IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Definition des Grundschutzes<br />
2.2.5.4. Test von Software (M2.62 / DSVO)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher<br />
<strong>IT</strong>-Personal<br />
Vor dem Einsatz neuer Software oder neuer Versionen muss die Erfüllung der Spezifikation<br />
durch hinreichende Tests sichergestellt sein. Der Testverlauf und das Testergebnis<br />
sind <strong>zu</strong> dokumentieren.<br />
2.2.5.5. Entwicklung von Software nach standardisierten Verfahren<br />
(M2.80 / M2.81 / M2.82 / M2.83 / M2.84 / M2.85)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher<br />
<strong>IT</strong>-Personal<br />
Softwareentwicklungen, die auf Grund ihrer Größenordnung Projektcharakter haben,<br />
müssen nach standardisierten Verfahren (Vorgehensmodelle) und nach Maßgabe<br />
der für die teilnehmenden Institutionen geltenden Regelungen (u. a. ein klar<br />
umrissenes Projektmanagement und eine Qualitätssicherung) durchgeführt werden.<br />
2.2.5.6. Schutz vor Schadprogrammen (M4.3)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher<br />
<strong>IT</strong>-Personal<br />
Auf allen Arbeitsplatz-PCs ist, soweit möglich, ein aktueller Virenscanner ein<strong>zu</strong>richten,<br />
der automatisch alle eingehenden Daten und alle Dateien überprüft. Jede Organisationseinheit<br />
ist verpflichtet, Virenschutzsysteme an<strong>zu</strong>bieten. Durch den Einsatz<br />
von Virenschutzsystemen soll das Eindringen von schädlichem Programmcode<br />
erkannt und verhindert werden. Regelmäßig (möglichst automatisiert) sind die Virenerkennungsmuster<br />
<strong>zu</strong> aktualisieren. Wird auf einem System schädlicher Programmcode<br />
entdeckt, muss dies der <strong>zu</strong>ständigen Stelle gemeldet und das Ergebnis<br />
der eingeleiteten Maßnahmen dokumentiert werden.<br />
Empfehlenswert ist, in regelmäßigen Abständen sowie bei konkretem Bedarf oder<br />
Verdacht eine Suche nach Schadprogrammen auf allen bedrohten <strong>IT</strong>-Systemen<br />
vor<strong>zu</strong>nehmen und die Ergebnisse <strong>zu</strong> dokumentieren.<br />
2.2.5.7. Kontrollierte PC-Schnittstellen (M4.84 / M4.4)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
Verfahrensverantwortlicher (verfahrensspezifisch)<br />
<strong>IT</strong>-Personal<br />
Bei erhöhtem Schutzbedarf müssen Rechner so konfiguriert bzw. abgesichert werden,<br />
dass die Nut<strong>zu</strong>ng aller Schnittstellen des PCs (<strong>zu</strong>m Beispiel DVD-Laufwerke,<br />
WLAN-Schnittstellen, USB-Ports oder interne Festplattenanschlüsse) ausgeschlos-<br />
40 von 75