IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Definition des Grundschutzes<br />
sen wird, wenn sie für die <strong>zu</strong> erledigenden Aufgaben nicht notwendig sind. Für den<br />
Betrieb notwendige Schnittstellen müssen so kontrolliert werden, dass keine anderen<br />
als die vorgesehenen Geräte angeschlossen werden können. (Beispielsweise<br />
muss der USB-Port für den Anschluss einer Tastatur so eingestellt und überwacht<br />
werden, dass kein anderes Gerät an diesem Anschluss betrieben werden kann.) Der<br />
Zugriff auf das Rechner-BIOS ist durch ein Passwort <strong>zu</strong> schützen.<br />
2.2.5.8. Dokumentation (M2.219 / M2.24 / M2.25 / M2.34)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher (bereichsspezifisch)<br />
Verfahrensverantwortlicher (verfahrensspezifisch)<br />
<strong>IT</strong>-Personal<br />
Zu jedem <strong>IT</strong>-System ist eine Dokumentation <strong>zu</strong> führen. Üblicherweise werden nicht<br />
einzelne PCs gesondert dokumentiert, sondern <strong>zu</strong> größeren Gruppen <strong>zu</strong>sammengefasst.<br />
Die Dokumentation muss mindestens den Aufstellungsort und Unterlagen<br />
<strong>zu</strong>r Hard- und Softwareausstattung, Garantieleistungen, Wartungsverträgen, Lizenzen<br />
usw. enthalten. Darüber hinaus sind Angaben <strong>zu</strong>r Hard- und Softwarekonfiguration,<br />
<strong>zu</strong> durchgeführten Reparaturarbeiten, aufgetretenen Problemen, Suche<br />
nach Schadprogrammen und <strong>zu</strong>r Verantwortlichkeit <strong>zu</strong> dokumentieren. Regelungen<br />
<strong>zu</strong>r Datensicherung (Umfang, Verfahren, Rhythmus usw.) sind ebenfalls <strong>zu</strong> dokumentieren.<br />
2.2.5.9. Ausfallsicherheit (M2.314)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher (bereichsspezifisch)<br />
Verfahrensverantwortlicher (verfahrensspezifisch)<br />
<strong>IT</strong>-Dienstleister, <strong>IT</strong>-Personal<br />
Maßnahmen <strong>zu</strong>r Ausfallsicherheit sind entsprechend der jeweiligen Anforderung<br />
an die Verfügbarkeit <strong>zu</strong> ergreifen. <strong>IT</strong>-Systeme, die <strong>zu</strong>r Aufrechterhaltung eines geordneten<br />
Betriebs notwendig sind, müssen durch Ausweichlösungen (redundante<br />
Geräteauslegung oder Übernahme durch gleichartige Geräte mit leicht verminderter<br />
Leistung) oder Wartungsverträge mit kurzen Reaktionszeiten hinreichend verfügbar<br />
gehalten werden.<br />
2.2.5.10. Einsatz von mobilen PCs (M2.218 / M2.309 / M2.430 / M4.29)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher<br />
<strong>IT</strong>-Personal<br />
Mobile PCs können typischerweise sowohl mobil als auch stationär genutzt werden<br />
und damit auch auf unterschiedliche Netze <strong>zu</strong>greifen. Daraus resultiert, dass bei der<br />
mobilen Nut<strong>zu</strong>ng die Daten auf dem mobilen PC gegen Verlust, Manipulation und<br />
unberechtigte Einsichtnahme geschützt werden müssen. Andererseits muss sichergestellt<br />
werden, dass keine Gefährdungen von mobilen PCs auf andere <strong>IT</strong>-Systeme<br />
und Netze ausgehen können.<br />
41 von 75