Normen und Standards

Das BSI wird diesen dazu für die Anforderungen sukzessive ermitteln und in den Regeln Metadaten als Empfehlung hinterlegen. Dadurch werden Managementsysteme für Informationssicherheit in die Lage versetzt automatisierte Prüfungen vorzunehmen und bei festgestellten Abweichungen zu warnen. Demgegenüber stehen „Normen“, die formeller ausgestaltet sind und von offiziellen Normungsorganisationen veröffentlicht werden. Normen finden häufig breite Akzeptanz und werden vermehrt in regulatorischen Rahmenwerken berücksichtigt (siehe etwa das New Legislative Framework in der EU).

Mindeststandards können dem Stand der Technik entsprechen oder aber in begründeten Fällen davon abweichen. Mindeststandards werden ebenfalls als Metadaten in den Regeln des IT-Grundschutzes hinterlegt. Mit diesen Checklisten ermöglicht das BSI kleinen Institutionen schnell grundlegende Sicherheitsanforderungen umzusetzen, ohne ein ISMS aufbauen und betreiben zu müssen. Größere Institutionen können mit den Checklisten einen soliden Grundstein legen, um schrittweise ein vollwertiges Managementsystem für Informationssicherheit (ISMS) aufzubauen.

GS certification also includes testing of compliance with the requirements of the European directives

Dabei wird auch geprüft, ob die Verbesserungsmaßnahmen die beabsichtigte Wirkung erzielt haben. Nur wenn alle Abweichungen fristgerecht und wirksam behandelt wurden, kann das Zertifikat ausgestellt werden. Wer sich als mittelständisches Unternehmen mit dem Thema Informationssicherheit beschäftigt, stößt schnell auf einen dichten Dschungel an Regeln, Anforderungen und Begriffen. Gemeinsam werfen wir einen verständlichen Blick auf die wichtigsten Normen und Standards, die Ihnen helfen, Ihre IT-Landschaft zu schützen – auch ohne eigenes Hackerteam oder IT-Großabteilung.

Auf der Homepage des Österreichischen Normungsinstitutes englischer Sprache kostenpflichtig zum Download verfügbar. Der Aufwand für die Zertifizierung richtet sich nach der Anzahl der Mitarbeiterinnen und Mitarbeiter sowie Standorte der jeweiligen Organisation. Die goodman casino bonus ISO/IEC ist eine international anerkannte Norm zum IT-Service-Management und spezifiziert die Anforderungen an das ITSM. Entwickelt von der VdS Schadenverhütung GmbH, richtet er sich gezielt an kleine und mittlere Unternehmen. Der Fokus liegt auf praktikablen Maßnahmen, die auch mit begrenzten Ressourcen umsetzbar sind. Der konkrete Zertifizierungsablauf richtet sich nach der jeweiligen Zertifizierungsstelle.

Der Standard unterstützt dabei auch die Integration der Informationssicherheit in die Geschäftsprozesse und beschreibt die Zusammenhänge zwischen IT-Service-Management und Sicherheitsmanagement. Der ITIL-Band zum IT-Security-Management verweist dabei konkret auf die Maßnahmen der ISO/IEC 27001. Im neuen IT-Grundschutz werden IT-Grundschutz und Mindeststandards eng miteinander verzahnt. Über Mindeststandards können für Einrichtungen des Bundes verbindliche Sicherheitsanforderungen definiert und auch Vorgaben für die Umsetzung von Anforderungen des IT-Grundschutz festgelegt werden.

Open Worldwide Application Security Project (OWASP)

ISAE 3402 ist ein international anerkannter Audit-Standard, welcher durch die Organisation International Auditing and Assurance Standards Board (IAASB) herausgegeben und verwaltet wird. Es enthält alle Aspekte des IT-Einsatzes (von der Planung bis hin zur Entsorgung) und berücksichtigt dabei eine ganzheitliche Sicht auf die IT. Wesentliche Elemente von COBIT sind die Ausrichtung der IT auf die Geschäftstätigkeit, die Nutzenmaximierung, ein angemessenes Risikomanagement IT-bezogener Risiken, der wirtschaftliche Einsatz von IT-Ressourcen und die Leistungsmessung.

Standards hingegen sind häufig branchen- oder unternehmensspezifische Regelwerke und Dokumente, etwa technische Richtlinien, Best Practices oder proprietäre Verfahren. Sie beruhen in der Regel nicht auf einem formellen Normungsverfahren, können aber dennoch eine hohe praktische Relevanz haben. Der IT-Grundschutz ist Methode, Anleitung, Empfehlung und Hilfe zur Selbsthilfe für Behörden, Unternehmen und Institutionen, die sich mit der Absicherung ihrer Daten, Systeme und Informationen befassen wollen. Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet. Dies ermöglicht ein systematisches Vorgehen, um notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen.

Nachfolgend werden der Unterschied zwischen Normen und Standards, ihre Bedeutung für die Unternehmensführung, die wichtigsten Normungsorganisationen sowie die Rolle der Normharmonisierung in der Europäischen Union dargestellt. Zu den Standards mitIT-Sicherheitsaspekten zählen insbesondere ITIL, ISO/ IEC 20000, COBIT und ISAE. Zu den relevanten Standards für Telekom-Betreiber zählen insbesondere ISO/ IEC-, BS-, ITU-T-, NIST-, FIPS-, NICC-, KATAKRI- und ISF-Standards sowie CobiT, ITIL und IT-Grundschutz-Kataloge des BSI und PCI DSS. Die BSI-Standards zur Internet-Sicherheit (ISi-Reihe) des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) bestehen aus mehreren Modulen und dienen dem Schutz vor aktuellen Gefährdungen aus dem Internet. Die BSI IT-Grundschutz-Standards enthalten Empfehlungen des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur IKT- und Informationssicherheit.

• Wenn alle Anforderungen der Norm erfüllt sind, erfolgt die offizielle Zertifikatserteilung durch die Zertifizierungsstelle.
• ISAE 3402 ist ein international anerkannter Audit-Standard, welcher durch die Organisation International Auditing and Assurance Standards Board (IAASB) herausgegeben und verwaltet wird.
• Mindeststandards werden ebenfalls als Metadaten in den Regeln des IT-Grundschutzes hinterlegt.
• Entwickelt von der VdS Schadenverhütung GmbH, richtet er sich gezielt an kleine und mittlere Unternehmen.

In manchen Fällen kann ein Rahmenwerk jedoch auch Regelwerkscharakter erhalten – etwa wenn es konkrete Anforderungen enthält und zur Zertifizierungsgrundlage wird. Die Begriffe Rahmenwerk und Regelwerk werden daher in der Praxis nicht immer klar abgegrenzt.Vorgehensmodelle beschreiben einen strukturierten Ablaufplan mit konkreten Schritten zur Umsetzung eines Ziels. Sie sind in der Regel prozessual orientiert und oft kleinteiliger strukturiert als Rahmenwerke. Orientierung zum Aufbau eines Informationssicherheits-Managementsystems (ISMS) gibt, beschreibt ein Vorgehensmodell, wie ein solches ISMS konkret eingeführt werden kann – Schritt für Schritt. Der IT-Grundschutz hilft seit 2017 dabei, das Niveau der Informationssicherheit in einer Institution anzuheben und aufrechtzuerhalten. Mit einem ISO Zertifikat auf der Basis des IT-Grundschutzes kann eine Institution belegen, dass die erfüllten Anforderungen zur Informationssicherheit anerkannten internationalen Standards entsprechen.

Navigation und Service

In Deutschland sind insbesondere das Deutsche Institut für Normung (DIN) sowie die Deutsche Kommission Elektrotechnik Elektronik Informationstechnik im DIN und VDE (DKE) federführend bei der Erstellung und Pflege nationaler Normen. Normen wie ISO (Risikomanagement) oder ISO/IEC (Informationssicherheitsmanagement) bieten dabei erprobte Rahmenwerke, die Unternehmen bei der systematischen Bewältigung operationeller Risiken unterstützen. Normen und Standards sind unverzichtbar, wenn es um Qualität, Sicherheit und Effizienz in nahezu allen Branchen geht. Sie fördern den Handel, steigern die Produktqualität und bieten Unternehmen einen verlässlichen Rahmen für Governance und Compliance.

Die Zertifizierungskosten variieren ebenfalls – abhängig von Faktoren wie Unternehmensgröße, Geltungsbereich, Komplexität, Zahl der Standorte sowie ggf. Die Form dieser Nachkontrolle kann unterschiedlich sein – je nach Schwere der Abweichungen. Bei geringfügigen Abweichungen reicht oft eine schriftliche Nachweisdokumentation, bei schwerwiegenden Mängeln ist ein erneutes Vor-Ort-Audit erforderlich. In der zweiten Phase, der Vorbereitung, wird der Tagesablauf des Audits (systematische, unabhängige Prüfungen) vereinbart.