Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.299 Erstellung einer Sicherheitsrichtlinie für ein Sicherheitsgateway - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.299 Erstellung einer Sicherheitsrichtlinie für ein Sicherheitsgateway

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement

Da das Sicherheitsgateway für die Sicherheit des Netzes eine zentrale Rolle spielt, ist der sichere und ordnungsgemäße Betrieb besonders wichtig. Dieser kann nur sichergestellt werden, wenn das Vorgehen in die bestehenden sicherheitstechnischen Vorgaben integriert ist.

Die zentralen sicherheitstechnischen Anforderungen (das zu erreichende Sicherheitsniveau) ergeben sich aus der organisationsweiten Sicherheitsleitlinie und sollten in einer spezifischen Sicherheitsrichtlinie für den Betrieb des Sicherheitsgateways formuliert werden, um die übergeordnet und allgemein formulierte Sicherheitsleitlinie im gegebenen Kontext zu konkretisieren und umzusetzen.

In diesem Zusammenhang ist zu prüfen, ob neben der organisationsweiten Sicherheitsleitlinie weitere übergeordnete Vorgaben wie beispielsweise IT-Richtlinien, Passwortrichtlinien oder Vorgaben zur Internetnutzung zu berücksichtigen sind.

Die Sicherheitsrichtlinie muss allen Personen und Gruppen, die an der Beschaffung und dem Betrieb des Sicherheitsgateways beteiligt sind, bekannt sein und Grundlage für deren Arbeit sein. Wie bei allen Richtlinien sind ihre Inhalte und ihre Umsetzung im Rahmen einer übergeordneten Revision regelmäßig zu prüfen.

Die Sicherheitsrichtlinie sollte zunächst das generell zu erreichende Sicherheitsniveau spezifizieren und grundlegende Aussagen zum Betrieb des Sicherheitsgateways treffen. Nachfolgend sind einige Punkte aufgeführt, die berücksichtigt werden sollten:

Die Verantwortung für die Sicherheitsrichtlinie liegt beim IT-Sicherheitsmanagement, Änderungen und Abweichungen hiervon dürfen nur in Abstimmung mit dem IT-Sicherheitsmanagement erfolgen.

Bei der Erstellung einer Sicherheitsrichtlinie ist es empfehlenswert, so vorzugehen, dass zunächst ein Maximum an Forderungen und Vorgaben für die Sicherheit der Systeme aufgestellt wird. Diese können anschließend den tatsächlichen Gegebenheiten angepasst werden. Idealerweise wird so erreicht, dass alle notwendigen Aspekte berücksichtigt werden. Für jede im zweiten Schritt verworfene oder abgeschwächte Vorgabe sollte der Grund für die Nicht-Berücksichtigung dokumentiert werden.

Ergänzende Kontrollfragen: