Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.172 Protokollierung der Archivzugriffe - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.172 Protokollierung der Archivzugriffe

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Leiter IT, Administrator

Die Zugriffe auf elektronische Archive sind zu protokollieren. Hierdurch soll die Nachvollziehbarkeit der Aktivitäten gewährleistet und eventuelle Fehlerkorrekturen ermöglicht werden. Die folgende Aufzählung gibt einen Überblick darüber, welche Arten von Ereignissen mit Hilfe der Protokollierung erkannt werden können:

Der Umfang der Protokollierung richtet sich einerseits nach den Anforderungen an die Nachvollziehbarkeit und Authentizität der in Archiven gespeicherten Dokumente. Andererseits müssen auch die organisationsintern abgestimmten Regelungen, z. B. zum Datenschutz, beachtet werden.

Sofern möglich, sollten mindestens folgende Daten protokolliert werden:

Die Zeitdauer der Aufbewahrung der Protokolldaten ist im Archivierungskonzept festzulegen.

Die Protokolldaten müssen unter Beachtung organisationsinterner Vorgaben regelmäßig ausgewertet werden, um Missbrauch und Systemfehler zu erkennen. Die Auswertung kann manuell oder mit Unterstützung eines Tools erfolgen. Im Vorfeld sollten kritische Ereignisse definiert werden, also solche, bei deren Auftreten ein Administrator zu benachrichtigen ist. Solche Vorfälle sollten umgehend signalisiert werden, z. B. unter Nutzung vorhandener Systemmanagement-Umgebungen. Außerdem ist es wichtig, dass die Benachrichtigung rollenbezogen, nicht personenbezogen erfolgt. Wird beispielsweise eine E-Mail an eine konkrete Person geschickt, bleibt die Nachricht unter Umständen unbeachtet, wenn diese Person nicht anwesend ist.

Folgende Ereignisse weisen bei der Archivierung typischerweise eine hohe Kritikalität auf und sollten daher permanent protokolliert, überwacht und bei Auftreten umgehend signalisiert werden:

Nach der Signalisierung sollte das Ereignis sofort geprüft und gegebenenfalls weiter eskaliert werden. Typischerweise erfolgt eine erste Eskalation an den Leiter IT. Organisationsspezifisch können jedoch auch andere Eskalationsprozesse vorgesehen sein.

Ergänzende Kontrollfragen: