Header Gesetzliche Anforderungen VDA Information Security Assessment (VDA-ISA)
Header Gesetzliche Anforderungen VDA Information Security Assessment (VDA-ISA) mobil
Sie befinden sich hier: Start > Gesetzliche Anforderungen > VDA Information Security Assessment (VDA-ISA)

VDA Information Security Assessment (VDA-ISA)

Veröffentlicht:
Mai 2019 (Version 4.4.1)

Zielgruppe:
Automobilindustrie

Der Verband der Automobilindustrie (VDA) hat im Jahr 2005 einen Fragenkatalog zur Informationssicherheit (ISA – Information Security Assessment) entwickelt, der in der Branche als Grundlage zur Prüfung der internen und externen Informationssicherheit herangezogen wird. Die VDA-ISA orientiert sich dabei an den internationalen Standards ISO 27001 und 27002 und wird in der Regel anhand des Prüf- und Austauschmechanismus TISAX kontrolliert.

Die Fragestellungen der VDA-ISA gliedern sich in 17 Kategorien. Das Thema Protokollierung bzw. Logmanagement wird dabei vor allem unter Punkt 12.6 aufgegriffen. Die Fragestellung des Katalogs lautet dabei wörtlich: „Inwieweit werden die Aktivitäten von Systemadministratoren und -operatoren protokolliert, die Ablage der Protokolle gegen Veränderungen abgesichert und regelmäßig überprüft?“ Die VDA-ISA setzt sich hier das Ziel einer Protokollierung aller Aktivitäten von Systemadministratoren und -operatoren in Bezug zu den Änderungen, die an IT-Systemen vorgenommen werden. Diese Aktivitäten sollen dabei nicht nur in Logs erfasst werden, sondern auch unter Berücksichtigung der entsprechenden gesetzlichen Vorschriften (z.B. Datenschutz oder der internen Compliance) ausgewertet werden.

Anforderungen, die erfüllt werden müssen:

  • Das Unternehmen hat alle sicherheitsrelevanten Anforderungen erfasst und umgesetzt, die sich auf die Protokollierung von Aktivitäten der Systemadministratoren und Systemoperatoren beziehen.
  • Die eingesetzten Applikationen der IT-Infrastruktur wurde im Bezug auf die Notwendigkeit der Protokollierung bewertet (siehe auch Protokollierungskonzept).
  • Sollten externe IT-Systeme betroffen sein, wurden auch diese im Protokollierungskonzept zur Erfassung von Events berücksichtigt.
  • Es wurden Maßnahmen bei Regelverstößen definiert.
  • Das Unternehmen kann nachweisen, dass regelmäßige Prüfungen bezüglich Regelverstöße durchgeführt wurden, und dass diese Prüfungen die gesetzlichen Vorschriften und internen Complianceregeln einhalten.
  • Die Art der Protokollierung im Bezug zu Zeitpunkt, Aktivitätslevel, Aufbewahrungsfristen wurde definiert und nachweislich umgesetzt.

Anforderungen, die erfüllt werden sollen:

  • Das Unternehmen hat einen Meldeprozess bezüglich Regelverstößen an die zuständige Stelle (z.B. dem Computersicherheits-Ereignis- und Reaktionsteam des Bundes [CERT]) etabliert.
  • Die erfassten Logs sind vor Veränderungen geschützt.

Zusätzlich empfiehlt die VDA-ISA bei „hohem Schutzbedarf“ eine Protokollierung von Zugriffen im Hinblick auf den Auf- bzw. Abbau von externen Verbindungen, wie es beispielsweise bei Fernwartungen zustande kommen kann. Liegt beim Unternehmen ein „sehr hoher Schutzbedarf“ vor, wird die Empfehlung ausgesprochen, Protokolle von allen Zugriffen anzulegen, sofern sich diese auf Daten mit sehr hohem Schutzbedarf beziehen und die Protokollierung auch technisch möglich ist.

Weitere Vorschriften aus der Regulatorik