Welche Standards gibt es?

Welche Standards gibt es?

Welche Standards gibt es?

Eine Übersicht

Weltweit gibt es zahlreiche Gremien, die sich mit der Entwicklung von Sicherheitsstandards und Normen beschäftigen.

Die in diesem Leitfaden aufgeführten und beschriebenen Standards wurden von verschiedenen Gremien nach unterschiedlichen Verfahren entwickelt. In der Regel kann man das verantwortliche Gremium an der Zeichenkette zu Beginn der Kurzbezeichnung des Standards erkennen:

ISO/IEC-Standards
Bei der Mehrzahl handelt es sich um internationale Normen, die unter deutscher Mitwirkung im Subkomitee 27 „IT-Security Techniques“ des Technischen Gemeinschaftskomitees „Information Technology“ der Internationalen Normenorganisationen ISO und IEC, ISO/IEC JTC 1/SC 27(http://www.jtc1sc27.din.de/), nach einem Konsensverfahren entwickelt und in einer öffentlichen Umfrage bestätigt wurden. Diese Standards sind an der Zeichenkette ISO/IEC gefolgt von der Normennummer zu erkennen (Beispiel: ISO/IEC 27001).

DIN EN-Standards
Bei Standards, die mit der Zeichenkette EN beginnen, handelt es sich um Europäische Normen, die von einer der Europäischen Normenorganisationen CEN, CENELEC oder ETS, ebenfalls nach einem Konsensverfahren mit öffentlicher Umfrage, entwickelt wurden. Beginnt die Zeichenkette mit „DIN“, so handelt es sich um eine deutsche Norm. „DIN EN“ bezeichnet eine Europäische Norm, die in das deutsche Normenwerk übernommen wurde.

Konsortialstandards
Hier handelt es sich um Standards, die durch einen eingeschränkten Kreis Mitwirkender erarbeitet werden. Dies geschieht auf Basis von Regeln der entsprechenden Interessengruppe. Gegenüber den Normungsorganisationen sehen diese einen eingeschränkten Konsensrahmen vor und legen die Mitwirkungsmöglichkeiten fest. Die DIN-SPEC ist eine besondere Form von Konsortialstandard. Hier wird ein offener Expertenkreis aufgefordert sich an der Erstellung der DIN-SPEC zu beteiligen. Aber es wird anders als bei Normen nicht nach dem Prinzip des Vollkonsenses gearbeitet. Konsortialstandards können durch das Einbringen in die internationalen Standardorganisationen in ISO/IEC Standards überführt werden.

Regulative Vorgaben
Im Themenbereich der IT-Sicherheit spielen verstärkt Vorschriften und Gesetze eine bedeutende Rolle. Aus diesem Grund sind die wichtigsten Vorschriften in dieser Publikation im Kapitel 8 zusammengefasst. Abweichend davon werden in bestimmten Themengebieten die jeweiligen Vorschriften und Gesetze jedoch dem Fachkapitel direkt zugeordnet. So findet man die gesetzliche Vorgabe des MaRisk im Kapitel Risikomanagement, obwohl es sich hierbei im engeren Sinne nicht um einen Standard, sondern um eine Vorschrift für den Finanzsektor handelt Alle in dieser Leitlinie behandelten internationalen Standards werden vom NIA-27 für die Anwendung in Deutschland empfohlen.

Standards lassen sich nach verschiedenen Kriterien sortieren. Sinnvollerweise findet eine Gruppierung nach dem Betrachtungsgegenstand (also den zu standardisierenden Inhalten statt. Die im Kompass der Sicherheitsstandards vorgesehenen Gruppen lassen sich in folgendem Bild ablesen. Im Wesentlichen orientiert sich die Struktur an der Einteilung der Standards des NIA-27 und seiner Arbeitsgruppen.

Die im Kompass der Sicherheitsstandards vorgesehenen Gruppen lassen sich in folgendem Bild ablesen