Suchen

Definition Sicherheitsrichtlinien Was ist eine Security Policy?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Die Security Policy ist ein technisches oder organisatorisches Dokument, mit dem der Sicherheitsanspruch von Institutionen umgesetzt und erreicht werden soll. Die Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Informationen sind Kernbestandteile.

Sicherheitsrichtlinien dienen zur Umsetzung des IT-Sicherheitsanspruches von Institutionen.
Sicherheitsrichtlinien dienen zur Umsetzung des IT-Sicherheitsanspruches von Institutionen.
(Bild: Pixabay / CC0 )

Security Policy heißt übersetzt Sicherheitsrichtlinie und ist ein Begriff, der häufig in der Informationstechnik verwendet wird. Es handelt sich um eine Sammlung von Richtlinien, die die Informationssicherheit in Unternehmen und Organisationen gewährleisten sollen. Die Security Policy sorgt unter anderem dafür, dass der gesetzlich vorgeschriebene Schutz von Informationen einzuhalten ist. Zudem schützt die Policy die Informationen als einen wertvollen und wichtigen Bestandteil des Unternehmensvermögens.

Die Aufstellung der Sicherheitsrichtlinien erfolgt in einem Top-Down-Ansatz. Vorstand und Top-Management verabschieden die Security Policy und sind für das Delegieren der Umsetzung sowie die Einhaltung der Vorgaben verantwortlich. Alle Mitarbeiter und Unternehmensbereiche müssen die Sicherheitsrichtlinie verstehen, beachten und einhalten. Bei Verstößen sind Sanktionen durch die Geschäftsführung zu benennen und durchzusetzen. Wesentliche Ziele der Security Policy sind die Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Informationen.

Die Security-Richtlinie selbst ist ein Dokument, in dem schriftlich festgehalten ist, wie der Schutz der Informationen und IT-Betriebsmittel sichergestellt werden soll. Das Dokument unterliegt einer ständigen Aktualisierung und passt sich den Veränderungen im Unternehmen dynamisch an. Ebenfalls Bestandteil der Security Policy sind Prozeduren, mit deren Hilfe sich die Einhaltung und Wirksamkeit der Richtlinien messen und bewerten lassen. Neben organisatorischen Vorgaben können Security Policies auch konkrete technische Regeln beinhalten, die direkt für die Steuerung von IT-Komponenten wie Firewalls oder AAA-Systeme (Authentication, Authorization, Accounting) zum Einsatz kommen.

Die Ziele und Bestandteile der Sicherheitsrichtlinien

Wie bereits beschrieben, ist das Ziel der Security Policy die Informationssicherheit in allen Bereichen des Unternehmens. Die Richtlinie soll vor dem Verlust der Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit von Daten schützen. Die Überwachung der Einhaltung und Umsetzung der aufgestellten Sicherheitsvorgaben ist eine wichtige Aufgabe der Führungskräfte. Mitarbeiters sind für die konkrete Einhaltung der Policy verantwortlich. Bestandteile der Sicherheitsrichtlinien sind unter anderem die Benennung von Verantwortlichkeiten, die Auswahl und Beschreibung geeigneter Maßnahmen zur Erreichung der Ziele, Kontrollmechanismen für die Sicherheitsmaßnahmen, Konzepte für Krisen- und Notfallsituationen, Konzepte zur Sicherung von Daten und Konzepte für Schulungen von Mitarbeiter zur Informationssicherheit.

Die Sicherheits-Policy als organisatorische oder technische Richtlinie

Betrachtet man die Security Policy als eine organisatorische Richtlinie, legt sie die unternehmensweiten Sicherheitsstandards fest. Neben den Daten sollen auch die Reputation des Unternehmens und das Know-how geschützt werden. Die Richtlinie fasst die konzernweiten Hauptvorgaben auf Basis einer allgemeinen Sicherheitsarchitektur zusammen. Dazu gehören die Minimalanforderungen für sämtliche datenverarbeitenden Vorgänge im Unternehmen. Die Policy wird von der Unternehmensführung verabschiedet und ist mit den allgemeinen Zielen des Unternehmens und seiner Geschäftstätigkeit vereinbar.

Aufbauend auf dieser organisatorischen Security Policy entsteht ein Sicherheitskonzept, mit konkreten Maßnahmen wie die Konfiguration von IT-Zugängen oder von Filterregeln für Firewalls und andere IT-Security-Systeme. Auch diese konkreten technischen Maßnahmen werden oft als Security Policies bezeichnet. Es handelt sich in diesem Fall jedoch im engeren Sinn um technische Richtlinien und Vorgaben, die sich direkt umsetzen oder einspielen lassen. Die Security Policy für eine Firewall legt beispielsweise fest, wie die konkrete Konfiguration erfolgen soll, welche Zugriffsrechte erteilt werden, wie die Protokollierung aussieht oder welche Abwehrmaßnahmen die Firewall im Angriffsfall trifft. Speziell für Mitarbeiter können die technischen Security Policies Passwortvorgaben, Datensicherungsvorgaben, Vorgaben zur Verwendung externer Datenspeicher oder Vorgaben für die Nutzung von E-Mail-, Messenger- oder Chat-Anwendungen beinhalten. Weitere Sicherheitsrichtlinien für Mitarbeiter können den Umgang mit vertraulichen Informationen, die Verwendung des Internets oder den Schutz vor Viren und Schadsoftware behandeln.

(ID:44904757)

Über den Autor