Edv Dokumentation

Edv-Dokumentation

Erstellen Sie IT-Dokumentationen über Ihr Datennetz. Anforderung an die IT-Dokumentation nach IT-Grundschutz - Teil 1 Sie enthält Verfahren zur Identifizierung und Umsetzung modernster Sicherheitsvorkehrungen. Tatsächlich ist der Ausdruck "Basisschutz" etwas missverständlich, da die dargestellten Massnahmen teilweise weit über den Basisschutz, d.h. die Basisschutzmaßnahmen hinausgehen.

Weil Security nur ein Wort und nichts ist, was man berühren kann, ergibt sich die Frage: Was versteht man unter IT-Security?

Die folgende Feststellung halte ich für durchaus zutreffend: "Sicherheit = Ordnung + Sauberkeit" Im Hinblick auf eine IT-Landschaft heißt das für mich auch, eine verständliche IT-Dokumentation zu schaffen und zu unterhalten. Sie muss alle wichtigen Informationen enthalten und immer auf dem neuesten Wissensstand sein. Die Kataloge des IT-Grundschutzes enthalten viele Hinweise auf die Forderung nach einer umfassenden und aussagefähigen IT-Dokumentation.

Von besonderer Bedeutung ist die folgende Maßnahme: M2.219 Durchgängige Dokumentation der Datenverarbeitung. Es handelt sich um eine wichtige Messgröße, die wiederum in mehrere Einzelmessgrößen untergliedert ist. In der Massnahme "M2. 25 Dokumentation der Systemkonfiguration" werden Geltungsbereich und inhaltlich eine IT-Dokumentation dargestellt. Die IT-Dokumentation muss die physische Netzwerkstruktur und die Konfiguration des logischen Netzwerks sowie die Sicherung der Daten, die verwendeten Anwendungen und die Datei-Strukturen auf den IT-Systemen enthalten.

Die Kennzahlen beschreiben auch die Aufstellung eines Neustartplans und die Dokumentation der Berichtsketten. Über die Massnahme "M2. 31 Dokumentation der zulässigen Nutzer und Rechteprofile" werden die Voraussetzungen für ein Rollenkonzept und die Dokumentation eines Directory-Dienstes wie Microsoft AD festgelegt. Die Massnahme "M2. 34 Dokumentation von Änderungen an einem vorhandenen System" stellte eine grosse Herausforderungen dar.

Die Dokumentation der täglich stattfindenden Veränderungen an IT-Systemen stellt für jede IT-Abteilung eine ganz spezielle Anforderung dar. Im Rahmen der Massnahme "M2. 4 Vorschriften für Wartungs- und Reparaturarbeiten" wird die erforderliche Dokumentation der Instandhaltungsarbeiten und der damit verbundene Kontakt zu fremden Anbietern beschrieben. Diese Kennzahl gibt auch die Aktivitäten an, die vor und nach einer Instandsetzung durchgeführt werden müssen.

Die Massnahme "M2. 215 Fehlerbehandlung" beschreibt die Voraussetzungen für die IT-Dokumentation im Hinblick auf aufgetretene Irrtümer und Fehlfunktionen in IT-Systemen. Die Massnahmen aus "M2. 26 Bestellung eines Verwalters und eines Vertreters" sind etwas leichter umzusetzen. Dabei ist es besonders wichtig, die organisatorischen Massnahmen zu ergreifen und die Mitarbeitenden zu unterweisen.

Das Maß "M6. Die " Dokumentation der Datenübertragung " sollte bereits Teil Ihres Datenschutzkonzepts sein. Wenn Sie dieses Gesamtkonzept bereits zur Verfügung haben, können Sie es auch gleich in der IT-Dokumentation nachlesen. Die Massnahme "M6. 59 Definition von Zuständigkeiten im Falle von Sicherheitsvorfällen" dokumentieren, wer darüber zu unterrichten ist, was im Falle von welchen sicherheitsrelevanten Vorfällen.

Die anfangs erwähnte Maß M2.219 ist ein Maß für die Dichtungsstufe A. Es ist als Aufgabe im Modul B1.14 - Patch- und Change-Management klassifiziert. Selbstverständlich wird Ihr Beauftragter für den Datenschutz auch eine IT-Dokumentation anfordern, z.B. im Zuge der Überprüfung der technischen Umgangsformen (TOM). Die IT-Dokumentation ist nie vollständig.

Eine ist höchstens so groß, dass sie sich im momentanen Zustand aufhält. Diese resultiert bereits aus der Anforderung nach einer Dokumentation der Änderungen an vorhandenen Vorrichtungen. Wenn es Ihnen jedoch gelungen ist, Ihre IT-Dokumentation auf den neuesten technischen Standard zu bringen und so zu erhalten, haben Sie ein hervorragendes Tool zur Verfügung.

Ich beziehe mich im weiteren Laufe dieses Beitrages an geeigneter Stelle auf diese Anwendung und wie damit konkrete Massnahmen umsetzbar sind. Im zweiten Teil des Beitrages können Sie mehr über die Einzelmaßnahmen des IT-Basisschutzkatalogs erfahren.

Mehr zum Thema