Back to Top
 
IT-Grundschutz

SYS: IT-Systeme

SYS.2.1 Allgemeiner Client

3 Anforderungen

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN für den Baustein Allgemeiner Client vorrangig umgesetzt werden:

SYS.2.1.A1 Benutzerauthentisierung

Um den Client zu nutzen, MÜSSEN sich die Benutzer gegenüber dem IT-System authentisieren. Sollen die Benutzer hierfür Passwörter verwenden, MÜSSEN sichere Passwörter benutzt werden. Die Passwörter MÜSSEN der Passwort-Richtlinie der Institution entsprechen, siehe ORP.4 Identitäts- und Berechtigungsmanagement

SYS.2.1.A2 Rollentrennung

Der Client MUSS so eingerichtet werden, dass normale Tätigkeiten nicht mit Administrationsrechten erfolgen. Nur Administratoren DÜRFEN Administrationsrechte erhalten. Es DÜRFEN nur Administratoren die Systemkonfiguration ändern, Anwendungen installieren bzw. entfernen oder Systemdateien modifizieren bzw. löschen können. Benutzer DÜRFEN ausschließlich lesenden Zugriff auf Systemdateien haben.

Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des IT-Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.

SYS.2.1.A3 Aktivieren von Autoupdate-Mechanismen

Automatische Update-Mechanismen (Autoupdate) MÜSSEN aktiviert werden, sofern nicht andere Mechanismen wie regelmäßige manuelle Wartung oder ein zentrales Softwareverteilungssystem für Updates eingesetzt werden. Wenn für Autoupdate-Mechanismen ein Zeitintervall vorgegeben werden kann, SOLLTE mindestens täglich automatisch nach Updates gesucht und diese installiert werden.

SYS.2.1.A4 Regelmäßige Datensicherung

Zur Vermeidung von Datenverlusten MÜSSEN regelmäßige Datensicherungen erstellt werden. In den meisten Rechnersystemen können diese weitgehend automatisiert erfolgen. Es MÜSSEN Regelungen getroffen werden, welche lokal abgespeicherten Daten von wem wann gesichert werden. Es MÜSSEN mindestens die Daten regelmäßig gesichert werden, die nicht aus anderen Informationen abgeleitet werden können. Auch Clients MÜSSEN in das Datensicherungskonzept der Institution einbezogen werden. Bei vertraulichen und ausgelagerten Backups SOLLTEN die gesicherten Daten verschlüsselt gespeichert werden. Für eingesetzte Software SOLLTE separat entschieden werden, ob sie von der regelmäßigen Datensicherung erfasst werden muss. Es MUSS regelmäßig getestet werden, ob die Datensicherung auch wie gewünscht funktioniert, vor allem, ob gesicherte Daten problemlos zurückgespielt werden können. Die Benutzer SOLLTEN über die Regelungen, von wem und wie Datensicherungen erstellt werden, informiert werden.

SYS.2.1.A5 Bildschirmsperre [Benutzer]

Eine Bildschirmsperre MUSS verwendet werden, damit keine Unbefugten auf die aktivierten Clients zugreifen können. Sie SOLLTE sich sowohl manuell vom Benutzer aktivieren lassen als auch nach einem vorgegebenen Inaktivitäts-Zeitraum automatisch gestartet werden. Es MUSS sichergestellt sein, dass die Bildschirmsperre erst nach einer erfolgreichen Benutzerauthentikation deaktiviert werden kann.