VDA ISA 6.0.2

TISAX® Kapitel 5.2.3
Inwieweit werden IT-Systeme vor Schadsoftware geschützt?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Das Ziel ist es, den Schutz von IT-Systemen vor Schadsoftware sowohl technisch als auch organisatorisch sicherzustellen.

Anforderungen

Muss
Anforderungen an den Schutz vor Schadsoftware sind ermittelt.
Muss
Technische und organisatorische Maßnahmen zum Schutz vor Schadsoftware sind definiert und umgesetzt.
Sollte
Nicht benötigte Netzwerkdienste sind deaktiviert.
Sollte
Zugriff auf Netzwerkdienste ist mit geeigneten Schutzmaßnahmen (siehe Beispiele) auf die benötigten Zugriffe eingeschränkt.
Sollte
Eine Software zum Schutz vor Schadsoftware ist installiert und wird in regelmäßigen Abständen automatisch aktualisiert (z.B. Virenscanner).
Sollte
Empfangene Dateien und empfangene Software werden vor ihrer Ausführung automatisch auf Schadsoftware überprüft (On-Access-Scan).
Sollte
Der gesamte Datenbestand aller Systeme wird regelmäßig auf Schadsoftware überprüft.
Sollte
Von zentralen Gateways übertragene Daten (z.B. E-Mail, Internet, Netze von Dritten) werden automatisch mittels einer Schutzsoftware überprüft:
Sollte
Verschlüsselte Verbindungen werden berücksichtigt.
Sollte
Maßnahmen zur Verhinderung, dass Schutzsoftware durch Benutzer deaktiviert oder verändert wird, sind definiert und umgesetzt.
Sollte
Fallbezogene Sensibilisierungsmaßnahmen der Mitarbeiter.
Sollte
Für IT-Systeme, die ohne Software zum Schutz vor Schadsoftware betrieben werden, sind alternative Maßnahmen (z.B. spezielle Resilienz-Maßnahmen, wenig Dienste, keine aktiven User, Netzisolierung) umgesetzt.

Umsetzung

Inwieweit werden IT-Systeme vor Schadsoftware geschützt?

Zum Schutz vor Schadsoftware ist es unerlässlich, genau festzulegen, welche Maßnahmen ergriffen werden müssen. Beginnen Sie damit, alle Anforderungen an den Schutz vor Schadsoftware detailliert zu ermitteln. Dies schließt die Identifizierung potenzieller Gefahrenquellen und Einfallstore für Schadsoftware ein. Anschließend definieren und implementieren Sie sowohl technische als auch organisatorische Maßnahmen, um diese Risiken zu minimieren.

Nicht benötigte Netzwerkdienste sollten deaktiviert werden, um das Angriffsrisiko zu verringern. Bei den notwendigen Netzwerkdiensten müssen Zugriffe streng kontrolliert und durch angemessene Schutzmaßnahmen abgesichert werden. Installieren Sie eine Schutzsoftware gegen Schadsoftware, die regelmäßig und automatisch aktualisiert wird, um stets den neuesten Schutz zu gewährleisten. Alle empfangenen Dateien und Software sollten vor ihrer Ausführung durch einen On-Access-Scan überprüft werden.

Es ist ebenfalls wichtig, den gesamten Datenbestand aller Systeme regelmäßig auf Schadsoftware zu überprüfen. Alle Daten, die über zentrale Gateways – zum Beispiel per E-Mail, Internetzugang oder Netze Dritter – übertragen werden, müssen automatisch mittels Schutzsoftware kontrolliert werden. Berücksichtigen Sie dabei auch verschlüsselte Verbindungen, um keine potenziellen Schlupflöcher offen zu lassen.

Definieren und implementieren Sie Maßnahmen, um sicherzustellen, dass die Schutzsoftware nicht von Benutzern deaktiviert oder verändert werden kann. Ergänzend dazu sind fallbezogene Sensibilisierungsmaßnahmen für Mitarbeiter zu planen, um das Bewusstsein und die Verhaltensweisen im Umgang mit potentiellen Bedrohungen zu schärfen.

Für IT-Systeme, welche nicht mit einer Software zum Schutz vor Schadsoftware ausgestattet werden können, müssen alternative Maßnahmen umgesetzt werden. Solche Maßnahmen könnten beispielsweise aus speziellen Resilienz-Strategien, einer Reduzierung der aktiven Dienste, dem Fehlen aktiver Benutzerkonten oder einer strikten Netzwerkisolierung bestehen.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde