Die 12 wichtigsten IT-Sicherheits-Frameworks und -Standards erklärt
Zum Schutz von Unternehmensdaten stehen mehrere IT-Sicherheits-Frameworks und Cybersicherheitsstandards zur Verfügung. Hier finden Sie Ratschläge zur Auswahl der richtigen Lösungen für Ihr Unternehmen.
Das Informationssicherheitsmanagement umfasst viele Bereiche – vom Perimeterschutz und der Verschlüsselung bis hin zur Anwendungssicherheit und Notfallwiederherstellung. Die IT-Sicherheit wird durch Compliance-Vorschriften und -Standards wie HIPAA, PCI DSS, Sarbanes-Oxley Act und DSGVO anspruchsvoller.
Hier helfen IT-Sicherheits-Frameworks und -Standards. Kenntnisse über Vorschriften, Standards und Frameworks sind für alle Experten im Bereich Informations- und Cybersicherheit unerlässlich. Auch aus Prüfungssicht ist die Einhaltung dieser Rahmenwerke und Standards wichtig.
Was sind IT-Sicherheitsstandards und Vorschriften?
Standards sind vergleichbar mit einem Rezept; sie geben die zu befolgenden Schritte vor. Eine gut organisierte IT-Abteilung muss die in einem Standard definierten Anforderungen erfüllen.
Verordnungen hingegen besitzen rechtliche Verbindlichkeit. Ihre Formulierungen, die vorgeben, wie etwas umzusetzen ist, verdeutlichen, dass sowohl die Regierung als auch die Öffentlichkeit die in der Verordnung festgelegten Regeln und Abläufe unterstützen. Die Missachtung von IT-spezifischen Vorschriften kann Geldbußen und juristische Auseinandersetzungen nach sich ziehen.
Was ist ein IT-Sicherheitsframework?
Ein IT-Sicherheitsrahmen ist eine Reihe dokumentierter Prozesse, die Richtlinien und Verfahren rund um die Implementierung und laufende Verwaltung von Informationssicherheitskontrollen definieren. Diese Frameworks sind eine Blaupause für das Risikomanagement und die Reduzierung von Schwachstellen.
Informationssicherheitsexperten verwenden Frameworks, um die Aufgaben zu definieren und zu priorisieren, die für die Verwaltung der Unternehmenssicherheit erforderlich sind. Frameworks werden auch zur Vorbereitung auf Compliance- und andere IT-Prüfungen eingesetzt. Das Framework muss daher spezifische Anforderungen unterstützen, die in der Norm oder Verordnung definiert sind.
Unternehmen können Frameworks anpassen, um spezifische Informationssicherheitsprobleme zu lösen, beispielsweise branchenspezifische Anforderungen oder unterschiedliche Ziele zur Einhaltung gesetzlicher Vorschriften. Frameworks gibt es auch in unterschiedlicher Komplexität und Größe. Heutige Frameworks überschneiden sich häufig, daher ist es wichtig, ein Framework auszuwählen, das Betriebs-, Compliance- und Audit-Anforderungen effektiv unterstützt.
Warum sind Sicherheits-Frameworks wichtig?
Frameworks bieten einen Ausgangspunkt für die Festlegung von Prozessen, Richtlinien und Verwaltungsaktivitäten für das Informationssicherheitsmanagement.
Sicherheitsanforderungen überschneiden sich häufig, was zu „Zebrastreifen“ führt, anhand derer die Einhaltung unterschiedlicher regulatorischer Standards nachgewiesen werden kann. Beispielsweise definiert ISO 27002 die Informationssicherheitsrichtlinie in Abschnitt 5; Control Objectives for Information and Related Technology ( COBIT ) definiert es im Abschnitt „Ausrichten, Planen und Organisieren“; der Rahmen des Committee of Sponsoring Organizations of the Treadway Commission (COSO) definiert es im Abschnitt „Internes Umfeld“; HIPAA definiert es im Abschnitt „Zugewiesene Sicherheitsverantwortung“. und PCI DSS definiert es im Abschnitt „Pflege einer Informationssicherheitsrichtlinie“.
Mithilfe eines gemeinsamen Rahmenwerks wie ISO 27002 kann eine Organisation Zebrastreifen einrichten, um die Einhaltung mehrerer Vorschriften nachzuweisen, darunter HIPAA, Sarbanes-Oxley Act (SOX), PCI DSS und Gramm-Leach-Bliley Act (GLBA).
So wählen Sie ein IT-Sicherheitsframework aus
Die Entscheidung, ein bestimmtes IT-Sicherheitsframework zu verwenden, kann von mehreren Faktoren bestimmt werden. Die Art der Branche oder Compliance-Anforderungen können entscheidende Faktoren sein. Beispielsweise möchten börsennotierte Unternehmen möglicherweise COBIT verwenden, um SOX einzuhalten, während der Gesundheitssektor möglicherweise HITRUST in Betracht zieht. Die ISO 27000- Reihe von Informationssicherheits-Frameworks ist hingegen im öffentlichen und privaten Sektor anwendbar.
Obwohl die Implementierung von ISO-Standards oft zeitaufwändig ist, sind sie hilfreich, wenn ein Unternehmen seine Informationssicherheitsfähigkeiten durch eine ISO 27000-Zertifizierung nachweisen muss. Während NIST Special Publication (SP) 800-53 der von US-Bundesbehörden geforderte Standard ist, kann er von jeder Organisation verwendet werden, um einen technologiespezifischen Informationssicherheitsplan zu erstellen.
Diese Frameworks helfen Sicherheitsexperten bei der Organisation und Verwaltung eines Informationssicherheitsprogramms. Die einzige schlechte Wahl unter diesen Frameworks besteht darin, sich nicht für eines davon zu entscheiden.
Beispiele für IT-Sicherheitsstandards und Frameworks
1. ISO 27000-Serie
Die ISO 27000-Reihe wurde von der International Organization for Standardization entwickelt. Es handelt sich um ein flexibles Informationssicherheits-Framework, das auf alle Arten und Größen von Organisationen angewendet werden kann.
Die beiden Primärstandards ISO 27001 und 27002 legen die Anforderungen und Verfahren zum Aufbau eines Informationssicherheits-Managementsystems (ISMS) fest. Ein ISMS ist eine wichtige Audit- und Compliance-Aktivität. ISO 27000 besteht aus einer Übersicht und einem Vokabular und definiert ISMS-Anforderungen. ISO 27002 legt den Verhaltenskodex für die Entwicklung von ISMS-Kontrollen fest.
Die Einhaltung der Normen der ISO 27000-Reihe wird durch Audit- und Zertifizierungsprozesse sichergestellt, die in der Regel von Drittorganisationen durchgeführt werden, die von der ISO und anderen akkreditierten Agenturen zugelassen sind.
Die ISO 27000-Reihe umfasst 60 Standards, die ein breites Spektrum an Fragen der Informationssicherheit abdecken, zum Beispiel:
ISO 27018 befasst sich mit Cloud Computing.
ISO 27031 bietet Leitlinien für IT-Desaster-Recovery-Programme und damit verbundene Aktivitäten.
ISO 27037 befasst sich mit der Sammlung und dem Schutz digitaler Beweise.
ISO 27040 befasst sich mit der Speichersicherheit.
ISO 27799 definiert die Informationssicherheit im Gesundheitswesen, was für Unternehmen nützlich ist, die HIPAA-Konformität erfordern.
2. NIST SP 800-53
NIST hat eine umfangreiche Bibliothek von IT-Standards entwickelt, von denen sich viele auf die Informationssicherheit konzentrieren. Die 1990 erstmals veröffentlichte NIST SP 800-Reihe befasst sich mit nahezu allen Aspekten der Informationssicherheit, wobei der Schwerpunkt zunehmend auf Cloud-Sicherheit liegt.
NIST SP 800-53 ist der Informationssicherheitsmaßstab für US-Regierungsbehörden und wird im privaten Sektor häufig verwendet. SP 800-53 hat dazu beigetragen, die Entwicklung von Informationssicherheits-Frameworks voranzutreiben, einschließlich des NIST Cybersecurity Framework (NIST CSF).
3. NIST SP 800-171
NIST SP 800-171 hat aufgrund der vom US-Verteidigungsministerium festgelegten Anforderungen an die Einhaltung von Sicherheitsrahmenwerken durch Auftragnehmer an Popularität gewonnen. Aufgrund ihrer Nähe zu staatlichen Informationssystemen sind staatliche Auftragnehmer ein häufiges Ziel von Cyberangriffen. Staatliche Hersteller und Subunternehmer müssen über einen IT-Sicherheitsrahmen verfügen, um auf Bundes- und Landesgeschäftsmöglichkeiten bieten zu können.
Die im NIST SP 800-171-Framework enthaltenen Kontrollen stehen in direktem Zusammenhang mit NIST SP 800-53, sind jedoch weniger detailliert und allgemeiner. Es ist möglich, einen Übergang zwischen den beiden Standards zu schaffen, wenn eine Organisation die Einhaltung von NIST SP 800-53 nachweisen muss, wobei NIST SP 800-171 als Grundlage dient. Dies schafft Flexibilität für kleinere Organisationen – sie können mithilfe der zusätzlichen Kontrollen, die in NIST SP 800-53 enthalten sind, auch bei ihrem Wachstum Compliance nachweisen.
4. NIST CSF
Das NIST Framework for Improving Critical Infrastructure Cybersecurity (NIST CSF) wurde im Rahmen der im Februar 2013 veröffentlichten Executive Order 13636 entwickelt. Es wurde für die kritische Infrastruktur der USA entwickelt, darunter Energieerzeugung, Wasserversorgung, Lebensmittelversorgung, Kommunikation, Gesundheitsversorgung und Transport. Diese Branchen müssen ein hohes Maß an Vorbereitung aufrechterhalten, da sie alle aufgrund ihrer Bedeutung ins Visier nationalstaatlicher Akteure geraten sind.
Im Gegensatz zu anderen NIST-Frameworks konzentriert sich NIST CSF auf die Analyse und das Risikomanagement der Cybersicherheitsrisiken. Die Sicherheitskontrollen im Framework basieren auf den fünf Phasen des Risikomanagements:
Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.
Wie alle IT-Sicherheitsprogramme erfordern diese Phasen die Unterstützung der Geschäftsleitung. NIST CSF eignet sich sowohl für den öffentlichen als auch für den privaten Sektor.
5. NIST SP 1800-Serie
Die NIST SP 1800-Reihe ist eine Reihe von Leitfäden, die die Standards und Frameworks der NIST SP 800-Reihe ergänzen. Die Publikationsreihe SP 1800 bietet Informationen zur Implementierung und Anwendung standardbasierter Cybersicherheitstechnologien in realen Anwendungen.
Die Veröffentlichungen der SP 1800-Serie bieten Folgendes:
- Beispiele für spezifische Situationen und Fähigkeiten.
- Erfahrungsbasierte How-to-Ansätze mit mehreren Produkten, um das gewünschte Ergebnis zu erzielen.
- Modulare Anleitung zur Implementierung von Fähigkeiten für Organisationen jeder Größe.
- Spezifikationen der erforderlichen Komponenten sowie Installations-, Konfigurations- und Integrationsinformationen, damit Unternehmen den Prozess problemlos selbst replizieren können.
6. COBIT
COBIT wurde Mitte der 1990er Jahre von ISACA, einer unabhängigen Organisation von IT-Governance-Experten, entwickelt. ISACA bietet die bekannten Zertifizierungen Certified Information Systems Auditor und Certified Information Security Manager an.
COBIT konzentrierte sich ursprünglich auf die Reduzierung von IT-Risiken. COBIT 5 wurde 2012 veröffentlicht und enthielt neue Technologie- und Geschäftstrends, um Unternehmen dabei zu helfen, IT- und Geschäftsziele in Einklang zu bringen. Die aktuelle Version ist COBIT 2019. Es ist das am häufigsten verwendete Framework zur Erreichung der SOX-Konformität. Zahlreiche Veröffentlichungen und professionelle Zertifizierungen befassen sich mit den COBIT-Anforderungen.
7. CIS-Kontrollen
Das Center for Internet Security (CIS) Critical Security Controls, Version 8 – früher die SANS Top 20 – listet technische Sicherheits- und Betriebskontrollen auf, die auf jede Umgebung angewendet werden können. Es befasst sich nicht mit der Risikoanalyse oder dem Risikomanagement wie NIST CSF; Vielmehr geht es ausschließlich darum, Risiken zu reduzieren und die Widerstandsfähigkeit technischer Infrastrukturen zu erhöhen.
Die 18 CIS-Kontrollen umfassen Folgendes:
- Inventarisierung und Kontrolle von Unternehmensvermögenswerten
- Datenschutz
- Überwachungsprotokollverwaltung
- Malware-Abwehr
- Penetrationstests
CIS Controls sind mit bestehenden Risikomanagement-Frameworks verknüpft, um bei der Behebung identifizierter Risiken zu helfen. Sie sind nützliche Ressourcen für IT-Abteilungen, denen es an Erfahrung in der technischen Informationssicherheit mangelt.
8. HITRUST Common Security Framework
Das HITRUST Common Security Framework (CSF) umfasst Risikoanalyse- und Risikomanagement-Frameworks sowie betriebliche Anforderungen. Das Framework verfügt über 14 verschiedene Kontrollkategorien und kann auf nahezu jede Organisation angewendet werden, einschließlich des Gesundheitswesens.
HITRUST CSF ist für jede Organisation ein gewaltiges Unterfangen, da Dokumentation und Prozesse einen hohen Stellenwert haben. Infolgedessen legen viele Organisationen letztendlich kleinere Schwerpunktbereiche für HITRUST fest. Die Kosten für die Erlangung und Aufrechterhaltung der HITRUST-Zertifizierung erhöhen den Aufwand für die Einführung dieses Rahmenwerks. Die Zertifizierung wird von einem Dritten geprüft, was eine zusätzliche Gültigkeitsebene darstellt.
9. DSGVO
Bei der DSGVO handelt es sich um einen Rahmen von Sicherheitsanforderungen, den globale Organisationen umsetzen müssen, um die Sicherheit und Privatsphäre der persönlichen Daten von EU-Bürgern zu schützen. Zu den DSGVO-Anforderungen gehören Kontrollen zur Einschränkung des unbefugten Zugriffs auf gespeicherte Daten und Zugriffskontrollmaßnahmen, wie z. B. die geringste Berechtigung, rollenbasierter Zugriff und Multifaktor-Authentifizierung.
10. COSO
COSO ist eine gemeinsame Initiative von fünf Berufsverbänden. Sein 1992 veröffentlichtes und 2013 aktualisiertes „Internal Control – Integrated Framework“ hilft Unternehmen dabei, einen risikobasierten Ansatz für interne Kontrollen zu erreichen. Es umfasst die folgenden fünf Komponenten:
- Kontrollumfeld
- Risikobewertung und -management
- Überwachungsaktivitäten
- Information und Kommunikation
- Überwachung
COSO veröffentlichte sein Enterprise Risk Management (ERM) – Integrated Framework im Jahr 2004 und aktualisierte es im Jahr 2017. Das Framework, das Organisationen dabei helfen soll, ihr Cyber-Risikomanagement zu verbessern, umfasst 20 Prinzipien in den folgenden fünf Komponenten:
- Governance und Kultur
- Strategie und Zielsetzung
- Leistung
- Überprüfung und Überarbeitung
- Information, Kommunikation und Berichterstattung
Ein 2019 veröffentlichtes Leitpapier mit dem Titel „ Managing Cyber Risk in a Digital Age “ bietet Ratschläge zur Vorbereitung und Reaktion auf Cyberbedrohungen von Unternehmen. Es stimmt mit dem COSO ERM Framework überein.
11. FISMA
Das Federal Information Security Modernization Act (FISMA), das eng an das NIST Risk Management Framework angelehnt ist, bietet einen Sicherheitsrahmen zum Schutz von Daten und Systemen der Bundesregierung. FISMA wurde 2002 eingeführt und 2014 aktualisiert. Es wurde eine Aktualisierung im Jahr 2023 vorgeschlagen. Die Gesetzgebung steht noch aus.
FISMA verlangt von Bundesbehörden und ihren Drittparteien, Auftragnehmern und Anbietern, Sicherheitsrichtlinien und -praktiken zu entwickeln, zu dokumentieren und umzusetzen, einschließlich der Überwachung ihrer IT-Infrastruktur und der Durchführung regelmäßiger Sicherheitsüberprüfungen.
12. NERC CIP
Der Schutz kritischer Infrastrukturen der North American Electric Reliability Corporation ist ein Rahmenwerk aus 14 ratifizierten und vorgeschlagenen Standards, das für Versorgungsunternehmen im Großstromnetz gilt. Die Standards beschreiben empfohlene Kontrollen und Richtlinien zur Überwachung, Regulierung, Verwaltung und Aufrechterhaltung der Sicherheit kritischer Infrastruktursysteme.
Zu den CIP-Standards gehören Folgendes:
- CIP-004-6 Cybersicherheit – Personal und Schulung
- CIP-008-6 Cybersicherheit – Vorfallmeldung und Reaktionsplanung
- CIP-013-1 Cybersicherheit – Risikomanagement in der Lieferkette
- CIP-014-1 Physische Sicherheit
Eigentümer, Betreiber und Nutzer von Großstromnetzen müssen das NERC CIP-Rahmenwerk einhalten.