ISMS/Standard: Unterschied zwischen den Versionen

Aus Foxwiki
 
(147 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' kurze Beschreibung
'''Informationssicherheit-Standards''' - Normen und Standards im Überblick
 
== Beschreibung ==
== Beschreibung ==
=== Standards im Bereich Informationssicherheit ===
; Gründe für Standards
Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein, da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss.
Aufwand für die Sicherung von IT-Ressourcen kann sehr hoch sein
* Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden.
* Traditionell
* Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen.
** wird zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko-/Bedrohungsanalyse durchgeführt
* Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen.
* Danach
* Damit Sie entscheiden können, welche Kriterien für Ihre Aufgaben ideal sind, soll hier ein kurzer Überblick
** werden die notwendigen Sicherheitsmaßnahmen ausgewählt
über die wichtigsten Kriterienwerke gegeben werden:
** die zum Schutz der jeweiligen Assets für nötig erachtet werden
* IT-Grundschutz-Kompendium BSI-Standard 200
 
* ISO/IEC 13335
Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren
* ISO/IEC 19790
* zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen
* ISO/IEC 2700X Common Criteria/ITSEC/ISO/IEC 15408
* Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen
* ISO 9000
 
* COBIT  
=== Normen und Standards ===
* ITIL  
; [[ISO/27000]]
* DIN EN 50600
In der Praxis orientiert sich die Informationssicherheit im Rahmen des [[IT-Sicherheitsmanagement]]s an der [[ISO/IEC-27000]]-Reihe
* Im deutschsprachigen Raum ist ein Vorgehen nach [[IT-Grundschutz]] verbreitet
* Im Bereich der [[Evaluierung]] und [[Zertifizierung]] von IT-Produkten und -systemen findet die Norm [[ISO/IEC 15408]] ([[Common Criteria for Information Technology Security Evaluation|Common Criteria]]) häufig Anwendung
* Die Normenreihe [[IEC 62443]] befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller
 
=== Nutzen von Sicherheitsstandards ===
{| class="wikitable options big"
|-
! Option !! Beschreibung
|-
| Kostensenkung ||
* Praxiserprobte Vorgehensmodelle
* Methodische Vereinheitlichung
* Nachvollziehbarkeit
* Ressourceneinsparung durch Kontinuität und einheitliche Qualifikation
* Interoperabilität
|-
| Angemessenes Sicherheitsniveau ||
* Orientierung am Stand der Technik und Wissenschaft
* Gewährleistung der Aktualität
* Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
|-
| Wettbewerbsvorteile ||
* Zertifizierung des Unternehmens sowie von Produkten
* Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren
* Verbesserung des Unternehmensimage
|-
| Rechtssicherheit ||
* Stärkung der Rechtssicherheit
|}
 
=== Zweck und Struktur relevanter Normen und Richtlinien ===
=== Arten von Normen und Standards ===
; Standards zur Informationssicherheit im Überblick
[[File:img-005-001.png|700px]]
 
[[File:img-039-046.jpg|700px]]
 
=== Beispiele ===
; Beispiele für Normen und Standards
Kriterienwerke
{| class="wikitable options big"
|-
! Standard !! Beschreibung
|-
| [[IT-Grundschutz/Kompendium]]n ||
|-
| [[BSI]] ||
|-
| [[ISO/IEC 13335]] ||
|-
| [[ISO/IEC 19790]] ||
|-
| [[ISO/27000]] ||
|-
| [[Common Criteria/ITSEC/ISO/IEC 15408]] ||
|-
| [[COBIT]] ||
|-
| [[ITIL]] ||
|-
| [[DIN EN 50600]] ||
|-
| [[Common Criteria]] ||
|-
| [[ISIS12]] ||
|-
| [[COSO]] ||
|-
| [[ITIL]] || [[IT_Infrastructure_Libary]]
|-
| [[ISO/IEC 13335]] ||
|-
| [[ISO/IEC 9000]] ||
|}
 
[[File:img-006-002.png|800px]]
 
[[File:img-007-003.png|800px]]
 
=== Verbindlichkeit ===
{{:Modalverben}}


Basis für eine intensivere Auseinandersetzung mit IT-Sicherheitsstandards könnte der „Kompass-Sicherheitsstandards“ des Branchenverbandes BITCOM (http://www.kompass-sicherheitsstandards.de/) sein.
<noinclude>


[[Kategorie:IT-Grundschutz]]
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
----
* [[Branchenspezifische Sicherheitsstandards]]
* [[IT-Grundschutz-Profile]]
* [[DIN/50600]]
* [[Security_Policy]]
* [[IT-Sicherheitsbeauftragte]]


=== IT-Grundschutz-Kompendium ===
==== Links ====
=== Weitere Kriterienwerke zur IT-Sicherheit ===
===== Weblinks =====
=== DIN EN 50600 ===
# http://www.kompass-sicherheitsstandards.de/
=== Security Policy ===
=== Aufgaben eines IT-Sicherheitsbeauftragten ===


== Dokumentation ==
[[Kategorie:ISMS/Standard]]
=== RFC ===
=== Man-Pages ===
=== Info-Pages ===
== Siehe auch ==
== Links ==
=== Projekt-Homepage ===
=== Weblinks ===
=== Einzelnachweise ===
<references />
== Testfragen ==
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


[[Kategorie:Entwurf]]
</noinclude>
[[Kategorie:Sicherheit]]

Aktuelle Version vom 18. November 2024, 12:38 Uhr

Informationssicherheit-Standards - Normen und Standards im Überblick

Beschreibung

Gründe für Standards

Aufwand für die Sicherung von IT-Ressourcen kann sehr hoch sein

  • Traditionell
    • wird zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko-/Bedrohungsanalyse durchgeführt
  • Danach
    • werden die notwendigen Sicherheitsmaßnahmen ausgewählt
    • die zum Schutz der jeweiligen Assets für nötig erachtet werden

Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren

  • zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen
  • Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen

Normen und Standards

ISO/27000

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements an der ISO/IEC-27000-Reihe

  • Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet
  • Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung
  • Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller

Nutzen von Sicherheitsstandards

Option Beschreibung
Kostensenkung
  • Praxiserprobte Vorgehensmodelle
  • Methodische Vereinheitlichung
  • Nachvollziehbarkeit
  • Ressourceneinsparung durch Kontinuität und einheitliche Qualifikation
  • Interoperabilität
Angemessenes Sicherheitsniveau
  • Orientierung am Stand der Technik und Wissenschaft
  • Gewährleistung der Aktualität
  • Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
Wettbewerbsvorteile
  • Zertifizierung des Unternehmens sowie von Produkten
  • Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren
  • Verbesserung des Unternehmensimage
Rechtssicherheit
  • Stärkung der Rechtssicherheit

Zweck und Struktur relevanter Normen und Richtlinien

Arten von Normen und Standards

Standards zur Informationssicherheit im Überblick

Beispiele

Beispiele für Normen und Standards

Kriterienwerke

Standard Beschreibung
IT-Grundschutz/Kompendiumn
BSI
ISO/IEC 13335
ISO/IEC 19790
ISO/27000
Common Criteria/ITSEC/ISO/IEC 15408
COBIT
ITIL
DIN EN 50600
Common Criteria
ISIS12
COSO
ITIL IT_Infrastructure_Libary
ISO/IEC 13335
ISO/IEC 9000

Verbindlichkeit

Modalverben - beschreiben die Verbindlichkeit einer Anforderung

Beschreibung
MUSS und SOLL
Ausdruck Verbindlichkeit
MUSS, DARF NUR Anforderung muss unbedingt erfüllt werden
DARF NICHT, DARF KEIN Darf in keinem Fall getan werden
SOLLTE Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich.
SOLLTE NICHT, SOLLTE KEIN Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.
Ausdruck Verbindlichkeit
MUST, MUST NOT, SHALL, SHALL NOT Anforderung muss zwingend eingehalten werden
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich.
MAY, OPTIONAL Anforderung liegt im Ermessen des Herstellers



Anhang

Siehe auch


Links

Weblinks
  1. http://www.kompass-sicherheitsstandards.de/