Sie können das Vorlagenpaket, (Sample Security Policies) von The SANS Institute(SANS) Template Package herunterladen.

Beispiel Computer UsageGuidelines. Dieses Dokument legt Richtlinien zur Computernutzung für die <XYZ> Systems Division Support-Mitarbeiter im Rahmen ihrer Aufgaben auf <XYZ> Computersystemen fest. Diese Richtlinien enthalten die Elemente des <XYZ> Systems Division Special Access Agreement und der Acceptable Use Statement of <XYZ> Systems Division Computing Resources. Diese Richtlinien sollen die Rechte und die Privatsphäre der <XYZ> Systems Division Kunden sowie die der <XYZ> Systems Division Support-Mitarbeiter schützen. Jegliche Richtlinien der Unternehmenszentrale haben Vorrang vor diesen Richtlinien.

Acceptable Use Statement. Das folgende Dokument enthält Richtlinien für die Nutzung der Computersysteme und -einrichtungen, die sich bei (<XYZ>) befinden oder von (<XYZ> Systems Division betrieben werden, und für die Nutzung von Computern, Server oder Netzwerk, die von der <XYZ> Systems Division bereitgestellt oder unterstützt werden

Special AccessPolicy. Der Sonderzugriff auf <XYZ>Systeme wird über die Sonderzugriffsdatenbank gepflegt und überwacht, sowohl von <XYZ> Operations als auch vom <XYZ> Sicherheitsbeauftragten und/oder Assistenten.

Diese Vereinbarung umreißt die vielen „Do’s and Don’t’s“ der Nutzung von Sonderzugängen auf NAS-Computern. Sonderzugriff ist definiert als die Berechtigung und das Passwort zur Nutzung eines oder mehrerer der folgenden Konten: () . Die NAS-Umgebung ist sehr komplex und dynamisch.

Netzwerkverbindungsrichtlinie. Diese Richtlinie beschreibt die Anforderungen und Einschränkungen für den Anschluss eines Computers an das <XYZ>-Werk. Alle im<XYZ>-Netzwerk installierten Computer fallen unter die Autorität und Verantwortung des Beauftragten für die Computersicherheit der Datenverarbeitungsanlage (DPICSO) und müssen als solche die Mindestsicherheitsanforderungen <Firmenname>Vorschriften und Richtlinien erfüllen.

Entschärfungsverfahren für Sicherheitsvorfälle. Dieses Verfahren beschreibt die Schritte, die bei physischen und Computer-Sicherheitsvorfällen, die innerhalb der <XYZ>-Einrichtung auftreten, zu ergreifen sind. Die physischen Sicherheitsvorfälle, die in diesem Verfahren behandelt werden, sind: Diebstahl (größer und kleiner), illegaler Gebäudezugang und Zerstörung von Eigentum (größer oder kleiner).

Vorgehensweise bei Vorfällen. Dieses Dokument enthält einige allgemeine Richtlinien und Verfahren für den Umgang mit Computersicherheitsvorfällen. Das Dokument soll <XYZ>-Support-Mitarbeitern einige Richtlinien an die Hand geben, was zu tun ist, wenn sie einen Sicherheitsvorfall entdecken.

Richtlinie für akzeptable Verschlüsselung. Der Zweck dieser Richtlinie ist es, Richtlinien bereitzustellen, die die Verwendung von Verschlüsselung auf solche Algorithmen beschränken, die von der Öffentlichkeit eingehend geprüft wurden und sich als effektiv erwiesen haben. Darüber hinaus gibt diese Richtlinie die Richtung vor, um sicherzustellen, dass die Bundesvorschriften eingehalten werden und die Verbreitung und Verwendung von Verschlüsselungstechnologien außerhalb der Vereinigten Staaten rechtlich zulässig ist.

Sicherheitsrichtlinie für Analog-/ISDN-Leitungen. Dieses Dokument erklärt <XYZ> Richtlinien und Verfahren zur akzeptablen Nutzung und Genehmigung analoger und ISDN-Leitungen. Diese Richtlinie deckt zwei verschiedene Verwendungszwecke von analogen/ISDN-Leitungen ab: Leitungen, die ausschließlich zum Senden und Empfangen von Faxen angeschlossen werden sollen, und Leitungen, die mit Computern verbunden werden sollen.

Richtlinien zum Anti-Virus-Prozess. Empfohlene Prozesse zur Vermeidung von Virenproblemen.

Richtlinie für ApplicationService-Provider (ASP). Dieses Dokument beschreibt die Anforderungen von InfoSec an Application Service Providers (ASPs), die mit<XYZ> zusammenarbeiten.

Richtlinie zur Akquisitionsbewertung. Legt die InfoSec-Verantwortlichkeiten bei Unternehmensakquisitionen fest und definiert die Mindestsicherheitsanforderungen einer InfoSec-Akquisitionsbewertung.

ASP-Sicherheitsstandards. Dieses Dokument definiert die Mindestsicherheitskriterien, die ein Application Service Provider (ASP) erfüllen muss, um für die Nutzung durch <XYZ> in Frage zu kommen.

AuditPolicy. Um Mitgliedern des <Firmenname>InfoSec-Teams die Befugnis zu erteilen, ein Sicherheitsaudit auf jedem System bei <XYZ> durchzuführen.

Richtlinie für automatisch weitergeleitete E-Mails. Um die unbefugte oder versehentliche Offenlegung sensibler Unternehmensinformationen zu verhindern.

DB-Passwortrichtlinie. Diese Richtlinie legt die Anforderungen für das sichere Speichern und Abrufen von Datenbank-Benutzernamen und Passwörtern (d.h. Datenbank-Zugangsdaten) für die Verwendung durch ein Programm fest, das auf eine Datenbank zugreift, die auf einem der <XYZ>-Netzwerke läuft.

Dial-InAccess-Richtlinie. Der Zweck dieser Richtlinie ist es, <XYZ>’s elektronische Informationen davor zu schützen, versehentlich von autorisiertem Personal über eine Einwahlverbindung kompromittiert zu werden.

DMZLab-Sicherheitsrichtlinie. Diese Richtlinie legt die Anforderungen an die Informationssicherheit für alle Netzwerke und Geräte fest, die in <XYZ>Laboren eingesetzt werden, die sich in der „De-Militarized Zone“ (DMZ) befinden.

Extranet-Richtlinie. Dieses Dokument beschreibt die Richtlinie, unter der sich Drittorganisationen mit <XYZ>-Netzwerken verbinden, um Geschäfte im Zusammenhang mit <XYZ> abzuwickeln.

Richtlinie über die Sensibilität von Informationen. Die Richtlinie zur Informationssensibilität soll Mitarbeitern dabei helfen, zu bestimmen, welche Informationen an Nicht-Mitarbeiter weitergegeben werden können, sowie die relative Sensibilität von Informationen, die nicht außerhalb von <XYZ> ohne ordnungsgemäße Autorisierung weitergegeben werden sollten.

Internal Lab Security Policy. Diese Richtlinie legt Informationssicherheitsanforderungen für <XYZ>Labore fest, um sicherzustellen, dass <XYZ>vertrauliche Informationen und Technologien nicht gefährdet werden, und dass Produktionsdienstleistungen und andere <XYZ> Interessen vor Laboraktivitäten geschützt werden.

InternetDMZ Ausrüstungsrichtlinie. Der Zweck dieser Richtlinie ist es, Standards zu definieren, die von allen Geräten eingehalten werden müssen, die im Besitz von <XYZ> sind und/oder von diesen betrieben werden und sich außerhalb<XYZ>der firmeneigenen Internet-Firewalls befinden.

Labor-Anti-Viren-Richtlinie: Legt Anforderungen fest, die von allen Computern erfüllt werden müssen, die mit <XYZ>Labor-Netzwerken verbunden sind, um eine effektive Virenerkennung und -prävention zu gewährleisten.

PasswordPolicy. Passwörter sind ein wichtiger Aspekt der Computersicherheit. Sie sind die vorderste Linie des Schutzes für Benutzerkonten. Ein schlecht gewähltes Passwort kann zur Kompromittierung des gesamten Firmennetzwerks von <XYZ> führen. Daher sind alle<XYZ>-Mitarbeiter (einschließlich Auftragnehmern und Lieferanten mit Zugang zu<XYZ>-Systemen) dafür verantwortlich, die entsprechenden Schritte, wie unten beschrieben, zu unternehmen, um ihre Passwörter auszuwählen und zu sichern.

Richtlinie für Fernzugriff. Der Zweck dieser Richtlinie ist die Definition von Standards für die Verbindung zum <XYZ>-Netzwerk von jedem Host aus. Diese Standards sollen die potenzielle Gefährdung von <XYZ> durch Schäden minimieren, die aus der unbefugten Nutzung von <XYZ>Ressourcen entstehen können.

Richtlinie zur Risikobewertung. Ermächtigung von InfoSec zur regelmäßigen Durchführung von Informationssicherheits-Risikobewertungen (RAs), um Schwachstellen zu ermitteln und entsprechende Abhilfemaßnahmen einzuleiten.

Router-Sicherheitsrichtlinie. Dieses Dokument beschreibt eine erforderliche minimale Sicherheitskonfiguration für alle Router und Switches, die mit einem Produktionsnetzwerk verbunden sind oder in einer Produktionskapazität bei oder im Namen von <XYZ> verwendet werden.

Server-Sicherheitsrichtlinie. Der Zweck dieser Richtlinie ist die Festlegung von Standards für die Basiskonfiguration von interner Serverausrüstung, die Eigentum von <XYZ> ist und/oder von ihr betrieben wird. Die effektive Umsetzung dieser Richtlinie minimiert den unbefugten Zugriff auf <XYZ>eigene Informationen und Technologien.

VEREINBARUNG MIT DRITTANBIETERN. Diese Vereinbarung ist die vollständige Vereinbarung zwischen den Vertragsparteien über den Gegenstand dieser Vereinbarung und ersetzt alle früheren mündlichen oder schriftlichen Mitteilungen zwischen den Parteien.

Richtlinie für virtuelle private Netzwerke (VPN). Der Zweck dieser Richtlinie ist es, Richtlinien für Remote Access IPSec oder L2TP Virtual Private Network (VPN) Verbindungen zum <XYZ> Firmennetzwerk bereitzustellen.

Richtlinie für drahtlose Kommunikation. Diese Richtlinie verbietet den Zugriff auf <XYZ> Netzwerke über ungesicherte drahtlose Kommunikationsmechanismen. Nur drahtlose Systeme, die die Kriterien dieser Richtlinie erfüllen oder für die InfoSec eine exklusive Ausnahmegenehmigung erteilt hat, sind für die Verbindung mit <XYZ>-Netzwerken zugelassen.

Das komplette Vorlagenpaket (SampleSecurity Policies) können Sie bei The SANS Institute(SANS) Template Package herunterladen.

By: adminPosted on

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.