Fassung 2 / Edizione n°2 vom / del 15.12.2011
Seite / Pag. 68/69
Es darf nur legale und zertifizierte Software verwendet werden: Zu diesem Zweck muss bei den wichtigsten Systemen
regelmäßig die installierte Software und die verwendeten Massenspeicher geprüft werden, um das Vorhandensein von
verbotener bzw. potentiell schädlicher Software zu kontrollieren.
Für das Change Management, das der Wartung und der Implementierung neuer Software dient, müssen von den operativen
Bereichen getrennte Bereiche vorgesehen werden.
Kontroll- und Testprozesse müssen ermittelt werden und zwar für:
−
die Entwicklung neuer Software, falls extern vergeben,
−
Änderungen oder Wartungsmaßnahmen, die durch Mitarbeiter oder externe Provider durchgeführt werden.
22.5. VERWALTUNG DER ZUTRITTE ZU DEN RÄUMLICHKEITEN, IN DENEN DIE IT-INFRASTRUKTUR
UNTERGEBRACHT IST
Es müssen Sicherheitsmaßnahmen zum Schutz der Räumlichkeiten, in denen die IT-Infrastruktur untergebracht ist, umgesetzt
werden, wobei die Überwachungsmodalitäten, die Häufigkeit, die Verantwortlichkeiten, der Reporting-Prozess über Verstöße
gegen die Sicherheitsmaßnahmen bzw. über das Eindringen in Technikräume sowie umzusetzende Gegenmaßnahmen
festgelegt werden müssen.
Es müssen Zugangsberechtigungen zu den Räumlichkeiten, in denen die IT-Systeme und die IT-Infrastruktur untergebracht ist
vorgesehen werden, wie zum Beispiel Zugangscodes, Token Authenticator, Pin-Codes, Zutrittsausweise, biometrische Werte
und die Nachverfolgbarkeit derselbigen.
22.6. VERWALTUNG UND SICHERHEIT DER DIGITALEN UNTERLAGEN
Bei der Anwendung kryptographischer Techniken zur Generierung, Verteilung, zum Rückruf und zur Archivierung der
Schlüssel ist ein System zur Verwaltung dieser Schlüssel zu implementieren.
Es müssen Kontrollen zum Schutz der Schlüssel vor möglichen Änderungen, Vernichtungen und nicht autorisierten
Verwendungen vorgesehen werden.
Die etwaige Verwendung der digitalen Signatur von Dokumenten muss geregelt werden, wobei Verantwortlichkeiten,
Genehmigungsstufen, Regeln zur Anwendung von Zertifizierungssystemen, die etwaige Verwendung und der Versand von
Dokumenten, Archivierungsmodalitäten und Vernichtung derselbigen genau festgelegt werden müssen.
22.7. ALLGEMEINE REGELN
Die Vorgehensweisen zu folgenden Tätigkeiten müssen festgelegt werden:
−
Generierung und Schutz der Logs über die Systemaktivitäten
−
Erhebung von Sicherheitsvorfällen, zumindest in Bezug auf sensible Daten
−
Reaktion auf Vorfälle in Bezug auf die Sicherheit auf Datenebene sowie Störungsbearbeitung, Reporting und Meldung
solcher Vorfälle an die Zuständigen