M 2.63 Einrichten der Zugriffsrechte
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Verantwortliche der einzelnen IT-Anwendungen, Administrator
Arbeiten mit einem IT-System mehrere Benutzer, so muss durch eine ordnungsgemäße Administration der Zugriffsrechte sichergestellt werden, dass die Benutzer das IT-System nur gemäß ihren Aufgaben nutzen können.
Vorausgesetzt sei, dass von den Fachverantwortlichen die Zugangs- und Zugriffsberechtigungen für die einzelnen Funktionen festgelegt wurden (siehe M 2.7 Vergabe von Zugangsberechtigungen und M 2.8 Vergabe von Zugriffsrechten). Anschließend werden die Benutzer des IT-Systems den einzelnen Funktionen zugeordnet. Die Ergebnisse sind schriftlich zu dokumentieren.
Der Administrator muss dann das IT-System so konfigurieren, dass diese Benutzer Zugang zum IT-System erhalten und mit den ihnen zugewiesenen Zugriffsrechten nur ihre Aufgaben wahrnehmen können. Bietet das IT-System keine Möglichkeit, Zugriffsrechte zuzuweisen (z. B. beim DOS-PC mit mehreren Benutzern), so ist ein Zusatzprodukt zu diesem Zweck einzusetzen (siehe z. B. M 4.41 Einsatz angemessener Sicherheitsprodukte für IT-Systeme).
Lässt das IT-System es zu, so sind die sinnvoll einsetzbaren Protokollfunktionen zur Beweissicherung durch den Administrator zu aktivieren. Dazu gehören erfolgreiche und erfolglose An- und Abmeldevorgänge, Fehlermeldungen des Systems, unerlaubte Zugriffsversuche.
Für den Vertretungsfall muss der Administrator vorab kontrollieren, ob der Vertreter vom Fachverantwortlichen autorisiert ist. Erst dann darf er die erforderlichen Zugriffsrechte im akuten Vertretungsfall einrichten.
Ergänzende Kontrollfragen:
- Werden die vom Administrator eingerichteten Zugriffsrechte sporadisch überprüft?
- Liegt eine Dokumentation vor, welche Rechtestruktur im IT-System realisiert ist?