IT-Sicherheitsstandard

• BSI-Standard 200
• COBIT
• Common Criteria/ITSEC/ISO/IEC 15408
• DIN EN 50600
• DSGVO
• ISO 9000
• ISO/IEC 13335
• ISO/IEC 19790
• ISO/IEC 2700X (z.B. ISO/IEC 27001)
• IT-Grundschutz-Kompendium
• ITIL
• Security Policy
 BSI-Standard 200
• BSI-Standard 200-1: Managementsysteme für Informationssicherheit
(ISMS)

• BSI-Standard 200-2: IT-Grundschutz-Vorgehensweise

• BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz

• BSI-Standard 200-4: Notfallmanagement

 COBIT
COBIT wurde ursprünglich (1996) vom internationalen Verband der IT-Prüfer ISACA
entwickelt. COBIT hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem
Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt und wird unter
anderem auch als Modell zur Sicherstellung der Einhaltung gesetzlicher
Anforderungen (Compliance) eingesetzt. Dies fördert die IT-Industrialisierung.
Common Criteria/ITSEC/ISO/IEC 15408
• fügen die in unterschiedlichen Wirtschaftszonen entstandenen
Standards zueinander (z.B. ITSEC für Europa)

• einheitliches Prüfverfahren vor, mit dem sicherheitsrelevante

Aspekte von Hard und Software so geprüft werden können

• ISO/IEC 15408 sind die CC ein international anerkannter Standard:

– Teil 1: Einführung und allgemeines Modell
– Teil 2: Funktionale Sicherheitsanforderungen
– Teil 3: Anforderungen an die Vertrauenswürdigkeit
 DIN EN 50600
Europaweite Norm für alle Einrichtungen und Infrastrukturen eines Rechenzentrums.

• DIN EN 50600-1 Informationstechnik-Einrichtungen und Infrastrukturen von Rechenzentren =

Allgemeine Konzepte

• DIN EN 50600-2
– Gebäudekonstruktion,
– Stromversorgung,
– Regelung der Umgebungsbedingungen
– Infrastruktur der Telekommunikationsverkabelung,
– Sicherungssysteme

• DIN EN 50600-3 Informationen für das Management und den Betrieb

• DIN EN 50600-4 Überblick über und allgemeine Anforderungen an Leistungskennzahlen, Kennzahl

zur eingesetzten Energie, Anteil erneuerbarer Energien
DSGVO
 ISO 9000
• DIN EN ISO 9000 – QM-Systeme

Diese Norm dient der Unterstützung von Unternehmen bei der Einführung
und dem Arbeiten mit QM-Systemen. Dazu werden die Grundlagen von
QM-Systemen erläutert und Begriffe des Qualitätsmanagements definiert
und erklärt.
 ISO/IEC 13335
Management von Informationssicherheit
=> entwickelt hauptsächlich für große
Unternehmen

1. Konzepte und Modelle für IuK-Sicherheit

2. Management und Planung von IT-Sicherheit
3. Verfahren für das IT-Sicherheitsmanagement
4. Auswahl von Sicherheitsmaßnahmen
5. Management Guide für Netzwerksicherheit
 ISO/IEC 19790
• Evaluierung von Kryptomodulen
• wichtige Grundlage für die Zertifizierung von Produkten mit
kryptographischen Funktionen
• VPN-Lösungen, Chipkarten oder Sicherheitsmodule
• Zertifizierung nach FIPS 140-2 bescheinigt u.a.
Gesamtsicherheitsniveau (Level 1 bis 4)
 ISO/IEC 2700X
Mit einer Zertifizierung nach ISO 27001 können Sie die Wirksamkeit Ihres
Informationssicherheitsmanagementsystems (ISMS) objektiv und glaubwürdig
nachweisen (z.B. vom TÜV)

https://de.wikipedia.org/wiki/ISO/IEC-27000-Reihe
IT-Grundschutz-Kompendium
 ITIL
Auch die ITIL (IT Infrastructure Library) ist kein IT-Sicherheitsstandard. In ihr werden Regeln und
Definitionen für den Betrieb einer gesamten IT-Infrastruktur (IT Service Management – ITSM)
anhand von sogenannten Best Practices vorgegeben. Im Grundansatz beschreibt die ITIL darin
einen ITSM-Lifecycle (Lebenszyklus). In einem Regelkreis wird die kontinuierliche Verbesserung
der Prozesse, der Organisation und der entsprechenden Werkzeuge und somit der gesamten
IT-Infrastruktur beschrieben.

• Service Strategy (Servicestrategie)

• Service Design (Serviceentwurf)
• Service Transition (Serviceüberführung)
• Service Operation (Servicebetrieb)
• Continual Service Improvement (Kontinuierliche Serviceverbesserung)
 Security Policy
Eine Security Policy oder auch Sicherheitsrichtlinie wird gebraucht, weil es sonst
keinen strukturierten Plan und keine Handlungsvorschriften gibt, wie welche Systeme
und Komponenten sicher zu machen sind. Ein Unternehmen, das über keine Security
Policy verfügt, wird ziemlich wahrscheinlich an irgendeiner Stelle IT-
Sicherheitsprobleme bekommen. In solchen Fällen wird das Problem eventuell durch
eine Einzellösung behandelt, und es wird bis zum Auftreten des nächsten
Sicherheitsproblems gewartet.

• Maßnahmenkatalog
• notwendigen Rollen und Verantwortlichkeiten unter den Mitarbeitern
 Aufgaben eines IT-Sicherheitsbeauftragten
Der IT-Sicherheitsbeauftragte ist für die Umsetzung der Security Policies in einem Unternehmen verantwortlich. Die Rolle des
Sicherheitsbeauftragten wird u. a. im IT-Grundschutzkompendiums des BSI definiert.

Anforderungen:

1. der Geschäftsführung direkt unterstellt werden

2. darf nicht in die operative IT-Administrierung involviert sein

Aufgaben:

• die unternehmensweite Verantwortung für die Erstellung, Entwicklung und Kontrolle der Sicherheitsrichtlinien
• die Berichtspflicht aller Maßnahmen zur IT-Sicherheit gegenüber der Geschäftsführung und den Mitarbeitern
• die Koordination der IT-Sicherheitsziele mit den Unternehmenszielen und Abstimmung mit den einzelnen
Unternehmensbereichen
• die Festlegung der Sicherheitsaufgaben für die nachgeordneten Unternehmensbereiche
• die Weisungsbefugnis in Fragen der IT-Sicherheit
• die Kontrolle der IT-Sicherheitsmaßnahmen auf Korrektheit, Nachvollziehbarkeit, Fortschritt und Effektivität
• die Koordination von unternehmensweiten Ausbildungs- und Sensibilisierungsprogrammen für die Mitarbeiter