RiLi-Freigabe

Aus ISMS-Ratgeber WiKi
Version vom 22. August 2024, 18:23 Uhr von Dirk (Diskussion | Beiträge) (→‎Telekommunikationsgesetz (TKG))
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Die Freigaberichtlinie beschreibt den Prozess zur Genehmigung und Verwaltung der Einführung neuer Hard- und Software. Sie umfasst Antragsstellung, Genehmigung, Umsetzung und Überprüfung, um Sicherheit, Compliance und Effizienz zu gewährleisten.

Einleitung

Die Freigabe von Hardware und Software ist ein wesentlicher Bestandteil unserer Sicherheitsstrategie, um sicherzustellen, dass alle technologischen Ressourcen angemessen geschützt und genutzt werden. Diese Richtlinie legt die Standards und Verfahren fest, die bei der Bereitstellung, Installation und Nutzung von Hardware und Software in unserer Organisation einzuhalten sind. Die Freigabe von Hardware und Software umfasst auch die Gewährleistung, dass sie den Sicherheitsstandards entsprechen, angemessen konfiguriert sind und gleichermaßen den geschäftlichen Anforderungen wie auch den Sicherheitsanforderungen der Organisation entsprechen. Eine sorgfältige Freigabe von Hardware und Software trägt dazu bei, die Integrität, Vertraulichkeit und Verfügbarkeit unserer IT-Infrastruktur zu wahren und potenzielle Sicherheitsrisiken zu minimieren.

Geltungsbereich

Diese Freigaberichtlinie ist verbindlich für alle Mitarbeitenden und Dritte, die mit der Beschaffung und Einführung von IT-Infrastruktur und den damit verbundenen Anwendungen betraut sind. Jeder Mitarbeitende ist verpflichtet, diese Richtlinie einzuhalten und die Freigabeverfahren ordnungsgemäß durchzuführen.

Sie umfasst alle Arten von Hardware und Software, einschließlich, aber nicht beschränkt auf Computer, Server, Netzwerkgeräte, Betriebssysteme und Anwendungen.

Zielsetzung

Die Zielsetzung dieser Freigaberichtlinie besteht darin, klare Richtlinien und Verfahren festzulegen, um die sichere Freigabe von Hardware und Software in unserer Organisation zu gewährleisten. Konkret verfolgt diese Richtlinie folgende Ziele:

  • Sicherheit gewährleisten: Die Freigabe von Hardware und Software soll dazu beitragen, die Sicherheit unserer IT-Infrastruktur zu gewährleisten, indem potenzielle Sicherheitslücken minimiert und die Einhaltung von Sicherheitsstandards sichergestellt wird.
  • Risiken minimieren: Durch eine klare und strukturierte Freigabeprozess soll das Risiko unbefugter Zugriffe, Datenverluste und anderer Sicherheitsvorfälle minimiert werden.
  • Effizienz fördern: Die Freigabe von Hardware und Software soll effizient und zeitnah erfolgen, um den reibungslosen Betrieb unserer Geschäftsprozesse sicherzustellen.
  • Compliance sicherstellen: Die Richtlinie soll sicherstellen, dass alle Freigaben im Einklang mit geltenden gesetzlichen Bestimmungen, branchenspezifischen Vorschriften und internen Richtlinien erfolgen.
  • Konsolidierung von Hardware und Software: Durch die konsolidierte Verwaltung von Hardware und Software streben wir einen sicheren und effizienten Betrieb an, um die Komplexität zu reduzieren, die Kontrolle zu verbessern und die Kosten zu senken.

Diese Ziele dienen als Leitlinien für alle Mitarbeitenden, die an der Freigabe von Hardware und Software beteiligt sind, und sollen sicherstellen, dass dieser Prozess transparent, effektiv und sicher erfolgt.

Gesetzliche Rahmenbedingungen

Die gesetzlichen Rahmenbedingungen für einen Freigabeprozess variieren je nach Land, Branche und Art der Organisation. Im Allgemeinen müssen Organisationen jedoch sicherstellen, dass ihre Freigabeprozesse mit relevanten gesetzlichen Vorschriften und Best Practices im Einklang stehen. Hier sind einige wichtige gesetzliche Rahmenbedingungen, die bei der Gestaltung eines Freigabeprozesses berücksichtigt werden sollten:

Datenschutzgrundverordnung (DSGVO)
  • EU-weite Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
  • Stellt Anforderungen an die Verarbeitung personenbezogener Daten, einschließlich Sicherheitsmaßnahmen.
Bundesdatenschutzgesetz (BDSG)
  • Deutsches Gesetz, das die DSGVO in Deutschland ergänzt und nationale Besonderheiten regelt.
  • Gibt zusätzliche Bestimmungen für den Datenschutz in Deutschland vor.
IT-Sicherheitsgesetz (IT-SiG)
  • In Deutschland regelt das IT-SiG die Sicherheit von informationstechnischen Systemen in sogenannten "kritischen Infrastrukturen".
  • Verpflichtet Betreiber kritischer Infrastrukturen zur Umsetzung von angemessenen Sicherheitsmaßnahmen.
Telekommunikationsgesetz (TKG)
  • Regelungen für den Schutz von Telekommunikationsdaten in Deutschland.
  • Enthält Bestimmungen zur Sicherheit von Netzen und Diensten.

Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.

Definitionen

Freigabearten

Freigabearten definiert die verschiedenen Arten der Freigabe. In diesen Abschnitten werden die Anforderungen und Prozesse beschrieben, die für die Genehmigung und Implementierung neuer Ressourcen und Technologien erforderlich sind, je nachdem, welche Art von Ressource oder Technologie freigegeben werden soll.

Hardware Freigabe

Neue Hardware muss vor ihrer Verwendung freigegeben werden. Dies umfasst den Kauf neuer Hardware sowie die Verwendung bereits vorhandener Hardware für einen neuen Eisatzzweck.

Die Freigabe muss mindestens von der zuständigen Betriebsorganisation genehmigt werden (Betriebsfreigabe), um sicherzustellen, dass die Hardware den Standards der Organisation entspricht und kompatibel mit der vorhandenen Infrastruktur ist. Für die erstmalige Freigabe neuer Hardware-Typen oder Appliances muss auch eine Sicherheitsfreigabe erfolgen. Für Überwachungshardware wie z.B. Kameras kann auch eine Dateschutzfreigabe erforderlich sein.

Software Freigabe

Die Freigabe der Software ist vor der ersten Nutzung und bei wesentlichen Aktualisierungen oder Erweiterungen zu genehmigen.

Wesentliche Aktualisierungen und Erweiterungen sind alle Änderungen der Grundfunktion der Software oder die Erweiterung des Funktionsumfangs. Nicht darunter fallen Patches, die Sicherheitslücken schließen, Fehler beheben oder die Stabilität verbessern.

Dies umfasst den Kauf neuer Software sowie die Verwendung bereits vorhandener Software. Die Freigabe muss von der zuständigen Betriebsorganisation (Betriesfreigabe) sowie vom Sicherheitsmanagement (Sicherheitsfreigabe) genehmigt werden, um sicherzustellen, dass die Software den Standards der Organisation entspricht und kompatibel mit der vorhandenen Infrastruktur ist.

Die Software muss im Rahmen der Sicherheitsfreigabe auch auf Sicherheitsbedrohungen und Schwachstellen getestet werden, bevor sie freigegeben wird.

Werden personenbezogenen Daten verarbeitet ist auch eine Datenschutzfreigabe erforderlich.

Verfahrens Freigabe

Verfahren zeichnen sich durch ein besonders komplexes Zusammenspiel verschiedener Hard- und Softwarekomponenten aus oft unterschiedlichen Bereichen aus und bergen daher aufgrund ihrer zahlreichen Schnittstellen komplexere Risiken.

Verfahren müssen vor ihrer Anwendung validiert werden. Dies umfasst sowohl interne Verfahren als auch externe Verfahren, die von der Organisation eingesetzt werden. Die Freigabe muss dabei von mehreren zuständigen Organisationseinheiten gemeinsam genehmigt werden, um sicherzustellen, dass die Verfahren den Standards der Organisation entsprechen, mit den relevanten Gesetzen und Vorschriften übereinstimmen und alle Risiken, die sich aus dem Zusammenwirken unterschiedlicher Komponenten ergeben, berücksichtigt werden.

Freigabeinstanzen

Hier folgt die Definition der verschiedenen Instanzen die eine Freigabe durchlafen muss. Diese Instanzen sind verantwortlich für die Überprüfung und Genehmigung von Freigaben aus unterschiedlichen Perspektiven. Durch die Genehmigung dieser Freigaben wird sichergestellt, dass alle Ressourcen und Verfahren den geltenden Richtlinien und Standards entsprechen und die Sicherheit und Integrität unserer IT-Systeme gewährleistet ist.

Betriebsfreigabe

Die Betriebsfreigabe umfasst die Freigabe der Betriebsmittel (Hardware, Software) und der erforderlichen Betriebsprozesse und muss vor deren Einsatz genehmigt werden. Dies umfasst alle Aktivitäten, die in der Organisation im Zusammenhang mit dem Betrieb durchgeführt werden, einschließlich Installation, Tests, Personal, Ausbildung und Finanzen.

Die Freigabe muss von der zuständigen operativen Organisationseinheit genehmigt werden, um sicherzustellen, dass die Betriebsmittel und -verfahren den Vorgaben und Standards der Organisation entsprechen, mit der vorhandenen Infrastruktur kompatibel sind und alle für den Betrieb erforderlichen personellen, fachlichen, räumlichen und technischen Ressourcen zur Verfügung stehen.

Sicherheitsfreigabe

Die Sicherheitsfreigabe bezieht sich auf die Gewährleistung von Verfügbarkeit, Integrität und Vertraulichkeit von IT-Ressourcen. Dabei handelt es sich um einen strukturierten Ansatz, der sicherstellt, dass alle Hardwarekomponenten, Softwareanwendungen und Verfahren den festgelegten Sicherheitsstandards und -richtlinien entsprechen und angemessen implementiert werden.

Die Hardware oder Software muss im Rahmen der Sicherheitsfreigabe im Zweifelsfall auch auf Sicherheitsbedrohungen und Schwachstellen getestet werden, bevor sie freigegeben wird.

Datenschutzfreigabe

Die Datenschutzfreigabe muss vom Datenschutzbeauftragten genehmigt werden und muss für alle Komponenten erfolgen, in denen personenbezogene Daten verarbeitet werden.

Voraussetzung für eine Freigabe

Die Voraussetzungen für eine Freigabe gemäß Freigabeprozess umfassen:

  • Vollständiger und angemessen begründeter Antrag: Der Antragsteller muss alle relevanten Informationen bereitstellen, einschließlich einer detaillierten Beschreibung der benötigten Hardware oder Software, des beabsichtigten Verwendungszwecks, des Budgets und etwaiger Sicherheitsanforderungen.
  • Compliance mit Richtlinien und Standards: Die beantragte Hardware oder Software muss den geltenden Sicherheitsrichtlinien, Standards und Vorschriften der Organisation entsprechen, einschließlich Datenschutzbestimmungen, IT-Sicherheitsrichtlinien und branchenspezifischen Anforderungen.
  • Budgetverfügbarkeit: Es muss ausreichend Budget vorhanden sein, um die Kosten für die Beschaffung, Installation, Konfiguration und Wartung der beantragten Hardware oder Software zu decken.
  • Sicherheitsbewertung: Eine Sicherheitsbewertung muss durchgeführt werden, um potenzielle Risiken im Zusammenhang mit der Freigabe zu identifizieren und geeignete Sicherheitsmaßnahmen zu empfehlen oder zu implementieren.
  • Zustimmung der Genehmigungsstellen: Die Genehmigungsstellen, die je nach Freigabeart variieren können, müssen den Antrag genehmigen, basierend auf Faktoren wie Budgetverfügbarkeit, Sicherheitsanforderungen und Geschäftszielen.
  • Verfügbarkeit von qualifiziertem IT-Personal: Es muss qualifiziertes IT-Personal verfügbar sein, um die Umsetzung der Hardware- oder Software-Freigabe durchzuführen, einschließlich Beschaffung, Installation, Konfiguration, Integration in die bestehende IT-Infrastruktur und laufender Betrieb der Hardware oder Software.
  • Dokumentation: Alle relevanten Informationen und Dokumentationen im Zusammenhang mit der Freigabe müssen sorgfältig dokumentiert und archiviert werden, einschließlich des Freigabeantrags, der Genehmigungsentscheidung, der Konfigurationseinstellungen und etwaiger Schulungsunterlagen.

Freigabeprozess

Der Freigabeprozess muss für jede Organisation individuell definiert werden. Es folgt eine allgemeine Beschreibung der Prozessschritte, die für die jeweilige Organisation konkretisiert werden müssen.

Antragsstellung

  • Organisationseinheiten oder Mitarbeitende, die Bedarf an neuer Hardware, Software oder Verfahren haben, müssen einen formellen Antrag stellen, der die genauen Anforderungen und Begründungen für die Freigabe enthält.
  • Der Antrag sollte über ein definiertes Formular oder elektronisches System eingereicht werden, das alle relevanten Informationen erfasst, einschließlich Budgetierung und geplanter Nutzung.

Genehmigung

  • Der Antragsprozess beinhaltet die Überprüfung und Genehmigung durch die zuständigen Freigabeinstanzen, die je nach Art der Anfrage variieren können.
  • Die Genehmigungsentscheidung der jeweiligen Instanz basiert auf Faktoren wie Budgetverfügbarkeit, Sicherheitsanforderungen, Geschäftsnutzen, Betriebskapazitäten und Compliance.

Umsetzung

  • Nach Genehmigung des Antrags wird die Umsetzung der Freigabe durchgeführt, einschließlich Beschaffung, Installation, Konfiguration und Integration in die bestehende IT-Infrastruktur.
  • Dieser Schritt wird von qualifiziertem IT-Personal durchgeführt, um sicherzustellen, dass alle Sicherheits- und Konfigurationsrichtlinien eingehalten werden.

Überprüfung und Dokumentation

  • Nach Abschluss der Umsetzung erfolgt eine Überprüfung, um sicherzustellen, dass die Freigabe den Anforderungen entspricht und ordnungsgemäß funktioniert.
  • Alle relevanten Informationen und Dokumentationen, einschließlich der Freigabebeschlüsse, Konfigurationseinstellungen und Schulungsunterlagen, werden sorgfältig dokumentiert und archiviert.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung