Betroffene Basis-Ziele
Konkretes Ziel
Beschränkung des Zugriffs auf Informationen und informationsverarbeitende Einrichtungen.
Maßnahme
Eine Zugangssteuerungsrichtlinie ist auf Grundlage der geschäftlichen und sicherheitsrelevanten Anforderungen zu erstellen, zu dokumentieren und zu überprüfen.
Umsetzung
Die aktuell vergebenen Zugangs-Rechte sind aus der AD-Gruppenverwaltung ersichtlich. Dort werden auch die nicht direkt durch das AD administrierten Zugänge als eigene Gruppe der Übersichtlichkeit halber aufgeführt und gepflegt. Die detaillierten Zugriffs-Konfigurationen innerhalb der einzelnen Systeme werden nicht vollends zentral nachgehalten, da dies die Wartbarkeit erheblich erschweren und zu Inkonsistenzen führen würde.
Welche Rollen und Berechtigungen ein Mitarbeiter zugewiesen bekommt, wird im Einstellungsprozess bzw. bei einem Wechsel der Anstellung durch die IT-Leitung festgelegt. Der Punkt “Zugänge durch IT-Leitung erteilt” im Dokument “Checkliste: Einstellung und Austritt” dient hierfür als Kontrollelement. Siehe auch: Personelle Sicherheit.
Zur initialen Orientierung kann die IT-Leitung folgende “Jobprofile” bei der Anweisung zur Account-Einrichtung mitgeben:
| Jobprofil | AD-Gruppen |
|---|---|
| Testredaktion | opta, Wiki, Bildportal DPA, Hubspot, 3CX, Office 365 |
| Software-Entwicklung | opta, Wiki, GIT, JIRA Software, Jira Service Desk, GIT, Nexus, Icinga, Kibana 3CX, Office 365 |
| Berater | opta, Wiki, Jira Service Desk, Hubspot 3CX, Office 365 |
| Marketing | Wiki, Adobe CC, Hubspot, heyflow 3CX, Office 365 |
| Vertrieb | opta, Wiki, VS4, Hubspot 3CX, Office 365 |
| Praktikant | - nichts - |
Den Umsetzungs-Auftrag muss die IT-Leitung schriftlich via E-Mail an einen Systemadministrator erteilen. Die Umsetzung / Aktivierung der Zugänge muss sich die IT-Leitung von dem Systemadministrator, der die Umsetzung durchführt, via E-Mail bestätigen lassen.
Sofern einem Mitarbeiter im laufenden Betrieb Zugänge erteilt / entzogen werden sollen, muss hierfür zunächst ein Mitglied der Geschäftsführung protokolliert (via E-Mail) um Erlaubnis gefragt werden. Anschließend muss - ebenfalls protokolliert - ein Systemadministrator informiert werden, damit dieser die Änderungen im AD nachhält. Rechteänderungen sind grundsätzlich im Ticketsystem zu dokumentieren.
Diese Regel wird den Mitarbeitern u.a. im Wiki-Artikel 11 Goldene IS-Regeln aufgezeigt.
Regelungen zur Zutrittkonstrolle sind im Abschnitt Sicherheitsbereiche zu finden.
Maßnahme
Benutzer dürfen ausschließlich zu denjenigen Netzwerken und Netzwerkdiensten Zugang haben, zu deren Nutzung sie ausdrücklich autorisiert wurden.
Umsetzung
Sämtliche Regeln zur Nutzung des Netzwerkes sind in die Zugangssteuerungsrichtlinie (s.o.) eingearbeitet.
Reviewdatum: 12.11.2024, Johannes Imhof