Definition Sicherheitsrichtlinien

Was ist eine Security Policy?

| Autor / Redakteur: Tutanch / Peter Schmitz

Sicherheitsrichtlinien dienen zur Umsetzung des IT-Sicherheitsanspruches von Institutionen.
Sicherheitsrichtlinien dienen zur Umsetzung des IT-Sicherheitsanspruches von Institutionen. (Bild: Pixabay / CC0)

Die Security Policy ist ein technisches oder organisatorisches Dokument, mit dem der Sicherheitsanspruch von Institutionen umgesetzt und erreicht werden soll. Die Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Informationen sind Kernbestandteile.

Security Policy heißt übersetzt Sicherheitsrichtlinie und ist ein Begriff, der häufig in der Informationstechnik verwendet wird. Es handelt sich um eine Sammlung von Richtlinien, die die Informationssicherheit in Unternehmen und Organisationen gewährleisten sollen. Die Security Policy sorgt unter anderem dafür, dass der gesetzlich vorgeschriebene Schutz von Informationen einzuhalten ist. Zudem schützt die Policy die Informationen als einen wertvollen und wichtigen Bestandteil des Unternehmensvermögens.

Die Aufstellung der Sicherheitsrichtlinien erfolgt in einem Top-Down-Ansatz. Vorstand und Top-Management verabschieden die Security Policy und sind für das Delegieren der Umsetzung sowie die Einhaltung der Vorgaben verantwortlich. Alle Mitarbeiter und Unternehmensbereiche müssen die Sicherheitsrichtlinie verstehen, beachten und einhalten. Bei Verstößen sind Sanktionen durch die Geschäftsführung zu benennen und durchzusetzen. Wesentliche Ziele der Security Policy sind die Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Informationen.

Die Security-Richtlinie selbst ist ein Dokument, in dem schriftlich festgehalten ist, wie der Schutz der Informationen und IT-Betriebsmittel sichergestellt werden soll. Das Dokument unterliegt einer ständigen Aktualisierung und passt sich den Veränderungen im Unternehmen dynamisch an. Ebenfalls Bestandteil der Security Policy sind Prozeduren, mit deren Hilfe sich die Einhaltung und Wirksamkeit der Richtlinien messen und bewerten lassen. Neben organisatorischen Vorgaben können Security Policies auch konkrete technische Regeln beinhalten, die direkt für die Steuerung von IT-Komponenten wie Firewalls oder AAA-Systeme (Authentication, Authorization, Accounting) zum Einsatz kommen.

Die Ziele und Bestandteile der Sicherheitsrichtlinien

Wie bereits beschrieben, ist das Ziel der Security Policy die Informationssicherheit in allen Bereichen des Unternehmens. Die Richtlinie soll vor dem Verlust der Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit von Daten schützen. Die Überwachung der Einhaltung und Umsetzung der aufgestellten Sicherheitsvorgaben ist eine wichtige Aufgabe der Führungskräfte. Mitarbeiters sind für die konkrete Einhaltung der Policy verantwortlich. Bestandteile der Sicherheitsrichtlinien sind unter anderem die Benennung von Verantwortlichkeiten, die Auswahl und Beschreibung geeigneter Maßnahmen zur Erreichung der Ziele, Kontrollmechanismen für die Sicherheitsmaßnahmen, Konzepte für Krisen- und Notfallsituationen, Konzepte zur Sicherung von Daten und Konzepte für Schulungen von Mitarbeiter zur Informationssicherheit.

Die Sicherheits-Policy als organisatorische oder technische Richtlinie

Betrachtet man die Security Policy als eine organisatorische Richtlinie, legt sie die unternehmensweiten Sicherheitsstandards fest. Neben den Daten sollen auch die Reputation des Unternehmens und das Know-how geschützt werden. Die Richtlinie fasst die konzernweiten Hauptvorgaben auf Basis einer allgemeinen Sicherheitsarchitektur zusammen. Dazu gehören die Minimalanforderungen für sämtliche datenverarbeitenden Vorgänge im Unternehmen. Die Policy wird von der Unternehmensführung verabschiedet und ist mit den allgemeinen Zielen des Unternehmens und seiner Geschäftstätigkeit vereinbar.

Aufbauend auf dieser organisatorischen Security Policy entsteht ein Sicherheitskonzept, mit konkreten Maßnahmen wie die Konfiguration von IT-Zugängen oder von Filterregeln für Firewalls und andere IT-Security-Systeme. Auch diese konkreten technischen Maßnahmen werden oft als Security Policies bezeichnet. Es handelt sich in diesem Fall jedoch im engeren Sinn um technische Richtlinien und Vorgaben, die sich direkt umsetzen oder einspielen lassen. Die Security Policy für eine Firewall legt beispielsweise fest, wie die konkrete Konfiguration erfolgen soll, welche Zugriffsrechte erteilt werden, wie die Protokollierung aussieht oder welche Abwehrmaßnahmen die Firewall im Angriffsfall trifft. Speziell für Mitarbeiter können die technischen Security Policies Passwortvorgaben, Datensicherungsvorgaben, Vorgaben zur Verwendung externer Datenspeicher oder Vorgaben für die Nutzung von E-Mail-, Messenger- oder Chat-Anwendungen beinhalten. Weitere Sicherheitsrichtlinien für Mitarbeiter können den Umgang mit vertraulichen Informationen, die Verwendung des Internets oder den Schutz vor Viren und Schadsoftware behandeln.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Dynamische Richtlinien gegen komplexe Cyber-Attacken

Neues eBook „Security Policy Management“

Dynamische Richtlinien gegen komplexe Cyber-Attacken

IT-Sicherheitsrichtlinien sind mehr als die Grundlage der Sicherheitsunterweisung für Mitarbeiterinnen und Mitarbeiter. Auch Security-Lösungen brauchen Policies, um Angriffe erkennen und abwehren zu können. Das neue eBook zeigt, wie diese Policies beschaffen sein müssen. lesen

Wie Leistungsdaten Teil der Sicherheitsstrategie werden

Performance Monitoring und Security

Wie Leistungsdaten Teil der Sicherheitsstrategie werden

Das Erfassen von Leistungsmessdaten im Rechenzentrum ist ein wichtiger Schritt zu mehr Sicherheit. Durch Abweichungen vom „Normalzustand“ können Sicherheitsrisiken schneller identifiziert werden. Cyberangriffe sind eine dauerhafte Bedrohung für IT-Systeme, deshalb ist die Verwendung von Performance-Messdaten in Rechenzentren als Grundlage für eine umfassende Sicherheitsrichtlinie extrem wichtig. lesen

Adminfreundliche Firewall für Industrie-Netzwerke

Im Test: Stormshield SNi40

Adminfreundliche Firewall für Industrie-Netzwerke

Industrielle Anlagen sind durch direkte Internet-Anbindung und TCP/IP-Integration heute viel größeren Risiken ausgesetzt als früher. Oft müssen sich die IT-Administratoren der Unternehmen jetzt auch um die Absicherung dieses Netzwerkbereichs kümmern. Deswegen werden viele froh sein, wenn sie für den Industriebereich eine Lösung einsetzen können, die sie aus der Absicherung ihrer IT-Netze bereits kennen – zum Beispiel Stormshields SNi40. lesen

Skalierbare Next Generation Firewall von Cisco

Cisco Firepower 2100

Skalierbare Next Generation Firewall von Cisco

Mit der Cisco Firepower 2100 Next-Generation Firewall (NGFW) Serie stellt das Unternehmen eine neue skalierbare Architektur vor, die Engpässe vermeiden und eine höhere Effizienz dank verbesserter Management-Tools bieten soll. lesen

6 Einstellungen die man beim Edge-Browser betrachten sollte

Datenschutz und Sicherheit

6 Einstellungen die man beim Edge-Browser betrachten sollte

Windows 10 bringt den Microsoft Edge-Browser als sicheren Ersatz für den altgedienten Internet Explorer. Für mehr Privatsphäre und bessere Sicherheit bei der Nutzung des neuen Microsoft-Browsers müssen Anwender allerdings ein paar wichtige Einstellungen beachten. lesen

KasperskyOS ab sofort verfügbar

Sicheres Betriebssystem für Embedded-Systeme

KasperskyOS ab sofort verfügbar

KasperskyOS ist ein Betriebssystem, das für Embedded-Systeme mit strikten Cybersicherheitsanforderungen entwickelt wurde. KasperskyOS reduziert die Wahrscheinlichkeit nicht dokumentierter Funktionalität und vermindert so das Risiko von Cyberattacken. lesen

Ist ihre Firewall veraltet?

Netzwerksicherheit

Ist ihre Firewall veraltet?

Es vergeht nahezu kein Tag ohne Schlagzeilen über die neue Datenlecks oder Hacking-Skandale. Dennoch glauben viele Unternehmen, sie seien gut für die unterschiedlichen IT-Sicherheitsrisiken gerüstet, die sie bedrohen. Doch die Realität sieht wahrscheinlich etwas anders aus. lesen

Mobile Sicherheitsvorfälle führen zu Schäden in sechsstelliger Höhe

IDC Mobile Security in Deutschland 2017

Mobile Sicherheitsvorfälle führen zu Schäden in sechsstelliger Höhe

Die Sicherheitslage in Bezug auf mobile Technologien hat sich gegenüber 2015 weiter verschärft, das zeigt die neue IDC Studie "Mobile Security in Deutschland 2017. Auch die Datenschutz-Grundverordnung wirft ihren Schatten voraus, drei Viertel der befragten Unternehmen bereiten sich nach eigenen Angaben derzeit auf die neuen Datenschutzvorgaben vor lesen

Eine Self Organizing Map hilft bei der Prävention von Cyber-Angriffen

Cyber-Sicherheit der nächsten Datacenter-Generation

Eine Self Organizing Map hilft bei der Prävention von Cyber-Angriffen

Bei Cyber-Angriffen kommt heute eine zunehmend anspruchsvollere Reihe von Techniken zum Einsatz. Automatisierung und maschinelles Lernen sind die Trends bei der Cyber-Sicherheit für Rechenzentren. Sie helfen bei der Prävention, dem ultimativen Schutz. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44904757 / Definitionen)