>

(InXpress Global Ltd)
informationssicherheitsleitlinie

 

Geltungsdatum: 25. Mai 2018

1.DEFINITION – Der Begriff „Unternehmen“ in dieser Leitlinie bezieht sich auf InXpress Global Ltd. und alle Partnerunternehmen, Tochterunternehmen, Master-Franchisenehmer und Franchisenehmer.

2.EINLEITUNG – Diese Informationssicherheitsleitlinie ist eine Sammlung formaler Regeln, die alle Personen mit Zugang zu den Technologie- und Informationsgütern des Unternehmens einhalten müssen.

Die Informationssicherheitsrichtlinie erfüllt mehrere Zwecke. Das wesentliche Ziel ist es, die Nutzer im Unternehmen, Mitarbeiter, Master-Franchisenehmer, Franchisenehmer, Auftragnehmer und andere autorisierte Nutzer über den zwingend erforderlichen Schutz der Technologie- und Informationsgüter des Unternehmens zu informieren.  Diese Informationssicherheitsrichtlinie beschreibt die Technologie- und Informationsgüter, die wir schützen müssen, und identifiziert zahlreiche Bedrohungen dieser Güter.

Diese Informationssicherheitsrichtlinie beschreibt außerdem die Rechte und Pflichten des Nutzers. Außerdem sind in diesem Dokument die Prozesse festgehalten, mit denen auf Vorfälle reagiert wird, welche die Sicherheit des Computersystems und -netzwerks des Unternehmens bedrohen.

3.WAS SCHÜTZEN WIR? - Alle Nutzer der Unternehmenssysteme sind dazu verpflichtet, die Technologie- und Informationsgüter des Unternehmens zu schützen.  Diese Informationen müssen vor unautorisiertem Zugriff, Diebstahl und Zerstörung bewahrt werden. Die Technologie- und Informationsgüter des Unternehmens bestehen aus folgenden Bestandteilen:

Computerhardware, CPUs, Disketten, E-Mail, Internet, Anwendungsserver, PC-Systeme, Anwendungssoftware, Systemsoftware, usw.

Die Systemsoftware beinhaltet: Betriebssysteme, Datenbankmanagementsysteme sowie Software für Backup und Wiederherstellung, Kommunikationsprotokolle.

Anwendungssoftware: Diese beinhaltet speziell für die Benutzer geschriebene Softwareanwendungen und kommerzielle, serienmäßig produzierte Softwarepakete.

Hardware und Software für das Kommunikationsnetzwerk beinhalten: Router, Routingtabellen, Hubs, Modems, Multiplexer, Switches, Firewalls, private Leitungen und dazugehörige Tools und Software zum Netzwerkmanagement.

4.KLASSIFIZIERUNG VON INFORMATIONEN – Benutzerinformationen in Systemdateien und Datenbanken von Computern werden entweder als vertraulich oder als nicht vertraulich klassifiziert. Das Unternehmen klassifiziert von ihm kontrollierte Informationen. Der Datenschutzbeauftragte ist verpflichtet, die Klassifizierung der Informationen zu prüfen und zu genehmigen, und die für den optimalen Schutz angemessene Sicherheitsstufe zu bestimmen.

5.SICHERHEITSBEDROHUNGEN

Um die Informationsübertragung zwischen Mitarbeitern zu reduzieren, implementieren die Mitarbeiter folgende Prozesse:

Es werden lediglich angemessene Systemberechtigungen vergeben. Der Zugriff wird auf die Öffnungszeiten beschränkt.

Der Systemzugriff über geteilte Konten ist unzulässig.  Anmeldeinformationen werden nicht mit Kollegen geteilt.

Gekündigten oder disziplinarisch behandelten Mitarbeitern wird der Zugriff auf das System entzogen oder eingeschränkt.

Die Datenverarbeitungsanlagen selbst werden gesichert, damit nur berechtigte Mitarbeiter Zugang haben.

Kennwörter müssen alle drei (3) Monate geändert werden.

Externe Niederlassungen implementieren die folgenden Vorgehensweisen, um den Zugang zu Unternehmenssystemen zu minimieren:

Es werden lediglich angemessene Systemberechtigungen vergeben. Wenn ein Kunde anruft, um den Zugriff zu ändern, muss bestätigt werden, dass es sich um die richtige Person handelt.

Wird ein Kundenkonto in die Warteschleife gelegt, wird der Systemzugriff eingeschränkt oder entfernt.

Kennwörter müssen alle drei (3) Monate geändert werden.

6.BENUTZERVERANTWORTUNG

In diesem Abschnitt wird die Nutzungsrichtlinie für die Computersysteme, Netzwerke und Informationsressourcen des Büros festgelegt.  Sie gilt für alle Mitarbeiter und Lieferanten, die die Computersysteme, Netzwerke und Informationsressourcen als Geschäftspartner, Kunden und Individuen nutzen, und für Geschäftszwecke des Unternehmens Zugriff auf das Netzwerk haben.

Akzeptable Nutzung

Die Benutzerkonten auf den Computersystemen des Unternehmens werden lediglich für Unternehmenszwecke verwendet. Die private Nutzung ist nicht gestattet.  Die nicht autorisierte Systemnutzung verstößt möglicherweise gegen Gesetze, gilt als Diebstahl und kann rechtlich geahndet werden.  Daher kann die nicht autorisierte Nutzung von Computersystem und -einrichtungen des Unternehmens zivil- oder strafrechtlich verfolgt werden.

Die Benutzer sind persönlich dafür verantwortlich, alle über ihr Konto genutzten sowie dort gespeicherten vertraulichen Informationen zu schützen.  Das gilt auch für die Anmelde-ID und Kennwörter. Außerdem ist es untersagt, nicht autorisierte Kopien dieser vertraulichen Informationen zu machen und/oder diese mit nicht autorisierten, unternehmensfremden Personen zu teilen.

Benutzer beteiligen sich an keinerlei Aktivitäten mit dem Vorsatz andere Benutzer zu belästigen, die Systemleistung zu beeinträchtigen, Systemressourcen für eigene Zwecke umzuleiten oder nicht autorisierten Zugriff auf Unternehmenssysteme zu erlangen.

Die Benutzer verbinden nur dann nicht autorisierte Geräte mit ihren Computern oder Arbeitsstationen, wenn dies ausdrücklich von ihren Vorgesetzten und/oder dem IT-Beauftragten des Unternehmens genehmigt wurde.

Die Benutzer laden keine nicht autorisierte Software aus dem Internet auf ihre Computer oder Arbeitsstationen.

Die Benutzer sind dazu verpflichtet, Schwachstellen im IT-Sicherheitssystem, Missbrauch oder Verstöße gegen diese Richtlinie ihrem unmittelbaren Vorgesetzten zu melden.

Internetnutzung

Das Unternehmen gewährt den Mitarbeitern und Auftragnehmern, die aus unternehmerischen Gründen mit dem internen Netzwerk verbunden sind, Internetzugang.  Mitarbeiter und Auftragnehmer müssen dazu die Genehmigung ihres Vorgesetzten einholen und eine Anfrage beim IT-Administrator stellen.

Das Internet ist ein Business-Tool des Unternehmens.  Es wird ausschließlich für geschäftliche Zwecke genutzt, darunter: Kommunikation mit Zulieferern und Geschäftspartnern über elektronische Post, einholen nützlicher Geschäftsinformationen und Informationen zu relevanten technischen und unternehmerischen Themen.

Das Internet darf nicht verwendet werden, um diskriminierende, belästigende, obszöne, pornografische, diffamierende oder bedrohliche Inhalte, solche, die ein Individuum oder eine Gruppe abwerten, „Kettenbriefe“ oder andere illegale oder eigennützige Zwecke verfolgende Inhalte zu senden, aufzurufen oder zu speichern.

Überwachung der Nutzung der Computersysteme

Das Unternehmen hat das Recht und die Fähigkeiten, elektronische Informationen einschließlich E-Mails und Internetnutzung, die von Personen an den Computersystemen und Netzwerken des Unternehmens erstellt und/oder kommuniziert wurden, zu überwachen.  Dabei ist es nicht die Richtlinie oder Absicht des Unternehmens, die Computernutzung der Mitarbeiter oder anderer Benutzer der Computersysteme und des Netzwerks des Unternehmens ständig zu überwachen.  Die Benutzer der Systeme sollten sich jedoch bewusst sein, dass das Unternehmen die Nutzung überwachen könnte. Das gilt unter anderem für Nutzungsmuster im Internet (z. B. besuchte Seiten, online verbrachte Zeit, Uhrzeit des Zugriffs) und mit elektronischen Dateien der Mitarbeiter und Nachrichten. Dies geschieht in dem Umfang, der nötig ist, um zu garantieren, dass das Internet und andere elektronische Kommunikationsmöglichkeiten in Übereinstimmung mit den Gesetzen und der Unternehmensrichtlinie genutzt werden.

7.ZUGANGSKONTROLLE

Die Kontrolle des Zugangs zu kritischen Informationsressourcen, die vor nicht autorisierter Veröffentlichung oder Änderung bewahrt werden müssen, ist ein grundlegender Bestandteil unserer Cybersicherheitsrichtlinie.  Grundsätzlich bedeutet Zugangskontrolle, dass Individuen oder Systemen, die zum Zugriff auf bestimmte Ressourcen berechtigt sind, Berechtigungen zugewiesen werden.  Zugangskontrollen bestehen auf verschiedenen Ebenen des Systems, auch im Netzwerk.  Die Zugangskontrolle wird mittels Anmelde-ID und Kennwort implementiert.  Auf Anwendungs- und Datenbankebene können zur weiteren Beschränkung des Zugriffs weitere Methoden der Zugangskontrolle implementiert werden.  Die Anwendungs- und Datenbanksysteme können die Anzahl der den Benutzern zur Verfügung stehenden Anwendungen und Datenbanken basierend auf deren Stellenanforderungen einschränken.

Zugriff der Benutzer auf System und Netzwerk – Normale Benutzeridentifizierung

Alle Benutzer müssen für den Zugriff auf die Systeme über eine eindeutige Anmelde-ID und ein Kennwort verfügen.  Das Benutzerkennwort ist vertraulich und DARF NIEMALS mit Vorgesetzten und/oder anderen Mitarbeitern geteilt werden. Alle Benutzer müssen folgende Regeln zur Erstellung und Pflege von Kennwörtern befolgen:

Kennwörter dürfen nicht im Duden oder Rechtschreibwörterbüchern anderer Sprachen vorkommen.  Verwenden Sie also keine gängigen Namen, Substantive, Verben, Adverbien oder Adjektive.  Diese können mit standardmäßigen „Hacker-Tools“ einfach geknackt werden.

Kennwörter dürfen nicht am oder in der Nähe des Computers oder an einem anderen leicht zugänglichen Ort in der Nähe notiert werden.

Kennwörter müssen alle 90 Tage geändert werden.

Benutzerkonten werden nach (Anzahl) fehlgeschlagenen Anmeldeversuchen eingefroren.

Anmelde-IDs und Kennwörter werden nach (Anzahl) Tagen ohne Nutzung gesperrt.

Den Benutzern ist es untersagt, auf kennwortgeschützte Dateien auf Komponenten der Netzwerkinfrastruktur zuzugreifen. Kennwortgeschützte Dateien auf Servern werden überwacht, der nicht autorisierte Zugriff wird bemerkt.  Das Kopieren, Lesen, Löschen oder Ändern kennwortgeschützter Dateien auf den Computersystemen ist untersagt.

Die Benutzer dürfen sich nicht als Systemadministrator anmelden. Benutzer, die diese Zugriffsebene für Produktionssysteme benötigen, müssen wie anderswo in diesem Dokument beschrieben ein Konto mit Sonderzugriff anfordern.

Anmelde-IDs und Kennwörter der Mitarbeiter werden schnellstmöglich nach Kündigung, Entlassung, Suspendierung, Freistellung oder sonstiger Beendigung des Arbeitsverhältnisses beim Unternehmen deaktiviert.

Vorgesetzte/Manager kontaktieren sofort und direkt den IT-Manager des Unternehmens, um Änderungen des Mitarbeiterstatus mitzuteilen, aus denen sich eine Beendigung oder Änderung des Zugriffsprivilegien des Mitarbeiters ergibt.

Mitarbeiter, die ihr Kennwort vergessen haben, müssen die IT-Abteilung benachrichtigen, wo sie ein neues Kennwort für ihr Konto erhalten.

Die Mitarbeiter sind für alle Transaktionen verantwortlich, die nach der Anmeldung mit ihrem Kennwort und ihrer ID durchgeführt werden.  Die Mitarbeiter dürfen sich nicht am Computer anmelden und dann eine andere Person an den Computer lassen oder ihren Zugang zu den Computersystemen anderweitig teilen.

Systemadministratorzugang

Systemadministratoren, Netzwerkadministratoren und Sicherheitsadministatoren haben den Anforderungen ihrer Stelle entsprechend (Zugangsart)-Zugang zu Host-Systemen, Routern, Hubs und Firewalls.

Alle Kennwörter des Systemadministrators werden sofort nachdem ein Mitarbeiter, der Zugriff auf diese Kennwörter hat, entlassen oder gekündigt wird oder das Unternehmen auf andere Weise verlässt, GELÖSCHT.

Sonderzugriff

Konten mit Sonderzugriff werden für Individuen eingerichtet, die im Rahmen ihrer Stelle temporäre Systemadministratorrechte benötigen.  Diese Konten werden vom Unternehmen überwacht und benötigen die Zustimmung des IT-Managers des Unternehmens.  Die Überwachung der Konten mit Sonderzugriff erfolgt, indem die Benutzer sich an einem bestimmten Bereich anmelden und in regelmäßigen Abständen Berichte für das Management erstellen.  Aus den Berichten geht hervor, wer aktuell ein Konto mit Sonderzugriff hat, warum und wann es abläuft.  Konten mit Sonderzugriff laufen nach X Tagen ab und werden ohne schriftliche Genehmigung nicht automatisch verlängert.

Anbindung an Netze Dritter

Diese Richtlinie soll für eine sichere Konnektivitätsmethode zwischen dem Unternehmen und Unternehmen sowie anderen Einheiten Dritter sorgen, mit denen das Unternehmen elektronisch Daten austauschen muss.

„Dritte“ bezieht sich in diesem Fall auf Lieferanten, Berater und Geschäftspartner, die mit einem Unternehmen Geschäftsbeziehungen pflegen, und andere Partner, die Informationen mit dem Unternehmen austauschen müssen.  Verbindungen mit den Netzen Dritter dürfen nur von den Mitarbeitern des Dritten und für die geschäftlichen Zwecke des Unternehmens genutzt werden.  Das Drittunternehmen sorgt dafür, dass nur autorisierte Benutzer Zugang zu den Informationen im Unternehmensnetzwerk haben.  Der Dritte gestattet keinen Internetverkehr oder anderen privaten Netzwerkverkehr im Netzwerk.  Folgende Konnektivitätsoptionen sind als Netzwerkverbindung mit Dritten definiert:

Eine Netzwerkverbindung, die in einem (noch zu definieren) endet und der Dritte

unterliegt den standardmäßigen Authentifizierungsregeln des Unternehmens.

Diese Richtlinie gilt für alle Verbindungsanfragen von Dritten sowie alle bestehenden Verbindungen mit Dritten.  Erfüllen die Netzwerkverbindungen der Drittanbieter die in diesem Dokument festgelegten Anforderungen nicht, werden die Verbindungen bei Bedarf neu konfiguriert.

Alle Verbindungsanfragen von Dritten müssen schriftlich erfolgen und vom Unternehmen genehmigt werden.

Geräte mit dem Netzwerk verbinden

Es dürfen nur autorisierte Geräte mit dem Unternehmensnetzwerk/den Unternehmensnetzwerken verbunden werden.  Autorisierte Geräte sind PCs und Arbeitsstationen im Besitz des Unternehmens, welche den Konfigurationsrichtlinien des Unternehmens entsprechen.  Andere autorisierte Geräte sind auch Netzwerkinfrastrukturgeräte zur Verwaltung und Überwachung des Netzwerks.

Die Benutzer dürfen folgende Geräte nicht mit dem Netzwerk verbinden: Computer, die nicht dem Unternehmen gehören und/oder vom Unternehmen kontrolliert werden und die nicht autorisiert sind.  Insbesondere ist es den Benutzern untersagt, (spezifizieren) mit dem Netzwerk zu verbinden.

HINWEIS: Die Benutzer sind nicht autorisiert, Geräte mit dem Netzwerk zu verbinden, welche die topologischen Charakteristika des Netzwerks ändern, oder nicht autorisierte Speichergeräte, z. B. USB-Sticks und beschreibbare CDs.

Fernzugriff

Der Fernzugriff auf das Unternehmensnetzwerk ist nur autorisierten Personen gestattet. Mitarbeiter, Auftragnehmer und Geschäftspartner des Unternehmens, die einen legitimen Geschäftsgrund am Austausch von Informationen, Kopieren von Dateien oder Programmen oder am Zugriff auf Computeranwendungen haben, erhalten Fernzugriff.  Bei den autorisierten Verbindungen handelt es sich um eine Verbindung zwischen Fern-PC und Netzwerk oder zwischen einem Fernnetzwerk und einem Unternehmensnetzwerk.  Eine sichere ID ist die einzig akzeptable Zugriffsmethode für den Fernzugriff auf ein internes Netzwerk.

Nicht autorisierter Fernzugriff

Das Verbinden von (z. B. Hubs) mit dem PC oder der Arbeitsstation eines Benutzer, die mit dem VPN des Unternehmens verbunden ist, ist ohne die schriftliche Genehmigung des Unternehmens nicht zulässig. Außerdem dürfen die Benutzer keine persönliche Software auf dem PC oder der Arbeitsstation installieren, mit der ein Fernzugriff möglich ist. Bei dieser Art von Fernzugriff werden die autorisierten, höchst sicheren Methoden des Fernzugriffs umgangen. Sie stellt damit eine Bedrohung für die Sicherheit des gesamten Netzwerks dar.

8.STRAFEN FÜR SICHERHEITSVERSTÖSSE

Das Unternehmen nimmt die Sicherheit sehr ernst.  Personen, die die Technologie- und Informationsressourcen des Unternehmens nutzen, müssen sich der Tatsache bewusst sein, dass Verstöße gegen diese Richtlinie geahndet werden.  Mitarbeitern des Unternehmens drohen bei Verstoß gegen diese Richtlinie Disziplinarmaßnahmen bis hin zur Entlassung.  Über die im Einzelfall ergriffene Maßnahme wird auf Einzelfallbasis entschieden. Dabei werden Art und Schwere der Verletzung der Cybersicherheitsrichtlinie, vorherige Verstöße gegen die Richtlinie seitens der Person, lokale und Bundesgesetze und andere relevante Informationen berücksichtigt.  Die Disziplinarmaßnahmen gegen den Mitarbeiter werden gemäß den geltenden Regeln oder Richtlinien und dem Richtlinienhandbuch des Unternehmens verhangen.

Handelt es sich beim Beschuldigten nicht um einen Mitarbeiter des Unternehmens wird die Angelegenheit an den Datenschutzbeauftragten übergeben.  Der Datenschutzbeauftragte leitet die Informationen möglicherweise an Exekutivorgane und/oder Strafverfolgungsbehörden weiter, wo über eine Strafanzeige gegen den vermeintlichen Schädiger entschieden werden kann.

9.SICHERHEITSVERFAHREN

In diesem Abschnitt geht es um Richtlinien und Verfahren zum Umgang mit Sicherheitsvorfällen.  Der Begriff „Sicherheitsvorfall“ wird als Unregelmäßigkeit oder schädliches Ereignis definiert, welches die Sicherheit, Integrität oder Verfügbarkeit der Informationsressourcen in einem beliebigen Teil des Unternehmensnetzwerks bedroht.  Hier einige Beispiele für Sicherheitsvorfälle:

Illegaler Zugriff auf ein Computersystem des Unternehmens,  beispielsweise ein Hacker, der sich an einem Produktionsserver anmeldet und die Kennwort-Datei kopiert.

Schaden am Computersystem und Netzwerk des Unternehmens, der durch illegalen Zugriff verursacht wird.  Das Freisetzen eines Virus oder Wurms wäre ein Beispiel hierfür.

Denial-of-Service-Angriffe auf einen Webserver des Unternehmens.  Wenn beispielsweise ein Hacker ein Flut von Paketen auf einen Webserver initiiert, die das System zum Absturz bringen.

Böswillige Nutzung von Systemressourcen, um einen Angriff auf andere Computer außerhalb des Unternehmensnetzwerks zu starten.  Der Systemadministrator bemerkt beispielsweise eine Verbindung zu einem unbekannten Netzwerk und einen eigenartigen Prozess, der viel Serverzeit in Anspruch nimmt.

Mitarbeiter, die denken, dass ihre Arbeitsstation oder ihr Computersystem Opfer eines Sicherheitsvorfalls geworden sind, oder die anderweitig nicht ordnungsgemäße Nutzung oder Zugriffe vermuten, sollten die Situation sofort dem IT-Administrator melden.  Der Mitarbeiter darf den Computer nicht ausschalten und keine verdächtigen Dateien löschen.  Bleibt der Computer in dem Zustand, in dem der Sicherheitsvorfall entdeckt wurde, kann die Problemursache leichter gefunden werden und somit Schritte zur Problemlösung ergriffen werden.