IT-Grundschutz im Rechenzentrum: worauf ist zu achten

IT-Grundschutz-Compliance-Audit-Prozess

Durch schärfere Gesetze und Richtlinien erhöht sich der Druck auf die Revisionsabteilung von Unternehmen, ihre IT-Sicherheit und das Berichtswesen weiter zu optimieren. Die Gesetze und Richtlinien enthalten jedoch in der Regel keine in die IT übernehmbaren, konkreten  Formulierungen. Hier greifen vielmehr Best Practice Ansätze aus dem BSI IT-Grundschutzkatalog. Die dort enthaltenen Maßnahmen gilt es, in konkrete Auswertungsvorschriften oder Policies umzuwandeln. Wir geben praktische Empfehlungen für die Umsetzung des dynamischen IT-Audits und zeigen, welche Anforderungen in der Praxis erfüllt werden sollten.

Worauf ist bei der Umsetzung der IT-Grundschutz Sicherheitsmaßnahmen zu achten?

Generell ist Unternehmen eine Audit-Software mit klar definierten Kontrollprozeduren anzuraten, um geltende Compliance-Vorschriften und interne Policies zu erfüllen. In Standardpaketen mitgelieferte Kontrollprozeduren sollten problemlos in die z/OS-Umgebungen von Unternehmen integriert werden können. Berücksichtigt werden müssen Daten aus den globalen RACF-Einstellungen, der RACF-Datenbank,  den  SMF-Sätzen  sowie  den  z/OS-Systemeinstellungen. Die Kontrollprozeduren sollten sehr gut dokumentiert und zugleich ausbaubar sein. Darüber hinaus sollte die eingesetzte Software flexible Erweiterungen ermöglichen. Wenn Unternehmen einen Bedarf für weitere Kontrollprozeduren sehen, so ist wichtig, dass sie diese kurzfristig erstellen oder einkaufen können. Zudem ist sicher zu stellen, dass die Analyse sehr großer Mengen an Systeminformationen schnell und effizient erfolgt, wie beispielsweise die Analyse von Event-Logs.

Audit Reports Auswerten

Für die Auswertung müssen Audit-Reports erzeugt werden können, die  idealerweise eine summarische Darstellung der Ergebnisse durchgeführter Prüfungen als Ampel-Modell enthalten, die automatisch an die zuständigen Personen geliefert werden. Anhand von Summary-Reports sollten Unternehmen zunächst  überblicken können, ob Abweichungen vorliegen – falls ja, so gehen sie in den Detail-Report. Ein „dynamisches Auditing“ ermöglicht es dabei Unternehmen, kritische Zustände und Ereignisse in ihren IT-Systemen  sofort  aufzudecken und eine kontinuierliche und dokumentierte Überwachung sicher zu stellen.

Auf Basis der Audit-Reports sollten die Produktionsabläufe so optimiert werden können, dass die Übereinstimmung mit der jeweiligen Police sichergestellt wird. So gewinnen die Unternehmen ein hohes Maß an IT-Sicherheit und Qualität hinzu. Last, not least sollten die Unternehmen durch die eingesetzte Audit-Software den gestiegenen Audit-Aufwand mit derselben Personaldecke bewältigen können.

IT-Grundschutz-Compliance-Audit-Prozess-Detail

Mit der verfügbaren Discovery Produkt Generation erhalten Unternehmen einen „Single Point of Information“, in dem alle relevanten Informationen aus z/OS- und Non-z/OS-Quellen mit umfassenden Standard-Analysen und -Reports verarbeitet werden. Die integrierte Überwachung der z/OS- und RACF-System-Konfiguration wird durch die integrierte Grundschutz-Prüfung nach IT- Grundschutzkatalog und ISO 2700X sichergestellt.

Detaillierte Informationen zu den Kontrollprozeduren für RACF-Einstellungen, RACF-Datenbank- Auswertungen, RACF SMF-Auswertungen und z/OS-Systemeinstellungen stellt wir auf Anfrage gerne zur Verfügung.

Tags: | | | | |
Bernhard Prüger
Ich bin in Wien geboren, lebe und arbeite mit meiner Familie seit vielen Jahren in der deutschen Bundeshauptstadt Berlin. Als Wirtschaftsinformatiker bin ich von der Faszination IT angezogen. Als Produkt Marketing Spezialist verleihe ich den Bits und Bytes bei Beta Systems ein Gefühl. Bisher half ich Unternehmen im Aufbau von Channel- und Inbound Marketing sowie der Umsetzung von Go-to-Market Strategien.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

(1) Kommentar

Ein Gedanke zu „IT-Grundschutz im Rechenzentrum: worauf ist zu achten

  1. Pingback: 4 Tipps für das automatisierte Rechenzentrum - Data Center Blog Beta Systems

← zurück