Standards und Normen: Durchblick im Wirrwarr

» Von Daniel Städeli, 04.07.2007 10:03.

Standards müssen her

Doch wie lassen sich diese Vorgaben in der Praxis umsetzen? Hierbei können Verfahrensstandards weiterhelfen. Die Frage nach diesen Standards drängt sich insbesondere dann auf, wenn die für den eigenen Betrieb gebaute Lösung aufwändig und qualitativ hoch stehend ist. Wo liegen die Unterschiede zwischen individueller Lösung und jener, die an einen Standard anlehnt? Kernpunkt ist die Gewissheit über das Vorhandensein gewisser Sicherheitsvorkehrungen. Noch vor fünf Jahren entwickelten Kunden und Anbieter eigene Lösungsansätze und Massnahmenkataloge. Das Management kontrollierte mit der Frage, ob dabei an alle Szenarien und Risiken gedacht wurde. Transparent aufzuzeigen, dass alle wichtigen Massnahmen getroffen wurden, war anspruchsvoll und allein vom Vertrauen gegenüber dem Security Officer abhängig. Im Schadensfall war es aufwändig, zu widerlegen, dass keine Fahrlässigkeit vorlag.

Dank dem Einsatz von Standards können Management wie Kunden davon ausgehen, dass die wesentlichen Risiken berücksichtigt sind. Zu prüfen bleibt, ob der Standard tatsächlich umgesetzt und gelebt wird.

Machete für den Normendschungel

Da an sich jedermann einen Standard herausgeben kann und niemand die Standards koordiniert, sind entsprechend viele zu finden. Selbstverständlich gibt es für dasselbe Thema jeweils mehrere Normen, dafür haben alle eine andere Auswahl der beschriebenen Themen. Die Folge ist ein veritabler Standarddschungel! Folgende Übersicht zeigt Standards, welche für die Informationssicherheit wichtig sind.

Grob unterteilen lassen sich die vielen Normen anhand der Institutionen, welche sie herausgegeben und verabschiedet haben. Eine der wichtigsten Normgeberinnen ist die Britisch Standards Institution (BSI), die nationale Standardisierungsbehörde von Grossbritannien. Die Briten haben eine ganze Familie von Standards zur Informationssicherheit. Bezeichnend sind das Kürzel vor der Nummer (BS) und die Nummernfolge.

Ausgehend von einem bestehenden «Code of Practise» entwickelte das BSI die Standardfamilie BS 7799. Dabei ist der BS 7799-1 ein Leitfaden für die Umsetzung von Informationssicherheit, der BS 7799-2 ein Leitfaden für die Umsetzung eines Security-Management-Systems und der BS 7799-3 ein Leitfaden für das Risikomanagement in der Informationssicherheit.

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.