Sicherheit ist ein komplexes Thema, das alle Stufen eines bereitgestellten Systems betrifft. Die Entwicklung von Sicherheitsanforderungen schließt die Identifizierung der Sicherheitsbedrohungen und die Entwicklung einer Strategie zur Bekämpfung dieser Gefahren ein. Diese Sicherheitsanalyse beinhaltet folgende Schritte:
Identifizierung unerlässlicher Aspekte
Identifizierung der Bedrohungen dieser Aspekte
Identifizierung von Anfälligkeiten, aufgrund derer die Bedrohungen das Unternehmen gefährden können
Entwicklung eines Sicherheitsplans, mit dessen Hilfe die Gefahr für das Unternehmen eingeschränkt wird
Bei der Analyse der Sicherheitsanforderungen sollte ein Querschnitt durch die Interessengruppen in Ihrem Unternehmen, wie beispielsweise leitende Angestellte, Unternehmensanalysten und Mitarbeiter aus dem IT-Bereich, einbezogen werden. Häufig wird in einem Unternehmen ein Sicherheitsarchitekt ernannt, der für die Entwicklung und Implementierung der Sicherheitsmaßnahmen verantwortlich ist.
Im folgenden Abschnitt werden einige der Bereiche beschrieben, die bei der Sicherheitsplanung abgedeckt werden.
Die Planung der Sicherheit eines Systems ist Bestandteil des Bereitstellungskonzepts, das für die erfolgreiche Implementierung unabdingbar ist. Ziehen Sie bei der Sicherheitsplanung folgende Aspekte in Betracht:
Physische Sicherheit. Die physische Sicherheit betrifft den physischen Zugriff auf Router, Server, Serverräume, Datenzentren und andere Teile der Infrastruktur. Andere Sicherheitsmaßnahmen werden beeinträchtigt, wenn eine nicht autorisierte Person einen Serverraum betreten und dort die Routerverbindungen trennen kann.
Netzwerksicherheit. Die Netzwerksicherheit betrifft den Zugriff auf Ihr Netzwerk über Firewalls, sichere Zugriffsbereiche, Zugriffssteuerungslisten und den Portzugriff. Um die Netzwerksicherheit herzustellen, entwickeln Sie Strategien gegen unberechtigte Zugriffe, Sabotage und Dienstverweiterungs-(DoS-)Angriffe.
Anwendungs- und Anwendungsdatensicherheit. Die Anwendungs- und Anwendungsdatensicherheit deckt den Zugriff auf Benutzerkonten, Unernehmensdaten und Unternehmensanwendungen mithilfe von Authentifizierungs- und Berechtigungsprozeduren und -richtlinien ab. Dieser Bereich beinhaltet die Definition folgender Richtlinien:
Passwortrichtlinien
Zugriffsrechte, wie beispielsweise delegierte Administratorrechte für Benutzer im Gegensatz zum Administratorzugriff
Kontodeaktivierung
Zugriffssteuerung
Verschlüsselungsrichtlinien, wie beispielsweise sichere Datenübertragung und Verwendung von Zertifikaten zur Datensignierung
Persönliche Sicherheitspraktiken. Eine unternehmensübergreifende Sicherheitsrichtlinie definiert die Arbeitsumgebung und die Methoden, denen alle Benutzer unterworfen sind, um sicherzustellen, dass andere Sicherheitsmaßnahmen wie geplant funktionieren. Im Normalfall entwickeln Sie einen Sicherheitsleitfaden oder ein Handbuch und bieten Schulungen zu den Sicherheitspraktiken für die Benutzer an. Um eine effektive umfassende Sicherheitsstrategie zu gewährleisten, müssen vernünftige Sicherheitsmaßnahmen Teil der Unternehmenskultur werden.