ISMS/Standard: Unterschied zwischen den Versionen

Aus Foxwiki
 
(78 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Normen und Standards im Überblick'''
'''Informationssicherheit-Standards''' - Normen und Standards im Überblick
 
== Beschreibung ==
== Beschreibung ==
Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein, da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss.
; Gründe für Standards
* Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden.
Aufwand für die Sicherung von IT-Ressourcen kann sehr hoch sein
* Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen.
* Traditionell
* Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen.
** wird zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko-/Bedrohungsanalyse durchgeführt
* Danach
** werden die notwendigen Sicherheitsmaßnahmen ausgewählt
** die zum Schutz der jeweiligen Assets für nötig erachtet werden
 
Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren
* zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen
* Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen
 
=== Normen und Standards ===
; [[ISO/27000]]
In der Praxis orientiert sich die Informationssicherheit im Rahmen des [[IT-Sicherheitsmanagement]]s an der [[ISO/IEC-27000]]-Reihe
* Im deutschsprachigen Raum ist ein Vorgehen nach [[IT-Grundschutz]] verbreitet
* Im Bereich der [[Evaluierung]] und [[Zertifizierung]] von IT-Produkten und -systemen findet die Norm [[ISO/IEC 15408]] ([[Common Criteria for Information Technology Security Evaluation|Common Criteria]]) häufig Anwendung
* Die Normenreihe [[IEC 62443]] befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller


; Wichtige Kriterienwerke
=== Nutzen von Sicherheitsstandards ===
* IT-Grundschutz-Kompendium
{| class="wikitable options big"
* BSI-Standard 200
* ISO/IEC 13335
* ISO/IEC 19790
* ISO/IEC 2700X
* Common Criteria/ITSEC/ISO/IEC 15408
* ISO 9000
* COBIT
* ITIL
* DIN EN 50600
=== Nutzen von Standards ===
; Zweck und Struktur relevanter Normen und Richtlinien
{| class="wikitable options"
|-
|-
! Option !! Beschreibung
! Option !! Beschreibung
|-
|-
| Kostensenkung ||  
| Kostensenkung ||
* Praxiserprobte Vorgehensmodelle
* Praxiserprobte Vorgehensmodelle
* Methodische Vereinheitlichung
* Methodische Vereinheitlichung
Zeile 35: Zeile 38:
* Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
* Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
|-
|-
| Wettbewerbsvorteile ||  
| Wettbewerbsvorteile ||
* Zertifizierung des Unternehmens sowie von Produkten
* Zertifizierung des Unternehmens sowie von Produkten
* Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren
* Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren
* Verbesserung des Unternehmensimage
* Verbesserung des Unternehmensimage
|-
| Rechtssicherheit ||
* Stärkung der Rechtssicherheit
* Stärkung der Rechtssicherheit
|}
|}


=== Zweck und Struktur relevanter Normen und Richtlinien ===
=== Arten von Normen und Standards ===
=== Arten von Normen und Standards ===
; Standards zur Informationssicherheit im Überblick
; Standards zur Informationssicherheit im Überblick
[[File:img-005-001.png|600px]]
[[File:img-005-001.png|700px]]
 
 
[[File:img-039-046.jpg|600px]]
 
=== Beispiele für Normen und Standards ===
[[File:img-006-002.png|600px]]
 
[[File:img-007-003.png|600px]]
 
=== Verbindlichkeit ===
{{:Modalverben}}


== ISO/IEC Standards ==
[[File:img-039-046.jpg|700px]]
{{:ISO/27000}}


== BSI-Standards ==
=== Beispiele ===
{{:BSI/Standard}}
; Beispiele für Normen und Standards
 
Kriterienwerke
== IT-Grundschutz-Kompendium ==
{| class="wikitable options big"
Das IT-Grundschutz-Kompendium hat als Ziel, durch personelle, technische, organisatorische und infrastrukturelle Maßnahmen ein Standard-Sicherheitsniveau herzustellen, das auch für Bereiche mit höheren Sicherheitsansprüchen ausbaufähig ist.
* Das IT-Grundschutz-Kompendium löst seit Oktober 2017 als Nachfolger den IT-Grundschutz-Katalog ab.
* Die aktuelle Version ist die Edition 2021.
 
Der IT-Grundschutz besteht aus einigen Prozess-Bausteinen, Methodiken und Hilfsmitteln, die folgende Bereiche abdecken:
 
Übergreifende Funktionen, Infrastruktur, IT-Systeme, Netze und Anwendungen, Sicherheitsmanagement (ISMS)
Einfluss von höherer Gewalt, Mängel in der Organisation, menschliches Versagen, technische Mängel, Detektion und Reaktion Maßnahmen bezogen auf die Infrastruktur, die Organisation, das Personal, die Hard- und Software, die Kommunikation, die Vorsorge im Notfall Formulare, Mustervorlagen, Checklisten, IT-Grundschutzprofile und weitere Informationen
 
Für die effiziente Nutzung des IT-Grundschutzkompendiums stehen diverse Tools zur Verfügung
* https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz-Kompendium/Alternative-IT-Grundschutztools/alternative-it-grundschutztools_node.html
 
== Weitere Normen und Standards ==
{| class="wikitable options"
|-
|-
! Standard !! Beschreibung
! Standard !! Beschreibung
|-
|-
| [[Common Criteria]] ||
| [[IT-Grundschutz/Kompendium]]n ||
|-
| [[BSI]] ||
|-
| [[ISO/IEC 13335]] ||
|-
| [[ISO/IEC 19790]] ||
|-
| [[ISO/27000]] ||
|-
|-
| [[ISIS12]] ||
| [[Common Criteria/ITSEC/ISO/IEC 15408]] ||
|-
|-
| [[COBIT]] ||
| [[COBIT]] ||
|-
| [[COSO]] ||
|-
|-
| [[ITIL]] ||
| [[ITIL]] ||
|}
=== BSI-Standards ===
{| class="wikitable sortable"
|-
|-
! Standard !! Beschreibung
| [[DIN EN 50600]] ||
|-
| [[Common Criteria]] ||
|-
| [[ISIS12]] ||
|-
|-
| 200-1 || Managementsysteme für Informationssicherheit (ISMS)
| [[COSO]] ||
|-
|-
| 200-2 || IT-Grundschutz-Vorgehensweise
| [[ITIL]] || [[IT_Infrastructure_Libary]]
|-
|-
| 200-3 || Risikoanalyse auf der Basis von IT-Grundschutz
| [[ISO/IEC 13335]] ||
|-
|-
| 200-4 || Notfallmanagement
| [[ISO/IEC 9000]] ||
|}
|}


Diese Standards beinhalten grundlegende Methoden und Maßnahmen zur IT-Sicherheit
[[File:img-006-002.png|800px]]
* Herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
* Kompatible zu den OSI-Standards ISO 2700x
* Das IT-Grundschutz-Kompendium basiert auf diesen Standards.
* Durch die Möglichkeit, diese Standards zu zitieren, wird auch in methodischer Hinsicht eine Vereinheitlichung der IT-Sicherheitsbegriffe erzielt.


=== ISO/IEC 13335 ===
[[File:img-007-003.png|800px]]
ISO/IEC 13335 besteht aus fünf technischen Berichten.
* Diese geben Hinweise zum IT-Sicherheits-management, ohne eine bestimmte Lösung zu erzwingen.  
Die Normdokumente befassen sich mit folgenden Themenbereichen:
# Konzepte und Modelle der IT-Sicherheit
# Managen und Planen von IT-Sicherheit
# Techniken für das Management von IT-Sicherheit Grundbegriffe der IT-Sicherheit Bedrohungen, Risiken, Schwachstellen Notfallvorsorge, Risikoanalyse, Sensibilisierung Gestaltung von IT-Sicherheitsprozessen Integration in bestehende Unternehmensprozesse IT-Sicherheitsorganisationen Sicherheitsprozesse verfeinern Methoden und Techniken für Sicherheitsprozesse
# Auswahl von Sicherheitsmaßnahmen
# Management Guide für Netzwerksicherheit


Schutzmaßnahmen gegen Bedrohungen Kommunikationssicherheit Netzwerktypen und Organisationen Business Continuity ISO/IEC 19790 (FIPS 140-2)
=== Verbindlichkeit ===
 
{{:Modalverben}}
Dieser Standard beschäftigt sich mit den Anforderungen an Kryptografiemodule.
* Der vom NIST (National Institute of Standards and Technology) herausgegebene „Federal Information Processing Standard 140“ befasst sich in der Version 2 mit der Überprüfung und Validierung von kryptografischen Modulen auf Hardware- und Softwarebasis.
* FIPS 140-2 ist im Standard ISO/IEC 19790 (Security requirements for cryptographic modules) aufgegangen.
 
=== ISO/IEC 2700X ===
ISO/IEC 2700X ist eine Familie internationaler Standards, die u.a. auf der nicht mehr gültigen ISO 17799 und dem British Standard BS 7799 aufbaut.
 
Darin werden über 20 Normen definiert, in denen u. a. dem Anwender in einem Kriterienkatalog Best-Practice-Lösungen für die Informationssicherheit unter Berücksichtigung folgender Aspekte bereitgestellt werden:
 
Regeln und Richtlinien zur Informationssicherheit Organisation von Sicherheitsmaßnahmen und Managementprozessen Personelle Sicherheit Asset-Management Physikalische Sicherheit und Zugangsdienste Zugriffskontrolle (Access Control)
Umgang mit sicherheitstechnischen Vorfällen Systementwicklung und deren Wartung Planung einer Notfallvorsorge Einhaltung gesetzlicher Vorgaben und Überprüfung durch Audits
 
=== Common Criteria/ITSEC/ISO/IEC 15408 ===
Die Common Criteria for Information Technology Security Evaluation (CC) fügen die in unterschiedlichen Wirtschaftszonen entstandenen Standards zueinander.
* Wie die ITSEC für Europa geben sie ein einheitliches Prüfverfahren vor, mit dem sicherheitsrelevante Aspekte von Hard- und Software so geprüft werden können, dass nachvollziehbare und vergleichbare Ergebnisse erzielt werden.
* Durch die Entwicklung des ISO/IEC 15408 sind die CC ein international anerkannter Standard.
 
Dieser besteht aus drei Teilen:
# Einführung und allgemeines Modell (Introduction and general model)
# Funktionale Sicherheitsanforderungen (Security functional requirements)
# Anforderungen an die Vertrauenswürdigkeit (Security assurance requirements)
 
IT-Produkte und IT-Systeme können nach dem Standard, auch unter dem Namen „Common Criteria (CC)“ bekannt, zertifiziert werden.
* Im Rahmen der Zertifizierung wird die Sicherheit durch eine unabhängige Instanz (Prüfstellen, Zertifizierungsstellen und die nationalen Behörden) überprüft.
 
=== EN ISO-9000-Normenreihe  ===
Die ISO-9000-Normreihe ist kein IT-Sicherheitsstandard, sondern definiert ein Prüfverfahren für Qualitätsmanagementsysteme.
* Da ein Qualitätsmanagementsystem gute Voraussetzungen für ein hohes Sicherheitsniveau bietet, ist die Nennung von ISO 9000 in diesem Zusammenhang durchaus angemessen.
Die Eigenschaften des Qualitätsmanagementsystems müssen dokumentiert und sowohl durch interne als auch externe Stellen nachvollziehbar sein.
In diesem Rahmen wird auch überprüft, ob die EDV-Ausstattung und -Organisation dem Unternehmenszweck angemessen sind.
 
=== COBIT ===
COBIT - Control Objectives for Information and Related Technology ist ein internationales Framework, das die Aufgaben der IT in Prozesse und Kontrollziele aufgliedert.
* Primär geht es hierbei aber nicht darum, wie etwas umzusetzen ist, sondern was umzusetzen ist.
* Es werden also Ergebnisse und nicht Wege zum Ziel beschrieben.
Von einem Werkzeug, das früher nur von Auditoren eingesetzt wurde, hat es sich zu einem Werkzeug entwickelt, das nun dazu dienen kann, die Informationstechnologie einer Firma aus Unternehmenssicht zu steuern.
* Es wird auch benutzt, um die Einhaltung gesetzlicher Anforderungen an das Unternehmen modellieren zu können.
Prinzipiell wird hierbei ein „Top-Down“-Ansatz verfolgt, d. h. ausgehend von den Unternehmenszielen werden Ziele der IT-Infrastruktur abgeleitet und daraus wiederum alle Kriterien der IT beeinflusst.
 
=== ITIL ===
; Auch die ITIL (IT Infrastructure Library) ist kein IT-Sicherheitsstandard.
* In ihr werden Regeln und Definitionen für den Betrieb einer gesamten IT-Infrastruktur (IT Service Management – ITSM) anhand von sogenannten Best Practices vorgegeben.
* Im Grundansatz beschreibt die ITIL darin einen ITSM-Lifecycle (Lebenszyklus).
* In einem Regelkreis wird die kontinuierliche Verbesserung der Prozesse, der Organisation und der entsprechenden Werkzeuge und somit der gesamten IT-Infrastruktur beschrieben.
 
; Dabei gliedert sich die ITIL V3 in fünf Bücher, die gleichzeitig die fünf Lebensphasen des ITSM-Lebenszyklus darstellen:
# Service Strategy (Servicestrategie)
# Service Design (Serviceentwurf)
# Service Transition (Serviceüberführung)
# Service Operation (Servicebetrieb)
# Continual Service Improvement (Kontinuierliche Serviceverbesserung)
 
; Mit der Einführung von ITIL V4 (Februar 2019) wird ein vollständiger Paradigmenwechsel vollzogen.
* Aber keine Angst: ITIL V3 behält weiterhin seine Gültigkeit.
* In ITIL V4 werden keine spezifischen Prozesse mehr definiert.
* Es verfolgt einen neuen, ganzheitlichen Ansatz und bildet das Service-Management von der Nachfrage bis zur Wertschöpfung als zentrales Element ab.
* Es besteht nun aus den Komponenten Vier-Dimensionen-Modell (ganzheitlicher Ansatz der Wertschöpfungskette) und Service-Werte-System.
* Letzteres besteht aus den Teilkomponenten Leitprinzipien, Governance, Service-Wertschöpfungskette und kontinuierliche Verbesserung.
*Jegliche Tätigkeit im IT-Umfeld kann so mithilfe eines standardisierten Vorgehens angegangen werden.
* Das betrifft selbstverständlich auch den IT-Sicherheitsprozess.


<noinclude>
<noinclude>
Zeile 190: Zeile 104:
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
----
* [[Branchenspezifische Sicherheitsstandards]]
* [[IT-Grundschutz-Profile]]
* [[DIN/50600]]
* [[Security_Policy]]
* [[IT-Sicherheitsbeauftragte]]
==== Links ====
==== Links ====
===== Weblinks =====
===== Weblinks =====
[[Kategorie:BSI/Standard]]
[[Kategorie:Informationssicherheit/Standard]]
= TMP =
== Branchenspezifische Sicherheitsstandards ==
=== IT-Grundschutz-Profile ===
== Zielgruppen ==
Die vorgestellten Kriterienwerke haben eine unterschiedliche Zielsetzung und sind daher eher für den Einsatz in bestimmten Zielgruppen geeignet.
Obwohl einzelne Kriterienwerke durchaus auch als Hilfsmittel für andere Anwendungsbereiche nützlich sein können, liegt die Priorität der Anwendung einzelner Werke in folgenden Bereichen:
IT-Grundschutz-
BSI
ISO TR
ISO
ISO
Common
ISO COBIT
ITIL Kompendium
200
13335
19790
2700X
Criteria
9000
U n Hardware-Hersteller
×
×
×
ter n e Software-Hersteller
×
×
×
×
×
hme n Server-Betreiber
×
×
×
×
×
×
ska t e Netzprovider
×
×
×
×
×
×
gor i e
Content-Provider
×
×
×
×
×
×
Unternehmen
×
×
×
×
(als Kunde)
P e r IT-Leitung
×
×
×
×
×
×
son a l Administrator
×
×
x rol l e
IT-Sicherheits-/ Daten-
×
×
×
×
×
×
×
schutzbeauftragter Management
×
×
×
×
×
Projektmanager
×
×
×
×
×
×
×
x
× = Hauptzielgruppe
== DIN EN 50600 ==
[[DIN/50600]]
== Security Policy ==
siehe [[Security_Policy]]
== Aufgaben eines IT-Sicherheitsbeauftragten ==
siehe [[IT-Sicherheitsbeauftragte]]
=== Weblinks ===
# http://www.kompass-sicherheitsstandards.de/
# http://www.kompass-sicherheitsstandards.de/


[[Kategorie:Informationssicherheit/Standard]]
[[Kategorie:ISMS/Standard]]


</noinclude>
</noinclude>

Aktuelle Version vom 18. November 2024, 12:38 Uhr

Informationssicherheit-Standards - Normen und Standards im Überblick

Beschreibung

Gründe für Standards

Aufwand für die Sicherung von IT-Ressourcen kann sehr hoch sein

  • Traditionell
    • wird zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko-/Bedrohungsanalyse durchgeführt
  • Danach
    • werden die notwendigen Sicherheitsmaßnahmen ausgewählt
    • die zum Schutz der jeweiligen Assets für nötig erachtet werden

Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren

  • zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen
  • Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen

Normen und Standards

ISO/27000

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements an der ISO/IEC-27000-Reihe

  • Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet
  • Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung
  • Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller

Nutzen von Sicherheitsstandards

Option Beschreibung
Kostensenkung
  • Praxiserprobte Vorgehensmodelle
  • Methodische Vereinheitlichung
  • Nachvollziehbarkeit
  • Ressourceneinsparung durch Kontinuität und einheitliche Qualifikation
  • Interoperabilität
Angemessenes Sicherheitsniveau
  • Orientierung am Stand der Technik und Wissenschaft
  • Gewährleistung der Aktualität
  • Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
Wettbewerbsvorteile
  • Zertifizierung des Unternehmens sowie von Produkten
  • Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren
  • Verbesserung des Unternehmensimage
Rechtssicherheit
  • Stärkung der Rechtssicherheit

Zweck und Struktur relevanter Normen und Richtlinien

Arten von Normen und Standards

Standards zur Informationssicherheit im Überblick

Beispiele

Beispiele für Normen und Standards

Kriterienwerke

Standard Beschreibung
IT-Grundschutz/Kompendiumn
BSI
ISO/IEC 13335
ISO/IEC 19790
ISO/27000
Common Criteria/ITSEC/ISO/IEC 15408
COBIT
ITIL
DIN EN 50600
Common Criteria
ISIS12
COSO
ITIL IT_Infrastructure_Libary
ISO/IEC 13335
ISO/IEC 9000

Verbindlichkeit

Modalverben - beschreiben die Verbindlichkeit einer Anforderung

Beschreibung
MUSS und SOLL
Ausdruck Verbindlichkeit
MUSS, DARF NUR Anforderung muss unbedingt erfüllt werden
DARF NICHT, DARF KEIN Darf in keinem Fall getan werden
SOLLTE Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich.
SOLLTE NICHT, SOLLTE KEIN Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.
Ausdruck Verbindlichkeit
MUST, MUST NOT, SHALL, SHALL NOT Anforderung muss zwingend eingehalten werden
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich.
MAY, OPTIONAL Anforderung liegt im Ermessen des Herstellers



Anhang

Siehe auch


Links

Weblinks
  1. http://www.kompass-sicherheitsstandards.de/