Keypoints
Das erwartet man von IT Security Policies
- Security Policies gelten für sämtliche Mitarbeiter
- Sie sind essentiell, um sichere Grundwerte etablieren zu können
- Dementsprechend müssen Sie nachvollziehbar und klar formuliert sein
Im Rahmen der durch uns durchgeführten Reviews verlangen wir in der Regel die vorhandenen IT Security Policies (SP). Obschon viele Kunden diese, wenigstens in Teilen, vorweisen können, stellt unsere Anfrage noch immer manche vor grössere Herausforderungen. Was wir genau erwarten, soll in diesem Beitrag diskutiert werden.
Wieso fragen wir nach den Policies? Security ist ein komplexes Thema. Und wie überall erfordern Aufgaben, dass sie zielgerichtet angestrebt werden, um effizient durchführbar zu sein. Der Plan hierfür ist die SP. Fall Sie eine solche nicht haben, müssen wir davon ausgehen, dass auf dem Rest der Infrastruktur und die damit einhergehende Sicherheit mangelhaft sein kann. Falls Sie eine SP haben, dann haben Sie sich wenigstens schon mit den grundlegenden Fragen der Sicherheitsproblematik auseinandergesetzt. Dazu gehören Themen wie Governance, Asset Management, Monitoring und Response. Sie kennen dann wenigstens die allgemeinen Probleme und sind darum bemüht, diese zu mitigieren oder lösen. Wenn Sie all diese durchgegangen sind, dann ist ein solides Mass an Sicherheit zu erwarten.
Um zusätzliche Compliancy erreichen zu können, muss jedem Security-Framework eine Information Security Policy zugrunde liegen. Zum Beispiel:
- NIST CSF (ID.GV-1)
- ISO 27002 (5.1.1)
- NIST 800-53r4 (PM-1)
- PCI DSS (12.1)
- GDPR (Art. 5,25,32)
Bei einer Zusammenarbeit mit anderen Firmen ist es nicht unüblich, dass im Rahmen eines Vendor Assessments die vorhandene SP begutachtet wird. Die SP sollte aber generell für sich eine hohe Priorität geniessen, denn sie ist auch zum eigenen Schutz da. Sollte ein Datenabfluss beobachtet werden, kann dank der klaren Datenklassifikation der Spielraum für Diskussionen minimiert werden.
Was steht in einer Security Policy
Die SP ist ein Plan dafür, wie man die Sicherheit unter Berücksichtigung von Prinzipien und Technologien im Unternehmen implementieren will. Sie muss auf einem hohen Level geschrieben sein und spezifizieren, dass etwas passieren soll und nicht wie. Dazu gehört die Unabhängigkeit von Technologien und Herstellern, für die zusätzliche detaillierte Spezifikationen angestrebt werden.
Objective: To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations. (ISO27002 5.1.1)
A set of policies for information security should be defined, approved by management, published and communicated to employees and relevant external parties. (ISO27002 5.1.1)
Im Rahmen unserer Reviews prüfen wir eine SP auf die Adressierung und Abdeckung der folgenden Kriterien:
- Gibt es eine Übersicht der adressierten Themen
- Wird das Zielpublikum klar definiert
- Werden Anforderungen und Ziele der SP definiert
- Werden Umfang und Abgrenzungen definiert
- Beinhaltet es Richtlinien
- Ist ein Kurzbeschrieb der verwendeten Fachbegriffe enthalten
- Wird eine Version, ein Autor, die Reviewer und die Gültigkeitsdauer festgehalten
In Bezug auf Anzahl und Ausrichtung der Dokumente orientieren wir uns an verschiedenen Standards, die als Minimum vorsehen:
- Data Classification Policy: Ein Regelwerk zur Klassifizierung von Daten anhand von Vertrauenswürdigkeit, Integrität und Verfügbarkeit.
- Data Manipulation Policy: Ein Regelwerk für das Beziehen, Speichern und Übertragen von Informationen.
- Acceptable User Policy: Ein Regelwerk zur Definition, wie mit welchem System umgegangen werden soll.
- Authentication Policy: Ein Regelwerk, das die Authentisierung und dazugehörigen Prozesse dokumentiert.
- Backup Policy: Die Anforderungen des Unternehmens an Backups von Daten, Software und Systemen. Die Policy sollte die Retention Time und erforderlichen Schutzmassnahmen beinhalten.
- Incident Response Policy: Ein Plan, wie im Fall eines Security-Incidents reagiert werden soll. Beinhaltet Teams, Rollen, zentrale Prozesse und Werkzeuge.
- Network Access Policy und optionale Remote Access Policy, VPN Policy, Wireless Access Policy und Third Party Connection Policy
- Network Security Policy: Ein Regelwerk bezüglich Security Controls, die eingesetzten Technologien und übergeordneten Direktiven in Bezug auf akzeptierte und nicht-akzeptierte Aktionen von kritischen Elementen.
- Guest Access Policy: Die Policy deckt Aspekte bezüglich Kontonutzung, Sicherheit von Gast-Systemen und Anforderungen der Gast-Infrastruktur ab.
- Password Policy: Ein Regelwerk bezüglich der Umsetzung und Nutzung von sicheren Passwörtern.
Jede Policy sollte:
- In klarer Sprache geschrieben sein: Eine Policy ist nicht für Spezialisten gedacht. Diese Dokumente dürfen keine technischen Details für Produkte beinhalten, sondern generelle Verhaltensrichtlinien beinhalten, die durch jeden Mitarbeiter verstanden werden können.
- Reduziert auf die minimale Länge: Gut geschriebene Policies sind weniger als 10 Seiten lang, inklusive der Inhaltsverzeichnisses. Policies werden länger, wenn mehrere Themen vermengt werden. Aus diesem Grund ist es zu empfehlen, für jedes Thema ein eigenes Dokument anzulegen. Ein gutes Set an Policy-Dokumenten beinhaltet rund 20 Unterdokumente.
- Die Policy muss nachvollziehbar sein und die Sicherheit des Unternehmens erhöhen: Nachvollziehbarkeit erfordert das Berücksichtigen der unterschiedlichen Nutzer, Budgets, Steigerung von Komplexitäten und die Anforderungen an die Arbeit. In einer idealen Welt könnte Sicherheit vollumfänglich und transparent für den Nutzer geschehen. In der Realität muss man sich jedoch entscheiden, welche Mechanismen wirklich wichtig sind, um ein akzeptables Mass an Sicherheit erlangen zu können.
- Die Richtlinien müssen durchsetzbar sein: Es muss klar definiert sein, was akzeptiert ist und was nicht.
- Die Policy muss in regelmässigen Abständen überarbeitet werden: Neue Technologien und Risiken haben direkten Einfluss auf Security Policies, weshalb diese normalerweise in einem 5-Jahres-Rhythmus überarbeitet werden sollten.
SANS bietet eine gute Sammlung an Vorlagen an.
Zusammenfassung
Für kleinere und mittlere Unternehmen, die keine spezialisierten Teams für die Bearbeitung der IT-Security-Themen haben, kann eine Anfrage bezüglich Security Policies eine grosse Herausforderung darstellen. Oftmals wird mit Konfigurationen, Checklisten und Netzwerkschemas reagiert. Dies ist jedoch nicht das, was erforderlich ist. Security Policies sind eine Sammlung von High-Level Dokumenten, die durch Benutzer ohne erweitertes Technikverständnis nachvollzogen werden können. Sie definieren das Verhalten und den Umgang mit IT-Systemen in verschiedensten Situationen.
Über den Autor
Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.
Links