RiLi-Informationssicherheit KKU
Mustervorlage: "Richtlinie zur Informationssicherheit nach DIN SPEC 27076"
Die DIN SPEC 27076 regelt die Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen und stellt somit keine Grundlage für eine Sicherheitsrichtlinie oder gar ein ISMS dar. Sie definiert jedoch Anforderungen, die im Rahmen der Beratung nach DIN SPEC 27076 in einem definierten Prozess vom Berater abgefragt werden sollen.
Ein expliziter Nachweis einer Sicherheitsrichtlinie oder gar eine Zertifizierung auf dieser Basis ist hier nicht vorgesehen. Dennoch kann es für die betroffenen Kleinst- und Kleinunternehmen sinnvoll sein, die Ergebnisse der Beratung in eine unternehmenseigene Informationssicherheitsleitlinie einfließen zu lassen, so dass das Unternehmen zumindest über eine rudimentäre schriftliche Informationssicherheitsleitlinie verfügt, in der die umgesetzten oder angestrebten Maßnahmen zur Informationssicherheit dokumentiert sind. Diese Sicherheitsleitlinie kann auch zur Vorbereitung einer Beratung oder unabhängig davon als mit vertretbarem Aufwand einfach umsetzbares internes Regelwerk und Einstieg in ein Sicherheitsmanagement des Unternehmens dienen.
Aufgrund der geringen Bearbeitungstiefe und zur leichteren Pflege der Dokumentation werden in dieser Richtlinie alle Belange in einem Dokument behandelt.
Informationssicherheits-Richtlinie
Informationssicherheits-Richtlinie der <Organisation> auf Basis von DIN SPEC 27076 "Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen“
Unternehmen
Name des Unternehmens: <Organisationsname>
Sitz des Unternehmens: <Straße, Postleitzahl, Stadt, Bundesland, Land>
Rechtsform des Unternehmens: <Rechtsform>
Handelsregister-Nummer: <(falls vorhanden)>
Name des/der verantwortlichen Geschäftsführenden: <Name (Titel)>
Anzahl der Beschäftigten im Unternehmen: <Anzahl insgesamt>
Tätigkeit des Unternehmens
Beschreibe in 2-3 Sätzen in welcher Branche dein Unternehmen Tätig ist und was es produziert bzw. welche Dienstleistung es erbringt.
Einleitung
IT-Sicherheit ist ein komplexes Thema und erfordert Erfahrung und spezifische Fachkenntnisse. Insbesondere kleine und Kleinstunternehmen wie die <Organisation> stehen hier vor besonderen Herausforderungen. Die <Organisation> nutzt als Grundlage für ihr Sicherheits-Richtlinie den Standard DIN SPEC 27076, hier insbesondere den Anforderungskatalog in Anhang A.
Geltungsbereich
Diese Sicherheits-Richtlinie gilt für den gesamten Geschäftsbereich der <Organisation> und ist für alle Mitarbeitenden der <Organisation> verbindlich.
Zielsetzung
Definition der Ziele der Organisation mit kurzer Beschreibung der Inhalte wie z.B.: (Inhalte bei Bedarf anpassen)
Ziel dieses Sicherheits-Richtlinies der <Organisation> ist es:
- Bewusstsein für Informationssicherheit in der gesamte <Organisation> schaffen
- Einhaltung von Gesetzen oder Vorschriften
- Einhaltung von Verträgen und Lieferzusagen
- Wahrung von Persönlichkeitsrechten von Mitarbeitenden, Geschäftspartnern und Kunden
- Funktionale Sicherstellung der Aufgabenerledigung zur Erfüllung der Geschäftsprozesse
- Schutz der Verfügbarkeit von IT-Systemen, Diensten und Informationen
- Vermeidung von Ansehensverlust bzw. Imageschaden der <Organisation>
Gesetzliche Rahmenbedingungen
Auflistung der Gesetzlichen Rahmenbedingungen der Organisation und kurze Beschreibung z.B.: (Inhalte anpassen)
- Europäischen Datenschutz-Grundverordnung (DSVGO)
- Bundesdatenschutzgesetz (BDSG)
- Telekommunikationsgesetz (TKG)
- Telemediengesetz (TMG)
- ...
Geschäftsprozesse
Kurze Beschreibung der Kerngeschäftsprozesse der Organisation.
Kerngeschäftsprozesse sind die zentralen Prozesse, die unmittelbar zur Wertschöpfung eines Unternehmens beitragen und damit entscheidend für den Unternehmenserfolg sind. Sie sind in der Regel eng mit den strategischen Zielen des Unternehmens verknüpft und haben direkten Einfluss auf die Kundenzufriedenheit und die Rentabilität des Unternehmens.
Um die Kerngeschäftsprozesse zu identifizieren, nutze folgende Schritte:
- Geschäftsziele: Überlege, welche Ziele dein Unternehmen erreichen möchte. Das können Umsatzwachstum, Gewinnmaximierung, Kundenzufriedenheit, Kostensenkung, Qualitätsverbesserung oder andere Ziele sein.
- Geschäftsprozesse: Erstelle eine Liste aller Prozesse, die in deinem Unternehmen ablaufen. Prozesse sind wesentliche, wiederholbare Aktivitäten oder Arbeitsabläufe, die notwendig sind, um die Geschäftsziele zu erreichen oder die Produkte deines Unternehmens herzustellen.
- Kerngeschäftsprozesse: Identifiziere aus der Liste der Geschäftsprozesse diejenigen, die am engsten mit den strategischen Zielen deines Unternehmens verbunden sind und die den größten Einfluss auf den Erfolg deines Unternehmens haben (dies sollten in der Regel nicht mehr als 3-5 Prozesse sein).
Einige Beispiele für Kerngeschäftsprozesse könnten sein:
- Produktion oder Fertigung
- Vertrieb und Marketing
- Kundenbetreuung und Service
- Forschung und Entwicklung
Prozess | Beschreibung | Verantwortlicher |
---|---|---|
Verantwortliche
Geschäftsführung
Die Geschäftsführung ist verantwortlich für die Sicherstellung der Informationssicherheit. Dies beinhaltet die Entwicklung von Sicherheitsrichtlinien, die Bereitstellung von Ressourcen für Sicherheitsmaßnahmen, die Identifizierung und Minimierung von Risiken, die Einhaltung von Datenschutzbestimmungen, die Sensibilisierung der Mitarbeiter für Sicherheitsfragen und die Koordination mit der IT-Abteilung oder den IT-Dienstleistern. Sie müssen auch auf Sicherheitsvorfälle angemessen reagieren, Lieferantenbewertungen durchführen und Sicherheitsmaßnahmen regelmäßig überprüfen.
Mitarbeitende
Die Mitarbeitenden tragen wesentlich zur Informationssicherheit bei, indem sie Sicherheitsrichtlinien befolgen, starke Passwörter verwenden, vor Phishing schützen, verdächtige Aktivitäten melden und regelmäßige Software-Updates durchführen. Sie sollten auch sichere Datenpraktiken pflegen, vertrauenswürdige Quellen für Downloads wählen und bei der Nutzung von Geräten und Netzwerken Vorsicht walten lassen.
Maßnahmen zur Informationssicherheit
Organisation & Sensibilisierung
Verantwortlichkeit für Informationssicherheit
Beauftragter für Informationssicherheit
Die Geschäftsführung hat <Name des ISB> als Informationssicherheitsbeauftragten (ISB) benannt.
Der ISB wird zu <xx> Prozent von seinen sonstigen Tätigkeiten für die Bearbeitung von Themen der Informationssicherheit freigestellt.
Der ISB schult und sensibilisiert alle Mitarbeitenden regelmäßig (min. 2x / Jahr) zu Themen der Informationssicherheit.
Meldung von Sicherheitsvorfällen
Alle Mitarbeitenden sind aufgefordert Sicherheitsvorfälle oder andere Auffälligkeiten möglichst unverzüglich an den ISB <Telefonnummer, Email-Adresse> zu melden.
Sicherheitsvorfälle können z.B. sein:
- ein vermuteter oder erkannter Virenbefall oder andere Schadsoftware,
- vermutete oder erkannte Phishing-Emails oder andere Verdächtige Emails oder Anrufe,
- ..
- Verlust von IT-Geräten, Smartphones, Datenträgern, USB-Sticks oder anderen sicherheits- oder datenschutzrelevanten Geräten oder Unterlagen.
Externe Dienstleister
Externe Dienstleister..
Vertraulichkeitserklärung
Umgang mit Informationen
Alle Informationen der <Organisation> müssen bezüglich ihrer Relevanz für die Informationssicherheit eingestuft werden (Klassifizierung). Hierfür ist jeder Mitarbeitende der Informationen erstellt, erhebt oder von Dritten (z.B. Partnern, Kunden) übergeben bekommt selbst verantwortlich, In Zweifelsfällen hilft der ISB bei der Klassifizierung.
In der <Organisation> werden die Klassen öffentlich, intern und vertraulich verwendet. Nicht klassifizierte Dokumente entsprechen der Klasse öffentlich.
Die Klassifizierung ist im Kopf des Dokuments oder bei anderen Daten in der zugehörigen Dokumentation anzugeben.
Die Bedeutung der Klassen und deren Verwendung ist der folgenden Tabelle definiert:
öffentlich nicht klassifiziert |
intern | vertraulich | |
---|---|---|---|
Beispiele | Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine | Richtlinien, Konzepte, Raumpläne, Organigramme, Informationen zu Kunden, Vertragsdaten | Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten |
Kenntnis | jeder | nur Mitarbeitende ggf. Geschäftspartner und Kunden |
begrenzte Gruppe von Mitarbeitenden (z.B nur Geschäftsführung oder Entwickler) |
Ablage | beliebig | nur auf internen Systemen der Organisation | nur in besonders zugriffsgeschützten Bereichen |
Cloud | beliebig | nur europäische Cloudspeicher | nur europäische Cloudspeicher und zusätzlich Verschlüsselt |
Mobile Speicher |
beliebig | nur zusätzlich verschlüsselt | nur auf vom ISB freigegebenen, verschlüsselten Datenträger |
Ausdruck Kopie |
beliebig | nur innerhalb der Organisation | nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B. Geschäftsführung, Entwicklung) |
Übermittlung (intern) |
beliebig | nur innerhalb der Organisation | Nur verschlüsselt oder in versiegeltem Umschlag |
Übermittlung (extern) |
beliebig | nur an ausgewählte Geschäftspartner bzw. Kunden | Nur verschlüsselt oder in versiegeltem Umschlag |
Löschung Vernichtung |
keine Vorgaben | gem. DIN66399 Sicherheitsklasse 1 | gem. DIN66399 Sicherheitsklasse 2 |
Richtlinie für mobiles Arbeiten
Für Mitarbeitende die mobil oder im Homeoffice arbeiten gilt die "Richtlinie für mobiles Arbeiten" (Anlage 1).
Die betroffenen Mitarbeitenden müssen die Richtlinie für mobiles Arbeiten unterschreiben.
.
Identitäts- und Berechtigungsmanagement
Zutrittsregelung
Büroräume müssen in Abwesenheit abgeschlossen werden.
Externe und Besuchende dürfen Büroräume nur in Begleitung eines Mitarbeitenden betreten.
Zugriffsregelung
Passwortregelung
Das komplexeste Passwort ist nutzlos wenn es einem Angreifer leicht zur Verfügung gestellt wird.
Hier kommt allen Mitarbeitenden und Nutzern eine besondere Verantwortung zu. Folgende Regeln müssen bei der Nutzung von Passworten grundsätzlich beachtet werden:
- Passwörter sind geheim zu halten!
- Passworte dürfen nicht schriftlich notiert werden (auch nicht in Excel Tabellen o.ä.),
- Passworte dürfen nicht per Email oder anderen Messengerdiensten versendet werden,
- Passworte dürfen nicht per Telefon mitgeteilt werden,
- Die Passworteingabe muss geheim (unbeobachtet) erfolgen,
- Das Speichern von Passworte ist nur in dem dafür vorgesehen und freigegebenen Passwortsafe erlaubt. Insbesondere eine Speicherung auf Funktionstasten oder ähnlich automatisierte Eingabefunktionen ist nicht erlaubt.
- Passworte die leicht zu erraten sind, sind nicht erlaubt. Zu vermeiden sind insbesondere:
- Zeichenwiederholungen,
- Zahlen und Daten aus dem Lebensbereich des Benutzers (z.B. Geburtsdatum),
- Trivialpassworte wie Namen, Begriffe des Berufs oder Alltags,
- Zeichenfolgen, die durch nebeneinander liegende Tasten eingegeben werden (qwertz).
- Es dürfen keine Passworte verwendet werden, die auch im privaten Umfeld (z.B. in Shopping-Portalen oder Social Media Accounts) genutzt werden.
- Jedes Passwort sollte nur einmal verwendet werden. Für jedes System sollte ein eigenes Passwort verwendet werden, für sensible System mit hohem Schutzbedarf muss ein individuelles Passwort verwendet werden.
Für kurzzeitig genutzte Initial- und Einmalpassworte wie sie z.B. zur Passwort Zurücksetzung verwendet werden, kann von den Regelungen abgewichen werden. Für normale Benutzeraccounts ohne administrative Berechtigungen gelten zusätzlich folgende Regeln:
- Die Mindestlänge des Passworts beträgt 8 Zeichen
- Das Passwort muss aus mindestens drei der folgenden Zeichengruppen bestehen:
- Großbuchstaben (ABCDEFG...)
- Kleinbuchstaben (abcdefg...)
- Ziffern (0123456789)
- Sonderzeichen (!#$%()*+,-./:;<=>)
- Das Passwort sollte mindestens einmal im Jahr geändert werden.
- Bei Mißbrauchsverdacht muss das Passwort unverzüglich geändert werden.
- Die letzten fünf Passworte dürfen nicht erneut verwendet werden.
- Bei mehr als fünf Fehlversuchen sollte eine Eingabeverzögerung von mindestens einer Minute oder die zusätzliche Abfrage eines Captcha erfolgen, alternativ muss der Account nach mehr als fünf Fehlversuchen gesperrt werden.
Datensicherung
Häufigkeit der Datensicherung
Aufbewahrung
Funktionstest
Patch- und Änderungsmanagement
Schutz vor Schadprogrammen
IT-Systeme und Netzwerke
Firewall
Passwortschutz
Auf jedem Gerät muss ein Passwort geschützter Bildschirmschoner aktiviert sein. Bei Nichtnutzung muss das Gerät nach spätestens 10 Minuten gesperrt werden.
Bei verlassen des Arbeitsplatzes muss das Gerät sofort manuell gesperrt werden (Windows: [Windowstaste]+L) um Unbefugten (z.B: Servicepersonal) keinen Zugriff zu ermöglichen.
Mobiles Arbeiten
In der Organisation wird grundsätzlich der Ansatz des hybriden Arbeitens verfolgt. Alle Clients verfügen über eine Festplattenverschlüsselung und eine 2-Faktor-Authentisierung (2FA) für die Verbindung zum VPN. Mobiles Arbeiten kann sowohl in einem freien Büroraum am Standort, in Coworking Spaces, im Homeoffice des Mitarbeitenden, an einem beliebigen anderen Arbeitsplatz oder unterwegs erfolgen, sofern dies den Regelungen der Organisation zum mobilen Arbeiten entspricht. Für die unterschiedlichen Einsatzszenarien wurde entsprechende Leitfäden erstellt:
WLAN Nutzung
Private Nutzung
Die private Nutzung sowie die Nutzung des WLAN durch Externe (Servicepersonal, Kunden) ist zu regeln. z.B:
Die private Nutzung der organisationseigenen Infrastruktur (Notebooks, Netzwerk, Server) ist nicht erlaubt. Für die Nutzung eigener/privater Geräte sowie für Servicepersonal, Dienstleister und Kunden steht ein eigenes Gäste-WLAN (Name des WLAN/SSID) zur Verfügung. Das Gäste-WLAN bietet einen Internetzugang und ist vom organisationseigenen Netz getrennt.
Fernwartung
Elementarschäden
Der Schutz vor Elementarschäden bezieht sich auf Maßnahmen zum Schutz von Gebäuden, Anlagen und Ressourcen vor Naturkatastrophen und extremen Umwelteinflüssen (Sturm, Wasser, Hitze, Blitzschlag).
Es müssen alle für die Organisation relevanten Elementarschadensrisiken erfasst und entsprechende Schutzmaßnahmen beschrieben werden. So ist z.B. nicht überall mit Hochwasser zu rechnen, während bestimmte Gebiete besonders gefährdet sind. Bei angemieteten Gebäuden und Räumen ist auf einen ausreichenden Brandschutz zu achten, bei IT-Betriebsräumen ist z.B. zu beachten, dass ein Standard-ABC-Feuerlöscher zwar den Brand löscht, das darin enthaltene Löschpulver aber so aggressiv ist, dass auch nicht direkt vom Feuer betroffene IT-Komponenten durch das Löschpulver zerstört werden. Hier sollten technikschonende CO2-Löscher eingesetzt werden, die wiederum durch die Sauerstoffverdrängung ein Risiko für das Personal darstellen, so dass das Personal in der sicheren Handhabung unterwiesen werden sollte.
Kurze Bestandsaufnahme der relevanten Elementarschänden:
- Erdbeben: Kurze Beschreibung ob und für welche Standorte ein Erbebenrisiko besteht und welche Schutzmaßnahmen ergriffen werden (z.B. Ausweichstandort und Datenspiegelung).
- Hochwasser: Kurze Beschreibung ob und für welche Standorte ein Hochwasserrisiko besteht (z.B. Ausweichstandort und Datenspiegelung).
- Stürme und Wirbelstürme: Kurze Beschreibung ob und für welche Standorte ein Sturmrisiko besteht (z.B. Ausweichstandort und sturmsichere Gebäudeteile, Schutzkeller/Bunker).
- Erdrutsche: Kurze Beschreibung ob und für welche Standorte ein Erdrutschrisiko besteht (z.B. Ausweichstandort und Datenspiegelung).
- Trockenheit: Kurze Beschreibung ob und für welche Standorte ein Risiko aufgrund von Trockenheit besteht (z.B. Wasserknappheit, fehlendes Kühlwasser).
- Feuer: Alle Gebäude sind mit Rauchmeldern und Feuerlöschern ausgestattet. Die EDV-Räume sind mit CO2-Feuerlöschern ausgerüstet. Die Mitarbeitenden werden jährlich im Umgang mit den Feuerlöschern geschult.
- Blitzschlag/Überspannung: Alle Gebäudeteile sind mit einem Blitzschutz nach DIN EN 62305 (VDE 0185-305) ausgestattet, EDV-Betriebsräume und sensible Einrichtungen sind mit einer netzgetrennten USV oder einem Überspannungsschutz versehen.
Schlussbemerkung
Inkrafttreten
Diese Richtlinie tritt zum <01.01.2222> in Kraft.
Freigegeben durch: <Organisationsleitung>
Ort, 01.12.2220,
Unterschrift, Name der Leitung