Bundesamt für Sicherheit in der Informationstechnik

M 2.338 Erstellung von zielgruppengerechten Sicherheitsrichtlinien

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Zielgruppengerechte Vermittlung von Sicherheitsthemen

Ein wichtiger Erfolgsfaktor für die Erreichung eines angemessenen Sicherheitsniveaus sind verantwortungsbewusste und kompetente Mitarbeiter, die koordiniert zusammenarbeiten. Dabei bringen Management, IT-Benutzer, Administratoren und Sicherheitsexperten sehr individuelle fachliche Voraussetzungen mit und nehmen unterschiedliche Aufgaben wahr. Während die Unternehmens- bzw. Behördenleitung die Gesamtverantwortung trägt, Ziele vorgibt und Rahmenbedingungen definiert, müssen Administratoren technisch hochqualifiziert sein und Detailwissen besitzen, um Systeme bedienen und sicher konfigurieren zu können.

Sicherheitsverantwortliche sind mit den IT-Grundschutz-Katalogen in der Lage, ein ganzheitliches Sicherheitskonzept zu erstellen. Dieses wird oftmals viele Seiten umfassen, wenn alle Bereiche der Informationssicherheit damit abgedeckt werden sollen. Die zielgruppengerechte Aufbereitung und Vermittlung der Inhalte des Sicherheitskonzepts ist eine wichtige Aufgabe des Sicherheitsmanagements. Das Ziel ist, dass alle Mitarbeiter die sie und ihren Arbeitsbereich betreffenden Sicherheitsaspekte kennen und beachten.

Es empfiehlt sich daher, unterschiedliche Sicherheitsrichtlinien oder ausführliche Teilkonzepte zu erstellen, die einzelne Sicherheitsthemen bedarfsgerecht darstellen. Damit erhalten Mitarbeiter genau die Informationen, die sie zu einem bestimmten Thema wirklich benötigen.

Separate Sicherheitsrichtlinien für IT-Systeme oder Dienstleistungen, die sich in einem sicherheitskritischen Bereich befinden, deren Konfiguration kompliziert ist oder deren Anwendung komplex ist, können technische Anweisungen für Administratoren enthalten, die nicht allgemein verständlich sind. In den Dokumenten für die Mitarbeiter sollten Sicherheitsthemen dagegen angemessen aufbereitet und nicht mit unnötigen Details versehen sein.

Hierarchischer Aufbau von Richtlinien

Bei der Formulierung von Richtlinien hat es sich bewährt, auf verschiedenen Ebenen zu arbeiten.

Zunächst sollten in der ersten Ebene kurz und prägnant die allgemeinen Sicherheitsziele und die Sicherheitsstrategie in einer Leitlinie zur Informationssicherheit formuliert werden (siehe M 2.192 Erstellung einer Leitlinie zur Informationssicherheit ). Die Strategie enthält keine technischen Details und wird vom Management verabschiedet. In der nächsten Ebene sollten hieraus grundlegende technische Sicherheitsanforderungen abgeleitet werden.

Zur allgemeinen Sicherheitskonzeption gehören Dokumente, die verschiedene Aspekte der Informationssicherheit beschreiben (z. B. eine Richtlinie zur Internetnutzung oder ein Virenschutzkonzept), ohne auf konkrete Produkte einzugehen.

In der dritten Ebene werden technische Details, konkrete Maßnahmen und produktspezifische Einstellungen beschrieben. Sie enthält viele Dokumente, die regelmäßig geändert und typischerweise nur von den zuständigen Experten gelesen werden.

Die nachstehende Abbildung stellt den hier beschriebenen Aufbau graphisch dar.

Inhalt von speziellen Sicherheitsrichtlinien

Folgende Themen eignen sich beispielsweise zur zielgruppengerechten Aufbereitung in spezielle Sicherheitsrichtlinien:

Sicherheitsrichtlinie zur IT-Nutzung

Oft empfiehlt es sich, die allgemeinen Zielvorgaben der Leitlinie zur Informationssicherheit in einer Sicherheitsrichtlinie zur IT-Nutzung zu konkretisieren und die wichtigsten organisationsweiten Maßnahmen des Sicherheitskonzeptes allgemeinverständlich, ohne technische Details, in einer Richtlinie zusammenzufassen. Diese Richtlinie beschreibt die Grundzüge der organisationsweiten IT-Nutzung und führt die Mitarbeiter durch das Sicherheitskonzept.

Folgende Themen könnten in einer allgemeinen Sicherheitsrichtlinie zur IT-Nutzung behandelt werden:

  • Umgang mit schützenswerten Informationen (Festlegung von Informationseigentümern, Pflicht zur Klassifizierung von Informationen nach Schutzbedürftigkeit)
  • relevante Gesetze und Vorgaben
  • Kurzbeschreibung wichtiger Rollen (z. B. IT-Sicherheitsbeauftragter, Administrator, Benutzer)
  • Ausbildung des Personals
  • Pflicht zur Einrichtung von Vertretungsregelungen
  • Anforderungen an die Verwaltung von IT (Beschaffung, Einsatz, Wartung, Revision und Entsorgung)
  • grundlegende Sicherheitsmaßnahmen (Zutritt zu Räumen und Zugang zu IT-Systemen, Verschlüsselung, Virenschutz, Datensicherung, Notfallvorsorge)
  • Regelungen für spezifische IT-Dienste (Datenübertragung, Internetnutzung)

Das BSI stellt auf seinen Webseiten im Bereich IT-Grundschutz verschiedene Musterrichtlinien und -konzepte als Beispiele zur Verfügung.

Prüffragen:

  • Sind Sicherheitsrichtlinien zielgruppenorientiert erstellt, indem sie bedarfsgerecht die relevanten Sicherheitsthemen darstellen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK