M 2.84 Entscheidung und Entwicklung der Installationsanweisung für Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Beschaffungsstelle, Leiter Fachabteilung, Leiter IT

Nach Abschluß aller Test müssen die Testergebnisse der Beschaffungsstelle vorgelegt werden. Die Entscheidung für ein Produkt hat jetzt die Beschaffungsstelle unter Beteiligung der Leiter der Fachabteilung und des IT-Bereichs aufgrund der Testergebnisse und des daraus resultierenden Preis-/Leistungsverhältnisses zu treffen. Hierbei ist insbesondere der Erfüllungsgrad der einzelnen Produkte gegenüber dem Anforderungskatalog in Relation zum Kaufpreis zu stellen. Auch sollten zusätzliche Funktionen der Produkte, die nicht im Anforderungskatalog aufgeführt wurden, aber dennoch für den Einsatz sinnvoll sind, bei der Entscheidung berücksichtigt werden.

Erstellen einer Installationsanweisung

Nach der Entscheidung für ein Produkt muß anschließend für das ausgewählte Produkt eine Installationsanweisung erstellt werden. Während des Testens wurde diejenige Konfiguration des Produktes ermittelt, die einen sicheren und effizienten Produktionsbetrieb erlaubt. Damit soll Benutzerfreundlichkeit, Ordnungsmäßigkeit und Sicherheit am Arbeitsplatz sichergestellt werden.

Um die geeignete Konfiguration des Produktes im Wirkbetrieb sicherzustellen, müssen bestimmte Parameter vorgegeben werden. Teilweise muß dies durch organisatorische Regelungen begleitet werden.

Für einige Eigenschaften eines Produktes wird im folgenden beispielhaft aufgezeigt, was im Rahmen einer Installationsanweisung vorgegeben werden kann.

Beispiel:

Benutzerfreundlichkeit:

• Mit dem Produkt sind die Treiber X, Y und Z (Bildschirm, Drucker, Maus, Netz) zu installieren, um eine für den Benutzer akzeptable Arbeitsumgebung zu schaffen (Bildschirm flimmerfrei, vernünftige Druckaufbereitung, etc.).
• Diejenigen Einstellungen, bei denen einzelne Funktionen die größte Verarbeitungsgeschwindigkeit haben, sind vorzugeben, wenn nicht andere Kriterien wie Sicherheit dagegen sprechen (die Größe der Auslagerungsdateien ist auf mindestens 10 MB festzusetzen, die Option Verifikation ist für die Datensicherung zu aktivieren, obwohl die Verifikation zusätzlichen Zeitaufwand erfordert).

• Die Parameter für Sicherheitsfunktionen sind voreinzustellen (z. B. die Mindestlänge von Paßwörtern muß 6 Zeichen betragen, Datensicherungen sind täglich zu erstellen, die Protokollierung ist im vollen Umfang zu aktivieren, Zugriffsrechte auf personenbezogene Protokolldateien sind nur dem Datenschutzbeauftragten einzurichten, ...).
• Werden mehrere sicherheitsrelevante Verfahren unterstützt (z. B. Verschlüsselungsalgorithmus, Hash-Funktionen), sind diejenigen auszuwählen, mit denen ein angemessenes Schutzniveau erreicht wird (als asymmetrische Verschlüsselung ist RSA mit einer Schlüssellänge von mindestens 768 Bit einzusetzen, als symmetrische Verschlüsselungsfunktion ist der Triple-DES einzusetzen).

• Nur die Funktionen X, Y, und Z sind zu aktivieren, unerwünschte oder nicht benötigte Funktionen sind abzuschalten.
• Die Funktion der automatischen Datensicherung ist mit dem Parameter "alle 10 Minuten" zu aktivieren.

• Die Installation ist vom Administrator durchzuführen.
• Regelungen für den Betrieb müssen erlassen werden (z. B. Datensicherungen sind eigenverantwortlich vom Anwender durchzuführen, Paßwörter müssen nach 30 Tagen gewechselt werden).

• Die Konfiguration der Plattform, auf der das Standardsoftwareprodukt zum Einsatz kommen soll, muß insbesondere dann beschrieben und vorgegeben werden, wenn systembedingte Schwachstellen der Plattform damit beseitigt werden.

• Sind in der Installationsanweisung alle Angaben für eine erfolgreiche Installation enthalten?
• Sind Angaben enthalten, wie das Produkt wieder deinstalliert wird?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .