IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Definition des Grundschutzes<br />
Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktionen bevollmächtigt<br />
wird, <strong>IT</strong>-Systeme, <strong>IT</strong>-Anwendungen oder Daten <strong>zu</strong> nutzen. Der Benutzer<br />
darf nur mit den Zugriffsrechten arbeiten, die unmittelbar für die Erledigung<br />
seiner Aufgaben vorgesehen sind.<br />
Im Bereich der Hochschul-Institutsverwaltung erfolgt die Vergabe bzw. Änderung<br />
der Zugriffsrechte für die einzelnen Benutzer auf schriftlichen Antrag. In allen anderen<br />
Organisationseinheiten sind die dort geltenden Regelungen <strong>zu</strong> beachten.<br />
Es ist <strong>zu</strong> prüfen, inwieweit die Zugriffserlaubnis auf bestimmte Arbeitsplatz-PCs begrenzt<br />
werden kann. Für Benutzer mit besonderen Rechten, insbesondere für Administratorkennungen,<br />
ist eine Zugriffserlaubnis auf die notwendigen Rechner<br />
(i.d.R. sind es der betreffende Server und die Arbeitsplatz-PCs) <strong>zu</strong> begrenzen. Es ist<br />
ebenfalls <strong>zu</strong> prüfen, inwieweit die Zugangserlaubnis auf bestimmte Zeiten begrenzt<br />
werden kann. Beispielsweise könnte der Zugang <strong>zu</strong> wichtigen Systemen für<br />
die Anwender auf die üblichen Arbeitszeiten eingeschränkt werden.<br />
2.2.6.8. Änderung der Zugriffsrechte (M2.221)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher (bereichsspezifisch)<br />
Verfahrensverantwortlicher (verfahrensspezifisch)<br />
<strong>IT</strong>-Personal<br />
Im organisatorischen Ablauf muss <strong>zu</strong>verlässig verankert sein, dass das <strong>zu</strong>ständige<br />
<strong>IT</strong>-Personal über die notwendige Änderung der Berechtigungen eines Anwenders,<br />
z. B. in Folge von Änderungen seiner Aufgaben, rechtzeitig informiert wird, um die<br />
Berechtigungsänderungen im System ab<strong>zu</strong>bilden.<br />
2.2.6.9. Abmelden und ausschalten (M3.18 / M4.2 / M2.333)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher<br />
<strong>IT</strong>-Personal , <strong>IT</strong>-Anwender<br />
Bei kürzerem Verlassen des Raumes, d.h. bis ca. 10 Minuten, muss der Zugriff auf<br />
das <strong>IT</strong>-System durch einen Kennwortschutz gesperrt werden. Grundsätzlich sind die<br />
Systeme nach der Abmeldung aus<strong>zu</strong>schalten, es sei denn, betriebliche Anforderungen<br />
sprechen dagegen. (Beispielsweise kann die Rechenzeit von Arbeitsplatz-PCs in<br />
den Ruhephasen <strong>zu</strong> wissenschaftlichen Zwecken genutzt werden.) Soweit es technisch<br />
möglich ist, sollte ein Arbeitsplatz-PC so konfiguriert sein, dass nach längerer<br />
Inaktivität (beispielsweise 20 Minuten) der PC automatisch gesperrt wird und nur<br />
nach erneuter Eingabe eines Passwortes <strong>zu</strong> aktivieren ist.<br />
2.2.7. System- und Netzwerkmanagement<br />
Eine angemessene Protokollierung ist für einen <strong>zu</strong>verlässigen Betrieb unerlässlich.<br />
Eine Auswertung solcher Protokolle mit geeigneten Hilfsmitteln erlaubt beispielsweise<br />
einen Rückschluss auf die Funktionsfähigkeit des <strong>IT</strong>-Systems. Protokolle die-<br />
46 von 75