ISMS/Standard: Unterschied zwischen den Versionen
(21 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''Informationssicherheit - Normen und Standards im Überblick | '''Informationssicherheit-Standards''' - Normen und Standards im Überblick | ||
== Beschreibung == | == Beschreibung == | ||
; | ; Gründe für Standards | ||
* | Aufwand für die Sicherung von IT-Ressourcen kann sehr hoch sein | ||
* Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt | * Traditionell | ||
** wird zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko-/Bedrohungsanalyse durchgeführt | |||
* Danach | |||
** werden die notwendigen Sicherheitsmaßnahmen ausgewählt | |||
** die zum Schutz der jeweiligen Assets für nötig erachtet werden | |||
=== Nutzen von | Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren | ||
* zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen | |||
* Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen | |||
=== Normen und Standards === | |||
; [[ISO/27000]] | |||
In der Praxis orientiert sich die Informationssicherheit im Rahmen des [[IT-Sicherheitsmanagement]]s an der [[ISO/IEC-27000]]-Reihe | |||
* Im deutschsprachigen Raum ist ein Vorgehen nach [[IT-Grundschutz]] verbreitet | |||
* Im Bereich der [[Evaluierung]] und [[Zertifizierung]] von IT-Produkten und -systemen findet die Norm [[ISO/IEC 15408]] ([[Common Criteria for Information Technology Security Evaluation|Common Criteria]]) häufig Anwendung | |||
* Die Normenreihe [[IEC 62443]] befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller | |||
=== Nutzen von Sicherheitsstandards === | |||
{| class="wikitable options big" | {| class="wikitable options big" | ||
|- | |- | ||
Zeile 35: | Zeile 48: | ||
=== Zweck und Struktur relevanter Normen und Richtlinien === | === Zweck und Struktur relevanter Normen und Richtlinien === | ||
=== Arten von Normen und Standards === | |||
; Standards zur Informationssicherheit im Überblick | ; Standards zur Informationssicherheit im Überblick | ||
[[File:img-005-001.png| | [[File:img-005-001.png|700px]] | ||
[[File:img-039-046.jpg| | [[File:img-039-046.jpg|700px]] | ||
=== Beispiele für Normen und Standards | === Beispiele === | ||
; Beispiele für Normen und Standards | |||
Kriterienwerke | |||
{| class="wikitable options big" | {| class="wikitable options big" | ||
|- | |- | ||
! Standard !! Beschreibung | ! Standard !! Beschreibung | ||
|- | |- | ||
| [[IT-Grundschutz | | [[IT-Grundschutz/Kompendium]]n || | ||
|- | |- | ||
| [[BSI | | [[BSI]] || | ||
|- | |- | ||
| [[ISO/IEC 13335]] || | | [[ISO/IEC 13335]] || | ||
Zeile 58: | Zeile 72: | ||
|- | |- | ||
| [[Common Criteria/ITSEC/ISO/IEC 15408]] || | | [[Common Criteria/ITSEC/ISO/IEC 15408]] || | ||
|- | |- | ||
| [[COBIT]] || | | [[COBIT]] || | ||
Zeile 70: | Zeile 82: | ||
|- | |- | ||
| [[ISIS12]] || | | [[ISIS12]] || | ||
|- | |- | ||
| [[COSO]] || | | [[COSO]] || | ||
Zeile 82: | Zeile 92: | ||
|} | |} | ||
[[File:img-006-002.png| | [[File:img-006-002.png|800px]] | ||
[[File:img-007-003.png| | [[File:img-007-003.png|800px]] | ||
=== Verbindlichkeit === | === Verbindlichkeit === | ||
Zeile 105: | Zeile 115: | ||
# http://www.kompass-sicherheitsstandards.de/ | # http://www.kompass-sicherheitsstandards.de/ | ||
[[Kategorie: | [[Kategorie:ISMS/Standard]] | ||
</noinclude> | </noinclude> |
Aktuelle Version vom 18. November 2024, 12:38 Uhr
Informationssicherheit-Standards - Normen und Standards im Überblick
Beschreibung
- Gründe für Standards
Aufwand für die Sicherung von IT-Ressourcen kann sehr hoch sein
- Traditionell
- wird zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko-/Bedrohungsanalyse durchgeführt
- Danach
- werden die notwendigen Sicherheitsmaßnahmen ausgewählt
- die zum Schutz der jeweiligen Assets für nötig erachtet werden
Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren
- zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen
- Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen
Normen und Standards
In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements an der ISO/IEC-27000-Reihe
- Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet
- Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung
- Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller
Nutzen von Sicherheitsstandards
Option | Beschreibung |
---|---|
Kostensenkung |
|
Angemessenes Sicherheitsniveau |
|
Wettbewerbsvorteile |
|
Rechtssicherheit |
|
Zweck und Struktur relevanter Normen und Richtlinien
Arten von Normen und Standards
- Standards zur Informationssicherheit im Überblick
Beispiele
- Beispiele für Normen und Standards
Kriterienwerke
Verbindlichkeit
Modalverben - beschreiben die Verbindlichkeit einer Anforderung
- Beschreibung
- MUSS und SOLL
Ausdruck | Verbindlichkeit |
---|---|
MUSS, DARF NUR | Anforderung muss unbedingt erfüllt werden |
DARF NICHT, DARF KEIN | Darf in keinem Fall getan werden |
SOLLTE | Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich. |
SOLLTE NICHT, SOLLTE KEIN | Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann. |
Ausdruck | Verbindlichkeit |
---|---|
MUST, MUST NOT, SHALL, SHALL NOT | Anforderung muss zwingend eingehalten werden |
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED | Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich. |
MAY, OPTIONAL | Anforderung liegt im Ermessen des Herstellers |
Anhang
Siehe auch
- Branchenspezifische Sicherheitsstandards
- IT-Grundschutz-Profile
- DIN/50600
- Security_Policy
- IT-Sicherheitsbeauftragte
Links
Weblinks