IT-Sicherheitsrichtlinie Kopplung der VPN - Landkreis Passau

Weitere Magazine

Empfehlungen

Info

IT-Sicherheitsrichtlinien für BayKom-Daten Kopplung der VPN VPN Standort Sicherheitsinstanz – Betreiber LfStaD BayITSRL-01 Stand: 19.11.2003 Standort Sicherheitsinstanz – anderer Betreiber Justiz-VPN LfStaD Oberlandesgericht München Polizei-VPN LfStaD Bayerisches Landeskriminalamt Steuer-VPN LfStaD TFA Nürnberg und/oder OFD München Staatliches Haupt-VPN LfStaD Staatliches Neben-VPN LfStaD Kommunales VPN LfStaD Extranet-/Dienstleister-VPN LfStaD Tabelle 1: Standorte der Sicherheitsinstanzen 3.2 Organisatorische Schutzmaßnahmen Die Komponenten der Sicherheitsinstanz erfordern einen gesicherten, hochverfügbaren und performanten Betrieb. Verschiedene Konzepte zur Durchführung eines solchen Be- triebes können in [1] eingesehen werden. Im Rahmen der vorliegenden Richtlinie sind die im Folgenden genannten Aufgaben durch die beauftragten Stellen kontinuierlich zu er- füllen und durch das Bayern-CERT zu überwachen. 3.2.1 Physische Sicherheit Die Sicherheitskomponenten sind in physikalischen Schutzzonen unterzubringen. Der Zugang zu diesen Schutzzonen ist auf eine geschlossene Benutzergruppe zu reduzieren. 3.2.2 Audit Die technischen und organisatorischen Schutzmaßnahmen sind regelmäßig zu überprüfen. Die Überprüfung ist zu dokumentieren. Es ist sicherzustellen, dass die aktuellen Maßnahmen die Sicherheitsvorgaben erfüllen. Die Vorgaben ergeben sich aus der IT- Sicherheitsleitlinie, der IT-Sicherheitsrichtlinie zur Kopplung der VPN sowie dem IT- Sicherheitskonzept der Behörde. Ergänzend kann das Bayern-CERT oder ein externer Dienstleister mit der Durchführung eines Audit beauftragt werden. Seite 6 von 7
IT-Sicherheitsrichtlinien für BayKom-Daten Kopplung der VPN 3.2.3 Technische Überwachung BayITSRL-01 Stand: 19.11.2003 Keine Sicherheitskomponente bietet einen absoluten Schutz. Aus diesem Grund verbleibt stets ein Restrisiko. Dies bedeutet, dass es möglich ist, eine Sicherheitskomponente durch einen erfolgreichen Angriff zu überwinden. Ernst zu nehmende Angriffe sind über die Protokolldateien der Sicherheitskomponenten zu erkennen. Diese sind auszuwerten. Die Auswertung kann durch geeignete Filter- und Alarmmechanismen unterstützt werden. Die Mechanismen und anfallenden Daten müssen mindestens arbeitstäglich überprüft und ausgewertet werden. 3.2.4 Aktualisierung und Schwachstellenüberwachung Alle Sicherheitskomponenten sind durch regelmäßige Updates auf aktuellem Stand zu halten. Die Betreiber der Sicherheitskomponenten sind dafür verantwortlich, aktuelle Schwachstellen der Sicherheitskomponenten zu erkennen und diese abzustellen. Durch das Einspielen der Updates oder Patches ist u. U. mit Störungen des Betriebes zu rechnen. Es gilt das in der IT-Sicherheitsleitlinie festgeschriebene Prinzip „Sicherheit vor Verfügbarkeit“. Die Verantwortlichen haben ihre Aktivitäten und Prüfungen zu dokumentieren. 3.2.5 Reaktion auf IT-Sicherheitsvorfälle Bei verdächtigen IT-Sicherheitsvorfällen ist der Beauftragte für IT-Sicherheit unmittelbar und unverzüglich einzuschalten. Er arbeitet mit dem Bayern-CERT bei der Behebung des Sicherheitsvorfalls zusammen. 4 Literatur [1] Bundesamt für Sicherheit in der Informationstechnik (BSI). IT Grundschutzhandbuch. Bundesanzeiger Verlagsgesellschaft mbH. http://www.bsi.bund.de/gshb [2] Bayerisches Staatsministerium des Innern, IT Sicherheitsleitlinie, 01.01.2003 Seite 7 von 7
Seite 1 und 2: IT-Sicherheitsrichtlinien für BayK
Seite 3 und 4: 1 Einleitung IT-Sicherheitsrichtlin
Seite 5: 3 Regelungen IT-Sicherheitsrichtlin

IT-Sicherheitsrichtlinie Kopplung der VPN - Landkreis Passau

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?