M 2.268 Festlegung einer IIS-Sicherheitsrichtlinie
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsmanagement
Für den Einsatz von IIS ist eine geeignete Sicherheitsrichtlinie zu definieren. In der Sicherheitsrichtlinie muss festgelegt werden, was zu unternehmen ist, um ein System effektiv abzusichern.
Zugriffsregeln
In der Sicherheitsrichtlinie müssen folgende Zugriffsregeln festgelegt werden:
- Welcher Benutzer darf auf welchen Server zugreifen und welche Benutzer sollen auf welchen Server nicht zugreifen (Ausschlussliste)?
- Welcher Benutzer darf auf welche Verzeichnisse und Web-Seiten zugreifen bzw. nicht zugreifen (Ausschlussliste)?
- Welche Authentisierung ist zum Zugriff auf Verzeichnisse und Web-Seiten erforderlich?
- Welche Anwendungen und Scripts werden mit welchen Rechten ausgeführt?
- Wie und mit welchen Rechten darf auf angeschlossene Datenbanken zugegriffen werden?
- Von wo aus darf auf den IIS zugegriffen werden?
Im Rahmen der Sicherheitsrichtlinie sind außerdem folgende Aspekte zu berücksichtigen:
- Die Sicherheitsrichtlinie für den IIS muss konform zu den geltenden generellen Sicherheitsrichtlinien sein (siehe M 2.192 Erstellung einer Leitlinie zur Informationssicherheit).
Verschlüsselung und Signatur
- Außerdem muss festgelegt werden, ob eine Kommunikationsabsicherung, z. B. SSL, eingesetzt werden soll, welcher Mechanismus genutzt wird und welche Kommunikationsverbindungen geschützt werden sollen.
Audit und Protokollierung
- Es muss ein Auditing- und Protokollierungskonzept entworfen werden. Es ist darauf zu achten, dass der Datenschutzbeauftragte in die Planung mit einbezogen wird, da im Rahmen der Überwachung auch personenbezogene Daten anfallen können.
Alle Beteiligte müssen die Vorgaben kennen.
Die Sicherheitsrichtlinie für den IIS muss organisationsweit abgestimmt sein und allen Beteiligten, u. a. den zuständigen Administratoren, bekannt gegeben worden sein. Wenn sich Sicherheitsvorgaben verändern, müssen alle Beteiligten hierüber informiert werden.
Ergänzende Kontrollfragen:
- Existiert eine aktuelle Sicherheitsrichtlinie für den IIS?
- Können alle relevanten Sicherheitsvorschriften der organisationsweiten Sicherheitsrichtlinie auf den IIS abgebildet werden?
- Werden alle Beteiligten über neue oder veränderte Sicherheitsvorschriften informiert?