IT-GSHB 2000 - Regelung für die Einrichtung von Benutzern / Benutzergruppen

M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Regelungen für die Einrichtung von Benutzern / Benutzergruppen bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten und für die Sicherstellung eines geordneten und überwachbaren Betriebsablaufs.

Es sollte ein Formblatt existieren, um von jedem Benutzer bzw. für jede Benutzergruppe zunächst die erforderlichen Daten abzufragen:

Name, Vorname,
Vorschlag für den Benutzer- bzw. Gruppenkennung, wenn diese nicht durch Konventionen vorgegeben sind,
Organisationseinheit,
Erreichbarkeit (z. B. Telefon, Raum),
ggf. Projekt,
ggf. Angaben über die geplante Tätigkeit im System und die dazu erforderlichen Rechte sowie die Dauer der Tätigkeit,
ggf. Restriktionen auf Zeiten, Endgeräte, Plattenvolumen, Zugriffsberechtigungen (für bestimmte Verzeichnisse, Remote-Zugriffe, etc.), eingeschränkte Benutzerumgebung,
ggf. Zustimmung von Vorgesetzten.

Falls Zugriffsberechtigungen vergeben werden, die über den Standard hinausgehen, sollte dies begründet werden.Dieses kann auch in elektronischer Form erfolgen durch ein spezielles Login, dessen Name und Paßwort den einzurichtenden Benutzern bekanntgegeben wird. Dort wird ein entsprechendes Programm durchlaufen, das mit einem Logout endet. Die erfaßten Daten können zur Vorlage beim Vorgesetzten ausgedruckt werden. Ein Paßwort, das einem neuen Benutzer für die erstmalige Systemnutzung mitgeteilt wird, muß danach gewechselt werden. Dies sollte vom System initiiert werden.

Es sollte eine begrenzte Anzahl von Rechteprofilen festgelegt werden. Ein neuer Benutzer wird dann einem solchen Profil zugeordnet und erhält damit genau die für seine Tätigkeit erforderlichen Rechte. Dabei sind die systemspezifischen Möglichkeiten bei der Einrichtung von Benutzern und Gruppen zu beachten. Es ist sinnvoll, Namenskonventionen für die Benutzer- und Gruppennamen festzulegen (z. B. Benutzer-ID = Kürzel Organisationseinheit || lfd. Nummer).

Die Zugriffsberechtigung für Dateien ist auf Benutzer bzw. Gruppen mit berechtigtem Interesse zu beschränken. Wenn mehrere Personen auf eine Datei zugreifen müssen, soll für diese eine Gruppe eingerichtet werden. In der Regel muß jedem Benutzer eine eigene Benutzerkennung zugeordnet sein, es dürfen nicht mehrere Benutzer unter derselben Kennung arbeiten. Für jeden Benutzer muß ein eindeutiges Heimatverzeichnis angelegt werden.

Für die Einrichtungsarbeiten im System sollte eine administrative Rolle geschaffen werden: Die Einrichtung sollte mit Hilfe eines speziellen Logins, unter dem ein entsprechendes Programm oder Shellskript gestartet wird, erfolgen. Die zuständigen Administratoren können Benutzer bzw. Benutzergruppen somit nur auf definierte Weise einrichten, und es ist nicht erforderlich, ihnen Rechte für andere Administrationsaufgaben zu geben.

Diese Maßnahme wird ergänzt durch folgende Maßnahmen:

M 4.13 Sorgfältige Vergabe von IDs
M 4.19 Restriktive Attributvergabe bei Unix-Systemdateien und -verzeichnissen
M 4.20 Restriktive Attributvergabe bei Unix-Benutzerdateien und -verzeichnissen

Ergänzende Kontrollfragen:

Gibt es organisatorische Regelungen zur Einrichtung von Benutzern bzw. Benutzergruppen?
Gibt es ein Programm zur Einrichtung von Benutzern bzw. Benutzergruppen?