Informationssicherheit/Standard: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
VisuellWikitext
 
(40 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:


== Beschreibung ==
== Beschreibung ==
Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein, da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss.
; Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein
* Da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss.
* Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden.
* Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden.
* Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen.
* Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen.
* Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen.
* Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen.


; Wichtige Kriterienwerke
=== Nutzen von Sicherheitstandards ===
* IT-Grundschutz-Kompendium
{| class="wikitable options big"
* BSI-Standard 200
* ISO/IEC 13335
* ISO/IEC 19790
* ISO/IEC 2700X
* Common Criteria/ITSEC/ISO/IEC 15408
* ISO 9000
* COBIT
* ITIL
* DIN EN 50600
=== Nutzen von Standards ===
; Zweck und Struktur relevanter Normen und Richtlinien
{| class="wikitable options"
|-
|-
! Option !! Beschreibung
! Option !! Beschreibung
|-
|-
| Kostensenkung ||  
| Kostensenkung ||
* Praxiserprobte Vorgehensmodelle
* Praxiserprobte Vorgehensmodelle
* Methodische Vereinheitlichung
* Methodische Vereinheitlichung
Zeile 36: Zeile 25:
* Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
* Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
|-
|-
| Wettbewerbsvorteile ||  
| Wettbewerbsvorteile ||
* Zertifizierung des Unternehmens sowie von Produkten
* Zertifizierung des Unternehmens sowie von Produkten
* Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren
* Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren
* Verbesserung des Unternehmensimage
* Verbesserung des Unternehmensimage
|-
| Rechtssicherheit ||
* Stärkung der Rechtssicherheit
* Stärkung der Rechtssicherheit
|}
|}


=== Arten von Normen und Standards ===
=== Zweck und Struktur relevanter Normen und Richtlinien ===
==== Arten von Normen und Standards ====
; Standards zur Informationssicherheit im Überblick
; Standards zur Informationssicherheit im Überblick
[[File:img-005-001.png|600px]]
[[File:img-005-001.png|700px]]
 


[[File:img-039-046.jpg|600px]]
[[File:img-039-046.jpg|700px]]


=== Beispiele für Normen und Standards ===
=== Beispiele für Normen und Standards ===
[[File:img-006-002.png|600px]]
; Kriterienwerke
 
{| class="wikitable options big"
[[File:img-007-003.png|600px]]
 
=== Verbindlichkeit ===
{{:Modalverben}}
 
== ISO/IEC Standards ==
{{:ISO/27000}}
 
== BSI-Standards ==
{{:BSI/Standard}}
 
== IT-Grundschutz-Kompendium ==
Das IT-Grundschutz-Kompendium hat als Ziel, durch personelle, technische, organisatorische und infrastrukturelle Maßnahmen ein Standard-Sicherheitsniveau herzustellen, das auch für Bereiche mit höheren Sicherheitsansprüchen ausbaufähig ist.
* Das IT-Grundschutz-Kompendium löst seit Oktober 2017 als Nachfolger den IT-Grundschutz-Katalog ab.
 
Der IT-Grundschutz besteht aus einigen Prozess-Bausteinen, Methodiken und Hilfsmitteln, die folgende Bereiche abdecken:
 
Übergreifende Funktionen, Infrastruktur, IT-Systeme, Netze und Anwendungen, Sicherheitsmanagement (ISMS)
Einfluss von höherer Gewalt, Mängel in der Organisation, menschliches Versagen, technische Mängel, Detektion und Reaktion Maßnahmen bezogen auf die Infrastruktur, die Organisation, das Personal, die Hard- und Software, die Kommunikation, die Vorsorge im Notfall Formulare, Mustervorlagen, Checklisten, IT-Grundschutzprofile und weitere Informationen
 
Für die effiziente Nutzung des IT-Grundschutzkompendiums stehen diverse Tools zur Verfügung
* https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz-Kompendium/Alternative-IT-Grundschutztools/alternative-it-grundschutztools_node.html
 
== Weitere Normen und Standards ==
{| class="wikitable options"
|-
|-
! Standard !! Beschreibung
! Standard !! Beschreibung
|-
| [[IT-Grundschutz-Kompendium]]n ||
|-
| [[BSI/Standard]] ||
|-
| [[ISO/IEC 13335]] ||
|-
| [[ISO/IEC 19790]] ||
|-
| [[ISO/27000]] ||
|-
| [[Common Criteria/ITSEC/ISO/IEC 15408]] ||
|-
| [[COBIT]] ||
|-
| [[ITIL]] ||
|-
| [[DIN EN 50600]] ||
|-
|-
| [[Common Criteria]] ||
| [[Common Criteria]] ||
Zeile 85: Zeile 69:
| [[ISIS12]] ||
| [[ISIS12]] ||
|-
|-
| [[COBIT]] ||
|-
| [[COSO]] ||
| [[COSO]] ||
|-
|-
| [[ITIL]] ||
| [[ITIL]] || [[IT_Infrastructure_Libary]]
|-
| [[ISO/IEC 13335]] ||
|-
| [[ISO/IEC 9000]] ||
|}
|}


=== ISO/IEC 13335 ===
[[File:img-006-002.png|800px]]
[[ISO/IEC 13335]]


=== Common Criteria/ITSEC/ISO/IEC 15408 ===
[[File:img-007-003.png|800px]]
[[Common_Criteria]]


=== EN ISO-9000-Normenreihe  ===
=== Verbindlichkeit ===
Die ISO-9000-Normreihe ist kein IT-Sicherheitsstandard, sondern definiert ein Prüfverfahren für Qualitätsmanagementsysteme.
{{:Modalverben}}
* Da ein Qualitätsmanagementsystem gute Voraussetzungen für ein hohes Sicherheitsniveau bietet, ist die Nennung von ISO 9000 in diesem Zusammenhang durchaus angemessen.
Die Eigenschaften des Qualitätsmanagementsystems müssen dokumentiert und sowohl durch interne als auch externe Stellen nachvollziehbar sein.
In diesem Rahmen wird auch überprüft, ob die EDV-Ausstattung und -Organisation dem Unternehmenszweck angemessen sind.
 
=== COBIT ===
COBIT - Control Objectives for Information and Related Technology ist ein internationales Framework, das die Aufgaben der IT in Prozesse und Kontrollziele aufgliedert.
* Primär geht es hierbei aber nicht darum, wie etwas umzusetzen ist, sondern was umzusetzen ist.
* Es werden also Ergebnisse und nicht Wege zum Ziel beschrieben.
Von einem Werkzeug, das früher nur von Auditoren eingesetzt wurde, hat es sich zu einem Werkzeug entwickelt, das nun dazu dienen kann, die Informationstechnologie einer Firma aus Unternehmenssicht zu steuern.
* Es wird auch benutzt, um die Einhaltung gesetzlicher Anforderungen an das Unternehmen modellieren zu können.
Prinzipiell wird hierbei ein „Top-Down“-Ansatz verfolgt, d. h. ausgehend von den Unternehmenszielen werden Ziele der IT-Infrastruktur abgeleitet und daraus wiederum alle Kriterien der IT beeinflusst.
 
=== ITIL ===
[[IT_Infrastructure_Libary]]


<noinclude>
<noinclude>

Aktuelle Version vom 15. April 2024, 14:41 Uhr

Informationssicherheit - Normen und Standards im Überblick

Beschreibung[Bearbeiten | Quelltext bearbeiten]

Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein
  • Da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss.
  • Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden.
  • Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen.
  • Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen.

Nutzen von Sicherheitstandards[Bearbeiten | Quelltext bearbeiten]

Option Beschreibung
Kostensenkung
  • Praxiserprobte Vorgehensmodelle
  • Methodische Vereinheitlichung
  • Nachvollziehbarkeit
  • Ressourceneinsparung durch Kontinuität und einheitliche Qualifikation
  • Interoperabilität
Angemessenes Sicherheitsniveau
  • Orientierung am Stand der Technik und Wissenschaft
  • Gewährleistung der Aktualität
  • Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
Wettbewerbsvorteile
  • Zertifizierung des Unternehmens sowie von Produkten
  • Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren
  • Verbesserung des Unternehmensimage
Rechtssicherheit
  • Stärkung der Rechtssicherheit

Zweck und Struktur relevanter Normen und Richtlinien[Bearbeiten | Quelltext bearbeiten]

Arten von Normen und Standards[Bearbeiten | Quelltext bearbeiten]

Standards zur Informationssicherheit im Überblick

Beispiele für Normen und Standards[Bearbeiten | Quelltext bearbeiten]

Kriterienwerke
Standard Beschreibung
IT-Grundschutz-Kompendiumn
BSI/Standard
ISO/IEC 13335
ISO/IEC 19790
ISO/27000
Common Criteria/ITSEC/ISO/IEC 15408
COBIT
ITIL
DIN EN 50600
Common Criteria
ISIS12
COSO
ITIL IT_Infrastructure_Libary
ISO/IEC 13335
ISO/IEC 9000

Verbindlichkeit[Bearbeiten | Quelltext bearbeiten]

Modalverben beschreiben die Verbindlichkeit einer Anforderung
Was getan werden MUSS oder SOLL
Ausdruck Verbindlichkeit
MUSS, DARF NUR Anforderung muss unbedingt erfüllt werden
DARF NICHT, DARF KEIN Darf in keinem Fall getan werden
SOLLTE Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich.
SOLLTE NICHT, SOLLTE KEIN Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.
Ausdruck Verbindlichkeit
MUST, MUST NOT, SHALL, SHALL NOT Anforderung muss zwingend eingehalten werden
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich.
MAY, OPTIONAL Anforderung liegt im Ermessen des Herstellers
Siehe auch



Anhang[Bearbeiten | Quelltext bearbeiten]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Links[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]
  1. http://www.kompass-sicherheitsstandards.de/


Abgerufen von „https://wiki.foxtom.de/index.php?title=Informationssicherheit/Standard&oldid=98911