Zum Inhalt springen

IT-Grundschutz/Leitlinie: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
Visuell
K Textersetzung - „ISMS/Richtlinien“ durch „ISMS/Richtlinie“
K Textersetzung - „–“ durch „-“
 
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''IT-Grundschutz/Leitlinie''' - Leitlinie zur Informationssicherheit
'''IT-Grundschutz/Leitlinie''' - Leitlinie zur Informationssicherheit


== Beschreibung ==
== Beschreibung ==
Eine '''Sicherheitsrichtlinie''' (auch ''Sicherheitsleitlinie'', ''Sicherheitspolitik'') beschreibt den erstrebten Sicherheitsanspruch einer Institution (Behörde, Unternehmen, Verband etc.).
Eine '''Sicherheitsrichtlinie''' (auch ''Sicherheitsleitlinie'', ''Sicherheitspolitik'') beschreibt den erstrebten Sicherheitsanspruch einer Institution (Behörde, Unternehmen, Verband und weitere)
* Mit Sicherheit ist hier in der Regel [[Informationssicherheit]] gemeint.
* Mit Sicherheit ist hier in der Regel [[Informationssicherheit]] gemeint
* Die Schwerpunkte liegen dabei heute im Bereich der elektronischen Datenverarbeitung und den damit einhergehenden Sicherheitsanforderungen.
* Die Schwerpunkte liegen dabei heute im Bereich der elektronischen Datenverarbeitung und den damit einhergehenden Sicherheitsanforderungen
* Hierbei liegt die Annahme bzw. Tatsache zugrunde, dass Informationen per se einen Wert darstellen bzw. ihr Schutz per Gesetz oder Verordnung gefordert ist.
* Hierbei liegt die Annahme bzw. Tatsache zugrunde, dass Informationen per se einen Wert darstellen bzw. ihr Schutz per Gesetz oder Verordnung gefordert ist


=== Sinn und Zweck ===
=== Sinn und Zweck ===
Im Rahmen der Informationssicherheit lässt sich Sinn und Zweck einer Sicherheitsrichtlinie umfassend mit der Sicherstellung von [[Vertraulichkeit]], [[Integrität (Informationssicherheit)|Integrität]], [[Verfügbarkeit]] und [[Authentizität]] (''VIVA'') der Informationen beschreiben.
Im Rahmen der Informationssicherheit lässt sich Sinn und Zweck einer Sicherheitsrichtlinie umfassend mit der Sicherstellung von [[Vertraulichkeit]], [[Integrität (Informationssicherheit)|Integrität]], [[Verfügbarkeit]] und [[Authentizität]] (''VIVA'') der Informationen beschreiben
* Die Sicherheitsrichtlinie wird von der Leitung der Institution, in Unternehmen also vom Vorstand bzw. von der Geschäftsleitung verabschiedet und vorgelebt.
* Die Sicherheitsrichtlinie wird von der Leitung der Institution, in Unternehmen also vom Vorstand bzw. von der Geschäftsleitung verabschiedet und vorgelebt
* Sie muss von allen Mitgliedern der Institution zur Kenntnis genommen, verstanden und beachtet werden.
* Sie muss von allen Mitgliedern der Institution zur Kenntnis genommen, verstanden und beachtet werden
* Zuwiderhandlungen werden soweit möglich sanktioniert.
* Zuwiderhandlungen werden soweit möglich sanktioniert


; Grundsatzdokument der Leitung zur Informationssicherheit
; Grundsatzdokument der Leitung zur Informationssicherheit
* Stellenwert
* Stellenwert
* Verbindliche Prinzipien  
* Verbindliche Prinzipien
* Anzustrebenden Niveau
* Anzustrebenden Niveau


=== Warum eine Security Policy gebraucht wird ===
=== Warum eine Security Policy gebraucht wird ===
; Eine Security Policy oder auch Sicherheitsrichtlinie wird gebraucht, weil es sonst keinen strukturierten Plan und keine Handlungsvorschriften gibt, wie welche Systeme und Komponenten abzusichern sind.
; Eine Security Policy oder auch Sicherheitsrichtlinie wird gebraucht, weil es sonst keinen strukturierten Plan und keine Handlungsvorschriften gibt, wie welche Systeme und Komponenten abzusichern sind
* Ein Unternehmen, das über keine Security Policy verfügt, wird ziemlich wahrscheinlich an irgendeiner Stelle IT-Sicherheitsprobleme bekommen.
* Ein Unternehmen, das über keine Security Policy verfügt, wird ziemlich wahrscheinlich an irgendeiner Stelle IT-Sicherheitsprobleme bekommen
* In solchen Fällen wird das Problem eventuell durch eine Einzellösung behandelt, und es wird bis zum Auftreten des nächsten Sicherheitsproblems gewartet.
* In solchen Fällen wird das Problem eventuell durch eine Einzellösung behandelt, und es wird bis zum Auftreten des nächsten Sicherheitsproblems gewartet


; Beispiele rein reaktiven Verhaltens, die mitunter in der Praxis anzutreffen sind
; Beispiele rein reaktiven Verhaltens, die mitunter in der Praxis anzutreffen sind
Ein Computervirus verursacht Schäden an den Datenbeständen an einem vermeintlich sicheren System.
Ein Computervirus verursacht Schäden an den Datenbeständen an einem vermeintlich sicheren System
* Nach Beseitigung wird eine Lizenz eines Antivirusprogramms gekauft oder das vorhandene durch eine andere Version ersetzt.
* Nach Beseitigung wird eine Lizenz eines Antivirusprogramms gekauft oder das vorhandene durch eine andere Version ersetzt


; Die Computer einer Firma sind vernetzt und an das Internet angebunden.
; Die Computer einer Firma sind vernetzt und an das Internet angebunden
* Eines Tages wird festgestellt, dass die Computer immer langsamer arbeiten.
* Eines Tages wird festgestellt, dass die Computer immer langsamer arbeiten
* Der verantwortliche Crypto-Miner wird erst nach dem Schadensfall gesucht.
* Der verantwortliche Crypto-Miner wird erst nach dem Schadensfall gesucht
* Anschließend wird nach einem Schutz gesucht.
* Anschließend wird nach einem Schutz gesucht


; Hardware im Serverraum fällt grundsätzlich nach relativ kurzer Nutzungsdauer wegen elektrischer Defekte aus.
; Hardware im Serverraum fällt grundsätzlich nach relativ kurzer Nutzungsdauer wegen elektrischer Defekte aus
* Es wird zwar neue Hardware beschafft, aber trotz nachweislich zu hoher Lufttemperatur im Serverraum (z. B.  30° C und höher) lehnt das Management die Anschaffung einer Klimaanlage ab.
* Es wird zwar neue Hardware beschafft, aber trotz nachweislich zu hoher Lufttemperatur im Serverraum (beispielsweise  30° C und höher) lehnt das Management die Anschaffung einer Klimaanlage ab


Was in einer Security Policy steht Eine sinnvolle Sicherheitsrichtlinie legt fest, was getan werden muss, um ein IT-System und die gespeicherten Informationen zu schützen.
Was in einer Security Policy steht Eine sinnvolle Sicherheitsrichtlinie legt fest, was getan werden muss, um ein IT-System und die gespeicherten Informationen zu schützen
* Mit ihrer Hilfe können Mitarbeiter leicht entscheiden, was und wie es zu tun ist.
* Mit ihrer Hilfe können Mitarbeiter leicht entscheiden, was und wie es zu tun ist


Im Prinzip ist eine Sicherheitsrichtlinie also nichts anderes als eine schriftlich niedergelegte Strategie, in der beschrieben wird, wie ein Computernetzwerk und seine Ressourcen zu schützen sind.
Im Prinzip ist eine Sicherheitsrichtlinie also nichts anderes als eine schriftlich niedergelegte Strategie, in der beschrieben wird, wie ein Computernetzwerk und seine Ressourcen zu schützen sind
* Die schriftliche Fixierung erlaubt es, Maßnahmen und auch Notfallpläne vorab zu definieren, sodass Sicherheitsprobleme minimiert werden können und bei deren Auftreten schnell und zielsicher gehandelt werden kann.
* Die schriftliche Fixierung erlaubt es, Maßnahmen und auch Notfallpläne vorab zu definieren, sodass Sicherheitsprobleme minimiert werden können und bei deren Auftreten schnell und zielsicher gehandelt werden kann
* Wie eine Security Policy entsteht Eine Security Policy von Grund auf zu entwerfen ist ohne Hilfsmittel ein aufwendiges Unterfangen.
* Wie eine Security Policy entsteht Eine Security Policy von Grund auf zu entwerfen ist ohne Hilfsmittel ein aufwendiges Unterfangen
* Die von verschiedenen Gremien herausgegebenen Kriterienkataloge geben gute Hinweise und bieten (wie beim IT-Grundschutz/Kompendium) auch einen modularen Ansatz, der es ermöglicht, komponentenweise die Sicherheitsrichtlinien für das eigene Unternehmen zu definieren und gegebenenfalls die im Kriterienwerk vorgeschlagenen Empfehlungen anzupassen.
* Die von verschiedenen Gremien herausgegebenen Kriterienkataloge geben gute Hinweise und bieten (wie beim IT-Grundschutz/Kompendium) auch einen modularen Ansatz, der es ermöglicht, komponentenweise die Sicherheitsrichtlinien für das eigene Unternehmen zu definieren und gegebenenfalls die im Kriterienwerk vorgeschlagenen Empfehlungen anzupassen


In einer kompletten Security Policy darf nicht nur der Maßnahmenkatalog zur Sicherung der Unternehmens-Assets enthalten sein, sondern es sollten auch die notwendigen Rollen und Verantwortlichkeiten den Mitarbeitern zugewiesen werden.
In einer kompletten Security Policy darf nicht nur der Maßnahmenkatalog zur Sicherung der Unternehmens-Assets enthalten sein, sondern es sollten auch die notwendigen Rollen und Verantwortlichkeiten den Mitarbeitern zugewiesen werden


Zusätzlich ist es nötig, in der Policy selbst zu definieren, welche Sanktionen es nach sich zieht, wenn gegen die in der Policy festgelegten Richtlinien verstoßen wird, und die fertige Policy auch bei allen Mitarbeitern bekannt zu machen nur so kann sie im Unternehmenseinsatz auch wirksam werden.
Zusätzlich ist es nötig, in der Policy selbst zu definieren, welche Sanktionen es nach sich zieht, wenn gegen die in der Policy festgelegten Richtlinien verstoßen wird, und die fertige Policy auch bei allen Mitarbeitern bekannt zu machen - nur so kann sie im Unternehmenseinsatz auch wirksam werden


; Eine Policy ist nie ganz fertig
; Eine Policy ist nie ganz fertig
* Sicherheit ist immer ein Prozess, nie ein Produkt.
* Sicherheit ist immer ein Prozess, nie ein Produkt
* Aus diesem Grund ist es nötig, die Wirksamkeit der Richtlinien ständig zu prüfen und zu überarbeiten oder an aktuelle Vorfälle anzupassen.
* Aus diesem Grund ist es nötig, die Wirksamkeit der Richtlinien ständig zu prüfen und zu überarbeiten oder an aktuelle Vorfälle anzupassen
* Die ständige Bewertung von Assets und die Beurteilung von Risiken zu dem Zweck, angemessene Maßnahmen in einer Security Policy treffen zu können, wird als aktives Risikomanagement verstanden.
* Die ständige Bewertung von Assets und die Beurteilung von Risiken zu dem Zweck, angemessene Maßnahmen in einer Security Policy treffen zu können, wird als aktives Risikomanagement verstanden




== Entwicklung einer Leitlinie ==
== Entwicklung einer Leitlinie ==
=== Rolle der Leitungsebene ===
=== Rolle der Leitungsebene ===
* Die Entwicklung der Leitlinie muss von der Leitung der Institution angestoßen und aktiv begleitet werden.
* Die Entwicklung der Leitlinie muss von der Leitung der Institution angestoßen und aktiv begleitet werden
* Der wird die Leitlinie in enger Kooperation mit der Leitung erarbeiten und dabei (sofern vorhanden) vom -Management-Team und weiteren Verantwortlichen für Informationssicherheit unterstützt.
* Der wird die Leitlinie in enger Kooperation mit der Leitung erarbeiten und dabei (sofern vorhanden) vom -Management-Team und weiteren Verantwortlichen für Informationssicherheit unterstützt


=== Veröffentlichung ===
=== Veröffentlichung ===
Zeile 69: Zeile 69:


=== Inhalte ===
=== Inhalte ===
Eine Sicherheitsrichtlinie definiert die von der Institution gewählten Ziele zur Informationssicherheit sowie die verfolgte Informationssicherheitsstrategie.
Eine Sicherheitsrichtlinie definiert die von der Institution gewählten Ziele zur Informationssicherheit sowie die verfolgte Informationssicherheitsstrategie


; Wesentlichen Inhalte
; Wesentlichen Inhalte
Zeile 83: Zeile 83:
; Was sollte in der Leitlinie zur Informationssicherheit festgelegt werden?
; Was sollte in der Leitlinie zur Informationssicherheit festgelegt werden?
* Geltungsbereich
* Geltungsbereich
* Die Bedeutung, die Informationssicherheit für eine Institution hat, wird hervorgehoben, etwa indem darauf hingewiesen wird, dass ein Ausfall der Informationstechnik oder Verletzungen der Vertraulichkeit und Integrität von Informationen die Existenz der Institution gefährden.
* Die Bedeutung, die Informationssicherheit für eine Institution hat, wird hervorgehoben, etwa indem darauf hingewiesen wird, dass ein Ausfall der Informationstechnik oder Verletzungen der Vertraulichkeit und Integrität von Informationen die Existenz der Institution gefährden
* Die Verantwortung der Leitung wird betont, sowohl im Hinblick auf die Initiierung des Sicherheitsprozesses als auch auf dessen kontinuierliche Verbesserung.
* Die Verantwortung der Leitung wird betont, sowohl im Hinblick auf die Initiierung des Sicherheitsprozesses als auch auf dessen kontinuierliche Verbesserung
* Es wird auf einschlägige Gesetze und Regulierungsauflagen hingewiesen und die Mitarbeiter werden verpflichtet, diese zu beachten.
* Es wird auf einschlägige Gesetze und Regulierungsauflagen hingewiesen und die Mitarbeiter werden verpflichtet, diese zu beachten
* Es werden für die Informationssicherheit besonders wichtige Geschäftsprozesse genannt, etwa Produktionsabläufe, Forschungsverfahren oder Personalbearbeitung, und auf die strikte Einhaltung von Sicherheitsregeln hingewiesen.
* Es werden für die Informationssicherheit besonders wichtige Geschäftsprozesse genannt, etwa Produktionsabläufe, Forschungsverfahren oder Personalbearbeitung, und auf die strikte Einhaltung von Sicherheitsregeln hingewiesen
* Die Organisationsstruktur für Informationssicherheit und die Aufgaben der verschiedenen Sicherheitsverantwortlichen werden vorgestellt.
* Die Organisationsstruktur für Informationssicherheit und die Aufgaben der verschiedenen Sicherheitsverantwortlichen werden vorgestellt
* Sinnvoll ist auch der Hinweis auf Sicherheitsschulungen und Sensibilisierungsmaßnahmen.
* Sinnvoll ist auch der Hinweis auf Sicherheitsschulungen und Sensibilisierungsmaßnahmen


; Anforderungen
; Anforderungen
Im Baustein [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Sicherheitsmanagement] werden die Anforderungen an eine Leitlinie formuliert.
Im Baustein [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz/Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html Sicherheitsmanagement] werden die Anforderungen an eine Leitlinie formuliert
* Hinweise zum Vorgehen und zur inhaltlichen Struktur finden sich in den zugehörigen Umsetzungshinweisen.
* Hinweise zum Vorgehen und zur inhaltlichen Struktur finden sich in den zugehörigen Umsetzungshinweisen


== Beispiel ==
== Beispiel ==
Zeile 103: Zeile 103:
* Verantwortlichkeiten
* Verantwortlichkeiten
* Verstöße und Folgen
* Verstöße und Folgen
* Geltungsbereich  
* Geltungsbereich
* Verweis auf Konkretisierung
* Verweis auf Konkretisierung


Zeile 116: Zeile 116:
* Wie definieren Sie den Geltungsbereich?
* Wie definieren Sie den Geltungsbereich?
* Welche Ziele nennen Sie?
* Welche Ziele nennen Sie?
* Gibt es bereits Beauftragte für Informationssicherheit oder einzelne Aspekte dieser Aufgabe?  
* Gibt es bereits Beauftragte für Informationssicherheit oder einzelne Aspekte dieser Aufgabe?
* Wie würden Sie diese in den Entwicklungsprozess einbeziehen?
* Wie würden Sie diese in den Entwicklungsprozess einbeziehen?
* Wie stellen Sie die Verantwortung und die Aufgaben der Mitarbeiter dar?
* Wie stellen Sie die Verantwortung und die Aufgaben der Mitarbeiter dar?
Zeile 122: Zeile 122:


=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
----
----
* [[BS 7799]]
* [[BS 7799]]
Zeile 132: Zeile 132:
* [[Bundesamt für Sicherheit in der Informationstechnik]]
* [[Bundesamt für Sicherheit in der Informationstechnik]]


==== Links ====
=== Links ===
===== Weblinks =====
==== Weblinks ====
# https://de.wikipedia.org/wiki/Sicherheitsrichtlinie
# https://de.wikipedia.org/wiki/Sicherheitsrichtlinie


Aktuelle Version vom 11. Mai 2025, 20:44 Uhr

IT-Grundschutz/Leitlinie - Leitlinie zur Informationssicherheit

Beschreibung

Eine Sicherheitsrichtlinie (auch Sicherheitsleitlinie, Sicherheitspolitik) beschreibt den erstrebten Sicherheitsanspruch einer Institution (Behörde, Unternehmen, Verband und weitere)

  • Mit Sicherheit ist hier in der Regel Informationssicherheit gemeint
  • Die Schwerpunkte liegen dabei heute im Bereich der elektronischen Datenverarbeitung und den damit einhergehenden Sicherheitsanforderungen
  • Hierbei liegt die Annahme bzw. Tatsache zugrunde, dass Informationen per se einen Wert darstellen bzw. ihr Schutz per Gesetz oder Verordnung gefordert ist

Sinn und Zweck

Im Rahmen der Informationssicherheit lässt sich Sinn und Zweck einer Sicherheitsrichtlinie umfassend mit der Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität (VIVA) der Informationen beschreiben

  • Die Sicherheitsrichtlinie wird von der Leitung der Institution, in Unternehmen also vom Vorstand bzw. von der Geschäftsleitung verabschiedet und vorgelebt
  • Sie muss von allen Mitgliedern der Institution zur Kenntnis genommen, verstanden und beachtet werden
  • Zuwiderhandlungen werden soweit möglich sanktioniert
Grundsatzdokument der Leitung zur Informationssicherheit
  • Stellenwert
  • Verbindliche Prinzipien
  • Anzustrebenden Niveau

Warum eine Security Policy gebraucht wird

Eine Security Policy oder auch Sicherheitsrichtlinie wird gebraucht, weil es sonst keinen strukturierten Plan und keine Handlungsvorschriften gibt, wie welche Systeme und Komponenten abzusichern sind
  • Ein Unternehmen, das über keine Security Policy verfügt, wird ziemlich wahrscheinlich an irgendeiner Stelle IT-Sicherheitsprobleme bekommen
  • In solchen Fällen wird das Problem eventuell durch eine Einzellösung behandelt, und es wird bis zum Auftreten des nächsten Sicherheitsproblems gewartet
Beispiele rein reaktiven Verhaltens, die mitunter in der Praxis anzutreffen sind

Ein Computervirus verursacht Schäden an den Datenbeständen an einem vermeintlich sicheren System

  • Nach Beseitigung wird eine Lizenz eines Antivirusprogramms gekauft oder das vorhandene durch eine andere Version ersetzt
Die Computer einer Firma sind vernetzt und an das Internet angebunden
  • Eines Tages wird festgestellt, dass die Computer immer langsamer arbeiten
  • Der verantwortliche Crypto-Miner wird erst nach dem Schadensfall gesucht
  • Anschließend wird nach einem Schutz gesucht
Hardware im Serverraum fällt grundsätzlich nach relativ kurzer Nutzungsdauer wegen elektrischer Defekte aus
  • Es wird zwar neue Hardware beschafft, aber trotz nachweislich zu hoher Lufttemperatur im Serverraum (beispielsweise 30° C und höher) lehnt das Management die Anschaffung einer Klimaanlage ab

Was in einer Security Policy steht Eine sinnvolle Sicherheitsrichtlinie legt fest, was getan werden muss, um ein IT-System und die gespeicherten Informationen zu schützen

  • Mit ihrer Hilfe können Mitarbeiter leicht entscheiden, was und wie es zu tun ist

Im Prinzip ist eine Sicherheitsrichtlinie also nichts anderes als eine schriftlich niedergelegte Strategie, in der beschrieben wird, wie ein Computernetzwerk und seine Ressourcen zu schützen sind

  • Die schriftliche Fixierung erlaubt es, Maßnahmen und auch Notfallpläne vorab zu definieren, sodass Sicherheitsprobleme minimiert werden können und bei deren Auftreten schnell und zielsicher gehandelt werden kann
  • Wie eine Security Policy entsteht Eine Security Policy von Grund auf zu entwerfen ist ohne Hilfsmittel ein aufwendiges Unterfangen
  • Die von verschiedenen Gremien herausgegebenen Kriterienkataloge geben gute Hinweise und bieten (wie beim IT-Grundschutz/Kompendium) auch einen modularen Ansatz, der es ermöglicht, komponentenweise die Sicherheitsrichtlinien für das eigene Unternehmen zu definieren und gegebenenfalls die im Kriterienwerk vorgeschlagenen Empfehlungen anzupassen

In einer kompletten Security Policy darf nicht nur der Maßnahmenkatalog zur Sicherung der Unternehmens-Assets enthalten sein, sondern es sollten auch die notwendigen Rollen und Verantwortlichkeiten den Mitarbeitern zugewiesen werden

Zusätzlich ist es nötig, in der Policy selbst zu definieren, welche Sanktionen es nach sich zieht, wenn gegen die in der Policy festgelegten Richtlinien verstoßen wird, und die fertige Policy auch bei allen Mitarbeitern bekannt zu machen - nur so kann sie im Unternehmenseinsatz auch wirksam werden

Eine Policy ist nie ganz fertig
  • Sicherheit ist immer ein Prozess, nie ein Produkt
  • Aus diesem Grund ist es nötig, die Wirksamkeit der Richtlinien ständig zu prüfen und zu überarbeiten oder an aktuelle Vorfälle anzupassen
  • Die ständige Bewertung von Assets und die Beurteilung von Risiken zu dem Zweck, angemessene Maßnahmen in einer Security Policy treffen zu können, wird als aktives Risikomanagement verstanden


Entwicklung einer Leitlinie

Rolle der Leitungsebene

  • Die Entwicklung der Leitlinie muss von der Leitung der Institution angestoßen und aktiv begleitet werden
  • Der wird die Leitlinie in enger Kooperation mit der Leitung erarbeiten und dabei (sofern vorhanden) vom -Management-Team und weiteren Verantwortlichen für Informationssicherheit unterstützt

Veröffentlichung

  • Muss allen betroffenen Mitarbeitern bekannt sein
  • Kontinuierliche Aktualisierung

Anforderungen

  • Für Betroffene verständlich
  • Wenige Seiten
  • Angestrebte Sicherheitsziele
  • Organisatorischen Rahmen der Umsetzung

Inhalte

Eine Sicherheitsrichtlinie definiert die von der Institution gewählten Ziele zur Informationssicherheit sowie die verfolgte Informationssicherheitsstrategie

Wesentlichen Inhalte
  • Stellenwert der Informationssicherheit und Bedeutung der IT (Informationstechnologie) für die Aufgabenerfüllung
  • Benennung der Sicherheitsziele und Beschreibung der Sicherheitsstrategie
  • Beschreibung der Organisationsstruktur
  • Zusicherung, dass die Sicherheitsrichtlinie von der Leitungsebene durchgesetzt wird und Verstöße soweit möglich sanktioniert werden
  • Aussagen zur periodischen Überprüfung der Sicherheitsmaßnahmen
  • Aussagen zu Programmen zur Förderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaßnahmen (Erhalt und Förderung der Awareness)
  • Verantwortlichkeiten im Informationssicherheitsprozess

Typische Gliederung

Was sollte in der Leitlinie zur Informationssicherheit festgelegt werden?
  • Geltungsbereich
  • Die Bedeutung, die Informationssicherheit für eine Institution hat, wird hervorgehoben, etwa indem darauf hingewiesen wird, dass ein Ausfall der Informationstechnik oder Verletzungen der Vertraulichkeit und Integrität von Informationen die Existenz der Institution gefährden
  • Die Verantwortung der Leitung wird betont, sowohl im Hinblick auf die Initiierung des Sicherheitsprozesses als auch auf dessen kontinuierliche Verbesserung
  • Es wird auf einschlägige Gesetze und Regulierungsauflagen hingewiesen und die Mitarbeiter werden verpflichtet, diese zu beachten
  • Es werden für die Informationssicherheit besonders wichtige Geschäftsprozesse genannt, etwa Produktionsabläufe, Forschungsverfahren oder Personalbearbeitung, und auf die strikte Einhaltung von Sicherheitsregeln hingewiesen
  • Die Organisationsstruktur für Informationssicherheit und die Aufgaben der verschiedenen Sicherheitsverantwortlichen werden vorgestellt
  • Sinnvoll ist auch der Hinweis auf Sicherheitsschulungen und Sensibilisierungsmaßnahmen
Anforderungen

Im Baustein Sicherheitsmanagement werden die Anforderungen an eine Leitlinie formuliert

  • Hinweise zum Vorgehen und zur inhaltlichen Struktur finden sich in den zugehörigen Umsetzungshinweisen

Beispiel

Für das Beispielunternehmen RECPLAST hat das BSI eine Sicherheitsleitlinie entwickelt
Folgende Themen werden adressiert
  • Stellenwert der Informationssicherheit
  • Bedeutung der Leitlinie
  • Sicherheitsniveau und Ziele
  • Verantwortlichkeiten
  • Verstöße und Folgen
  • Geltungsbereich
  • Verweis auf Konkretisierung
Muster

Sie finden dieses Muster in Kapitel 2 der ausführlichen Darstellung zur RECPLAST.


Anhang

Übung

Entwurf einer Sicherheitsleitlinie für Ihre Einrichtung
  • Wie definieren Sie den Geltungsbereich?
  • Welche Ziele nennen Sie?
  • Gibt es bereits Beauftragte für Informationssicherheit oder einzelne Aspekte dieser Aufgabe?
  • Wie würden Sie diese in den Entwicklungsprozess einbeziehen?
  • Wie stellen Sie die Verantwortung und die Aufgaben der Mitarbeiter dar?
  • Gibt es besonders kritische Geschäftsprozesse, deren Anforderungen Sie in der Leitlinie hervorheben möchten?

Siehe auch

Links

Weblinks

  1. https://de.wikipedia.org/wiki/Sicherheitsrichtlinie
Abgerufen von „https://wiki.foxtom.de/index.php?title=IT-Grundschutz/Leitlinie&oldid=141881