35
IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie verinixe.XP, 2015-09-16 Berlin

IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

  • Upload
    others

  • View
    5

  • Download
    0

Embed Size (px)

Citation preview

Page 1: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie

verinixe.XP, 2015-09-16 Berlin

Page 2: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie Woher stammen Normen Was macht DIN Wie wirken Normen Wie entstehen Normen

© 2014, DIN e. V. 2

Page 3: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

DIN e. V.

DIN ist ein eingetragener gemeinnütziger Verein und wird privatwirtschaftlich getragen.

DIN ist laut eines Vertrages mit der Bundesrepublik Deutschland die zuständige deutsche Normungsorganisation für die europäischen und internationalen Normungsaktivitäten.

© 2014, DIN e. V. 3

Page 4: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

DIN ist ein Dienstleistungsunternehmen

DIN fungiert als „runder Tisch“ –auch über elektronische Plattformen – an dem Vertreter der interessierten Kreise konsensbasierte Normen markt- und zeitgerecht erarbeiten.

Die DIN-Mitarbeiter organisieren den gesamten Prozess der Normung auf nationaler Ebene und die deutsche Beteiligung auf europäischer und internationaler Ebene.

DIN stellt die Einheitlichkeit der technischen Regeln sicher.

DIN stellt die elektronische Infrastruktur für die Normen-entwicklung zur Verfügung

© 2014, DIN e. V. 4

Page 5: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Die Leistungen des DIN e.V.

DIN handelt als Projektmanager in der Normung handelt als Dienstleister für seine Kunden führt die Sekretariate in internationalen Arbeitsgremien stellt die Einheitlichkeit der technischen Regeln sicher stellt die elektronische Infrastruktur für die

Normenentwicklung zur Verfügung

© 2014, DIN e. V. 5

Page 6: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

DIN ist Teil der Internationalen Normungsstruktur

© 2015, DIN e. V. 6

ISOInternational

Organization for Standardization

ITUInternational

TelecommunicationUnion

World Standards Cooperation

CENEuropäischesKomitee fürNormung

CENELECEuropäisches Komitee für

Elektrotechnische Normung

ETSIEuropäisches

Institut für Tele-kommunikations-

normen

IECInternational

ElectrotechnicalCommission

DIN, AFNOR, BSI, ANSI, JISC ... NSBs(DE) (FR) (GB) (US) (JP)

USA270 SDOs von

ANSI akkreditiert

ASTM

NEMAAPI

ASMESAE

IEEE

WSC

Page 7: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Normen in der Rechtsordnung

Eine anerkannte Regel der Technik ist eine technischeFestlegung, die von einer Mehrheit repräsentativerFachleute als Wiedergabe des Standes der Technikangesehen wird.

Der Stand der Technik ist ein entwickeltes Stadium der technischen Möglichkeiten zu einem bestimmten Zeit-punkt, soweit Produkte, Prozesse und Dienstleistungenbetroffen sind basierend auf den diesbezüglichengesicherten Erkenntnisse von Wissenschaft, Technikund Erfahrung.

© 2014, DIN e. V. 7

Page 8: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Normen in der Rechtsordnung

Die Anwendung von Normen ist freiwillig Bindend werden Normen nur dann, wenn sie Gegenstand

von Verträgen zwischen Parteien sind oder wenn der Gesetzgeber ihre Einhaltung vorschreibt

Normen sind eindeutige (anerkannte) Regeln, daherbietet der Bezug auf Normen in Verträgen Rechtssicherheit

Im Rechtsstreit billigt ein Richter der DIN-Norm den "Beweis des ersten Anscheins" zu.Eine widerlegbare Rechtsvermutung (Beweislastumkehr)

© 2014, DIN e. V. 8

Page 9: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Normen wirken deregulierend

DIN-Normen entlasten den Staat in seiner Gesetzgebungs-tätigkeit. Der Staat verweist zur Erfüllung grundlegender Anforderungen in Gesetzestexten auf überbetriebliche Normen Gesetze schaffen den rechtlichen Rahmen und

geben Schutzziele vor Normen konkretisieren den Stand der Technik

und schreiben ihn flexibel fort Beispiel: Bauwesen, Gesundheitsschutz, Umweltschutz

© 2014, DIN e. V. 9

Page 10: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Was kann Normung leisten

Interoperabilität Schnittstellennorm

Komplexitätsreduktion Bildung von Klassen

Mindeststandards Erfüllung gesetzl. Vorgaben

Best Practice Festhalten des „Stand der Technik“

Transparenz Label

Qualitätssicherung Norm als Referenz

Zertifizierungsgrundlage Bsp.: ISO 9001

© 2014, DIN e. V. 10

Page 11: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Wie entstehen Normen

Page 12: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Gemeinschaftsaufgabe NormungEine demokratische Legitimation der Normung erfordert

das Engagement aller interessierten Kreise.

© 2014, DIN e. V. 12

NORMUNGAnwender

Arbeitsschutz

Gewerkschaften

Öffentliche Hand

Prüfinstitute

Umweltschutz

Verbraucherschutz

Wirtschaft

Wissenschaft und Forschung

Regelsetzende Institutionen

Page 13: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Normerstellung: Zusätzliche Anforderungen

© 2015, DIN e. V. 13

DIN SPEC (PAS) DIN-NormZusätzliche Anforderungen der Norm

Initiierung

Erarbeitung

DIN SPEC

Normungsantrag

Norm-Vorlage

Manuskript für Norm-Entwurf

Norm-Entwurf

Manuskript für Norm

DIN-Norm

Systematische Überprüfung nach 3 Jahren

Systematische Überprüfung nach 5 Jahren

Einbindung aller interessierten Kreise

Konsens

Entwurfsver-öffentlichung

Page 14: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Nationale Interessensvertretung

© 2014, DIN e. V. 14

Page 15: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Mitarbeit in europäischen und internationalen Normungsgremien

© 2014, DIN e. V. 15

Spiegel-ausschuss

Arbeits-gruppe

Technisches KomiteeDelegierter

Experte

Page 16: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Internationale Normungsorganisationen

ISO/IEC Je Land ist ein Mitglied (meist die nationalen Normungs-

organisationen) in der jeweiligen Normungsorganisation vertreten

Die Organe – wie Generalversammlung, politische und technische Lenkungsgremien, sowie die Technischen Komitees – stehen den Mitgliedern offen

Es gibt in den Technischen Komitees Vollmitglieder(P-members) und Beobachtermitglieder (O-members)

© 2015, DIN e. V. 16

Page 17: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Entstehung einer Internationalen Norm

© 2015, DIN e. V. 17

Vorschlagsstufe(Proposal Stage)

Vom Vorschlag (NP) bis zur Annahme eines neuen Normungsvorhabens

Bearbeitungsstufe(Preparatory Stage)

Von der Annahme des Normungsvorhabens bis zur Verabschiedung zur Registrierung als Komitee-Entwurf

Komiteestufe(Committee Stage)

Vom Komitee-Entwurf (CD, mehrere möglich) bis zur Verabschiedung zur Umfrage (Internationaler Norm-Entwurf)

Umfragestufe(Enquiry Stage)

Von der Annahme zur Umfrage (Internationaler Norm-Entwurf (DIS bzw. CDV)) bis zur Verabschiedung zumSchlussentwurf

Annahmestufe(Approval Stage)

Von der Annahme als Schlussentwurf (FDIS) bis zurVerabschiedung zur Internationalen Norm

Veröffentlichungs-stufe (Publication Stage)

Von der Annahme als Internationale Norm bis zurVeröffentlichung als ISO-, IEC- oder ISO/IEC-Norm

Fast track

Fast track

Page 18: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Internationale Normung –Veröffentlichungsformen (ISO) ISO Internationale Norm ISO/TS Internationale Technische Spezifikation ISO/TR Internationaler Technischer Bericht PAS Publicly Available Specification IWA International Workshop Agreement Guide Leitfaden

© 2015, DIN e. V. 18

Page 19: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Normung im Bereich IT-Sicherheit

Page 20: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Normung von IT-Sicherheit

© 2014, DIN e. V. 20

IT-Sicherheit

generisch anwendungsbezogen

Unabhängig von• Technologie• Branche• Anwendungsfall

Abhängig von• Technologie (z.B. RFID)• Branche (z.B. Medizin)• Anwendungsfall

(Bahnsignalanlagen)

Page 21: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

internationaleuropäischnational

generisch

IT-Sicherheitsnormung - Gremienübersicht

© 2014, DIN e. V. 21

NIA 27 ISO/IEC /JTC1 /SC27

anwendungsbezogen

Koo

rdin

ieru

ngss

telle

IT

-Sic

herh

eit

Ernährung

Verkehr

Gesundheit

Finanzen

IKT

Energie

Medien

Wasser

NAMed/FB 7 CEN/TC 251 ISO/TC 215

NL,NSMT

DKE ETSI/CLC

NAL

NIA

DKE, NIA

NVBF

NAW

ISO/TC 68

ETSI,CEN JTC1, ITU

IEC

Page 22: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Generische IT-Sicherheitsnormung im JTC1/ SC27

© 2014, DIN e. V. 22

WG 1

WG 2

WG 3

WG 4

WG 5

Informationssicherheits-Managementsysteme

kryptographische Verfahren

Evaluationskriterien und Testmethoden

IT-Sicherheitsmaßnahmen und Dienste (z.B.Forensik)

Identitätsmanagement und Datenschutz-Technologien

www.jtc1sc27.din.de/en

Page 23: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

ISO/IEC 270xx Normen

Page 24: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

ISO/IEC 27000 - Normenfamilie

© 2014, DIN e. V. 24

Erstellung nach ISO/IEC 27009

Page 25: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Übersicht ISO/IEC 270xx• ISO/IEC 27000 (DIS) Overview and vocabulary

• ISO/IEC 27001 (Ausgabe 2013) Requirements

• ISO/IEC 27002 (Ausgabe 2013) Code of practice for information security controls

• ISO/IEC 27003 (CD) Information Security Management System – Guidance

• ISO/IEC 27004 (CD) Information security management -- Measurement

• ISO/IEC 27005 (WD) Information security risk management

• ISO/IEC 27006 (FDIS) Requirements for bodies providing audit and certification of ISMS

• ISO/IEC 27007 (WD) Guidelines for information security management systems auditing

• ISO/IEC 27008 (WD) Guidelines for auditors on information security controls

• ISO/IEC 27009 (DIS) Sector-specific application of ISO/IEC 27001 -- Requirements

© 2014, DIN e. V. 25

Page 26: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Übersicht ISO/IEC 270xx (2)• ISO/IEC 27010 (DIS) ISM for inter-sector and inter-organizational communications

• ISO/IEC 27011 (DIS) Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations

• ISO/IEC 27013 (Ausgabe 2013) Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

• ISO/IEC 27015 (Ausgabe 2012) Information security management guidelines forfinancial services

• ISO/IEC 27017 (Ausgabe 2013) Code of practice for information security controls based on ISO/IEC 27002 for cloud services

• ISO/IEC TR 27019

© 2014, DIN e. V. 26

Page 27: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

ISO/IEC 27001/27002 - Historie• British Standard BS7799:1995 ISO/IEC 17799:2005• ISO/IEC 17799:2005 ISO/IEC 27002:2005• BS7799-2:2002 ISO/IEC 27001:2005• ISO/IEC 27001:2005 ISO/IEC 27001:2013 • ISO/IEC 27002:2005 ISO/IEC 27002:2013

© 2014, DIN e. V. 27

Page 28: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

ISO Managementsystem-Normen

© 2014, DIN e. V. 28

Hauptteil

Anhang A

Hauptteil

Anhang A- Controls- Contro l-objectives

ISO/IEC 27001 ISO 9001

Annex SL

Gemeinsame Struktur aller ISO Management System-Normen durch vorgegebenen Annex SL der ISO Direktiven

Spezifische Ergänzungen

Page 29: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Systematik der ISO/IEC 27001/27002

© 2014, DIN e. V. 29

ISO/IEC 27002 -Umsetzungshilfe

ISO/IEC 27001 -Anforderungen

6.1.1Maßnahme Angemessene Kontakte mit relevanten Behörden werden gepflegt.

6.1.1Umsetzungshinweise Organisationen sollten über Verfahren verfügen, die festlegen, wann und von wem Behörden (z. B. Strafverfolgungs-und Aufsichtsbehörden) benachrichtigt werden und wie erkannte Informationssicherheitsvorfälle rechtzeitig gemeldet werden (z. B. wenn der Verdacht einer Straftat besteht).

Page 30: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Zertifizierbarkeit von IT Sicherheitsmanagement-Systemen

© 2014, DIN e. V. 30

Nach ISO/IEC 27001 Anforderungen an ein Managementsystem zur Verankerung

der IT-Sicherheit in der Organisation

Nach BSI Grundschutz BSI-Grundschutz ist abgestimmt mit ISO/IEC 27001 Zertifikat: ISO/IEC 27001 auf Basis IT-Grundschutz

Page 31: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

© 2014, DIN e. V. 31

Wie ist eine Norm zu lesenDIN 820-2 (identisch mit ISO/IEC Direktiven Teil2),

Anhang H: Verbformen zur Formulierung von Festlegungen

• Anforderung− muss− darf nicht

• Empfehlung− sollte− sollte nicht

•Zulässigkeit− darf− braucht nicht

•Möglichkeit und Vermögen− kann− kann nicht

Anforderungen in Normen sind Zertifizierungsgrundlage !

Page 32: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Internationalisierung nationaler Normen

Page 33: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Internationalisierung – warum?

© 2014, DIN e. V. 33

IKT ist ein globaler Markt International Felder belegen Internationale Entwicklungen beeinflussen Deutschland als Referenzmarkt Skaleneffekte nutzen Reputation internationaler SDO‘s nutzen

Page 34: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

Möglichkeiten der Internationalisierung

© 2014, DIN e. V. 34

DINGremium

DIN SPECVornorm

DIN SPECFachbericht

DIN SPECPAS

DINWorkshop

DIN Norm

ISO/IEC TS

ISO/IEC TR

ISO/IEC TR

ISO/IEC Standard

DIN SPEC 27009 ISO/IEC TR 27019

Page 35: IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie · • ISO/IEC 27000 (DIS) Overview and vocabulary • ISO/IEC 27001 (Ausgabe 2013) Requirements • ISO/IEC 27002 (Ausgabe

DIN e. V.Am DIN-PlatzBurggrafenstraße 610787 Berlin

www.din.dewww.din.de/go/niawww.entwuerfe.din.de

www.din.de/go/kits