Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
4.3. ZUSÄTZLICHE DOKUMENTE<br />
E<strong>in</strong>e mögliche Hierarchie ist:<br />
Policy:<br />
Standard:<br />
Richtl<strong>in</strong>ie bzw.<br />
Handbuch:<br />
Die Policy ist absolut b<strong>in</strong>dend, jedoch nur sehr kurz und allgeme<strong>in</strong><br />
gefaßt. Sie sollte jedem Mitarbeiter ausgehändigt werden und bekannt<br />
se<strong>in</strong>.<br />
E<strong>in</strong> Standard gestattet seltene Ausnahmefälle, ist aber ausführlicher<br />
und detaillierter. Er richtet sich an e<strong>in</strong>e kle<strong>in</strong>ere Personengruppe, wie<br />
zum Beispiel e<strong>in</strong>e Abteilung oder e<strong>in</strong>e bestimmte Art von Mitarbeitern.<br />
E<strong>in</strong>e Richtl<strong>in</strong>ie ist nur schwach b<strong>in</strong>dend, aber sehr ausführlich und<br />
spezifisch. Sie richtet sich nur an die Person, die die beschriebene<br />
Aufgabe <strong>in</strong> der Praxis durchführt. Richtl<strong>in</strong>ien für e<strong>in</strong>zelne Bereiche<br />
können zu Handbüchern zusammengefaßt werden, zum Beispiel die<br />
Richtl<strong>in</strong>ien zu Datensicherung und Speicherung von Daten zu e<strong>in</strong>em<br />
Handbuch „Datenhaltung“.<br />
Je weiter oben e<strong>in</strong> Dokument <strong>in</strong> dieser Hierarchie steht, desto b<strong>in</strong>dender ist es und um so weniger Ausnahmen<br />
läßt es zu. Je weiter unten e<strong>in</strong> Dokument steht, desto ausführlicher und spezifischer werden<br />
die Anweisungen und Erklärungen und desto kle<strong>in</strong>er wird der Personenkreis, für den das Dokument<br />
relevant ist.<br />
Da sich alle Dokumente nur auf Funktionen von Mitarbeitern und E<strong>in</strong>richtungen beziehen, muß zu<br />
jeder Zeit klar ersichtlich se<strong>in</strong>, welche Mitarbeiter jeweils aktuell diese Funktionen ausüben. Legt z.B.<br />
e<strong>in</strong> Standard e<strong>in</strong>e Aufgabe <strong>in</strong> den Bereich e<strong>in</strong>es Operators, dann muß klar ersichtlich se<strong>in</strong>, welche<br />
Mitarbeiter als Operatoren tätig s<strong>in</strong>d und wann diese Dienst haben. Auch diese Aufstellungen sollten<br />
jedem Mitabeiter zugänglich se<strong>in</strong>, für den e<strong>in</strong> jeweiliges Dokument gilt.<br />
E<strong>in</strong>e Regelung zur Datensicherung könnte im obigen Modell folgendermaßen formuliert werden:<br />
Policy:<br />
Standard:<br />
Richtl<strong>in</strong>ie:<br />
„Alle kritischen Daten müssen regelmäßig gesichert werden.“<br />
„Backups sollen wöchentlich durch den Operator auf e<strong>in</strong> geeignetes<br />
Medium vorgenommen werden.“<br />
“Backups sollten an jedem Freitagabend mit dem Programm tar<br />
auf DAT-Band gespeichert und m<strong>in</strong>destens e<strong>in</strong> Jahr gelagert werden.<br />
Nach dem Schreiben sollte das Band durch Wiedere<strong>in</strong>lesen auf Korrektheit<br />
geprüft werden.“<br />
Bei diesen Beispielen stellen die Formulierungen für Richtl<strong>in</strong>ie und Standard jeweils natürlich nur<br />
e<strong>in</strong>en kle<strong>in</strong>e Auszug des Textes zur Umsetzung des jeweils darüberliegenden Dokumentes dar.<br />
Während die Aufgabe e<strong>in</strong>er Policy weitgehend dar<strong>in</strong> besteht, Ge- und Verbote auszusprechen, haben<br />
der Standard und besonders die Richtl<strong>in</strong>ien zusätzlich auch helfende und erklärende Aspekte. Sie<br />
legen nicht nur fest, welche D<strong>in</strong>ge getan werden sollen, sondern geben Hilfen wie dies am s<strong>in</strong>nvollsten<br />
und effizientesten erreicht werden kann und idealerweise auch, <strong>in</strong> begrenztem Rahmen, warum e<strong>in</strong>e<br />
Regelung so gewählt wurde. Die Dokumente, die e<strong>in</strong>er Policy beigefügt s<strong>in</strong>d, sollen den Benutzern <strong>in</strong><br />
erster L<strong>in</strong>ie helfen, die Policy korrekt und ohne große Beh<strong>in</strong>derungen umzusetzen bzw. anzuwenden.<br />
SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong> 59