Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.338 Erstellung von zielgruppengerechten IT-Sicherheitsrichtlinien - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.338 Erstellung von zielgruppengerechten IT-Sicherheitsrichtlinien

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement-Team

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team

Zielgruppengerechte Vermittlung von IT-Sicherheitsthemen

Ein wichtiger Erfolgsfaktor für die Erreichung eines angemessenen Sicherheitsniveaus sind verantwortungsbewusste und kompetente Mitarbeiter, die koordiniert zusammenarbeiten. Dabei bringen Management, IT-Benutzer, Administratoren und IT-Sicherheitsexperten sehr individuelle fachliche Voraussetzungen mit und nehmen unterschiedliche Aufgaben wahr. Während die Unternehmens- bzw. Behördenleitung die Gesamtverantwortung trägt, Ziele vorgibt und Rahmenbedingungen definiert, müssen Administratoren technisch hochqualifiziert sein und Detailwissen besitzen, um Systeme bedienen und sicher konfigurieren zu können.

IT-Sicherheitsverantwortliche sind mit den IT-Grundschutz-Katalogen in der Lage, ein ganzheitliches IT-Sicherheitskonzept zu erstellen. Wenn alle Bereiche der IT-Sicherheit damit abgedeckt werden sollen, wird ein IT-Sicherheitskonzept oftmals viele Seiten umfassen.

Die zielgruppengerechte Aufbereitung und Vermittlung der Inhalte des IT-Sicherheitskonzepts ist eine wichtige Aufgabe des IT-Sicherheitsmanagements. Das Ziel ist, dass alle Mitarbeiter die sie betreffenden IT-Sicherheitsaspekte kennen und beachten.

Es empfiehlt sich daher, unterschiedliche Sicherheitsrichtlinien oder sogar ausführliche Teilkonzepte zu erstellen, die einzelne IT-Sicherheitsthemen bedarfsgerecht darstellen. So erhalten Mitarbeiter genau die Informationen, die sie zu einem bestimmten Thema wirklich benötigen.

So können für IT-Systeme oder IT-Dienstleistungen, die sich in einem sicherheitskritischen Bereich befinden, deren Konfiguration kompliziert ist oder deren Anwendung komplex ist, separate IT-System-Sicherheitsrichtlinien mit technischen Anweisungen für Administratoren erstellt werden.

Für IT-Benutzer sollten Sicherheitsthemen dagegen angemessen aufbereitet werden, ohne diese mit unnötigen Details zu konfrontieren, die vom Wesentlichen ablenken, unverständlich sind und verwirren.

Hierarchischer Aufbau von Richtlinien

Bei der Formulierung von Richtlinien hat es sich bewährt, auf verschiedenen Ebenen zu arbeiten.

Zunächst sollten in der ersten Ebene kurz und prägnant die allgemeinen IT-Sicherheitsziele und die IT-Sicherheitsstrategie in einer IT-Sicherheitsleitlinie formuliert werden (siehe M 2.192 Erstellung einer IT-Sicherheitsleitlinie). Die Strategie enthält keine technischen Details, wird vom Management verabschiedet und unterliegt weniger Änderungen.

In der nächsten Ebene sollten hieraus grundlegende technische Sicherheitsanforderungen ableitet werden. Zur allgemeinen Sicherheitskonzeption gehören Dokumente, die verschiedene Aspekte der IT-Sicherheit beschreiben (z. B. eine Richtlinie zur Internetnutzung oder ein Virenschutzkonzept), ohne auf konkrete Produkte einzugehen.

In der dritten Ebene werden technische Details, konkrete Maßnahmen und produktspezifische Einstellungen beschrieben. Sie enthält viele Dokumente, die regelmäßig geändert werden und typischerweise nur von den zuständigen Experten gelesen werden.

Die nachstehende Abbildung stellt den hier beschriebenen Aufbau graphisch dar.

Hierarchischer Aufbau von Richtlinien

Abbildung: Hierarchischer Aufbau von Richtlinien

Inhalt von speziellen IT-Sicherheitsrichtlinien

Folgende Themen sind beispielsweise geeignet, um sie in speziellen Sicherheitsrichtlinien zielgruppengerecht aufzubereiten:

Sicherheitsrichtlinie zur IT-Nutzung

Oft empfiehlt es sich, die allgemeinen Zielvorgaben der IT-Sicherheitsleitlinie in einer Sicherheitsrichtlinie zur IT-Nutzung zu konkretisieren und die wichtigsten organisationsweiten Maßnahmen des IT-Sicherheitskonzeptes allgemeinverständlich, ohne technische Details, in einer Richtlinie zusammenzufassen. Diese Richtlinie beschreibt die Grundzüge der organisationsweiten IT-Nutzung und führt die Mitarbeiter durch das Sicherheitskonzept.

Folgende Themen könnten in einer allgemeinen Sicherheitsrichtlinie zur IT-Nutzung behandelt werden:

Das BSI stellt auf seinen Webseiten im Bereich IT-Grundschutz verschiedene Musterrichtlinien und -konzepte als Beispiele zur Verfügung.

Ergänzende Kontrollfragen: