Zum Inhalt springen

Informationssicherheit: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Keine Bearbeitungszusammenfassung
Zeile 31: Zeile 31:


=== Audit und Zertifizierungen ===
=== Audit und Zertifizierungen ===
Um ein Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.
[[Informationssicherheit/Audit und Zertifizierungen]]
* Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.
 
Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] oder vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen [[Infrastruktur]] zu erkennen und zu beseitigen.
 
Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
* Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
 
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten.
* Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften.
* Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird.
 
Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
* Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
* Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
* Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
* Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach [[IEC 62443|DIN EN 62443-3-3]].
* Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
 
Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).


== Umsetzungsbereiche ==
== Umsetzungsbereiche ==

Version vom 8. Juni 2023, 09:47 Uhr

Informationssicherheit - Eigenschaft von Systemen Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen

Grundlagen

Informationssicherheit/Grundlagen

Begriffe

Informationssicherheit/Begriffe

Schutzziele

Informationssicherheit/Schutzziele

Maßnahmen

Grundschutz/Maßnahmen

IT-Sicherheitsmanagement

Managementsystem_für_Informationssicherheit


Standards, „Best Practices“ und Ausbildung

Common Criteria

Common Criteria

Security Engineering

Security Engineering Instrumente zur Abwehr und Analyse von Angriffen und Bedrohungen von IT-Systemen

Ausbildung

Audit und Zertifizierungen

Informationssicherheit/Audit und Zertifizierungen

Umsetzungsbereiche

Informationssicherheit/Umsetzungsbereiche

Gesetzliche Rahmenbedingungen

Informationssicherheit/Gesetze

Gesetzliche Grundlagen

Informationssicherheit/Gesetzliche_Grundlagen

Einsatz mobiler Endgeräte

Mobile Endgeräte

Anhang

Siehe auch

Links
Weblinks
  1. https://de.wikipedia.org/wiki/Informationssicherheit
  2. Bundesamt für Sicherheit in der Informationstechnik (BSI)
  3. BMWi: Task Force „IT-Sicherheit in der Wirtschaft“
  4. Seiten-Check der Initiative-S der Taskforce „IT-Sicherheit in der Wirtschaft“. Service des eco-Verbands der Internetwirtschaft e.V., gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi)
  5. Deutschland sicher im Netz e. V.
  6. A Users’ Guide: How to raise information security awareness (DE). Bundesamt für Sicherheit in der Informationstechnik, Juni 2006, ENISA (mit PDF Leitfaden für die Praxis: Wege zu mehr Bewusstsein für Informationssicherheit; 2 MB)
  7. DIN-Normenausschuss Informationstechnik und Anwendungen NA 043-01-27 AA IT-Sicherheitsverfahren
  8. Christian Hawellek: Die strafrechtliche Relevanz von IT-Sicherheitsaudits – Wege zur Rechtssicherheit vor dem Hintergrund des neuen Computerstrafrechts.
  9. Ken Thompson: Reflections on Trusting Trust Artikel über Software-Sicherheit und deren Untergrabung, etwa durch Trojaner.


Abgerufen von „https://wiki.foxtom.de/index.php?title=Informationssicherheit&oldid=73251