07.02.2006

Aufbau eines IT-Sicherheitskonzeptes

Wie schonmal im Rahmen der Beschreibung zum Aufbau eines Telearbeitsplatzkonzeptes versprochen, hier meine paar kleinen Gedanken zum Aufbau eines IT-Sicherheitskonzeptes. (Wobei ich inzwischen aufgrund der Schulung wohl eigentlich von einem Informationssicherheitsmanagementsystem / Information Security Management System [ISMS] reden müsste.)

Zu allererst ist (natürlich? selbstverständlich?) wichtig zu beachten, das IT-Sicherheit aufgrund der aktuellen Rechtslage (KonTraG, Basel II, etc.) in den (straf-/zivilrechtlichen) Verantwortungsbereich des Managements fällt und somit eine Herzenssache sein sollte, welches durch ein entsprechendes "Commitment" gefördert werden sollte. Prinzipiell wird hierzu eine entsprechende IT-Sicherheitsrichtlinie (oder: IT Security Policy) verfasst, welche die Gründe für die Einführung einer geregelten IT-Sicherheit beinhaltet, die zu erreichenden Ziele, was der zu schützende Bereich ist (und was nicht und die Gründe dafür). Halt der "Scope" und die "Boundaries" des ISMS.

Dieses hübsche Stück Papier kann man dann zum einen intern verteilen, um eine gewisse Awareness herzustellen, das auch "da oben" etwas getan wird. Zum anderen ist diese Policy aber auch gut zur externen Nutzung geeignet, da man damit seinen Geschäftspartnern signalisiert, etwas für die eigene IT-Sicherheit und den Schutz von Informationen zu unternehmen. (Laut verschiedenen Aussagen nehmen auch Wirtschaftsprüfer dies gern als positives Zeichen und Rankingbonus. Hallo Basel II.)

Diese Policy sollte auch kurz anführen, welche Massnahmen man treffen möchte, sei es nun die Durchführung regelmässiger Datensicherungen mit Lagerung der Sicherungsmedien an einem sicheren Ort, dem Versprechen auf ein geregeltes und zügiges Patchmangement, oder die Anschaffung der "tollsten Firewall™©".

Diese Grobausführungen sollten daraufhin in internen Feinkonzepten für die im Scope enthaltenen Prozeduren/Bereiche näher ausgeführt werden. So beispielsweise ein Datensicherungskonzept, in dem detailliert das Datensicherungsverfahren beschrieben, die Lagerung der Sicherungsmedien geregelt, verwendete Software, Verantwortliche und Kontaktdaten genannt, sowie die Rücksicherungsmethodik (und die am besten Schritt für Schritt!) definiert wird. Diese können somit daraufhin auch als entsprechende Dienstanweisungen gehandhabt werden - mitsamt allen möglichen Folgen bei Verstoß gegen selbige.

Speziell beim Datensicherungskonzept sollte eine Kopie mit den Sicherungsmedien ausgelagert werden. Wenn der Serverraum z.B. ausgebrannt ist, wird es schwer, dem Ascherest als Fremder einen Sinn zu entnehmen. Für diesen Fall kann/sollte(!) man auch nochmal ein eigenständiges Notfallhandbuch erzeugen. (Das BSI hat zur Erstellung eines Notfallhandbuches eine recht gute Inhaltsbeschreibung. Dieses sollte auch in Kopie an mehreren Stellen vorliegen.)

Wenn man diese grundlegende Dokumentation hat, besitzt man selber als kleine Firma schonmal eine gute Vorstellung davon, was eigentlich bei einem selber abläuft und hat aufgrund der schriftlichen Fixierung sicher auch schon den ein oder anderen Punkt gefunden, der verbesserungswürdig erscheint. Ausserdem besitzt man damit sogar auch ein kleines IT-Sicherheitskonzept für sich selber, welches einem durchaus schon weiterhelfen vermag.

Der nächste Schritt?
ISO 27001-Konformität.

(Natürlich erhebt diese private Meinungsäusserung keinerlei Anspruch auf Vollständigkeit, Genauigkeit, alljedenZufallabdeckende Wirksamkeit oder sonstige Verantwortlichkeiten. Für ein "richtiges" ISMS mit Standardkonformität und extrem PR-freundlicher Urkunde wenden Sie sich bitte an einen Dienstleister ihrer Wahl, bevorzugt einen, der Ihnen zuhört, ihre Vorstellungen und Absichten berücksichtigt und nicht nur die neueste Hardware von Checkpoint andrehen will. Danke.)

Trackbacks

Kommentare

Harald Wagener / 07.02.2006, 23:16

Das kommt in die Mappe mit 'nützliche Infos auf zwei Seiten'. Vielen Dank.

Andreas / 07.02.2006, 23:48

Gern geschehen!
Ich muss allerdings hinzufügen, das das oben beschriebene erstmal auf (Kleinst-)Unternehmungen bis ca. 25 Mitarbeiter gemünzt ist.

An sich fehlt darin nämlich noch eine saubere Auflistung der schutzwürdigen Objekte (sei es nun als IT-Strukturanalyse gemäß BSI oder ein "inventory of assets" gemäß ISO 27001) sowie angehöriger Risikoanalyse. Ersteres hilft als Dokumentation des IST-Standes der IT-Verbundes, zweites zur Abwägung, wo man welche Löcher tolerieren (bzw. grad nicht stopfen) kann und welche dringenden Handlungsbedarf aufweisen.

Um es nochmal anders zu formulieren: Objektlisting und Risikoanalyse wurden oben nicht erwähnt, weil es im Kleinstunternehmen massiver Overkill wäre, einen Server, fünf Clients und einen Router so ausführlich zu dokumentieren, wenn die Hauptsorge darin besteht, das die Kisten länger als drei Stunden ausfallen. Für alles komplexere gehört es rein - zwangsweise.

Enrico / 01.03.2006, 16:26

Servus,
ich hab mal ne Frage? Ich muss einen Vortrag zum Thema: "IT-Sicherheitskonzept in Unternehmen oder Behörden" vorbereiten. Könnten sie mir zu dem Thema evtl. Hinweise bezüglich einer Gliederung geben? Was ist besonders wichtig?
Danke im Voraus für ihre Hilfe

Andreas / 01.03.2006, 20:37

Hallo Enrico,

kein Problem, Fragen hilft. Wenn man sich traut, welche zu stellen ;-)

Ich habe jetzt ad hoc natürlich keine Ahnung von den Rahmenbedingungen, gehe aber von einer entsprechenden Ausarbeitung für's Studium aus.

Was meiner Meinung(!) nach reingehören sollte, ist:

- Motivation für IT-Sicherheit. Was bedingt diese? Welche gesetzlichen Gründe gibt es? Welche Schwerpunkte setzen diese?

- Welche Standards gibt es, an denen man sich orientieren oder gar zertifizieren kann? Was sind die Unterschiede zwischen diesen? Gibt es grössere Umwälzungen derzeit?

- dann würde ich mich auf einen Standard festlegen, und diesen (beispielhaft) durchkauen. Was sind die Anforderungen durch den Standard, was wird durch diesen erreicht, was kann ich am Ende damit aussagen?

- Ggf. eine (versuchte) Analyse bzw. Bewertung, was man daran [gut|schlecht] findet.

- Aussicht.

Ich hätte jetzt eine Menge Stichworte hier einwerfen können, aber ein bisschen Eigenleistung soll ja erhalten bleiben ;-)
Aber vieles an Startpunkten ist z.B. in meinem Wiki zu finden. Und bitte auf keinen Fall Text von dort ohne Quellenangabe übernehmen. Zum einen hab ich ein relativ markantes Geschwurbsel, zum anderen findet mich google - und damit auch die bewertende Person.

Falls weitere Fragen sind, ruhig einfach anmailen. Und über eine Kopie des Endergebnisses würde ich mich sehr freuen :-)

Viele Grüße
Andreas

Enrico / 02.03.2006, 15:04

Vielen Dank für die schnelle Antwort!
Stimmt genau, soll eine Seminararbeit für's Studium werden.
Noch mehr Stichworte wären mir ehrlich gesagt sehr recht :), an Eigeninitiative soll es trotzdem nicht mangeln!
Ich bin gerne bereit, ihnen eine Kopie der Endfassung zu schicken. Dazu bedarf es allerdings noch ein wenig Zeit.
Viele Grüße
Enrico

Andreas / 02.03.2006, 20:36

Na, nicht mal die Suchfunktion des Wikis genutzt? *tssss*

Also, dann verweise ich hiermit auf den Unterteil DaWiki ( Das wiki wurde Anfang 2007 deaktiviert, A.R. ), in dem der grösste Teil meiner Diplomarbeit zu dem Thema liegt. Allein die Übersicht sollte schon genug Stichworte liefern.

Zu beachten jedoch ist, das der Sachstand von Ende 2004 ist. IT-Grundschutz wurde neuerdings (Jahreswechsel 05/06) frisch umgekrempelt, um "ISO 27001-konform" zu werden.

Das wäre vermutlich auch eher ein gutes Untersuchungsziel - also ISO 27001 - da er ja frisch released wurde und als "Nachfolger" von BS 7799-2 auch über eine grössere Verbreitung besitzt.

Bei dem dort auftauchenden Stichwort Risikomanagement könnte es vll. auch interessant sein, ein paar entsprechende RM-Methodiken wie OCTAVE anzusprechen/zu kommentieren/prüfen.

Das sollte erstmal wieder ein ganzes Stück helfen ;-)
Andreas

Evi / 02.11.2009, 10:41

Hallo,
dieser Eintrag ist echt lange her und vielleicht auch gar nicht mehr aktiv. Aber ich sitze an dem gleichen Thema und finde keinen Einstieg. Ist auch für Studienzwecke...
Sie haben oben etwas von Ihrer Diplomarbeit erwähnt: "Also, dann verweise ich hiermit auf den Unterteil DaWiki ( Das wiki wurde Anfang 2007 deaktiviert, A.R. ), in dem der grösste Teil meiner Diplomarbeit zu dem Thema liegt. Allein die Übersicht sollte schon genug Stichworte liefern."
Leider finde ich nicht, was Sie damit meine.
Vielleicht können Sie mir weiterhelfen.
Vielen Dank im Vorraus und viele Grüße

Andreas / 02.11.2009, 12:55

I quote myself: "Das wiki wurde Anfang 2007 deaktiviert, A.R."
Das dann nichts zu finden ist, überrascht wenig, nicht?

Ansonsten: hilft die initiale Antwort an Enrico mit der Grobstruktur nicht für einen Ansatz? Oder gibt es spezielle Bereiche, wo Hilfe von Nöten ist?


[←neuere Einträge] [ältere Einträge→]