Sicherheit durch Compliance

Ähnliche Dokumente
Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

GPP Projekte gemeinsam zum Erfolg führen

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Informationssicherheit als Outsourcing Kandidat

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

ITIL & IT-Sicherheit. Michael Storz CN8

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

SharePoint Demonstration

ENTDECKEN SIE DIE VORTEILE VON SUBSCRIPTION SUBSCRIPTION-VERTRÄGE VERWALTEN

Führung im Callcenter. und warum in Callcentern manch moderner Führungsansatz scheitert

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Einrichtung eines VPN-Zugangs

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Task: Nmap Skripte ausführen

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Abamsoft Finos im Zusammenspiel mit shop to date von DATA BECKER

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Pflegende Angehörige Online Ihre Plattform im Internet

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Aktivieren von Onlinediensten im Volume Licensing Service Center

ICS-Addin. Benutzerhandbuch. Version: 1.0

Mobile Intranet in Unternehmen

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

TECHNISCHE INFORMATION LESSOR LOHN/GEHALT BEITRAGSNACHWEIS-AUSGLEICH BUCH.-BLATT MICROSOFT DYNAMICS NAV

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

kurz erklärt Dokumentenmanagement & Archivierung 3 Schritte mit ELO QuickScan

Zuverlässiger IT-Service und Support Wir haben Ihr EDV-System im Griff.

Installationsanleitung CLX.PayMaker Home

Ablauf Vorstellungsgespräch

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Cockpit 3.4 Update Manager

Die Gesellschaftsformen

Anleitung zum DKM-Computercheck Windows Defender aktivieren

ENTDECKEN SIE DIE VORTEILE VON SUBSCRIPTION IM SUBSCRIPTION CENTER ANMELDEN

Installationsanleitung CLX.PayMaker Office

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E

Institut für Existenzgründungen und Unternehmensführung Wilfried Tönnis, M.A. Installationshandbuch

Sicherheitseinstellungen... 2 Pop-up-Fenster erlauben... 3

Mitteilung der Kommission. Muster für eine Erklärung über die zur Einstufung als KMU erforderlichen Angaben (2003/C 118/03)

Dieser Ablauf soll eine Hilfe für die tägliche Arbeit mit der SMS Bestätigung im Millennium darstellen.

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Second Steps in eport 2.0 So ordern Sie Credits und Berichte

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft- Betriebssystem

teischl.com Software Design & Services e.u. office@teischl.com

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

D i e n s t e D r i t t e r a u f We b s i t e s

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Thema: Microsoft Project online Welche Version benötigen Sie?

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

iloq Privus Bedienungsanleitung Schließanlagen Programmierung Version 1 - Copyright 2013

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

1 Einleitung. Lernziele. Symbolleiste für den Schnellzugriff anpassen. Notizenseiten drucken. eine Präsentation abwärtskompatibel speichern

Projektmanagement in Outlook integriert

Nutzungsbedingungen für 1-Click Trading auf der Next Generation Handelsplattform der CMC Markets UK Plc

Anleitung: Einrichtung der Fritz!Box 7272 mit VoIP Telefonanschluss

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Avira Server Security Produktupdates. Best Practice

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Content Management System mit INTREXX 2002.

Fragebogen ISONORM 9241/110-S

Projektmanagement in Outlook integriert InLoox 5.x Installationshilfe für Windows Terminalserver

Was macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns.

How to do? Projekte - Zeiterfassung

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

1. Einführung. 2. Weitere Konten anlegen

Bedienungsanleitung. Matthias Haasler. Version 0.4. für die Arbeit mit der Gemeinde-Homepage der Paulus-Kirchengemeinde Tempelhof

Installationsanleitung dateiagent Pro

Zeichen bei Zahlen entschlüsseln

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»

Checkliste. Erfolgreich Delegieren

SDD System Design Document

Antrag für die Übertragung von Softwarelizenzen, Wartungsverträgen oder Abonnements

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Übung - Datenmigration in Windows 7

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Bundeskinderschutzgesetz

Jugendschutzgesetz (JuSchG) Die Besonderheit der "erziehungsbeauftragten" Person am Beispiel Diskotheken- und Gaststättenbesuch

ERP / IT Strategieleitfaden Vorgehensmodell zur Entwicklung einer ERP / IT-Strategie


ENTDECKEN SIE DIE VORTEILE VON SUBSCRIPTION SOFTWARE HERUNTERLADEN

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

Anleitung zum erfassen von Last Minute Angeboten und Stellenangebote

Netzwerkeinstellungen unter Mac OS X

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

2008 Nokia. Alle Rechte vorbehalten. Nokia, Nokia Connecting People und Nseries sind Marken oder eingetragene Marken der Nokia Corporation.

Leitfaden. zur Einführung neuer Studiengänge

Registrierung am Elterninformationssysytem: ClaXss Infoline

Transkript:

Sicherheit durch Compliance Richtlinien, Pläne und Verfahren

Inhalt Ein Whitepaper von: Jeff Tucker Leitender Sicherheitsberater McAfee Foundstone Professional Services Überblick...3 Ein felsenfestes Fundament...3 Richtlinieneinhaltung...3 Unternehmensstruktur: Der CISO (Chief Information Security Officer)...4 Expertengruppe für Sicherheitsüberwachung....4 Richtlinien...4 Allgemeine Empfehlungen zur Richtlinienerstellung....5 Compliance und Ausnahmen....5 Sicherheitsrichtlinie des Unternehmens für Informationen....6 Richtlinie für die Sicherheit wichtiger Daten...6 Pläne, Konzepte und Verfahren...6 Pläne und Konzepte....7 Verfahren...7 Tipps für eine erfolgreiche Implementierung....7 Allgemeines...7 Richtlinien...7 Verfahren...8 Zusammenfassung...8 Informationen zum Autor...8 Über McAfee Foundstone Professional Services...8 Sicherheit durch Compliance 2

Überblick Dieser Artikel zeigt auf, wie ein gut strukturiertes Sicherheitskontrollprogramm mit vollständig ausgearbeiteten und implementierten Richtlinien, Plänen und Verfahren die Sicherheitslage eines Unternehmens verbessern kann. Es heißt, dass die Einhaltung von Compliance-Vorschriften nicht automatisch bessere Sicherheit für das Unternehmen bedingt. Das stimmt auch, sofern die Unternehmen Sicherheitsstandards wie NIST 800-53, ISO 27002 und PCI DSS als Checklisten-Features implementieren. In diesem Fall werden nur die Minimalanforderungen für die jeweilige Funktion erfüllt. In vielen Fällen ist das keine böse Absicht, sondern es liegt daran, dass die Unternehmensführung nicht erkennt, welche Bedeutung die jeweiligen Maßnahmen haben. Dieses Whitepaper stellt ein Compliance-basiertes Sicherheitskonzept vor und beleuchtet dazu den bekannten sowie weit verbreiteten Standard PCI DSS und die Prinzipien, die seine Implementierung vorantreiben. Unabhängig davon, ob Sie mit den Standards ISO, NIST oder PCI arbeiten, bleiben die Konzepte dahinter stets gleich und gelten für alle Unternehmen, die die Anforderungen eines bestimmten Sicherheitsstandards implementieren müssen. Es erschließt sich nicht auf den ersten Blick, warum Unternehmen den Anfang damit machen sollten, Richtlinien, Pläne und Verfahren auszuarbeiten. Schließlich richten sie normalerweise zuerst IT- Umgebungen zur Unterstützung des Geschäftsbetriebs ein, indem sie ein Netzwerk implementieren, Computer-Systeme aufbauen, Schwachstellen beheben, Zugangskontrollen einrichten und vielleicht noch die Protokollierung für einige Systeme festlegen. Wie immer ist jedoch auch hier die Planung das A und O. Nehmen Sie sich also die Zeit, um Ihr Konzept zu durchdenken und Richtlinien festzulegen, Pläne auszuarbeiten, Verfahren zu entwickeln und erst anschließend Ihre IT-Lösungen zu implementieren. Ein felsenfestes Fundament Notwendig für den Erfolg des Unternehmens ist die Implementierung eines Informationssicherheits programms, das auf einem stabilen Fundament steht. Dieses Fundament sollte folgende Bestandteile besitzen: 1. Grundsätze: Definieren Sie die Ziele, die Beteiligten und die Verantwortlichen des Informationssicherheitsprogramms. 2. Richtlinieneinhaltung: Nach dem Erfolg der Expertengruppen für IT-Regulierung und unabhängigen Audits bildet die Sicherheitsüberwachung mittlerweile eine eigenständige Disziplin. Richten Sie eine Expertengruppe für Sicherheitsüberwachung ein, die das Sicherheitsprogramm mit den Anforderungen des Unternehmens abstimmt, und integrieren Sie das Programm im gesamten Unternehmen. Durch diese neue Ordnung wird anerkannt, dass es einen grundlegenden Interessenkonflikt gibt, wenn Sicherheit in den Verantwortungsbereich der IT-Abteilung fällt. Aus diesem Grund muss die Unternehmensstruktur wie im Abschnitt Unternehmensstruktur beschrieben neu konzipiert werden. 3. Richtlinien: Legen Sie die Richtlinien fest, die das Grundgerüst des Programms bilden werden. 4. Pläne, Konzepte und Verfahren: Dokumentieren Sie die Komponenten, um die Umgebung für die wichtigsten Daten zu verwalten und ihren reibungslosen Betrieb zu gewährleisten. Die folgenden Bereiche beschreiben die wichtigsten Aspekte einer Expertengruppe für Sicherheitsüberwachung, die wichtigsten Richtlinien sowie Pläne, Konzepte und Verfahren, die das Informations sicherheitsprogramm umfassen sollte. Richtlinieneinhaltung Das Unternehmen sollte so strukturiert sein, dass ein erfolgreiches Informations sicherheitsprogramm überhaupt möglich ist. Eine Expertengruppe für Sicherheitsüberwachung mit genau definiertem Verantwortungsbereich ist maßgeblich an diesem Erfolg beteiligt. Dieser Abschnitt stellt die Bestandteile vor, die in den meisten modernen Unternehmen vorhanden sind. Sicherheit durch Compliance 3

Unternehmensstruktur: Der CISO (Chief Information Security Officer) Der CISO sollte dem CEO (Chief Executive Officer, Geschäftsführer), CFO (Chief Financial Officer, Finanzvorstand), RMO (Risk Management Officer, Risikoverantwortlicher) oder CCO (Chief Compliance Officer, Leiter der Compliance-Abteilung) unterstehen und nicht der IT Abteilung. Der Verantwortungsbereich des CISO umfasst unter anderem: 1. Leitung der Expertengruppe für Sicherheitsüberwachung 2. Überwachung der Informationssicherheitsabläufe 3. Definition, Veröffentlichung, Pflege und Verbreitung von Sicherheitsrichtlinien 4. Ausarbeitung und regelmäßige praktische Überprüfung sicherheitsbezogener Pläne 5. Schriftliche Festlegung und Anpassung von Sicherheitsabläufen Expertengruppe für Sicherheitsüberwachung Wichtige Führungskräfte der obersten Ebene und Abteilungsleiter aus dem gesamten Unternehmen sollten als Mitglieder einer Expertengruppe für Sicherheitsüberwachung an der Sicherheitsplanung beteiligt sein. Der CISO oder ein Beauftragter sollte die Expertengruppe leiten. Deren Verantwortungsbereich sollte unter anderem Folgendes umfassen: 1. Überwachung des Informationssicherheitsprogramms 2. Anpassung des Programms, um die Sicherheitsanforderungen des Unternehmens einzuhalten 3. Überprüfung und Bestätigung von Richtlinien, die vom CISO oder Beauftragten ausgearbeitet wurden 4. Überprüfung und Bestätigung des Sicherheitsbudgets Richtlinien Häufig sind in Unternehmen Richtlinien in Kraft, die derart breit interpretiert werden können, dass sie nicht den Anforderungen durch die Sicherheitsstandards von ISO, NIST und PCI entsprechen. Das fehlende Glied ist eine Verantwortungsposition, die die Intensität und Ausrichtung der Sicherheitsmaßnahmen bestimmen kann. Bisher wurden vor allem sehr allgemein gehaltene Richtlinien ausgearbeitet, deren Details dann den einzelnen Abteilungen überlassen wurden. Dieser Ansatz ist für Sicherheitsrichtlinien ungeeignet, da er das unabhängige Interpretieren und Debattieren aller Richtlinienklauseln (Erklärungen) erlaubt. Informationssicherheitsrichtlinien kontrollieren und verringern Risiken, daher müssen die Richtlinien so ausgearbeitet werden, dass sie die Erwartungen erfüllen. Nutzen Sie problemspezifische oder systemspezifische Richtlinien, um die Lücke zwischen allgemeinen Anforderungen und Anforderungen für bestimmte Bereiche zu schließen. Stellen Sie die detaillierten Anforderungen bereit, die zur Implementierung der Richtlinie mit Standards erforderlich sind. Der empfohlene Aufbau sollte Folgendes umfassen: Sicherheitsrichtlinie des Unternehmens für Informationen (Enterprise Information Security Policy, EISP): Diese Richtlinie gilt für das gesamte Unternehmen und legt die Anforderungen und Erwartungen der Geschäftsführung fest, wenn es um die Absicherung der Unternehmensinformationen geht. Sie sollte die Untergrenze der Anforderungen klar festlegen. Auch wenn es bei der Implementierung der Richtlinie Spielraum geben kann, darf es nicht möglich sein, die Richtlinie zu umgehen oder auszuschalten. Richtlinie für die Sicherheit wichtiger Daten (Critical Data Security Policy, CDSP): Unternehmen mit großem Mitarbeiterstamm (z. B. Verwaltung, Produktion oder Marketing), die nur geringe Sicherheitsanforderungen haben, dabei jedoch mit regulierten oder anderweitig wichtigen Daten arbeiten, sollten eine CDSP-Richtlinie 1 speziell für die regulierte Umgebung festlegen. System- und problemspezifische Richtlinien: Nutzen Sie weitere problem- und systemspezifische Richtlinien, um die CDSP sowie problemspezifische Richtlinien mit Standards zu unterstützen. Sicherheit durch Compliance 4

Allgemeine Empfehlungen zur Richtlinienerstellung Unabhängig vom Thema einer bestimmten Sicherheitsrichtlinie sollten bei ihrer Erstellung bestimmte Grundsätze beachtet werden. Dieser Abschnitt stellt die wichtigsten Grundlagen und Abschnitte vor, die für eine effektive Richtlinie vorhanden sein sollten. Intensität und Ausrichtung Eine starke Sicherheitsrichtlinie muss die Intensität und Ausrichtung festlegen, da die Stärke in den Details liegt. Sie muss die Erwartungen und die Mindestanforderungen klar festlegen. Auf diese Weise muss sie mehr Details bereitstellen, als normalerweise in Richtlinien zu sehen sind. Richtlinien führen nicht automatisch zu starker Authentifizierung, wenn sie festlegen, dass für den Zugriff auf Computersysteme starke Authentifizierung erforderlich ist. Sie definieren auch keinen klaren Datenschutz, wenn sie lediglich verlangen, dass wichtige Daten geschützt werden müssen. Starke Richtlinienaussagen sind notwendig, um die Sicherheit zu verbessern. Die hier gezeigten Aussagen sind unzureichend, da sie keine klare Ausrichtung oder Mindestanforderungen festlegen. Die folgenden Beispiele zeigen starke Richtlinienaussagen. Beispiel 1: Für den Benutzerzugriff auf alle Systeme ist starke Authentifizierung erforderlich, die der Sicherheitsklassifizierung des Systems angemessen ist. Die Authentifizierung erfordert mindestens eine eindeutige Benutzer-ID und ein starkes Kennwort, kann jedoch abhängig von der Risikoeinschätzung stärkere Authentifizierungsmethoden erfordern. Als Mindestvoraussetzung müssen folgende Kennwörter am stärksten sein: 1) wie von rechtlichen Vorschriften gefordert, 2) Anbieterempfehlungen, 3) empfohlene Sicherheitsmaßnahmen, oder 4) Empfehlungen zur Risikobewertung der genutzten Datensysteme. Beispiel 2: Eigentümer von Daten nutzen starke Kryptografie zum Schutz aller Daten mit der Sicherheitsklassifizierung Hoch. Die Implementierung der Kryptografie-Algorithmen, Module und Komponenten muss mindestens FIPS-konform sein. Der CISO verfasst, implementiert sowie verwaltet schriftlich festgehaltene Verfahren zur Verwaltung von Kryptografieschlüsseln, überprüft diese Verfahren mindestens einmal im Jahr und aktualisiert sie bei Bedarf. Verfassen von Plänen und Verfahren Die Richtlinie muss die Einführung und Pflege schriftlich festgehaltener Sicherheitsabläufe erfordern. Zudem muss sie erforderliche Sicherheitspläne für wichtige Funktionen wie die Reaktion auf IT Zwischenfälle, Wiederherstellung nach Systemausfällen und den störungsfreien Geschäftsbetrieb festlegen. Die Unternehmensführung kann nur dann die Erarbeitung von Plänen und Verfahren erwarten, wenn dies durch eine Richtlinie gefordert wird. Compliance und Ausnahmen Die Richtlinie sollte Compliance-Vorgaben und Ausnahmen berücksichtigen. Einige Unternehmen vermeiden die Ausarbeitung einer starken Richtlinienaussage, da sie befürchten, gegen ihre eigenen Richtlinien zu verstoßen. Es ist daher besser, starke Richtlinienaussagen festzulegen und folgende Ausnahmen bzw. zwingende Durchsetzungen festzulegen: Übergangszeitraum für neue Anforderungen: Die Besitzer eines Systems, das zum Zeitpunkt des Inkrafttretens nicht mit dieser Richtlinie konform ist 2, müssen dem CISO mindestens innerhalb von [durch Richtlinie festgelegter Zeitraum] nach der Veröffentlichung einen Sicherheitsplan vorlegen. Der Sicherheitsplan beschreibt detailliert alle vorhandenen Sicherheitskontrollen, weitere noch einzurichtende Zusatzkontrollen sowie einen Plan dazu, wie das System innerhalb von [durch Richtlinie festgelegter Zeitraum] nach der Veröffentlichung dieser Richtlinie den Compliance- Vorschriften entsprechen wird. Ausnahmen: Fügen Sie eine Ausnahmeklausel hinzu, um den Prozess für Fälle zu etablieren, bei denen ein System oder Prozess eine Richtlinie nicht befolgen kann. Für Ausnahmen sollte Folgendes gelten: 1. Sie werden auf fallweiser Basis gewährt. 2. Sie werden anhand festgelegter Kriterien gewährt. 3. Sie gelten temporär und enthalten ein Ablaufdatum, das in der Ausnahme festgelegt wurde. 4. Sie werden nach Ablauf der Ausnahme überprüft. Sicherheit durch Compliance 5

Durchsetzung: Wenn eine Richtlinie nicht befolgt wird und keine autorisierte Ausnahme besteht, muss das Konsequenzen haben. Legen Sie explizit oder mit Verweis auf die EISP bzw. auf eine geeignete Unternehmensrichtlinie die Durchsetzungsmaßnahmen in der Richtlinie fest. Sicherheitsrichtlinie des Unternehmens für Informationen Eine starke Sicherheitsrichtlinie muss die Sicherheitsintensität für das gesamte Unternehmen etablieren und informiert die Mitarbeiter 3 über die Sicherheitserwartungen der Führungskräfte. Alle Mitarbeiter müssen sich der Vertraulichkeit der Daten und ihrer eigenen Verantwortung hinsichtlich des Schutzes dieser Daten bewusst sein. Die Sicherheitsstandards ISO, NIST und PCI fordern Richtlinien, Pläne und Verfahren, da die Erfahrung gezeigt hat, dass andernfalls Unklarheit darüber herrscht, welchen Aufwand und welche Kontrollen sowie Schutzmaßnahmen die Unternehmensführung bei der Absicherung vertraulicher Informationen erwartet. Diese Unklarheit kann zu erheblichen Sicherheitslücken führen, sodass die Richtlinie präzise formuliert werden sollte. Richtlinie für die Sicherheit wichtiger Daten Ein CDSP ist eine problemspezifische Richtlinie für die erhöhten Sicherheitsanforderungen der Datenumgebung, die von der Richtlinie abgedeckt wird. Auf besondere Sorgfalt sollte bei der Ausarbeitung des Umfangs und Konzeption der CDSP geachtet werden, wie in diesem Abschnitt beschrieben. Umfang Die CDSP muss den Umfang klar definieren. Das bedeutet nicht, dass sie alle abgedeckten Personen, Prozesse und Systeme auflisten muss, vielmehr muss sie diese klar definieren. Beispiel: Diese Richtlinie gilt für die Umgebung, die aus der wichtigen Datenumgebung (Critical Data Environment, CDE) sowie den Personen, Prozessen und Systemkomponenten besteht, die sich in der CDE befinden oder mit ihr verbinden können. Ebenfalls abgedeckt sind Systeme und Mitarbeiter, die direkt mit der Verarbeitung, Übertragung und Speicherung wichtiger Daten befasst sind. Aus technischer Sicht gehören zur CDE die Netzwerke mit Systemkomponenten (d. h. wichtige Datensysteme), die wichtige Daten verarbeiten, übertragen oder speichern. Diese Umgebung für wichtige Daten umfasst auch Mitarbeiter und Prozesse, die mit wichtigen Daten umgehen. Konzeption Die CDSP sollte als einzelnes Dokument gestaltet sein und jeweils einen Abschnitt für jedes wichtige Thema bzw. Gruppe von Kontrollen besitzen, die den für Ihr Unternehmen geltenden rechtlichen Vorschriften entsprechen. Diese Abschnitte enthalten dann Unterabschnitte für jede wichtige Anforderung. Beispiel: Die PCI-Richtlinie für Datensicherheit enthält sechs Abschnitte, die sich direkt auf die unten aufgeführten DSS-Kontrollgruppen beziehen. Jeder dieser Abschnitte enthält Richtlinien, um alle jeweiligen DSS-Anforderungen zu implementieren. Aus diesem Grund erfüllt der Abschnitt Einrichten und Unterhalten eines sicheren Netzwerks die Anforderungen 1 und 2. 1. Einrichtung und Unterhaltung eines sicheren Netzwerks 2. Schutz gespeicherter Karteninhaberdaten 3. Nutzung und Pflege eines Programms zur Bewältigung von Sicherheitsrisiken 4. Implementierung strikter Maßnahmen zur Zugriffssteuerung 5. Regelmäßige Überwachung und Tests von Netzwerken 6. Implementierung und Pflege einer Informationssicherheitsrichtlinie Pläne, Konzepte und Verfahren Das Unternehmen benötigt Pläne, Konzeptdokumente und Verfahren, um die Umgebung für wichtige Daten aufzubauen, zu pflegen und in Betrieb zu halten. In vielen Unternehmen gelten diese Dokumente jedoch als zeitaufwändige Unannehmlichkeiten. Tatsächlich sind sie jedoch von größter Bedeutung, ganz gleich, ob es sich um vertragliche Bestimmungen wie PCI oder gesetzliche Vorschriften wie FFIEC (Federal Financial Institutions Examination Council), FISMA und HIPAA handelt, da diese die zu implementierenden Sicherheitsanforderungen festschreiben. Sie sollten diese Dokumente schon allein deshalb erstellen, weil sich damit Sicherheits-Audits und Überprüfungen beschleunigen lassen. Sicherheit durch Compliance 6

Pläne und Konzepte Ein Plan ist eine Vorbereitung auf ein Ereignis. Dabei kann es sich um die Bereitstellung von Systemen, die Entwicklung von Software oder die Reaktion auf einen Sicherheitsvorfall handeln. Wer beim Planen scheitert, der plant sein Scheitern : Dieses Sprichwort erfüllt sich immer wieder. Daher sollten Pläne bei Bedarf durch Konzeptdokumente ergänzt werden, die auch eigenständig Systeme oder Umgebungsarchitekturen beschreiben und festlegen können, wie die Komponenten zusammenspielen sollen. Konzepte ermöglichen ein Verständnis der Abhängigkeiten zwischen Komponenten sowie der Konsequenzen beim Ausfall einer einzelnen Komponente. Ein solches Konzept spart auch erheblichen Zeit- und Arbeitsaufwand bei Veränderungen an einem System, Netzwerk oder einer Umgebung. Zu den notwendigen Plänen und Konzepten gehören unter anderem: Systemkonzeption Sicherheitsarchitektur Netzwerkarchitektur Plan der Systemsicherheit Schulungen zur Förderung des Sicherheitsbewusstseins Umgang und Beseitigung von Risiken Reaktion auf IT-Zwischenfälle Wiederherstellung nach Systemausfall und störungsfreier Geschäftsbetrieb Verfahren Verfahren sind in diesem Falle keine systematischen Anweisungen, sondern Leitfäden für den Umgang mit einer Sache oder die Ausführung einer Gruppe von Aufgaben, um ein Ergebnis zu erzielen. In technischen Bereichen können aufgabenorientierte Verfahren Techniker durch komplizierte Aufgaben leiten. Aufgabenorientierte Verfahren sind jedoch im Allgemeinen nicht unbedingt das, was Prüfer unter Verfahren verstehen. Stattdessen sollten Verfahren Sicherheitsabläufe steuern und Sicherheitsmaßnahmen in Bereichen festschreiben, die nicht von der Sicherheitsabteilung abgedeckt werden. Die Richtlinie sollte eine CISO-Überprüfung sowie die Bestätigung aller Verfahren fordern, die im Zusammenhang mit der Datensicherheit stehen. Beispielsweise kann die IT-Abteilung die Benutzerkontenverwaltung übernehmen. Da dieser Prozess große Auswirkungen auf die Sicherheit hat, sollte der CISO die Verfahren für diesen Prozess überprüfen sowie bestätigen und zusammen mit der IT-Abteilung einen sicheren Prozess ausarbeiten. Tipps für eine erfolgreiche Implementierung Auch wenn die Richtlinienerstellung zeit- und arbeitsaufwändig sein kann, ist Ihr Unternehmen nach Überwindung dieser Hürde in einer insgesamt deutlich besseren Position. In diesem Abschnitt erhalten Sie Tipps dazu, wie Sie die häufigsten Stolperfallen vermeiden können. Allgemeines 1. Ziehen Sie Sicherheitsexperten zu Rate, die Erfahrung bei der Erstellung technischer Dokumente haben, um klare und präzise Richtlinien zu erstellen sowie die Ausrichtung eindeutig zu bestimmen. 2. Verlassen Sie sich NICHT auf vorgefertigte allgemeine Sicherheitsrichtlinien und Verfahren oder Vorlagen. Diese können Ihrem Unternehmen und dessen speziellen Anforderungen nicht Rechnung tragen. Richtlinien 1. Legen Sie Richtlinien basierend auf einer Analyse der grundlegenden Risiken des Unternehmens fest. Bestehende Sicherheitskontrollen sowie Schutz- und Gegenmaßnahmen sollten dabei nicht berücksichtigt werden. Die Richtlinien bedingen wiederum Sicherheitskontrollen sowie Schutz- und Gegenmaßnahmen. 2. Ziehen Sie für die Erstellung der Richtlinien erfahrene Experten für Sicherheitsverwaltung zu Rate. 3. Der CISO sollte Richtlinien für Informationssicherheit erstellen. 4. Lassen Sie nicht zu, dass untergeordnete Abteilungen (z. B. die IT-Abteilung oder das Callcenter) eigene Sicherheitsrichtlinien erstellen. Stattdessen sollten diese Abteilungen Sicherheit durch Compliance an der Erstellung der Verfahren beteiligt werden. 7

Verfahren 1. Die Verfahren müssen für die Geschäftsabläufe relevant sein. 2. Informieren Sie die zuständigen Abteilungsleiter und Führungskräfte darüber. 3. Ziehen Sie bei der Ausarbeitung der Verfahren entsprechende Experten zu Rate. 4. Der CISO sollte die Verfahren zur betrieblichen Sicherheit überprüfen und autorisieren. Zusammenfassung Rechtliche Vorschriften verlangen die Einhaltung von Sicherheitsrichtlinien und Verfahren. Wenn die Richtlinien strikt, klar und vollständig sind, kann das Sicherheitsprogramm diese Compliance- Vorgaben erfüllen. Die Richtlinien müssen Mindestanforderungen definieren und dadurch entsprechende Erwartungen aufbauen. Durch die Einbindung problem- und systemspezifischer Richtlinien und Standards werden weitere Anforderungen festgelegt und zusätzliche Klarheit geschaffen. Auch sollte das Unternehmen so strukturiert sein, dass der CISO unabhängig von der Technikabteilung agieren kann. Dadurch werden Interessenkonflikte vermieden und höhere Integrität gewährleistet. Schließlich sollten Sie einen Sicherheitsüberwachungsprozess einrichten, der starke Sicherheitsmaßnahmen im gesamten Unternehmen durchsetzt. Informationen zum Autor Jeff Tucker ist Leitender Berater bei McAfee Foundstone Professional Services. Er hat an der Bellevue University in Nebraska einen Master-Abschluss in Sicherheitsverwaltung sowie einen Bachelor-Abschluss in Wirtschaftsinformatik (Computer Information Systems) mit Schwerpunkt auf webbasierten Netzwerken. Tucker ist im Strategic Consulting Team der Leiter des Service- Bereichs für PCI und FISMA. Zu seinen Zertifizierungen gehören CISA, CISSP, QSA und MCSE. Tucker arbeitet als Engagement Manager für die Teams zur Analyse der Sicherheitskontrollen, die aus einem Datenbankanalysten, Netzwerksicherheitstestern, Penetrationstestern für Web- Anwendungen und Compliance-Prüfern bestehen. Über McAfee Foundstone Professional Services McAfee Foundstone Professional Services, eine Abteilung von McAfee (einem Geschäftsbereich von Intel Security), unterstützt Unternehmen mit Expertendiensten sowie Schulungsmaßnahmen zum kontinuierlichen und spürbaren Schutz ihrer wichtigsten Ressourcen auch vor den gefährlichsten Bedrohungen. Dank eines strategischen Ansatzes an die Sicherheit erkennt und implementiert McAfee Foundstone das richtige Gleichgewicht aus Technologien, Mitarbeitern sowie Prozessen, um digitale Risiken zu kontrollieren und Sicherheitsinvestitionen effektiver zu nutzen. Das professionelle Serviceteam besteht aus anerkannten Sicherheitsexperten und Autoren, die über umfassende Sicherheitserfahrung in multinationalen Unternehmen, dem öffentlichen Sektor sowie dem US-Militär verfügen. http://www.mcafee.com/de/services/mcafee-foundstone-practice.aspx Über Intel Security McAfee ist jetzt ein Geschäftsbereich von Intel Security. Durch die Security Connected-Strategie, einen innovativen Ansatz für Hardware-unterstützte Sicherheitslösungen sowie das Global Threat Intelligence-Netzwerk ist Intel Security voll und ganz darauf konzentriert, für die Sicherheit seiner Kunden zu sorgen. Dazu liefert Intel Security präventive, bewährte Lösungen und Dienste, mit denen Systeme, Netzwerke und Mobilgeräte von Privatanwendern und Unternehmen weltweit geschützt werden können. Intel Security verknüpft die Erfahrung und Fachkompetenz von McAfee mit der Innovation und bewährten Leistung von Intel, damit Sicherheit als essentieller Bestandteil jeder Architektur und Computerplattform eingebettet wird. Intel Security hat sich zum Ziel gesetzt, allen Privatpersonen ebenso wie Unternehmen die Möglichkeit zu geben, die digitale Welt absolut sicher nutzen zu können. www.intelsecurity.com 1. Diese Richtlinien sollten als FISMA-, GLBA-, HIPAA oder PCI-Datensicherheitsrichtlinien gekennzeichnet werden. 2. An diesem Datum bestätigte die Expertengruppe für Sicherheitsüberwachung die Richtlinie und gab sie zur Nutzung frei. 3. Zum Personal zählen Teil- oder Vollzeit-Angestellte, vorübergehend angestellte Mitarbeiter, Auftragnehmer und Berater, die sich dauerhaft beim Unternehmen vor Ort aufhalten oder anderweitig Zugang zur Datenumgebung, den Netzwerken sowie den Systemen haben. McAfee. Part of Intel Security. Ohmstr. 1 85716 Unterschleißheim Deutschland +49 (0)89 37 07-0 www.intelsecurity.com Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee, das McAfee-Logo und Foundstone sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Die in diesem Dokument enthaltenen Produktpläne, Spezifikationen und Beschreibungen dienen lediglich Informationszwecken, können sich jederzeit ohne vorherige Ankündigung ändern und schließen alle ausdrücklichen oder stillschweigenden Garantien aus. Copyright 2013 McAfee, Inc. 60534wp_security-compliance_1013B

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback