M 2.85 Freigabe von Standardsoftware

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Leiter Fachabteilung, Leiter IT, Leiter IT

Vor der Übernahme der Standardsoftware in den Wirkbetrieb steht die formelle Freigabe. Verantwortlich für die Freigabe eines Produktes ist die Behörden- bzw. Unternehmensleitung, sie kann dies aber an die Leitung der Fachabteilung oder die Leitung des IT-Bereichs delegieren. Die Fachabteilung kann die durch Behörden- bzw. Unternehmensleitung vorgegebene Freigaberegelung durch eigene Restriktionen weiter einschränken. Der Einsatz nicht freigegebener Software ist zu untersagen (siehe M 2.9 Nutzungsverbot nicht freigegebener Software ).

Der Freigabe geht immer der erfolgreiche Abschluß aller notwendigen Tests voraus (siehe M 2.83 Testen von Standardsoftware ). Eine Freigabe darf nicht erfolgen, wenn während der Tests nicht tolerierbare Fehler, z. B. erhebliche Sicherheitsmängel, festgestellt wurden.

Für die Freigabe sind Installations- bzw. Konfigurationsvorschriften zu erarbeiten, deren Detaillierungsgrad davon abhängig ist, ob die Installation durch die Systemadministration oder den Benutzer vorgenommen werden soll. Die Installations- bzw. Konfigurationsvorschriften sind Ergebnisse der im Rahmen der Beschaffung durchgeführten Tests (siehe M 2.83 Testen von Standardsoftware ). Wenn unterschiedliche Konfigurationen zulässig sind, muß die Auswirkung der einzelnen Konfigurationen auf die Sicherheit dargelegt werden. Insbesondere muß festgelegt werden, ob für alle oder nur einige Benutzer Einschränkungen der Produktfunktionalität oder der Zugriffsrechte vorzunehmen sind. Für die Festlegung dieser Randbedingungen sind der Personal- bzw. Betriebsrat, der Datenschutzbeauftragter sowie der IT-Sicherheitsbeauftragte rechtzeitig zu beteiligen.

Die Freigabe sollte in Form einer schriftlichen Freigabeerklärung erfolgen. In der Freigabeerklärung sollten Aussagen gemacht werden zu den folgenden Punkten:

• Programmname und Versionsnummer,
• Bezeichnung des IT-Verfahrens, in dem das Produkt eingesetzt werden soll,
• Bestätigung, daß die eingesetzten IT-Komponenten den fachlichen Anforderungen entsprechen,
• Datum der Freigabe, Unterschrift des Freigabe-Verantwortlichen,
• Unbedenklichkeitserklärung seitens IT-Sicherheitsbeauftragter, Datenschutzbeauftragter, Personal- bzw. Betriebsrat,
• vorgesehener Zeitpunkt des Einsatzes im Wirkbetrieb,
• für welche Benutzer das Produkt freigegeben wird,
• Installationsanweisung, insbesondere an welchen Arbeitsplätzen es mit welcher Konfiguration installiert wird,
• wer berechtigt ist, es zu installieren,
• wer Zugriff auf die Installationsdatenträger hat und
• welche Schulungen vor Nutzung des Produktes vorzunehmen sind.

Darüber hinaus ist organisatorisch zu regeln, daß die Freigabe und ggf. die notwendigen Tests wiederholt werden, wenn sich durch Versionswechsel oder Patches grundlegende Eigenschaften, insbesondere im Bereich der Sicherheitsfunktionen, geändert haben. Änderungen der genannten Art sind dem für die Freigabe des Produktes Verantwortlichen mitzuteilen.

Weiterhin kann festgelegt werden, welche Standardsoftware-Produkte, abhängig vom Einsatzort und -zweck, generell freigegeben werden. Voraussetzung ist, daß sie zumindest auf Computer-Viren geprüft, daß die Lizenzfragen geklärt und daß sie registriert sind. Beispiele hierfür wären:

• Demo-Versionen zu Testzwecken, die auf speziellen Rechnern zur Verfügung gestellt werden,
• Public-Domain-Software, die auf speziellen Servern installiert werden,
• Spielprogramme auf speziellen Rechnern, die in Pausenräumen aufgestellt werden.

• Wo werden die Freigabeerklärungen verwaltet und hinterlegt?
• Ist eine Installationsanweisung vorhanden?
• Ist sichergestellt, daß sämtliche Software der Freigabeprozedur unterzogen wird?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .