Moin Experten,
es geht mir um den Zugriffsschutz von Betriebsdokumentationen einer geschützten IT-Umgebung. Wahrscheinlich suche ich verkehrt, aber ich habe in den BSI-Grundschutz-Katalogen einfach nichts dazu gefunden.
Mein Bauchgefühl sagt mir, dass bei potentiell sicherheitsrelevanten Informationen der Zugriff eingeschränkt werden sollte, aber irgendwelche Bausteine dazu finde ich nicht.
Kann mir da einer weiterhelfen?
Gruß
Stefan
Moin Experten,
es geht mir um den Zugriffsschutz von Betriebsdokumentationen
einer geschützten IT-Umgebung. Wahrscheinlich suche ich
verkehrt, aber ich habe in den BSI-Grundschutz-Katalogen
einfach nichts dazu gefunden.Mein Bauchgefühl sagt mir, dass bei potentiell
sicherheitsrelevanten Informationen der Zugriff eingeschränkt
werden sollte, aber irgendwelche Bausteine dazu finde ich
nicht.
Viel zu allgemein, diese Frage.
Erst mal würdest Du die Dateien auf einem Server speichern und mit NTFS Rechten so schützen, dass nur Berechtigte sie öffnen dürfen. Das ist trivial.
Wenn Dir das nicht reicht, kannst Du ein Dateiformat wählen, welches einen Passwortschutz kennt. Die beiden wahrscheinlich verbreitetsten (Word, pdf) können das beide.
Wenn Dir das immer noch nicht reicht packst Du die Inhalte per Content Management auf einen Webserver.
Man könnte sicher noch ein paar weitere Hürden einbauen.
Sie würden die Dokumente zwar gegen Zugriff durch Unberechtigte schützen, aber nicht gegen die Nachlässigkeit der Berechtigten. Passwörter werden weitergeschwatzt, mal schnell ein Dokument runtergeladen um es zu bearbeiten und dann die Kopie nicht gelöscht, auf einen ungesicherten Stick gespeichert damit man es mit dabei hat, im Offline Cache verfügbar gemacht (aus dem es ein lokaler Administrator der Client-Maschine problemlos rausziehen kann)- das Hauptproblem sind also offen oder verborgen herumliegende Kopieen.
Leider lässt sich das nicht verhindern. Sobald jemand eine Kopie speichern will macht er sich eine (z.B. per pdf Druckertreiber, denn das Ausdrucken kannst Du nie verhindern). Sobald jemand die Doku ergänzen will muss er sie irgendwie mit seinem PC anfassen können. Du kannst allerdings versuchen, die Berechtigten zu sensibilisieren, und ggf. auch mit Sanktionen bedrohen, wenn sie Bequemlichkeit über Sicherheit stellen.
Trotzdem bleibt ein Restrisiko. Daher gehören die geheimsten der geheimen Infos (z.B. die Passwörter von Admin- und Dienstkonten) auch nicht in dieses Handbuch, sondern in einen Safe, wo sie nur über das vier-Augen Prinzip abgeholt werden können.
Armin.
Hallo Nimral,
Danke für Deine Antwort.
Viel zu allgemein, diese Frage.
Ja, Du hast recht. Ich merke schon: bei manchen Fragen sind Missverständnisse vorprogrammiert.
Mir ging es keineswegs um Schutzmechanismen, sondern um die Vertraulichkeits- Einstufung von Dokumenten.
Man stelle sich eine firmeninterne Informationsdatenbank im Intranet vor. Ein Dokument darin ist entweder „vertraulich“ (nur ein festgelegter Benutzerkreis darf es lesen), „geheim“ (zusätzlich noch verschlüsselt), oder halt „öffentlich“ (jeder angemeldete Benutzer darf es lesen).
Was ich jetzt suche ist eine Stelle im Grundschutzhandbuch oder einer ITIL-Publication, die mir eine Regel in die Hand gibt, um den Speiseplan der Kantine anders einzustufen als das Betriebshandbuch vom Radius-Server.
Gruß
Stefan
Hi Stefan,
Man stelle sich eine firmeninterne Informationsdatenbank im
Intranet vor. Ein Dokument darin ist entweder „vertraulich“
(nur ein festgelegter Benutzerkreis darf es lesen), „geheim“
(zusätzlich noch verschlüsselt), oder halt „öffentlich“ (jeder
angemeldete Benutzer darf es lesen).
Oha, da haben wir sauber aneinander vorbeigeredet 
Was ich jetzt suche ist eine Stelle im Grundschutzhandbuch
oder einer ITIL-Publication, die mir eine Regel in die Hand
gibt, um den Speiseplan der Kantine anders einzustufen als das
Betriebshandbuch vom Radius-Server.
Ich würde Die Frage schließen und eine Neue öffnen- durch meine unpassenden Antworten ist sie quasi „verbrannt“. Wenn Du dabei das Stichwort „ITIL“ in den Betreff packst steigen Deine Chancen, dass Du mit Leuten in Kontakt kommst die sich damit näher beschäftigt haben.
Mfg
Armin.
Hallo zusammen,
ich würde da nicht bei ITIL/ISO 20000 suchen, da es nicht primär um Sicherheit, sondern um Service geht. Informationssicherheit bzw. die Einführung eines ISMS wird in ISO 27000 und deren Abkömmlingen geregelt.
Mein Bauchgefühl sagt mir, dass bei potentiell
sicherheitsrelevanten Informationen der Zugriff eingeschränkt
werden sollte, aber irgendwelche Bausteine dazu finde ich
nicht.
Der Baustein aus der ISO 27000 heißt „Risikoanalyse“. Man unterzieht alle Informationsträger (information assets) einer Risikoanalyse, um sie entsprechend klassifizieren zu können. Dabei ist natürlich entscheidend, welche Bedeutung die Informationen für die Betriebsprozesse, also den eigentlichen Zweck der Firma haben.
Rezepte für Kantinenessen können z.B. bei einem Caterer oder einer Sterneküche durchaus strategisch wichtige, kritische Informationen sein. Bei einer Firma deren Zweck es ist, Kugellager herzustellen, eher nicht.
Hilft Dir das in Hinblick auf die Betriebshandbücher weiter?
Gruß
Fritze
Hallo Fritze,
vielen Dank für Deine Antwort.
Ja, das hilft mir weiter! Ich werde schauen, ob ich mir die Norm besorge oder eines der vielen „Praxisbücher“ dazu.
Gruß
Stefan