Aus dem Kurs: Cybersecurity Grundlagen: Grundlegende Konzepte

Sicherheits-Frameworks

Aus dem Kurs: Cybersecurity Grundlagen: Grundlegende Konzepte

Sicherheits-Frameworks

Gut, nun wissen wir, dass eine Sicherheitsarchitektur sich lohnt, auch in finanzieller Hinsicht. Wir haben auch schon gehört, dass wir Management-Tools benutzen können, um die Analyse und die Einführung der Sicherheitsarchitektur zu unterstützen. Aber welche Tools gibt es dafür? Kennen Sie vielleicht schon solche Tools, auch Sicherheitsframeworks genannt? Ich möchte Ihnen nun einige dieser Modelle vorstellen. Eines dieser Tools ist ITIL: Information Technology Infrastructure Library. ITIL ist prozessbezogen. Dabei wird jede Tätigkeit in der IT-Sicherheitsstruktur als ein Schritt innerhalb des Gesamtprozesses gesehen. ITIL ist im europäischen Raum sehr beliebt. Auf ähnliche Art arbeiten noch einige andere Frameworks, wie bspw. ISO/IEC 38500:2015, das von der Internationalen Organisation für Normung und der Internationalen Elektrotechnischen Kommission veröffentlicht wurde. Weiter geht es mit der ISO/IEC 27000-Reihe. Diese Reihe enthält einige Standards, die die IT-Sicherheit im Unternehmen regeln, wie bspw. ISO/IEC 27001. In dieser Norm sind die Anforderungen für ein Informations-Sicherheits- Management-System geregelt. Es gibt auch TOGAF: The Open Group Architecture Framework. Dieses Framework beschäftigt sich in erster Linie mit der Struktur von Organisationen. Damit zeigt es ein Modell auf, mit dem neue Architekturen geplant werden können. Dann haben wir noch das Zachman Framework. Ein High-Level-Modell, das keine Methodik oder Prozesse enthält, sondern sich stattdessen auf Ansichten, Definitionen, Beziehungen und Objekte konzentriert, sowohl physisch als auch konzeptionell. Speziell für Deutschland gibt es noch die IT-Grundschutz-Kataloge. Dies ist eine Sammlung von Dokumenten des BSI: Deutsches Bundesamt für Sicherheit in der Informationstechnik. Das Ziel dieser Dokumente ist, sicherheitsrelevante Schwachstellen zu erkennen und zu bekämpfen. Ein Unternehmen kann auch mithilfe dieser Anweisungen eine Zertifizierung erlangen, die die Eignung der Maßnahmen zur Absicherung der IT-Systeme gegen Bedrohungen bestätigt. Dies alles sind Tools der IT-Governance, also Tools, mit denen Sie den kompletten Prozess der Sicherheitsarchitektur darstellen können. Einige dieser Tools habe ich noch nicht erwähnt. Diese möchte ich in einem späteren Video mit Ihnen genauer betrachten.

Inhalt