|
|
|
|
Wir erstellen in Ihrem Auftrag eine auf Ihre Bedürfnisse zugeschnittene Security Policy.
|
 Basic Check
|
|
|
Eine einheitliche Security Policy kann nur dann erfolgreich umgesetzt werden, wenn entsprechende Restriktionen bei deren Verletzung zu erwarten sind.
|
|
Inhalte der IT-Security Policy
|
|
Sicherheitsziele
|
Aussagen zu Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der Daten
Beschreibung der zu verhindernden Schäden (negative materielle Auswirkungen)
Beeinträchtigung d. Aufgabenerfüllung, Verletzung von Rechtsvorschriften u. internen Regelungen usw.
|
|
Sicherheitsgrundsätze
|
Aussagen zur Entstehung von Risiken (Anbindung an unsichere Netze, Fehlhandlungen und/oder Sabotage, Ausfall der IT- Infrastruktur und von Versorgungssystemen usw.); Definition des Schutzbedarfs für die einzelnen Unternehmensbereiche; Regeln zur Zugriffsberechtigung (Autorisierung, Identifikation und Authentisierung von Nutzern)
|
|
Sicherheitsmanagement
|
Aussagen zur Organisation des IT-Sicherheitsmanagements; Darstellung des Ablaufs des IT-Sicherheits-Prozesses (Initiierung, Konzeptionierung, Umsetzung und Betrieb); Aussagen zur Aufgabenverteilung im IT-Sicherheits-Team, zu Kontrollmechanismen, zum Sicherheitsbewusstsein sowie zu Verletzungen der IT-Sicherheitsleitlinie
|
|
Dokumentation der IT-Sicherheit
|
Darstellung von Art, Umfang und Pflege der Sicherheitsdokumentation; Verweis auf weitere Dokumente wie Handbücher, Verfahrens- und Arbeitsanweisungen
|
|
Liste der einzelnen Sicherheitskonzepte
|
etwa für Netzwerksicherheit, Objektsicherheit, Notfallvorsorge, Zugangskontrolle, Verschlüsselung, Benutzung von Netz- und mobilen Diensten
|
|
 |
|
In Bezug auf eine Firewall sollte die Security Policy folgende Festlegungen enthalten
|
|
- Was soll geschützt werden?
- Welche Dienste sind erforderlich?
- Welche Benutzer werden zugelassen?
- Welche Ereignisse werden protokolliert und wer wertet diese Daten aus?
- Welcher Datendurchsatz ist zu erwarten?
|
|
Da die Sicherheit des Gesamtsystems nicht allein von der Firewall bestimmt wird, sind in die Security Policy auch flankierende Vorgaben aufzunehmen, wie das Verbot von zusätzlichen Netzzugängen z.B. per Modem oder ISDN, Virenschutz und Backup-Konzept.
Basierend auf der Security Policy ist ein Sicherheitskonzept zu erstellen, welches die Vorgaben in konkrete Massnahmen (Konfigurationen, Filterregeln etc.) umsetzt.
|
|
Empfehlungen für den Betrieb von Firewallsystemen
|
|
|
