Security Policies erstellen

Sichere Orientierung

Gesetze, Regeln und Vorgaben sind nicht immer sehr beliebt. Speziell in Sachen IT- und Informationssicherheit sind Richtlinien – oder auch Policies genannt – im Unternehmen notwendig, um einen grundsätzlichen Weg für alle Mitarbeiter vorzugeben. Worauf es beim Erstellen von Richtlinien ankommt, zeigt dieser Beitrag.
Damit Sie als Admin stets über alle Parameter Ihrer IT Bescheid wissen, befasst sich IT-Administrator im Juni mit dem Schwerpunkt 'Monitoring'. Darin lesen Sie ... (mehr)

Wie können Sie den Prozess der Erstellung von Policies unterstützen und voranbringen? Es ist wichtig, dass Sie sich als fachlicher Experte einbringen oder die Erstellung sogar anstoßen. Bei vielen Unternehmen sind Security Policies bisher nicht vorhanden. Wenn Sie das Thema aufgreifen, werden Sie als Erstes mit der Frage nach dem "Warum" konfrontiert – es ging doch bisher auch. Daher sollten Sie bereits im Voraus Argumente, Begründungen und wenn möglich Zahlen zur Hand haben, mit denen Sie das Vorhaben untermauern können.

Dazu kann gehören, dass Ihr Unternehmen am Markt erfolgreich ist und Vorteile gegenüber dem Wettbewerb hat. Diese gilt es zu schützen. Dazu gehören etwa wichtige Daten aus der Entwicklungsabteilung, deren Vertraulichkeit, Integrität und Verfügbarkeit sichergestellt werden müssen. Es kann aber auch die Hochverfügbarkeit der Produktion sein, die den Wettbewerbsvorteil ausmacht. Deshalb liegt der Fokus darauf, Vorfälle zu vermeiden, die eine Unterbrechung der Produktion oder den Verlust sensibler Daten nach sich ziehen können. Ein solcher Vorfall kann schon ein einzelner Virenbefall sein, der sich im Unternehmen ausbreitet, oder ein eingespielter Patch im Live-System ohne vorherige Tests.

Top-Down-Ansatz: Die Details zum Schluss

Wenn Sie mit dem Thema starten, beginnen Sie oben und arbeiten sich nach unten bis zu den einzelnen Vorgaben durch. Die Erstellung von Policies sollte keine One-Man-Show sein. Ein Team aus unterschiedlichen Abteilungen kann den besten Input und die besten Ergebnisse liefern.

Die Vorgehensweise im Detail

1. Identifikation der Assets (im ersten Durchlauf, horizontale Erfassung).2. Definieren der Sicherheitsleitlinie.3. Erarbeiten der übergreifenden Informationssicherheit Policy: Erstellen von anwendungs- oder gruppenbezogenen Policies und

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019