M 2.352 Erstellung einer Sicherheitsrichtlinie für NAS-Systeme
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Ein NAS-System ist als zentraler Datenspeicher für Abläufe und Geschäftsprozesse in der Institution essentiell. Der sichere und ordnungsgemäße Betrieb kann nur sichergestellt werden, wenn Stationierung, Administration und Betrieb in die bestehenden sicherheitstechnischen Vorgaben integriert sind.
Die zentralen sicherheitstechnischen Anforderungen und das zu erreichende Sicherheitsniveau ergeben sich aus der organisationsweiten Sicherheitsleitlinie und sollten in einer spezifischen Sicherheitsrichtlinie für NAS-Systeme formuliert werden. Damit wird die übergeordnete und allgemein formulierte Sicherheitsleitlinie in ihrer Anwendung auf NAS-Systeme konkretisiert.
Für die Erstellung einer Sicherheitsrichtlinie für NAS-Systeme ist zuerst die Maßnahme M 2.316 Festlegen einer Sicherheitsrichtlinie für einen allgemeinen Server zu beachten. Dort werden die allgemeinen Sicherheitsvorkehrungen für IT-Systeme mit einer Server-Funktion vorgestellt. Für die Erstellung einer Sicherheitsrichtlinie für NAS müssen dann Festlegungen gemäß des Einsatzgebietes des NAS-Systems spezifiziert werden.
Die allgemeine Administrations- und Konfigurationsstrategie für das NAS ("Liberal" oder "Restriktiv") sollte entsprechend des Schutzbedarfs der damit verarbeiteten Informationen und den darauf zugreifenden Anwendungen entwickelt werden.
Zusätzlich sind bei den einzelnen Bereichen der NAS-Sicherheitsrichtlinie folgende Punkte zu beachten:
-
Die Vorgaben für die Installation und Konfiguration gemäß M 4.274 Sichere Grundkonfiguration von Speichersystemen) müssen eingehalten werden. Weitere Vorgehensweisen und Regelungen müssen diesbezüglich definiert werden:
- Das Vorgehen bei der Erstinstallation ist zu definieren und zu dokumentieren. Wenn diese vom Hersteller oder Lieferanten vorgenommen wird, ist die entsprechende Dokumentation einzufordern.
- Wenn eine Fernwartung durch den Hersteller oder einen Dienstleister vorgesehen ist, müssen entsprechende organisatorische und technische Regelungen zur Fernwartung definiert werden.
- Ein Konzept für die Zugriffskontrolle muss erstellt werden. In NAS-Systemen wird dies hauptsächlich mit Hilfe von Access Control Lists erreicht. Auch sogenannten "Storage Security Appliances" können als transparente Proxies zwischen Clients und dem NAS geschaltet werden und somit einen zusätzlichen Zugriffsschutz bieten.
- Wenn ein NAS-System einen integrierten Webserver nicht nur als internes Konfigurationswerkzeug enthält, so muss vermieden werden, dass Netzzonen unterschiedlichen Vertrauens bedient werden. So ist es zulässig das NAS-System gleichzeitig als Dateiserver im Intranet und als Intranet-Webserver zu betreiben. Es ist nicht zulässig, das NAS-System als Dateiserver im Intranet und gleichzeitig als Webserver zu betreiben.
- Die Sicherheitsrichtlinie für NAS-Systeme muss Vorgaben für die sichere Administration und den sicheren Betrieb definieren (siehe auch M 4.275 Sicherer Betrieb eines Speichersystems).
- Je nach Einsatzbereich ist der Einsatz von Verschlüsselung (Standards, Schlüsselstärken) zu definieren.
- Der Einsatz von geeigneten Werkzeugen für Betrieb und Wartung und die Integration in ein bestehendes Netzmanagement sind zu untersuchen (siehe M 2.359 Überwachung und Verwaltung von Speichersystemen).
- Berechtigungen und Vorgehensweisen bei Softwareupdates und Konfigurationsänderungen müssen definiert werden. Änderungen müssen dokumentiert werden.
- Das NAS-System ist in das Virenschutzkonzept der Institution einzubinden, die Installation und Konfiguration von Anti-Viren-Software sowie die Versorgung mit Signatur-Updates muss geplant werden.
- Ein angemessenes Datensicherungskonzept (siehe dazu Baustein B 1.4 Datensicherungskonzept) ist auf das festgestellte Schutzniveau des NAS-Systems abzustimmen und mit dem organisationsweite Datensicherungskonzept abzustimmen.
-
Für die Definition von Regelungen für Sicherheitsvorfälle ist der Baustein B 1.8 Behandlung von Sicherheitsvorfällen zu berücksichtigen. Darüber hinaus müssen
- Richtlinien für die Reaktion auf Betriebsstörungen und technische Fehler (lokaler Support, Fernwartung), sowie
- Regelungen für spezielle Sicherheitsvorfälle wie Schadprogramme, Eindringen von Unbefugten oder einen unerwartet hohen Verbrauch von CPU-Ressourcen definiert werden.
- Für die Notfallvorsorge für NAS-Systeme ist neben der Einbindung in das organisationsweite Notfallvorsorgekonzept auch M 6.98 Notfallvorsorge für Speichersysteme zu beachten.
Die Sicherheitsrichtlinie für NAS-Systeme muss für alle Beteiligten zugreifbar sein. Sie muss regelmäßig aktualisiert werden.
Ergänzende Kontrollfragen:
- Wurde eine Sicherheitsrichtlinie für den Betrieb von NAS-Systemen erstellt?
- Wann wurde die Sicherheitsrichtlinie zum letzten Mal aktualisiert?
- Wurden in der Sicherheitsrichtlinie Vorgaben zur Einrichtung, zum Betrieb und zur Störungsbehandlung von NAS-Systemen beschrieben?