ISMS/Standard: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
Zeile 1: | Zeile 1: | ||
'''topic''' kurze Beschreibung | '''topic''' kurze Beschreibung | ||
== Beschreibung == | == Beschreibung == | ||
Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein, da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss. | Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein, da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss. | ||
* Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden. | * Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden. | ||
* Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen. | * Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen. | ||
* Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen. | * Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen. | ||
; Wichtige Kriterienwerke | ; Wichtige Kriterienwerke | ||
Zeile 11: | Zeile 11: | ||
* ISO/IEC 13335 | * ISO/IEC 13335 | ||
* ISO/IEC 19790 | * ISO/IEC 19790 | ||
* ISO/IEC 2700X | * ISO/IEC 2700X | ||
* Common Criteria/ITSEC/ISO/IEC 15408 | * Common Criteria/ITSEC/ISO/IEC 15408 | ||
* ISO 9000 | * ISO 9000 | ||
* COBIT | * COBIT | ||
* ITIL | * ITIL | ||
* DIN EN 50600 | * DIN EN 50600 | ||
== IT-Grundschutz-Kompendium == | == IT-Grundschutz-Kompendium == | ||
Das IT-Grundschutz-Kompendium hat als Ziel, durch personelle, technische, organisatorische und infrastrukturelle Maßnahmen ein Standard-Sicherheitsniveau herzustellen, das auch für Bereiche mit höheren Sicherheitsansprüchen ausbaufähig ist. Das IT-Grundschutz-Kompendium löst seit Oktober 2017 als Nachfolger den IT-Grundschutz-Katalog ab. Die aktuelle Version ist die Edition | Das IT-Grundschutz-Kompendium hat als Ziel, durch personelle, technische, organisatorische und infrastrukturelle Maßnahmen ein Standard-Sicherheitsniveau herzustellen, das auch für Bereiche mit höheren Sicherheitsansprüchen ausbaufähig ist. | ||
2021. Der IT-Grundschutz besteht aus einigen Prozess-Bausteinen, Methodiken und Hilfsmitteln, | * Das IT-Grundschutz-Kompendium löst seit Oktober 2017 als Nachfolger den IT-Grundschutz-Katalog ab. | ||
* Die aktuelle Version ist die Edition 2021. | |||
* Der IT-Grundschutz besteht aus einigen Prozess-Bausteinen, Methodiken und Hilfsmitteln, | |||
die folgende Bereiche abdecken: | die folgende Bereiche abdecken: | ||
Übergreifende Funktionen, Infrastruktur, IT-Systeme, Netze und Anwendungen, | Übergreifende Funktionen, Infrastruktur, IT-Systeme, Netze und Anwendungen, Sicherheitsmanagement (ISMS) | ||
Einfluss von höherer Gewalt, Mängel in der Organisation, menschliches Versagen, technische Mängel, Detektion und Reaktion Maßnahmen bezogen auf die Infrastruktur, die Organisation, das Personal, die Hard- und Software, die Kommunikation, die Vorsorge im Notfall Formulare, Mustervorlagen, Checklisten, IT-Grundschutzprofile und weitere Informationen Für die effiziente Nutzung des IT-Grundschutzkompendiums stehen diverse Tools (https:// | Einfluss von höherer Gewalt, Mängel in der Organisation, menschliches Versagen, technische Mängel, Detektion und Reaktion Maßnahmen bezogen auf die Infrastruktur, die Organisation, das Personal, die Hard- und Software, die Kommunikation, die Vorsorge im Notfall Formulare, Mustervorlagen, Checklisten, IT-Grundschutzprofile und weitere Informationen Für die effiziente Nutzung des IT-Grundschutzkompendiums stehen diverse Tools (https:// | ||
www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/ | www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/ | ||
Zeile 33: | Zeile 34: | ||
== Weitere Kriterienwerke zur IT-Sicherheit == | == Weitere Kriterienwerke zur IT-Sicherheit == | ||
BSI-Standard 200 | BSI-Standard 200 | ||
Diese Standards beinhalten grundlegende Methoden und Maßnahmen zur IT-Sicherheit und wurden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben. Sie orientieren sich u. a. an den OSI-Standards ISO 2700x. Das IT-Grundschutz-Kompendium basiert auf diesen Standards. Durch die Möglichkeit, diese Standards zu zitieren, wird auch in methodi- | Diese Standards beinhalten grundlegende Methoden und Maßnahmen zur IT-Sicherheit und wurden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben. | ||
scher Hinsicht eine Vereinheitlichung der IT-Sicherheitsbegriffe erzielt. Die IT-Grundschutz- | * Sie orientieren sich u. a. an den OSI-Standards ISO 2700x. | ||
Standards sind wie folgt eingeteilt: | * Das IT-Grundschutz-Kompendium basiert auf diesen Standards. | ||
* Durch die Möglichkeit, diese Standards zu zitieren, wird auch in methodi- | |||
scher Hinsicht eine Vereinheitlichung der IT-Sicherheitsbegriffe erzielt. | |||
Die IT-Grundschutz-Standards sind wie folgt eingeteilt: | |||
* BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS) | * BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS) | ||
* BSI-Standard 200-2: IT-Grundschutz-Vorgehensweise BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 200-4: Notfallmanagement ISO/IEC 13335 ISO/IEC 13335 besteht aus fünf technischen Berichten. Diese geben Hinweise zum IT-Sicherheits-management, ohne eine bestimmte Lösung zu erzwingen. Die Normdokumente befassen sich mit folgenden Themenbereichen: | * BSI-Standard 200-2: IT-Grundschutz-Vorgehensweise BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 200-4: Notfallmanagement ISO/IEC 13335 ISO/IEC 13335 besteht aus fünf technischen Berichten. | ||
* Diese geben Hinweise zum IT-Sicherheits-management, ohne eine bestimmte Lösung zu erzwingen. | |||
* Die Normdokumente befassen sich mit folgenden Themenbereichen: | |||
Teil 1, | Teil 1, | ||
Konzepte und Modelle der IT-Sicherheit Teil 2, | Konzepte und Modelle der IT-Sicherheit Teil 2, | ||
Zeile 47: | Zeile 54: | ||
Management Guide für Netzwerksicherheit | Management Guide für Netzwerksicherheit | ||
Schutzmaßnahmen gegen Bedrohungen Kommunikationssicherheit Netzwerktypen und Organisationen Business Continuity ISO/IEC 19790 (FIPS 140-2) | Schutzmaßnahmen gegen Bedrohungen Kommunikationssicherheit Netzwerktypen und Organisationen Business Continuity ISO/IEC 19790 (FIPS 140-2) | ||
Dieser Standard beschäftigt sich mit den Anforderungen an Kryptographiemodule. Der vom NIST | Dieser Standard beschäftigt sich mit den Anforderungen an Kryptographiemodule. | ||
(National Institute of Standards and Technology) herausgegebene „Federal Information | * Der vom NIST (National Institute of Standards and Technology) herausgegebene „Federal Information Processing Standard 140“ befasst sich in der Version 2 mit der Überprüfung und Validierung von kryptografischen Modulen auf Hardware- und Softwarebasis. | ||
* FIPS 140-2 ist im Standard ISO/IEC 19790 (Security requirements for cryptographic modules) aufgegangen. | |||
ISO/IEC 2700X ISO/IEC 2700X ist eine Familie internationaler Standards, die u. | |||
(Security requirements for cryptographic modules) aufgegangen. | * a. | ||
ISO/IEC 2700X ISO/IEC 2700X ist eine Familie internationaler Standards, die u. a. auf der nicht mehr gültigen ISO 17799 und dem British Standard BS 7799 aufbaut. Darin werden über 20 Normen definiert, | * auf der nicht mehr gültigen ISO 17799 und dem British Standard BS 7799 aufbaut. | ||
in denen u. a. dem Anwender in einem Kriterienkatalog Best-Practice-Lösungen für die | * Darin werden über 20 Normen definiert, in denen u. a. dem Anwender in einem Kriterienkatalog Best-Practice-Lösungen für die Informationssicherheit unter Berücksichtigung folgender Aspekte bereitgestellt werden: | ||
Regeln und Richtlinien zur Informationssicherheit Organisation von Sicherheitsmaßnahmen und Managementprozessen Personelle Sicherheit Asset-Management Physikalische Sicherheit und Zugangsdienste Zugriffskontrolle (Access Control) | Regeln und Richtlinien zur Informationssicherheit Organisation von Sicherheitsmaßnahmen und Managementprozessen Personelle Sicherheit Asset-Management Physikalische Sicherheit und Zugangsdienste Zugriffskontrolle (Access Control) | ||
Umgang mit sicherheitstechnischen Vorfällen Systementwicklung und deren Wartung Planung einer Notfallvorsorge Einhaltung gesetzlicher Vorgaben und Überprüfung durch Audits Common Criteria/ITSEC/ISO/IEC 15408 | Umgang mit sicherheitstechnischen Vorfällen Systementwicklung und deren Wartung Planung einer Notfallvorsorge Einhaltung gesetzlicher Vorgaben und Überprüfung durch Audits Common Criteria/ITSEC/ISO/IEC 15408 | ||
Die Common Criteria for Information Technology Security Evaluation (CC) fügen die in unter- | Die Common Criteria for Information Technology Security Evaluation (CC) fügen die in unter- | ||
schiedlichen Wirtschaftszonen entstandenen Standards zueinander. Wie die ITSEC für Europa geben sie ein einheitliches Prüfverfahren vor, mit dem sicherheitsrelevante Aspekte von Hard- | schiedlichen Wirtschaftszonen entstandenen Standards zueinander. | ||
und Software so geprüft werden können, dass nachvollziehbare und vergleichbare Ergebnisse erzielt werden. Durch die Entwicklung des ISO/IEC 15408 sind die CC ein international anerkann- | * Wie die ITSEC für Europa geben sie ein einheitliches Prüfverfahren vor, mit dem sicherheitsrelevante Aspekte von Hard- | ||
ter Standard. Dieser besteht aus drei Teilen: | und Software so geprüft werden können, dass nachvollziehbare und vergleichbare Ergebnisse erzielt werden. | ||
* Durch die Entwicklung des ISO/IEC 15408 sind die CC ein international anerkann- | |||
ter Standard. | |||
Dieser besteht aus drei Teilen: | |||
Teil 1: Einführung und allgemeines Modell (Introduction and general model) | Teil 1: Einführung und allgemeines Modell (Introduction and general model) | ||
Teil 2: Funktionale Sicherheitsanforderungen (Security functional requirements) | Teil 2: Funktionale Sicherheitsanforderungen (Security functional requirements) | ||
Teil 3: Anforderungen an die Vertrauenswürdigkeit (Security assurance requirements) | Teil 3: Anforderungen an die Vertrauenswürdigkeit (Security assurance requirements) | ||
IT-Produkte und IT-Systeme können nach dem Standard, auch unter dem Namen „Common Criteria (CC)“ bekannt, zertifiziert werden. Im Rahmen der Zertifizierung wird die Sicherheit durch eine unabhängige Instanz (Prüfstellen, Zertifizierungsstellen und die nationalen Behörden) | IT-Produkte und IT-Systeme können nach dem Standard, auch unter dem Namen „Common Criteria (CC)“ bekannt, zertifiziert werden. | ||
* Im Rahmen der Zertifizierung wird die Sicherheit durch eine unabhängige Instanz (Prüfstellen, Zertifizierungsstellen und die nationalen Behörden) | |||
überprüft. | überprüft. | ||
EN ISO-9000-Normenreihe Die ISO-9000-Normreihe ist kein IT-Sicherheitsstandard, sondern definiert ein Prüfverfahren für Qualitätsmanagementsysteme. Da ein Qualitätsmanagementsystem gute Voraussetzungen für ein hohes Sicherheitsniveau bietet, ist die Nennung von ISO 9000 in diesem Zusammenhang durchaus angemessen. | EN ISO-9000-Normenreihe Die ISO-9000-Normreihe ist kein IT-Sicherheitsstandard, sondern definiert ein Prüfverfahren für Qualitätsmanagementsysteme. | ||
* Da ein Qualitätsmanagementsystem gute Voraussetzungen für ein hohes Sicherheitsniveau bietet, ist die Nennung von ISO 9000 in diesem Zusammenhang durchaus angemessen. | |||
Die Eigenschaften des Qualitätsmanagementsystems müssen dokumentiert und sowohl durch interne als auch externe Stellen nachvollziehbar sein. | Die Eigenschaften des Qualitätsmanagementsystems müssen dokumentiert und sowohl durch interne als auch externe Stellen nachvollziehbar sein. | ||
In diesem Rahmen wird auch überprüft, ob die EDV-Ausstattung und -Organisation dem | In diesem Rahmen wird auch überprüft, ob die EDV-Ausstattung und -Organisation dem Unternehmenszweck angemessen sind. | ||
COBIT COBIT (Control Objectives for Information and Related Technology) ist ein internationales Framework, das die Aufgaben der IT in Prozesse und Kontrollziele aufgliedert. | |||
COBIT COBIT (Control Objectives for Information and Related Technology) ist ein internationales | * Primär geht es hierbei aber nicht darum, wie etwas umzusetzen ist, sondern was umzusetzen ist. | ||
* Es werden also Ergebnisse und nicht Wege zum Ziel beschrieben. | |||
Von einem Werkzeug, das früher nur von Auditoren eingesetzt wurde, hat es sich zu einem Werkzeug entwickelt, das nun dazu dienen kann, die Informationstechnologie einer Firma aus Unternehmenssicht zu steuern. | |||
Von einem Werkzeug, das früher nur von Auditoren eingesetzt wurde, hat es sich zu einem Werkzeug entwickelt, das nun dazu dienen kann, die Informationstechnologie einer Firma aus Unternehmenssicht zu steuern. Es wird auch benutzt, um die Einhaltung gesetzlicher | * Es wird auch benutzt, um die Einhaltung gesetzlicher Anforderungen an das Unternehmen modellieren zu können. | ||
Prinzipiell wird hierbei ein „Top-Down“-Ansatz verfolgt, d. h. ausgehend von den Unternehmenszielen werden Ziele der IT-Infrastruktur abgeleitet und daraus wiederum alle Kriterien der IT beeinflusst. | |||
Prinzipiell wird hierbei ein „Top-Down“-Ansatz verfolgt, d. h. ausgehend von den | ITIL Auch die ITIL (IT Infrastructure Library) ist kein IT-Sicherheitsstandard. | ||
* In ihr werden Regeln und Definitionen für den Betrieb einer gesamten IT-Infrastruktur (IT Service Management – ITSM) anhand von sogenannten Best Practices vorgegeben. | |||
ITIL Auch die ITIL (IT Infrastructure Library) ist kein IT-Sicherheitsstandard. In ihr werden Regeln und Definitionen für den Betrieb einer gesamten IT-Infrastruktur (IT Service Management – ITSM) | * Im Grundansatz beschreibt die ITIL darin einen ITSM-Lifecycle (Lebenszyklus). | ||
anhand von sogenannten Best Practices vorgegeben. Im Grundansatz beschreibt die ITIL darin einen ITSM-Lifecycle (Lebenszyklus). In einem Regelkreis wird die kontinuierliche Verbesserung der Prozesse, der Organisation und der entsprechenden Werkzeuge und somit der gesamten IT-Infrastruktur beschrieben. | * In einem Regelkreis wird die kontinuierliche Verbesserung der Prozesse, der Organisation und der entsprechenden Werkzeuge und somit der gesamten IT-Infrastruktur beschrieben. | ||
Dabei gliedert sich die ITIL V3 in fünf Bücher, die gleichzeitig die fünf Lebensphasen des ITSM- | Dabei gliedert sich die ITIL V3 in fünf Bücher, die gleichzeitig die fünf Lebensphasen des ITSM-Lebenszyklus darstellen: | ||
Lebenszyklus darstellen: | # Service Strategy (Servicestrategie) | ||
Service Strategy (Servicestrategie) | # Service Design (Serviceentwurf) | ||
Service Design (Serviceentwurf) | # Service Transition (Serviceüberführung) | ||
Service Transition (Serviceüberführung) | |||
Service Operation (Servicebetrieb) | Service Operation (Servicebetrieb) | ||
Continual Service Improvement (Kontinuierliche Serviceverbesserung) | Continual Service Improvement (Kontinuierliche Serviceverbesserung) | ||
Mit der Einführung von ITIL V4 (Februar 2019) wird ein vollständiger Paradigmenwechsel vollzogen. | Mit der Einführung von ITIL V4 (Februar 2019) wird ein vollständiger Paradigmenwechsel vollzogen. | ||
Aber keine Angst: ITIL V3 behält weiterhin seine Gültigkeit. In ITIL V4 werden keine spezifischen Prozesse mehr definiert. Es verfolgt einen neuen, ganzheitlichen Ansatz und bildet das Service- | Aber keine Angst: ITIL V3 behält weiterhin seine Gültigkeit. | ||
Management von der Nachfrage bis zur Wertschöpfung als zentrales Element ab. Es besteht nun aus den Komponenten Vier-Dimensionen-Modell (ganzheitlicher Ansatz der Wertschöpfungs- | * In ITIL V4 werden keine spezifischen Prozesse mehr definiert. | ||
kette) und Service-Werte-System. Letzteres besteht aus den Teilkomponenten Leitprinzipien, | * Es verfolgt einen neuen, ganzheitlichen Ansatz und bildet das Service- | ||
Management von der Nachfrage bis zur Wertschöpfung als zentrales Element ab. | |||
* Es besteht nun aus den Komponenten Vier-Dimensionen-Modell (ganzheitlicher Ansatz der Wertschöpfungs- | |||
kette) und Service-Werte-System. | |||
* Letzteres besteht aus den Teilkomponenten Leitprinzipien, | |||
Governance, Service-Wertschöpfungskette und Kontinuierliche Verbesserung. | Governance, Service-Wertschöpfungskette und Kontinuierliche Verbesserung. | ||
Jegliche Tätigkeit im IT-Umfeld kann so mithilfe eines standardisierten Vorgehens angegangen werden. Das betrifft selbstverständlich auch den IT-Sicherheitsprozess. | Jegliche Tätigkeit im IT-Umfeld kann so mithilfe eines standardisierten Vorgehens angegangen werden. | ||
Zielgruppen Die vorgestellten Kriterienwerke haben eine unterschiedliche Zielsetzung und sind daher eher für den Einsatz in bestimmten Zielgruppen geeignet. Obwohl einzelne Kriterienwerke durchaus auch als Hilfsmittel für andere Anwendungsbereiche nützlich sein können, liegt die Priorität der Anwendung einzelner Werke in folgenden Bereichen: | * Das betrifft selbstverständlich auch den IT-Sicherheitsprozess. | ||
Zielgruppen Die vorgestellten Kriterienwerke haben eine unterschiedliche Zielsetzung und sind daher eher für den Einsatz in bestimmten Zielgruppen geeignet. | |||
Obwohl einzelne Kriterienwerke durchaus auch als Hilfsmittel für andere Anwendungsbereiche nützlich sein können, liegt die Priorität der Anwendung einzelner Werke in folgenden Bereichen: | |||
IT-Grundschutz- | IT-Grundschutz- | ||
BSI | BSI | ||
Zeile 187: | Zeile 205: | ||
== DIN EN 50600 == | == DIN EN 50600 == | ||
Standardisierung für die Infrastruktur von Rechenzentren Auf die Initiative der CENELEC (Comitté Européen de Normalisation Electrotechnique) wurde eine europaweite Norm für alle Einrichtungen und Infrastrukturen eines Rechenzentrums geschaffen. | Standardisierung für die Infrastruktur von Rechenzentren Auf die Initiative der CENELEC (Comitté Européen de Normalisation Electrotechnique) wurde eine europaweite Norm für alle Einrichtungen und Infrastrukturen eines Rechenzentrums geschaffen. | ||
Es wurden dabei die Aspekte wie RZ-Auslegung, RZ-Integration, Installationen und Instandhaltung von Einrichtungen und Infrastrukturen innerhalb von Rechenzentren länderübergreifend | Es wurden dabei die Aspekte wie RZ-Auslegung, RZ-Integration, Installationen und Instandhaltung von Einrichtungen und Infrastrukturen innerhalb von Rechenzentren länderübergreifend vereinheitlicht. | ||
Die DIN EN 50600 beinhaltet auch gewisse Freiheitgrade (für unterschiedliche RZ-Konzepte) | Die DIN EN 50600 beinhaltet auch gewisse Freiheitgrade (für unterschiedliche RZ-Konzepte) | ||
und ist als normierter Leitfaden und Baukastensystem zu verstehen. Die Norm besteht aus den folgenden Einzelbausteinen: | und ist als normierter Leitfaden und Baukastensystem zu verstehen. | ||
* Die Norm besteht aus den folgenden Einzelbausteinen: | |||
DIN EN 50600-1 | DIN EN 50600-1 | ||
DIN EN 50600-2 | DIN EN 50600-2 | ||
DIN EN 50600-3 | DIN EN 50600-3 | ||
DIN EN 50600-4 | DIN EN 50600-4 | ||
Informationstechnik-Einrichtungen und Infrastrukturen von | Informationstechnik-Einrichtungen und Infrastrukturen von Rechenzentren: Allgemeine Konzepte Gebäudekonstruktion, Stromversorgung, Regelung der Umgebungsbedingungen, Infrastruktur der Telekommunikationsverkabelung, Sicherungssysteme Informationen für das Management und den Betrieb Überblick über und allgemeine Anforderungen an Leistungskennzahlen, Kennzahl zur eingesetzten Energie, Anteil erneuerbarer Energien Die DIN EN 50600-X unterstützt u. a. Betreiber, Planer, IT-Management, Facility-Manager bei der Planung, der Realisierung und dem Betrieb von Rechenzentren. | ||
* Sie ermöglicht eine auf die Bedürfnisse des Nutzers maßgeschneiderte, normkonforme Auslegung der technischen Gewerke. | |||
Sicherungssysteme Informationen für das Management und den Betrieb | |||
Überblick über und allgemeine Anforderungen an Leistungskennzahlen, | |||
Kennzahl zur eingesetzten Energie, Anteil erneuerbarer Energien Die DIN EN 50600-X unterstützt u. a. Betreiber, Planer, IT-Management, Facility-Manager bei der Planung, der Realisierung und dem Betrieb von Rechenzentren. Sie ermöglicht eine auf die Bedürfnisse des Nutzers maßgeschneiderte, normkonforme Auslegung der technischen Gewerke. | |||
== Security Policy == | == Security Policy == | ||
Warum eine Security Policy gebraucht wird Eine Security Policy oder auch Sicherheitsrichtlinie wird gebraucht, weil es sonst keinen | Warum eine Security Policy gebraucht wird Eine Security Policy oder auch Sicherheitsrichtlinie wird gebraucht, weil es sonst keinen strukturierten Plan und keine Handlungsvorschriften gibt, wie welche Systeme und Komponenten sicher zu machen sind. | ||
* Ein Unternehmen, das über keine Security Policy verfügt, wird ziemlich wahrscheinlich an irgendeiner Stelle IT-Sicherheitsprobleme bekommen. | |||
* In solchen Fällen wird das Problem eventuell durch eine Einzellösung behandelt, und es wird bis zum Auftreten des nächsten Sicherheitsproblems gewartet. | |||
Beispiele rein reaktiven Verhaltens, die mitunter in der Praxis anzutreffen sind: | Beispiele rein reaktiven Verhaltens, die mitunter in der Praxis anzutreffen sind: | ||
Ein Computervirus verursacht Schäden an den Datenbeständen an einem vermeintlich | Ein Computervirus verursacht Schäden an den Datenbeständen an einem vermeintlich sicheren System. | ||
* Nach Beseitigung wird eine Lizenz eines Antivirusprogramms gekauft oder das vorhandene durch eine andere Version ersetzt. | |||
Die Computer einer Firma sind vernetzt und an das Internet angebunden. Eines Tages wird festgestellt, dass die Computer immer langsamer arbeiten. Der verantwortliche Crypto- | Die Computer einer Firma sind vernetzt und an das Internet angebunden. | ||
Miner wird erst nach dem Schadensfall gesucht. Anschließend wird nach einem Schutz gesucht. | * Eines Tages wird festgestellt, dass die Computer immer langsamer arbeiten. | ||
* Der verantwortliche Crypto-Miner wird erst nach dem Schadensfall gesucht. | |||
* Anschließend wird nach einem Schutz gesucht. | |||
Hardware im Serverraum fällt grundsätzlich nach relativ kurzer Nutzungsdauer wegen elektrischer Defekte aus. Es wird zwar neue Hardware beschafft, aber trotz nachweislich zu hoher Lufttemperatur im Serverraum (z. B. 30° C und höher) lehnt das Management die Anschaffung einer Klimaanlage ab. | Hardware im Serverraum fällt grundsätzlich nach relativ kurzer Nutzungsdauer wegen elektrischer Defekte aus. | ||
Was in einer Security Policy steht Eine sinnvolle Sicherheitsrichtlinie legt fest, was getan werden muss, um ein IT-System und die gespeicherten Informationen zu schützen. Mit ihrer Hilfe können Mitarbeiter leicht entscheiden, | * Es wird zwar neue Hardware beschafft, aber trotz nachweislich zu hoher Lufttemperatur im Serverraum (z. B. 30° C und höher) lehnt das Management die Anschaffung einer Klimaanlage ab. | ||
was und wie es zu tun ist. | Was in einer Security Policy steht Eine sinnvolle Sicherheitsrichtlinie legt fest, was getan werden muss, um ein IT-System und die gespeicherten Informationen zu schützen. | ||
* Mit ihrer Hilfe können Mitarbeiter leicht entscheiden, was und wie es zu tun ist. | |||
Im Prinzip ist eine Sicherheitsrichtlinie also nichts anderes als eine schriftlich niedergelegte Strategie, in der beschrieben wird, wie ein Computernetzwerk und seine Ressourcen zu schützen sind. | Im Prinzip ist eine Sicherheitsrichtlinie also nichts anderes als eine schriftlich niedergelegte Strategie, in der beschrieben wird, wie ein Computernetzwerk und seine Ressourcen zu schützen sind. | ||
Die schriftliche Fixierung erlaubt es, Maßnahmen und auch Notfallpläne vorab zu definieren, | Die schriftliche Fixierung erlaubt es, Maßnahmen und auch Notfallpläne vorab zu definieren, sodass Sicherheitsprobleme minimiert werden können und bei deren Auftreten schnell und zielsicher gehandelt werden kann. | ||
sodass Sicherheitsprobleme minimiert werden können und bei deren Auftreten schnell und zielsicher gehandelt werden kann. | Wie eine Security Policy entsteht Eine Security Policy von Grund auf zu entwerfen ist ohne Hilfsmittel ein aufwendiges Unterfangen. | ||
Wie eine Security Policy entsteht Eine Security Policy von Grund auf zu entwerfen ist ohne Hilfsmittel ein aufwendiges | * Die von verschiedenen Gremien herausgegebenen Kriterienkataloge geben gute Hinweise und bieten (wie beim IT-Grundschutz-Kompendium) auch einen modularen Ansatz, der es ermöglicht, komponentenweise die Sicherheitsrichtlinien für das eigene Unternehmen zu definieren und gegebenenfalls die im Kriterienwerk vorgeschlagenen Empfehlungen anzupassen. | ||
In einer kompletten Security Policy darf nicht nur der Maßnahmenkatalog zur Sicherung der Unternehmens-Assets enthalten sein, sondern es sollten auch die notwendigen Rollen und Verantwortlichkeiten den Mitarbeitern zugewiesen werden. | In einer kompletten Security Policy darf nicht nur der Maßnahmenkatalog zur Sicherung der Unternehmens-Assets enthalten sein, sondern es sollten auch die notwendigen Rollen und Verantwortlichkeiten den Mitarbeitern zugewiesen werden. | ||
Zusätzlich ist es nötig, in der Policy selbst zu definieren, welche Sanktionen es nach sich zieht, | Zusätzlich ist es nötig, in der Policy selbst zu definieren, welche Sanktionen es nach sich zieht, wenn gegen die in der Policy festgelegten Richtlinien verstoßen wird, und die fertige Policy auch bei allen Mitarbeitern bekannt zu machen – nur so kann sie im Unternehmenseinsatz auch wirksam werden. | ||
wenn gegen die in der Policy festgelegten Richtlinien verstoßen wird, und die fertige Policy auch bei allen Mitarbeitern bekannt zu machen – nur so kann sie im Unternehmenseinsatz auch wirksam werden. | Eine Policy ist im Prinzip nie ganz fertig. | ||
Eine Policy ist im Prinzip nie ganz fertig. Sicherheit ist immer ein Prozess, nie ein Produkt. Aus diesem Grund ist es nötig, die Wirksamkeit der Richtlinien ständig zu prüfen und zu überarbeiten oder an aktuelle Vorfälle anzupassen. Die ständige Bewertung von Assets und die Beurteilung von Risiken zu dem Zweck, angemessene Maßnahmen in einer Security Policy treffen zu können, wird als aktives Risikomanagement verstanden. | * Sicherheit ist immer ein Prozess, nie ein Produkt. | ||
* Aus diesem Grund ist es nötig, die Wirksamkeit der Richtlinien ständig zu prüfen und zu überarbeiten oder an aktuelle Vorfälle anzupassen. | |||
* Die ständige Bewertung von Assets und die Beurteilung von Risiken zu dem Zweck, angemessene Maßnahmen in einer Security Policy treffen zu können, wird als aktives Risikomanagement verstanden. | |||
Auf der Webseite https://www.sicher-im-netz.de/dsin-sicherheitscheck finden Sie den „DsiN-Sicherheitscheck“, der für kleine Unternehmen geeignet ist, ihre Security Policies zu überprüfen. | Auf der Webseite https://www.sicher-im-netz.de/dsin-sicherheitscheck finden Sie den „DsiN-Sicherheitscheck“, der für kleine Unternehmen geeignet ist, ihre Security Policies zu überprüfen. | ||
== Aufgaben eines IT-Sicherheitsbeauftragten == | == Aufgaben eines IT-Sicherheitsbeauftragten == | ||
Der IT-Sicherheitsbeauftragte ist für die Umsetzung der Security Policies in einem Unternehmen verantwortlich. Um dieser Aufgabe gerecht zu werden, muss er der Geschäftsführung direkt unterstellt werden und darf nicht in die operative IT-Administrierung involviert sein. Die Rolle des Sicherheitsbeauftragten wird u. a. im IT-Grundschutzkompendiums des BSI definiert. | Der IT-Sicherheitsbeauftragte ist für die Umsetzung der Security Policies in einem Unternehmen verantwortlich. | ||
* Um dieser Aufgabe gerecht zu werden, muss er der Geschäftsführung direkt unterstellt werden und darf nicht in die operative IT-Administrierung involviert sein. | |||
* Die Rolle des Sicherheitsbeauftragten wird u. a. im IT-Grundschutzkompendiums des BSI definiert. | |||
Diese umfasst: | Diese umfasst: | ||
* die unternehmensweite Verantwortung für die Erstellung, Entwicklung und Kontrolle der Sicherheitsrichtlinien, | * die unternehmensweite Verantwortung für die Erstellung, Entwicklung und Kontrolle der Sicherheitsrichtlinien, |
Version vom 20. November 2022, 11:30 Uhr
topic kurze Beschreibung
Beschreibung
Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein, da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss.
- Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden.
- Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen.
- Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen.
- Wichtige Kriterienwerke
- IT-Grundschutz-Kompendium
- BSI-Standard 200
- ISO/IEC 13335
- ISO/IEC 19790
- ISO/IEC 2700X
- Common Criteria/ITSEC/ISO/IEC 15408
- ISO 9000
- COBIT
- ITIL
- DIN EN 50600
IT-Grundschutz-Kompendium
Das IT-Grundschutz-Kompendium hat als Ziel, durch personelle, technische, organisatorische und infrastrukturelle Maßnahmen ein Standard-Sicherheitsniveau herzustellen, das auch für Bereiche mit höheren Sicherheitsansprüchen ausbaufähig ist.
- Das IT-Grundschutz-Kompendium löst seit Oktober 2017 als Nachfolger den IT-Grundschutz-Katalog ab.
- Die aktuelle Version ist die Edition 2021.
- Der IT-Grundschutz besteht aus einigen Prozess-Bausteinen, Methodiken und Hilfsmitteln,
die folgende Bereiche abdecken:
Übergreifende Funktionen, Infrastruktur, IT-Systeme, Netze und Anwendungen, Sicherheitsmanagement (ISMS) Einfluss von höherer Gewalt, Mängel in der Organisation, menschliches Versagen, technische Mängel, Detektion und Reaktion Maßnahmen bezogen auf die Infrastruktur, die Organisation, das Personal, die Hard- und Software, die Kommunikation, die Vorsorge im Notfall Formulare, Mustervorlagen, Checklisten, IT-Grundschutzprofile und weitere Informationen Für die effiziente Nutzung des IT-Grundschutzkompendiums stehen diverse Tools (https:// www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/ IT-Grundschutz/IT-Grundschutz-Kompendium/Alternative-IT-Grundschutztools/alternative-it- grundschutztools_node.html) zur Verfügung.
Weitere Kriterienwerke zur IT-Sicherheit
BSI-Standard 200 Diese Standards beinhalten grundlegende Methoden und Maßnahmen zur IT-Sicherheit und wurden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben.
- Sie orientieren sich u. a. an den OSI-Standards ISO 2700x.
- Das IT-Grundschutz-Kompendium basiert auf diesen Standards.
- Durch die Möglichkeit, diese Standards zu zitieren, wird auch in methodi-
scher Hinsicht eine Vereinheitlichung der IT-Sicherheitsbegriffe erzielt.
Die IT-Grundschutz-Standards sind wie folgt eingeteilt:
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
- BSI-Standard 200-2: IT-Grundschutz-Vorgehensweise BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 200-4: Notfallmanagement ISO/IEC 13335 ISO/IEC 13335 besteht aus fünf technischen Berichten.
- Diese geben Hinweise zum IT-Sicherheits-management, ohne eine bestimmte Lösung zu erzwingen.
- Die Normdokumente befassen sich mit folgenden Themenbereichen:
Teil 1, Konzepte und Modelle der IT-Sicherheit Teil 2, Managen und Planen von IT-Sicherheit Teil 3, Techniken für das Management von IT-Sicherheit Grundbegriffe der IT-Sicherheit Bedrohungen, Risiken, Schwachstellen Notfallvorsorge, Risikoanalyse, Sensibilisierung Gestaltung von IT-Sicherheitsprozessen Integration in bestehende Unternehmensprozesse IT-Sicherheitsorganisationen Sicherheitsprozesse verfeinern Methoden und Techniken für Sicherheitsprozesse
Teil 4, Auswahl von Sicherheitsmaßnahmen Teil 5, Management Guide für Netzwerksicherheit
Schutzmaßnahmen gegen Bedrohungen Kommunikationssicherheit Netzwerktypen und Organisationen Business Continuity ISO/IEC 19790 (FIPS 140-2)
Dieser Standard beschäftigt sich mit den Anforderungen an Kryptographiemodule.
- Der vom NIST (National Institute of Standards and Technology) herausgegebene „Federal Information Processing Standard 140“ befasst sich in der Version 2 mit der Überprüfung und Validierung von kryptografischen Modulen auf Hardware- und Softwarebasis.
- FIPS 140-2 ist im Standard ISO/IEC 19790 (Security requirements for cryptographic modules) aufgegangen.
ISO/IEC 2700X ISO/IEC 2700X ist eine Familie internationaler Standards, die u.
- a.
- auf der nicht mehr gültigen ISO 17799 und dem British Standard BS 7799 aufbaut.
- Darin werden über 20 Normen definiert, in denen u. a. dem Anwender in einem Kriterienkatalog Best-Practice-Lösungen für die Informationssicherheit unter Berücksichtigung folgender Aspekte bereitgestellt werden:
Regeln und Richtlinien zur Informationssicherheit Organisation von Sicherheitsmaßnahmen und Managementprozessen Personelle Sicherheit Asset-Management Physikalische Sicherheit und Zugangsdienste Zugriffskontrolle (Access Control) Umgang mit sicherheitstechnischen Vorfällen Systementwicklung und deren Wartung Planung einer Notfallvorsorge Einhaltung gesetzlicher Vorgaben und Überprüfung durch Audits Common Criteria/ITSEC/ISO/IEC 15408 Die Common Criteria for Information Technology Security Evaluation (CC) fügen die in unter- schiedlichen Wirtschaftszonen entstandenen Standards zueinander.
- Wie die ITSEC für Europa geben sie ein einheitliches Prüfverfahren vor, mit dem sicherheitsrelevante Aspekte von Hard-
und Software so geprüft werden können, dass nachvollziehbare und vergleichbare Ergebnisse erzielt werden.
- Durch die Entwicklung des ISO/IEC 15408 sind die CC ein international anerkann-
ter Standard.
Dieser besteht aus drei Teilen: Teil 1: Einführung und allgemeines Modell (Introduction and general model) Teil 2: Funktionale Sicherheitsanforderungen (Security functional requirements) Teil 3: Anforderungen an die Vertrauenswürdigkeit (Security assurance requirements)
IT-Produkte und IT-Systeme können nach dem Standard, auch unter dem Namen „Common Criteria (CC)“ bekannt, zertifiziert werden.
- Im Rahmen der Zertifizierung wird die Sicherheit durch eine unabhängige Instanz (Prüfstellen, Zertifizierungsstellen und die nationalen Behörden)
überprüft. EN ISO-9000-Normenreihe Die ISO-9000-Normreihe ist kein IT-Sicherheitsstandard, sondern definiert ein Prüfverfahren für Qualitätsmanagementsysteme.
- Da ein Qualitätsmanagementsystem gute Voraussetzungen für ein hohes Sicherheitsniveau bietet, ist die Nennung von ISO 9000 in diesem Zusammenhang durchaus angemessen.
Die Eigenschaften des Qualitätsmanagementsystems müssen dokumentiert und sowohl durch interne als auch externe Stellen nachvollziehbar sein. In diesem Rahmen wird auch überprüft, ob die EDV-Ausstattung und -Organisation dem Unternehmenszweck angemessen sind. COBIT COBIT (Control Objectives for Information and Related Technology) ist ein internationales Framework, das die Aufgaben der IT in Prozesse und Kontrollziele aufgliedert.
- Primär geht es hierbei aber nicht darum, wie etwas umzusetzen ist, sondern was umzusetzen ist.
- Es werden also Ergebnisse und nicht Wege zum Ziel beschrieben.
Von einem Werkzeug, das früher nur von Auditoren eingesetzt wurde, hat es sich zu einem Werkzeug entwickelt, das nun dazu dienen kann, die Informationstechnologie einer Firma aus Unternehmenssicht zu steuern.
- Es wird auch benutzt, um die Einhaltung gesetzlicher Anforderungen an das Unternehmen modellieren zu können.
Prinzipiell wird hierbei ein „Top-Down“-Ansatz verfolgt, d. h. ausgehend von den Unternehmenszielen werden Ziele der IT-Infrastruktur abgeleitet und daraus wiederum alle Kriterien der IT beeinflusst. ITIL Auch die ITIL (IT Infrastructure Library) ist kein IT-Sicherheitsstandard.
- In ihr werden Regeln und Definitionen für den Betrieb einer gesamten IT-Infrastruktur (IT Service Management – ITSM) anhand von sogenannten Best Practices vorgegeben.
- Im Grundansatz beschreibt die ITIL darin einen ITSM-Lifecycle (Lebenszyklus).
- In einem Regelkreis wird die kontinuierliche Verbesserung der Prozesse, der Organisation und der entsprechenden Werkzeuge und somit der gesamten IT-Infrastruktur beschrieben.
Dabei gliedert sich die ITIL V3 in fünf Bücher, die gleichzeitig die fünf Lebensphasen des ITSM-Lebenszyklus darstellen:
- Service Strategy (Servicestrategie)
- Service Design (Serviceentwurf)
- Service Transition (Serviceüberführung)
Service Operation (Servicebetrieb) Continual Service Improvement (Kontinuierliche Serviceverbesserung) Mit der Einführung von ITIL V4 (Februar 2019) wird ein vollständiger Paradigmenwechsel vollzogen. Aber keine Angst: ITIL V3 behält weiterhin seine Gültigkeit.
- In ITIL V4 werden keine spezifischen Prozesse mehr definiert.
- Es verfolgt einen neuen, ganzheitlichen Ansatz und bildet das Service-
Management von der Nachfrage bis zur Wertschöpfung als zentrales Element ab.
- Es besteht nun aus den Komponenten Vier-Dimensionen-Modell (ganzheitlicher Ansatz der Wertschöpfungs-
kette) und Service-Werte-System.
- Letzteres besteht aus den Teilkomponenten Leitprinzipien,
Governance, Service-Wertschöpfungskette und Kontinuierliche Verbesserung. Jegliche Tätigkeit im IT-Umfeld kann so mithilfe eines standardisierten Vorgehens angegangen werden.
- Das betrifft selbstverständlich auch den IT-Sicherheitsprozess.
Zielgruppen Die vorgestellten Kriterienwerke haben eine unterschiedliche Zielsetzung und sind daher eher für den Einsatz in bestimmten Zielgruppen geeignet.
Obwohl einzelne Kriterienwerke durchaus auch als Hilfsmittel für andere Anwendungsbereiche nützlich sein können, liegt die Priorität der Anwendung einzelner Werke in folgenden Bereichen: IT-Grundschutz-
BSI ISO TR ISO ISO Common ISO COBIT ITIL Kompendium 200 13335 19790 2700X Criteria 9000
U n Hardware-Hersteller
× × ×
ter n e Software-Hersteller
× × × × ×
hme n Server-Betreiber
× × × × × ×
ska t e Netzprovider
× × × × × ×
gor i e
Content-Provider × × × × × ×
Unternehmen ×
× × ×
(als Kunde) P e r IT-Leitung
× × × × × ×
son a l Administrator
× × x rol l e IT-Sicherheits-/ Daten-
×
× × × × × ×
schutzbeauftragter Management
× × × × ×
Projektmanager
× × × × × × × x
× = Hauptzielgruppe
DIN EN 50600
Standardisierung für die Infrastruktur von Rechenzentren Auf die Initiative der CENELEC (Comitté Européen de Normalisation Electrotechnique) wurde eine europaweite Norm für alle Einrichtungen und Infrastrukturen eines Rechenzentrums geschaffen. Es wurden dabei die Aspekte wie RZ-Auslegung, RZ-Integration, Installationen und Instandhaltung von Einrichtungen und Infrastrukturen innerhalb von Rechenzentren länderübergreifend vereinheitlicht. Die DIN EN 50600 beinhaltet auch gewisse Freiheitgrade (für unterschiedliche RZ-Konzepte) und ist als normierter Leitfaden und Baukastensystem zu verstehen.
- Die Norm besteht aus den folgenden Einzelbausteinen:
DIN EN 50600-1 DIN EN 50600-2 DIN EN 50600-3 DIN EN 50600-4 Informationstechnik-Einrichtungen und Infrastrukturen von Rechenzentren: Allgemeine Konzepte Gebäudekonstruktion, Stromversorgung, Regelung der Umgebungsbedingungen, Infrastruktur der Telekommunikationsverkabelung, Sicherungssysteme Informationen für das Management und den Betrieb Überblick über und allgemeine Anforderungen an Leistungskennzahlen, Kennzahl zur eingesetzten Energie, Anteil erneuerbarer Energien Die DIN EN 50600-X unterstützt u. a. Betreiber, Planer, IT-Management, Facility-Manager bei der Planung, der Realisierung und dem Betrieb von Rechenzentren.
- Sie ermöglicht eine auf die Bedürfnisse des Nutzers maßgeschneiderte, normkonforme Auslegung der technischen Gewerke.
Security Policy
Warum eine Security Policy gebraucht wird Eine Security Policy oder auch Sicherheitsrichtlinie wird gebraucht, weil es sonst keinen strukturierten Plan und keine Handlungsvorschriften gibt, wie welche Systeme und Komponenten sicher zu machen sind.
- Ein Unternehmen, das über keine Security Policy verfügt, wird ziemlich wahrscheinlich an irgendeiner Stelle IT-Sicherheitsprobleme bekommen.
- In solchen Fällen wird das Problem eventuell durch eine Einzellösung behandelt, und es wird bis zum Auftreten des nächsten Sicherheitsproblems gewartet.
Beispiele rein reaktiven Verhaltens, die mitunter in der Praxis anzutreffen sind: Ein Computervirus verursacht Schäden an den Datenbeständen an einem vermeintlich sicheren System.
- Nach Beseitigung wird eine Lizenz eines Antivirusprogramms gekauft oder das vorhandene durch eine andere Version ersetzt.
Die Computer einer Firma sind vernetzt und an das Internet angebunden.
- Eines Tages wird festgestellt, dass die Computer immer langsamer arbeiten.
- Der verantwortliche Crypto-Miner wird erst nach dem Schadensfall gesucht.
- Anschließend wird nach einem Schutz gesucht.
Hardware im Serverraum fällt grundsätzlich nach relativ kurzer Nutzungsdauer wegen elektrischer Defekte aus.
- Es wird zwar neue Hardware beschafft, aber trotz nachweislich zu hoher Lufttemperatur im Serverraum (z. B. 30° C und höher) lehnt das Management die Anschaffung einer Klimaanlage ab.
Was in einer Security Policy steht Eine sinnvolle Sicherheitsrichtlinie legt fest, was getan werden muss, um ein IT-System und die gespeicherten Informationen zu schützen.
- Mit ihrer Hilfe können Mitarbeiter leicht entscheiden, was und wie es zu tun ist.
Im Prinzip ist eine Sicherheitsrichtlinie also nichts anderes als eine schriftlich niedergelegte Strategie, in der beschrieben wird, wie ein Computernetzwerk und seine Ressourcen zu schützen sind. Die schriftliche Fixierung erlaubt es, Maßnahmen und auch Notfallpläne vorab zu definieren, sodass Sicherheitsprobleme minimiert werden können und bei deren Auftreten schnell und zielsicher gehandelt werden kann. Wie eine Security Policy entsteht Eine Security Policy von Grund auf zu entwerfen ist ohne Hilfsmittel ein aufwendiges Unterfangen.
- Die von verschiedenen Gremien herausgegebenen Kriterienkataloge geben gute Hinweise und bieten (wie beim IT-Grundschutz-Kompendium) auch einen modularen Ansatz, der es ermöglicht, komponentenweise die Sicherheitsrichtlinien für das eigene Unternehmen zu definieren und gegebenenfalls die im Kriterienwerk vorgeschlagenen Empfehlungen anzupassen.
In einer kompletten Security Policy darf nicht nur der Maßnahmenkatalog zur Sicherung der Unternehmens-Assets enthalten sein, sondern es sollten auch die notwendigen Rollen und Verantwortlichkeiten den Mitarbeitern zugewiesen werden. Zusätzlich ist es nötig, in der Policy selbst zu definieren, welche Sanktionen es nach sich zieht, wenn gegen die in der Policy festgelegten Richtlinien verstoßen wird, und die fertige Policy auch bei allen Mitarbeitern bekannt zu machen – nur so kann sie im Unternehmenseinsatz auch wirksam werden. Eine Policy ist im Prinzip nie ganz fertig.
- Sicherheit ist immer ein Prozess, nie ein Produkt.
- Aus diesem Grund ist es nötig, die Wirksamkeit der Richtlinien ständig zu prüfen und zu überarbeiten oder an aktuelle Vorfälle anzupassen.
- Die ständige Bewertung von Assets und die Beurteilung von Risiken zu dem Zweck, angemessene Maßnahmen in einer Security Policy treffen zu können, wird als aktives Risikomanagement verstanden.
Auf der Webseite https://www.sicher-im-netz.de/dsin-sicherheitscheck finden Sie den „DsiN-Sicherheitscheck“, der für kleine Unternehmen geeignet ist, ihre Security Policies zu überprüfen.
Aufgaben eines IT-Sicherheitsbeauftragten
Der IT-Sicherheitsbeauftragte ist für die Umsetzung der Security Policies in einem Unternehmen verantwortlich.
- Um dieser Aufgabe gerecht zu werden, muss er der Geschäftsführung direkt unterstellt werden und darf nicht in die operative IT-Administrierung involviert sein.
- Die Rolle des Sicherheitsbeauftragten wird u. a. im IT-Grundschutzkompendiums des BSI definiert.
Diese umfasst:
- die unternehmensweite Verantwortung für die Erstellung, Entwicklung und Kontrolle der Sicherheitsrichtlinien,
- die Berichtspflicht aller Maßnahmen zur IT-Sicherheit gegenüber der Geschäftsführung und den Mitarbeitern,
- die Koordination der IT-Sicherheitsziele mit den Unternehmenszielen und Abstimmung mit den einzelnen Unternehmensbereichen,
- die Festlegung der Sicherheitsaufgaben für die nachgeordneten Unternehmensbereiche
- die Weisungsbefugnis in Fragen der IT-Sicherheit,
- die Kontrolle der IT-Sicherheitsmaßnahmen auf Korrektheit, Nachvollziehbarkeit, Fortschritt und Effektivität,
- die Koordination von unternehmensweiten Ausbildungs- und Sensibilisierungsprogrammen für die Mitarbeiter.
Dokumentation
RFC
Man-Pages
Info-Pages
Siehe auch
Links
Projekt-Homepage
Weblinks
Einzelnachweise
Testfragen
Testfrage 1
Testfrage 2
Testfrage 3
Testfrage 4
Testfrage 5
Übung
Fragen zu Standards im Bereich IT-Sicherheit Übungsdatei: --
Ergebnisdatei: uebung09.pdf
1. Nennen Sie die wichtigsten IT-Sicherheitsstandards. 2. Welche Tools können für die Umsetzung des IT-Grundschutz-Kompendiums verwendet werden?