RiLi-Informationssicherheit KKU: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| Zeile 255: | Zeile 255: | ||
''Unterschrift, Name der Leitung'' | ''Unterschrift, Name der Leitung'' | ||
[[Kategorie:Mustervorlage]] | |||
[[Kategorie:Entwurf]] | |||
Version vom 24. Mai 2023, 07:50 Uhr
Mustervorlage: "Richtlinie zur Informationssicherheit nach DIN SPEC 27076"
Diese Mustervorlage dient als Entwurf für ein Sicherheits-Richtlinie für Kleinst- und Kleinunternehmen auf Basis von DIN SPEC 27076. Die DIN SPEC 27076 regelt die Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen, stellt also eigentlich keine Basis für ein Sicherheits-Richtlinie oder gar ein ISMS dar. Sie definiert aber Anforderungen, die im Zuge der Beratung nach DIN SPEC 27076 in einem definierten Prozess vom Berater abgefragt werden sollen.
Ein expliziter Nachweis einer Sicherheits-Richtlinie oder gar eine Zertifizierung auf dieser Basis ist hier nicht vorgesehen. Dennoch kann es für die betroffenen Kleinst- und Kleinunternehmen sinnvoll sein, die Ergebnisse der Beratung in eine unternehmenseigene Informationssicherheits-Richtlinie einfließen zu lassen, so hat das Unternehmen zumindest eine rudimentäre schriftliche Richtlinie zur Informationssicherheit in der die umgesetzten oder angestrebten Maßnahmen zur Informationssicherheit dokumentiert sind. Diese Sicherheits-Richtlinie kann auch zur Vorbereitung einer Beratung oder ganz unabhängig davon als mit vertretbarem Aufwand einfach umzusetzendes internes Regelwerk und Einstieg in ein Sicherheitsmanagement des Unternehmens dienen.
Aufgrund der geringen Bearbeitungstiefe und zur leichteren Pflege der Dokumentation, werden in dieser Richtlinie alle Belange in einem Dokument bearbeitet.
Informationssicherheits-Richtlinie
Informationssicherheits-Richtlinie der <Organisation> auf Basis von DIN SPEC 27076 "Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen“
Unternehmen
Name des Unternehmens: <Organisationsname>
Sitz des Unternehmens: <Straße, Postleitzahl, Stadt, Bundesland, Land>
Rechtsform des Unternehmens: <Rechtsform>
Handelsregister-Nummer: <(falls vorhanden)>
Name des/der verantwortlichen Geschäftsführenden: <Name (Titel)>
Anzahl der Beschäftigten im Unternehmen: <Anzahl insgesamt>
Tätigkeit des Unternehmens
Beschreibe in 2-3 Sätzen in welcher Branche dein Unternehmen Tätig ist und was es produziert bzw. welche Dienstleistung es erbringt.
Einleitung
IT-Sicherheit ist ein komplexes Thema und erfordert Erfahrung und spezifische Fachkenntnisse. Insbesondere kleine und Kleinstunternehmen wie die <Organisation> stehen hier vor besonderen Herausforderungen. Die <Organisation> nutzt als Grundlage für ihr Sicherheits-Richtlinie den Standard DIN SPEC 27076, hier insbesondere den Anforderungskatalog in Anhang A.
Geltungsbereich
Diese Sicherheits-Richtlinie gilt für den gesamten Geschäftsbereich der <Organisation> und ist für alle Mitarbeitenden der <Organisation> verbindlich.
Zielsetzung
Definition der Ziele der Organisation mit kurzer Beschreibung der Inhalte wie z.B.: (Inhalte bei Bedarf anpassen)
Ziel dieses Sicherheits-Richtlinies der <Organisation> ist es:
- Bewusstsein für Informationssicherheit in der gesamte <Organisation> schaffen
- Einhaltung von Gesetzen oder Vorschriften
- Einhaltung von Verträgen und Lieferzusagen
- Wahrung von Persönlichkeitsrechten von Mitarbeitenden, Geschäftspartnern und Kunden
- Funktionale Sicherstellung der Aufgabenerledigung zur Erfüllung der Geschäftsprozesse
- Schutz der Verfügbarkeit von IT-Systemen, Diensten und Informationen
- Vermeidung von Ansehensverlust bzw. Imageschaden der Organisation
Gesetzliche Rahmenbedingungen
Auflistung der Gesetzlichen Rahmenbedingungen der Organisation und kurze Beschreibung z.B.: (Inhalte anpassen)
- Europäischen Datenschutz-Grundverordnung (DSVGO)
- Bundesdatenschutzgesetz (BDSG)
- Telekommunikationsgesetz (TKG)
- Telemediengesetz (TMG)
- ...
Geschäftsprozesse
Kurze Beschreibung der Kern-Geschäftsprozesse der Organisation.
Kern-Geschäftsprozesse sind die zentralen Prozesse, die unmittelbar zur Wertschöpfung eines Unternehmens beitragen und somit entscheidend für den Erfolg des Unternehmens sind. Sie sind in der Regel eng mit den strategischen Zielen des Unternehmens verknüpft und haben direkten Einfluss auf die Kundenzufriedenheit und die Rentabilität des Unternehmens.
Um deine Kern-Geschäftsprozesse herauszufinden, nutze folgende Schritte:
- Geschäftsziele: Überlege dir, welche Ziele dein Unternehmen erreichen möchten. Dies kann Umsatzwachstum, Gewinnmaximierung, Kundenzufriedenheit, Kostensenkung, Qualitätssteigerung oder andere Ziele sein.
- Geschäftsprozesse: Mache eine Liste aller Prozesse, die in deinem Unternehmen stattfinden. Prozesse sind wesentliche, wiederholbare Aktivitäten oder Arbeitsabläufe die zur Erreichung der Geschäftsziele oder zur Erzeugung der Produkte deines Unternehmens erforderlich sind.
- Kern-Geschäftsprozesse: Identifiziere aus der Liste der Geschäftsprozesse diejenigen, die am engsten mit den strategischen Zielen deines Unternehmens verbunden sind und die den größten Einfluss auf den Erfolg deines Unternehmens haben (das sollten i.d.R. nicht mehr als 3-4 sein).
Einige Beispiele für Kern-Geschäftsprozesse könnten sein:
- Produktion oder Fertigung
- Vertrieb und Marketing
- Kundenbetreuung und Service
- Forschung und Entwicklung
Verantwortliche
Geschäftsführung
Mitarbeitende
Maßnahmen zur Informationssicherheit
Organisation & Sensibilisierung
Verantwortlichkeit für Informationssicherheit
Beauftragter für Informationssicherheit
Die Geschäftsführung hat <Name des ISB> als Informationssicherheitsbeauftragten (ISB) benannt.
Der ISB wird zu <xx> Prozent von seinen sonstigen Tätigkeiten für die Bearbeitung von Themen der Informationssicherheit freigestellt.
Der ISB schult und sensibilisiert alle Mitarbeitenden regelmäßig (min. 2x / Jahr) zu Themen der Informationssicherheit.
Meldung von Sicherheitsvorfällen
Alle Mitarbeitenden sind aufgefordert Sicherheitsvorfälle oder andere Auffälligkeiten möglichst unverzüglich an den ISB <Telefonnummer, Email-Adresse> zu melden.
Sicherheitsvorfälle können z.B. sein:
- ein vermuteter oder erkannter Virenbefall oder andere Schadsoftware,
- vermutete oder erkannte Phishing-Emails oder andere Verdächtige Emails oder Anrufe,
- ..
- Verlust von IT-Geräten, Smartphones, Datenträgern, USB-Sticks oder anderen sicherheits- oder datenschutzrelevanten Geräten oder Unterlagen.
Externe Dienstleister
Externe Dienstleister..
Vertraulichkeitserklärung
Umgang mit Informationen
Alle Informationen der <Organisation> müssen bezüglich ihrer Relevanz für die Informationssicherheit eingestuft werden (Klassifizierung). Hierfür ist jeder Mitarbeitende der Informationen erstellt, erhebt oder von Dritten (z.B. Partnern, Kunden) übergeben bekommt selbst verantwortlich, In Zweifelsfällen hilft der ISB bei der Klassifizierung.
In der <Organisation> werden die Klassen öffentlich, intern und vertraulich verwendet. Nicht klassifizierte Dokumente entsprechen der Klasse öffentlich.
Die Klassifizierung ist im Kopf des Dokuments oder bei anderen Daten in der zugehörigen Dokumentation anzugeben.
Die Bedeutung der Klassen und deren Verwendung ist der folgenden Tabelle definiert:
| öffentlich nicht klassifiziert |
intern | vertraulich | |
|---|---|---|---|
| Beispiele | Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine | Richtlinien, Konzepte, Raumpläne, Organigramme, Informationen zu Kunden, Vertragsdaten | Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten |
| Kenntnis | jeder | nur Mitarbeitende ggf. Geschäftspartner und Kunden |
begrenzte Gruppe von Mitarbeitenden (z.B nur Geschäftsführung oder Entwickler) |
| Ablage | beliebig | nur auf internen Systemen der Organisation | nur in besonders zugriffsgeschützten Bereichen |
| Cloud | beliebig | nur europäische Cloudspeicher | nur europäische Cloudspeicher und zusätzlich Verschlüsselt |
| Mobile Speicher |
beliebig | nur zusätzlich verschlüsselt | nur auf vom ISB freigegebenen, verschlüsselten Datenträger |
| Ausdruck Kopie |
beliebig | nur innerhalb der Organisation | nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B. Geschäftsführung, Entwicklung) |
| Übermittlung (intern) |
beliebig | nur innerhalb der Organisation | Nur verschlüsselt oder in versiegeltem Umschlag |
| Übermittlung (extern) |
beliebig | nur an ausgewählte Geschäftspartner bzw. Kunden | Nur verschlüsselt oder in versiegeltem Umschlag |
| Löschung Vernichtung |
keine Vorgaben | gem. DIN66399 Sicherheitsklasse 1 | gem. DIN66399 Sicherheitsklasse 2 |
Richtlinie für mobiles Arbeiten
Für Mitarbeitende die mobil oder im Homeoffice arbeiten gilt die "Richtlinie für mobiles Arbeiten" (Anlage 1).
Den betroffenen Mitarbeitenden müssen die Richtlinie für mobiles Arbeiten unterschreiben.
.
Identitäts- und Berechtigungsmanagement
Zutrittsregelung
Büroräume müssen in Abwesenheit abgeschlossen werden.
Externe und Besuchende dürfen Büroräume nur in Begleitung eines Mitarbeitenden betreten.
Zugriffsregelung
Passwortregelung
Das komplexeste Passwort ist nutzlos wenn es einem Angreifer leicht zur Verfügung gestellt wird.
Hier kommt allen Mitarbeitenden und Nutzern eine besondere Verantwortung zu. Folgende Regeln müssen bei der Nutzung von Passworten grundsätzlich beachtet werden:
- Passwörter sind geheim zu halten!
- Passworte dürfen nicht schriftlich notiert werden (auch nicht in Excel Tabellen o.ä.),
- Passworte dürfen nicht per Email oder anderen Messengerdiensten versendet werden,
- Passworte dürfen nicht per Telefon mitgeteilt werden,
- Die Passworteingabe muss geheim (unbeobachtet) erfolgen,
- Das Speichern von Passworte ist nur in dem dafür vorgesehen und freigegebenen Passwortsafe erlaubt. Insbesondere eine Speicherung auf Funktionstasten oder ähnlich automatisierte Eingabefunktionen ist nicht erlaubt.
- Passworte die leicht zu erraten sind, sind nicht erlaubt. Zu vermeiden sind insbesondere:
- Zeichenwiederholungen,
- Zahlen und Daten aus dem Lebensbereich des Benutzers (z.B. Geburtsdatum),
- Trivialpassworte wie Namen, Begriffe des Berufs oder Alltags,
- Zeichenfolgen, die durch nebeneinander liegende Tasten eingegeben werden (qwertz).
- Es dürfen keine Passworte verwendet werden, die auch im privaten Umfeld (z.B. in Shopping-Portalen oder Social Media Accounts) genutzt werden.
- Jedes Passwort sollte nur einmal verwendet werden. Für jedes System sollte ein eigenes Passwort verwendet werden, für sensible System mit hohem Schutzbedarf muss ein individuelles Passwort verwendet werden.
Für kurzzeitig genutzte Initial- und Einmalpassworte wie sie z.B. zur Passwort Zurücksetzung verwendet werden, kann von den Regelungen abgewichen werden. Für normale Benutzeraccounts ohne administrative Berechtigungen gelten zusätzlich folgende Regeln:
- Die Mindestlänge des Passworts beträgt 8 Zeichen
- Das Passwort muss aus mindestens drei der folgenden Zeichengruppen bestehen:
- Großbuchstaben (ABCDEFG...)
- Kleinbuchstaben (abcdefg...)
- Ziffern (0123456789)
- Sonderzeichen (!#$%()*+,-./:;<=>)
- Das Passwort sollte mindestens einmal im Jahr geändert werden.
- Bei Mißbrauchsverdacht muss das Passwort unverzüglich geändert werden.
- Die letzten fünf Passworte dürfen nicht erneut verwendet werden.
- Bei mehr als fünf Fehlversuchen sollte eine Eingabeverzögerung von mindestens einer Minute oder die zusätzliche Abfrage eines Captcha erfolgen, alternativ muss der Account nach mehr als fünf Fehlversuchen gesperrt werden.
Datensicherung
Häufigkeit der Datensicherung
Aufbewahrung
Funktionstest
Patch- und Änderungsmanagement
Schutz vor Schadprogrammen
IT-Systeme und Netzwerke
Firewall
Passwortschutz
Auf jedem Gerät muss ein Passwort geschützter Bildschirmschoner aktiviert sein. Bei Nichtnutzung muss das Gerät nach spätestens 10 Minuten gesperrt werden.
Mobiles Arbeiten
WLAN Nutzung
Private Nutzung
Fernwartung
Elementarschäden
Schlussbemerkung
Inkrafttreten
Diese Richtlinie tritt zum <01.01.2222> in Kraft.
Freigegeben durch: <Organisationsleitung>
Ort, 01.12.2220,
Unterschrift, Name der Leitung
