recent.digital

BSI Baustein CON.3 Datensicherung

Datensicherungskonzept nach BSI CON.3

Torben Zarnick

Datensicherungskonzept nach BSI

Die Anforderungen an ein Datensicherungskonzept entsprechend dem Grundschutz sehen folgende Anforderungen vor.

Anforderungsklassen

Das BSI unterscheidet im Grundschutz grundsätzlich in 4 Anforderungsklassen.

  1. Muss-Anforderungen
  2. Soll-Anforderungen
  3. Kann-Anforderungen
  4. Anforderungen bei erhöhtem Schutzbedarf (betrifft unter anderem KRITIS-Unternehmen)

Die Anforderungen betreffen die Zertifizierung für den ISO-kompatiblen Standard des BSI. Die meisten Unternehmen sind zwar nicht an diese Anforderungen gebunden, bieten allerdings eine sehr gute Orientierung.

Anforderungen

Baustein Anforderung Bezeichnung Inhalt
CON.3.A1 MUSS (Basis-Anforderung) Erhebung der Einflussfaktoren für Datensicherungen [Fachverantwortliche, IT-Betrieb] (B) Es muss für jedes System erfasst und systematisch festgehalten und überprüft werden:

1. Speichervolumen

2. Änderungsvolumen

3. Änderungszeitpunkte

4. Verfügbarkeitsanforderungen

5. Integritätsbedarf sowie

6. rechtliche Anforderungen
CON.3.A2 MUSS (Basis-Anforderung) Festlegung der Verfahrensweise für die Datensicherung [Fachverantwortliche, IT-Betrieb] (B Für jedes IT-System im Unternehmen muss ein Verfahren zur Datensicherung festgelegt werden. Dazu muss das Verfahren die Art, Häufigkeit, Zeitpunkte der Backups festlegen und sich mit der Erfassung aus CON.3.A1 decken.

Zusätzlich muss eine Beschreibung festgehalten werden, die die Aufbewahrungs- und Transportrahmenbedingungen und die Art der Speichermedien enthält.
CON.3.A3 MUSS (Basis-Anforderung) entfällt ersatzlos
CON.3.A4 MUSS (Basis-Anforderung) Erstellung eines Minimal datensicherungskonzeptes [IT-Betrieb] (B) Es muss ein Mindestsicherungskonzept erstellt werden, das mindestens enthalten muss:

* Welche Systeme werden gesichert und welche Daten sind darin enthalten

* Wie wird das Backup technisch erstellt und wiederhergestellt

* Welche Parameter sind zu wählen

* Welche Hardware und Software wird zur Datensicherung eingesetzt
CON.3.A5 MUSS (Basis-Anforderung) Regelmäßige Datensicherung [IT-Betrieb] (B) Es müssen Arbeitsanweisungen oder geeignete Automatisierungen erstellt und entsprechend dokumentiert werden, die gewährleisten muss, dass:

* Datensicherungen vor dem Zugriff Dritter geschützt sind

* regelmäßig getestet wird, dass sich Datensicherungen wie gewünscht, in angemessener Zeit, problemlos zurückspielen bzw. wiederherstellen lassen.
CON.3.A6 SOLL (Standard-Anforderungen) Entwicklung eines Datensicherungskonzepts [Fachverantwortliche, ITBetrieb] (S) Das Datensicherungskonzept auf der Grundlage des Minimalsicherungskonzepts (s. Muss-Anforderung) erarbeitet werden, dass mindestens die Punkte enthalten sollte:

* Definitionen zu wesentlichen Aspekten der Datensicherung (z. B. zu differenzierende Datenarten)

* Gefährdungslage (s. Kreuzreferenztabelle zu elementaren Gefährdungen)

* Einflussfaktoren je IT-Systeme

* Datensicherungsplan je IT-Systeme sowie

* relevante Ergebnisse des Notfallmanagements/BCM, insbesondere die Recovery Point Objective (RPO) je IT-System.

* Unterrichtung von betroffenen Mitarbeitern

* Regelmäßige Kontrolle der Umsetzung
CON.3.A7 SOLL (Standard-Anforderungen) Beschaffung eines geeigneten Datensicherungssystems [IT-Betrieb] (S) Für die Auswahl von geeigneten Systemen sollte eine Anforderungsliste erstellt werden und die Auswahl der Software entsprechend nachgehalten werden.
CON.3.A8 SOLL (Standard-Anforderungen) entfällt ersatzlos
CON.3.A9 SOLL (Standard-Anforderungen) Voraussetzungen für die Online-Datensicherung [IT-Betrieb] (S) Für die Datensicherung in Online-Speichern sollten mindestens diese Punkte mit dem Anbieter geregelt sein:

* Gestaltung des Vertrages,

* Ort der Datenspeicherung,

* Vereinbarungen zur Dienstgüte (SLA), insbesondere in Hinsicht auf die Verfügbarkeit,

* geeignete Authentisierungsmethoden,

* Verschlüsselung der Daten auf dem Online-Speicher sowie

* Verschlüsselung auf dem Transportweg.
CON.3.A10 SOLL (Standard-Anforderungen) Verpflichtung der Mitarbeiter zur Datensicherung (S) Alle betroffenen Mitarbeiter sollen entsprechende Arbeitsanweisungen und Dokumentationen bekommen, welche sie bei ihrer Aufgabe zur Datensicherung informiert, z.B. Zu geregelten Zeitpunkten Datensicherungen von bestimmten Inhalten auf bestimmten Systemen manuell durchzuführen und dabei dem entsprechenden Workflow zu folgen.
CON.3.A11 SOLL (Standard-Anforderungen) Sicherungskopie der eingesetzten Software [IT-Betrieb] (S) Für die gesamte eingesetzte Software im Unternehmen sollen, falls rechtlich und technisch möglich, Sicherungskopien angefertigt werden, sodass sie im Notfall wiederhergestellt werden kann. Dabei müssen ebenfalls Lizenzen (Dateien oder Codes) dokumentiert werden.
CON.3.A12 SOLL (Standard-Anforderungen) Geeignete Aufbewahrung der Datenträger von Datensicherungen [ITBetrieb] (S) Wenn zur Sicherung relevante Datenträger innerhalb des Unternehmens aufbewahrt werden müssen, dann soll es einen geeigneten, getrennte Ort geben.
CON.3.A13 Anforderungen bei erhöhtem Schutzbedarf Einsatz kryptografischer Verfahren bei der Datensicherung [IT-Betrieb] (H) Sollte im Rahmen der Risiko-Analyse festgestellt werden, dass es erhöhten Sicherheitsbedarf gibt, dann sollte sichergestellt sein, dass:

* Die Datensicherung geeignet verschlüsselt sind

* Die Datensicherung sich wiederherstellen lässt

* Der kryptographische Schlüssel für Dritte unzugänglich und räumlich getrennt aufbewahrt werden

Quelle / BSI Homepage

Passende Beiträge

Datensicherungen - ein kurzer Einstieg
Datensicherungen - ein kurzer Einstieg

In diesem Artikel erfahren Sie, warum Backups die höchste Priorität in Ihrem Unternehmen haben sollten. Bei Backups lassen sich keine Kompromisse machen.

Mehr erfahren
Erstellen eines Datensicherungskonzepts
Erstellen eines Datensicherungskonzepts

So erstellt man ein Backup-Konzept für sein Unternehmen

Mehr erfahren
Das Große Backup-Glossar
Das Große Backup-Glossar

Fachbegriffe rund um das Thema Datensicherung, Disaster-Recovery und Wiederherstellung.

Mehr erfahren
So lösen wir Backup Probleme
So lösen wir Backup Probleme

Wir sichern einfach das gesamte System. Anstatt einen großen Speicherplatz zu bezahlen, zahlen Sie lediglich die Größe des Systems. Unabhängig vom Speicherplatz, den die Datensicherungen verbrauchen.

Mehr erfahren

Inhalt

Digitalisieren Sie Ihre Prozesse und IT-Systeme

IT-Infrastruktur

Cloudinfrastrukturen, Arbeitsplatz-Sicherheit, Cybersecurity, Server-Systeme.

Digitales Arbeiten

Office-Anwendungen, Kommunikations-Pläne, Zeiterfassung.

Online-Handel & eCommerce

Onlineshops, Warenwirtschaft, Kassensysteme, Zahlungen erhalten am Point of Sale oder Online.