Standards und Normen: Durchblick im Wirrwarr

» Von Daniel Städeli, 04.07.2007 10:03.

Im Schoss der ISO

Die dritte IT-Security-relevante Normierungsinstitution ist die ISO (International Organization for Standardization). Sie ist ein Netzwerk der nationalen Standardisierungsorganisationen und dient vor allem dazu, die nationalen Standards zu vereinheitlichen und zu koordinieren. In Sachen Normierung geht Ihr dabei auch die International Electrotechnical Commission (IEC) zur Hand.

In Bezug auf Informationssicherheit ist die ISO im Begriff, eine Familie von Standards zu etablieren und dafür die Nummern 2700x zu verwenden. Konkret sind folgende ISO-Standards für die Informationssicherheit wesentlich: ISO 27001:2005.

Um den zweiten Teil (BS 7799-2) zu einer ISO/IEC-Norm zu adaptieren, setzte sich das Joint Technical Commitee JTC 1 an einen Tisch. Der entstandene ISO/IEC 27001: 2005 entspricht nun dem BS7799-2:2005 und ist kompatibel mit anderen ISO-Standards wie ISO 9001 und ISO 14001. Der Standard beschreibt den Aufbau und die Pflege eines Information-Security-Management-Systems.

ISO/IEC 17799 und 27002

Ausgehend vom BS 7799-1:1995 wurde der ISO 17799 entwickelt. Dieser ähnelt seinem «Vater» stark. Der BS 7799:2000 ist dann gleichbedeutend mit ISO/IEC 17799:2000. Dies resultiert daraus, dass der ISO-Standard vom British Standard Institut (BS 7799) abgeleitet und im so genannten «Fast Track Procedure» zum ISO-Standard entwickelt und adaptiert wurde. Anpassungen wurden mit dem PDCA-Vorgehensmodell (Plan, Do, Check, Act) gemacht. Im April 2007 wurde der Standard zu ISO 27002. Dieser beinhaltet folgende Kapitel: Sicherheitspolitik, Organisation der Informationssicherheit, Asset Management, Sicherheit beim Personal, physische Sicherheit, Kommunikation und Betrieb, Zugriffskontrolle, Erwerb, Entwicklung und Unterhalt von Systemen, Incident Management, Business Continuity Management sowie Einhaltung von Gesetzen und Regulatorien.

Nur ein Ausschnitt

Die vorgestellten Standards entsprechen nur einem Ausschnitt aus den Standards für Informationssicherheit, die weltweit exisitieren. Die Auswahl ist für den deutschsprachigen Raum repräsentativ. Ob das Management nun als Sicherheitsstandard die ISO-Familie (bzw. die britische BSI-Familie) verwendet, oder sich an den deutschen Grundschutzkatalogen orientiert, ist nicht Match-entscheidend. Wichtig ist es, sich an einem der hierzulande gebräuchlichen Standards zu orientieren. Orientieren heisst, den Standard zu befolgen und wesentliche Abweichungen in dokumentierten Entscheiden zu begründen.

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.