Standards und Normen
So vernichten Sie Daten und Datenträger richtig
Grundschutz durch Normen und Standards
Mit der Integration der Sicherheitsanforderungen der DIN 66399 in die ISO/IEC 27001 oder die ISO 27001 nach IT-Grundschutz in die Unternehmenslandschaft gehen Verantwortliche einen wichtigen Schritt in Richtung Sicherheit. Denn derartige Normen zählen mittlerweile zum zentralen Baustein im unternehmensweiten operationellen Risikomanagement. Im Fokus dabei stehen zum einen die Einhaltung regulatorischer und gesetzlicher Anforderungen und zum anderen die Ausrichtung an den betrieblichen Bedingungen, um unnötige Datenpannen frühzeitig zu verhindern.
Die Normen legen unter anderem fest, welche Informationen auf Datenträgern vor der Weitergabe an Dritte oder der vollständigen Entsorgung so gelöscht werden müssen, dass eine Rekonstruktion ausgeschlossen ist. Darüber hinaus dienen die Richtlinien dazu, auch die Mitarbeiter für das Thema Datenschutz zu sensibilisieren und sie beim Löschen oder Vernichten von Daten hinsichtlich der richtigen Verfahren zu unterstützen.
So können Unternehmen bei strengster Einhaltung der Sicherheitsanforderungen in Zukunft derartige Fauxpas wie das Entsorgen von vollständig lesbaren Daten im Müllcontainer verhindern und somit auch die Vermögenswerte des Unternehmens bewahren und schützen.
- IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten. - RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen. - RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren. - Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen. - NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.