Sicherheitsleitlinie - Management von organisationseigenen Werten
 

Verantwortung und Klassifizierung organisationseigener Werte

Es empfiehlt sich, ein Inventar von wichtigen und vitalen Werten der Organisation zu führen. Dieses Inventar kann als Tabelle geführt werden, in der jeder angeführte Wert beschrieben wird und der Verantwortliche angeführt wird. Die Klassifizierung von Werten ist eine extrem wichtige Aufgabe.

Die Wichtigkeit des Werts für die Organisation wird auch angegeben:

  • vital

  • wichtig

Als Werte werden folgende Elemente bezeichnet:

  • Computer (PC, Laptops, Servers, mini) und Drucker;

  • Kommunikationsmaterial (Modem, Switch, Router, Pabx, Fax, usw.);

  • Dateien und Datenbanken (unabhängig vom Datenträger: Festplatten, CD-Rom, Bänder, usw.);

  • Anwendungen (Programme);

  • Dokumente (Verträge, Prozeduren, Pläne, Archive, usw.).

Bemerkung

Werte die als "vital " bezeichnet werden, sind solche, deren Kompromittierung die Existenz der Organisation gefährden könnte (Verlust der Verfügbarkeit bzw. der Vertraulichkeit innerhalb oder außerhalb der Organisation).

Werte, die als "wichtig " angesehen werden, sind solche, deren Kompromittierung erhebliche Folgen für die Organisation hätte.

Inventar der Werte


Es empfiehlt sich, ein Inventar von wichtigen und vitalen Werten der Organisation zu führen. Dieses Inventar kann als Tabelle geführt werden, in der jeder angeführte Wert beschrieben wird und der Verantwortliche angeführt wird. Jeder Wert sollte einer Klassifizierung unterzogen werden, die die Bedürfnisse des Werts in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit bestimmt.

Werte die als "vital" bezeichnet werden, sind solche, deren Kompromittierung die Existenz der Organisation gefährden könnte (Verlust der Verfügbarkeit bzw. der Vertraulichkeit innerhalb oder außerhalb der Organisation). Werte, die als "wichtig" angesehen werden sind solche, deren Kompromittierung erhebliche Folgen für die Organisation hätte.

Die Klassifizierung von Werten basiert auf folgenden Prinzipien:

  1. Auf jeden Wert anwendbar, der eine Bedeutung für die Organisation darstellt, einschließlich der Informationen.

  2. Festlegung eines Verantwortlichen für jeden Wert.

  3. Jedem Wert, je nach Klassifikationsniveau, Sicherheitsregeln zuordnen.

  4. Regelmäßige Überprüfung durch den Verantwortlichen.

  5. Klassifikation nach 3 Achsen: Integrität, Vertraulichkeit und Verfügbarkeit

  6. Klassifikation bezüglich der Auswirkung.

  7. Vererbung der Vertraulichkeits-Klassifizierung.

  8. Klassifizierung der Behälter, um die Verwaltung einfacher zu gestalten.

  9. Standard-Klassifikation.

  10. Kennzeichnung der Werte, um eine Berücksichtigung der Sicherheitsregeln zu gewährleisten.

  11. Benutzung der Kryptografie, um eine sensible Information in einem ausreichend geschützten Behälter transportieren zu können.

Daraus ergeben sich folgende Regeln und Verantwortungen:

  1. Jeder Wert muss in einem Inventar geführt werden, einem Verantwortlichen zugewiesen werden, der das Klassifikationsniveau sowie die anzuwendenden Sicherheitsmaßnahmen festlegt.

  2. Ein Wert, der andere Werte enthält, muss die gleiche Klassifizierung wie der sensibelste enthaltene Wert haben.

  3. Das Klassifikationsniveau einer Information ist unabhängig vom verwendeten Datenträger.

  4. Der Sicherheitsbeauftragte muss die Behälter bewerten.

  5. Die Sicherheitsleitlinie sowie alle enthaltenen Dokumente richten sich nach international anerkannten Leitfäden. Diese Leitfäden sind in den Normen ISO/IEC 27001 und 27002 dokumentiert.

  6. Verantwortung für Werte können Mitarbeiter mit Leitungsverantwortung sein, bzw. ihre Stellvertreter.

  7. Der Sicherheitsbeauftragte muss die Behälter bewerten.

  8. Die Klassifikation wird mit Hilfe einer Leitlinie implementiert.

  9. Diese Leitlinie muss jedem Mitarbeiter zur Verfügung stehen.