5.4 Policies

• Grundlage der Arbeit im Security-Umfeld
• enthalten organisatorische Regelungen, Vorschriften, etc.
• Erstellung/Aktualisierung in Zusammenarbeit mit

  • Personalabteilung
    Einstellung und Entlassung, private Nutzung, Ahndung von Verstößen
  • Personalvertretung/Betriebsrat
    Monitoring/Logging/Accounting, private Nutzung
  • Rechtsabteilung
    Berücksichtigung gesetzlicher Bestimmungen, Vorgehen bei Angriffen, Einschalten von Behörden/Justiz

• Unterstützung durch Betriebsleitung

• rechtmäßige Nutzer
  Wer ist zur Nutzung der Rechner- und Netzwerkressourcen berechtigt?
• Nutzungsarten
  Wofür dürfen die Ressourcen genutzt werden?
• Akteptanz und Zustimmung unterschriftspflichtig nachweisen
• ggf. mehrere Benutzungsordnungen für unterschiedliche Security-Bereiche

• Beschreibung der Monitoring-Aktivitäten

  • Benutzung einzelner Computer
  • Netzwerk-Verkehr
  • E-Mail, Web-Browsing (Server/Proxies), System-Logs

• Monitoring erscheint als Eingriff in Privatsphäre
  Speicherung und Verarbeitung personenbezogener Daten
• Akzeptanz und Zustimmung unterschriftspflichtig nachweisen

• Umgang mit Log-Daten
• Aufbewahrungsfristen, Anonymisierung, statistische Aufbereitung

• Umgang mit Zugangsinformationen
  Passworte, PIN's, Smartcards, ...
• Verhalten bei Verlust/Diebstahl
• ggf. alternatives Identifizierungsverfahren
  frei wählbarer Frage/Antwort-Dialog
• Akzeptanz und Zustimmung unterschriftspflichtig nachweisen

• Zugriff externer Partner
• gemeinsame Nutzung von Ressourcen

Policies und technische Umsetzung

• technische Lösungen sind nur teilweise möglich

  Beispiele: Erzwingen einer regelmäßigen Änderung des Passworts Ablauf von Gültigkeitsfristen keine Vergabe von Rollen-Accounts nur ein Account pro Person Verbot der Weitergabe von Account/Passwort Einhaltung von Nutzungsarten

• bessere technische Lösungen erleichtern Policy-Umsetzung

  Single Sign On (SSO) Handheld Authenticators (HHA) Smartcards oder biometrische Authentisierungsverfahren

Frage 5.4.1: Wodurch wird die inhaltliche Gestaltung von Security-Policies beeinflußt?

Frage 5.4.2: Was spricht für bzw. gegen die Veröffentlichung der Policy zum Umgang mit Log-Daten?

Frage 5.4.3: Die Verbreitung von Viren und Würmern über Netze hat in jüngster Vergangenheit dramatische Ausmaße angenommen. Worin besteht der Unterschied zwischen Würmern der Art MyDoom und Sasser? Warum können Firewalls keinen Schutz gegen die Verbreitung von Würmern und Viren bieten? Entwerfen Sie eine Policy, die dazu beiträgt, die Verbreitung von Viren und Würmern in einem Firmennetz zu unterbinden! W32.MyDoom.B@mm [http://www.bsi.bund.de/av/vb/mydoomb.htm] W32.Sasser.Worm [http://www.bsi.de/av/vb/sasser.htm]

Wood, C.C.:
Information Security Policies Made Easy
Baseline Software, 1997, ISBN: 1-881585-04-2

Muster-Benutzungsordnung des DFN
[http://www.dfn.de/content/beratung-weiterbildung/rechtimdfn/archiv/musterbenutzungsordnung]

Der Bundesbeauftragte für den Datenschutz: Leitfaden "Datenschutzrechtliche Grundsätze bei der dienstlichen/privaten Internet- und E-Mail-Nutzung am Arbeitsplatz"
[http://www.bfd.bund.de/information/Leitfaden.pdf]

Gewerkschaft ver.di: SpionageCheck//03 - Überwachung am Arbeitsplatz
[http://www.spionagecheck.de/]

The SANS Security Policy Project
[http://www.sans.org/resources/policies/]