Wichtige Komponenten für ein Information-Security-Programm

Für Information Security Governance müssen grundlegende Punkte ins Security-Programm. Die Initiative sollte von der Geschäftsführung ausgehen.

Um Security Governance umsetzen zu können, muss man auch etwas zu regulieren haben. Das Arsenal der Kontrollen, das ein Unternehmen benötigt, nennt man im Allgemeinen ein Security-Programm.

Die Realität sieht so aus, dass man einfacher benennen kann, was nicht in einem Security-Programm ist. Die IT-Sicherheitsprogramme einer jeden Firma sind unterschiedlich, weil jedes Unternehmen mit eigenen Bedrohungen, Risiken, Business-Faktoren und Konformitäts-Anforderungen fertig werden muss. Auch wenn Security-Programme unterschiedlich sind, bestehen sie normalerweise dennoch aus den gleichen Elementen.

Die meisten Unternehmen verstehen nicht vollständig, was ein Security-Programm ist, was darin enthalten sein soll und wie man eines erstellt. Wir können uns die Best Practices der Branche ansehen, um eine Idee davon zu bekommen. Der weltweit meist genutzte Leitfaden für das Aufstellen eines Security-Programms ist die ISO/IEC-27000-Reihe.

Folgende Komponenten sollten auch in einem Security-Programm enthalten sein:

  • Informations-Security-Richtlinien für das Unternehmen: Bilden Sie die Geschäftsziele auf die IT-Sicherheit, die Unterstützung des Managements, die Security-Ziele und die Verantwortlichkeiten ab.
  • Organisatorische Sicherheit: Erschaffen und pflegen Sie eine organisatorische Security-Struktur, indem Sie ein Security-Forum und einen Security Officer einsetzen. Definieren Sie die Security-Verantwortlichkeiten, einen Autorisierungsprozess und lassen Sie das Ganze unabhängig von einem Außenstehenden überprüfen.
  • Bewertung der Aktiva und Kontrolle: Entwickeln Sie eine Security-Infrastruktur, um die Aktiva des Unternehmens bestmöglich zu schützen. Setzen Sie hier auf Verantwortung, Bestandsaufnahme, Klassifizierung und Prozeduren für die Handhabung.
  • Personenbezogene Sicherheit: Reduzieren Sie Risiken, die zwangsläufig mit menschlicher Tätigkeit verbunden sind. Überprüfen Sie Angestellte, definieren Sie Rollen und Verantwortlichkeiten, schulen Sie Mitarbeiter angemessen und dokumentieren Sie die Konsequenzen, wenn die Erwartungen nicht erfüllt werden.
  • Physische und Umgebungssicherheit: Schützen Sie die Betriebsmittel des Unternehmens, indem Sie den Standort angemessen wählen. Dann erstellen Sie einen Security-Perimeter und halten diesen instand. Implementieren Sie Zugriffskontrollen und sichern Sie das Equipment ab.
  • Kommunikations- und Betriebs-Management: Führen Sie betriebliche Sicherheit durch operative Prozeduren, angemessene Änderungskontrolle, Vorgehen bei Zwischenfällen, Trennung der Aufgaben, Kapazitäten-Planung, Netzwerk-Management und Medienhandhabung aus.
  • Zugriffskontrolle: Kontrollieren Sie Zugriff zu den Betriebsmitteln anhand der Business-Anforderungen, des Identitätsmanagements, der Authentifizierungs-Methoden und des Monitorings.
  • Systementwicklung und -wartung: Implementieren Sie Security in allen Phasen der Lebensdauer eines Systems. Wir sprechen hier von Entwicklung, Implementierung, Wartung und Entsorgung.
  • Business-Continuity-Management: Wirken Sie Störungen des Normalbetriebs entgegen, indem Sie Continuity-Planung und -Tests einsetzen.
  • Konformität: Halten Sie behördliche, vertragliche und gesetzlich vorgeschriebene Forderungen ein, indem Sie technische Kontrollmechanismen sowie System-Audits einsetzen und rechtliche Vorgaben beachten.

Ein Security-Programm sollte einen Von-Oben-Ansatz (Top-Down Approach) verfolgen. Das bedeutet, dass Initiierung, Unterstützung und Leitung von der Geschäftsleitung kommen sollten. Das Programm zieht sich dann durch das mittlere Management, bis es die Mitarbeiter erreicht. Im Gegensatz dazu ist ein Von-Unten-Ansatz eine Situation, bei der die IT-Abteilung versucht, ein Security-Programm ohne angemessene Unterstützung und Leitung vom Management auf die Beine zu stellen. Diese Vorgehensweise ist in der Regel weniger effizient, nicht breit genug angelegt und zum Scheitern verurteilt. Normalerweise liegt hier der Fokus auch komplett auf Technologie und viele der Security-Management-Kontrollen werden fehlen. Geht man von oben an die Sache heran, stellt man sicher, dass die Leute das Programm vorantreiben, die tatsächlich auch für den Schutz der Betriebsmittel zuständig sind. Wir sprechen hier natürlich von der Geschäftsleitung.

Über den Autor:

Shon Harris war Gründerin und CEO von Logical Security LLC, ein Informations-Security-Consultant, eine ehemaliger Technikerin der Einheit Air Force Information Warfare, sowie Lehrerin und Autorin. Sie arbeitete an mehreren internationalen Bestsellern über Informations-Security mitgeschrieben. Frau Harris beriet viele Unternehmen in fast allen Branchen. Dazu gehörten unter anderem Finanzbereich, Gesundheitswesen, Einzelhandel, Unterhaltung, Dienstleistung, sowie Regierungs-Behörden der USA. Frau Harris bot weltweit fortschrittliche und spezialisierte Consulting-Dienste auf höchstem Niveau an und wurde als eine der Top 25 Frauen im Bereich Informations-Security vom Magazin Informations Security herausgestellt. Shon Harris starb im Oktober 2014.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de
Close