HomeNewsWozu brauchen wir Standards?Welche Standards gibt es?Anwendung im UnternehmenIT-Sicherheits- und RisikomanagementStandards mit IT-SicherheitsanforderungenVorschriftenEvaluierung von IT-SicherheitNormen zu kryptographischen und IT-SicherheitsverfahrenPhysische SicherheitDanksagung

Schnelleinstieg: 

Logo: Inhalte Verbessern

In Zusammenarbeit mit

Logo: DIN

|||

Welche Standards gibt es?

Arten von Standards, ihre Entwicklung und Mitwirkungsmöglichkeiten

Weltweit gibt es zahlreiche Gremien, die sich mit der Entwicklung von Sicherheitsstandards und Normen beschäftigen.

Die in diesem Leitfaden aufgeführten und beschriebenen Standards wurden von verschiedenen Gremien nach unterschiedlichen Verfahren entwickelt. In der Regel kann man das verantwortliche Gremium an der Zeichenkette zu Beginn der Kurzbezeichnung des Standards erkennen:

ISO/IEC-Standards
Bei der Mehrzahl handelt es sich um internationale Normen, die unter deutscher Mitwirkung im Subkomitee 27 „IT-Security Techniques“ des Technischen Gemeinschaftskomitees „Information Technology“ der Internationalen Normenorganisationen ISO und IEC, ISO/IEC JTC 1/SC 27(http://www.jtc1sc27.din.de/), nach einem Konsensverfahren entwickelt und in einer öffentlichen Umfrage bestätigt wurden. Diese Standards sind an der Zeichenkette ISO/IEC gefolgt von der Normennummer zu erkennen (Beispiel: ISO/IEC 27001).

DIN EN-Standards
Bei Standards, die mit der Zeichenkette EN beginnen, handelt es sich um Europäische Normen, die von einer der Europäischen Normenorganisationen CEN, CENELEC oder ETS, ebenfalls nach einem Konsensverfahren mit öffentlicher Umfrage, entwickelt wurden. Beginnt die Zeichenkette mit „DIN“, so handelt es sich um eine deutsche Norm. „DIN EN“ bezeichnet eine Europäische Norm, die in das deutsche Normenwerk übernommen wurde.

Andere Standards
Andere Bezeichnungen (Beispiel: IT-GSHB) deuten auf Standards, die von Konsortien, Interessengruppen oder Behörden nach deren jeweiligen Regeln erarbeitet wurden. Diese Regeln sehen einen gegenüber den Normungsorganisationen eingeschränkten Konsensrahmen vor und legen die Mitwirkungsmöglichkeiten fest.

Die Erarbeitung deutscher Beiträge und Stellungnahmen zu internationalen Normen erfolgt durch das Deutsche Institut der Normung e.V. (DIN), insbesondere durch den Arbeitsausschuss „IT-Sicherheitsverfahren“ des Normenausschusses Informationstechnik NIA-27 (www.nia.din.de/ni27). Die Mitarbeit (1) in den Gremien des DIN ist, bei angemessener Beteiligung an den Kosten der Normungsarbeit, offen für alle interessierten Kreise - unabhängig von der Mitgliedschaft im DIN.

Die internationalen und nationalen Standards werden im zeitlichen Abstand von maximal fünf Jahren einer Revision unterzogen und bei Bedarf überarbeitet. Das Veröffentlichungsdatum gibt jeweils den Abschluss der letzten Überarbeitung an. Bei der Anwendung der Standards ist es sinnvoll, bei einer aktuellen Datenbank (z. B. http://www.beuth.de/, Verlag des DIN) die aktuelle Ausgabe anzufragen. Hier können die Standards auch bezogen werden.

Vorschriften und Gesetze
Im Themenbereich der IT-Sicherheit spielen verstärkt Vorschriften und Gesetze eine bedeutende Rolle. Aus diesem Grund sind die wichtigsten Vorschriften in dieser Publikation im Kapitel 8 zusammengefasst. Abweichend davon werden in bestimmten Themengebieten die jeweiligen Vorschriften und Gesetze jedoch dem Fachkapitel direkt zugeordnet. So findet man die gesetzliche Vorgabe des MaRisk im Kapitel Risikomanagement, obwohl es sich hierbei im engeren Sinne nicht um einen Standard, sondern um eine Vorschrift für den Finanzsektor handelt Alle in dieser Leitlinie behandelten internationalen Standards werden vom NIA-27 für die Anwendung in Deutschland empfohlen.

Angelehnt an die Arbeitsgruppen des NIA-27 erfolgt die Einteilung der Standards in diesem Leitfaden in fünf Bereiche:

  • Informationssicherheits-Managementsysteme
  • Sicherheitsmaßnahmen und Monitoring
  • Evaluierung von IT-Sicherheit
  • Kryptographische und IT-Sicherheitsverfahren
  • Physische Sicherheit

Standards lassen sich nach verschiedenen Kriterien sortieren. Sinnvollerweise findet eine Gruppierung nach dem Betrachtungsgegenstand (also den zu standardisierenden Inhalten statt. Die im Kompass der Sicherheitsstandards vorgesehenen Gruppen lassen sich in folgendem Bild ablesen. Im Wesentlichen orientiert sich die Struktur an der Einteilung der Standards des NIA-27 und seiner Arbeitsgruppen.

 

1. Anfragen zur Mitarbeit sowie zu den Projekten und Normen können gern an den Ausschuss (siehe Impressum) gestellt werden

In der folgenden Tabelle sind die behandelten Standards für die fünf Bereiche aufgeführt. Um die bekanntesten Vorschriften und Standards von anderen Konsortien, Interessengruppen, Behörden mit aufzuführen, sind zwei zusätzliche Bereiche „IT-Standards mit Sicherheitsaspekten“ (siehe Kapitel 7) und „Vorschriften“ (siehe Kapitel 8) eingefügt.

In der linken Tabellenspalte befindet sich die Abkürzunw. oder Zeichenkette, in der rechten Spaltr die Namen der Standards auf Englisch und/oder Deutsch. Die Reihenfolge ist identisch mit dem Inhaltsverzeichnis, sodass über diese Tabelle anhand von Begriffen und Namen die Standardw. oder Vorschriften gesucht werden können.

Grundlegende Standards zum IT-Sicherheits- und Risikomanagement

Informationssicherheits-Managementsysteme (ISMS)

ISO/IEC 27001 Information security management systems – Requirements
Informationssicherheits-Managementsysteme - Anforderungen
ISO/IEC 27002 Code of practice for information security management
Leitfaden zum Informationssicherheitsmanagement
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems
Anforderungen an Stellen, die Auditierung und Zertifizierung von Informationssicherheitsmanagementsystemen bereitstellen
IT-GS IT-Grundschutz

Sektor-Spezifische ISMS

Richtlinie VDI/VDE2182 Informationssicherheit in der industriellen Automatisierung
ISO/IEC 27011 Information security management guidelines for telecommunications
Informationssicherheitsmanagement-Leitlinien für die Telekommunikation
PCI DSS Payment Card Industry Data Security Standard v 1.2

Sicherheitsmaßnahmen und Monitoring

ISO/IEC 18028 IT network security
IT Netzwerksicherheit
ISO/IEC TR 18044 Information security incident management
Management von Sicherheitsvorfällen in der Informationssicherheit
ISO/IEC 18043 Selection, deployment and operation of intrusion detection systems (IDS)
Auswahl, Einsatz und Betrieb von Systemen zur Erkennung des Eindringens in Netze und Systeme (IDS)
ISO/IEC 15816 Security information objects for access control
Sicherheitsobjekte für Zugriffskontrolle
ISO/IEC 24762 Security techniques - Guidelines for information and communications technology disaster recovery services
ISO/IEC 25777 Information and communications technology continuity management. Code of practice 

Risikomanagement

MaRisk Mindestanforderungen an das Risikomanagement für Banken 
ISO/IEC 27005 Information security risk management
Informationssicherheits-Risikomanagement

Standards mit IT-Sicherheitsaspekten

Cobit Control Objectives for Information and Related Technology
Kontrollziele für Informations- und verwandte Technologie
ITIL IT Infrastructure Library
IT Infrastruktur Verfahrensbibliothek
IDW PS 330 Abschlussprüfung bei Einsatz von Informationstechnologie

Vorschriften

KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
Basel II  -
SOX  Sarbanes-Oxley Act
EURO-SOX  8. EU-Richtlinie in Anlehnung an Sarbanes-Oxley Act
BDSG  Bundesdatenschutzgesetz

Evaluierung von IT-Sicherheit

Common Criteria

ISO/IEC 15408 (CC) Evaluation criteria for IT security (Common Criteria)
Evaluationskriterien für IT-Sicherheit
ISO/IEC TR 15443 A framework for IT security assurance
Rahmenrichtlinien für Sicherung von IT-Sicherheit
ISO/IEC 18045 Methodology for IT security evaluation
Methodik zur Evaluation von IT-Sicherheit
ISO/IEC TR 19791 Security assessment for operational systems
Bewertung der Sicherheit von Systemen im Betrieb
ISO/IEC 19790 (FIPS 140-2) Security Requirements for Cryptographic Modules
Anforderungen an kryptographische Module
ISO/IEC 19792 Security evaluation of biometrics
Evaluierung der IT-Sicherheit biometrischer Technologien
ISO/IEC 21827 (SSE-CMM) System Security Engineering – Capability Maturity Model
Modell der Ablaufstauglichkeit (auch ISO 21827)
ISO/IEC 24759 Test requirements for cryptographic modules Prüfanforderungen für kryptographische Module

Schutzprofile

ISO/IEC TR 15446 Guide on the production of protection profiles and security targets
Leitfaden zum Erstellen von Schutzprofilen und Sicherheitsvorgaben

Spezielle Sicherheitsfunktionen 1: Normen zu kryptographischen und IT-Sicherheitsverfahren

Verschlüsselung

ISO/IEC 7064 Check character systems
Prüfsummensysteme
ISO/IEC 18033 Encryption algorithms
Verschlüsselungsalgorithmen
ISO/IEC 10116 Modes of operation for an n-bit block cipher
Betriebsarten für einen n-bit-Blockschlüssel-Algorithmus
ISO/IEC 19772 Data encapsulation mechanisms
Daten verkapselnde Mechanismen

Digitale Signaturen

ISO/IEC 9796 Digital signature schemes giving message recovery
Digitaler Unterschriftsmechanismus mit Rückgewinnung der Nachricht
ISO/IEC 14888 Digital signatures with appendix
Digitale Signaturen mit Anhang
ISO/IEC 15946 Cryptographic techniques based on elliptic curves
Auf elliptischen Kurven aufbauende kryptographische Techniken

Hash-Funktionen und andere Hilfsfunktionen

ISO/IEC 10118 Hash functions
Hash-Funktionen
ISO/IEC 18031 Random bit generation
Erzeugung von Zufallszahlen
ISO/IEC 18032 Prime number generation
Primzahlerzeugung

Authentifizierung

ISO/IEC 9798 Entity authentication
Authentisierung von Instanzen
ISO/IEC 9797 Message Authentication Codes (MACs)
Nachrichten-Authentisierungscodes (MACs)

PKI-Dienste

ISO/IEC 15945 Specification of TTP services to support the application of digital signatures
Spezifizierung der Dienste eines vertrauenswürdigen Drittens zur Unterstützung der Anwendung von digitalen Signaturen
ISO/IEC TR 14516 Guidelines for the use and management of Trusted Third Party Services
Richtlinien für die Nutzung und das Management eines vertrauenswürdigen Dritten

Schlüsselmanagement

ISO/IEC 11770 Key management
Schlüsselmanagement

Kommunikationsnachweise

ISO/IEC 13888 Non-repudiation
Nicht-Abstreitbarkeit

Zeitstempeldienste

ISO/IEC 18014 Time-stamping services
Zeitstempeldienste

Spezielle Sicherheitsfunktionen 2: Physische Sicherheit

Brandschutz

DIN 4102 Brandverhalten von Baustoffen und Bauteilen
DIN 18095 Rauchschutztüren
DIN EN 1047  Wertbehältnisse - Klassifizierung und Methoden zur Prüfung des Widerstandes gegen Brand

Einbruchshemmung

DIN EN 1143-1  Widerstandsgrad
DIN V ENV 1627 Fenster, Türen, Abschlüsse - Einbruchhemmung

Gehäuse

DIN EN 60529 Schutzart durch Gehäuse

Sichere Löschung von Datenträgern

DIN 66399 Vernichtung von Informationsträgern

 

 

© 2017, BITKOM - Nutzungsbedingungen für Inhalte der BITKOM-Internetseite