IT-Sicherheits-Policy

Der Begriff Sicherheits-Policy (IT-Sicherheitspolicy, IT-Security Policy) wird in der IT-Welt in verschiedenen Bedeutungen bzw. auf verschiedenen Abstraktionsebenen verwendet, von einer übergeordneten organisationsweiten Sicht, einem technologiebezogenen Standpunkt bis hin zu Mechanismen bei der Software-Entwicklung.

[Bearbeiten] IT-Sicherheits-Policy im übergeordneten Sinne

Im übergeordneten Sinn werden in der IT-Sicherheits-Policy die generellen organisationsweiten IT-Sicherheitsstandards und -regelungen festgelegt. Ziel ist der Schutz des Eigentums - inklusive Know-how, Datenbestand und Ansehen der Organisation. Wichtige Bestandteile einer übergeordneten IT-Sicherheits-Policy sind:

• Festlegung von Verantwortlichkeiten
• Festlegung der übergeordneten Schutzziele
• Auswahl der einzusetzende Methoden zum Erreichen von IT-Sicherheit
• Mechanismen zur Kontrolle der Sicherheitsmaßnahmen
• Vorgaben zum IT-Sicherheitskonzept
• Datensicherungskonzept
• Notfallkonzept
• Schulungskonzepte, Awareness
• Fortschreibung und Anpassung der Sicherheitspolicy

[Bearbeiten] Einzelheiten

Eine übergreifende IT-Sicherheits-Policy sollte mit den allgemeinen Zielen einer Organisation verträglich sein und von deren Führung initiiert werden. Sie muss von allen Beteiligten "gelebt" werden und ist internen und externen Veränderungen anzupassen. Basierend auf der IT-Sicherheits-Policy ist ein Sicherheitskonzept zu erstellen, welches die Vorgaben in konkrete Maßnahmen (Konfigurationen, Filterregeln etc.) umsetzt.

Eine übergeordnete IT-Sicherheits-Policy verkörpert eine konzernweite Unternehmensrichtlinie. Sie muss auf der Basis einer allgemeinen Sicherheitsarchitektur die konzernweiten Hauptvorgaben zusammenfassen. Zur weiteren Bestimmung der Reichweite einer IT-Sicherheits-Policy sind Konzern- oder Unternehmensaufbau zu analysieren.

Hierunter fallen Minimumstandards für die zentrale und dezentrale Datenverarbeitung mit unternehmensweiter Gültigkeit für:

• Klassifizierung, Kontrolle, Nachvollzug, Funktionalität, Anwendungsentwicklung, Fremdsoftware, individuelle Datenverarbeitung, Dokumentation.

Weiterhin sind Rollen sowie deren Rechten und Pflichten im Hinblick auf die IT-Sicherheit bzw. Sicherheitsverantwortung zu spezifizieren, z.B. für

• den Sicherheitsverantwortlichen
• den Systemadministrator/Netzwerkadministrator
• einen Netzwerkbenutzer

Zusätzlich sind Vorgaben für Ziele, Aufgaben und Zusammenarbeit zu formulieren. Hierunter fallen zu erarbeitende bzw. zu ergänzende Rahmenvorgaben der Unternehmensleitung u. a. im Hinblick auf Ziele, Aufgaben und Bereiche für:

• Sicherheitsorganisation, Risikoklassifizierung, Kontrolle und Beobachtung (Kontrollkreisläufe, Revision, Sicherheitsbeauftragte der Fachanwender, Datenschutz).

In der Praxis hat es sich als nützlich erweisen, die IT-Sicherheits-Policy in drei große Bereiche zu gliedern:

[Bearbeiten] Ziele und Notwendigkeiten

Im Bereich "Ziele und Notwendigkeiten" einer IT-Sicherheits-Policy müssen behandelt und festgelegt werden:

1. Informationssicherheit als integraler Bestandteil der Geschäftspolitik des gesamten Geschäfts- und Betriebsbereichs
2. Schutz vor Verlust der Integrität, Vertraulichkeit und Verfügbarkeit der Daten
3. Einhaltung der Sicherheitsvorgaben für die Informationsverarbeitung, unverzichtbare Aufgabe einer jeden Führungskraft als Grundlage der Zusammenarbeit innerhalb des Konzern-Bereiches

[Bearbeiten] Inhalte und Grundlagen

Im Bereich "Inhalte und Grundlagen" einer IT-Sicherheits-Policy müssen vor allem behandelt und festgelegt werden:

1. Geschäftsbereichs- und betriebsbereichsspezifische Einzelsicherheitskonzepte für die Informationsverarbeitung in Verantwortung des Vorstands bzw. der Leitung vor Ort
2. Definition von Verfahrensanweisungen und Sicherheitsstandards in der Informationsverarbeitung
3. zentrale Sicherheitsstelle für die Informationsverarbeitung (Fortentwicklung, Steuerung und Überwachung der Sicherheit für die Informationsverarbeitung im gesamten Konzern-Bereich)
4. Unterstützung durch Beauftragte für Informationssicherheit, in den fachlichen Bereichen (Konzern-Bereich)
5. Auf Basis definierter Standards und Verfahren Verantwortung der Beauftragten für Informationssicherheit der fachlichen Bereiche für Steuerung und Überwachung der Umsetzung und Einhaltung der spezifischen Einzelsicherheitskonzepte für die Informationsverarbeitung
6. Unterstützung durch die zentrale Sicherheitsstelle für die Informationssicherheit
7. Sanktionen bei Nichteinhaltung der Vorgabe / Richtlinien sind vorgesehen

[Bearbeiten] Wirtschaftlichkeit und Angemessenheit

Im Bereich "Wirtschaftlichkeit und Angemessenheit" einer IT-Sicherheits-Policy müssen vor allem behandelt und festgelegt werden:

1. Durchführung von Risikoanalysen (Risiko-Analyse-System): Aufgaben der leitenden Manager der Fachbereiche als Daten- / Anwendungsverantwortliche (auch Erhebung der entsprechenden Sicherheitsanforderungen für Vertraulichkeit, Verfügbarkeit und Integrität der Daten und Anwendungen)
2. im Abschnitt "Standards und Verfahren" einer Policy:
3. Sicherheitsarchitektur als Rahmenvorgaben für alle Fachbereiche des Konzerns und ihre Abteilungen
4. Netzwerksicherheit auf Basis einer für den Fachbereich des Konzerns geltenden Netzsicherheitsarchitektur

[Bearbeiten] Praxisbeispiel

Als Beispiel für eine übergeordnete IT-Sicherheits-Policy in der öffentlichen Verwaltung wird auf die Sicherheitsleitlinie des Landes Brandenburg verwiesen (Verwaltungsvorschrift).

[Bearbeiten] IT-Sicherheits-Policy im engeren Sinne

Im allgemeinen Sprachgebrauch wird der Begriff IT-Sicherheits-Policy auch in einem engeren Sinn verwendet, und zwar als Mitarbeiterregelungen oder Regelung für den Einsatz bestimmter Sicherheitstechnologien wie VPN, sichere E-Mail oder Firewalls. Im Falle von Firewalls etwa gehören in die Sicherheitspolicy Festlegungen wie etwa:

• Einsatzbereich
• Konfiguration
• Zugriffsrechte
• Protokollierung
• Datendurchsatz
• Notfallmaßnahmen

Policy-Regeln für die Mitarbeiter können beispielsweise getroffen werden:

• zur Benutzerethik
• als allgemeine Regeln für den Umgang mit vertraulichem Material
• zum Umgang mit Geräten
• zum Umgang mit Zugriffscodes und Passworten
• zur Benutzung von Internet, E-Mail, Messenger Systemen, Chat
• als weitere grundsätzliche Regeln (z.B. Vier-Augen-Prinzip, Need-to-Know)
• zum Virenschutz aus Anwendersicht
• zur Datensicherung aus Anwendersicht
• zu Copyright-Fragen (Stichwort: unerlaubte Software)
• zu Verstöße, entsprechende Eskalation und Konsequenzen

[Bearbeiten] Siehe übergeordnete Stichworte

• IT-Sicherheitsstrategien

AnzeigeService-Links

[Bearbeiten] Siehe auch

• ISO 27001-Zertifikat auf der Basis von IT-Grundschutz
• ISO/IEC 13335
• ISO/IEC 25010
• ISO/IEC 27001 (früher BS 7799)
• ITIL
• IT-Grundschutz
• IT-Sicherheitsarchitektur
• IT-Sicherheitsdomäne
• IT-Sicherheitsmanagement-Pyramide
• IT-Sicherheitsprozess
• Mobile IT-Sicherheit
• Plattformübergreifende Sicherheit
• PCI DSS
• Sicherheitsmanagement
• Sicherheitssoftware
• Windows-Sicherheitsstrategie