Leitlinie IT-Sicherheit

Diese Leitlinie beschreibt die Grundprinzipien zur Gewährleistung der IT-Sicherheit bei der Beratung zur Prozessverbesserung, insbesondere auch der Durchführung von CMMI-Appraisals.

Sie wurde gemeinsam von Dr. Kneuper und mehreren Kollegen ausgearbeitet, die sich jeweils selbst zur Arbeit nach dieser Leitlinie verpflichten.

Ziel der IT-Sicherheitsleitlinie ist es, Grundprinzipien zur IT-Sicherheit in einem Umfang zu definieren, die der Rolle des Unterzeichners als Berater und Einzelunternehmer angemessen ist.

Grundziele und Grundsätze der IT-Sicherheit

Die Grundziele der IT-Sicherheit und ihre Interpretation in diesem Umfeld sind

• Verfügbarkeit: Wenn eine für die Arbeit benötigte IT-Komponente ausfällt, dann muss innerhalb angemessener Frist Ersatz dafür zur Verfügung stehen, und die relevanten Daten müssen ebenfalls wieder zur Verfügung stehen. Es gibt keine besonderen Anforderungen, so dass übliche Grundschutzmaßnahmen ausreichen. Zu beachten ist, dass die angemessene Frist innerhalb eines laufenden CMMI-Appraisals kurz ist.
• Integrität: Die verwendeten IT-Komponenten müssen gegen Angriffe von außen geschützt werden. Es gibt keine besonderen Anforderungen, so dass übliche Grundschutzmaßnahmen ausreichen.
• Vertraulichkeit: Daten sind vertraulich zu behandeln, soweit sie nicht öffentlich verfügbar sind. Insbesondere gilt dies für Beratungsergebnisse sowie Zwischenergebnisse und Ergebnisse von Reviews und Appraisals. Es gelten leicht erhöhte Anforderungen an die Vertraulichkeit, so dass über den Grundschutz hinausgehende Maßnahmen zur Sicherstellung der Vertraulichkeit erforderlich sind.

Um diese Grundziele zu erreichen, gelten folgende Grundsätze:

• Der Unterzeichner verpflichtet sich zur Durchführung der Grundschutzmaßnahmen im üblichen Umfang, und wird dies auch von seinen Unterauftragnehmern und (freien) Mitarbeitern fordern.
• Der Unterzeichner verpflichtet sich, die im Rahmen eines Auftrages erhaltenen Informationen vom Kunden oder anderen Quellen erhaltenen Informationen vertraulich zu behandeln und entsprechende Vertraulichkeit auch von seinen Unterauftragnehmern und (freien) Mitarbeitern zu fordern.
• Zugriffsmöglichkeiten auf die verwendeten IT-Komponenten werden auf das erforderliche Minimum eingeschränkt, insbesondere den Zugang über Netzwerke.

Maßnahmen zur Umsetzung

Die folgenden Maßnahmen zur Sicherstellung der IT-Sicherheit werden festgelegt. Sie orientieren sich an den vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) definierten Maßnahmen zum Basisschutz, mit einigen spezifischen Ergänzungen.

• M01 Jeder verwendete Rechner wird mit Antivirensoftware, Anti-Spyware-Software sowie einer Firewall ausgestattet. Alle diese Programme werden regelmäßig aktualisiert.
• M02 Sicherheitsaktualisierungen für andere verwendete Software, insbesondere Betriebssystem und Browser, werden regelmäßig eingespielt.
• M03 Jeder verwendete Rechner wird mit einem Passwortschutz und einer automatischen Sperre bei längerer Nicht-Benutzung versehen.
• M04 Verwendete Passworte entsprechen den üblichen Vorgaben an sichere Passworte und werden regelmäßig gewechselt. Die Passworte werden nicht ohne besondere Schutzmaßnahmen schriftlich festgehalten (z.B. auf Zetteln oder im Browser).
• M05 Rechner, insbesondere Notebooks, die außerhalb der eigenen Räumlichkeiten verwendet werden, werden mit einem (Kensington-) Schloss geschützt.
• M06 Der Unterzeichner abonniert die Nachrichten des Bürger-CERTs und berücksichtigt die dort versendeten Warnungen und Hinweise.
• M07 Alle relevanten Daten werden regelmäßig gesichert. Dabei wird sichergestellt, dass die Sicherungen vertraulich behandelt werden.
• M08 Vertrauliche Daten, insbesondere Kundendaten, werden nur für den Zweck verwendet, für den sie übergeben wurden. Sollen sie für einen anderen Zweck eingesetzt werden, so ist zuerst die Genehmigung des Kunden einzuholen.
• M09 Mobile Datenträger (z.B. USB-Sticks) mit vertraulichen Daten werden entsprechend sicher verwahrt. Sobald die Daten dort nicht mehr benötigt werden, werden sie auf dem Datenträger gelöscht.
• M10 Sobald vertrauliche Daten, insbesondere Kundendaten, nicht mehr benötigt werden, werden sie gelöscht. Bei Bedarf wird eine Sicherung angelegt, um sie später wieder verfügbar zu machen.
• M11 Werden vertrauliche Daten gelöscht, so sind die Daten mit entsprechenden Werkzeugen sicher zu löschen, so dass eine Wiederherstellung nur noch mit entsprechender Spezialausrüstung und hohem Aufwand möglich ist.
• M12 Empfehlung: Der Unterzeichner signiert alle wichtigen Mails entsprechend dem PGP-Protokoll. Mails mit vertraulichen Inhalten zwischen den Unterzeichnern und, soweit möglich auch anderen Empfängern, werden entsprechend dem PGP-Protokoll verschlüsselt.
• M13 Empfehlung: Vertrauliche Daten werden verschlüsselt abgespeichert.
• M14 Eigene WLANs werden durch Verschlüsselung der Kommunikation (mindestens WPA) gesichert.
• M15 Email-Anhänge sowie Downloads aus dem Internet werden mit besonderer Vorsicht behandelt. Insbesondere werden aktive Inhalte (Javascript, Flash, etc) nur mit entsprechenden Schutzmaßnahmen und von vertrauenswürdigen Webseiten geöffnet.
• M16 Speziell für die Durchführung eines CMMI-Appraisals (SCAMPI A, B oder C) gelten folgende Maßnahmen:
  • Im Laufe eines SCAMPI A werden die Daten täglich auf einem Medium gespeichert, um die Verfügbarkeit der Daten sicherzustellen.
  • Bei einem SCAMPI A ist die Verfügbarkeit durch redundante Hardware sicherzustellen. Dies geschieht üblicherweise, indem jedes Teammitglied einen eigenen Rechner hat, obwohl ein Rechner pro Miniteam ausreichen würde, um arbeitsfähig zu sein.
  • Nach Abschluss eines Appraisals werden die aufzubewahrenden Daten verschlüsselt abgespeichert. Alle nicht aufzubewahrenden Daten werden sicher gelöscht.

Maßnahmen zur Institutionalisierung der IT-Sicherheit

Entsprechend den Praktiken des generischen Ziels GG 2 von CMMI werden die folgenden Maßnahmen ergriffen und Regelungen getroffen, um die IT-Sicherheit dauerhaft und durchgängig sicherzustellen:

• G01 Verabschiedung dieser Leitlinie. (GP 2.1)
• G02 Der Unterzeichner erstellt für sich einen Plan zur Umsetzung der oben beschriebenen Maßnahmen und überprüft mindestens monatlich die Einhaltung des Plans. Die Ergebnisse der Überprüfung werden schriftlich festgehalten. (GP 2.2, GP 2.8)
• G03 Jeder Beteiligte stellt die benötigten Ressourcen für seinen Verantwortungsbereich bereit. Dazu gehören insbesondere Antivirensoftware, Anti-Spyware-Software und Firewall, Infrastruktur für Sicherungen (Software und Speicherplatz), Software zur Nutzung des PGP-Protokolls (empfohlen: GPG4Win), Software zum sicheren Löschen, sowie ein Schloss zur Sicherung des Notebooks. Nach Bedarf gehört dazu außerdem redundante Hardware. (GP 2.3)
• G04 Für die Umsetzung dieser Maßnahmen bei seiner Infrastruktur ist jeder Beteiligte selbst verantwortlich. (GP 2.4)
• G05 Die Unterzeichner behandeln das Thema IT-Sicherheit gemeinsam mindestens jährlich bei einem Treffen, um sich gegenseitig über aktuelle Entwicklungen zu informieren (GP 2.5) und die Angemessenheit dieser Leitlinie und ihrer Umsetzung zu prüfen (GP 2.10). Jeder Unterzeichner behandelt das Thema IT-Sicherheit und die Inhalte dieser Leitlinie mindestens jährlich mit seinen Unterauftragnehmern, und lässt sich das schriftlich bestätigen. (GP 2.5)
• G06 Die Referenzkopie dieser Leitlinie wird auf der Webseite des Unterzeichners bereitgestellt. (GP 2.6)
• G07 Es gibt folgende Gruppen von Betroffenen (Stakeholdern) dieser Leitlinie (GP 2.7):
  • Der Unterzeichner stellt im Eigeninteresse sowie als Nachweis gegenüber Kunden die IT-Sicherheit und die Umsetzung dieser Leitlinie sicher.
  • Unterauftragnehmer und (freie) Mitarbeiter werden für den jeweiligen Auftrag zur Einhaltung der Leitlinie verpflichtet. Der Unterzeichner lässt sich das schriftlich bestätigen.
  • Kunden des Unterzeichners werden durch die hier beschriebenen Maßnahmen geschützt, unabhängig davon, ob sie dies explizit fordern.
• G08 Der Unterzeichner führt mindestens jährlich eine Selbstprüfung auf Basis einer Checkliste durch. Außerdem lässt er mindestens jährlich die Einhaltung dieser Leitlinie auf Basis einer Checkliste durch einen Außenstehenden prüfen. (GP 2.9)

Unterschriften

Ich verpflichte mich zur Einhaltung dieser IT-Sicherheitsleitlinie.

Darmstadt, den 28.09.2009

gez. Dr. Ralf Kneuper