Thema der Woche
12. August 2002
OECD will Sicherheitskultur
Die OECD möchte mit ihren jüngst
überarbeiteten ITK-Sicherheitsrichtlinien (Guidelines for the
Security of Information Systems and Networks) eine neue
Sicherheitskultur fördern, die sich durch die gesamte
Gesellschaft ziehen soll. Sicherheitsgedanken sollen von Anfang an
bei der Entwicklung von Informations- und Netzwerksystemen
einfließen und sich bis hin zum (auch privaten) Endanwender
fortsetzen: "Jeder Teilnehmer ist ein wichtiger Akteur, um
Sicherheit durchzusetzen."
Zur Umsetzung dieser Sicherheitskultur hat die OECD neun Prinzipien formuliert: "In einem
Umfeld der weltweiten Abhängigkeit von Informationssystemen
und Netzwerken demonstrieren die Leitlinien die Verpflichtungen der
OECD-Regierungen zu einer stabilen und produktiven Entwicklung der
Online-Kommunikation. Sie fordern alle Anwender der
Informationstechnologie, einschließlich Regierungen,
Wirtschaft und Individuen dazu auf, die neun Basisgrundsätze,
die sich auf Gebiete wie Sicherheitsbewusstsein und
Verantwortlichkeit sowie Respekt vor ethischen und demokratischen
Werten beziehen, zu befolgen und umzusetzen", so eine
OECD-Pressemitteilung.
Die Sicherheitsrichtlinien sind auf der OECD-Website auf englisch,
französich und spanisch erhältlich ( direkter Download-Link der englischen
Fassung). Frei übersetzt fordern sie:
- Sicherheitsbewusstsein (Awareness): Netzteilnehmer
sollten sich
- der Notwendigkeit von Sicherheit für Informationssysteme
und Netzwerke sowie
- ihrer Möglichkeiten zur Verbesserung der Sicherheit
bewusst sein.
- Verantwortliches Handeln (Responsibility): Alle
Teilnehmer sind für die Sicherheit von Informationssystemen
und Netzwerken verantwortlich.
- Verantwortliche Reaktionen (Response): Teilnehmer
sollten zeitnah und kooperativ handeln, um
Sicherheitsvorfällen vorzubeugen, sie zu erfassen und darauf
zu antworten.
- Verhaltenskodex (Ethics): Teilnehmer sollten die
rechtmäßigen Interessen anderer respektieren.
- Demokratiegrundsatz (Democracy): Die Sicherheit von
Informationssystemen und Netzwerken sollte mit den grundlegenden
Werten einer demokratischen Gesellschaft im Einklang stehen.
- Risikobewertung (Risk Assessment): Teilnehmer sollten
Risiken bewerten.
- Sicherheits-Design und -Implementierung: Teilnehmer
sollten Sicherheit als ein lebensnotwendiges Element von
Informationssystemen und Netzwerken ansehen.
- Sicherheits-Management: Teilnehmer sollten ein
umfassendes Sicherheits-Management einführen.
- Neubewertung von Risiken (Reassessment): Teilnehmer
sollten die Risiken von Informationssystemen und Netzwerken
regelmäßig überprüfen und neu bewerten;
Security Policies, Verhaltensweisen, Maßnahmen und
Abläufe sollten angemessen angepasst werden.
zum nächsten Thema der Woche
zum vorigen Thema der Woche