1. Haben Sie eine dokumentierte Sicherheitsrichtlinie (security plicy)?
  2. Werden die Zugriffsrechte in der Organisation in Übereinstimmung mit den bestehenden Sicherheitsrichtlinien und geschäftlichen Anforderungen umgesetzt?
  3. Welche Methoden werden verwendet um Assets zu schützen?
  4. Gibt es einen dokumentierten Disaster-Recovery-Plan?
  5. Sind Ihre Mitarbeiter mit den bestehenden Sicherheitsrichtlinien und deren Umsetzung vertraut?


Haben Sie eine dokumentierte Sicherheitsrichtlinie (security plicy)?  

Eine Sicherheitsrichtlinie (auch Sicherheitsleitlinie, Sicherheitspolitik) beschreibt den erstrebten Sicherheitsanspruch einer Institution (Behörde, Unternehmen, Verband etc.). Mit Sicherheit ist hier in der Regel Informationssicherheit gemeint. Die Schwerpunkte liegen dabei heute im Bereich der elektronischen Datenverarbeitung und den damit einhergehenden Sicherheitsanforderungen. Hierbei liegt die Annahme bzw. Tatsache zugrunde, dass Informationen per se einen Wert darstellen bzw. ihr Schutz per Gesetz oder Verordnung gefordert ist.

Im Rahmen der Informationssicherheit lässt sich Sinn und Zweck einer Sicherheitsrichtlinie umfassend mit der Sicherstellung von Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität (VIVA) der Informationen beschreiben. Die Sicherheitsrichtlinie wird von der Leitung der Institution, in Unternehmen also vom Vorstand bzw. von der Geschäftsleitung verabschiedet und vorgelebt. Sie muss von allen Mitgliedern der Institution zur Kenntnis genommen, verstanden und beachtet werden. Zuwiderhandlungen werden soweit möglich sanktioniert.

Inhalt

Eine Sicherheitsrichtlinie definiert die von der Institution gewählten Ziele zur Informationssicherheit sowie die verfolgte Informationssicherheitsstrategie. Auflistung der wesentlichen Inhalte (ohne Anspruch auf Vollständigkeit):

  • Stellenwert der Informationssicherheit und Bedeutung der IT (Informationstechnologie) für die Aufgabenerfüllung
  • Benennung der Sicherheitsziele und Beschreibung der Sicherheitsstrategie
  • Beschreibung der Organisationsstruktur
  • Zusicherung, dass die Sicherheitsrichtlinie von der Leitungsebene durchgesetzt wird und Verstöße soweit möglich sanktioniert werden
  • Aussagen zur periodischen Überprüfung der Sicherheitsmaßnahmen
  • Aussagen zu Programmen zur Förderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaßnahmen (Erhalt und Förderung der Awareness)
  • Verantwortlichkeiten im Informationssicherheitsprozess

(Quelle: Wikipedia, https://de.wikipedia.org/wiki/Sicherheitsrichtlinie)

 

Werden die Zugriffsrechte in der Organisation in Übereinstimmung mit den bestehenden Sicherheitsrichtlinien und geschäftlichen Anforderungen umgesetzt?

Da ein Mangel an Kontrolle der Zugriffsrechte ein Sicherheitsrisiko darstellt, muss ein Unternehmen nachweisen können, dass alle Zugriffsberechtigungen in Übereinstimmung mit den bestehenden Sicherheitsrichtlinien und Anforderungen an die Mitarbeiter gewährt werden.

Hier muß nicht nur festgelegt sein Wer Zugriff Worauf (und Warum) hat, sondern auch die Möglichkeit beschrieben sein wie mißbräuchliche Zugriffe festgestellt werden können

 

Welche Methoden werden verwendet um Assets zu schützen?

Meist erfolgt eine Konzentration alleine auf den Schutz sensibler Daten (z.B. vertrauliche Kundendaten). Ein Unternehmen sollte aber eine ausgearbeitete Dokumentation über die Methoden der Datenklassifizierung und Zugriffsregelung besitzen, und nachweisen können, dass ihre wertvollsten Assets nicht allzuleicht kompromitiert werden können.

 

Gibt es einen dokumentierten Disaster-Recovery-Plan?

Ein gut strukturierter, klar verständlicher und praktikabler Notfallplan, der Maßnahmen im Falle einer Sicherheitsverletzung beschreibt sollte im Unternehmen vorhanden sein.
Ein Disaster-Recovery-Plan enthält Informationen über Rollen und Zuständigkeiten der Mitarbeiter, welche Schritte im Falle einer Sicherheitsverletzung durchzuführen sind um Datenlecks zu stoppen und ihre negativen Auswirkungen zu minimieren.
Eine Sicherheitsverletzung muß nicht immer ein unbefugter Zugriff sein, sondern kann auch der Ausfall eines Systems, Servers, Services, oder ähnliches sein.

 

Sind Ihre Mitarbeiter mit den bestehenden Sicherheitsrichtlinien und deren Umsetzung vertraut?

Die Praxis zeigt, dass es besonders wichtig ist, dass alle Mitarbeiter die vorgegebenen Sicherheitsrichtlinien einhalten. Wünschenwerterweise sollten technische Einrichtungen diese Einhaltung unterstützen.
Ein Unternehmen sollte auch nachweisen können in welcher Weise, Wie und Wann die Mitarbeiter unterwiesen und über die aktuell bestehenden Sicherheitsrichtlinien informiert wurden.