bsit golden rules

Download BSIT Golden Rules

Post on 16-Nov-2015

16 views

Category:

Documents

1 download

Embed Size (px)

DESCRIPTION

BS IT Goldene Regeln - Sicherheitsmanagement

TRANSCRIPT

  • Goldene Regeln GR 1.0

    www.bsi.bund.de/grundschutz

    GR 1.0 Sicherheitsmanagement

    Mit (Informations-)Sicherheitsmanagement wird die Planungs- und Lenkungsaufgabe bezeichnet,die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellungvon Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendesSicherheitsmanagement muss in die existierenden Managementstrukturen einer jeden Institutioneingebettet werden.

    - Die Leitungsebene muss die Gesamtverantwortung fr Informationssicherheit in der Institutionbernehmen.

    - Die Leitungsebene muss eine bergeordnete Leitlinie zur Informationssicherheit verabschieden,die den Stellenwert der Informationssicherheit, die Sicherheitsziele und die wichtigsten Aspekteder Sicherheitsstrategie beschreibt.

    - Die Sicherheitsleitlinie muss allen Mitarbeitern und sonstigen Mitgliedern der Institution bekanntgegeben werden.

    - Die Leitungsebene muss einen IT-Sicherheitsbeauftragten benennen, der dieInformationssicherheit in der Institution frdert und den Sicherheitsprozess steuert und koordiniert.

    - Der IT-Sicherheitsbeauftragte muss mit angemessenen Ressourcen ausgestattet werden undberichtet bei Bedarf direkt an die Leitungsebene.

    - Im Rahmen des Sicherheitsprozesses mssen fr die gesamte Informationsverarbeitungausfhrliche und angemessene Sicherheitsmanahmen festgelegt werden.

    - Alle Sicherheitsmanahmen mssen systematisch in Sicherheitskonzepten dokumentiert undregelmig aktualisiert werden.

    - Der Sicherheitsprozess und die Sicherheitskonzepte mssen die individuell geltenden Vorschriftenund Regelungen bercksichtigen. Sie sollten auf anerkannten Standards basieren.

    - Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschftigteoder Projektmitarbeiter) mssen systematisch und zielgruppengerecht zu Sicherheitsrisikensensibilisiert und zu Fragen der Informationssicherheit geschult werden.

    - Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit unddie Organisationsstruktur fr Informationssicherheit mssen regelmig auf Wirksamkeit undAngemessenheit berprft und aktualisiert werden.

    Die Sicherheitsempfehlungen zum Thema Sicherheitsmanagement mssen zielgruppengerechtaufbereitet und institutionsweit verffentlicht werden. Weitere Informationen zum ThemaSicherheitsmanagement finden sich im Baustein B 1.0 Sicherheitsmanagement der IT-Grundschutz-Kataloge sowie in den BSI-Standards 100-1 und 100-2.

  • Goldene Regeln GR 1.1

    www.bsi.bund.de/grundschutz

    GR 1.1 Organisation

    Viele Sicherheitsmanahmen sind auf organisatorischer Ebene zu ergreifen, insbesondere gehrendazu die allgemeinen und bergreifenden Manahmen, die als organisatorische Standardmanahmenzur Erreichung eines Mindestschutzniveaus erforderlich sind.

    - Fr alle Aufgaben im Sicherheitsprozess mssen sowohl Verantwortlichkeiten als auch Befugnissefestgelegt sein. Alle Mitarbeiter mssen auf ihre Verantwortung fr die Informationssicherheit inihrem Einflussbereich hingewiesen worden sein.

    - Fr alle Informationen, Anwendungen und IT-Komponenten sollte festgelegt werden, wer fr dieseund deren Sicherheit verantwortlich ist. Es muss auch klar geregelt sein, welche Informationen mitwem ausgetauscht werden drfen und wie diese dabei zu schtzen sind.

    - Es mssen konkrete Handlungsanweisungen und Verantwortlichkeiten zur Informationssicherheitfestgelegt werden. Diese Regelungen sind den betroffenen Mitarbeitern in geeigneter Weisebekannt zu geben.

    - Die Aufgabenverteilung und die hierfr erforderlichen Funktionen sind so zu strukturieren,dass operative und kontrollierende Funktionen auf verschiedene Personen verteilt werden, umInteressenskonflikte bei den handelnden Personen zu verhindern (Funktionstrennung).

    - In allen Geschftsprozessen muss es funktionierende Vertretungsregelungen geben.- Auf den verschiedenen Ebenen mssen angemessene und praktikable Berechtigungen vergeben

    werden (z. B. fr den Zutritt zu Rumen, Zugang zu IT-Systemen, Zugriff auf Anwendungen).Es sollten immer nur so viele Rechte vergeben werden, wie es fr die Aufgabenwahrnehmungnotwendig ist. Es muss ein geregeltes Verfahren fr die Vergabe, die Verwaltung und den Entzugvon Berechtigungen geben.

    - Die Betriebsmittel, die zur Aufgabenerfllung und zur Einhaltung der Sicherheitsanforderungenerforderlich sind, mssen in ausreichender Menge vorhanden sein. Es muss geeignetePrfverfahren vor Einsatz der Betriebsmittel geben. Fr die Bestandsfhrung mssen dieBetriebsmittel in Bestandsverzeichnissen aufgelistet werden. Um den Missbrauch von Daten zuverhindern, sollte die zuverlssige Lschung oder Vernichtung von Betriebsmitteln geregelt sein.

    - Es sind Regelungen fr Ersatzteilbeschaffung, Reparaturen und Wartungsarbeiten festzulegen,um auf Strungen bei einer nicht funktionierenden Infrastruktur adquat reagieren zu knnen. Beibestehenden Wartungsvertrgen sind feste Wartungsintervalle und Wartungsdetails einzelner IT-Systeme (oder Gruppen) verbindlich zu regeln.

    - Betriebs- und Sachmittel, die besonderen Schutzbedingungen unterliegen, mssen so entsorgtwerden, dass keine Rckschlsse auf ihre Verwendung oder Inhalte gezogen werden knnen.Den Mitarbeitern sollte bekannt sein, wie mit ausgesonderten Datentrgern vor einer Vernichtungumzugehen ist. Es sollte hierfr ein Handlungsleitfaden zur Verfgung stehen.

    - Es muss geregelt sein, welche Reaktionen auf Verletzungen der Sicherheitsvorgaben erfolgensollen. Nur so ist eine zielgerichtete und zeitnahe Reaktion mglich.

    Die Sicherheitsempfehlungen zum Thema Organisation mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema Organisation finden sich imBaustein B 1.1 Organisation und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

  • Goldene Regeln GR 1.2

    www.bsi.bund.de/grundschutz

    GR 1.2 Personal

    Informationssicherheit ist nicht nur eine Frage der Technik, sondern hngt in erheblichem Maevon den organisatorischen und personellen Rahmenbedingungen ab. Im Personalbereich sinddaher von der Einstellung bis zum Weggang von Mitarbeitern aus der Institution eine Reihe vonSicherheitsmanahmen erforderlich.

    - Zur geregelten Einarbeitung neuer Mitarbeiter mssen diese auf bestehende Regelungen undHandlungsanweisungen zur Informationssicherheit hingewiesen werden.

    - Alle Mitarbeiter sollten umgehend ber Regelungen zur Informationssicherheit, derenVernderungen und ihre spezifischen Auswirkungen auf einen Geschftsprozess oder auf dasjeweilige Arbeitsumfeld unterrichtet werden.

    - Alle Mitarbeiter sollten explizit darauf verpflichtet werden, einschlgige Gesetze, Vorschriften undinterne Regelungen einzuhalten. Auerdem sollten alle Mitarbeiter darauf hingewiesen werden,dass alle whrend der Arbeit erhaltenen Informationen ausschlielich zum internen Gebrauchbestimmt sind, solange sie nicht anders gekennzeichnet sind.

    - Vor der Einstellung neuer Mitarbeiter sollten deren akademische und berufliche Qualifikationenund (soweit mglich) deren Vertrauenswrdigkeit verifiziert werden. Die Vertrauenswrdigkeit vonPersonen mit besonderen Funktionen und Berechtigungen ist besonders wichtig. Daher mssenbeispielsweise Administratoren sorgfltig ausgewhlt werden.

    - Die Mitarbeiter sollten dazu motiviert werden, Regelungen zur Informationssicherheiteigenverantwortlich umzusetzen. Dazu sollten sie durch geeignete Schulungen motiviert undgefrdert werden.

    - Administrations- und Wartungspersonal muss detailliert ber die von ihnen betreuten Systeme undderen Sicherheitseigenschaften ausgebildet werden, da diese aufgrund der weitgehenden Rechteim Umgang mit der IT eine hohe Verantwortung tragen.

    - Es muss Vertretungsregelungen in allen Bereichen geben. Um eine kontinuierlicheVerfgbarkeit wichtiger Prozesse zu erreichen, muss insbesondere dafr gesorgt werden, dassSchlsselpositionen immer besetzt sind, sobald dies von den Ablufen her gefordert wird.

    - Kommunikationsprobleme innerhalb der Institution, persnliche Probleme von Mitarbeitern,ein schlechtes Betriebsklima und andere Faktoren knnen zu Unzufriedenheit und damitzu Sicherheitsrisiken fhren. Um hier rechtzeitig vorbeugen zu knnen, sollten geeigneteAnlaufstellen (z. B. Mitarbeitervertretungen) eingerichtet werden.

    - Bei Mitarbeitern, die die Institution verlassen oder andere Funktionen bernehmen, mssenbestehende Regelungen mit erhhter Sorgfalt berprft werden. Nachfolger mssen eingearbeitetwerden, Unterlagen sind zurckzugeben und erteilte Berechtigungen sind wieder zu entziehen.Vor der Verabschiedung sollte noch einmal explizit auf Verschwiegenheitsverpflichtungenhingewiesen werden.

    Die Sicherheitsempfehlungen zum Thema Personal mssen zielgruppengerecht aufbereitet undinstitutionsweit verffentlicht werden. Weitere Informationen zum Thema personelle Sicherheit findensich im Baustein B 1.2 Personal und in weiteren Bereichen der IT-Grundschutz-Kataloge.

  • Goldene Regeln GR 1.3

    www.bsi.bund.de/grundschutz

    GR 1.3 Notfallmanagement

    Der Notfallmanagement einer Behrde oder eines Unternehmens umfasst sowohl dieNotfallvorsorge, als auch Aspekte zur Bewltigung eines Notfalls. Dazu ist der Aufbau geeigneterOrganisationsstrukturen und Regelungen fr den Umgang mit Notfllen aller Art notwendig.

    - Die Leitungsebene muss hinter den Zielen des Notfallmanagements stehen und sich ihrerVerantwortung dafr bewusst sein. Die Leitungsebene muss den Notfallmanagement-Prozessinitiieren, steuern und kontrollieren, damit dieser in der Institution auch in allen Bereichenumgesetzt wird.

    - Es mssen die organisatorischen Voraussetzungen fr das Notfallmanagement geschaffenwerden, d. h. Rollen und Verantwortlichkeiten mssen definiert und von der Leitungsebene einausreichendes Budget zur Verfgung gestellt werden.