DIN NA 043-01-27 AA – IT-Sicherheitsverfahren
Das Themengebiet der IT- bzw. Informationssicherheit ist sehr weitläufig und durch das Zusammenwirken verschiedenster Aspekte in einer Organisation geprägt. Beispielsweise helfen Prozesse und Verfahren, die meist mithilfe technischer Mittel umgesetzt werden, den Mitarbeitern bei der Erledigung ihrer Aufgaben mit dem Ziel, dabei verarbeitete, geschäftskritische oder auch personenbezogene Daten vor Verlust, unerwünschter Veröffentlichung und unerlaubter Veränderung zu schützen. Unter Berücksichtigung der für die Organisation und ihre Daten bestehenden Bedrohungen und Risiken werden dazu grundlegende, in jeder Art von Organisation anzutreffende, oftmals ergänzt durch branchenspezifische Maßnahmen, umgesetzt.
Diese Maßnahmen zu standardisieren ist Aufgabe und Ziel internationaler und europäischer Standardisierungsgremien, die auf nationaler Ebene durch in verschiedenen Arbeitsgruppen tätigen Experten unterstützt werden. Mitarbeiter des Leibniz-Rechenzentrums sind Mitglied des Normenausschusses Informationstechnik und Anwendungen (NIA), der als Teil des Deutschen Instituts für Normung e.V. (DIN) das offizielle nationale Gremium in diesem Bereich darstellt. Im Fachbereich "Grundnormen der Informationstechnik" widmet sich der Arbeitsausschuss "IT-Sicherheitsverfahren" (NA 043-01-27 AA) der Festlegung möglichst generischer Anforderungen für IT-Sicherheitsdienste, der Entwicklung weitgehend allgemein anerkannter Richtlinien und Leitfäden des Informationssicherheitsmanagements und der Definition von Kriterien zu Evaluierung und Zertififzierung von Sicherheitseigenschaften aktueller IT-Produkte.
Dieser nationale Arbeitsausschuss gliedert sich in insgesamt fünf Arbeitskreise, die sich mit spezifischen Fragestellungen im Detail auseinandersetzen:
- AK 01: Anforderungen, Dienste und Richtlinien für IT-Sicherheitssysteme (LRZ ist Mitglied)
- AK 02: IT-Sicherheitstechniken und -mechanismen
- AK 03: Evaluationskriterien für IT-Sicherheit
- AK 04: IT-Sicherheitsmaßnahmen und Dienste (LRZ ist Mitglied)
- AK 05: Identititätsmanagement und Datenschutz-Technologien
Als internationales Pendant zu diesem Ausschuss versucht das Sub-Commitee 27 der ISO/IEC JTC 1 (ISO/IEC JTC 1/SC 27), die Entwicklung der Standardisierung der bekannten ISO/IEC 27000 Normenreihe voranzutreiben.
Erwähnenswerte Ergebnisse der Bemühungen im AK-01 waren in der jüngsten Vergangenheit die Veröffentlichung einer überarbeiteten Version des Standards ISO/IEC 27000, in dem im Kontext der Informationsicherheit relevante Begrifflichkeiten (Vokabular) international einheitlich festgelegt wurden. Auch die bekannte Norm ISO/IEC 27001 wurde in mehrjähriger Projektarbeit zum 01.10.2013 in einer aktualisierten Version veröffentlicht. Die dort im Rahmen eines Katalogs definierten Maßnahmen wurden durch einen ebenfalls aktualisierten Code of Practice (ISO/IEC 27002) konkretisiert und dort ausführlich beschrieben. Daneben werden Aktualisierungen der Standards ISO/IEC 27004 (Measurement) und ISO/IEC 27006 (Zertifizierung) vorgenommen, sowie vor allem branchen-spezifische Standards, insbesondere zur Maßnahmendefinition im Bereich Cloud Computing und Smart-Meter, erarbeitet.
Hingegen bildet die Festlegung konkreter Sicherheitsmaßnahmen und Dienste den Tätigkeitsschwerpunkt des AK 04. Nennenswert hierbei sind vor allem die Bereiche Network-Security, der Einsatz von Intrusion Detection Systemen zur Erkennung missbräuchlicher Nutzung von Netzinfrastrukturen und IT-Systemen, die Strukturierung einer effektiven und effizient durchgeführten Sicherheitsvorfallsbearbeitung bis hin zur forensischen Untersuchung kompromittierter Systeme. Das Hauptaugenmerk liegt für das LRZ auf der Standardisierung von Sicherungsverfahren in organisationsübergreifenden Infrastrukturen, insbesondere bezüglich Provider-Kunde-Beziehungen.
Die am LRZ im Security-Bereich tätigen Mitarbeiter profitieren durch ihre aktive Mitarbeit in den nationalen Normierungsgremien davon, frühzeitig über Änderungen informiert zu sein, und vom Wissensaustausch im Bereich Informationssicherheit tätiger Experten.
