Definition Sicherheitsrichtlinien

Was ist eine Security Policy?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Sicherheitsrichtlinien dienen zur Umsetzung des IT-Sicherheitsanspruches von Institutionen.
Sicherheitsrichtlinien dienen zur Umsetzung des IT-Sicherheitsanspruches von Institutionen. (Bild: Pixabay / CC0)

Die Security Policy ist ein technisches oder organisatorisches Dokument, mit dem der Sicherheitsanspruch von Institutionen umgesetzt und erreicht werden soll. Die Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Informationen sind Kernbestandteile.

Security Policy heißt übersetzt Sicherheitsrichtlinie und ist ein Begriff, der häufig in der Informationstechnik verwendet wird. Es handelt sich um eine Sammlung von Richtlinien, die die Informationssicherheit in Unternehmen und Organisationen gewährleisten sollen. Die Security Policy sorgt unter anderem dafür, dass der gesetzlich vorgeschriebene Schutz von Informationen einzuhalten ist. Zudem schützt die Policy die Informationen als einen wertvollen und wichtigen Bestandteil des Unternehmensvermögens.

Die Aufstellung der Sicherheitsrichtlinien erfolgt in einem Top-Down-Ansatz. Vorstand und Top-Management verabschieden die Security Policy und sind für das Delegieren der Umsetzung sowie die Einhaltung der Vorgaben verantwortlich. Alle Mitarbeiter und Unternehmensbereiche müssen die Sicherheitsrichtlinie verstehen, beachten und einhalten. Bei Verstößen sind Sanktionen durch die Geschäftsführung zu benennen und durchzusetzen. Wesentliche Ziele der Security Policy sind die Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Informationen.

Die Security-Richtlinie selbst ist ein Dokument, in dem schriftlich festgehalten ist, wie der Schutz der Informationen und IT-Betriebsmittel sichergestellt werden soll. Das Dokument unterliegt einer ständigen Aktualisierung und passt sich den Veränderungen im Unternehmen dynamisch an. Ebenfalls Bestandteil der Security Policy sind Prozeduren, mit deren Hilfe sich die Einhaltung und Wirksamkeit der Richtlinien messen und bewerten lassen. Neben organisatorischen Vorgaben können Security Policies auch konkrete technische Regeln beinhalten, die direkt für die Steuerung von IT-Komponenten wie Firewalls oder AAA-Systeme (Authentication, Authorization, Accounting) zum Einsatz kommen.

Die Ziele und Bestandteile der Sicherheitsrichtlinien

Wie bereits beschrieben, ist das Ziel der Security Policy die Informationssicherheit in allen Bereichen des Unternehmens. Die Richtlinie soll vor dem Verlust der Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit von Daten schützen. Die Überwachung der Einhaltung und Umsetzung der aufgestellten Sicherheitsvorgaben ist eine wichtige Aufgabe der Führungskräfte. Mitarbeiters sind für die konkrete Einhaltung der Policy verantwortlich. Bestandteile der Sicherheitsrichtlinien sind unter anderem die Benennung von Verantwortlichkeiten, die Auswahl und Beschreibung geeigneter Maßnahmen zur Erreichung der Ziele, Kontrollmechanismen für die Sicherheitsmaßnahmen, Konzepte für Krisen- und Notfallsituationen, Konzepte zur Sicherung von Daten und Konzepte für Schulungen von Mitarbeiter zur Informationssicherheit.

Die Sicherheits-Policy als organisatorische oder technische Richtlinie

Betrachtet man die Security Policy als eine organisatorische Richtlinie, legt sie die unternehmensweiten Sicherheitsstandards fest. Neben den Daten sollen auch die Reputation des Unternehmens und das Know-how geschützt werden. Die Richtlinie fasst die konzernweiten Hauptvorgaben auf Basis einer allgemeinen Sicherheitsarchitektur zusammen. Dazu gehören die Minimalanforderungen für sämtliche datenverarbeitenden Vorgänge im Unternehmen. Die Policy wird von der Unternehmensführung verabschiedet und ist mit den allgemeinen Zielen des Unternehmens und seiner Geschäftstätigkeit vereinbar.

Aufbauend auf dieser organisatorischen Security Policy entsteht ein Sicherheitskonzept, mit konkreten Maßnahmen wie die Konfiguration von IT-Zugängen oder von Filterregeln für Firewalls und andere IT-Security-Systeme. Auch diese konkreten technischen Maßnahmen werden oft als Security Policies bezeichnet. Es handelt sich in diesem Fall jedoch im engeren Sinn um technische Richtlinien und Vorgaben, die sich direkt umsetzen oder einspielen lassen. Die Security Policy für eine Firewall legt beispielsweise fest, wie die konkrete Konfiguration erfolgen soll, welche Zugriffsrechte erteilt werden, wie die Protokollierung aussieht oder welche Abwehrmaßnahmen die Firewall im Angriffsfall trifft. Speziell für Mitarbeiter können die technischen Security Policies Passwortvorgaben, Datensicherungsvorgaben, Vorgaben zur Verwendung externer Datenspeicher oder Vorgaben für die Nutzung von E-Mail-, Messenger- oder Chat-Anwendungen beinhalten. Weitere Sicherheitsrichtlinien für Mitarbeiter können den Umgang mit vertraulichen Informationen, die Verwendung des Internets oder den Schutz vor Viren und Schadsoftware behandeln.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Pflegeanleitung für sichere Software

Sichere Softwareentwicklung – Teil 2

Pflegeanleitung für sichere Software

Will man eine Software auch sicher machen bedeutet das viel Arbeit. Es gilt Schwachstellen zu verhindern und von Beginn an einen sorg­samen Umgang mit Daten zu pflegen. Dazu gehört die Trennung von Datenverarbeitung und ihrer Darstellung ebenso wie eine konsequente Validierung von Ein- und Ausgangsdaten. Dann braucht es nur noch sichere Übertragungswege und regelmäßige Prüfroutinen. Oder fehlt da noch was? lesen

Mit einer IT-Risikoanalyse Sicherheitsrisiken senken

9 Schritte zu den richtigen Sicherheitsstrategien

Mit einer IT-Risikoanalyse Sicherheitsrisiken senken

In der Cybersicherheit geht es darum, Risiken für kritischen Vermögenswerte eines Unternehmens zu verstehen, zu verwalten, zu kontrollieren und zu minimieren. Das bedeutet, dass sich die für IT-Sicherheit verantwortlichen Teams mit dem Thema Risikomanagement beschäftigen müssen. lesen

IT-Security-Strategien sind notwendiger denn je

McAfee-Umfrage

IT-Security-Strategien sind notwendiger denn je

IT-Security-Experten haben immer noch Schwierigkeiten dabei, ihre Organisation vollständig vor Cyber-Angriffen zu schützen, zeigt die McAfee-Studie „Grand Theft Data II – The Drivers and Changing State of Data Breaches”. Hinzu kommt, dass Datenschutzverletzungen immer gravierender werden. lesen

Komplexe Netzwerksicherheit fordert Unternehmen

Automatisierung wird zur Pflicht

Komplexe Netzwerksicherheit fordert Unternehmen

Im Zuge der digitalen Transformation befinden sich viele Unternehmen im Wandel. Mehr Betriebe verlegen ihre Prozesse in die Cloud, wovon sie sich Verbesserungen für die Sicherheit, Compliance und Business Continuity ihres Unternehmens versprechen. Um den Wechsel in die Cloud aber problemlos zu bewältigen, sollten sie ein paar Dinge beachten. lesen

4 typische Fehler bei Sicherheitsrichtlinien

Fehlkonfigurationen bei Firewall-Richtlinien

4 typische Fehler bei Sicherheitsrichtlinien

IT-Sicherheitsteams können einiges tun, um die Sicherheitsrichtlinien ihrer Firewalls zu ordnen. Dazu gehört die Entfernung von redundanten Regeln und Duplikaten, sowie die Verschärfung permissiver Regeln. Das sind anerkannte und einleuchtende Best Practices, allerdings sind sie auch äußerst zeitaufwendig. Die entscheidende Frage ist daher, warum Unternehmen das keinem Network Security Policy Manager (NSPM) überlassen. lesen

Beschützer im IoT

Cyberabwehr für jedes Netzwerk

Beschützer im IoT

Mit der Sicherheitslösung Defender for IoT, so Hersteller Extreme Networks, sei auch Personal ohne technische Ausbildung in der Lage, kabelgebundene sowie kabellose IoT-Geräte vom Rest des Netzwerks zu isolieren und vor Angriffen aus dem Internet zu schützen. lesen

HTTPS mit TLS 1.3 in der Praxis

Transportverschlüsselung Teil 3

HTTPS mit TLS 1.3 in der Praxis

Wem die Sicherheit von HTTPS-Verbindungen am Herzen liegt, der ist gut beraten, die TLS-Konfiguration zu überdenken, denn ohne eine moderne Transportverschlüsselung sind gute Vorsätze beim Datenschutz nur ein Papiertiger. Zwar ist TLS 1.3 nun offiziell aus den Startlöchern, aber die Implementierung ist leider voller Tücken und Überraschungen. lesen

Windows Defender Firewall steuern mit Gruppenrichtlinien

Video-Tipp: Windows Defender Firewall

Windows Defender Firewall steuern mit Gruppenrichtlinien

Mit der Windows Defender Firewall in Windows 10 und Windows Server 2016 lassen sich über Regeln Anwendungen und Datenverkehr im Netzwerk blockieren. Administratoren können die Regeln lokal setzen, aber auch über Gruppenrichtlinien. Dadurch lassen sich die Regeln dann auf mehrere Rechner verteilen. Wie das genau funktioniert zeigen wir in diesem Video-Tipp. lesen

Was Energieversorger für die DSGVO noch tun müssen

Datenschutz-Grundverordnung im Mittelstand

Was Energieversorger für die DSGVO noch tun müssen

Die Datenschutzdebatte rund um Smart Metering ist nur ein Beispiel dafür, dass bei Energieversorgern der Datenschutz eine große Rolle spielen muss. Die Datenschutz-Grundverordnung (DSGVO / GDPR) hält weitere Beispiele bereit, darunter die Sicherheit der Datenverarbeitung. Für Versorger besteht deshalb dringender Handlungsbedarf, auch über den 25. Mai 2018 hinaus. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44904757 / Definitionen)