Sicherheitsmanagement
 

Kurz gefasst

Informationssicherheit in einer Organisation ist bei weitem nicht nur eine Frage der Technik. Die technischen Aktivitäten stellen nur einen Aspekt einer Vorgehensweise dar, die wenn sie gelingen soll, ganzheitlich alle Bereiche der Organisation abdecken soll. Bevor Prozeduren oder technische Maßnahmen, welche die Sicherheit einer Organisation verbessern sollen, umgesetzt werden, ist es wichtig, eine Risikoanalyse durchzuführen (Risikomanagement) und eine Informationssicherheitsleitlinie zu erstellen.

Die Sicherheitsleitlinie dient dazu, alle organisatorischen und technischen Maßnahmen der Organisation zu koordinieren.
Die Erstellung einer Informationssicherheitsleitlinie ist eine mühsame Aufgabe. Wir raten kleinen Organisationen davon ab, sofort mit der Erstellung einer Informationssicherheitslinie zu beginnen. Ganz im Sinne der kontinuierlichen Verbesserung ist es besser, ein kurzes aber prägnantes Dokument zu erstellen und dann sukzessive jene Prozeduren und Leitlinien zu entwickeln, die am dringendsten benötigt werden.

Als roter Faden bei der Erstellung einer Sicherheitsleitlinie dienen einerseits die bewährten Praktiken (ISO/IEC 27001 und ISO/IEC 27002), und andererseits die Risikoanalyse und die Risikobewertung. Jede Organisation muss darauf achten, Verhaltensregeln sowie organisatorischen und technischen Maßnahmen dort umzusetzen, wo sie wirklich schnell wirksam sind.

In jedem Fall muss die Vorgehensweise der Größe der Organisation, der Kritikalität der Werte und den Fähigkeiten der Organisation angepasst werden.

Sicherheitscharta

Die Erstellung und Umsetzung einer Sicherheitscharta ist der erste Schritt in Richtung Management der Informationssicherheit. Um ihren Erfolg zu gewährleisten, muss sie den spezifischen Sicherheitsanforderungen der Organisation gerecht werden. Eine Risikoanalyse, selbst wenn diese nur kurz ist, muss unbedingt vorher gemacht worden sein. Ohne diese Analyse werden die Verantwortlichen nicht wissen, welche Werte besonders schützenswert sind. Um den meistbefürchteten Auswirkungen vorbeugen zu können, müssen die Verantwortlichen die wahrscheinlichsten Bedrohungen sowie die am leichtesten auszunutzenden Schwachstellen identifizieren.

Vor der Einführung der Sicherheitscharta muss diese unbedingt den Mitarbeitern vorgestellt werden, die täglich mit den organisatorischen und technischen Maßnahmen zu tun haben. Ohne eine solche Schulung riskiert die Sicherheitscharta, unbeachtet zu bleiben und somit allen Nutzen zu verlieren.

Sicherheitsleitlinie

Nach der Identifikation der größten Risiken (Risikomanagement), kann das Management, im Sinne der ständigen Verbesserung, über die Sicherheitscharta hinausgehen. Das Management kann dann eine Sicherheitsleitlinie sowie spezifische Prozeduren erstellen und umsetzen.

Die Umsetzung einer Sicherheitsleitlinie, selbst wenn diese nur rudimentär ist, erlaubt dem Management, Sicherheit zu organisieren. In der Leitlinie werden, in formalen Prozeduren, sowohl verschiedene Verantwortungsbereiche sowie die jeweiligen Pflichten als auch sicherheitsrelevante Aspekte definiert sein.

Es ist zu diesem Zeitpunkt unnötig, mit der Umsetzung einer umfassenden Sicherheitsleitlinie zu beginnen. Die Sicherung einer Organisation ist ein kontinuierlicher Prozess (Festlegen, Umsetzen, Überwachen/Überprüfen und Verbessern) zur Umsetzung von Sicherheitsmaßnahmen, bewertet nach den am meisten befürchteten Auswirkungen, den wahrscheinlichsten Bedrohungen und den schwerwiegendsten Schwachstellen.

Festlegung

Diese erste Etappe hat zum Ziel, den Perimeter und den Kontext des zukünftigen Systems zu definieren. Sie muss auch die Identifikation sowie die Bewertung der Risiken erlauben, um einen Managementplan erstellen zu können. (Sie kann jedoch nicht die Risikoanalyse ersetzen, welche zuvor gemacht worden sein muss).

Umsetzung

Diese Etappe dient größtenteils zur Umsetzung der Sicherheitsleitlinie, welche zuvor erstellt worden ist. Die organisatorischen sowie die technischen Maßnahmen werden umgesetzt, die Verhaltensregeln werden von den Mitarbeitern befolgt.

Überwachung und Überprüfung

Die Überwachungssysteme müssen in den Sicherheitsleitlinien beschrieben worden sein. Das Ziel dieser Überprüfung besteht darin, sicherzustellen, dass die umgesetzten Maßnahmen so funktionieren, wie sie sollen. Diese Überprüfungen können vielschichtig sein:

  • regelmäßige Überprüfungen während den täglichen Aktivitäten;

  • automatisch durch Programme durchgeführte Überprüfungen, welche auch Berichte erstellen können;

  • Vergleiche mit anderen Organisationen;

  • Durchführung formell geplanter Audits ("risk assessment");

  • Überprüfung durch das Management.

Falls die Überprüfungen Abweichungen bestimmter Prozeduren ergeben, müssen sofort Korrekturmaßnahmen eingeleitet werden.

Verbesserung

Die in den vorigen Etappen beschlossenen Aktionen müssen umgesetzt werden, entweder:

  • auf der Ebene des Informationssicherheitssystems, dadurch, dass zum Beispiel ein (neuer) Informationssicherheitsbeauftragter für einen Teil oder das ganze System ernannt wird;

  • auf Ebene der operationalen Prozeduren, indem zum Beispiel andere Backup-Prozeduren eingesetzt werden;

  • auf Ebene der Tools, wie zum Beispiel der Kauf eines neuen Antivirenprogramms.

Inhalt der Sicherheitsleitlinie

Die Informationssicherheitsleitlinie sollte folgende Kapitel beinhalten:

Kapitel 1. Sicherheitsleitlinie

  1. Engagement des Managements

  2. Überprüfung der Informationssicherheitsleitlinie

Kapitel 2. Organisation der Informationssicherheit.

  1. Zuweisung der Verantwortlichkeiten

  2. Genehmigungsverfahren für Informationsverarbeitende Einrichtungen

  3. Kontakte zu Spezialisten

  4. Unabhängige Überprüfung der Informationssicherheit

  5. Einbringung von Dienstleistungen

Kapitel 3. Management von organisationseigenen Werten

  1. Verantwortung und Klassifizierung organisationseigener Werte

Kapitel 4. Personalsicherheit

  1. Sicherheit als Aufgabe

  2. Schulung und Information

  3. Umgang mit Informationssicherheitsvorfällen

Kapitel 5. Physische und umgebungsbezogene Sicherheit

  1. Sicherheitsbereiche

  2. Regeln im Sicherheitsbereich

  3. Elektrische Sicherheit der Ausrüstung

  4. Wartung

  5. Sicherheit von außerhalb des Standorts befindlicher Ausrüstung

  6. Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln

  7. Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms

Kapitel 6. Betriebs- und Kommunikationsmanagement

  1. Dokumentierte Verfahren

  2. Trennung von Entwicklungs-, Test- und Produktiveinrichtungen

  3. Verwaltung von Betriebsmitteln durch Externe

  4. Schutz gegen Schadprogramme

  5. Backup von Informationen

  6. Sicherheit der Datenträger während des Transports

  7. E-Mail

Kapitel 7. Zugangskontrolle

  1. Leitlinie zur Zugangskontrolle

  2. Verwaltung von Benutzerberechtigungen

  3. Verwaltung von Passwörtern

  4. Kontrolle von Netzverbindungen

  5. Verbindungen von außen

  6. Trennung von Netzen

  7. Verfahren zur sicheren Anmeldung

Kapitel 8. Beschaffung, Entwicklung und Wartung von Informationssystemen

  1. Kryptografische Maßnahmen

  2. Die elektronische Unterschrift

Kapitel 9. Umgang mit Informationssicherheitsvorfällen

  1. Melden von Informationssicherheitsereignissen

  2. Umgang mit Informationssicherheitsvorfällen und Verbesserungen

  3. Disziplinarverfahren

Section 10. Sicherstellung des Geschäftsbetriebs

  1. Sicherstellung des Geschäftsbetriebs

Kapitel 1. Einhaltung von Vorgaben

  1. Identifikation der anwendbaren Gesetze

  2. Geistiges Eigentum

  3. Schutz der organisationseigenen Aufzeichnungen

  4. Schutz der personenbezogenen Daten