Österreich
Secure Your Business
 

NORMEN-NEWS Neue Mitglieder der ISO 27k-Familie

 

Neue Subnormen erleichtern die Implementierung von Informationssicherheit: von der ISMS-Budgetierung bis zur Netzwerksicherheit.

 

(CIS-Newsletter Sept 2013) - Die ISO 27k-Reihe für Informationssicherheit trägt den immer komplexeren Security-Anforderungen Rechnung, indem themenspezifische Subnormen als ergänzende Implementierungsleitfäden veröffentlicht werden. Sie sollen als praktikable Hilfestellung für die korrekte Interpretation der Zertifizierungsnorm ISO 27001 dienen. Die Subnormen sind selbst nicht zertifizierbar und vertiefen themenspezifisch die Anforderungen aus den Controls und dem Managementteil der ISO 27001. Bis Jahresende 2013 sollen vier Subnormen zu verschiedenen Themen veröffentlicht werden:

 

ISO/IEC TR 27016 - IT Security - Information security management - Organizational economics
ISO/IEC 27033 - Information technology - Security techniques - Network security
ISO/IEC 27036 - IT Security - Security techniques - Information security for Supplier relationships
ISO/IEC 27038 - Information technology - Security techniques - Specification for Digital redaction

 

Die ersten beiden neu erscheinenden Subnormen stellen wir in diesem Newsletter vor, die anderen beiden folgen im kommenden CIS-Newsletter.

 

ISO/IEC TR 27016:
Leitfaden zur Wirtschaftlichkeit von ISMS-Projekten
Die als technischer Report angelegte Subnorm „ISO/IEC TR 27016 - … Organizational economics“ soll 05_news_webhelfen, die Implementierung, Zertifizierung und den Betrieb von Informationssicherheits-Managementsystemen nach ISO 27001 angemessen zu budgetieren. Damit soll gewährleistet werden, das ein Unternehmen weder zu viel noch zu wenig in Informationssicherheit investiert. Ebenso hilft die Subnorm dabei, den Wert der betrieblichen Informationen bestimmen zu können – um die Sinnhaftigkeit eines ISMS-Projektes gegenüber dem Finanzmanagement stichhaltig argumentieren zu können. Generell zielt ISO/IEC TR 27016 darauf ab, ein Verständnis für die finanziellen Auswirkungen der Informationssicherheit in Zusammenhang mit einem ISMS-Projekt nach ISO 27001 zu erlangen – auch vor dem Hintergrund politischer, sozialer, rechtlicher u.ä. Einflüsse. Ebenso ermöglicht der technische Report, zwecks Budgetierung stärker ins Detail zu gehen und etwa zu bestimmen, welche Mittel für die Risikoanalysen im Vergleich zur Erfüllung der Controls bereit gestellt werden sollten. Die Publizierung wird für 2013 erwartet.


ISO/IEC 27033:
Implementierungshilfe für Netzwerksicherheit

Die Subnorm ISO/IEC 27033 ist eine Guideline zum Thema Netzwerksicherheit, die derzeit aus 6 Teilen besteht. Die ersten 3 Teile wurden bereits publiziert und decken folgende Themen ab: Überblick und Konzeption; Design und Implementierung; Bedrohungen – technisches Design – Kontrollmaßnahmen. Die Teile 4 und 5 sollen noch im Jahr 2013 veröffentlicht werden, wenn es zu keinen Verzögerungen kommt. So wird der Teil 4 sich mit „sicherer Kommunikation zwischen Netzwerken über Security Gateways” befassen. Dieser Teil liefert einen Überblick über Security Gateways sowie Beschreibungen der verschiedenen Architekturen und vermittelt, wie Bedrohungen im Zusammenhang mit Security Gateways identifiziert und analysiert werden können. Ebenso werden technische Design-Konzepte für den Aufbau einer entsprechenden Sicherheitsarchitektur beschrieben und mit dem Ansatz Plan-Do-Check-Act kombiniert. Der Teil 5 zum Thema „Sichere Kommunikation über VPN-Verbindungen“ behandelt die Auswahl, Umsetzung und Überprüfung jener technischen Controls, die in Bezug zu Virtual-Private-Network-Verbindungen stehen. Inhalte sind zum Beispiel der Remote Access über öffentliche Netzwerke unter Berücksichtigung der Protokolle oder der Authentifizierungsmethoden, die Evaluierung von typischen Bedrohungen sowie generell der sicherere Betrieb von VPN-Verbindungen. Schließlich ist noch der Teil 6 zum Thema „Sicherer Netzwerkzugang über WLAN“ in Planung.

 

 

Für den Inhalt verantwortlich:

CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com
 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB