Informationssicherheit/Standard: Unterschied zwischen den Versionen

Informationssicherheit - Normen und Standards im Überblick

Beschreibung

Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein, da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss.

• Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden.
• Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen.
• Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen.

Wichtige Kriterienwerke

• IT-Grundschutz-Kompendium
• BSI-Standard 200
• ISO/IEC 13335
• ISO/IEC 19790
• ISO/IEC 2700X
• Common Criteria/ITSEC/ISO/IEC 15408
• ISO 9000
• COBIT
• ITIL
• DIN EN 50600

Nutzen von Standards

Zweck und Struktur relevanter Normen und Richtlinien

Option	Beschreibung
Kostensenkung	Praxiserprobte Vorgehensmodelle Methodische Vereinheitlichung Nachvollziehbarkeit Ressourceneinsparung durch Kontinuität und einheitliche Qualifikation Interoperabilität
Angemessenes Sicherheitsniveau	Orientierung am Stand der Technik und Wissenschaft Gewährleistung der Aktualität Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung
Wettbewerbsvorteile	Zertifizierung des Unternehmens sowie von Produkten Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren Verbesserung des Unternehmensimage Stärkung der Rechtssicherheit

Arten von Normen und Standards

Standards zur Informationssicherheit im Überblick

Beispiele für Normen und Standards

Verbindlichkeit

Modalverben beschreiben die Verbindlichkeit einer Anforderung

Was getan werden MUSS oder SOLL

Ausdruck	Verbindlichkeit
MUSS, DARF NUR	Anforderung muss unbedingt erfüllt werden
DARF NICHT, DARF KEIN	Darf in keinem Fall getan werden
SOLLTE	Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich.
SOLLTE NICHT, SOLLTE KEIN	Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann.

Ausdruck	Verbindlichkeit
MUST, MUST NOT, SHALL, SHALL NOT	Anforderung muss zwingend eingehalten werden
SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED	Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich.
MAY, OPTIONAL	Anforderung liegt im Ermessen des Herstellers

Siehe auch

• https://de.wikipedia.org/wiki/Modalit%C3%A4t_(Sprachwissenschaft)

ISO/IEC Standards

ISO/IEC 27000 - Standards zur Informationssicherheit

Beschreibung

ISO/IEC 2700X/270XX

• Internationale Standard Familie
• Baut auf ISO 17799 und dem British Standard BS 7799 auf
• Diese Standards unterliegen häufigen Änderungen

Über 20 Normen zu Informationssicherheit

• Best-Practice-Lösungen
• Kriterienkataloge

Aspekte

Regeln und Richtlinien zur Informationssicherheit
Organisation von Sicherheitsmaßnahmen und Managementprozessen
Personelle Sicherheit
Asset-Management
Physikalische Sicherheit und Zugangsdienste
Zugriffskontrolle (Access Control)
Umgang mit sicherheitstechnischen Vorfällen
Systementwicklung und deren Wartung
Planung einer Notfallvorsorge
Einhaltung gesetzlicher Vorgaben
Überprüfung durch Audits

Standards zur Informationssicherheit

• International Organization for Standardization (ISO)
• International Electrotechnical Commission (IEC)

Zusammenarbeit von ISO und IEC

• Standards zur Informationssicherheit unter dem Nummernkreis 2700x Information technology – Security techniques zusammengefasst
• Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut
• Für die Evaluierung und Zertifizierung von IT-Produkten und -systemen existiert der Standard ISO/IEC 15408 (Common Criteria).

ISMS

• Information Security Management System
• Best-Practice-Empfehlungen zur Organisation der Informationssicherheit

Übersicht

ISO/IEC 27000

Legende

Scope	Geltungsbereich
Asset	Wert/Schutzobjekt
SOA	Statement of Applicability
RTP	Risk Treatment Plan
BCP	Business Continuity-Plan
Logs	Log Files

https://www.iso27000.es/assets/files/ISO27k%20ISMS%20implementation%20and%20certification%20process%204v1.pdf

Normen

Informationssicherheits-Managementsysteme (2700X)

ISO/IEC	Beschreibung
27000	Übersicht und Vokabular	Begriffe und Definitionen
27001	Anforderungen	Anforderungen an ein ISMS
27002	Code of practice	Kontrollmechanismen für Informationssicherheit
27003	Implementation Guidelines	Leitfaden zur Umsetzung der ISO/IEC 27001
27004	Measurements	Information Security Management Measurement
27005	Information security risk management	IS-Risikomanagement
27006	Informationstechnik - Sicherheitstechniken - Anforderungen	Kriterien der Auditierung und Zertifizierung
27007	Informationstechnik - Sicherheitstechniken - Leitfaden	Leitfaden für die Auditierung
27008	Informationstechnik - Sicherheitstechniken - Leitfaden für Auditoren	Kontrolle eines ISMS

Fachspezifische Subnormen (270XX)

ISO/IEC	Beschreibung
27010	Informationssicherheitsmanagement für sektor- und organisationsübergreifende Kommunikation
27011	Informationssicherheitsmanagement-Richtlinien für Telekommunikationsorganisationen
27013	Leitfaden zur integrierten Implementierung von ISO/IEC 20000-1 und ISO/IEC 27001
27014	Governance der Informationssicherheit
27015	Information security management guidelines for financial services (zurückgezogen)
27016	Auditing und Überprüfungen
27017	Sicherheitstechniken - Verhaltenskodex Informationssicherheitskontrollen für Cloud-Computing-Dienste
27018	Sicherheitstechniken - Verhaltenskodex Kontrollen zum Schutz personenbezogener Daten, die in öffentlichen Cloud-Computing-Diensten verarbeitet werden
27019	Leitfaden für das Informationssicherheitsmanagement basierend auf ISO/IEC 27002 für Prozessleitsysteme speziell für die Energiewirtschaft
27031	Geschäftskontinuität
27032	Richtlinien für Cybersecurity
27033
27034	Richtlinien für Anwendungssicherheit
27035	Management von Informationssicherheitsvorfällen

Weitere

ISO/IEC	Beschreibung
15408
22301
27799	Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002
31000

Ausbildung und Zertifizierung

Option	Beschreibung
Organisationen	Das Information Security Management System kann gegen den normativen Teil ISO/IEC 27001 geprüft und zertifiziert werden
Personen	Für Personen existieren verschiedene Schemata zur Ausbildung und Zertifizierung Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet Liste der IT-Zertifikate

BSI-Standards

BSI-Standards - Kurzbeschreibung

Beschreibung

Version 200

Standard	Titel	Status	Beschreibung
200-1	Managementsysteme für Informationssicherheit	Standard	Informationssicherheitsmanagementsystem
200-2	IT-Grundschutz-Methodik	Standard	Vorgehensweise
200-3	Risikomanagement	Standard	Risikoanalyse
200-4	Business Continuity Management	Standard	Notfallmanagement

IT-Grundschutz-Kompendium

Das IT-Grundschutz-Kompendium hat als Ziel, durch personelle, technische, organisatorische und infrastrukturelle Maßnahmen ein Standard-Sicherheitsniveau herzustellen, das auch für Bereiche mit höheren Sicherheitsansprüchen ausbaufähig ist.

• Das IT-Grundschutz-Kompendium löst seit Oktober 2017 als Nachfolger den IT-Grundschutz-Katalog ab.

Der IT-Grundschutz besteht aus einigen Prozess-Bausteinen, Methodiken und Hilfsmitteln, die folgende Bereiche abdecken:

Übergreifende Funktionen, Infrastruktur, IT-Systeme, Netze und Anwendungen, Sicherheitsmanagement (ISMS) Einfluss von höherer Gewalt, Mängel in der Organisation, menschliches Versagen, technische Mängel, Detektion und Reaktion Maßnahmen bezogen auf die Infrastruktur, die Organisation, das Personal, die Hard- und Software, die Kommunikation, die Vorsorge im Notfall Formulare, Mustervorlagen, Checklisten, IT-Grundschutzprofile und weitere Informationen

Für die effiziente Nutzung des IT-Grundschutzkompendiums stehen diverse Tools zur Verfügung

• https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/IT-Grundschutz-Kompendium/Alternative-IT-Grundschutztools/alternative-it-grundschutztools_node.html

Weitere Normen und Standards

Standard	Beschreibung
Common Criteria
ISIS12
COBIT
COSO
ITIL	IT_Infrastructure_Libary
ISO/IEC 13335
ISO/IEC 9000

Anhang

Siehe auch

• Informationssicherheit/Standard

---

• Branchenspezifische Sicherheitsstandards
• IT-Grundschutz-Profile
• DIN/50600
• Security_Policy
• IT-Sicherheitsbeauftragte

Links

Weblinks

1. http://www.kompass-sicherheitsstandards.de/