Inhaltsverzeichnis:
Video: Responsive Frameworks vs. modulare Komponenten für Prototyping und Entwicklung 2025
Sicherheitsrichtlinien, -standards, -verfahren und -richtlinien unterscheiden sich voneinander, aber sie interagieren auch in einer Vielzahl Von Wegen. Es ist wichtig, diese Unterschiede und Beziehungen zu verstehen und auch die verschiedenen Arten von Richtlinien und deren Anwendungen zu erkennen.
Für die erfolgreiche Entwicklung und Implementierung von Informationssicherheitsrichtlinien, -standards, -richtlinien und -verfahren müssen Sie sicherstellen, dass Ihre Bemühungen mit der Mission, den Zielen und den Zielen der Organisation übereinstimmen.
Richtlinien, Standards, Verfahren und Richtlinien arbeiten alle zusammen als die Blaupausen für ein erfolgreiches Informationssicherheitsprogramm. Sie
- etablieren die Regierungsführung.
- Geben Sie wertvolle Anleitung und Entscheidungshilfe.
- Helfen Sie dabei, rechtliche Autorität zu schaffen.
Zu oft werden technische Sicherheitslösungen ohne diese wichtigen Blueprints implementiert. Die Ergebnisse sind oft kostspielige und unwirksame Kontrollen, die nicht einheitlich angewendet werden und keine allgemeine Sicherheitsstrategie unterstützen.
Governance ist ein Begriff, der kollektiv das System von Richtlinien, Standards, Richtlinien und Verfahren darstellt, die dazu beitragen, die täglichen Abläufe und Entscheidungen eines Unternehmens zu steuern.
Richtlinien
Eine Sicherheitsrichtlinie bildet die Grundlage für das Informationssicherheitsprogramm einer Organisation. RFC 2196, Das Site Security Handbook, definiert eine Sicherheitsrichtlinie als "eine formale Erklärung von Regeln, nach denen Personen, die Zugriff auf die Technologie und Informationsressourcen einer Organisation erhalten, diese befolgen müssen. "
Die vier Haupttypen von Richtlinien sind:
- Führungskräfte: Eine hochrangige Managementerklärung über die Sicherheitsziele einer Organisation, organisatorische und individuelle Verantwortlichkeiten, Ethik und Überzeugungen sowie allgemeine Anforderungen und steuert.
- Regulatory: Sehr detaillierte und präzise Richtlinien, die normalerweise von Bundes-, Staats-, Industrie- oder anderen gesetzlichen Anforderungen vorgeschrieben werden.
- Empfehlung: Nicht verpflichtend, aber sehr empfehlenswert, oft mit spezifischen Strafen oder Konsequenzen bei Nichteinhaltung. Die meisten Policen fallen in diese Kategorie.
- Informativ: Informiert nur, ohne explizite Anforderungen für die Konformität.
Standards, Verfahren und Richtlinien sind unterstützende Elemente einer Richtlinie und enthalten spezifische Implementierungsdetails der Richtlinie.
ISO / IEC 27002, Informationstechnologie - Sicherheitstechniken - Verhaltenskodex für Informationssicherheitsmanagement, ist ein internationaler Standard für Informationssicherheitsrichtlinien.ISO / IEC ist die Internationale Organisation für Normung und Internationale Elektrotechnische Kommission. ISO / IEC 27002 besteht aus 12 Abschnitten, die die acht (ISC) 2 Sicherheitsdomänen weitgehend (aber nicht vollständig) überlappen.
Standards (und Baselines)
Standards sind spezifische, verbindliche Anforderungen, die übergeordnete Richtlinien definieren und unterstützen. Zum Beispiel kann ein Standard die Verwendung einer bestimmten Technologie erfordern, beispielsweise eine Mindestanforderung für die Verschlüsselung von sensiblen Daten mithilfe von AES. Ein Standard kann so weit gehen, dass er die genaue Marke, das Produkt oder das zu implementierende Protokoll spezifiziert.
Baselines sind ähnlich wie Standards. Eine Baseline kann nützlich sein, um eine konsistente Basis für die Sicherheitsarchitektur eines Unternehmens zu ermitteln, wobei systemspezifische Parameter wie unterschiedliche Betriebssysteme berücksichtigt werden. Nachdem konsistente Basislinien festgelegt wurden, können geeignete Standards in der gesamten Organisation definiert werden.
Einige Organisationen nennen ihre Konfigurationsdokumentstandards (und noch andere nennen sie Standardbetriebsumgebungen) anstelle von Baselines. Dies ist eine übliche und akzeptable Praxis.
Prozeduren
Prozeduren enthalten detaillierte Anweisungen zur Implementierung spezifischer Richtlinien und erfüllen die in Standards definierten Kriterien. Die Prozeduren können Standard Operating Procedures (SOPs), Run-Bücher und Benutzerhandbücher umfassen. Zum Beispiel kann eine Prozedur eine Schritt-für-Schritt-Anleitung zum Verschlüsseln von sensiblen Dateien unter Verwendung eines spezifischen Softwareverschlüsselungsprodukts sein.
Leitlinien
Richtlinien sind den Standards ähnlich, dienen jedoch eher als Empfehlungen als als zwingende Anforderungen. Zum Beispiel kann eine Richtlinie Tipps oder Empfehlungen zum Bestimmen der Empfindlichkeit einer Datei geben und ob eine Verschlüsselung erforderlich ist.
