Sie sind am Zug

Glossar IT-Security

Basis-Sicherheitscheck

Soll-/Ist-Vergleich der IT-Sicherheitsmaßnahmen. Hierbei erfolgt eine Gegenüberstellung der bereits umgesetzten Maßnahmen und der gemäß IT-Grundschutz empfohlenen Maßnahmen. Der Basis-Sicherheitscheck dient so der Analyse des Handlungsbedarfs zur Erreichung des Grundschutz-Niveaus (niedriger bis mittlerer Schutzbedarf).

British Standard BS 7799-2

Der BS 7799-2:2002 (Information security management systems - Specification with guidance for use) stellt die Spezifikation für ein Informations-Sicherheits-Management-System (ISMS) dar. Dieses Management-System fügt sich in eine Reihe anderer, internationaler Management-Systeme (ISO9001, ISO14001, BS15000) ein. Der Standard wurde im Jahr 2005 als ISO 27001 international genormt.

BDSG Anlage zu § 9 BDSG

Das Bundesdatenschutzgesetz ist subsidiär zu anderen Spezialnormen, d.h. soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen diese Vorschriften dem BDSG vor („Auffanggesetz“). Es regelt den Datenschutz sowohl für öffentliche Stellen als auch für die Privatwirtschaft. In der Anlage zum § 9 BDSG sind explizit technische und organisatorische Kontrollanforderungen zum Schutz personenbezogener Daten aufgeführt.

Datensicherheit

Mit Datensicherheit (synonym: IT-Sicherheit) wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet.

ISMS Meldepflicht

Information Security Management System – Ein Managementsystem umfasst alle Regelungen und Verfahren der Leitungsebene, die für die Steuerung und Lenkung zur Zielerreichung des Unternehmens oder der Institution sorgen. Der Teil des Managementsystems, der sich mit Informationssicherheit/IT-Sicherheit beschäftigt, wird als Informationssicherheitsmanagementsystem (oder ISMS) bezeichnet. Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf die IT-Sicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt.

ISO/IEC 17799

ISO/IEC 17799:2000 (Information technology - Code of practice for information security management); entspricht inhaltlich dem British Standard Nr. 7799, Teil 1 (BS 7799-1:1999). Die ISO 17799 definiert sich als „umfassende Auswahl an Kontrollmechanismen, die auf Methodik und Verfahren basieren, die sich in der Informationssicherheit bewährt haben“. Grundlage für die Standardisierung war hierbei eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also ähnlich ITIL um einen „Best practice“ Ansatz. Eine Zertifizierung nach ISO17799 ist grundsätzlich nicht möglich. Die ISO/IEC 17799:2005 wird in den ISO 27002 überführt.

ISO/IEC 27001

Die Norm wurde aus dem British Standard BS 7799-2 entwickelt.
Die internationale Norm ISO/IEC 27001:2005, "Information technology - Security techniques - Information security management systems - Requirements" spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Hierbei werden sämtliche Arten von Organisationen (z.B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher IT-Assets sicherzustellen.

IT-Grundschutz

In der IT-Grundschutz-Vorgehensweise (entwickelt vom Bundesamt für Sicherheit in der Informationstechnik – BSI) wird dargestellt, wie ein effizientes Managementsystem für die Informationssicherheit (ISMS) aufgebaut werden kann und wie die IT-Grundschutz-Kataloge im Rahmen dieser Aufgabe verwendet werden können. Die Vorgehensweise nach IT-Grundschutz in Kombination mit den IT-Grundschutz-Katalogen bietet eine systematische Methodik zur Erarbeitung von IT-Sicherheitskonzepten und typisiert praxiserprobte Standard-Sicherheitsmaßnahmen. Individuell kann aufbauend auf ein Grundschutzniveau ein erhöhter Schutzbedarf gezielt analysiert werden(Risikoanalyse). Das Grundschutz-Modell bietet aktuell folgende Standards:
BSI Standard 100-1: Managementsysteme für Informationssicherheit (ISMS);
BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise;
BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz.

IT-Sicherheit

IT-Sicherheit beschäftigt sich vordringlich mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung (Informationssicherheit). Hierbei sind die klassischen Grundwerte der IT-Sicherheit Vertraulichkeit, Integrität und Verfügbarkeit die Grundlagen für ihren Schutz.

IT-Sicherheits-
beauftragter

Er berät die Leitungsebene und entlastet diese in allen Fragen zur IT-Sicherheit, er koordiniert den IT-Sicherheitsprozess, erstellt Konzepte und Richtlinien und überwacht die Einhaltung der Sicherheitsmaßnahmen (häufig Stabsstelle oder externer Dienstleister).

IT-Sicherheitskonzept

Ein IT-Sicherheitskonzept dient zur Umsetzung der IT-Sicherheitsstrategie und beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele zu erreichen. Es ist das zentrale Dokument im IT-Sicherheitsprozess.

IT-Sicherheitsprozess (PDCA-Modell)

IT-Sicherheit ist kein statischer Zustand sondern ein dynamischer Prozess. Auch Sicherheitskonzepte, Richtlinien und Maßnahmen unterliegen einem gewissen Lebenszyklus und müssen den sich verändernden Rahmenbedingungen und technischen Veränderungen angepasst werden. Hierzu wird auch vom „PDCA-Modell“ gesprochen. Das Modell wird nach den einzelnen Phasen des Sicherheitsprozesses benannt: Plan (Planung/Konzeption) – Do (Umsetzung) – Check (Erfolgskontrolle/Überwachung) – Act (Optimierung, Verbesserung).

Notfallvorsorgekonzept

Das Notfallvorsorgekonzept beschreibt eine Risikoanalyse im IT-Umfeld und die Präventivmaßnahmen zur Abwehr erkannter Risiken/Schadensszenarien. Es dient der Prüfung, ob die Schutzmaßnahmen hinsichtlich der Anforderungen an die Verfügbarkeit der IT-Systeme ausreichend sind. Weiterhin bildet es die Grundlage für das IT-Notfall-Handbuch, in dem konkrete Verantwortlichkeiten und Maßnahmen bei Eintritt eines IT-Notfalls beschrieben werden.

Security Policy

In einer Sicherheitsrichtlinie werden Schutzziele und allgemeine Sicherheitsmaßnahmen im Sinne offizieller und verbindlicher Vorgaben eines Unternehmens oder einer Institution formuliert. Die Beschreibung einzelner Sicherheitsmaßnahmen wird hingegen im umfangreicheren IT-Sicherheitskonzept beschrieben.

Information Security Management
Diplom-Volkswirt Bernd Kamlah  |  Telefon: 04232 - 94 50 644