IT-Grundschutz/Leitlinie: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
Zeile 7: | Zeile 7: | ||
; Anforderungen | ; Anforderungen | ||
* Für | * Für betroffenen Mitarbeiter:innen verständlich | ||
* Wenigen Seiten | |||
* Angestrebte Sicherheitsziele | |||
* Organisatorischen Rahmen der Umsetzung | |||
; Rolle der Leitungsebene | |||
* Die Entwicklung der Leitlinie muss von der Leitung der Institution angestoßen und aktiv begleitet werden. | * Die Entwicklung der Leitlinie muss von der Leitung der Institution angestoßen und aktiv begleitet werden. | ||
* Der wird die Leitlinie in enger Kooperation mit der Leitung erarbeiten und dabei (sofern vorhanden) vom -Management-Team und weiteren Verantwortlichen für Informationssicherheit unterstützt. | * Der wird die Leitlinie in enger Kooperation mit der Leitung erarbeiten und dabei (sofern vorhanden) vom -Management-Team und weiteren Verantwortlichen für Informationssicherheit unterstützt. | ||
Zeile 13: | Zeile 18: | ||
; Veröffentlichung | ; Veröffentlichung | ||
* Muss allen betroffenen Mitarbeitern bekannt gegeben | * Muss allen betroffenen Mitarbeitern bekannt gegeben | ||
* | * Kontinuierliche Aktualisierung | ||
== Inhalte == | == Inhalte == |
Version vom 23. August 2023, 00:23 Uhr
Beschreibung
- Leitlinie zur Informationssicherheit
Grundsatzdokument der Leitung zur Informationssicherheit in einer Institution
- Stellenwert
- Verbindliche Prinzipien
- Anzustrebenden Niveau
- Anforderungen
- Für betroffenen Mitarbeiter:innen verständlich
- Wenigen Seiten
- Angestrebte Sicherheitsziele
- Organisatorischen Rahmen der Umsetzung
- Rolle der Leitungsebene
- Die Entwicklung der Leitlinie muss von der Leitung der Institution angestoßen und aktiv begleitet werden.
- Der wird die Leitlinie in enger Kooperation mit der Leitung erarbeiten und dabei (sofern vorhanden) vom -Management-Team und weiteren Verantwortlichen für Informationssicherheit unterstützt.
- Veröffentlichung
- Muss allen betroffenen Mitarbeitern bekannt gegeben
- Kontinuierliche Aktualisierung
Inhalte
- Was sollte in der Leitlinie zur Informationssicherheit festgelegt werden?
- Der Geltungsbereich wird konkretisiert.
- Die Bedeutung, die Informationssicherheit für eine Institution hat, wird hervorgehoben, etwa indem darauf hingewiesen wird, dass ein Ausfall der Informationstechnik oder Verletzungen der Vertraulichkeit und Integrität von Informationen die Existenz der Institution gefährden.
- Die Verantwortung der Leitung wird betont, sowohl im Hinblick auf die Initiierung des Sicherheitsprozesses als auch auf dessen kontinuierliche Verbesserung.
- Es wird auf einschlägige Gesetze und Regulierungsauflagen hingewiesen und die Mitarbeiter werden verpflichtet, diese zu beachten.
- Es werden für die Informationssicherheit besonders wichtige Geschäftsprozesse genannt, etwa Produktionsabläufe, Forschungsverfahren oder Personalbearbeitung, und auf die strikte Einhaltung von Sicherheitsregeln hingewiesen.
- Die Organisationsstruktur für Informationssicherheit und die Aufgaben der verschiedenen Sicherheitsverantwortlichen werden vorgestellt.
- Sinnvoll ist auch der Hinweis auf Sicherheitsschulungen und Sensibilisierungsmaßnahmen.
- Anforderungen
Im Baustein Sicherheitsmanagement werden die Anforderungen an eine Leitlinie formuliert.
- Hinweise zum Vorgehen und zur inhaltlichen Struktur finden sich in den zugehörigen Umsetzungshinweisen.
Beispiel
- Für das Beispielunternehmen RECPLAST hat das BSI eine Sicherheitsleitlinie entwickelt
Folgende Themen werden adressiert
- Stellenwert der Informationssicherheit
- Bedeutung der Leitlinie
- Sicherheitsniveau und Ziele
- Verantwortlichkeiten
- Verstöße und Folgen
- Geltungsbereich
- Verweis auf Konkretisierung
Sie finden dieses Muster in Kapitel 2 der ausführlichen Darstellung zur RECPLAST.
Übung
- Wie gestalten Sie eine Sicherheitsleitlinie für Ihre Einrichtung?
- Wie definieren Sie den Geltungsbereich?
- Welche Ziele nennen Sie?
- Gibt es bereits Beauftragte für Informationssicherheit oder einzelne Aspekte dieser Aufgabe? Wie würden Sie diese in den Entwicklungsprozess einbeziehen?
- Wie stellen Sie die Verantwortung und die Aufgaben der Mitarbeiter dar?
- Gibt es besonders kritische Geschäftsprozesse, deren Anforderungen Sie in der Leitlinie hervorheben möchten?
TMP
topic - Kurzbeschreibung
Beschreibung
Eine Sicherheitsrichtlinie (auch Sicherheitsleitlinie, Sicherheitspolitik) beschreibt den erstrebten Sicherheitsanspruch einer Institution (Behörde, Unternehmen, Verband etc.).
- Mit Sicherheit ist hier in der Regel Informationssicherheit gemeint.
- Die Schwerpunkte liegen dabei heute im Bereich der elektronischen Datenverarbeitung und den damit einhergehenden Sicherheitsanforderungen.
- Hierbei liegt die Annahme bzw. Tatsache zugrunde, dass Informationen per se einen Wert darstellen bzw. ihr Schutz per Gesetz oder Verordnung gefordert ist.
Im Rahmen der Informationssicherheit lässt sich Sinn und Zweck einer Sicherheitsrichtlinie umfassend mit der Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität (VIVA) der Informationen beschreiben.
- Die Sicherheitsrichtlinie wird von der Leitung der Institution, in Unternehmen also vom Vorstand bzw. von der Geschäftsleitung verabschiedet und vorgelebt.
- Sie muss von allen Mitgliedern der Institution zur Kenntnis genommen, verstanden und beachtet werden.
- Zuwiderhandlungen werden soweit möglich sanktioniert.
Inhalt
- Eine Sicherheitsrichtlinie definiert die von der Institution gewählten Ziele zur Informationssicherheit sowie die verfolgte Informationssicherheitsstrategie.
- Auflistung der wesentlichen Inhalte (ohne Anspruch auf Vollständigkeit)
- Stellenwert der Informationssicherheit und Bedeutung der IT (Informationstechnologie) für die Aufgabenerfüllung
- Benennung der Sicherheitsziele und Beschreibung der Sicherheitsstrategie
- Beschreibung der Organisationsstruktur
- Zusicherung, dass die Sicherheitsrichtlinie von der Leitungsebene durchgesetzt wird und Verstöße soweit möglich sanktioniert werden
- Aussagen zur periodischen Überprüfung der Sicherheitsmaßnahmen
- Aussagen zu Programmen zur Förderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaßnahmen (Erhalt und Förderung der Awareness)
- Verantwortlichkeiten im Informationssicherheitsprozess
Anhang
Siehe auch
- BS 7799
- Firewall
- ISO/IEC 27002 (ehem. ISO 17799)
- IT-Grundschutz
- Netzwerksicherheit
- Proof-Carrying Code
- Bundesamt für Sicherheit in der Informationstechnik
Links
Weblinks
Literatur
- Daniel Bursch: IT-Security im Unternehmen.
- Grundlagen, Strategien, Check-up. Vdm Verlag, Berlin 2005, ISBN 3-86550-064-1.
- Heinrich Kersten, Klaus-Dieter Wolfenstetter (Hrsg.): Der IT Security Manager.
- Expertenwissen für jeden IT-Security-Manager. Vieweg, Wiesbaden 2005, ISBN 3-528-05900-1 (Edition Kes).
- Hans-Peter Königs: IT-Risiko-Management mit System.
- Von den Grundlagen bis zur Realisierung.
- Ein handlungsorientierter Leitfaden. Vieweg, Wiesbaden 2005, ISBN 3-528-05875-7 (Edition Kes).