Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 26

In der Praxis habe ich immer wieder erlebt, viele Menschen erkennen die Unterschiede zwischen den einzelnen Ebenen nicht klar. Anhand nachfolgender auszugsweise wiedergegebener Beispieltextinhalte einzelner Dokumente aller Ebenen lassen sich die Wesensmerkmale der verschiedenen Hierarchien leicht darstellen. Gut abzulesen ist, wie sich die von der Spitze zur Basis zunehmende Präzisierung und der Umfang der Formulierungen niederschlägt:

1 Ebene 1 („Unternehmensleitbild“): „... Es sollen Produkte unter dem Maßstab höchster Qualität, Geschwindigkeit und Sicherheit in dieser Denkschmiede erzeugt werden und uns schon demnächst zur Marktführerschaft verhelfen ...”.

1 Ebene 2 („InfSec-Policy”): „... Alle Daten sind gegen missbräuchliche Verwendung zu schützen ...

Sowohl logischer (EDV-mäßiger) Zugriff, als auch physischer Zutritt (in Objekte des Unternehmens) sind durch Berechtigungen zu regeln ... „.

1 Ebene 3 („Grundsätze der Netzwerksicherheit“): „... Zugriff auf das Netzwerk unseres Unternehmens ist nur berechtigten und eindeutig identifizierten Personen zu ermöglichen. Identifizierte Personen sind verlässlich zu authentifizieren. Entsprechende Passwortregeln und Mechanismen sind zu implementieren...“

1 Ebene 4 ( „Richtlinien der Netzwerksicherheit“): „... Die Ausstellung eines Benutzer-Accounts für einen Mitarbeiter setzt die eindeutige Identifikation der Person voraus. Verantwortung für die Identität und Authentizität von Mitarbeitern, sowie der Evidenzhaltung der persönlichen Daten trägt die Personalabteilung. Zugriffsrechte für eine Person erfolgen aufgrund ihrer Tätigkeit und der damit verbundenen Rolle im Unternehmen. Für jeden Account ist genau eine Person verantwortlich. Accounts müssen sorgfältig verwahrt werden. Das Passwort darf nicht in Klartext notiert werden. Die Weitergabe von Account/Passwort-Information an andere Mitarbeiter ist verboten ...“

1 Ebene 5 (operativ): Hier befinden sich in unserem Beispiel Installationsanweisungen und Benutzerhandbücher für Arbeitsmittel der Benutzerverwaltung, die für die Handhabung der Benutzerkennzeichen benötigt werden. Das sind abteilungsspezifische Arbeitsanleitungen, die aber letztendlich nach den Vorgaben der InfSec-Policy und den darauf aufbauenden Grundsätzen und Richtlinien angewendet werden.

Abschließend sei nochmals erwähnt: Alle angeführten Textfassungen sind nur beispielhaft zu sehen. Individuelle Formulierungen hängen natürlich von der speziellen Firmenphilosophie ab. Prinzipiell braucht jedes einzelne Papier einen Verantwortlichen, um eine konsistente und effiziente Linie beizubehalten. Das wird in den meisten Fällen der Autor sein. Der Name dieser Person wird im Dokument vermerkt.