In dieser Schicht sind die übergreifenden Sicherheitsmaßnahmen aufgefasst.
Das Informationssicherheitsmanagment (ISMS, engl. "Information Security Management System" für „Managementsystem für Informationssicherheit“) ist essentiell für die Firma. Die Informationssysteme und Netzwerke stellen durch den Umgang mit sensiblen Kundendaten ein ernst zu nehmendes Risiko dar. Sie sind Sicherheitsbedrohungen unterschiedlichster Art sowohl von Innen als auch von Außen ausgesetzt. In einer Firma, die auf leichte Erreichbarkeit angewiesen ist. um Umsätze zu generieren, ist es schwer eMail Adressen geheim zu halten. So kann mit einer täglichen Vielzahl von mit Schadsoftware behafteter eMails gerechnet werden. Gezielte Spionageangriffe von hochspezialisierten Angreifern können aufgrund der Firmengröße und dem derzeitigen Marktanteil als sehr unwahrscheinlich eingestuft werden. Dennoch muss ein Grundschutz gegeben sein, um breitere Angriffe abwehren zu können. Das Informationssicherheitsmanagment bindet finanzelle sowie personelle Ressourcen. Das führt dazu, dass alle Maßnahmen zusätzlich auf ihre Wirtschaftlichkeit geprüft werden. Das ISMS ist als notwendig zu betrachten. Durch dieses können hohe materielle und immaterielle Schäden abgewand bzw. im Fall eines erfolgreichen Angriffes eingedämmt werden.
In diesem Baustein werden allgemeine und übergreifende Maßnahmen zu Organisationsabläufen aufgeführt. Diese sollten im Falle eines erfolgreichen Angriffes Standartmaßnahmen darstellen, welche von jedem Mitarbeiter ausführbar sind.
Um eine ausreichende Kenntnis der Regelungen gewährleisten zu können, werden unsere Mitarbeiter entsprechend dem Punkt "Mitarbeitersensibilisierung" geschult. An jedem Arbeitsplatz muss die einfache Erreichbarkeit der Netzwerk und Stromstecker gewährleistet werden. Der unbefugte Zugang zu schutzbedürftigen Räumen ist durch Maßnahmen (näher beschrieben im Punkt "Infrastruktur") unterbunden. Das unerlaubte Ausüben von Rechten ist durch ein entsprechendes individuelles, geschütztes Personalkonto unterbunden. Die Rechtezuweisung findet auf Anfrage von dafür ausgewählten Personen statt. Diese sind entsprechend geschult und sich Ihrer Pflicht bewusst. Der unkontrollierte Einsatz von Betriebsmitteln ist im Beispiel USB durch eine allgemeine USB Schnittstellensperre mittels Soft- und Hardware gegeben.
Durch den regulierten Zugang zu Kundeninformationen ist das Risiko eines Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten minimiert worden. Eine Gefährdung durch Reinigungs- oder Fremdpersonal geht nicht aus, da unbenutze LAN Buchsen nicht gepatched sind. Des weiteren haben solche Mitarbeiter keinen Zugang zum WLAN, und sämtliche physikalisch zugänglichen Geräte sind per Software verschlüsselt. Zudem wird das Risiko eines aktiven Angriffes durch Fremdpersonal als sehr gering eingestuft.
Durch das Datensicherungskonzept soll der mutwilligen Manipulation und Zerstörung von Daten Abhilfe geschaft werden. Die Manipulation oder Zerstörung von Geräten oder Zubehör kann nur sehr schwer entgegen gewirkt werden. Die Manipulation von Software zum abhören (Keylogger etc.) ist soweit Grenzen gesetzt, dass nur vorher geprüfte und vom System zugelassene USB Geräte erkannt werden. Dem unbefugten Eindringen in das Gebäude ist wie in "Infrastruktur" beschrieben entgegen gewirkt. Alle portablen Geräte sind besonders gegen Diebstahl gesichert. Ihre Festplatte ist ausnahmlos verschlüsselt, Daten werden nach wiederholtem Scheitern an der Pin unwiederherstellbar gelöscht (überschrieben). Der Unberechtigter Zugang zu den aktiven Netzkomponenten ist soweit eingeschränkt wie es für sinnvoll und wirtschaftlich gehalten wird. Das heißt es gibt einen seperaten und gesicherten Serverraum. Dazu sind alle verbauten Patchfelder durch ein entsprechendes Schloss vor unberechtigtem Zugriff geschützt. Nicht verwendete Ethernetbuchsen werden nicht gepatcht.
Das Unternehmen hat sich für ein sogenanntes Generationenprinzip vom Typ Großvater-Vater-Sohn entschieden. Die Initialsicherung ist dabei natürlich eine vollständige Sicherung. Die Sicherungen der ersten Ebene sind Tagessicherungen und werden immer inkrementell zu der vorherigen Sicherung der zweiten Ebene erstellt. Die zweite Ebene ist die Wochensicherung welche immer aus einer vollständigen Sicherung erstellt wird. Dieser Sicherungsprozess läuft über das Wochenende um den laufenden Betrieb nicht zu beeinflussen. Einmal im Monat wird dann die vollständige Sicherung der dritten Ebene außer Haus gebracht und eingelagert. So ist das Unternehmen auch gegen jegliche Höhere Gewalt ausreichend gesichert.
siehe "Infrastruktur". Ausfallsicherheit ist keine Datensicherung!
Im Folgenden werden im Hause verfügbare Services und Dienste vorgestellt. Da diese Dienste mit streng vertraulichen Informationen der Firma arbeiten, sind sie entsprechend zu sichern und vor Fremdeinwirkung zu schützen!
Das Unternehmen hat sich dazu entschlossen einen Microsoft Exchange Server einzusetzten. Der entsprechende Server ist in die Netzstruktur integriert und entsprechend von unbefugten Netzzugriffen geschützt. Der eMail Server sollte von einem entsprechend Zertifizierten Microsoft Dienstleister installiert werden, um mögliche Fehlerquellen während der Installation auszuschließen. Ein integrierter Spamfilter filtert übliche Spam- und Schadsoftwaremails. Zusätzlich sollte ein Filter eingerichtet werden, welcher anhängende ausführbare Dateien erkennt und in ein "Quarantäne-Postfach" verschiebt.
Der SAP Server ist ähnlich dem eMail Server nur von den Anwendern im Netzwerk erreichbar, welche auch berechtigt sind den SAP Dienst zu nutzen.
Eine sogenannte NextGen Firewall zum aufschlüsseln des verschlüsselten Traffics über die freigegebenen Ports ist für das Unternehmen nicht tragbar. Durch entsprechende Belehrung der Mitarbeiter erhofft sich das Unternehmen einen Verantwortungsvollen Umgang mit dem Internet.