ISMS/Standard: Unterschied zwischen den Versionen
K Dirkwagner verschob die Seite Informationssicherheit/Standard nach ISMS/Standard: Textersetzung - „Informationssicherheit“ durch „ISMS“ |
|||
| (137 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
''' | '''Informationssicherheit-Standards''' - Normen und Standards im Überblick | ||
== Beschreibung == | == Beschreibung == | ||
; Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein | |||
Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein | * Da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss. | ||
* Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden. | * Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden. | ||
* Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen. | * Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen. | ||
* Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen. | * Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen. | ||
* | |||
; Normen und Standards | |||
In der Praxis orientiert sich die Informationssicherheit im Rahmen des [[IT-Sicherheitsmanagement]]s unter anderem an der internationalen [[ISO/IEC-27000]]-Reihe | |||
* Im deutschsprachigen Raum ist ein Vorgehen nach [[IT-Grundschutz]] verbreitet | |||
* Im Bereich der [[Evaluierung]] und [[Zertifizierung]] von IT-Produkten und -systemen findet die Norm [[ISO/IEC 15408]] ([[Common Criteria for Information Technology Security Evaluation|Common Criteria]]) häufig Anwendung | |||
* Die Normenreihe [[IEC 62443]] befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller | |||
=== Nutzen von Sicherheitsstandards === | |||
{| class="wikitable options big" | |||
|- | |||
! Option !! Beschreibung | |||
|- | |||
| Kostensenkung || | |||
* Praxiserprobte Vorgehensmodelle | |||
* Methodische Vereinheitlichung | |||
* Nachvollziehbarkeit | |||
* Ressourceneinsparung durch Kontinuität und einheitliche Qualifikation | |||
* Interoperabilität | |||
|- | |||
| Angemessenes Sicherheitsniveau || | |||
* Orientierung am Stand der Technik und Wissenschaft | |||
* Gewährleistung der Aktualität | |||
* Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung | |||
|- | |||
| Wettbewerbsvorteile || | |||
* Zertifizierung des Unternehmens sowie von Produkten | |||
* Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren | |||
* Verbesserung des Unternehmensimage | |||
|- | |||
| Rechtssicherheit || | |||
* Stärkung der Rechtssicherheit | |||
|} | |||
=== Zweck und Struktur relevanter Normen und Richtlinien === | |||
==== Arten von Normen und Standards ==== | |||
; Standards zur Informationssicherheit im Überblick | |||
[[File:img-005-001.png|700px]] | |||
[[File:img-039-046.jpg|700px]] | |||
=== Beispiele für Normen und Standards === | |||
; Kriterienwerke | |||
{| class="wikitable options big" | |||
|- | |||
! Standard !! Beschreibung | |||
|- | |||
| [[IT-Grundschutz/Kompendium]]n || | |||
|- | |||
| [[BSI/Standard]] || | |||
|- | |||
| [[ISO/IEC 13335]] || | |||
|- | |||
| [[ISO/IEC 19790]] || | |||
|- | |||
| [[ISO/27000]] || | |||
|- | |||
| [[Common Criteria/ITSEC/ISO/IEC 15408]] || | |||
|- | |||
| [[COBIT]] || | |||
|- | |||
| [[ITIL]] || | |||
|- | |||
| [[DIN EN 50600]] || | |||
|- | |||
| [[Common Criteria]] || | |||
|- | |||
| [[ISIS12]] || | |||
|- | |||
| [[COSO]] || | |||
|- | |||
| [[ITIL]] || [[IT_Infrastructure_Libary]] | |||
|- | |||
| [[ISO/IEC 13335]] || | |||
|- | |||
| [[ISO/IEC 9000]] || | |||
|} | |||
[[File:img-006-002.png|800px]] | |||
[[File:img-007-003.png|800px]] | |||
=== Verbindlichkeit === | |||
{{:Modalverben}} | |||
<noinclude> | |||
[[ | == Anhang == | ||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | |||
---- | |||
* [[Branchenspezifische Sicherheitsstandards]] | |||
* [[IT-Grundschutz-Profile]] | |||
* [[DIN/50600]] | |||
* [[Security_Policy]] | |||
* [[IT-Sicherheitsbeauftragte]] | |||
=== | ==== Links ==== | ||
===== Weblinks ===== | |||
=== | # http://www.kompass-sicherheitsstandards.de/ | ||
= | |||
[[Kategorie:ISMS/Standard]] | |||
</noinclude> | |||
Aktuelle Version vom 17. September 2024, 11:03 Uhr
Informationssicherheit-Standards - Normen und Standards im Überblick
Beschreibung
- Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein
- Da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss.
- Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden.
- Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen.
- Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen.
- Normen und Standards
In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe
- Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet
- Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung
- Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller
Nutzen von Sicherheitsstandards
| Option | Beschreibung |
|---|---|
| Kostensenkung |
|
| Angemessenes Sicherheitsniveau |
|
| Wettbewerbsvorteile |
|
| Rechtssicherheit |
|
Zweck und Struktur relevanter Normen und Richtlinien
Arten von Normen und Standards
- Standards zur Informationssicherheit im Überblick
Beispiele für Normen und Standards
- Kriterienwerke
Verbindlichkeit
Modalverben - beschreiben die Verbindlichkeit einer Anforderung
- Beschreibung
- MUSS und SOLL
| Ausdruck | Verbindlichkeit |
|---|---|
| MUSS, DARF NUR | Anforderung muss unbedingt erfüllt werden |
| DARF NICHT, DARF KEIN | Darf in keinem Fall getan werden |
| SOLLTE | Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich. |
| SOLLTE NICHT, SOLLTE KEIN | Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann. |
| Ausdruck | Verbindlichkeit |
|---|---|
| MUST, MUST NOT, SHALL, SHALL NOT | Anforderung muss zwingend eingehalten werden |
| SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED | Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich. |
| MAY, OPTIONAL | Anforderung liegt im Ermessen des Herstellers |
Anhang
Siehe auch
- Branchenspezifische Sicherheitsstandards
- IT-Grundschutz-Profile
- DIN/50600
- Security_Policy
- IT-Sicherheitsbeauftragte
Links
Weblinks