IT Security Policies - Was wir von Ihnen erwarten

IT Security Policies

Was wir von Ihnen erwarten

Rocco Gagliardi
von Rocco Gagliardi
Lesezeit: 5 Minuten

Keypoints

Das erwartet man von IT Security Policies

  • Security Policies gelten für sämtliche Mitarbeiter
  • Sie sind essentiell, um sichere Grundwerte etablieren zu können
  • Dementsprechend müssen Sie nachvollziehbar und klar formuliert sein

Im Rahmen der durch uns durchgeführten Reviews verlangen wir in der Regel die vorhandenen IT Security Policies (SP). Obschon viele Kunden diese, wenigstens in Teilen, vorweisen können, stellt unsere Anfrage noch immer manche vor grössere Herausforderungen. Was wir genau erwarten, soll in diesem Beitrag diskutiert werden.

Wieso fragen wir nach den Policies? Security ist ein komplexes Thema. Und wie überall erfordern Aufgaben, dass sie zielgerichtet angestrebt werden, um effizient durchführbar zu sein. Der Plan hierfür ist die SP. Fall Sie eine solche nicht haben, müssen wir davon ausgehen, dass auf dem Rest der Infrastruktur und die damit einhergehende Sicherheit mangelhaft sein kann. Falls Sie eine SP haben, dann haben Sie sich wenigstens schon mit den grundlegenden Fragen der Sicherheitsproblematik auseinandergesetzt. Dazu gehören Themen wie Governance, Asset Management, Monitoring und Response. Sie kennen dann wenigstens die allgemeinen Probleme und sind darum bemüht, diese zu mitigieren oder lösen. Wenn Sie all diese durchgegangen sind, dann ist ein solides Mass an Sicherheit zu erwarten.

Um zusätzliche Compliancy erreichen zu können, muss jedem Security-Framework eine Information Security Policy zugrunde liegen. Zum Beispiel:

Bei einer Zusammenarbeit mit anderen Firmen ist es nicht unüblich, dass im Rahmen eines Vendor Assessments die vorhandene SP begutachtet wird. Die SP sollte aber generell für sich eine hohe Priorität geniessen, denn sie ist auch zum eigenen Schutz da. Sollte ein Datenabfluss beobachtet werden, kann dank der klaren Datenklassifikation der Spielraum für Diskussionen minimiert werden.

Was steht in einer Security Policy

Die SP ist ein Plan dafür, wie man die Sicherheit unter Berücksichtigung von Prinzipien und Technologien im Unternehmen implementieren will. Sie muss auf einem hohen Level geschrieben sein und spezifizieren, dass etwas passieren soll und nicht wie. Dazu gehört die Unabhängigkeit von Technologien und Herstellern, für die zusätzliche detaillierte Spezifikationen angestrebt werden.

Objective: To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations. (ISO27002 5.1.1)

A set of policies for information security should be defined, approved by management, published and communicated to employees and relevant external parties. (ISO27002 5.1.1)

Im Rahmen unserer Reviews prüfen wir eine SP auf die Adressierung und Abdeckung der folgenden Kriterien:

In Bezug auf Anzahl und Ausrichtung der Dokumente orientieren wir uns an verschiedenen Standards, die als Minimum vorsehen:

Jede Policy sollte:

SANS bietet eine gute Sammlung an Vorlagen an.

Zusammenfassung

Für kleinere und mittlere Unternehmen, die keine spezialisierten Teams für die Bearbeitung der IT-Security-Themen haben, kann eine Anfrage bezüglich Security Policies eine grosse Herausforderung darstellen. Oftmals wird mit Konfigurationen, Checklisten und Netzwerkschemas reagiert. Dies ist jedoch nicht das, was erforderlich ist. Security Policies sind eine Sammlung von High-Level Dokumenten, die durch Benutzer ohne erweitertes Technikverständnis nachvollzogen werden können. Sie definieren das Verhalten und den Umgang mit IT-Systemen in verschiedensten Situationen.

Über den Autor

Rocco Gagliardi

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

Herausforderung Datenschutz-Grundverordnung DSGVO?

Unsere Spezialisten kontaktieren Sie gern!

×
Übergang zu OpenSearch

Übergang zu OpenSearch

Rocco Gagliardi

Graylog v5

Graylog v5

Rocco Gagliardi

auditd

auditd

Rocco Gagliardi

Security Frameworks

Security Frameworks

Rocco Gagliardi

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv