Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
4.4. ERSTELLUNG UND UMSETZUNG<br />
Der erste Punkt der Erstellung sollte e<strong>in</strong>e Beratung mit allen Abteilungen se<strong>in</strong>, für die diese Policy<br />
gelten soll. Hier s<strong>in</strong>d Informationen über den normalen Geschäftsbetrieb wichtig, genauso wie bestehende<br />
Probleme und <strong>Sicherheit</strong>slücken. E<strong>in</strong> Bild des Ist-Zustandes der Firma muß erstellt werden.<br />
Besonders wichtig s<strong>in</strong>d hier auch bereits bestehende Dokumente zu (<strong>Sicherheit</strong>s-)Konzepten und Arbeitsvorgängen.<br />
Diese Dokumente sollten möglichst <strong>in</strong> die Policy und ihre zugehörigen Dokumente<br />
e<strong>in</strong>gearbeitet werden und danach nicht mehr als eigenständige Dokumente Anwendung f<strong>in</strong>den. Wenn<br />
diese weiterbestehen sollen, muß auf jeden Fall darauf geachtet werden, daß diese Policy-konform<br />
s<strong>in</strong>d und bleiben.<br />
Personengruppen, die an der Erstellung der Policy beteiligt werden sollten, s<strong>in</strong>d:<br />
Mitarbeiter:<br />
Management:<br />
Betriebsrat &<br />
-datenschützer:<br />
<strong>Sicherheit</strong>sdienst:<br />
Die e<strong>in</strong>zelnen Mitarbeiter und Abteilungen können detailliert Auskunft<br />
geben über bestehende Arbeitsabläufe, Vorgehensweisen und<br />
gegebenenfalls auch über bestehende Probleme.<br />
Autorisierung und Umsetzung von Policy und Sanktionen (s.o.)<br />
Wahrung der (Persönlichkeits-)Rechte der Mitarbeiter und Information<br />
über neue Rechte und Pflichten sowie Koord<strong>in</strong>ation mit bestehenden<br />
Regelungen.<br />
Vere<strong>in</strong>heitlichung der Policy mit bestehenden <strong>Sicherheit</strong>skonzepten,<br />
H<strong>in</strong>weise auf bestehende <strong>Sicherheit</strong>sprobleme sowie Klärung von<br />
Art und Machbarkeit der Umsetzung von neuen Regelungen.<br />
Weitere Informationen sollten extern e<strong>in</strong>geholt werden:<br />
Jurist:<br />
Datenschützer:<br />
Versicherungen:<br />
Es ist wichtig bzw. unumgänglich, daß die Policy mit dem jeweils<br />
geltenden Recht verträglich ist. Er kann Hilfen bei der Festsetzung<br />
von Sanktionen und deren Formulierungen geben sowie Ratschläge<br />
zu Vorgehensweisen bei <strong>Sicherheit</strong>sbrüchen (Beweissicherung usw.).<br />
Methoden zur Absicherung e<strong>in</strong>es Systems (besonders im Bereich<br />
Audit) können schnell <strong>in</strong> Konflikt mit geltenden Datenschutz-<br />
Gesetzen führen. Wenn Daten über Aktivitäten von Benutzern erhoben<br />
und verarbeitet werden sollen, muß vorab geklärt werden, ob<br />
dies datenschutzrechtlich legitim ist. Der Datenschutzbeauftragte des<br />
jeweiligen Bundeslandes kann hier Auskunft<br />
geben.<br />
E<strong>in</strong>e Beratung durch Versicherungen kann bei der Erstellung der<br />
Risiko-Analyse (siehe 4.4.3) helfen, da die Risiko-Analyse für e<strong>in</strong>e<br />
Policy sehr ähnlich der e<strong>in</strong>er Versicherung ist. Außerdem kann<br />
e<strong>in</strong>e Versicherung bei der Schätzung bestehender Werte helfen und<br />
Auskunft geben über Wahrsche<strong>in</strong>lichkeiten von bestimmten Vorfällen<br />
(Stromausfall, E<strong>in</strong>bruch etc.).<br />
Die Informationen aus den jeweiligen Quellen müssen zusammengetragen, strukturiert und aufe<strong>in</strong>ander<br />
abgestimmt werden. Es ist hier besonders wichtig, bestehende Widersprüchlichkeiten aufzudecken<br />
und zu verh<strong>in</strong>dern, daß durch die Policy neue Unverträglichkeiten dazukommen.<br />
SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong> 61