RiLi-Servermanagement

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.


Mustervorlage: "Richtlinie Servermanagement"

Einleitung

Diese Richtlinie zum Servermanagement bildet das grundlegende Regelwerk für den sicheren Betrieb und Schutz von IT-Systemen in der Organisation. Diese Richtlinie dient dazu, die Integrität, Vertraulichkeit und Verfügbarkeit der Serverinfrastruktur sicherzustellen. Die ständige Weiterentwicklung der Informationstechnologie erfordert eine klare und umfassende Sicherheitsstrategie, um potenzielle Risiken zu minimieren.

Geltungsbereich

Diese Richtlinie gilt für sämtliche Server und IT-Systeme, die im Verantwortungsbereich der Organisation betrieben werden. Sie ist verbindlich für alle Mitarbeitenden, Dienstleister und Partner, die mit der Administration und Nutzung unserer Serverinfrastruktur befasst sind. Abweichungen von dieser Richtlinie bedürfen einer Ausnahme im Rahmen des Ausnahmemanagements.

Zielsetzung

Die Zielsetzung dieser Richtlinie Servermanagement umfasst:

  • Gewährleistung der Vertraulichkeit: Schutz sensibler Daten vor unberechtigtem Zugriff.
  • Sicherstellung der Integrität: Verhinderung unbefugter Manipulationen an Servern und Daten.
  • Maximierung der Verfügbarkeit: Sicherung eines stabilen und kontinuierlichen Serverbetriebs.
  • Einhaltung gesetzlicher und regulatorischer Anforderungen im Bereich IT-Sicherheit.
  • Sensibilisierung und Schulung aller Mitarbeiter für sicherheitsrelevante Aspekte im Servermanagement.
  • Kontinuierliche Überprüfung und Optimierung der Sicherheitsmaßnahmen entsprechend aktueller Bedrohungsszenarien.

Diese Zielsetzung trägt dazu bei, eine robuste und widerstandsfähige Serverinfrastruktur aufzubauen, die den geschäftlichen Anforderungen gerecht wird und gleichzeitig die höchsten Standards in puncto Informationssicherheit erfüllt.

Gesetzliche Rahmenbedingungen

Die genaue Anwendbarkeit dieser Gesetze und Standards hängt von der Art des Geschäfts, dem Standort und anderen faktorspezifischen Bedingungen ab. Organisationen sollten ihre spezifischen Compliance-Anforderungen evaluieren und sicherstellen, dass ihre Servermanagementpraktiken diesen Anforderungen entsprechen. Hier einige Beispiele:

Datenschutzgrundverordnung (DSGVO)
  • EU-weite Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
  • Stellt Anforderungen an die Verarbeitung personenbezogener Daten, einschließlich Sicherheitsmaßnahmen.
Bundesdatenschutzgesetz (BDSG)
  • Deutsches Gesetz, das die DSGVO in Deutschland ergänzt und nationale Besonderheiten regelt.
  • Gibt zusätzliche Bestimmungen für den Datenschutz in Deutschland vor.
IT-Sicherheitsgesetz (IT-SiG)
  • In Deutschland regelt das IT-SiG die Sicherheit von informationstechnischen Systemen in sogenannten "kritischen Infrastrukturen".
  • Verpflichtet Betreiber kritischer Infrastrukturen zur Umsetzung von angemessenen Sicherheitsmaßnahmen.
Telekommunikationsgesetz (TKG)
  • Regelungen für den Schutz von Telekommunikationsdaten in Deutschland.
  • Enthält Bestimmungen zur Sicherheit von Netzen und Diensten.
Network and Information Systems Directive (EU-NIS-Richtlinie)
  • Europäische Richtlinie zur Gewährleistung der Cybersicherheit.
  • Stellt Anforderungen an Betreiber wesentlicher Dienste und digitale Diensteanbieter.
Payment Card Industry Data Security Standard (PCI DSS)
  • Sicherheitsstandard für Unternehmen, die Kreditkartentransaktionen verarbeiten.
  • Legt Sicherheitsanforderungen für den Schutz von Kreditkartendaten fest.

Verantwortliche

Systemarchitektur

Für die Auswahl der eingesetzten Plattformen (Hardware und Virtualisierungslösung), Betriebssysteme, Administrations- und Monitoring-Komponenten wird eine detaillierte Anforderungsanalyse erstellt.

Auf Basis dieser Anforderungsanalyse werden die in Frage kommenden Komponenten unter Berücksichtigung wirtschaftlicher Gesichtspunkte ausgewählt mit dem Ziel, eine möglichst homogene Infrastruktur zu schaffen und damit die Komplexität und den Administrationsaufwand so gering wie möglich zu halten.

Die Infrastruktur muss auch zukünftiges Wachstum und eine hohe Verfügbarkeit ermöglichen.

Dokumentation

Die Anforderungsanalyse und deren Ergebnisse werden dokumentiert.

Auf Basis der Anforderungen und der ausgewählten Komponenten werden Betriebskonzepte für die praktische Umsetzung der jeweiligen Betriebsumgebungen erstellt.

Diese werden durch Betriebshandbücher für die einzelnen Anwendungsserver ergänzt.

Sicherheitsmaßnahmen

  • Firewall-Richtlinien: Definieren und Implementieren strikter Firewall-Richtlinien, um den Datenverkehr zu überwachen und nicht benötigte Ports zu schließen.
  • Penetration Testing: Regelmäßige Penetrationstests, um Schwachstellen zu identifizieren und zu beheben.
  • Gruppenrichtlinien: Konfiguration von Gruppenrichtlinien zur Durchsetzung von Sicherheitsrichtlinien auf allen Servern.
  • Vulnerability Management: Einsatz von Vulnerability-Management-Tools zur kontinuierlichen Überwachung und Behebung von Sicherheitslücken.

Updates und Upgrades

  • Automatisierte Patch-Management: Einsatz von automatisierten Tools für das Patch-Management, um Sicherheitsupdates zeitnah einzuspielen.
  • Betriebssystem-Upgrades: Planung und Durchführung von Betriebssystem-Upgrades gemäß den Herstellerempfehlungen.

Wartung

Überwachung und Performance

  • Performance-Monitoring: Kontinuierliches Monitoring der Serverleistung, um Engpässe frühzeitig zu erkennen und zu beheben.
  • Ereignisprotokollierung: Aktive Überprüfung der Ereignisprotokolle auf Anomalien und Sicherheitsvorfälle.
  • Benachrichtigungen: Konfiguration von Benachrichtigungen bei kritischen Ereignissen für ein schnelles Eingreifen.

Datensicherung und Wiederherstellung

  • Backup-Strategie: Implementierung einer regelmäßigen, differenzierten Backup-Strategie mit Offsite-Speicherung.
  • Restore-Tests: Durchführung von regelmäßigen Restore-Tests, um die Wiederherstellbarkeit sicherzustellen.
  • Notfallwiederherstellungsplan: Aktualisierung und Test des Notfallwiederherstellungsplans mit klaren Verantwortlichkeiten.

Notfallvorsorge

  • Notfallplan: Detaillierte Anleitung für Schritte im Notfall und klare Verantwortlichkeiten festlegen.
  • Kommunikation: Definierte Wege und Prozesse für Notfallkommunikation. Aktuelle Kontaktinformationen.
  • Wiederherstellung: Schnelle Wiederherstellung von Systemen und Daten. Regelmäßige Tests der Wiederherstellungsprozesse.
  • Verfügbarkeit von Ressourcen: Sicherstellung von Zugriff auf notwendige Ressourcen. Vorbereitungen für alternative Betriebsstandorte und Arbeitsplätze.

Benutzer- und Rechteverwaltung

  • Least Privilege-Prinzip: Anwendung des Least Privilege-Prinzips für Benutzer, um unnötige Berechtigungen zu vermeiden.
  • Regelmäßige Überprüfung: Periodische Überprüfung und Bereinigung von Benutzerkonten und Berechtigungen.
  • Schulungen: Schulungen für Administratoren und Endbenutzer zu sicherheitsrelevanten Themen.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung