Mit System zur IT-Sicherheitsrichtlinie

Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt.

Frage: Was beinhaltet eine Sicherheitsrichtlinie und wie kann sie mit möglichst wenig Aufwand erstellt werden?

Problem
Die Problemstellung ist klassisch: Einerseits hat die Geschäftsleitung eine aus der Unternehmensstrategie abgeleitete langfristige Security-Strategie in Form eines halb- bis mehrseitigen Dokuments abgesegnet. Andererseits wurden daraufhin im Zuge der organisatorischen Umsetzung als Sofortmassnahme Security Policies, Weisungen und Checklisten verfasst und in Kraft gesetzt. Aber der Mittelbau, die Verbindung der strategischen mit der operativen Ebene, fehlt oftmals. Diese Lücke schliesst die so genannte IT-Sicherheitsrichtlinie, ein Dokument, welches über hundert A4-Seiten umfassen kann, dafür aber sämtliche, für ein effektives und effizientes IT Security Management benötigten Bereiche abdeckt.

Das Verfassen einer IT-Sicherheitsrichtlinie mittels Konsolidierung bestehender sicherheitsrelevanter Dokumente bietet die Chance, das Informationssicherheitsmanagement nachhaltig zu verbessern, indem Widersprüche beseitigt und so genannte «weisse Flecken» auf- und anschliessend abgedeckt werden. Security Policies werden üblicherweise bezüglich Inhalt und Formulierung auf die Zielgruppe ausgerichtet. Wenn keine zentrale Koordination der Dokumente erfolgte, ist die Wahrscheinlichkeit gross, dass die Policies sich zumindest bezüglich der verwendeten Formulierungen unterscheiden. Schwerer wiegen andere potentielle Probleme - etwa, dass nicht alle Bereiche abgedeckt wurden oder sich einzelne Weisungen und Regelungen widersprechen. Widersprüche mittels eines Direktvergleichs der einzelnen Dokumente untereinander aufzudecken ist reine Fleissarbeit. Anders verhält es sich mit allfällig bestehenden weissen Flecken.

Standards
Hier kommen Standards ins Spiel. Sie können unter anderem als Checklisten dienen, um sicher zu stellen, dass keine wichtigen Aspekte vernachlässigt werden. Ein vielfach bewährter Standard ist ISO/IEC 17799, auch als «Code of practice for information security management» bekannt. Die im Juni 2005 publizierte Neuauflage ISO/IEC 17799:2005 wird voraussichtlich nach abgeschlossener Vernehmlassung durch die nationalen Normenausschüsse per 2007 zur neuen Norm ISO/IEC 27002 erklärt. Somit ist jeder gut beraten, sich bereits mit der aktuellen Version von 17799 zu beschäftigen. Sämtliche ISO-Normen können gegen Entgelt bei der Schweizerischen Normen-Vereinigung SNV (www.snv.ch) bezogen werden.

[Vorherige]  1 2 3 4  [Nächste]