Verantwortlich für Initiierung: Leiteyr IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Um einen effektiven Computer-Virenschutz zu erreichen, müssen über den Einsatz von Computer-Viren-Suchprogrammen hinaus einige zusätzliche Maßnahmen realisiert werden. In diesem Sinne sind unter anderem folgende Punkte zu regeln:
Einsatz von Computer-Viren-Suchprogrammen
Entsprechend der ausgewählten Strategie und des ausgewählten Produktes ist der Einsatz festzulegen und zu dokumentieren (vgl. M 2.156 Auswahl einer geeigneten Computer-Virenschutz-Strategie, M 2.157 Auswahl eines geeigneten Computer-Viren-Suchprogramms). Darüber hinaus ist zu regeln, wie, in welchen Abständen und durch wen die Computer-Viren-Suchprogramme aktualisiert werden (vgl. M 2.159 Aktualisierung der eingesetzten Computer-Viren-Suchprogramme).
Schulung der IT-Benutzer
Die betroffenen IT-Benutzer sind bezüglich der Gefahren durch Computer-Viren, Makro-Viren, Trojanische Pferde und Hoax (vgl. G 5.23 Computer-Viren, G 5.43 Makro-Viren, G 5.21 Trojanische Pferde, G 5.80 Hoax), der notwendigen IT-Sicherheitsmaßnahmen, der Verhaltensweise beim Auftreten von Computer-Viren und im Umgang mit dem Computer-Viren-Suchprogramm zu informieren bzw. zu schulen (vgl. M 3.5 Schulung zu IT-Sicherheitsmaßnahmen, M 3.4 Schulung vor Programmnutzung, M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus).
Verbot der Nutzung nicht freigegebener Software
Die Installation und Nutzung nicht freigegebener, insbesondere nicht virenkontrollierter Software ist zu verbieten (vgl. M 2.9 Nutzungsverbot nicht freigegebener Software). Darüber hinaus ist ggf. zu regeln, dass regelmäßig Prüfungen auf Einhaltung des Verbots durchgeführt werden (vgl. M 2.10 Überprüfung des Software-Bestandes).
Schutzmaßnahmen am IT-System
Die Boot-Reihenfolge beim Betriebssystemstart ist so umzustellen, dass generell zuerst von der Festplatte (oder vom Netz) und dann erst von einem externen Medium (Diskette, CD-ROM) gestartet wird (vgl. M 4.84 Nutzung der BIOS-Sicherheitsmechanismen). Zusätzlich ist für jeden vorhandenen Rechnertyp eine Notfalldiskette anzulegen, um im Falle einer Computer-Vireninfektion eine erfolgreiche Säuberung zu ermöglichen (vgl. M 6.24 Erstellen einer PC-Notfalldiskette). Für den Fall, dass ein neuer Computer-Virus dennoch Schäden verursacht, muss auf eine Datensicherung zurückgegriffen werden. Es sind daher regelmäßig Datensicherungen anzulegen (vgl. M 6.32 Regelmäßige Datensicherung). Beim Wiedereinspielen von Datensicherungen muss darauf geachtet werden, dass damit keine vom Computer-Virus befallenen Dateien wiederaufgespielt werden.
Maßnahmen bei nicht-resident virenkontrollierter IT-Systeme
Auf IT-Systemen, auf denen kein residentes Computer-Viren-Suchprogramm installiert worden ist, sind ersatzweise ein regelmäßiger Einsatz eines Computer-Viren-Suchprogramms (vgl. M 4.3 Regelmäßiger Einsatz eines Viren-Suchprogramms), eine Virenkontrolle bei Datenträgeraustausch und Datenübertragung (vgl. M 4.33 Einsatz eines Viren-Suchprogrammes bei Datenträgeraustausch und Datenübertragung) sowie eine Makro-Virenprüfung bei eingehenden Dateien (vgl. M 4.44 Prüfung eingehender Dateien auf Makro-Viren) festzulegen, um eine rasche Erkennung und Verhinderung der Weiterverbreitung von Computer-Viren sicherzustellen.
Meldung von Computer-Viren
Es ist zu regeln, an wen ein entdeckter Computer-Virus unverzüglich zu melden ist. Die Form der Meldung (Formblatt) und der Übermittlungsweg (telefonisch, persönlich, schriftlich, E-Mail) ist ebenfalls zu reglementieren (siehe M 2.158 Meldung von Computer-Virusinfektionen).
Regelung der Verantwortlichkeiten
Die Aufgaben, Kompetenzen und Verantwortlichkeiten für den Computer-Virenschutz sind zu regeln für
Aktualisierung des Computer-Virenschutzkonzeptes
Bei Änderungen an IT-Systemen, bei Installation neuer IT-Systeme und bei Änderungen der Vernetzung ist das Computer-Virenschutzkonzept zu aktualisieren und anzupassen (vgl. M 2.34 Dokumentation der Veränderungen an einem bestehenden System).
Diese Regelungen sind den Betroffenen zur Kenntnis zu geben. Die Überprüfung der Einhaltung dieser Regelungen sollte sporadisch erfolgen, um ein durchgängig umgesetztes Computer- Virenschutzkonzept sicherzustellen.
Ergänzende Kontrollfragen:© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.