Weisungen, Vorgaben

Es ist festzulegen, welche Reaktion auf Verletzungen der Sicherheitspolitik erfolgen soll, um eine klare und sofortige Reaktion gewährleisten zu können.

IT-Sicherheit ist ein laufender Geschäftsprozess. Zur Sicherstellung des Prozesses müssen Risiken abgeschätzt und bewertet sein.

Übergreifende Regelungen (auch mündliche und gelebte Regelungen) zur "IT-Sicherheit" müssen für einen geregelten Ablauf festgelegt sein.

Sämtliche Regelungen und Dokumente, die organisatorische oder technische Aspekte abhandeln, die für die Mitarbeiter von Bedeutung sind, sind in der aktuellen Form an einer Stelle vorzuhalten und bei berechtigtem Interesse zugänglich zu machen. Dies trifft jedoch nicht auf technische Einstellungen oder ähnliches zu !

Beschaffung und Verwaltung (Inventar) von Hard- und Software (=Betriebsmittel) stellen eine wichtige Grundlage zur Einhaltung der IT-Sicherheit dar.

Der richtige produktive Einsatz von Hard- und Software (=Betriebsmittel) ist für die Einhaltung der IT-Sicherheit erforderlich.

Datenträger (USB-Stick, Festplatte, DVD, usw.) sind für Speicherung, Austausch, usw. von Daten / Informationen evtl. erforderlich. Der Umgang mit Datenträgern muss angemessen und verantwortungsvoll erfolgen.

Datenträger, die schützenswerte Daten enthalten (Festplatten, USB Sticks, DVD’s, Smartphone, Papier ) und nicht mehr gebraucht werden oder aufgrund eines Defektes ausgesondert werden sollen, sind so zu entsorgen, dass keine Rückschlüsse auf vorher gespeicherte Daten möglich sind.

Für Wartungs- und Reparaturarbeiten (intern, extern, Fernwartung), insbesondere wenn sie durch Externe durchgeführt werden, sind Regelungen über deren Beaufsichtigung zu treffen.

Vor der Vergabe von Zutrittsberechtigungen für Personen sind die schutzbedürftigen Räume eines Gebäudes zu bestimmen, z. B. Büro, Serverraum, Rechenzentrum. Es ist festzulegen, welche Person zur Ausübung der wahrgenommenen Funktion welches Zutrittsrecht benötigt. Dabei ist die vorher erarbeitete Funktionstrennung zu beachten. Unnötige Zutrittsrechte sind zu vermeiden.

Zugangsberechtigungen erlauben der betroffenen Person, bestimmte IT-Systeme bzw. System-Komponenten und Netze zu nutzen. Dies ist für jede nutzungsberechtigte Person aufgrund ihrer Funktion, unter Beachtung der Funktionstrennung, im Einzelnen festzulegen.

Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktion IT-Anwendungen oder Daten nutzen darf. Die Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) auf IT-Anwendungen, Teilanwendungen oder Daten sind von der Funktion abhängig, die die Person wahrnimmt. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-know-Prinzip"). Umgesetzt werden müssen die Zugriffsrechte durch die Rechteverwaltung des IT-Systems.

Werden in einem IT-System Passwörter zur Authentisierung verwendet, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, dass das Passwort korrekt gebraucht wird. Dafür ist es empfehlenswert, eine Regelung zum Passwortgebrauch einzuführen und den IT-Benutzer diesbezüglich zu unterweisen.

Die Entwicklung und Freigabe von Software und deren Einsatz birgt ein hohes Risiko und muss sorgfältig erfolgen. Für eine detaillierte Untersuchung steht die Checkliste „Applikationssicherheit“ zur Verfügung.

Der Einsatz von IT-Systemen erfordert eine umfassende Betreuung der IT-Benutzer. Neben der Schulung, die die IT-Benutzer in die Lage versetzt, die eingesetzte Informationstechnik sachgerecht einzusetzen, bedarf es einer Betreuung und Beratung der IT-Benutzer für die im laufenden Betrieb auftretenden Probleme.

Jeder Mitarbeiter sollte dazu angehalten werden, seinen Arbeitsplatz "aufgeräumt" zu hinterlassen. Ein IT-Benutzer hat dafür Sorge zu tragen, dass bei Verlassen seines Arbeitsplatzes entsprechende Vorkehrungen getroffen sind, dass Unbefugte keinen Zugang zu IT-Anwendungen oder Zugriff auf Daten erhalten.

Der Begriff „Telearbeit / Home Office“ soll nicht zu eng gefasst werden. IT-Mitarbeiter oder der Aussendienst arbeiten häufig von zu Hause aus. In der Pandemie wegen Covid 19 sind auch normale Büroarbeiten in das Home Office verlagert worden. Die Sicherheit sensibler Firmendaten müssen auch im Home Office gewährleistet sein.

Malware gehört zu den häufigsten Schadensereignissen.

Gibt es Anzeichen, dass ein Rechner von Malware befallen ist (z. B. Programme starten dauert länger, unerklärliches Systemverhalten, nicht auffindbare Dateien, veränderte Dateiinhalte, ständige Verringerung des freien Speicherplatzes, ohne dass etwas abgespeichert wurde), so sollten Verhaltensregeln bekannt sein, so dass der eigentliche Schaden nicht durch Panikreaktionen verstärkt wird.

Jeden Tag kommen neue Viren auf den „Markt“. Nicht immer können die vorhandenen Schutzmassnahmen des Unternehmens den Schaden rechtzeitig abwenden. Die Anwender müssen wissen, wie man mögliche verdächtige Verhaltensweisen des Computers oder verdächtige Mails bereits vor dem Öffnen erkennen kann und was in diesem Fall zu tun ist. Eine schriftliche Information allein reicht nicht aus.

Vertretungsregelungen haben den Sinn, für vorhersehbare (Urlaub, Dienstreise) und auch unvorhersehbare Fälle (Krankheit, Unfall, Kündigung) des Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen.

Vor dem Ausscheiden ist eine Einweisung des Nachfolgers durchzuführen. Von dem Ausscheidenden sind sämtliche Unterlagen, ausgehändigte Schlüssel, ausgeliehene IT-Geräte (z. B. tragbare Rechner, Speichermedien, Dokumentationen) zurückzufordern. Insbesondere sind die Behörden- bzw. Firmenausweise einzuziehen. Weitere Schritte finden Sie in der Referenz.

Der Einsatz von IT-Systemen erfordert eine umfassende Betreuung der IT-Benutzer. Neben der Schulung, die die IT-Benutzer in die Lage versetzt, die eingesetzte Informationstechnik sachgerecht einzusetzen, bedarf es einer Betreuung und Beratung der IT-Benutzer für die im laufenden Betrieb auftretenden Probleme.

Neuen Mitarbeitern müssen interne Regelungen, Gepflogenheiten und Verfahrensweisen im IT-Einsatz bekannt gegeben werden.

Durch unsachgemässen Umgang mit IT-Anwendungen hervorgerufene Schäden können vermieden werden, wenn die Benutzer eingehend in die IT-Anwendungen eingewiesen werden. Daher ist es unabdingbar, dass die Benutzer vor der Übernahme IT-gestützter Aufgaben ausreichend geschult werden. Dies betrifft sowohl die Nutzung von Standardprogrammpaketen als auch von speziell entwickelten IT-Anwendungen. Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. Um dies zu verhindern, ist jeder einzelne zum sorgfältigen Umgang mit der IT zu motivieren. Zusätzlich sind Verhaltensregeln zu vermitteln, die ein Verständnis für die IT-Sicherheitsmassnahmen wecken.

Die Mitarbeitenden arbeiten teilweise oder ganz zu Hause. Das bedeutet, dass für die Arbeit zuhause zum Teil andere IT-Sicherheitsmassnahmen ergriffen werden müssen als für die Arbeit innerhalb der Institution. Deshalb ist es notwendig, dass ein Sicherheitskonzept für die Home Office Arbeitsplätze erstellt wird.

Zur Vermeidung von Datenverlusten müssen regelmässige Datensicherungen durchgeführt werden. Es sind Regelungen zu treffen, welche Daten von wem wann gesichert werden. Empfehlenswert ist die Erstellung eines Datensicherungskonzepts.

Beim Zugriff auf das Internet können verschiedene Sicherheitsprobleme auf den angeschlossenen Arbeitsplatzrechnern auftreten. Diese können durch falsche Handhabung durch die Benutzer bzw. durch eine unzureichende Konfiguration der benutzten Browser, aber auch durch Sicherheitslücken in den Browsern verursacht werden.

Beim Drucken von Daten werden Informationen, die bisher in elektronischen Systemen geschützt und gesichert sind, auf ein anderes Medium (Papier) übertragen.