RiLi-Informationssicherheit KKU: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 255: Zeile 255:


''Unterschrift, Name der Leitung''
''Unterschrift, Name der Leitung''
[[Kategorie:Mustervorlage]]
[[Kategorie:Entwurf]]

Version vom 24. Mai 2023, 07:50 Uhr

Mustervorlage: "Richtlinie zur Informationssicherheit nach DIN SPEC 27076"

Diese Mustervorlage dient als Entwurf für ein Sicherheits-Richtlinie für Kleinst- und Kleinunternehmen auf Basis von DIN SPEC 27076. Die DIN SPEC 27076 regelt die Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen, stellt also eigentlich keine Basis für ein Sicherheits-Richtlinie oder gar ein ISMS dar. Sie definiert aber Anforderungen, die im Zuge der Beratung nach DIN SPEC 27076 in einem definierten Prozess vom Berater abgefragt werden sollen.

Ein expliziter Nachweis einer Sicherheits-Richtlinie oder gar eine Zertifizierung auf dieser Basis ist hier nicht vorgesehen. Dennoch kann es für die betroffenen Kleinst- und Kleinunternehmen sinnvoll sein, die Ergebnisse der Beratung in eine unternehmenseigene Informationssicherheits-Richtlinie einfließen zu lassen, so hat das Unternehmen zumindest eine rudimentäre schriftliche Richtlinie zur Informationssicherheit in der die umgesetzten oder angestrebten Maßnahmen zur Informationssicherheit dokumentiert sind. Diese Sicherheits-Richtlinie kann auch zur Vorbereitung einer Beratung oder ganz unabhängig davon als mit vertretbarem Aufwand einfach umzusetzendes internes Regelwerk und Einstieg in ein Sicherheitsmanagement des Unternehmens dienen.

Aufgrund der geringen Bearbeitungstiefe und zur leichteren Pflege der Dokumentation, werden in dieser Richtlinie alle Belange in einem Dokument bearbeitet.

Informationssicherheits-Richtlinie

Informationssicherheits-Richtlinie der <Organisation> auf Basis von DIN SPEC 27076 "Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen“

Unternehmen

Name des Unternehmens: <Organisationsname>

Sitz des Unternehmens: <Straße, Postleitzahl, Stadt, Bundesland, Land>

Rechtsform des Unternehmens: <Rechtsform>

Handelsregister-Nummer: <(falls vorhanden)>

Name des/der verantwortlichen Geschäftsführenden: <Name (Titel)>

Anzahl der Beschäftigten im Unternehmen: <Anzahl insgesamt>

Tätigkeit des Unternehmens

Beschreibe in 2-3 Sätzen in welcher Branche dein Unternehmen Tätig ist und was es produziert bzw. welche Dienstleistung es erbringt.

Einleitung

IT-Sicherheit ist ein komplexes Thema und erfordert Erfahrung und spezifische Fachkenntnisse. Insbesondere kleine und Kleinstunternehmen wie die <Organisation> stehen hier vor besonderen Herausforderungen. Die <Organisation> nutzt als Grundlage für ihr Sicherheits-Richtlinie den Standard DIN SPEC 27076, hier insbesondere den Anforderungskatalog in Anhang A.

Geltungsbereich

Diese Sicherheits-Richtlinie gilt für den gesamten Geschäftsbereich der <Organisation> und ist für alle Mitarbeitenden der <Organisation> verbindlich.

Zielsetzung

Definition der Ziele der Organisation mit kurzer Beschreibung der Inhalte wie z.B.: (Inhalte bei Bedarf anpassen)

Ziel dieses Sicherheits-Richtlinies der <Organisation> ist es:

  • Bewusstsein für Informationssicherheit in der gesamte <Organisation> schaffen
  • Einhaltung von Gesetzen oder Vorschriften
  • Einhaltung von Verträgen und Lieferzusagen
  • Wahrung von Persönlichkeitsrechten von Mitarbeitenden, Geschäftspartnern und Kunden
  • Funktionale Sicherstellung der Aufgabenerledigung zur Erfüllung der Geschäftsprozesse
  • Schutz der Verfügbarkeit von IT-Systemen, Diensten und Informationen
  • Vermeidung von Ansehensverlust bzw. Imageschaden der Organisation

Gesetzliche Rahmenbedingungen

Auflistung der Gesetzlichen Rahmenbedingungen der Organisation und kurze Beschreibung z.B.: (Inhalte anpassen)

  • Europäischen Datenschutz-Grundverordnung (DSVGO)
  • Bundesdatenschutzgesetz (BDSG)
  • Telekommunikationsgesetz (TKG)
  • Telemediengesetz (TMG)
  • ...

Geschäftsprozesse

Kurze Beschreibung der Kern-Geschäftsprozesse der Organisation.

Kern-Geschäftsprozesse sind die zentralen Prozesse, die unmittelbar zur Wertschöpfung eines Unternehmens beitragen und somit entscheidend für den Erfolg des Unternehmens sind. Sie sind in der Regel eng mit den strategischen Zielen des Unternehmens verknüpft und haben direkten Einfluss auf die Kundenzufriedenheit und die Rentabilität des Unternehmens.

Um deine Kern-Geschäftsprozesse herauszufinden, nutze folgende Schritte:

  1. Geschäftsziele: Überlege dir, welche Ziele dein Unternehmen erreichen möchten. Dies kann Umsatzwachstum, Gewinnmaximierung, Kundenzufriedenheit, Kostensenkung, Qualitätssteigerung oder andere Ziele sein.
  2. Geschäftsprozesse: Mache eine Liste aller Prozesse, die in deinem Unternehmen stattfinden. Prozesse sind wesentliche, wiederholbare Aktivitäten oder Arbeitsabläufe die zur Erreichung der Geschäftsziele oder zur Erzeugung der Produkte deines Unternehmens erforderlich sind.
  3. Kern-Geschäftsprozesse: Identifiziere aus der Liste der Geschäftsprozesse diejenigen, die am engsten mit den strategischen Zielen deines Unternehmens verbunden sind und die den größten Einfluss auf den Erfolg deines Unternehmens haben (das sollten i.d.R. nicht mehr als 3-4 sein).

Einige Beispiele für Kern-Geschäftsprozesse könnten sein:

  • Produktion oder Fertigung
  • Vertrieb und Marketing
  • Kundenbetreuung und Service
  • Forschung und Entwicklung

Verantwortliche

Geschäftsführung

Mitarbeitende

Maßnahmen zur Informationssicherheit

Organisation & Sensibilisierung

Verantwortlichkeit für Informationssicherheit

Beauftragter für Informationssicherheit

Die Geschäftsführung hat <Name des ISB> als Informationssicherheitsbeauftragten (ISB) benannt.

Der ISB wird zu <xx> Prozent von seinen sonstigen Tätigkeiten für die Bearbeitung von Themen der Informationssicherheit freigestellt.

Der ISB schult und sensibilisiert alle Mitarbeitenden regelmäßig (min. 2x / Jahr) zu Themen der Informationssicherheit.

Meldung von Sicherheitsvorfällen

Alle Mitarbeitenden sind aufgefordert Sicherheitsvorfälle oder andere Auffälligkeiten möglichst unverzüglich an den ISB <Telefonnummer, Email-Adresse> zu melden.

Sicherheitsvorfälle können z.B. sein:

  • ein vermuteter oder erkannter Virenbefall oder andere Schadsoftware,
  • vermutete oder erkannte Phishing-Emails oder andere Verdächtige Emails oder Anrufe,
  • ..
  • Verlust von IT-Geräten, Smartphones, Datenträgern, USB-Sticks oder anderen sicherheits- oder datenschutzrelevanten Geräten oder Unterlagen.

Externe Dienstleister

Externe Dienstleister..

Vertraulichkeitserklärung

Umgang mit Informationen

Alle Informationen der <Organisation> müssen bezüglich ihrer Relevanz für die Informationssicherheit eingestuft werden (Klassifizierung). Hierfür ist jeder Mitarbeitende der Informationen erstellt, erhebt oder von Dritten (z.B. Partnern, Kunden) übergeben bekommt selbst verantwortlich, In Zweifelsfällen hilft der ISB bei der Klassifizierung.

In der <Organisation> werden die Klassen öffentlich, intern und vertraulich verwendet. Nicht klassifizierte Dokumente entsprechen der Klasse öffentlich.

Die Klassifizierung ist im Kopf des Dokuments oder bei anderen Daten in der zugehörigen Dokumentation anzugeben.

Die Bedeutung der Klassen und deren Verwendung ist der folgenden Tabelle definiert:

öffentlich
nicht klassifiziert
intern vertraulich
Beispiele Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine Richtlinien, Konzepte, Raumpläne, Organigramme, Informationen zu Kunden, Vertragsdaten Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten
Kenntnis jeder nur Mitarbeitende
ggf. Geschäftspartner und Kunden
begrenzte Gruppe von Mitarbeitenden (z.B nur Geschäftsführung oder Entwickler)
Ablage beliebig nur auf internen Systemen der Organisation nur in besonders zugriffsgeschützten Bereichen
Cloud beliebig nur europäische Cloudspeicher nur europäische Cloudspeicher und zusätzlich Verschlüsselt
Mobile
Speicher
beliebig nur zusätzlich verschlüsselt nur auf vom ISB freigegebenen, verschlüsselten Datenträger
Ausdruck
Kopie
beliebig nur innerhalb der Organisation nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B. Geschäftsführung, Entwicklung)
Übermittlung
(intern)
beliebig nur innerhalb der Organisation Nur verschlüsselt oder in versiegeltem Umschlag
Übermittlung
(extern)
beliebig nur an ausgewählte Geschäftspartner bzw. Kunden Nur verschlüsselt oder in versiegeltem Umschlag
Löschung
Vernichtung
keine Vorgaben gem. DIN66399 Sicherheitsklasse 1 gem. DIN66399 Sicherheitsklasse 2

Richtlinie für mobiles Arbeiten

Für Mitarbeitende die mobil oder im Homeoffice arbeiten gilt die "Richtlinie für mobiles Arbeiten" (Anlage 1).

Den betroffenen Mitarbeitenden müssen die Richtlinie für mobiles Arbeiten unterschreiben.

.

Identitäts- und Berechtigungsmanagement

Zutrittsregelung

Büroräume müssen in Abwesenheit abgeschlossen werden.


Externe und Besuchende dürfen Büroräume nur in Begleitung eines Mitarbeitenden betreten.

Zugriffsregelung

Passwortregelung

Das komplexeste Passwort ist nutzlos wenn es einem Angreifer leicht zur Verfügung gestellt wird.

Hier kommt allen Mitarbeitenden und Nutzern eine besondere Verantwortung zu. Folgende Regeln müssen bei der Nutzung von Passworten grundsätzlich beachtet werden:

  • Passwörter sind geheim zu halten!
    • Passworte dürfen nicht schriftlich notiert werden (auch nicht in Excel Tabellen o.ä.),
    • Passworte dürfen nicht per Email oder anderen Messengerdiensten versendet werden,
    • Passworte dürfen nicht per Telefon mitgeteilt werden,
    • Die Passworteingabe muss geheim (unbeobachtet) erfolgen,
  • Das Speichern von Passworte ist nur in dem dafür vorgesehen und freigegebenen Passwortsafe erlaubt. Insbesondere eine Speicherung auf Funktionstasten oder ähnlich automatisierte Eingabefunktionen ist nicht erlaubt.
  • Passworte die leicht zu erraten sind, sind nicht erlaubt. Zu vermeiden sind insbesondere:
    • Zeichenwiederholungen,
    • Zahlen und Daten aus dem Lebensbereich des Benutzers (z.B. Geburtsdatum),
    • Trivialpassworte wie Namen, Begriffe des Berufs oder Alltags,
    • Zeichenfolgen, die durch nebeneinander liegende Tasten eingegeben werden (qwertz).
  • Es dürfen keine Passworte verwendet werden, die auch im privaten Umfeld (z.B. in Shopping-Portalen oder Social Media Accounts) genutzt werden.
  • Jedes Passwort sollte nur einmal verwendet werden. Für jedes System sollte ein eigenes Passwort verwendet werden, für sensible System mit hohem Schutzbedarf muss ein individuelles Passwort verwendet werden.

Für kurzzeitig genutzte Initial- und Einmalpassworte wie sie z.B. zur Passwort Zurücksetzung verwendet werden, kann von den Regelungen abgewichen werden. Für normale Benutzeraccounts ohne administrative Berechtigungen gelten zusätzlich folgende Regeln:

  • Die Mindestlänge des Passworts beträgt 8 Zeichen
  • Das Passwort muss aus mindestens drei der folgenden Zeichengruppen bestehen:
    • Großbuchstaben (ABCDEFG...)
    • Kleinbuchstaben (abcdefg...)
    • Ziffern (0123456789)
    • Sonderzeichen (!#$%()*+,-./:;<=>)
  • Das Passwort sollte mindestens einmal im Jahr geändert werden.
  • Bei Mißbrauchsverdacht muss das Passwort unverzüglich geändert werden.
  • Die letzten fünf Passworte dürfen nicht erneut verwendet werden.
  • Bei mehr als fünf Fehlversuchen sollte eine Eingabeverzögerung von mindestens einer Minute oder die zusätzliche Abfrage eines Captcha erfolgen, alternativ muss der Account nach mehr als fünf Fehlversuchen gesperrt werden.

Datensicherung

Häufigkeit der Datensicherung

Aufbewahrung

Funktionstest

Patch- und Änderungsmanagement

Schutz vor Schadprogrammen

IT-Systeme und Netzwerke

Firewall

Passwortschutz

Auf jedem Gerät muss ein Passwort geschützter Bildschirmschoner aktiviert sein. Bei Nichtnutzung muss das Gerät nach spätestens 10 Minuten gesperrt werden.

Mobiles Arbeiten

WLAN Nutzung

Private Nutzung

Fernwartung

Elementarschäden

Schlussbemerkung

Inkrafttreten

Diese Richtlinie tritt zum <01.01.2222> in Kraft.

Freigegeben durch: <Organisationsleitung>

Ort, 01.12.2220,

Unterschrift, Name der Leitung