Was ist eine Informationssicherheitsrichtlinie?

Ja, jeder, der mit Informationssicherheit oder Cybersicherheit zu tun hat, kann ein Lied davon singen, und das ist absolut keine neue Erkenntnis! 

"Weder die Hardware noch die Software, sondern die Menschen sind der schwächste Teil der Sicherheitsmaßnahmen eines Unternehmens."

Da werden wochenlang perfekte Prozesse entwickelt, es wird in die neueste Technologie investiert... und dann gibt es den Mitarbeiter, der versehentlich Daten an Dritte weitergibt oder einfach keine Zeit oder Lust für ein Security Awareness Training hat.

"ISO 27001 distanzierte" - Mitarbeiter wissen oft nicht wirklich, wie wichtig Sicherheitsmaßnahmen in ihrem Unternehmen sind. Schlimmer noch, sie nehmen sie nicht ernst oder wissen einfach nicht, wie sie damit umgehen sollen. Nach dem Motto, ich werde schon nichts Schlimmes anrichten ... klassische Situation!

‍

Und um diesem alltäglichen Zustand zu begegnen, müssen Informationssicherheitsrichtlinien zu den wichtigsten Elementen des Schutzes einer Organisation gehören.

Richtlinien bilden den Rahmen für den Gesamtansatz einer Organisation zur Informationssicherheit, wobei jede Richtlinie auf bestimmte Praktiken und Geschäftsbereiche abzielt (ISO 27001, Abschnitt 5.2).

‍

Was ist der Zweck einer Informationssicherheitsrichtlinie?

‍

Zunächst zu den Fakten: 

• Die Informationssicherheitsrichtlinie gibt einen umfassenden Überblick über die Anforderungen der Organisation. Sie legt auch die Parameter für die Risikobewertung der Informationssicherheit fest, einschließlich der Risikoakzeptanzkriterien der Organisation (ISO 27001 Abschnitt 6.1.2 Prozess der Risikobewertung der Informationssicherheit).

• Informationssicherheitsstrategien sind das Ergebnis von Risikobewertungen, bei denen Schwachstellen ermittelt und Schutzmaßnahmen ausgewählt werden.

• Jede Richtlinie befasst sich mit einem Risiko oder einer Gruppe von Risiken und definiert den Ansatz der Organisation, um diese zu mindern.

‍

Nehmen wir zum Beispiel die Bedrohung durch Phishing-Betrug. Hier sollte die Richtlinie klären, was Phishing ist, und den Mitarbeitern mitteilen, an wen sie sich wenden können, wenn sie Opfer eines Phishing-Betrugs geworden sind. Oder auch nur den Verdacht haben, dass sie ein Opfer geworden sind. 

Ja, Phishing gibt es immer noch. Dabei handelt es sich um eine Form des Betrugs, bei der sich ein Angreifer in E-Mails oder anderen Kommunikationsformen als seriöse Organisation oder Person ausgibt. Überraschenderweise klicken immer noch genug Menschen auf der Erde auf einen Link, der schon durch sein Aussehen Betrug signalisiert.

In der Richtlinie ist also festgelegt, ob Phishing in der Mitarbeiterschulung behandelt wird und wann diese Kurse stattfinden. Die meisten Unternehmen bieten einen E-Learning-Kurs an, um die Mitarbeiter zu sensibilisieren. In diesem Fall muss der Link zu dieser obligatorischen Schulung in die Richtlinie aufgenommen werden.

‍

Was sollte in einer Informationssicherheitsrichtlinie berücksichtigt werden?

‍

Zuallererst: Diese Richtlinien müssen relevante Informationen über die Organisation und ihre Praktiken enthalten.

Welche Elemente sollten Sie als Ausgangspositionen vorsehen?

‍

1. Geltungsbereich der Informationssicherheitsrichtlinie

Der Geltungsbereich einer Informationssicherheitsrichtlinie sollte sich auf die Informationen, den Ort, an dem sie sich befinden, und die Personen, die Zugang zu ihnen haben, erstrecken. Wo sich die Informationen befinden können: in Programmen, Systemen, Einrichtungen und anderer Infrastruktur. 

‍

2. Erklärung zur Informationssicherheitsrichtlinie

Die Grundsatzerklärung ist Teil der Strategie, die den Ansatz der Organisation in Bezug auf die Informationssicherheit erläutert. Sie beschreibt das Umfeld, in dem die Organisation tätig ist, die Gesetze und Vorschriften, an die sie unabhängig vom ISMS gebunden ist, und die Art der Informationen, mit denen sie arbeitet. Hier muss auch deutlich werden, inwieweit die Organisation die Sicherheit von Informationen und Informationssystemen ernst nimmt. Also bitte keine Scherze machen. Der Bürohund muss nicht die gleiche Sicherheitsschulung durchlaufen wie der Buchhalter. 

‍

3. Ziele der Informationssicherheitsrichtlinie

Um zu überprüfen, ob das ISMS ordnungsgemäß funktioniert, müssen Ziele festgelegt werden! Dadurch wird sichergestellt, dass das ISMS wirksam und im Einklang mit Gesetzen, Vorschriften und auch Verträgen funktioniert.

Diese Ziele sollten so messbar wie möglich sein! Individuelle Einschätzungen, möglicherweise sogar unter Voreingenommenheit, führen zu ungenauen Berichten. Dies geschieht schneller als man denkt, vor allem bei Organisationen, die höhere Investitionen in die Informationssicherheit fordern und diese daher negativ sehen, oder sogar bei solchen, die behaupten, dass die bestehenden Maßnahmen wirksam sind und keine weiteren Maßnahmen erforderlich sind.

Das sind wahrscheinlich auch die Mitarbeiter, die immer noch glauben, wenn sie auf den Link in der verrückten bunten E-Mail klicken, dass sie den Staubsauger des weltweit führenden Haushaltsgeräteherstellers mit Sitz in Montana gewonnen haben. WOW. Das ist übrigens nicht wahr. Was allerdings stimmt, ist, dass es auch in Montana Phishing-Bedrohungen gibt.

Daher sollten Organisationen unabhängig von ihrem Sitz die drei Grundprinzipien von ISO 27001 befolgen: Vertraulichkeit, Integrität und Verfügbarkeit.

Welche Ziele Sie wählen, hängt von Ihrer Branche ab.

Und: Unternehmen wachsen mit der Zeit. Deshalb ist es wichtig, sie im Auge zu behalten. Wenn Sie auf ein bestimmtes Ziel stoßen, aktualisieren Sie es entsprechend. Und wenn Sie wachsen, kommen Sie nicht umhin, neue Bereiche einzubeziehen! Vergessen Sie das nicht!

‍

‍

Spezifische Informationssicherheitsrichtlinien

Zusätzlich zu Ihrer allgemeinen Informationssicherheitsrichtlinie sollten Sie auch Unterlagen zu spezifischen Themen einbeziehen. 

Welche spezifischen Themen sollten Sie also dokumentieren? Die Dokumentation hängt zwar von der Art der Organisation und den ermittelten Risiken ab, aber eine weitere Richtlinie zu den folgenden Punkten sollte jede Organisation haben:

‍

1. Zugangskontrolle

Obligatorisch müssen Unternehmen Richtlinien für die Zugriffskontrolle erstellen. Damit wird sichergestellt, dass nur befugte Benutzer auf bestimmte Ressourcen, wie Anwendungen, Dateien oder sogar ganze Systeme, zugreifen können. Dazu gehört auch das Anzeigen oder Ändern von Informationen.  

Diese Zugangskontrollen dienen einem wichtigen Ziel für die Integrität einer Organisation. Sowohl nach außen als auch innerhalb der Organisation! Informationen werden überall dort geschützt, wo sie gespeichert sind, ebenso wie die Informationssysteme, auf die zugegriffen werden kann. Dies betrifft vor allem Daten, die durch Passwörter oder andere technische Schutzmaßnahmen geschützt sind.

‍

2. Klassifizierung von Informationen

Unternehmen klassifizieren Informationen in der Regel in Bezug auf die Vertraulichkeit, wobei ein typisches System vier Kategorien von Vertraulichkeiten umfasst. Überraschenderweise haben wir einen Blog über die Definition und die interne Entwicklung. Erfahren Sie mehr darüber.

‍

3. Sensibilisierungsmaßnahmen für Mitarbeiter

Wie bereits mehrfach erwähnt, verraten sich Arbeitnehmer am häufigsten durch Fehler. Diese können einfache Unachtsamkeiten sein, oder sie können von Cyberkriminellen ausgenutzt werden.

Die Unfähigkeit der Mitarbeiter, eine gefälschte Nachricht zu erkennen, muss beispielsweise durch eine Schulung zur Sensibilisierung der Mitarbeiter behoben werden.

‍

Schließlich, aber nicht weniger wichtig, sollten auch Informationen über die Erkennung von Zwischenfällen, Richtlinien für remote- work, Datensicherung, physische Sicherheit sowie Rechte und Pflichten der Mitarbeiter dokumentiert werden.

Wir können Ihnen bei Ihren Richtlinien helfen, auch wenn Sie in Montana ansässig sind :)! Kontaktieren Sie uns!

‍