Sicherheitspyramide (IT)

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Bild: Sicherheitsmanagement-Pyramide

Die Sicherheitsmanagement-Pyramide ist ein Vorgehensmodell zur Sicherheitsarchitektur für größere Unternehmen/Verwaltungen[1]. Das auf dieser Webseite beschriebene und in der Praxis entstandene Vorgehensmodell ist nicht zu verwechseln mit der Sicherheitspyramide von Klaus-Rainer Müller. Mitte der 90er Jahre publizierte dieser den von ihm geprägen Begriff Sicherheitspyramide , ihre Darstellung und die damit verbundene Vorgehensweise (dreidimensionale Sicherheitspyramide), die er später in Büchern detaillierter beschrieb[2]. Dieses dreidimensionale Vorgehensmodell zum Aufbau und zur Weiterentwicklung u. a. der Informationssicherheit stellt das Ergebnis langjähriger Praxis- und Beratungserfahrung dar.

Einzelheiten

Unter Anwendung der allgemeinen strategischen Ansätze Top-Down, ganzheitliche Betrachtung und Berücksichtigung von Lebenszyklen soll im Sinne einer Informationssicherheitsstrategie durch ein hierarchisch abgestuftes Regelwerk die Informationssicherheit stets gewährleistet werden.

Die einzelnen Stufungen in der Sicherheitsmanagement-Pyramide sind nicht festgelegt. In der Praxis hat sich aber z.B. folgende Stufung zur planmäßigen Erstellung und ständigen Fortschreibung der für die Informationssicherheit erforderlichen Unterlagen bewährt:

An der Spitze der IT-Sicherheitsmanagement-Pyramide steht die Sicherheits-Policy (auch -Sicherheitsleitlinie genannt) für das gesamte Unternehmen/Verwaltung. Ggf. mit enthalten, oder als Extra-Dokument bzw. Teil der technischen IT-Standards des Unternehmens, werden technische IT-Standards bezüglich der IT-Sicherheit festgeschrieben. Hier kann beispielsweise der generelle Einsatz einer Firewall für Internetzugänge mit entsprechenden Eigenschaften (z.B. Konzept Paket Filter bzw. Application Gateway) festgelegt werden. Im Sinne der Wirtschaftlichkeit ist zusätzlich auch eine Produktfestlegung möglich. Daneben sind allgemein übergreifende Systemrichtlinien notwendig. Diese setzen sich zusammen aus Systemrichtlinien mit rein technischen Hintergrund zum Umgang mit den IT-Standards (beispielsweise Dokumentation freigegebener Dienste/Ports auf einer Internet-Firewall) sowie technisch/organisatorische Systemrichtlinien (beispielsweise unternehmensweite Regelung zur privaten Mitbenutzung betrieblicher Geräte, Regelungen zum Umgang mit betrieblichen Informationen in sozialen Netzwerken).

In der Folge sind dann noch Regelungen notwendig, die nur Teilbereiche des Unternehmens/der Verwaltung betreffen. Dazu gehören lokal gültig Sicherheitsrichtlinien für einen abgrenzbaren Unternehmens-/Verwaltungsteil, erforderliche Sicherheitskonzepte für die IT-Verfahren sowie Sicherheitsregeln für den einzelnen Geschäftsprozess.


Literatur

  • Klaus-Rainer Müller: IT-Sicherheit mit System. Integratives IT-Sicherheits-, Kontinuitäts- und Risikomanagement - Sicherheitspyramide - Standards und Practices - SOA und Softwareentwicklung. 4.neu bearb. und erw. Auflage. VIEWEG+TEUBNER-Verlag 2011, ISBN: 978-3-8348-1536-1.
  • Klaus-Rainer Müller: Handbuch Unternehmenssicherheit - Umfassendes Sicherheits-, Kontinuitäts- und Risikomanagement mit System. 2.neu bearb. Auflage. VIEWEG+TEUBNER-Verlag 2010, ISBN: 978-3-8348-1224-7.


Einzelnachweis

  1. Verwendungsbeispiel: Informationssicherheitsleitinie der Landesverwaltung Brandenburg
  2. Homepage Sicherheitspyramide von Dr.-Ing. Müller


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 24. Mai 2017 um 19:22 Uhr von Oliver Wege geändert.

Anzeigen