Datensicherungskonzept nach BSI
Die Anforderungen an ein Datensicherungskonzept entsprechend dem Grundschutz sehen folgende Anforderungen vor.
Anforderungsklassen
Das BSI unterscheidet im Grundschutz grundsätzlich in 4 Anforderungsklassen.
- Muss-Anforderungen
- Soll-Anforderungen
- Kann-Anforderungen
- Anforderungen bei erhöhtem Schutzbedarf (betrifft unter anderem KRITIS-Unternehmen)
Die Anforderungen betreffen die Zertifizierung für den ISO-kompatiblen Standard des BSI. Die meisten Unternehmen sind zwar nicht an diese Anforderungen gebunden, bieten allerdings eine sehr gute Orientierung.
Anforderungen
Baustein | Anforderung | Bezeichnung | Inhalt |
---|---|---|---|
CON.3.A1 | MUSS (Basis-Anforderung) | Erhebung der Einflussfaktoren für Datensicherungen [Fachverantwortliche, IT-Betrieb] (B) | Es muss für jedes System erfasst und systematisch festgehalten und überprüft werden: 1. Speichervolumen 2. Änderungsvolumen 3. Änderungszeitpunkte 4. Verfügbarkeitsanforderungen 5. Integritätsbedarf sowie 6. rechtliche Anforderungen |
CON.3.A2 | MUSS (Basis-Anforderung) | Festlegung der Verfahrensweise für die Datensicherung [Fachverantwortliche, IT-Betrieb] (B | Für jedes IT-System im Unternehmen muss ein Verfahren zur Datensicherung festgelegt werden. Dazu muss das Verfahren die Art, Häufigkeit, Zeitpunkte der Backups festlegen und sich mit der Erfassung aus CON.3.A1 decken. Zusätzlich muss eine Beschreibung festgehalten werden, die die Aufbewahrungs- und Transportrahmenbedingungen und die Art der Speichermedien enthält. |
CON.3.A3 | MUSS (Basis-Anforderung) | entfällt ersatzlos | |
CON.3.A4 | MUSS (Basis-Anforderung) | Erstellung eines Minimal datensicherungskonzeptes [IT-Betrieb] (B) | Es muss ein Mindestsicherungskonzept erstellt werden, das mindestens enthalten muss: * Welche Systeme werden gesichert und welche Daten sind darin enthalten * Wie wird das Backup technisch erstellt und wiederhergestellt * Welche Parameter sind zu wählen * Welche Hardware und Software wird zur Datensicherung eingesetzt |
CON.3.A5 | MUSS (Basis-Anforderung) | Regelmäßige Datensicherung [IT-Betrieb] (B) | Es müssen Arbeitsanweisungen oder geeignete Automatisierungen erstellt und entsprechend dokumentiert werden, die gewährleisten muss, dass: * Datensicherungen vor dem Zugriff Dritter geschützt sind * regelmäßig getestet wird, dass sich Datensicherungen wie gewünscht, in angemessener Zeit, problemlos zurückspielen bzw. wiederherstellen lassen. |
CON.3.A6 | SOLL (Standard-Anforderungen) | Entwicklung eines Datensicherungskonzepts [Fachverantwortliche, ITBetrieb] (S) | Das Datensicherungskonzept auf der Grundlage des Minimalsicherungskonzepts (s. Muss-Anforderung) erarbeitet werden, dass mindestens die Punkte enthalten sollte: * Definitionen zu wesentlichen Aspekten der Datensicherung (z. B. zu differenzierende Datenarten) * Gefährdungslage (s. Kreuzreferenztabelle zu elementaren Gefährdungen) * Einflussfaktoren je IT-Systeme * Datensicherungsplan je IT-Systeme sowie * relevante Ergebnisse des Notfallmanagements/BCM, insbesondere die Recovery Point Objective (RPO) je IT-System. * Unterrichtung von betroffenen Mitarbeitern * Regelmäßige Kontrolle der Umsetzung |
CON.3.A7 | SOLL (Standard-Anforderungen) | Beschaffung eines geeigneten Datensicherungssystems [IT-Betrieb] (S) | Für die Auswahl von geeigneten Systemen sollte eine Anforderungsliste erstellt werden und die Auswahl der Software entsprechend nachgehalten werden. |
CON.3.A8 | SOLL (Standard-Anforderungen) | entfällt ersatzlos | |
CON.3.A9 | SOLL (Standard-Anforderungen) | Voraussetzungen für die Online-Datensicherung [IT-Betrieb] (S) | Für die Datensicherung in Online-Speichern sollten mindestens diese Punkte mit dem Anbieter geregelt sein: * Gestaltung des Vertrages, * Ort der Datenspeicherung, * Vereinbarungen zur Dienstgüte (SLA), insbesondere in Hinsicht auf die Verfügbarkeit, * geeignete Authentisierungsmethoden, * Verschlüsselung der Daten auf dem Online-Speicher sowie * Verschlüsselung auf dem Transportweg. |
CON.3.A10 | SOLL (Standard-Anforderungen) | Verpflichtung der Mitarbeiter zur Datensicherung (S) | Alle betroffenen Mitarbeiter sollen entsprechende Arbeitsanweisungen und Dokumentationen bekommen, welche sie bei ihrer Aufgabe zur Datensicherung informiert, z.B. Zu geregelten Zeitpunkten Datensicherungen von bestimmten Inhalten auf bestimmten Systemen manuell durchzuführen und dabei dem entsprechenden Workflow zu folgen. |
CON.3.A11 | SOLL (Standard-Anforderungen) | Sicherungskopie der eingesetzten Software [IT-Betrieb] (S) | Für die gesamte eingesetzte Software im Unternehmen sollen, falls rechtlich und technisch möglich, Sicherungskopien angefertigt werden, sodass sie im Notfall wiederhergestellt werden kann. Dabei müssen ebenfalls Lizenzen (Dateien oder Codes) dokumentiert werden. |
CON.3.A12 | SOLL (Standard-Anforderungen) | Geeignete Aufbewahrung der Datenträger von Datensicherungen [ITBetrieb] (S) | Wenn zur Sicherung relevante Datenträger innerhalb des Unternehmens aufbewahrt werden müssen, dann soll es einen geeigneten, getrennte Ort geben. |
CON.3.A13 | Anforderungen bei erhöhtem Schutzbedarf | Einsatz kryptografischer Verfahren bei der Datensicherung [IT-Betrieb] (H) | Sollte im Rahmen der Risiko-Analyse festgestellt werden, dass es erhöhten Sicherheitsbedarf gibt, dann sollte sichergestellt sein, dass: * Die Datensicherung geeignet verschlüsselt sind * Die Datensicherung sich wiederherstellen lässt * Der kryptographische Schlüssel für Dritte unzugänglich und räumlich getrennt aufbewahrt werden |