Definition Sicherheitsrichtlinien

Was ist eine Security Policy?

| Autor / Redakteur: Tutanch / Peter Schmitz

Sicherheitsrichtlinien dienen zur Umsetzung des IT-Sicherheitsanspruches von Institutionen.
Sicherheitsrichtlinien dienen zur Umsetzung des IT-Sicherheitsanspruches von Institutionen. (Bild: Pixabay / CC0)

Die Security Policy ist ein technisches oder organisatorisches Dokument, mit dem der Sicherheitsanspruch von Institutionen umgesetzt und erreicht werden soll. Die Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Informationen sind Kernbestandteile.

Security Policy heißt übersetzt Sicherheitsrichtlinie und ist ein Begriff, der häufig in der Informationstechnik verwendet wird. Es handelt sich um eine Sammlung von Richtlinien, die die Informationssicherheit in Unternehmen und Organisationen gewährleisten sollen. Die Security Policy sorgt unter anderem dafür, dass der gesetzlich vorgeschriebene Schutz von Informationen einzuhalten ist. Zudem schützt die Policy die Informationen als einen wertvollen und wichtigen Bestandteil des Unternehmensvermögens.

Die Aufstellung der Sicherheitsrichtlinien erfolgt in einem Top-Down-Ansatz. Vorstand und Top-Management verabschieden die Security Policy und sind für das Delegieren der Umsetzung sowie die Einhaltung der Vorgaben verantwortlich. Alle Mitarbeiter und Unternehmensbereiche müssen die Sicherheitsrichtlinie verstehen, beachten und einhalten. Bei Verstößen sind Sanktionen durch die Geschäftsführung zu benennen und durchzusetzen. Wesentliche Ziele der Security Policy sind die Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Informationen.

Die Security-Richtlinie selbst ist ein Dokument, in dem schriftlich festgehalten ist, wie der Schutz der Informationen und IT-Betriebsmittel sichergestellt werden soll. Das Dokument unterliegt einer ständigen Aktualisierung und passt sich den Veränderungen im Unternehmen dynamisch an. Ebenfalls Bestandteil der Security Policy sind Prozeduren, mit deren Hilfe sich die Einhaltung und Wirksamkeit der Richtlinien messen und bewerten lassen. Neben organisatorischen Vorgaben können Security Policies auch konkrete technische Regeln beinhalten, die direkt für die Steuerung von IT-Komponenten wie Firewalls oder AAA-Systeme (Authentication, Authorization, Accounting) zum Einsatz kommen.

Die Ziele und Bestandteile der Sicherheitsrichtlinien

Wie bereits beschrieben, ist das Ziel der Security Policy die Informationssicherheit in allen Bereichen des Unternehmens. Die Richtlinie soll vor dem Verlust der Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit von Daten schützen. Die Überwachung der Einhaltung und Umsetzung der aufgestellten Sicherheitsvorgaben ist eine wichtige Aufgabe der Führungskräfte. Mitarbeiters sind für die konkrete Einhaltung der Policy verantwortlich. Bestandteile der Sicherheitsrichtlinien sind unter anderem die Benennung von Verantwortlichkeiten, die Auswahl und Beschreibung geeigneter Maßnahmen zur Erreichung der Ziele, Kontrollmechanismen für die Sicherheitsmaßnahmen, Konzepte für Krisen- und Notfallsituationen, Konzepte zur Sicherung von Daten und Konzepte für Schulungen von Mitarbeiter zur Informationssicherheit.

Die Sicherheits-Policy als organisatorische oder technische Richtlinie

Betrachtet man die Security Policy als eine organisatorische Richtlinie, legt sie die unternehmensweiten Sicherheitsstandards fest. Neben den Daten sollen auch die Reputation des Unternehmens und das Know-how geschützt werden. Die Richtlinie fasst die konzernweiten Hauptvorgaben auf Basis einer allgemeinen Sicherheitsarchitektur zusammen. Dazu gehören die Minimalanforderungen für sämtliche datenverarbeitenden Vorgänge im Unternehmen. Die Policy wird von der Unternehmensführung verabschiedet und ist mit den allgemeinen Zielen des Unternehmens und seiner Geschäftstätigkeit vereinbar.

Aufbauend auf dieser organisatorischen Security Policy entsteht ein Sicherheitskonzept, mit konkreten Maßnahmen wie die Konfiguration von IT-Zugängen oder von Filterregeln für Firewalls und andere IT-Security-Systeme. Auch diese konkreten technischen Maßnahmen werden oft als Security Policies bezeichnet. Es handelt sich in diesem Fall jedoch im engeren Sinn um technische Richtlinien und Vorgaben, die sich direkt umsetzen oder einspielen lassen. Die Security Policy für eine Firewall legt beispielsweise fest, wie die konkrete Konfiguration erfolgen soll, welche Zugriffsrechte erteilt werden, wie die Protokollierung aussieht oder welche Abwehrmaßnahmen die Firewall im Angriffsfall trifft. Speziell für Mitarbeiter können die technischen Security Policies Passwortvorgaben, Datensicherungsvorgaben, Vorgaben zur Verwendung externer Datenspeicher oder Vorgaben für die Nutzung von E-Mail-, Messenger- oder Chat-Anwendungen beinhalten. Weitere Sicherheitsrichtlinien für Mitarbeiter können den Umgang mit vertraulichen Informationen, die Verwendung des Internets oder den Schutz vor Viren und Schadsoftware behandeln.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

HTTPS mit TLS 1.3 in der Praxis

Transportverschlüsselung Teil 3

HTTPS mit TLS 1.3 in der Praxis

Wem die Sicherheit von HTTPS-Verbindungen am Herzen liegt, der ist gut beraten, die TLS-Konfiguration zu überdenken, denn ohne eine moderne Transportverschlüsselung sind gute Vorsätze beim Datenschutz nur ein Papiertiger. Zwar ist TLS 1.3 nun offiziell aus den Startlöchern, aber die Implementierung ist leider voller Tücken und Überraschungen. lesen

Windows Defender Firewall steuern mit Gruppenrichtlinien

Video-Tipp: Windows Defender Firewall

Windows Defender Firewall steuern mit Gruppenrichtlinien

Mit der Windows Defender Firewall in Windows 10 und Windows Server 2016 lassen sich über Regeln Anwendungen und Datenverkehr im Netzwerk blockieren. Administratoren können die Regeln lokal setzen, aber auch über Gruppenrichtlinien. Dadurch lassen sich die Regeln dann auf mehrere Rechner verteilen. Wie das genau funktioniert zeigen wir in diesem Video-Tipp. lesen

Was Energieversorger für die DSGVO noch tun müssen

Datenschutz-Grundverordnung im Mittelstand

Was Energieversorger für die DSGVO noch tun müssen

Die Datenschutzdebatte rund um Smart Metering ist nur ein Beispiel dafür, dass bei Energieversorgern der Datenschutz eine große Rolle spielen muss. Die Datenschutz-Grundverordnung (DSGVO / GDPR) hält weitere Beispiele bereit, darunter die Sicherheit der Datenverarbeitung. Für Versorger besteht deshalb dringender Handlungsbedarf, auch über den 25. Mai 2018 hinaus. lesen

Eco-Leitfaden unterstützt Provider im Umgang mit Ermittlungsbeamten

Eurocloud: Durchsuchung ist wichtiges Element der IT-Security-Policy

Eco-Leitfaden unterstützt Provider im Umgang mit Ermittlungsbeamten

Es passiert zwar nicht oft, aber immer unverhofft: Staatsanwaltliche Ermittlungen können jeden IT-, Daten- und Service-Provider treffen. Für diese, so teilt der Branchenverband Eurocloud Deutschland_eco e. V. mit, ist es ein Balanceakt zwischen Kooperation und Verpflichtungen gegenüber den Kunden. Gemeinsam mit der Sozietät Derra, Meyer & Partner Rechtsanwälte hat er dazu einen Leitfaden herausgegeben. lesen

Intent-based Networking bzw. absichtsbasierte Vernetzung

Automatisierung des Netzwerk-Managements

Intent-based Networking bzw. absichtsbasierte Vernetzung

In den letzten Monaten hat sich das Intent-based Networking (IBN), also die absichtsbasierte Vernetzung, als zukunftsfähige Technologie erwiesen, mit der das traditionelle Netzwerk-Management weiter automatisiert werden soll. Zwar gib es das IBN-Konzept bereits seit einigen Jahren, so richtig vorwärts geht es für die Intent-based Networking Services (IBNS) jedoch erst, seit Cisco im letzten Jahr das erste Softwarepaket für IBN einführte. lesen

Das SIEM als Feuermelder der IT

Ohne Monitoring geht es nicht!

Das SIEM als Feuermelder der IT

Ein Security Information and Event Management (SIEM) ist wie ein Feuermelder in der IT: Es schlägt bei verdächtigen Vorfällen Alarm. So können Sicherheitsverantwortliche Maßnahmen ergreifen, bevor großer Schaden entsteht. lesen

Grundlagen der Web Application Firewalls

Umfassender Schutz für Web-Anwendungen

Grundlagen der Web Application Firewalls

Eine Web Application Firewall (WAF) überwacht und schützt Webanwendungen, die über das HTTP-Protokoll arbeiten. Eine WAF arbeitet regelbasiert, um Angriffsarten wie zum Beispiel Cross Site Scripting (XSS), Angriffe oder SSL-Injections abzuwehren oder aktuelle Applikationen vor neu entdeckten Sicherheitslücken mittels virtueller Patches zu schützen. lesen

USB-Speicher im Unternehmenseinsatz

USB-Device-Management

USB-Speicher im Unternehmenseinsatz

USB-Sticks – Von Anwendern geliebt, von Administratoren und IT-Verantwortlichen aufgrund der Sicherheitsrisiken jedoch oft gehasst: USB-Speicher sind aus dem beruflichen Alltag nicht mehr wegzudenken. Ein zentrales USB-Device-Management kann für die notwendige Kontrolle sorgen. lesen

Sensible Daten in der Cloud schützen

Verschlüsselung ist das A und O

Sensible Daten in der Cloud schützen

Angesichts der klaren Vorteile, die Cloud Computing bietet, ist es bemerkenswert, dass nicht mehr Unternehmen diese Art der datengesteuerten IT-Services für ihre Angestellten bereitstellen. Schließlich sind die Investitionen in Technologie gering, die HR-Ausgaben für das IT-Personal reduzieren sich, und Angestellte nutzen die aktuellen IT-Lösungen. Trotzdem haben viele Organisationen weiterhin Sicherheitsbedenken beim Umgang mit der Cloud. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44904757 / Definitionen)