Sicherheits-Policy

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Der Begriff Sicherheits-Policy (veraltet auch IT-Sicherheitspolicy, IT-Security Policy) wird in der IT-Welt in verschiedenen Bedeutungen bzw. auf verschiedenen Abstraktionsebenen verwendet, von einer übergeordneten organisationsweiten Sicht, einem technologiebezogenen Standpunkt bis hin zu Mechanismen bei der Software-Entwicklung.

Sicherheits-Policy im übergeordneten Sinne

Im übergeordneten Sinn werden in der Sicherheits-Policy die generellen organisationsweiten Sicherheitsstandards und -regelungen festgelegt. Ziel ist der Schutz des Eigentums - inklusive Know-how, Datenbestand und Ansehen der Organisation. Wichtige Bestandteile einer übergeordneten Sicherheits-Policy sind:


Einzelheiten

Eine übergreifende Sicherheits-Policy sollte mit den allgemeinen Zielen einer Organisation verträglich sein und von deren Führung initiiert werden. Sie muss von allen Beteiligten "gelebt" werden und ist internen und externen Veränderungen anzupassen. Basierend auf der Sicherheits-Policy ist ein Sicherheitskonzept zu erstellen, welches die Vorgaben in konkrete Maßnahmen (Konfigurationen, Filterregeln etc.) umsetzt.

Eine übergeordnete Sicherheits-Policy verkörpert eine konzernweite Unternehmensrichtlinie. Sie muss auf der Basis einer allgemeinen Sicherheitsarchitektur die konzernweiten Hauptvorgaben zusammenfassen. Zur weiteren Bestimmung der Reichweite einer Sicherheits-Policy sind Konzern- oder Unternehmensaufbau zu analysieren.

Hierunter fallen Minimumstandards für die zentrale und dezentrale Datenverarbeitung mit unternehmensweiter Gültigkeit für:

  • Klassifizierung, Kontrolle, Nachvollzug, Funktionalität, Anwendungsentwicklung, Fremdsoftware, individuelle Datenverarbeitung, Dokumentation.

Weiterhin sind Rollen sowie deren Rechten und Pflichten im Hinblick auf die Informationssicherheit bzw. Sicherheitsverantwortung zu spezifizieren, z.B. für

  • den Sicherheitsverantwortlichen
  • den Systemadministrator/Netzwerkadministrator
  • einen Netzwerkbenutzer

Zusätzlich sind Vorgaben für Ziele, Aufgaben und Zusammenarbeit zu formulieren. Hierunter fallen zu erarbeitende bzw. zu ergänzende Rahmenvorgaben der Unternehmensleitung u. a. im Hinblick auf Ziele, Aufgaben und Bereiche für:

In der Praxis hat es sich als nützlich erweisen, die Sicherheits-Policy in drei große Bereiche zu gliedern:

Ziele und Notwendigkeiten

Im Bereich "Ziele und Notwendigkeiten" einer Sicherheits-Policy müssen behandelt und festgelegt werden:

  1. Informationssicherheit als integraler Bestandteil der Geschäftspolitik des gesamten Geschäfts- und Betriebsbereichs
  2. Schutz vor Verlust der Integrität, Vertraulichkeit und Verfügbarkeit der Daten
  3. Einhaltung der Sicherheitsvorgaben für die Informationsverarbeitung, unverzichtbare Aufgabe einer jeden Führungskraft als Grundlage der Zusammenarbeit innerhalb des Konzern-Bereiches

Inhalte und Grundlagen

Im Bereich "Inhalte und Grundlagen" einer Sicherheits-Policy müssen vor allem behandelt und festgelegt werden:

  1. Geschäftsbereichs- und betriebsbereichsspezifische Einzelsicherheitskonzepte für die Informationsverarbeitung in Verantwortung des Vorstands bzw. der Leitung vor Ort
  2. Definition von Verfahrensanweisungen und Sicherheitsstandards in der Informationsverarbeitung
  3. zentrale Sicherheitsstelle für die Informationsverarbeitung (Fortentwicklung, Steuerung und Überwachung der Sicherheit für die Informationsverarbeitung im gesamten Konzern-Bereich)
  4. Unterstützung durch Beauftragte für Informationssicherheit, in den fachlichen Bereichen (Konzern-Bereich)
  5. Auf Basis definierter Standards und Verfahren Verantwortung der Beauftragten für Informationssicherheit der fachlichen Bereiche für Steuerung und Überwachung der Umsetzung und Einhaltung der spezifischen Einzelsicherheitskonzepte für die Informationsverarbeitung
  6. Unterstützung durch die zentrale Sicherheitsstelle für die Informationssicherheit
  7. Sanktionen bei Nichteinhaltung der Vorgabe / Richtlinien sind vorgesehen

Wirtschaftlichkeit und Angemessenheit

Im Bereich "Wirtschaftlichkeit und Angemessenheit" einer Sicherheits-Policy müssen vor allem behandelt und festgelegt werden:

  1. Durchführung von Risikoanalysen (Risiko-Analyse-System): Aufgaben der leitenden Manager der Fachbereiche als Daten- / Anwendungsverantwortliche (auch Erhebung der entsprechenden Sicherheitsanforderungen für Vertraulichkeit, Verfügbarkeit und Integrität der Daten und Anwendungen)
  2. im Abschnitt "Standards und Verfahren" einer Policy:
  3. Sicherheitsarchitektur als Rahmenvorgaben für alle Fachbereiche des Konzerns und ihre Abteilungen
  4. Netzwerksicherheit auf Basis einer für den Fachbereich des Konzerns geltenden Netzsicherheitsarchitektur


Praxisbeispiel

Als Beispiel für eine übergeordnete Sicherheits-Policy in der öffentlichen Verwaltung wird auf die Sicherheitsleitlinie des Landes Brandenburg verwiesen (Verwaltungsvorschrift).


Sicherheits-Policy im engeren Sinne (IT-Sicherheits-Policy)

Im allgemeinen Sprachgebrauch wird der Begriff Sicherheits-Policy auch in einem engeren Sinn verwendet, und zwar als Mitarbeiterregelungen oder Regelung für den Einsatz bestimmter Sicherheitstechnologien wie VPN, sichere E-Mail oder Firewalls. Im Falle von Firewalls etwa gehören in die Sicherheitspolicy Festlegungen wie etwa:

  • Einsatzbereich
  • Konfiguration
  • Zugriffsrechte
  • Protokollierung
  • Datendurchsatz
  • Notfallmaßnahmen

Policy-Regeln für die Mitarbeiter können beispielsweise getroffen werden:

  • zur Benutzerethik
  • als allgemeine Regeln für den Umgang mit vertraulichem Material
  • zum Umgang mit Geräten
  • zum Umgang mit Zugriffscodes und Passworten
  • zur Benutzung von Internet, E-Mail, Messenger Systemen, Chat
  • als weitere grundsätzliche Regeln (z.B. Vier-Augen-Prinzip, Need-to-Know)
  • zum Virenschutz aus Anwendersicht
  • zur Datensicherung aus Anwendersicht
  • zu Copyright-Fragen (Stichwort: unerlaubte Software)
  • zu Verstöße, entsprechende Eskalation und Konsequenzen


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 26. Oktober 2013 um 19:52 Uhr von Oliver Wege geändert.

Anzeigen