IT-GSHB 2000 - BSI - Strukturierte Datenhaltung

M 2.138 Strukturierte Datenhaltung

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, IT-Benutzer

Eine schlecht strukturierte Datenhaltung kann zu einer Vielzahl von Problemen führen. Alle IT-Benutzer sind daher darauf hinzuweisen, wie eine gut strukturierte und übersichtliche Datenhaltung aussehen sollte. Auf allen Servern sollten entsprechende Strukturen durch die Administratoren vorgegeben werden. Dies ist ohnehin Voraussetzung, um eine differenzierte Vergabe von Zugriffsrechten realisieren zu können.

Programm- und Arbeitsdateien sollten immer in getrennten Bereichen gespeichert werden. Dies sorgt für eine bessere Übersicht und erleichtert auch die Durchführung von Datensicherungen und die Sicherstellung des korrekten Zugriffsschutzes. Bei den meisten Applikationsprogrammen ändern sich nach der Installation keine oder nur sehr wenige Konfigurationsdateien. Soweit möglich, sollten alle Dateien, die sich regelmäßig ändern, in gesonderten Verzeichnissen abgespeichert werden, damit nur diese in die regelmäßigen Datensicherungen mitaufgenommen werden müssen.

Bei einer sauberen Trennung von Programmen und Daten reicht es, die Daten in die regelmäßigen Datensicherungen aufzunehmen. Wichtig ist es, die Arbeitsdateien sorgfältig gesichert zu haben, diese können dann notfalls auch auf anderen Systemen weiterverarbeitet werden.

Bei vernetzten Systemen stellt sich außerdem die Frage, welche Programme bzw. Dateien auf den lokalen Festplatten oder auf einem Netzserver abgelegt werden sollten. Beides hat Vor- und Nachteile und muss sowohl von der organisatorischen Struktur als auch von der eingesetzten Hard- und Software abhängig gemacht werden. So sollten z. B. Dateien mit hohen Verfügbarkeitsansprüchen zusammen mit den zugehörigen Applikationsprogrammen besser auf den Arbeitsplatzrechnern gehalten werden als auch einem Netzserver. Dann muss allerdings auch die entsprechende Notfallvorsorge für diese Arbeitsplatzrechner betrieben werden.

Es sollten aufgaben- oder projektbezogene Verzeichnisse eingerichtet werden, um die Zuordnung von Dateien zu erleichtern. Es sollten möglichst wenig Daten in personenbezogenen Verzeichnissen abgelegt werden.

Um zu verhindern, dass für die weitere Arbeit grundlegenden Dateien wie Briefvorlagen, Formularen, Projektplänen o. Ä. unterschiedliche Versionsstände existieren, sollten diese zentral verwaltet werden. Sie sollten beispielsweise auf einem Server so vorgehalten werden, dass jeder lesend darauf zugreifen kann, aber es sollte für jede solche Datei jeweils nur eine Person geben, die sie verändern darf.

Wie auf einem Server durch Verzeichnisvorgaben Daten strukturiert werden könnten, wird in dem folgenden Beispiel gezeigt:

\bin

\bin\program1

\bin\program2

\bin\program3

\user

\user\user1

\user\user2

\projekte

\projekte\p1

\projekte\p1\texte \projekte\p1\bilder

\projekte\p2

\projekte\p2\projektplan \projekte\p2\teilprojekt1 \projekte\p2\teilprojekt2 \projekte\p2\teilprojekt3 \projekte\p2\ergebnis

\vordrucke

Es sollte regelmäßig überprüft werden,

ob Daten aus dem Produktionssystem entfernt werden können, weil sie archiviert oder gelöscht werden können,
ob Zugriffsrechte entzogen werden können, weil Mitarbeiter die Projektgruppe verlassen haben,
ob auf allen IT-Systemen die aktuellsten Versionen von Formularen, Vorlagen, etc. gespeichert sind.

Dies ist durch die Benutzer für deren IT-Systeme bzw. die von ihnen verwalteten Verzeichnisse und von den Administratoren der Server regelmäßig zu überprüfen. Diese Prüfungen sollten mindestens vierteljährlich durchgeführt werden, da sonst die Kenntnisse über Inhalt und Herkunft der Dateien wieder aus den Gedächtnissen der Mitarbeiter verschwunden sind.

Ergänzende Kontrollfragen:

Werden ausschließlich aufgaben- bzw. projektbezogene Verzeichnisse für die Datenhaltung benutzt?
Wann wurde zuletzt überprüft, ob alte Dateien gelöscht bzw. archiviert werden können?