Grundlagen der Informationssicherheit – Industrial Security

Festlegung einer Struktur

Für jedes Unternehmen ist eine für die Informationssicherheit verantwortliche Person zu bestellen, die sämtliche Maßnahmen koordiniert und auch als Ansprechpartnerin/Ansprechpartner innerhalb und außerhalb des Unternehmens fungiert.

Erlassen von Verhaltensvorschriften

Durch verbindliche Verhaltensvorschriften für alle Mitarbeiterinnen/Mitarbeiter werden im Unternehmen die Regeln für die Informationssicherheit festgelegt.

Als Anhaltspunkte dafür können folgende Unterlagen herangezogen werden:

  • Gesetze und Verordnungen, wie beispielsweise die Geheimschutzordnung des Bundes (GSO), das Informationssicherheitsgesetz (InfoSiG), die dazu ergangene Informationssicherheitsverordnung (InfoSiV), Dienstanweisungen zur Erstellung unternehmensspezifischer Anweisungen für Informationssicherheit
  • systemspezifische Sicherheitsanforderungen (System-specific Security Requirement Statements, kurz SSRS genannt) und sicherheitsrelevante Betriebsverfahren (Secure Operating Procedures, kurz SecOPs genannt):
    • IT-Anlagen, in denen klassifizierte Informationen verarbeitet werden, müssen abgesichert werden. Die Verfahrensvorschriften müssen dokumentiert werden.

Klassifizierung

Besonders schützenswerte Informationen unterschiedlichen Inhaltes werden je nach erforderlichem Schutzniveau einer Klassifizierungsstufe zugeordnet (entsprechend dem Informationssicherheitsgesetz: Eingeschränkt, Vertraulich, Geheim oder Streng Geheim) und mit einem der Stufe entsprechendem Klassifizierungsvermerk versehen.

Unterweisungen – "Need to know"

Der Zugang zu klassifizierten Information darf nur nach einer entsprechenden Unterweisung und – ab der Stufe Vertraulich – nach erfolgter Sicherheitsüberprüfung der Person erfolgen, sofern der Zugang zur Erfüllung der dienstlichen Aufgaben erforderlich ist (Need-to-Know-Prinzip).

Rechtsgrundlagen

Letzte Aktualisierung: 26. Juli 2022
Für den Inhalt verantwortlich:
  • USP-Redaktion
  • Bundeskanzleramt