Kommunikationssysteme
Entwicklung des Online-Security-Audit-Verfahrens ISIDOR
Zur Verbesserung der Sicherheit in der Informationsverarbeitung hat die Universität Münster beschlossen Security Audits durchzuführen, die den
Schutzbedarf von IT-Systemen (IT-Arbeitsplatzsysteme, Server etc. und ihre Daten und Dienste) und die in diesem Zusammenhang getroffenen Sicherheitsvorkehrungen
feststellen sollen. Auf diese Weise soll eine zielgenaue Prioritätenbestimmung für Maßnahmen und Investitionen ermöglicht und letztlich auch
ein Mittel zum Nachweis eines angemessenen IV-Sicherheitsstandes etabliert werden.
Für das IV-System der Universität Münster, speziell für das Universitätsrechnernetz mit seinen angeschalteten IT-Endgeräten,
besteht seit langer Zeit eine ständig verwendete Datenbank (LANbase), die sowohl für zentrale Administrationszwecke (LANbase/Tools) als auch bei
dezentralen Interaktionen (NIC_online) Einsatz findet und entsprechend für zentrale als auch Endnutzer orientierte Bedienung ausgelegt ist. Auf dieser Grundlage
wurde ein in LANbase und NIC_online integriertes Security-Audit-Verfahren (ISIDOR) durch das Zentrum für Informationsverarbeitung entwickelt, das sowohl eine
dezentrale Erfassung als auch dezentrale und zentrale Auswertungen ermöglicht. Nachhaltige Fortschreibungsmöglichkeiten für
Audit-Maßnahmen, veränderbare Fragenkataloge, aufwandreduzierende Wiederverwendbarkeit für frühere Erfassungsdaten als auch unmittelbare
Audit-Ergebnissichtungsmöglichkeit sollen für möglichst große Akzeptanz sorgen. Die entwickelten Fragekataloge orientieren sich wesentlich
an denen des Bundesamtes für Sicherheit in der Informationsverarbeitung (BSI), sind jedoch auch teilweise erheblich an die besonderen Bedürfnisse der
Universität angepasst; der Fragenumfang selbst wird dynamisch an den Schutzbedarf jedes einzelnen betrachteten IT-Systems angepasst und reduziert sich bei
geringerem Schutzbedarf.
Die Entwicklung von ISIDOR soll 2005 soweit abgeschlossen werden, dass nach ersten Pilot-Audit-Maßnahmen ab der zweiten Jahreshälfte Regel-Audits
durch geführt werden können.
Beteiligte Wissenschaftler:
Veröffentlichungen:
|