Dies ist nur eine kleine Auswahl mit unterschiedlichen Ansätzen – denn je nach Blickwinkel können unterschiedliche Aspekte wichtig sein. Der Wirtschaftsprüfer blickt völlig anders auf das Thema Cloud als ein Automatisierungs-Techniker oder ein IT-Leiter.
Sorry, wenn Ihr „Lieblingsstandard“ fehlt: es werden (fast) täglich mehr…
- ISO/IEC 27001
- Darf hier natürlich nicht fehlen: der internationale Gold-Standard zum Aufbau eines ISMS. Funktioniert für Organisationen aller Art und Größe – lassen Sie sich nicht anderes einreden.
- Natürlich sehr beliebt beim oben erwähnten IT-Leiter oder gar der Geschäftsführung.
- Cloud Controls Matrix (CCM)
- Die CSA Cloud Controls Matrix (CCM) ist ein Rahmenwerk für Cybersicherheitskontrollen für Cloud Computing. Sie ist unterteilt in 16 Bereiche, die alle wichtigen Aspekte der Cloud Technologie abdeckt. Jeder Bereich besitzt 133 Kontrollziele. Sie kann als Instrument zur systematischen Bewertung der Cloud-Implementierung verwendet werden, denn sie gibt Hinweise darauf, welche Sicherheitskontrollen von Akteuren innerhalb der Cloud-Lieferkette durchgeführt werden sollten (sinngemäß übersetzt von https://cloudsecurityalliance.org/blog/2020/10/16/what-is-the-cloud-controls-matrix-ccm )
- Wer Cloud-Dienste anbietet oder nutzt, wird das hier nützlich finden.
- ITIL v4
- Organisation und Prozesse des Service Managements; weltweit verbreitet und allgemein anerkannt. Vorsicht: v3 und v4 unterschieden sich grundlegend!
- Vgl. https://www.axelos.com/certifications/itil-service-management
- Sollte jeder kennen, der IT ernst nimmt – man kann aber auch erfolgreich sein, wenn man es nicht 1:1 umsetzt.
- CoBIT 2019
- GRC Framework von ISACA; Control Objects for Information an Related Technology
- „Der Anspruch von COBIT ist, das Bindeglied zwischen den unternehmensweiten Steuerungs-Frameworks (COSO) und den IT-spezifischen Modellen (z. B. ITIL, ISO 27001 (…)) zu sein“
(https://de.wikipedia.org/wiki/COBIT) - Definitiv der Lieblingsstandard der Konzernführung
- SSAE18, ISAE3402, IDW PS 951
- Prüf-Standards aus der Wirtschaftsprüfung, die auf das interne Kontrollsystem (z.B. nach COBIT) abzielen. Es findet eine „SOC“-Prüfung statt, in der die Erreichung von Maßnahmenzielen („Control Objectives“) bewertet wird. Es gibt für unterschiedliche Zwecke und Betrachtungen drei SOC-Prüfungsarten, die jeweils in zwei Typen (Zeitpunkt und Zeitraum) ausgestaltet sein können.
- Bettlektüre für die „Third Line of Defense“.
- PCI DSS
- „Der Payment Card Industry Data Security Standard (PCI DSS) wurde entwickelt, um die Sicherheit von Karteninhaberdaten zu verbessern und die umfassende Akzeptanz einheitlicher Datensicherheitsmaßnahmen auf der ganzen Welt zu vereinfachen.“
(https://www.pcisecuritystandards.org/lang/de-de/ ) - Wer Zahlungsdienste anbietet, kennt diesen Standard.
- „Der Payment Card Industry Data Security Standard (PCI DSS) wurde entwickelt, um die Sicherheit von Karteninhaberdaten zu verbessern und die umfassende Akzeptanz einheitlicher Datensicherheitsmaßnahmen auf der ganzen Welt zu vereinfachen.“
- NIST
- SP800-30 Risikomanagement,
- SP800-53 IT Sicherheits-Maßnahmenkatalog
- Vgl. https://csrc.nist.gov
- Merke: NIST hat immer ein paar interessante Ideen, ‚reinschauen lohnt sich!
- Common Criteria
- for Information Technology Security Evaluation (DIN EN ISO/IEC 15408 Rev. 5) sind ein internationaler Standard zur Prüfung und Bewertung der Sicherheitseigenschafte von IT-Produkten.
- Vgl. https://www.commoncriteriaportal.org/
- Der einzige international anerkannte, zertifizierungsfähige Standard für IT-Sicherheitsprodukte!
- IEC 62443
- „(…) hat ihren Ursprung in der Automatisierungstechnik der Prozessindustrie, deckt mit ihrem Anwendungsbereich aber alle Industriebereiche und die kritischen Infrastrukturen (KRITIS) ab. Sie befasst sich mit der Cybersecurity sogenannter ,,Industrial Automation and Control Systems“ (IACS). Der Begriff IACS beschreibt alle Bestandteile, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind. Dazu gehören sowohl Hardware- als auch Softwarekomponenten. Des Weiteren schließen IACS die organisatorischen Prozesse für die Errichtung und den Betrieb mit ein.“
(https://www.dke.de/de/arbeitsfelder/industry/iec-62443-cybersecurity-industrieautomatisierung) - IIoT Entwickler, Betreiber und jeder „auf dem Shopfloor“ haben ihn buchstäblich auf dem Schirm.
- „(…) hat ihren Ursprung in der Automatisierungstechnik der Prozessindustrie, deckt mit ihrem Anwendungsbereich aber alle Industriebereiche und die kritischen Infrastrukturen (KRITIS) ab. Sie befasst sich mit der Cybersecurity sogenannter ,,Industrial Automation and Control Systems“ (IACS). Der Begriff IACS beschreibt alle Bestandteile, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind. Dazu gehören sowohl Hardware- als auch Softwarekomponenten. Des Weiteren schließen IACS die organisatorischen Prozesse für die Errichtung und den Betrieb mit ein.“
Wie gesagt, es ist nur eine Auswahl. Ich entschuldige mit explizit beim BSI dafür, dass ich weder die 200er-Reihe noch C5 erwähnt habe. Alles ganz prima und wertvoll… beim nächsten Edit des Beitrages packe ich es mit rein 😉