StorMagic Ltd hat spezifische Anforderungen zum Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff festgelegt. StorMagic Ltd wird die Notwendigkeit von Informations- und Zugriffskontrollen für Informationssysteme wirksam vermitteln.

Zweck

Informationssicherheit ist der Schutz von Informationen vor versehentlicher oder böswilliger Offenlegung, Veränderung oder Vernichtung. Informationen sind ein wichtiges und wertvolles Gut der StorMagic Ltd., das mit Sorgfalt behandelt werden muss. Alle Informationen haben für die StorMagic Ltd. einen Wert. Allerdings haben nicht alle diese Informationen denselben Wert oder erfordern das gleiche Schutzniveau.

Zugriffskontrollen werden eingerichtet, um Informationen zu schützen, indem geregelt wird, wer das Recht hat, verschiedene Informationsressourcen zu nutzen, und indem vor unbefugter Nutzung gewahrt wird.

Es müssen formelle Verfahren festgelegt werden, die regeln, wie der Zugriff auf Informationen gewährt und wie dieser Zugriff geändert wird.

Diese Richtlinie legt zudem Standards für die Erstellung sicherer Passwörter, deren Schutz sowie die Häufigkeit ihrer Änderung fest.

Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeiter von StorMagic Ltd (einschließlich Mitarbeiter des System-Supports, die Zugriff auf privilegierte Administratorpasswörter haben), vertraglich gebundene Dritte und Beauftragte von StorMagic Ltd, die in irgendeiner Form Zugriff auf die Informationen und Informationssysteme von StorMagic Ltd haben.

Definition

Es sind Zugriffskontrollregeln und -verfahren erforderlich, um zu regeln, wer auf die Informationsressourcen oder Systeme von StorMagic Ltd. zugreifen darf und welche Zugriffsrechte damit verbunden sind. Diese Richtlinie gilt jederzeit und ist bei jedem Zugriff auf Informationen von StorMagic Ltd. – unabhängig vom Format und vom verwendeten Gerät – einzuhalten.

Risiken

Gelegentlich kann es vorkommen, dass Geschäftsinformationen vorzeitig, versehentlich oder unrechtmäßig offengelegt werden oder auf diese zugegriffen wird. Personen oder Unternehmen, die nicht über die erforderliche Berechtigung und Sicherheitsfreigabe verfügen, können sich absichtlich oder versehentlich unbefugten Zugang zu Geschäftsinformationen verschaffen, was sich nachteilig auf den täglichen Geschäftsbetrieb auswirken kann. Diese Richtlinie soll dieses Risiko mindern.

Die Nichteinhaltung dieser Richtlinie könnte erhebliche Auswirkungen auf den effizienten Betrieb von StorMagic Ltd haben und zu finanziellen Verlusten sowie zur Unfähigkeit führen, unseren Kunden die erforderlichen Dienstleistungen bereitzustellen.

Anwendung der Richtlinie – Passwörter

Die Wahl von Passwörtern

Passwörter bilden die erste Verteidigungslinie für unsere Systeme und tragen zusammen mit der Benutzer-ID dazu bei, sicherzustellen, dass Personen tatsächlich die sind, für die sie sich ausgeben.

Ein schlecht gewähltes oder missbräuchlich verwendetes Passwort stellt ein Sicherheitsrisiko dar und kann die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Computer und Systeme beeinträchtigen.

Schwache und starke Passwörter

Ein schwaches Passwort ist ein Passwort, das von Personen, die es eigentlich nicht kennen sollten, leicht erraten oder entdeckt werden kann. Beispiele für schwache Passwörter sind Wörter aus einem Wörterbuch, Namen von Kindern und Haustieren, Kfz-Kennzeichen sowie einfache Buchstabenfolgen auf einer Computertastatur.

Ein sicheres Passwort ist ein Passwort, das so gestaltet ist, dass es von Personen, die es nicht kennen dürfen, kaum erraten werden kann und selbst mit Hilfe eines Computers nur schwer zu knacken ist.

Jeder muss sichere Passwörter verwenden, die mindestens folgende Anforderungen erfüllen:

• Mindestens acht Zeichen.
• Enthalten Sie eine Kombination aus Buchstaben und Ziffern, wobei mindestens eine Ziffer enthalten sein muss
• Komplexer als ein einzelnes Wort (solche Passwörter lassen sich von Hackern leichter knacken).

Passwortsicherheit

Es ist von größter Bedeutung, dass das Passwort jederzeit geschützt bleibt. Die folgenden Richtlinien müssen stets eingehalten werden.

• Geben Sie Ihre Passwörter niemals an Dritte weiter.
• Verwenden Sie niemals die Funktion „Passwort speichern“.
• Schreiben Sie Ihre Passwörter niemals auf und bewahren Sie sie nicht an Orten auf, an denen sie gestohlen werden könnten.
• Speichern Sie Ihre Passwörter niemals unverschlüsselt in einem Computersystem.
• Verwenden Sie keinen Teil Ihres Benutzernamens im Passwort.
• Verwenden Sie nicht dasselbe Passwort für den Zugriff auf verschiedene Systeme von StorMagic Ltd.
• Verwenden Sie nicht dasselbe Passwort für Systeme innerhalb und außerhalb des Arbeitsumfelds.

Passwörter ändern

Alle Passwörter auf Benutzerebene müssen spätestens alle 90 Tage geändert werden oder sobald Sie vom System dazu aufgefordert werden. Auch Standardpasswörter müssen unverzüglich geändert werden. Sollten Sie feststellen oder vermuten, dass Ihr Passwort einer anderen Person bekannt geworden ist, müssen Sie es unverzüglich ändern und dies dem Infrastrukturmanager melden.

Benutzer dürfen dasselbe Passwort innerhalb von 15 Passwortänderungen nicht erneut verwenden.

Standards für die Systemadministration

Alle IT-Systeme von StorMagic Ltd. werden so konfiguriert, dass Folgendes gewährleistet ist:

• Authentifizierung einzelner Benutzer, nicht von Benutzergruppen – d. h. keine generischen Konten.
• Schutz im Zusammenhang mit dem Abruf von Passwörtern und Sicherheitsdaten.
• Überwachung und Protokollierung des Systemzugriffs – auf Benutzerebene.
• Rollenverwaltung, damit Aufgaben ausgeführt werden können, ohne dass Passwörter weitergegeben werden müssen.
• Die Abläufe im Zusammenhang mit Administrator-Passwörtern müssen ordnungsgemäß kontrolliert werden und sicher sein.

Anwendung der Richtlinie – Mitarbeiterzugang

Benutzerzugriffsverwaltung

Für jede Anwendung und jedes Informationssystem müssen formelle Verfahren zur Benutzerzugangskontrolle dokumentiert, umgesetzt und auf dem neuesten Stand gehalten werden, um den autorisierten Benutzerzugang zu gewährleisten und unbefugten Zugriff zu verhindern. Diese Verfahren müssen alle Phasen des Lebenszyklus des Benutzerzugangs abdecken, von der erstmaligen Registrierung neuer Benutzer bis zur endgültigen Abmeldung von Benutzern, die keinen Zugriff mehr benötigen. Diese müssen von StorMagic Ltd genehmigt werden. Jedem Benutzer müssen Zugriffsrechte und Berechtigungen für Computersysteme und Daten zugewiesen werden, die:

• stehen im angemessenen Verhältnis zu den Aufgaben, die von ihnen erwartet werden.
• Verwenden Sie einen eindeutigen Benutzernamen, den Sie keinem anderen Benutzer mitteilen oder offenlegen.
• Verwenden Sie ein zugehöriges, eindeutiges Passwort, das bei jeder neuen Anmeldung abgefragt wird.

Die Zugriffsrechte der Benutzer müssen in regelmäßigen Abständen überprüft werden, um sicherzustellen, dass weiterhin die entsprechenden Rechte zugewiesen sind. Systemadministrationskonten dürfen nur an Benutzer vergeben werden, die diese zur Durchführung von Systemadministrationsaufgaben benötigen.

Benutzerregistrierung

Ein Antrag auf Zugriff auf die Computersysteme der StorMagic Ltd. muss zunächst dem Infrastrukturmanager zur Genehmigung vorgelegt werden.

Wenn ein Mitarbeiter die StorMagic Ltd verlässt, muss sein Zugriff auf Computersysteme und Daten am Ende des Geschäftstages seines letzten Arbeitstages gesperrt werden. Es liegt in der Verantwortung des Abteilungsleiters, die Sperrung der Zugriffsrechte über den Infrastrukturmanager zu beantragen.

Pflichten des Nutzers

Es liegt in der Verantwortung des Nutzers, zu verhindern, dass seine Benutzer-ID und sein Passwort dazu missbraucht werden, sich unbefugten Zugang zu den Systemen von StorMagic Ltd. zu verschaffen, indem er:

• Unter Beachtung der oben dargelegten Richtlinien zur Passwortverwaltung.
• Sicherstellen, dass jeder von ihnen genutzte PC, der unbeaufsichtigt bleibt, gesperrt oder abgemeldet ist.
• Es darf nichts sichtbar sein, das Zugangsdaten wie Anmeldenamen und Passwörter enthalten könnte.

Netzwerkzugangskontrolle

Die Nutzung von BYOD-Geräten, die mit dem Netzwerk von StorMagic Ltd. verbunden sind, kann die Sicherheit des Netzwerks erheblich gefährden. Der normale Betrieb des Netzwerks darf nicht beeinträchtigt werden. Bitte lesen Sie die BYOD-Richtlinie, bevor Sie Geräte an das Netzwerk von StorMagic Ltd. anschließen.

Zugriffskontrolle im Betriebssystem

Der Zugriff auf Betriebssysteme wird durch einen sicheren Anmeldevorgang geregelt. Die im Abschnitt „Benutzerzugriffsverwaltung“ und im Abschnitt „Passwörter“ oben definierten Zugriffskontrollen müssen angewendet werden. Der Anmeldevorgang muss zudem durch folgende Maßnahmen geschützt werden:

• Es werden keine früheren Anmeldedaten, z. B. der Benutzername, angezeigt.
• Die Anzahl der fehlgeschlagenen Versuche wird begrenzt, und bei Überschreitung wird das Konto gesperrt.
• Die Zeichen des Passworts werden durch Symbole verdeckt.
• Anzeige eines allgemeinen Warnhinweises, dass nur autorisierte Benutzer Zutritt haben.

Der gesamte Zugriff auf Betriebssysteme erfolgt über eine eindeutige Anmelde-ID, die überprüft wird und sich bis zum einzelnen Benutzer zurückverfolgen lässt. Die Anmelde-ID darf keinerlei Hinweis auf die Höhe der Zugriffsrechte geben, die sie für das System gewährt (z. B. Administratorrechte).

Systemadministratoren müssen über eigene Administratorkonten verfügen, deren Aktivitäten protokolliert und überprüft werden. Das Administratorkonto darf von einzelnen Personen nicht für normale tägliche Tätigkeiten genutzt werden.

Einhaltung der Richtlinien

Sollte festgestellt werden, dass ein Nutzer gegen diese Richtlinie verstoßen hat, kann gegen ihn das Disziplinarverfahren von StorMagic Ltd. eingeleitet werden. Wird davon ausgegangen, dass eine Straftat begangen wurde, können weitere Maßnahmen ergriffen werden, um die Strafverfolgung des oder der Täter zu unterstützen.

Sollten Sie die Auswirkungen dieser Richtlinie nicht verstehen oder sich nicht sicher sein, inwiefern sie auf Sie zutrifft, wenden Sie sich bitte an den Datenschutzbeauftragten.

Überprüfung und Überarbeitung

Diese Richtlinie wird nach Bedarf überprüft, jedoch mindestens alle 12 Monate.

Die Überprüfung der Richtlinien wird vom Infrastrukturmanager durchgeführt.

Kernaussagen

Alle Benutzer müssen sichere Passwörter verwenden.

Passwörter müssen jederzeit geschützt werden und mindestens alle 90 Tage geändert werden.

Die Zugriffsrechte der Benutzer müssen in regelmäßigen Abständen überprüft werden.

Es liegt in der Verantwortung jedes Nutzers, zu verhindern, dass seine Benutzer-ID und sein Passwort für den unbefugten Zugriff auf die Systeme der Stadtverwaltung missbraucht werden.

Besuchern dürfen lediglich Informationen darüber gegeben werden, wie sie über das Gäste-WLAN auf das Netzwerk von StorMagic Ltd. zugreifen können.