Normen und Standards für die IT-Sicherheit



Ähnliche Dokumente
Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5


Was meinen die Leute eigentlich mit: Grexit?

EINE PLATTFORM

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

DER SELBST-CHECK FÜR IHR PROJEKT

Grundfunktionen und Bedienung

Leichte-Sprache-Bilder

SEO Erfolg mit themenrelevanten Links

Qualitätsmanagement in kleinen und mittleren Unternehmen

Wir organisieren Ihre Sicherheit

Die Übereckperspektive mit zwei Fluchtpunkten

Die Post hat eine Umfrage gemacht

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Professionelle Seminare im Bereich MS-Office

1 Mathematische Grundlagen

FORUM: Produktionsschule als Teil des Schulsystems

Studieren- Erklärungen und Tipps

Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen

Mean Time Between Failures (MTBF)

Inhaltsübersicht Produktinformationsblatt zur Jahres-Reiserücktritts-Versicherung der Europäische Reiseversicherung AG

Lineare Gleichungssysteme

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Alltag mit dem Android Smartphone

GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten: Durchführung der Prüfung WP StB Dr. Klaus-Peter Feld

Meet the Germans. Lerntipp zur Schulung der Fertigkeit des Sprechens. Lerntipp und Redemittel zur Präsentation oder einen Vortrag halten

Unterrichtsmaterialien in digitaler und in gedruckter Form. Auszug aus: Übungsbuch für den Grundkurs mit Tipps und Lösungen: Analysis

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Zeichen bei Zahlen entschlüsseln

1. Weniger Steuern zahlen

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

UMSTELLUNG AUF DAS SEPA-ZAHLUNGSWESEN

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

Der Schutz von Patientendaten

Einkaufsführer Hausverwaltung Was Sie bei Suche und Auswahl Ihres passenden Verwalters beachten sollten

Was ich als Bürgermeister für Lübbecke tun möchte

SOZIALVORSCHRIFTEN IM STRAßENVERKEHR Verordnung (EG) Nr. 561/2006, Richtlinie 2006/22/EG, Verordnung (EU) Nr. 165/2014

Sicherheitseinstellungen... 2 Pop-up-Fenster erlauben... 3

10. Fachtagung IT-Beschaffung 2014 Fachforum 6

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

LEITFADEN zur Einstellung von Reverse Charge bei Metall und Schrott

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

Alle gehören dazu. Vorwort

Abituraufgabe zur Stochastik, Hessen 2009, Grundkurs (TR)

Leitfaden zur Durchführung eines Jahreswechsels in BüroWARE 5.x

Beschreibung des MAP-Tools

Innovativ gründen? Pro-Ideenfonds. Förderung technologieorientierter Existenzgründungen in Hamburg

Wir machen neue Politik für Baden-Württemberg

TÜV NORD Akademie Personenzertifizierung. Informationen zur Zertifizierung von Qualitätsfachpersonal

Zertifizierungsprogramm

Dieser Ablauf soll eine Hilfe für die tägliche Arbeit mit der SMS Bestätigung im Millennium darstellen.

Wissenswertes über die Bewertung. Arbeitshilfe

Checkliste zur qualitativen Nutzenbewertung

XT Großhandelsangebote

Teaser-Bilder erstellen mit GIMP. Bildbearbeitung mit GIMP 1

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Anleitung über den Umgang mit Schildern

Software-Validierung im Testsystem

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Content Management System mit INTREXX 2002.

Nicht über uns ohne uns

Informationen in Leichter Sprache

Inkrementelles Backup

Outsourcing und Offshoring. Comelio und Offshoring/Outsourcing

DER BESSER INFORMIERTE GEWINNT!

How-to: Webserver NAT. Securepoint Security System Version 2007nx

SAFEYTEAMS-Newsletter Nr. 5

GPP Projekte gemeinsam zum Erfolg führen

Zulassung nach MID (Measurement Instruments Directive)

E-Commerce. Von Matthias Fenner und Matthias Schulze. Definition Rechtliches Beispiele Vor- und Nachteile Sicherheitsmaßnahmen

Kommunikations-Management

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Version 1.0 [Wiederherstellung der Active Directory] Stand: Professionelle Datensicherung mit SafeUndSave.com. Beschreibung.

Neomentum Coaching. Informationsbroschüre für Studienteilnehmer

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

proles-login. Inhalt [Dokument: L / v1.0 vom ]

Projektmanagement in der Spieleentwicklung

Questico Seminare. Voraussetzungen und Qualitätsrichtlinien für das Anbieten von Seminaren. Stand:

Wachstum 2. Michael Dröttboom 1 LernWerkstatt-Selm.de

ZIELVEREINBARUNG über die Internationale Gartenbauausstellung 2017 am Bodensee. 26. Januar 2007 in Meersburg

Änderung des IFRS 2 Anteilsbasierte Vergütung

Fragebogen zur Evaluation von NLP im Coaching

Kapiteltests zum Leitprogramm Binäre Suchbäume

AZK 1- Freistil. Der Dialog "Arbeitszeitkonten" Grundsätzliches zum Dialog "Arbeitszeitkonten"

Mitarbeitergespräch. Gesprächsleitfaden. Mitarbeiter/Mitarbeiterin. Führungskraft: Datum: Name: Vorname: Abteilung, Bereich, Organisationseinheit:

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Departement Bau, Verkehr und Umwelt Abteilung Tiefbau

REACH-CLP-Helpdesk. Zulassung in der Lieferkette. Matti Sander, Bundesanstalt für Arbeitsschutz und Arbeitsmedizin

Leitfaden zur Einrichtung za-mail mit IMAP auf dem iphone

Mit Sicherheit gut behandelt.

ARCO Software - Anleitung zur Umstellung der MWSt

DIN EN ISO 9000 ff. Qualitätsmanagement. David Prochnow

Aufgabe 6 Excel 2013 (Fortgeschrittene) Musterlösung

Die Online-Meetings bei den Anonymen Alkoholikern. zum Thema. Online - Meetings. Eine neue Form der Selbsthilfe?

Prozessbeschrieb des Wissensaustauschs zwischen den Generationen in Unternehmen, Organisationen und in der Verwaltung

How to do? Projekte - Zeiterfassung

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Transkript:

Normen und Standards für die IT-Sicherheit 1. Zur Ausgangslage Die Anzahl der Normen und Standards auf dem IT-Sicherheitssektor hat im Verlauf der vergangenen Jahre ständig zugenommen. Ihre Vielzahl ist mittlerweile fast nicht mehr zu überblicken, zumal zu den anerkannten Normen noch eine Anzahl von Modellen hinzukommen, die in ihrer Ausprägung einen vorgabenähnlichen Charakter - unter anderem durch ihre Akzeptanz im Unternehmensalltag - erworben haben. Im Folgenden sollen daher die wesentlichen Normen aufgeführt, charakterisiert und im Gesamtzusammenhang dargestellt werden. 2. Zur Funktion von Normen in der IT Eine Norm ist ein Standard zur vereinheitlichenden Gestaltung von Produkten, Prozessen oder Dienstleistungen. geht davon aus, dass eine Realisierung gemäß ihren Anforderungen ausschließlich qualifiziertem und kompetentem Fachpersonal anvertraut wird. setzt nicht voraus, dass ihre Befolgung gewährleistet, dass zum Beispiel Verträge o- der gesetzliche Bestimmungen bei normenkonformer Gestaltung einwandfrei sind. Normenkonformität bedeutet daher eher ein dem Stand des Wissens und der Technik entsprechendes System. In Bezug auf die Informationstechnologie und die IT-Sicherheit bedeutet daher die Anwendung und Befolgung der Forderungen einer Norm eine Konformität mit dem State of the Art und damit eine relative Sicherheit, nicht an den Aktualitätsanforderungen vorbei zu agieren. 3. Überblick über ausgewählte IT-sicherheitsrelevanten Normen und Standards 1 Ein Überblick über Standards und Normen kann sinnvoll durch ihre Charakteristik nach Zielsetzung und Inhalt erfolgen. Die folgende Abbildung gruppiert die Standards des IT- Sicherheitssektors nach diesen Kriterien und ordnet sie in ein zweidimensionales 9- Felder-Schema ein. Da aufgrund der Achsenbezeichnungen dieses Schemas die Gruppierungen selbsterklärend sind, wird für die jeweilige Einordnung nur jeweils beispielhaft eine Begründung gegeben. Seite 1 von 5

System bezogen IT-GSHB IDW PS 330/331 ISF Standard ISO IEC 27001 BS 7799 ISO 20000 UIMCert PS 103 ISO 13335 Produktbezogen ITSEC ISO 15408 CC IDW PS 880 FIPS 140 technisch Abb.1: Zielsetzung und Inhalte von Standards nicht-technisch Die Abbildung zeigt, dass die Anzahl der Normen zwar nicht über alle Felder gleichmäßig verteilt ist, es sich aber durchaus bestimmte Schwerpunktbesetzungen abzeichnen. So ergibt sich, dass die technischen Standards stark produktbezogen orientiert sind und die managementorientierten eher systembezogen sind. Auch die mittleren Felder sind gut besetzt von solchen Normen, die sowohl technisch als auch managementrelevant sind. Grundprinzipien der Vernetzung und Sinn Im Hinblick darauf, dass bezüglich der Zielsetzungen und Inhalte eine deutliche Normenvielfalt gegeben ist, ist es vor allem für die Unternehmen von Bedeutung, die diese Standards anwenden, dass sich ihre Redundanz in Grenzen hält. Zwar ist es so, dass sich insbesondere im internationalen Bereich Überschneidungen nicht ausschließen und Redundanzen durchaus gegeben sind, dass aber dennoch logische Verkettungen zwischen den einzelnen Normen sinnvoll hergestellt werden können, und sich hieraus für das anwendende Unternehmen zusätzliche Erkenntnisse ergeben. Dies wird weiter unten an einem Beispiel verdeutlicht. Vernetzungsprinzipien sind: Gleiche Forderungen ähnlicher Normen mit unterschiedlichen Begründungen Ergänzungen und Präzisierungen (logisch aufeinander aufbauende Normen) Unterschiedliche Gewichtungen einzelner Anforderungen in der jeweiligen Norm Unterschiedliche sich ergänzende oder ersetzende Techniken/Maßnahmen Seite 2 von 5

ISO 14001 ISO 15408 CC ISO 15446 IDW PS 880 BDSG (LDSG SH) Grundschutz (ISO 27001) IDW PS 330 ISO 27001 (BS 7799) ISO 13335 BS 15000 (ISO 20000) Abb.2: Vernetzung der Normen und Standards zum IT-Management und zur IT-Sicherheit Die Abbildung belegt eine starke Vernetzung und zeigt, dass die Normen deutlich aufeinander aufbauen und voneinander abhängig sind. Vom Grundsatz her ist dies damit zu begründen, dass zum Beispiel prüfungsorientierte Normen, wie die des Wirtschaftsprüfungssektors oder die des Datenschutzes unter technischen und managementorientierten Aspekten gesetzlichen Anforderungen nach Ordnungsmäßigkeit genügen müssen. Hierbei sind die Anforderungen, die durch die Gesetze gestellt werden und die Ordnungsmäßigkeit bedingen, technischer und/oder managementspezifischer Art. 4. Gruppe der managementorientierten Normen Normen mit Managementorientierung stellen Gestaltungsvorgaben und Prüfkriterien für komplexe IT-Systeme auf der organisatorisch-managementorientierten Ebene zur Verfügung. ISO/IEC 27001 - BS 7799 (IT-Sicherheitsmanagement) ISO/IEC 13335 (s. u.) BS 15000 - ISO / IEC 20000 (IT-Service-Management, in Teilbereichen IT- Sicherheit) UIMCert PS 101 (Standard zur Prüfung eines Datenschutzmanagementsystems) Als Beispiel soll hier auf den weniger bekannten ISO/IEC TR 13335 Management of information and communications technology security eingegangen werden, der sich als Leitlinie für die Initiierung und Umsetzung des IT-Sicherheitsmanagementprozesses versteht und die Organisation und Umsetzung von IT-Sicherheit in Form eines Leitfadens behandelt. Er beschreibt die Konzepte und Elemente von IT-Sicherheit bzw. des IT- Sicherheitsmanagements sowie deren Beziehungen zueinander und will hiermit eine Standardisierung der IT-Sicherheit und eine Grundlage für die Bewertung des IT-Sicherheitsniveaus schaffen. 5. Technische und produktorientierte Normen Technische und produktorientierte Normen stellen Vorgaben für Produktgestaltung sowie Produkt- und Systemprüfung zur Verfügung ISO/IEC 15446 (produkt- und systembezogen) Seite 3 von 5

IT-Sec (abgelöst durch die CC) ISO/IEC 15408 - Common Criteria CC FIPS (Vorgaben für den Verschlüsselungssektor) Als Beispiel für eine praktische Anwendung in der IT-Sicherheit sei das Konzept der EAL-Stufen der Common Criteria (ISO 15408) genannt. Diese wird als Common Evaluation Methodology bezeichnet. EAL-Stufen definieren eine Stufe der Vertrauenswürdigkeit (Evaluation Assurance Level) in eine Sicherheitsleistung: Eine Common Criteria - Evaluierung soll die Wirksamkeit der vom Hersteller behaupteten Sicherheitsfunktionalität bestätigen. Die EAL-Stufen beschreiben dazu präzise Anforderungen an eine IT- Sicherheitsprüfung und dienen damit auch als Grundlage für Prüfungen, die nicht auf Basis der EAL durchgeführt werden. 6. Standards des Wirtschaftsprüfungssektors Grundprinzipien der Standards des WP-Sektors sind, Prüfungsvorgaben für Gesetzeskonformitäts- und Ordnungsmäßigkeitsprüfungen liefern zu wollen. IDW PS 330/331 (Prüfstandards für IT-Infrastruktur und Sicherheitsmanagement) IDW PS 880 (Prüfstandard für Rechnungslegungsrelevante Softwareprodukte) FAIT 1 3 (Grundsätze des Fachausschusses für Informationstechnologie des IDW) Basel II Die relevanten Standards auf dem WP-Sektor haben unterschiedliche Grundlagen. So basieren die Prüfungsstandards des IDW auf einer Erarbeitung durch Arbeitskreise und Gremien des Instituts der Wirtschaftsprüfer, während zum Beispiel Basel II, eine Gesetzesgrundlage hat/ist, die Prüfprozesse auf dieser aufbauen müssen und die Prüfansprüche mit dieser compliant sein müssen. Grundsätzlich dienen diese Prüfstandards jedoch vorwiegend der Arbeit der internen oder EDV-Revision. 7. Verkettungsbeispiel einiger Normen Das Prinzip der Verkettung geht aus der Abb. 2 hervor. Es soll jedoch eine spezielle Sequenz/Kette (s. Abb. 3) herausgegriffen werden, damit an ihr der logische Aufbau des Normensystems gezeigt werden kann. Abb.3: Verkettung von Standards ISO 15446 ISO 15408 IDW PS 880 Die Logik der Verkettung ergibt sich aus folgenden Überlegungen: Unter anderem beeinflusst durch die in der ISO 15408 angestellten Überlegungen gilt das so genannte Protection Profile als Grundlage für die Konstruktion eines sicheren Systems. Es wird hierbei von der Voraussetzung ausgegangen, dass die Anwendung/das Anwendungsgebiet Anforderungen an die Sicherheitskriterien eines Systems stellt, die sich dann in der Konstruktion des Systems im Hinblick auf seine Sicherheitsmerkmale niederschlagen müssen. Die Darstellung in Abb. 3 lässt sich wie folgt erläutern: Die ISO 15446 erklärt die Anforderungen, die bei der Konstruktion eines Protection Profiles zu beachten sind. Sie bilden hiermit die Grundlage der aus der ISO 15408 zu entnehmenden, bei der Konstruktion des Systems zu beachtenden IT-Sicherheitsfeatures. Diese realisierten Sicherheitskriterien können dann einer Evaluation nach den Grundprinzipien der ISO 15408 unterworfen werden, oder aber sie dienen als Grundlage für Prüfverfahren nach dem PS 880. Dies bedeutet allerdings, dass bei der Konstruktion des Systems das Protection Profile z. B. nach den gesetzlichen Anforderungen der Handels- und Steuergesetzgebung (Rechnungslegungsrele- Seite 4 von 5

vanz) konstruiert worden sein muss, da diese die Grundlage für die Prüfprozesse des Wirtschaftsprüfers im Hinblick auf die IT-Sicherheitsprobleme sein werden. 8. Fazit Die Darlegungen haben gezeigt, dass die Anzahl der Normen, Standards und gesetzlichen Vorgaben nahezu unübersehbar geworden ist. Die Komplexität ist nur dann zu beherrschen, wenn je nach dem jeweiligen Zweck diejenigen Grundlagen ausgesucht werden, die die projekt-/aufgabenspezifischen Anforderungen erfüllen. Dies wurde am Beispiel einer Verkettung verdeutlicht, bei der zwei international gültige Normen mit einem nationalen Prüfstandard verkettet wurden. Dieser Prozess setzt jedoch sowohl bei der Konstruktion solcher Systeme als auch bei ihrer Prüfung einen Sachverstand voraus, der insbesondere bei vielen Prüfern aufgrund ihrer Vorbildung nicht gegeben ist/gegeben sein kann. Die Konsequenz hieraus ist, dass insbesondere Evaluation- und Prüfprozesse nur von solchen Prüfern vorgenommen werden können, die über hohes Fachwissen auf dem IT-Sicherheitssektor verfügen. 1 Die Kurzdarstellung dieses Artikels über die Funktionen und Inhalte der betreffenden Normen und Standards kann vertiefend nachgelesen werden unter www.uimcert.de Seite 5 von 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback