Mit System zur IT-Sicherheitsrichtlinie
Mit System zur IT-Sicherheitsrichtlinie
Standards
Hier kommen Standards ins Spiel. Sie können unter anderem als Checklisten dienen, um sicher zu stellen, dass keine wichtigen Aspekte vernachlässigt werden. Ein vielfach bewährter Standard ist ISO/IEC 17799, auch als «Code of practice for information security management» bekannt. Die im Juni 2005 publizierte Neuauflage ISO/IEC 17799:2005 wird voraussichtlich nach abgeschlossener Vernehmlassung durch die nationalen Normenausschüsse per 2007 zur neuen Norm ISO/IEC 27002 erklärt. Somit ist jeder gut beraten, sich bereits mit der aktuellen Version von 17799 zu beschäftigen. Sämtliche ISO-Normen können gegen Entgelt bei der Schweizerischen Normen-Vereinigung SNV (www.snv.ch) bezogen werden.
Hier kommen Standards ins Spiel. Sie können unter anderem als Checklisten dienen, um sicher zu stellen, dass keine wichtigen Aspekte vernachlässigt werden. Ein vielfach bewährter Standard ist ISO/IEC 17799, auch als «Code of practice for information security management» bekannt. Die im Juni 2005 publizierte Neuauflage ISO/IEC 17799:2005 wird voraussichtlich nach abgeschlossener Vernehmlassung durch die nationalen Normenausschüsse per 2007 zur neuen Norm ISO/IEC 27002 erklärt. Somit ist jeder gut beraten, sich bereits mit der aktuellen Version von 17799 zu beschäftigen. Sämtliche ISO-Normen können gegen Entgelt bei der Schweizerischen Normen-Vereinigung SNV (www.snv.ch) bezogen werden.
Methode
Folgende Methode beschreibt einen pragmatischen Bottom-up-Ansatz, welcher auf bestehendem aufbaut, um den Erstellungs- und den anschliessenden Kommunikationsaufwand zu minimieren. Sämtliche vorhandenen sicherheitsrelevanten Dokumente wie beispielsweise Security-Strategie, Policies und allfällige Anhänge des Arbeitsvertrags betreffend Umgang mit Informatikmitteln und das Inhaltsverzeichnis der Norm 17799 werden ausgedruckt. Anschliessend werden die Titel und Untertitel des Inhaltsverzeichnisses der Norm ausgeschnitten und ausgelegt. Nun werden die sicherheitsrelevanten Dokumente gelesen, Themen abschnittsweise ausgeschnitten und den Kapiteln und Unterkapiteln zugeordnet. Nachdem alle Dokumentspassagen ausgelegt wurden, sind Widersprüche leicht erkennbar. Weisse Flecken erkennt man daran, wenn keine Dokumentenabschnitte den Titeln/Untertiteln zugeordnet werden konnten.
Nun gilt es bestehende Passagen anzupassen und fehlende zu ergänzen. Die Erfahrung zeigt, dass der vom bestehenden Dokumentationsgrad abhängige Aufwand für die Erstellung einer IT-Sicherheitsrichtlinie bei zirka 10 bis 20 Personentagen liegt - aus Sicherheitssicht eine lohnenswerte und nachhaltige Investition.
Folgende Methode beschreibt einen pragmatischen Bottom-up-Ansatz, welcher auf bestehendem aufbaut, um den Erstellungs- und den anschliessenden Kommunikationsaufwand zu minimieren. Sämtliche vorhandenen sicherheitsrelevanten Dokumente wie beispielsweise Security-Strategie, Policies und allfällige Anhänge des Arbeitsvertrags betreffend Umgang mit Informatikmitteln und das Inhaltsverzeichnis der Norm 17799 werden ausgedruckt. Anschliessend werden die Titel und Untertitel des Inhaltsverzeichnisses der Norm ausgeschnitten und ausgelegt. Nun werden die sicherheitsrelevanten Dokumente gelesen, Themen abschnittsweise ausgeschnitten und den Kapiteln und Unterkapiteln zugeordnet. Nachdem alle Dokumentspassagen ausgelegt wurden, sind Widersprüche leicht erkennbar. Weisse Flecken erkennt man daran, wenn keine Dokumentenabschnitte den Titeln/Untertiteln zugeordnet werden konnten.
Nun gilt es bestehende Passagen anzupassen und fehlende zu ergänzen. Die Erfahrung zeigt, dass der vom bestehenden Dokumentationsgrad abhängige Aufwand für die Erstellung einer IT-Sicherheitsrichtlinie bei zirka 10 bis 20 Personentagen liegt - aus Sicherheitssicht eine lohnenswerte und nachhaltige Investition.
Unsere Experten beantworten
Ihre Fragen. Schreiben Sie uns:
it-security@computerworld.ch
Ein Archiv der Helpdeskartikel
finden Sie im Internet:
Ihre Fragen. Schreiben Sie uns:
it-security@computerworld.ch
Ein Archiv der Helpdeskartikel
finden Sie im Internet:
www.computerworld.ch
