Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: M 2.424 Sicherheitsrichtlinie zum Einsatz von Patch- und Änderungsmanagement-Werkzeugen - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.424 Sicherheitsrichtlinie zum Einsatz von Patch- und Änderungsmanagement-Werkzeugen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Änderungsmanager

Ein Patch- und Änderungsmanagement-Werkzeug spielt als zentrale Instanz zur Umsetzung des Patch- und Änderungsmanagementprozesses und zur Softwareverteilung für den sicheren und ordnungsgemäßen Betrieb der Institution eine wesentliche Rolle.

Das Patch- und Änderungsmanagement muss mit einem angemessenen organisatorischen und technischen Aufwand betrieben werden. Dabei ist unter anderem der Schutzbedarf der Geschäftsprozesse und damit der Schutzbedarf der Daten und Systeme zu berücksichtigen. Dafür sollte eine spezifische Sicherheitsrichtlinie für das Patch- und Änderungsmanagement erstellt werden. Diese muss mit dem Sicherheitskonzept der Institution und den daraus abgeleiteten Sicherheitsrichtlinien abgestimmt sein.

Aspekte, zu denen in dieser Sicherheitsrichtlinie Vorgaben formuliert werden müssen, sind:

Vorgaben für die Planung:

Vorgaben für die Administration

Vorgaben für die Installation

Die Werkzeuge für das Patch- und Änderungsmanagement müssen sicher konfiguriert werden. Die jeweiligen konkreten Einstellungen hängen stark von den vorhandenen Anwendungen und IT-Systemen der Institution ab. Allgemeine Hinweise hierzu finden sich in M 4.237 Sichere Grundkonfiguration eines IT-Systems.

Vorgaben für den sicheren Betrieb

Vorgaben für Protokollierung und Monitoring

Die Art und Weise der Überwachung, Protokollierung und der Auswertung der vom Patch- und Änderungsmanagement-Werkzeug gelieferten Daten ist festzulegen.

Datensicherung

Ein geeignetes Verfahren für die Datensicherung ist festzulegen. Bei der Datensicherung sollten mindestens folgende Komponenten in regelmäßigen Abständen gesichert werden:

Des Weiteren muss das Verfahren für das Patch- und Änderungsmanagement-Werkzeug in das übergreifende Datensicherungskonzept der Institution eingebunden werden (siehe auch M 6.32 Regelmäßige Datensicherung).

Störung und Notfallvorsorge

Für die Notfallvorsorge müssen die einzelnen Notfällplane der Anwendungen und IT-Systeme, die vom Patch- und Änderungsmanagement verwaltet werden, berücksichtigt werden.

In Abhängigkeit von den Verfügbarkeitsanforderungen an das Patch- und Änderungsmanagement-Werkzeugs sollte überlegt werden, ob für das Patch- und Änderungsmanagement-Werkzeug ein separater Notfallplan für unerwünschte Effekte bei und nach der Installation von Patches und Änderungen erstellt wird.

Prüffragen: