur Einschränkung der Nutzungsmöglichkeiten von Windows NT (op-tional)

26

M 4.52 Geräteschutz unter Windows NT

M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Win-dows NT

M 4.55 Sichere Installation von Windows NT

M 4.56 Sicheres Löschen unter Windows NT und Windows 95

M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung

M 4.75 Schutz der Registrierung unter Windows NT

M 4.76 Sichere Systemversion von Windows NT

M 4.77 Schutz der Administratorkonten unter Windows NT

M 4.84 Nutzung der BIOS-Sicherheitsmechanismen

M 4.93 Regelmäßige Integritätsprüfung

M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus

Baustein 5.7 Windows 2000 Client



M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software

M 2.10 Überprüfung des Hard- und Software-Bestandes



M 2.26 Ernennung eines Administrators und eines Vertreters

M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen

M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile

M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung

27

M 2.34 Dokumentation der Veränderungen an einem bestehenden System


M 2.227 Planung des Windows 2000 Einsatzes

M 2.228 Festlegen einer Windows 2000 Sicherheitsrichtlinie

M 2.231 Planung der Gruppenrichtlinien unter Windows 2000



M 3.10 Auswahl eines vertrauenswürdigen Administrators und Vertreters

M 3.11 Schulung des Wartungs- und Administrationspersonals

M 3.28 Schulung zu Windows 2000 Sicherheitsmechanismen für Benutzer



M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspei-chern



M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen


M 4.48 Passwortschutz unter Windows NT/2000

M 4.49 Absicherung des Boot-Vorgangs für ein Windows NT/2000 System

M 4.52 Geräteschutz unter Windows NT/2000

M 4.57 Deaktivieren der automatischen CD-ROM-Erkennung

M 4.75 Schutz der Registrierung unter Windows NT/2000

28



M 4.136 Sichere Installation von Windows 2000

M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000

M 4.200 Umgang mit USB-Speichermedien

Baustein 5.99.1 Allgemeines nicht vernetztes IT-System






M 2.23 Herausgabe einer PC-Richtlinie

M 2.24 Einführung eines PC-Checkheftes






M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspei-chern

M 4.30 Nutzung der in Anwendungsprogrammen angebotenen Sicherheitsfunktionen



29

M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus

M 2.5 Aufgabenverteilung und Funktionstrennung

M 2.7 Vergabe von Zugangsberechtigungen

M 2.8 Vergabe von Zugriffsrechten

M 2.63 Einrichten der Zugriffsrechte

M 2.65 Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System



M 3.18 Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfüllung

M 4.7 Änderung voreingestellter Passwörter

M 4.41 Einsatz eines angemessenen PC-Sicherheitsproduktes

Baustein 6.1 Servergestütztes Netz


M 1.29 Geeignete Aufstellung eines IT-Systems







M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen

M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile

M 2.32 Einrichtung einer eingeschränkten Benutzerumgebung

30

M 2.34 Dokumentation der Veränderungen an einem bestehenden System


M 2.38 Aufteilung der Administrationstätigkeiten

M 2.138 Strukturierte Datenhaltung

M 2.204 Verhinderung ungesicherter Netzzugänge








M 4.7 Änderung voreingestellter Passwörter


M 4.16 Zugangsbeschränkungen für Accounts und / oder Terminals


M 4.24 Sicherstellung einer konsistenten Systemverwaltung


M 4.65 Test neuer Hard- und Software

M 5.6 Obligatorischer Einsatz eines Netzpasswortes

M 5.10 Restriktive Rechtevergabe

M 6.31 Verhaltensregeln nach Verlust der Systemintegrität

31

Baustein 6.2 Unix-Server


M 4.13 Sorgfältige Vergabe von IDs

M 4.14 Obligatorischer Passwortschutz unter Unix

M 4.18 Administrative und technische Absicherung des Zugangs zum Monitor- und Single-User-Modus

M 4.19 Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen

M 4.20 Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissen

M 4.21 Verhinderung des unautorisierten Erlangens von Administratorrechten

M 4.22 Verhinderung des Vertraulichkeitsverlusts schutzbedürftiger Daten im Unix-System

M 4.23 Sicherer Aufruf ausführbarer Dateien

M 4.25 Einsatz der Protokollierung im Unix-System

M 4.26 Regelmäßiger Sicherheitscheck des Unix-Systems


M 5.17 Einsatz der Sicherheitsmechanismen von NFS

M 5.18 Einsatz der Sicherheitsmechanismen von NIS

M 5.19 Einsatz der Sicherheitsmechanismen von sendmail

M 5.20 Einsatz der Sicherheitsmechanismen von rlogin, rsh und rcp

M 5.21 Sicherer Einsatz von telnet, ftp, tftp und rexec

M 5.34 Einsatz von Einmalpasswörtern

M 5.35 Einsatz der Sicherheitsmechanismen von UUCP

M 5.36 Verschlüsselung unter Unix und Windows NT

32

M 5.38 Sichere Einbindung von DOS-PCs in ein Unix-Netz

M 5.64 Secure Shell

M 5.72 Deaktivieren nicht benötigter Netzdienste

M 5.82 Sicherer Einsatz von SAMBA

M 6.31 Verhaltensregeln nach Verlust der Systemintegrität

Baustein 6.4 Windows NT Netz


M 2.94 Freigabe von Verzeichnissen unter Windows NT

M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Win-dows NT

Baustein 6.7 Heterogene Netze




M 4.24 Sicherstellung einer konsistenten Systemverwaltung

M 4.79 Sichere Zugriffsmechanismen bei lokaler Administration

M 4.80 Sichere Zugriffsmechanismen bei Fernadministration

M 5.13 Geeigneter Einsatz von Elementen zur Netzkopplung

M 6.54 Verhaltensregeln nach Verlust der Netzintegrität

Baustein 7.11 Router und Switches


M 1.43 Gesicherte Aufstellung aktiver Netzkomponenten

M 2.276 Funktionsweise eines Routers

33

M 2.277 Funktionsweise eines Switches

M 2.278 Typische Einsatzszenarien von Routern und Switches

M 2.279 Erstellung einer Sicherheitsrichtlinie für Router und Switches

M 2.280 Kriterien für die Beschaffung und geeignete Auswahl von Routern und Switches

M 2.281 Dokumentation der Systemkonfiguration von Routern und Switches

M 2.283 Software-Pflege auf Routern und Switches

M 2.284 Sichere Außerbetriebnahme von Routern und Switches

M 3.38 Administratorenschulung für Router und Switches

M 4.201 Sichere lokale Grundkonfiguration von Routern und Switches

M 4.202 Sichere Netz-Grundkonfiguration von Routern und Switches

M 4.203 Konfigurations-Checkliste für Router und Switches

M 4.204 Sichere Administration von Routern und Switches

M 4.205 Protokollierung bei Routern und Switches

M 5.111 Einrichtung von Access Control Lists auf Routern

M 5.112 Sicherheitsaspekte von Routing-Protokollen

M 6.91 Datensicherung und Recovery bei Routern und Switches

M 2.283 Software-Pflege auf Routern und Switches

M 2.284 Sichere Außerbetriebnahme von Routern und Switches

M 3.38 Administratorenschulung für Router und Switches

M 4.201 Sichere lokale Grundkonfiguration von Routern und Switches

M 4.202 Sichere Netz-Grundkonfiguration von Routern und Switches

M 4.203 Konfigurations-Checkliste für Router und Switches

M 4.204 Sichere Administration von Routern und Switches

34

M 4.205 Protokollierung bei Routern und Switches

M 5.111 Einrichtung von Access Control Lists auf Routern

M 5.112 Sicherheitsaspekte von Routing-Protokollen

M 6.91 Datensicherung und Recovery bei Routern und Switches

M 6.92 Notfallvorsorge bei Routern und Switches

2. Empfohlene Maßnahmen zum IT- Management

Baustein 3.0 IT-Sicherheitsmanagement


M 2.191 Etablierung des IT-Sicherheitsprozesses

M 2.192 Erstellung einer IT-Sicherheitsleitlinie

M 2.193 Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit

M 2.194) Erstellung einer Übersicht über vorhandene IT-Systeme

M 2.195 Erstellung eines IT-Sicherheitskonzepts

M 2.196 Umsetzung des IT-Sicherheitskonzepts nach einem Realisierungsplan

M 2.197 Erstellung eines Schulungskonzepts für IT-Sicherheit

M 2.198 Sensibilisierung der Mitarbeiter für IT-Sicherheit

M 2.199 Aufrechterhaltung der IT-Sicherheit

M 2.200 Erstellung von Managementreports zur IT-Sicherheit

M 2.201 Dokumentation des IT-Sicherheitsprozesses

M 2.202 Erstellung eines Handbuchs zur IT-Sicherheitsorganisation

M 2.203 Aufbau einer Informationsbörse zur IT-Sicherheit

35

Glossar

BSI Bundesamt für Sicherheit in der Informationstechnik

DRV Deutsche Rentenversicherung

GuV Gemeindebehörden und Versicherungsämter

IT-GSHB IT-Grundschutzhandbuch

DSRV Datenstelle der Rentenversicherung

R § n Richtlinien , R = Richtlinie, n = Nummer

Leitlinien und Richtlinien - Deutsche Rentenversicherung · Um mögliche Gefahren zu erkennen, die...

Documents

Transcript of Leitlinien und Richtlinien - Deutsche Rentenversicherung · Um mögliche Gefahren zu erkennen, die...