M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Es muss eine Dokumentation der am IT-System zugelassenen Benutzer, angelegten Benutzergruppen und Rechteprofile erfolgen. Dabei gibt es verschiedene Dokumentationsmöglichkeiten wie beispielsweise über
- vorgegebene Administrationsdateien des Systems,
- individuelle Dateien, die vom zuständigen Administrator verwaltet werden,
- in Papierform.
Es sollte eine geeignete Form ausgewählt werden, möglichst einheitlich für die gesamte Institution.
Dokumentiert werden sollten insbesondere folgende Angaben zur Rechtevergabe an Benutzer und Benutzergruppen:
Zugelassene Benutzer:
- zugeordnetes Rechteprofil (gegebenfalls Abweichungen vom verwendeten Standard-Rechteprofil)
- Begründung für die Wahl des Rechteprofils (und gegebenfalls der Abweichungen)
- Zuordung des Benutzers zu einer Organisationeinheit, Raum- und Telefonnummer
- Zeitpunkt und Grund der Einrichtung
- Befristung der Einrichtung
- Zugelassene Gruppen:
- zugehörige Benutzer
- Zeitpunkt und Grund der Einrichtung
- Befristung der Einrichtung
Die Dokumentation der zugelassenen Benutzer und Rechteprofile sollte regelmäßig (mindestens alle 6 Monate) daraufhin überprüft werden, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch den Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht.
Für das Betriebssystem z/OS finden sich weitere Empfehlungen in den folgenden Maßnahmen:
- M 2.289 Einsatz restriktiver z/OS-Kennungen
- M 2.297 Deinstallation von z/OS-Systemen
- M 4.211 Einsatz des z/OS-Sicherheitssystems RACF
Die vollständige Dokumentation ist Voraussetzung für Kontrollen der vergebenen Benutzerrechte.
Die Dokumentation muss so gespeichert beziehungsweise aufbewahrt werden, dass sie vor unbefugtem Zugriff geschützt ist und so, dass auch bei einem größeren IT-Sicherheitsvorfall oder IT-Ausfall darauf zugegriffen werden kann. Falls die Dokumentation in elektronischer Form erfolgt, muss sie in das Datensicherungsverfahren einbezogen werden.
Ergänzende Kontrollfragen:
- Sind Aufzeichnungen über die zugelassenen Benutzer und Gruppen und deren Rechteprofile vorhanden?
- Sind die Aufzeichnungen aktuell?
- Wann wurden die Aufzeichnungen das letzte Mal überprüft?
- Sind die Aufzeichnungen vor unberechtigten Zugriffen ausreichend geschützt?