Fassung 2 / Edizione n°2 vom / del 15.12.2011
Seite / Pag. 67/69
Zugriffe auf Anwendungen seitens der Benutzer müssen kontrolliert werden. Bei sensiblen Daten müssen Änderungen, die
von Benutzern durchgeführt wurden, in den Anwendungen nachvollziehbar sein. Es müssen Kontrollen durchgeführt werden,
bei denen Änderungen in der Datenbank ersichtlich werden.
In Bezug auf die Verwaltung der Accounts und der Zugangsprofile muss wie folgt festgelegt werden:
−
Das Bestehen eines formalen Systems zur Autorisierung und Erfassung der Zuweisung, Änderung und Löschung von
Systemzugangsprofilen; die Formalisierung von Prozessen zur Zuweisung und zur Verwendung von speziellen Privilegien
(Systemadministrator, Superuser etc.).
−
Regelmäßige Kontrolle der Benutzerprofile zur Absicherung, dass die Verantwortungsbereiche der Einzelnen mit den
zugewiesenen Privilegien übereinstimmen.
22.2. VERWALTUNG DER TELEKOMMUNIKATIONSNETZE
In Bezug auf die Verwaltung der Netzwerke müssen folgende Maßnahmen gesetzt werden:
−
Definition der Verantwortungsbereiche
−
Umsetzung von Sicherheitskontrollen zur Gewährleistung des vertraulichen Umgangs mit Daten innerhalb des
Netzwerkes und in öffentlichen Netzwerken
−
Umsetzung von Mechanismen zur Trennung der Netzwerke und von Instrumenten zum Monitoring des
Netzwerkverkehrs (IDS-Systeme)
−
Umsetzung von Mechanismen zur Nachverfolgung von Sicherheitsvorfällen, zum Beispiel Zugriffsversuche, abnorme
Zugriffe in Bezug auf die Häufigkeit, die Art und Weise und den Zeitpunkt, Zugriffe auf Subdomains, Start von Scripts,
Zugriffe auf nicht erlaubte Seiten und Vorgänge in kritischen Systemen.
Die Verantwortungsbereiche und die operativen Modalitäten zur Implementierung und Wartung der Netzwerke sind zu
ermitteln.
Die Funktionstüchtigkeit der Netzwerke und die ermittelten Anomalien müssen regelmäßig überprüft sowie Tätigkeiten in
Bezug auf Vulnerability Assessment und Ethical Hacking erbracht werden, um die Verwundbarkeit der Systeme zu bewerten
und die Zugriffe, also sowohl tatsächliche als auch logische Zugriffe, auf Anschlüsse und Konfigurationsports zu überwachen.
22.3. VERWALTUNG DER HARDWARE-SYSTEME
Eine aktuelle Inventarliste der in der Gesellschaft verwendeten Hardware ist zu erstellen und regelmäßig zu aktualisieren; die
Verantwortlichkeiten und die operativen Modalitäten im Falle der Implementierung bzw. Wartung der Hardware sind
festzulegen.
22.4. VERWALTUNG DER SOFTWARE-SYSTEME
Eine aktuelle Inventarliste der in der Gesellschaft verwendeten Software ist zu erstellen und regelmäßig zu aktualisieren.