Security Policy - Einführung
Die in der vorherigen Folge vorgestellten technischen Möglichkeiten zum Schutz eines Netzwerks sind ziemlich nutzlos ohne ein passendes organisatorisches Konzept: Die Sicherheitsrichtlinie (Security Policy).
Wozu braucht man eine Sicherheitsrichtlinie?
Die technischen Schutzvorrichtungen wie z.B. Firewall, Intrusion-Detection- und Prevention-System oder Honeypot schützen vor vielen Gefahren, die sich aus der Anbindung eines Netzwerks an das Internet ergeben. Aber damit sie das richtig tun können, müssen sie auch richtig eingesetzt werden. Eine Firewall weiß nicht von sich aus, welche Pakete sie abweisen und welche sie passieren lassen soll. Dafür muss sie entsprechend konfiguriert werden. Ebenso ein IDS: Welche Pakete einen Alarm auslösen sollen und welche harmlos sind, muss definiert werden. Diese und alle weiteren sicherheitsrelevanten Maßnahmen und Entscheidungen müssen irgendwo festgelegt werden. Dieses "Irgendwo" sind die Sicherheitsrichtlinien. Kurz gesagt geht es dabei darum, verbindlich festzulegen, wie das IT-System geschützt wird und was zu tun ist, wenn seine Sicherheit gefährdet wird.
Laufende Anpassungen notwendig
Dabei ist es nicht damit getan, einmal Sicherheitsrichtlinien festzulegen. Diese müssen laufend an die sich ändernden Bedingungen in Unternehmen (z.B. Hinzukommen neuer Anforderungen) und Umfeld (z.B. Auftreten neuer Bedrohungen) angepasst werden. Dafür hat sich ein schrittweises Vorgehen, wie es in vielen Normen (aktuell z.B. die ISO/IEC-27000-Reihe, früher deren Vorgänger ISO/IEC 13335 und BS 7799,...) beschrieben wird, bewährt. Dabei wird von vier Projektphasen ausgegangen:
- (Sicherheits-)Ziele setzen,
- Risiken erkennen und minimieren ("Risikomanagement"),
- entsprechende Schutzmaßnahmen umsetzen und
- deren Wirksamkeit sicherstellen.
Ziele
Hauptziel der IT-Sicherheit ist der zuverlässige Betrieb der IT-Systeme entsprechend den Notwendigkeiten der Geschäftsprozesse. I.A. bedeutet dass, das man die üblichen Schutzziele der IT-Sicherheit erreichen will:
- Vertraulichkeit - Daten können nur von den dazu autorisierten Benutzern gelesen werden.
- Verfügbarkeit - Der Zugriff auf die Daten durch die authentifizierten und autorisierten Benutzer ist jederzeit gewährleistet.
- Integrität - Eine unbemerkte und unbefugte Manipulation der Daten ist nicht möglich, jede Änderung ist nachvollziehbar.
- Nicht-Abstreitbarkeit (Verbindlichkeit) - Eine vom Benutzer durchgeführte Aktion kann von diesem nicht abgestritten werden.
- Authentizität - Die Echtheit/Korrektheit der Daten lässt sich nachweisen.
Risiken
Beim Risikomanagement sind die bestehenden Risiken zu analysieren, entsprechende Schutzmaßnahmen auszuwählen und deren Umsetzung entsprechend der jeweiligen Priorität zu planen. Bei der Risikoanalyse wird das zu analysierende System vom Rest der IT-Welt abgegrenzt und in Einzelkomponenten oder Gruppen davon gegliedert. Jede Komponente bzw. Gruppe wird entsprechend ihrer Bedeutung für das Unternehmen bewertet. Danach werden mögliche Bedrohungen und Schwachstellen sowie vorhandene Schutzmaßnahmen untersucht. Darauf aufbauend werden die jeweiligen Risiken und geeignete Schutzmaßnahmen ermittelt. Danach kann entschieden werden, ob ein bestehendes Risiko toleriert und als unternehmerisches Risiko getragen werden kann oder ob ein zu hohes Risiko durch Schutzmaßnahmen auf ein akzeptables Maß reduziert werden soll.
Schutzmaßnahmen
Die Schutzmaßnahmen werden in drei Kategorien unterteilt:
- Organisatorische Schutzmaßnahmen optimieren die
betrieblichen Abläufe.
Beispiele sind der Umgang mit den Zugangs- und Zugriffsrechten eines Mitarbeiters bei dessen Ausscheiden, Vertretungsregelungen beim Ausfall eines Administrators usw. - Administrative Schutzmaßnahmen optimieren die Verwaltung der
IT-Systeme.
Beispiele sind die Administration der Firewall, die Überwachung von Intrusion-Detection- und -Prevention-Systemen oder der Umgang mit Sicherheitsupdates. Auch die Kontrolle von Umsetzung, Weiterentwicklung und Wirksamkeit der Schutzmaßnahmen gehören dazu. - Technische Schutzmaßnahmen stellen durch den Einsatz von
Hard- und Software den gewünschte Schutz her.
Beispiele sind Firewall, IDS/IPS, Virenscanner oder Verschlüsselungssoftware.
Wirksamkeit
Um die Wirksamkeit der Schutzmaßnahmen sicherzustellen sind diese an drei Anforderungsbereiche auszurichten und regelmäßig zu überprüfen und weiterzuentwickeln:
- Systembedingte Anforderungen, die sich z.B. aus vorhandenen Schwachstellen oder Einschränkungen ergeben.
- Interne Anforderungen, z.B. neu hinzukommende Schutzfunktionen, Änderungen in der Organisation oder ein erhöhter Wert der zu schützenden Daten.
- Externe Anforderungen, z.B. das Bekanntwerden neuer Schwachstellen oder Angriffe.
Die Überprüfung der Wirksamkeit erfolgt z.B. durch Penetrationstests der Firewall-, Intrusion-Detection- und -Prevention-Systeme oder eine Kontrolle der Umsetzung der organisatorischen Schutzmaßnahmen. Dabei erkannte Schwachstellen sind, ggf. durch eine Anpassung der Sicherheitsrichtlinien, zu beheben. Im Rahmen der Weiterentwicklung sind die sich durch neu hinzukommende Anforderungen ergebenden Schutzmaßnahmen in die Richtlinien aufzunehmen bzw. vorhandene Schutzmaßnahmen entsprechend anzupassen.
Ab der nächsten Folge wird die Entwicklung eine einfachen Sicherheitsrichtlinie an einem Beispiel demonstriert.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Security Policy - Ein einfaches Beispiel, Teil 1
Vorschau anzeigen