IT-Sicherheitsverfahren
IT-Sicherheitsverfahren finden sich als Begriff der technischen Normung und sind mit der technischen Informationssicherheit bzw. IT-Sicherheit eng verbunden. Für den Bereich der Informations- und Kommunikationstechnologie sind sie von nicht unerheblicher Bedeutung.
Normung
Der DIN NIA-01-27 IT-Sicherheitsverfahren ist ein Arbeitsausschuss im sog. Normenausschuss Informationstechnik und Anwendungen (DIN NIA) im DIN Deutschen Institut für Normung mit Sitz in Berlin. Er ist aus dem Vorgängerausschuss DIN NI-27 hervorgegangen.[1]
Die Ergebnisse der internationalen Normungsarbeit werden in diesem Fall als sog. ISO/IEC-Normen herausgegeben. Einzelne internationale Normen werden daraus auch als sog. DIN ISO/IEC-Normen in das Deutsche Normenwerk übernommen und dazu sowohl als Ganzes oder auch nur in Teilen übersetzt.
Arbeitsgebiet
Das Arbeitsgebiet des DIN NIA-01-27 IT-Sicherheitsverfahren ist die Erarbeitung von Normen für allgemeingültige Methoden und Techniken für die IT-Sicherheit, d. h. die Sicherheit in der Informationstechnik. International wird dieses Gebiet vom Normungskomitee ISO/IEC JTC 1/SC 27 Information Technology - Security Techniques in Zusammenarbeit von ISO und IEC wahrgenommen.[2]
In Entsprechung zum Arbeitsgebiet des ISO/IEC JTC 1/SC 27 sind sowohl der Schutz von Information als auch der Schutz der Informations- und Kommunikationstechnik (IuK) für die Arbeit im DIN NIA-01-27 relevant. Hier finden sich u. a. allgemeingültige Methoden, Techniken und Orientierungshilfen zur IT-Sicherheit sowie technische Aspekte zum Schutz der Privatsphäre, wie:
- Methoden zur Erfassung von Anforderungen an die IT-Sicherheit;
- Managementaspekte in der Informationssicherheit, darunter die Informationssicherheits-Managementsysteme (ISMS);
- Kryptographische Verfahren und andere Mechanismen;
- Sicherheitsaspekte für Identitätsmanagement, biometrische Verfahren und den technischen Datenschutz;
- Anforderungen zur Konformitätsprüfung für die Informationssicherheit;
- Gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria) und verwandte Methoden.
Der Arbeitsausschuss DIN NIA-01-27 will die Verbindungsstellen zu anderen inländischen und ausländischen Komitees und die Zusammenarbeit in der internationalen Normungsarbeit des ISO/IEC JTC 1/SC 27 anteilig nach eigener nationaler Interessenlage unterstützen. Er will einen Beitrag zur Erarbeitung und Umsetzung von Normen in diesem Bereich leisten.
Untergremien im Arbeitsausschuss
Die Normungsarbeit im Ausschuss wird durch das Plenum unter Vorsitz eines Obmanns geleitet. Die Mitarbeit der Fachexperten teilt sich projektbezogen auf die folgenden Untergremien bzw. Arbeitskreise (AK) auf.
Arbeitskreis | Titel und Fachgebiet |
---|---|
NIA 01-27-01 AK | IT-Sicherheitsmanagementsysteme (ISMS) |
NIA 01-27-02 AK | IT-Sicherheitstechniken und -mechanismen (einschließlich Kryptographie) |
NIA 01-27-03 AK | Evaluationskriterien für IT-Sicherheit (einschließlich Common Criteria) |
NIA 01-27-04 AK | IT-Sicherheitsmaßnahmen und Dienste |
NIA 01-27-05 AK | Identitätsmanagement und Datenschutz-Technologien |
Normen zu IT-Sicherheitsverfahren
Neben der bekannten Normenreihe ISO/IEC 2700x für Informationssicherheits-Managementsysteme (ISMS) und den drei Teilen von ISO/IEC 15408 bzw. Gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria) existiert eine ganze Reihe weiterer Normen zu IT-Sicherheitsverfahren. Eine Gesamtaufstellung der im Arbeitsgebiet des ISO/IEC JTC 1/SC 27 bzw. der vom DIN NIA-01-27 IT-Sicherheitsverfahren betreuten Normen findet sich mit dem Standing Document No 7 - SC27 Projects & Standards (SD7) als ZIP-Datei im Web frei verfügbar.[3]
Bezug von Normen
Die Normen aus dem Bereich von ISO und IEC sind offene Standards und, im Gegensatz zu verschiedenen freien Standards, überwiegend nicht kostenlos erhältlich und müssen meistens käuflich erworben werden. In Deutschland sind sowohl die Normenrecherche als auch der Bezug von Normendrucken oder elektronischen Normenausgaben für diesen Bereich über den Beuth Verlag im DIN zu empfehlen.
Mitarbeit an der Normung
Die Arbeit im Arbeitsausschuss DIN NIA-01-27 IT-Sicherheitsverfahren erfolgt weitgehend elektronisch. Zusätzlich finden mindestens zweimal im Jahr Arbeitssitzungen mit persönlicher Teilnahme an verschiedenen Orten in Deutschland statt. Die Mitarbeit an der Normungstätigkeit unterliegt, wie in allen Normenausschüssen des DIN, einer Geschäftsordnung und erfordert die Entsendung durch eine autorisierende Stelle. Gäste können sich unter bestimmten Umständen bei der zuständigen Geschäftsstelle im DIN zur befristeten Teilnahme anmelden.
Kompass der IT-Sicherheitsstandards
Der BITKOM- und DIN-Kompass der IT-Sicherheitsstandards soll dazu beitragen, einen übersichtlichen und einfacheren Zugriff auf relevante IT-Sicherheitsstandards zu ermöglichen. Dieser Leitfaden wird in Zusammenarbeit des BITKOM AK Sicherheitsmanagement und des DIN NIA-01-27 IT-Sicherheitsverfahren herausgegeben und wird regelmäßig überarbeitet.[4]
Nach einer längeren Ruhepause ist der Kompass der IT-Sicherheitsstandards inzwischen als interaktive Onlineversion auf einer eigenen Web-Seite zu finden.[5]