Grundlagen der Informationssicherheit – Industrial Security
Festlegung einer Struktur
Für jedes Unternehmen ist eine für die Informationssicherheit verantwortliche Person zu bestellen, die sämtliche Maßnahmen koordiniert und auch als Ansprechpartnerin/Ansprechpartner innerhalb und außerhalb des Unternehmens fungiert.
Erlassen von Verhaltensvorschriften
Durch verbindliche Verhaltensvorschriften für alle Mitarbeiterinnen/Mitarbeiter werden im Unternehmen die Regeln für die Informationssicherheit festgelegt.
Als Anhaltspunkte dafür können folgende Unterlagen herangezogen werden:
- Gesetze und Verordnungen, wie beispielsweise die Geheimschutzordnung des Bundes (GSO), das Informationssicherheitsgesetz (InfoSiG), die dazu ergangene Informationssicherheitsverordnung (InfoSiV), Dienstanweisungen zur Erstellung unternehmensspezifischer Anweisungen für Informationssicherheit
- systemspezifische Sicherheitsanforderungen (System-specific Security Requirement Statements, kurz SSRS genannt) und sicherheitsrelevante Betriebsverfahren (Secure Operating Procedures, kurz SecOPs genannt):
- IT-Anlagen, in denen klassifizierte Informationen verarbeitet werden, müssen abgesichert werden. Die Verfahrensvorschriften müssen dokumentiert werden.
Klassifizierung
Besonders schützenswerte Informationen unterschiedlichen Inhaltes werden je nach erforderlichem Schutzniveau einer Klassifizierungsstufe zugeordnet (entsprechend dem Informationssicherheitsgesetz: Eingeschränkt, Vertraulich, Geheim oder Streng Geheim) und mit einem der Stufe entsprechendem Klassifizierungsvermerk versehen.
Unterweisungen – "Need to know"
Der Zugang zu klassifizierten Information darf nur nach einer entsprechenden Unterweisung und – ab der Stufe Vertraulich – nach erfolgter Sicherheitsüberprüfung der Person erfolgen, sofern der Zugang zur Erfüllung der dienstlichen Aufgaben erforderlich ist (Need-to-Know-Prinzip).
Rechtsgrundlagen
- USP-Redaktion
- Bundeskanzleramt