Was gibt es noch? Z.B. die NIST 800-53

Neben dem BSI-Grundschutz gibt es auch andere Frameworks zur Informationssicherheit

In Deutschland ist der BSI-Grundschutz führend. In anderen Ländern gibt es andere Richtlinien. Werfen wir einen Blick über den Teich und entdecken die NIST 800-53

InformationssicherheitBlogThema

Die NIST 800-53 stellt einen Leitlinien für Unternehmen in der USA dar. Sie bietet einen Katalog von Sicherheitskontrollen für alle US-Bundesinformationssysteme mit Ausnahme derjenigen, die sich auf die nationale Sicherheit beziehen. NIST steht übrigens für National Institute of Standards and Technology.

Inhaltliches

Diese Leitlinie umfasst das Risikomanagement-Rahmenwerk, das Risiken aus der Worst-Case-Auswirkungsanalyse adressiert. NIST hat diese Sonderpublikation erstellt, um Bundesbehörden bei der Umsetzung des Federal Information Security Management Act von 2002 oder FISMA zu unterstützen und eine kostengünstige Standardisierung zu schaffen. Während alle Bundesbehörden es verwenden müssen, sollten Organisationen, die mit der Bundesregierung Geschäfte machen möchten, dieses Rahmenwerk verwenden, um eine ähnliche Sorgfalt bei der Sicherheit zu zeigen.

Verfügbarkeit

Die Leitlinie steht jeder Organisation zur Verfügung, die es verwenden möchte. Die Struktur von NIST 800-53 stimmt mit Management-, Betriebs- und technischen Sicherheitsvorkehrungen überein, die zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) von Systemen, Informationen und Daten vorgeschrieben sind. Es gibt 17 Kontrollfamilien unter dem NIST-Framework.

Kontrollen

Managementsicherheit ist das Gesamtkonzept Ihrer Kontrollen. Sie bieten Anleitungen für die Implementierung Ihrer Sicherheitskontrollen. Beispiele hierfür sind Dinge wie das Durchführen von Bewertungen und die Einführung eines Prozesses zum Erwerb neuer Systeme oder Dienste. Betriebssicherheit ist die Wirksamkeit Ihrer Kontrollen. Es umfasst Dinge wie die Implementierung und die Sicherheitsarchitektur, nachdem der anfängliche Aufbau eines Systems abgeschlossen ist. Zu diesen Kontrollen gehören Anleitungen zur Konfiguration Ihres Systems, zur Wartung und zur Sicherstellung seiner fortlaufenden Integrität sowie zur Schulung Ihrer Mitarbeiter. Technische Sicherheit ist der Schutz von Systemen auf Hardware-, Software- oder Firmware-Ebene vor Bedrohungen, die den CIA der Systeme oder Daten beeinträchtigen könnten. Diese Kontrollen umgeben Ihren Systemschutz wie Zugriffskontrolle, Authentifizierung und System- und Kommunikationsschutz.

Weitergehend

Zusätzlich zum NIST 800-53-Framework bietet NIST eine Sonderpublikation 800-30 an, die ein Leitfaden für die Durchführung von Risikobewertungen ist. Es ist ein umfassender Überblick über Terminologie, Risikofaktoren und Wartezeiten, den Sie verwenden können, um Eurem Unternehmen über Risiken aufzuklären. Es steht jedem, der es nutzen möchte, kostenlos zur Verfügung.

Fazit

Die NIST hat einen breiteren Fokus als der BSI-Grundschutz und eignet als Ergänzung zu diesem.