09 Okt

CON: Konzeption und Vorgehensweise

CON.1 Kryptokonzept
Basis-Anforderungen
CON.1.A1 Auswahl geeigneter kryptografischer Verfahren [Fachverantwortliche] (B)
CON.1.A2 Datensicherung bei Einsatz kryptografischer Verfahren [IT-Betrieb] (B)
Standard-Anforderungen
CON.1.A3 Verschlüsselung der Kommunikationsverbindungen (S)
CON.1.A4 Geeignetes Schlüsselmanagement (S)
CON.1.A5 Sicheres Löschen und Vernichten von kryptografischen Schlüsseln [IT-Betrieb] (S)
CON.1.A6 Bedarfserhebung für kryptografische Verfahren und Produkte [IT-Betrieb, Fachverantwortliche] (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.1.A7 Erstellung einer Sicherheitsrichtlinie für den Einsatz kryptografischer Verfahren und Produkte (H)
CON.1.A8 Erhebung der Einflussfaktoren für kryptografische Verfahren und Produkte (H)
CON.1.A9 Auswahl eines geeigneten kryptografischen Produkts [IT-Betrieb, Fachverantwortliche] (H)
CON.1.A10 Entwicklung eines Kryptokonzepts (H)
CON.1.A11 Sichere Konfiguration der Kryptomodule [IT-Betrieb] (H)
CON.1.A12 Sichere Rollenteilung beim Einsatz von Kryptomodulen [IT-Betrieb] (H)
CON.1.A13 Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen (H)
CON.1.A14 Schulung von Benutzern und Administratoren [Vorgesetzte, Fachverantwortliche, Leiter IT] (H)
CON.1.A15 Reaktion auf praktische Schwächung eines Kryptoverfahrens (H)
CON.1.A16 Physische Absicherung von Kryptomodulen [Leiter IT] (H)
CON.1.A17 Abstrahlsicherheit [Leiter IT] (H)
CON.1.A18 Kryptografische Ersatzmodule [IT-Betrieb] (H)
CON.2 Datenschutz
Basis-Anforderungen
CON.2.A1 Umsetzung Standard-Datenschutzmodell (B)
Standard-Anforderungen
Anforderungen bei erhöhtem Schutzbedarf
CON.3 Datensicherungskonzept
Basis-Anforderungen
CON.3.A1 Erhebung der Einflussfaktoren für Datensicherungen [Fachverantwortliche, IT-Betrieb] (B)
CON.3.A2 Festlegung der Verfahrensweise für die Datensicherung [Fachverantwortliche, IT-Betrieb] (B)
CON.3.A3 ENTFALLEN (B)
CON.3.A4 Erstellung eines Minimaldatensicherungskonzeptes [IT-Betrieb] (B)
CON.3.A5 Regelmäßige Datensicherung [IT-Betrieb] (B)
Standard-Anforderungen
CON.3.A6 Entwicklung eines Datensicherungskonzepts [Fachverantwortliche, IT-Betrieb] (S)
CON.3.A7 Beschaffung eines geeigneten Datensicherungssystems [Leiter IT] (S)
CON.3.A8 ENTFALLEN (S)
CON.3.A9 Voraussetzungen für die Online-Datensicherung [IT-Betrieb, Leiter IT] (S)
CON.3.A10 Verpflichtung der Mitarbeiter zur Datensicherung (S)
CON.3.A11 Sicherungskopie der eingesetzten Software [IT-Betrieb] (S)
CON.3.A12 Geeignete Aufbewahrung der Backup-Datenträger [IT-Betrieb] (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.3.A13 Einsatz kryptografischer Verfahren bei der Datensicherung [IT-Betrieb] (H)
CON.4 Auswahl und Einsatz von Standardsoftware
Basis-Anforderungen
CON.4.A1 Sicherstellen der Integrität von Standardsoftware (B)
CON.4.A2 Entwicklung der Installationsanweisung für Standardsoftware (B)
CON.4.A3 Sichere Installation und Konfiguration von Standardsoftware (B)
Standard-Anforderungen
CON.4.A4 Festlegung der Verantwortlichkeiten im Bereich Standardsoftware [Fachabteilung] (S)
CON.4.A5 Erstellung eines Anforderungskatalogs für Standardsoftware [Fachabteilung] (S)
CON.4.A6 Auswahl einer geeigneten Standardsoftware [Fachabteilung, Beschaffungsstelle] (S)
CON.4.A7 Überprüfung der Lieferung von Standardsoftware [Fachabteilung] (S)
CON.4.A8 Lizenzverwaltung und Versionskontrolle von Standardsoftware (S)
CON.4.A9 Deinstallation von Standardsoftware (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.4.A10 Implementierung zusätzlicher Sicherheitsfunktionen (H)
CON.4.A11 Nutzung zertifizierter Standardsoftware (H)
CON.4.A12 Einsatz von Verschlüsselung, Checksummen oder digitalen Signaturen (H)
CON.5 Entwicklung und Einsatz von Individualsoftware
Basis-Anforderungen
CON.5.A1 Festlegung benötigter Sicherheitsfunktionen der Individualsoftware [IT-Betrieb] (B)
CON.5.A2 ENTFALLEN (B)
CON.5.A3 Sichere Installation von Individualsoftware [IT-Betrieb] (B)
CON.5.A4 Heranführen von Benutzerinnen und Benutzern an Individualsoftware (B)
CON.5.A5 ENTFALLEN (B)
Standard-Anforderungen
CON.5.A6 Dokumentation der Anforderungen an die Individualsoftware (S)
CON.5.A7 ENTFALLEN (S)
CON.5.A8 Geeignete Steuerung der Anwendungsentwicklung (S)
CON.5.A9 Außerbetriebnahme von Individualsoftware (S)
CON.5.A10 ENTFALLEN (S)
CON.5.A11 Geeignete und rechtskonforme Beschaffung [Beschaffer] (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.5.A12 Treuhänderische Hinterlegung (H)
CON.5.A13 Entwicklung eines Redundanzkonzeptes für Anwendungen [IT-Betrieb, Notfallbeauftragter] (H)
CON.6 Löschen und Vernichten
Basis-Anforderungen
CON.6.A1 Regelung der Vorgehensweise für die Löschung und Vernichtung von Informationen [Leiter IT, Leiter Organisation] (B)
CON.6.A2 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln und Informationen [Mitarbeiter, Leiter Haustechnik, Leiter IT] (B)
Standard-Anforderungen
CON.6.A3 Löschen der Datenträger vor und nach dem Austausch [IT-Betrieb, Mitarbeiter] (S)
CON.6.A4 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Datenträgern [Leiter IT, Leiter Organisation] (S)
CON.6.A5 Geregelte Außerbetriebnahme von IT-Systemen und Datenträgern [IT-Betrieb, Mitarbeiter, Fachverantwortliche, Leiter IT] (S)
CON.6.A6 Einweisung aller Mitarbeiter in die Methoden zur Löschung oder Vernichtung von Informationen [Leiter IT] (S)
CON.6.A7 Beseitigung von Restinformationen [IT-Betrieb, Mitarbeiter] (S)
CON.6.A8 Erstellung einer Richtlinie für die Löschung und Vernichtung von Informationen [Mitarbeiter, Leiter IT, Datenschutzbeauftragter] (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.6.A9 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Datenträgern bei erhöhtem Schutzbedarf [Leiter IT, Leiter Organisation] (H)
CON.6.A10 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten [Leiter IT, Beschaffungsstelle, Leiter Organisation] (H)
CON.6.A11 Vernichtung von Datenträgern durch externe Dienstleister [Leiter Organisation, Datenschutzbeauftragter] (H)
CON.7 Informationssicherheit auf Auslandsreisen
Basis-Anforderungen
CON.7.A2 Sensibilisierung der Mitarbeiter zur Informationssicherheit auf Auslandsreisen (B)
CON.7.A3 Identifikation länderspezifischer Regelungen, Reise- und Umgebungsbedingungen [Personalabteilung] (B)
CON.7.A4 Verwendung von Sichtschutz-Folien [Benutzer] (B)
CON.7.A5 Verwendung der Bildschirm-/Code-Sperre [Benutzer] (B)
CON.7.A6 Zeitnahe Verlustmeldung [Benutzer] (B)
CON.7.A7 Sicherer Remote-Zugriff auf das Netz der Institution [IT-Betrieb, Benutzer] (B)
CON.7.A8 Sichere Nutzung von öffentlichen WLANs [Benutzer] (B)
CON.7.A9 Sicherer Umgang mit mobilen Datenträgern [Benutzer] (B)
CON.7.A10 Verschlüsselung tragbarer IT-Systeme und Datenträger [Benutzer, IT-Betrieb] (B)
CON.7.A11 Einsatz von Diebstahl-Sicherungen [Benutzer] (B)
CON.7.A12 Sicheres Vernichten von schutzbedürftigen Materialien und Dokumenten [Benutzer] (B)
Standard-Anforderungen
CON.7.A13 Mitnahme notwendiger Daten und Datenträger [Benutzer] (S)
CON.7.A14 Kryptografisch abgesicherte E-Mail-Kommunikation [Benutzer, IT-Betrieb] (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.7.A15 Abstrahlsicherheit tragbarer IT-Systeme (H)
CON.7.A16 Integritätsschutz durch Check-Summen oder digitale Signaturen [Benutzer] (H)
CON.7.A17 Verwendung vorkonfigurierter Reise-Hardware [IT-Betrieb] (H)
CON.7.A18 Eingeschränkte Berechtigungen auf Auslandsreisen [IT-Betrieb] (H)
CON.8 Software-Entwicklung
Basis-Anforderungen
CON.8.A1 Definition von Rollen und Verantwortlichkeiten [Leiter Organisation] (B)
CON.8.A2 Auswahl eines Vorgehensmodells (B)
CON.8.A3 Auswahl einer Entwicklungsumgebung (B)
CON.8.A4 Einhaltung einer sicheren Vorgehensweise [Entwickler] (B)
CON.8.A5 Sicheres Systemdesign (B)
CON.8.A6 Verwendung von Bibliotheken aus vertrauenswürdigen Quellen (B)
CON.8.A7 Anwendung von Testverfahren [Tester] (B)
CON.8.A8 Bereitstellung von Patches, Updates und Änderungen [Entwickler] (B)
CON.8.A9 Berücksichtigung von Compliance-Anforderungen [Entwickler] (B)
CON.8.A10 Versionsverwaltung des Quellcodes [Entwickler] (B)
Standard-Anforderungen
CON.8.A11 Erstellung einer Richtlinie für die Software-Entwicklung (S)
CON.8.A12 Ausführliche Dokumentation (S)
CON.8.A13 Beschaffung von Werkzeugen (S)
CON.8.A14 Schulung des Projektteams zur Informationssicherheit (S)
CON.8.A15 Sicherer Einsatz der Test- und Entwicklungsumgebungen [Entwickler] (S)
CON.8.A16 Geeignete Steuerung der Software-Entwicklung (S)
Anforderungen bei erhöhtem Schutzbedarf
CON.8.A17 Auswahl vertrauenswürdiger Entwicklungswerkzeuge (H)
CON.8.A18 Regelmäßige Sicherheitsaudits für die Entwicklungsumgebung (H)
CON.8.A19 Regelmäßige Integritätsprüfung der Entwicklungsumgebung [IT-Betrieb] (H)
CON.9 Informationsaustausch
Basis-Anforderungen
CON.9.A1 Festlegung zulässiger Empfänger (B)
CON.9.A2 Regelung des Informationsaustausches (B)
CON.9.A3 Unterweisung des Personals zum Informationsaustausch (B)
Standard-Anforderungen
CON.9.A4 Vereinbarungen zum Informationsaustausch mit Externen (S)
CON.9.A5 Beseitigung von Restinformationen in Dateien vor Weitergabe [Benutzer] (S)
CON.9.A6 Kompatibilitätsprüfung des Sender- und Empfängersystems (S)
CON.9.A7 Sicherungskopie der übermittelten Daten (S)
CON.9.A8 Verschlüsselung und Signatur (S)
Anforderungen bei erhöhtem Schutzbedarf