Informationssicherheitsmanagement in der Prozessdatenverarbeitung (PDV)

Normen für die Implementierung eines ISMS in der PDV

In der letzten Ausgabe der cronos info wurde bereits vorgestellt, wie man ein Informationssicherheitsmanagementsystem (kurz: ISMS) für eine Organisation nach ISO/IEC 27001:2013 plant und wie man die notwendigen Aufwände abschätzen kann, die für eine organisationsspezifische Implementierung eines ISMS erforderlich sind. Meistens werden ISMS in Organisationen im Umfeld von Office- und Rechenzentrumsumgebungen implementiert. Jedoch erlaubt der Standard die Anwendung in allen Organisationen und in nahezu allen Umgebungen.

Dies ist dem risikobasierten Ansatz der ISO 27001 und der Tatsache geschuldet, dass die Schutzmaßnahmen aus dem Annex A und der ISO/IEC 27002:2013 beliebig erweitert werden können. In der Praxis wird hiervon in den Organisationen allerdings wenig Gebrauch gemacht. Die Anwender erwarten vielmehr, dass Maßnahmen für ihre jeweiligen Probleme durch die Standards selbst bereitgestellt werden, wie es z. B. im IT-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik der Fall ist.

Auch in der ISO-270xx-Serie gibt es eine Vielzahl von Standards, die bestimmte technische und organisatorische  Maßnahmen präzisieren, wie in der folgenden Abbildung dargestellt: Bisweilen gibt es für eine einzelne Schutzmaßnahme aus der ISO/IEC 27002:2013 einen vollständigen und eigenständigen Standard oder gar eine Gruppe von Standards.

Für die PDV wurde innerhalb von Deutschland, zusammen mit der Energiewirtschaft, ein weiterer Standard entwickelt, die DIN/SPEC 27009, die jetzt als ISO/IEC TR 27019 einen sektorspezifi schen Standard für die PDV in der Energiewirtschaft darstellt. Parallel ist für die gesamte Automationstechnik noch ein zusätzlicher Standard entwickelt worden, der IEC Standard IEC 62443 Industrial communication networks – Network and system security. Dieser aus mehreren Teilen bestehende Standard definiert alles – von einem Cyber-Security-Management-System über die notwendigen Metriken bis hin zu Anforderungen an die Herstellung von Komponenten für das PDV-Umfeld.[...]

Lesen Sie den vollständigen Artikel hier: