| Beide Seiten, vorherige ÜberarbeitungVorherige Überarbeitung | |
| app_anwendungen:app.1.1_office-produkte [2024/12/12 05:40] – mu | app_anwendungen:app.1.1_office-produkte [2024/12/17 21:36] (aktuell) – Externe Bearbeitung 127.0.0.1 |
|---|
| ==== Abgrenzung und Modellierung ==== | ==== Abgrenzung und Modellierung ==== |
| |
| Der Baustein [[app_anwendungen:app.1.1_office-produkte|APP.1.1 Office-Produkte]] ist auf jedes Office-Produkt anzuwenden, das lokal installiert ist und mit dem Dokumente betrachtet, bearbeitet oder erstellt werden, außer E-Mail-Anwendungen. | Der Baustein [[app_anwendungen:app.1.1_office-produkte|APP.1.1]] Office-Produkte ist auf jedes Office-Produkt anzuwenden, das lokal installiert ist und mit dem Dokumente betrachtet, bearbeitet oder erstellt werden, außer E-Mail-Anwendungen. |
| |
| Dieser Baustein betrachtet den Einsatz von Office-Produkten aus Sicht des IT-Betriebs und gibt Hinweise für Benutzende, wie Office-Produkte eingesetzt werden sollten. Ergänzend zu den Anforderungen dieses Bausteins müssen die Anforderungen des übergeordneten Bausteins [[app_anwendungen:app.6_allgemeine_software|APP.6 Allgemeine Software]] umgesetzt werden. E-Mail-Anwendungen werden in diesem Baustein nicht berücksichtigt, die entsprechenden Anforderungen sind im Baustein [[app_anwendungen:app.5.3_allgemeiner_e-mail-client_und_-server|APP.5.3 Allgemeiner E-Mail-Client und -Server]] zu finden. Bei der Verwendung von integrierten Datenbanksystemen wie Base in LibreOffice oder Access in Microsoft Office muss der Baustein [[app_anwendungen:app.4.3_relationale_datenbanken|APP.4.3 Relationale Datenbanken]] berücksichtigt werden. Ebenfalls im vorliegenden Baustein ausgenommen sind reine Cloud-Office-Anwendungen wie Google Workspace mit den Anwendungen Docs oder Sheets. Anforderungen an Cloud-Anwendungen sind in dem Baustein [[ops_betrieb:ops.2.2_cloud-nutzung|OPS.2.2 Cloud-Nutzung]] festgelegt. | Dieser Baustein betrachtet den Einsatz von Office-Produkten aus Sicht des IT-Betriebs und gibt Hinweise für Benutzende, wie Office-Produkte eingesetzt werden sollten. Ergänzend zu den Anforderungen dieses Bausteins müssen die Anforderungen des übergeordneten Bausteins [[app_anwendungen:app.6_allgemeine_software|APP.6]] Allgemeine Software umgesetzt werden. E-Mail-Anwendungen werden in diesem Baustein nicht berücksichtigt, die entsprechenden Anforderungen sind im Baustein [[app_anwendungen:app.5.3_allgemeiner_e-mail-client_und_-server|APP.5.3]] Allgemeiner E-Mail-Client und -Server zu finden. Bei der Verwendung von integrierten Datenbanksystemen wie Base in LibreOffice oder Access in Microsoft Office muss der Baustein [[app_anwendungen:app.4.3_relationale_datenbanken|APP.4.3]] Relationale Datenbanken berücksichtigt werden. Ebenfalls im vorliegenden Baustein ausgenommen sind reine Cloud-Office-Anwendungen wie Google Workspace mit den Anwendungen Docs oder Sheets. Anforderungen an Cloud-Anwendungen sind in dem Baustein [[ops_betrieb:ops.2.2_cloud-nutzung|OPS.2.2]] Cloud-Nutzung festgelegt. |
| |
| ===== Gefährdungslage ===== | ===== Gefährdungslage ===== |
| |
| Da IT-Grundschutz-Bausteine nicht auf individuelle Informationsverbünde eingehen können, werden zur Darstellung der Gefährdungslage typische Szenarien zugrunde gelegt. Die folgenden spezifischen Bedrohungen und Schwachstellen sind für den Baustein [[app_anwendungen:app.1.1_office-produkte|APP.1.1 Office-Produkte]] von besonderer Bedeutung. | Da IT-Grundschutz-Bausteine nicht auf individuelle Informationsverbünde eingehen können, werden zur Darstellung der Gefährdungslage typische Szenarien zugrunde gelegt. Die folgenden spezifischen Bedrohungen und Schwachstellen sind für den Baustein [[app_anwendungen:app.1.1_office-produkte|APP.1.1]] Office-Produkte von besonderer Bedeutung. |
| |
| ==== Fehlende Anpassung der Office-Produkte an den Bedarf der Institution ==== | ==== Fehlende Anpassung der Office-Produkte an den Bedarf der Institution ==== |
| ===== Anforderungen ===== | ===== Anforderungen ===== |
| |
| Im Folgenden sind die spezifischen Anforderungen des Bausteins [[app_anwendungen:app.1.1_office-produkte|APP.1.1 Office-Produkte]] aufgeführt. Der oder die Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der oder die ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. | Im Folgenden sind die spezifischen Anforderungen des Bausteins [[app_anwendungen:app.1.1_office-produkte|APP.1.1]] Office-Produkte aufgeführt. Der oder die Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der oder die ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. |
| |
| Im IT-Grundschutz-Kompendium sind darüber hinaus weitere Rollen definiert. Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist. | Im IT-Grundschutz-Kompendium sind darüber hinaus weitere Rollen definiert. Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist. |
| === APP.1.1.A6 Testen neuer Versionen von Office-Produkten (S) === | === APP.1.1.A6 Testen neuer Versionen von Office-Produkten (S) === |
| |
| Neue Versionen von Office-Produkten SOLLTEN vor dem produktiven Einsatz auf Kompatibilität mit etablierten Arbeitsmitteln wie Makros, Dokumentenvorlagen oder Formularen der Institution geprüft werden (Siehe hierzu [[ops_betrieb:ops.1.1.6_software-tests_und_-freigaben|OPS.1.1.6 Software-Tests und -Freigaben]]). Es SOLLTE sichergestellt sein, dass wichtige Arbeitsmittel auch mit der neuen Software-Version einwandfrei funktionieren. Bei entdeckten Inkompatibilitäten SOLLTEN geeignete Lösungen für die betroffenen Arbeitsmittel gefunden werden. | Neue Versionen von Office-Produkten SOLLTEN vor dem produktiven Einsatz auf Kompatibilität mit etablierten Arbeitsmitteln wie Makros, Dokumentenvorlagen oder Formularen der Institution geprüft werden (Siehe hierzu [[ops_betrieb:ops.1.1.6_software-tests_und_-freigaben|OPS.1.1.6]] Software-Tests und -Freigaben). Es SOLLTE sichergestellt sein, dass wichtige Arbeitsmittel auch mit der neuen Software-Version einwandfrei funktionieren. Bei entdeckten Inkompatibilitäten SOLLTEN geeignete Lösungen für die betroffenen Arbeitsmittel gefunden werden. |
| |
| === APP.1.1.A7 ENTFALLEN (S) === | === APP.1.1.A7 ENTFALLEN (S) === |
| === APP.1.1.A10 Regelung der Software-Entwicklung durch Endbenutzende (S) === | === APP.1.1.A10 Regelung der Software-Entwicklung durch Endbenutzende (S) === |
| |
| Für die Software-Entwicklung auf Basis von Office-Anwendungen, z. B. mit Makros, SOLLTEN verbindliche Regelungen getroffen werden (siehe auch APP.1.1.A2 Einschränken von Aktiven Inhalten) . Zunächst SOLLTE in jeder Institution die Grundsatzentscheidung getroffen werden, ob solche Eigenentwicklungen überhaupt erwünscht sind. Die Entscheidung SOLLTE in den betroffenen Sicherheitsrichtlinien dokumentiert werden. Werden Eigenentwicklungen erlaubt, SOLLTE ein Verfahren für den Umgang mit entsprechenden Funktionen der Office-Produkte für die Endbenutzenden erstellt werden. Zuständigkeiten SOLLTEN klar definiert werden. Alle notwendigen Informationen über die erstellten Anwendungen SOLLTEN angemessen dokumentiert werden. Aktuelle Versionen der Regelungen SOLLTEN allen betroffenen Benutzenden zeitnah zugänglich gemacht und von diesen beachtet werden. | Für die Software-Entwicklung auf Basis von Office-Anwendungen, z. B. mit Makros, SOLLTEN verbindliche Regelungen getroffen werden (siehe auch [[app_anwendungen:app.1.1_office-produkte|APP.1.1]].A2 Einschränken von Aktiven Inhalten) . Zunächst SOLLTE in jeder Institution die Grundsatzentscheidung getroffen werden, ob solche Eigenentwicklungen überhaupt erwünscht sind. Die Entscheidung SOLLTE in den betroffenen Sicherheitsrichtlinien dokumentiert werden. Werden Eigenentwicklungen erlaubt, SOLLTE ein Verfahren für den Umgang mit entsprechenden Funktionen der Office-Produkte für die Endbenutzenden erstellt werden. Zuständigkeiten SOLLTEN klar definiert werden. Alle notwendigen Informationen über die erstellten Anwendungen SOLLTEN angemessen dokumentiert werden. Aktuelle Versionen der Regelungen SOLLTEN allen betroffenen Benutzenden zeitnah zugänglich gemacht und von diesen beachtet werden. |
| |
| === APP.1.1.A11 Geregelter Einsatz von Erweiterungen für Office-Produkte (S) === | === APP.1.1.A11 Geregelter Einsatz von Erweiterungen für Office-Produkte (S) === |
| * BSI-CS 147: Sichere Konfiguration von Libre Office - Empfehlungen für Privatanwender und Privatanwenderinnen, kleine Unternehmen | * BSI-CS 147: Sichere Konfiguration von Libre Office - Empfehlungen für Privatanwender und Privatanwenderinnen, kleine Unternehmen |
| |
| ==== Kreuzreferenz ==== | |
| |
| {{page>kreuzreferenztabelle:krt_app.1.1}} | |
