B3S – Branchenspezifische Sicherheitsstandards
Bei B3S handelt es sich um “Branchenspezifischen Sicherheitsstandards”, die durch KRITIS-Betreiber oder deren Verbände definiert werden. B3S definieren Anforderungen um den “Stand der Technik” zu erfüllen. Eine Pflicht zur Definition eines B3S existiert nicht. Jedoch werden die Branchen durch B3S in die Lage versetzt eigene Vorgaben zum “Stand der Technik” zu formulieren. Für Betreiber kritischer Anlagen besteht ferner Rechtsicherheit über den “Stand der Technik” sofern sie sich nach einem B3S prüfen lassen.
C5 – Cloud Computing Compliance Criteria Catalogue
Der C5-Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) ist ein Regelwerk, das Mindestanforderungen für sicheres Cloud Computing festlegt. Er wurde 2016 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht. Der Katalog richtet sich vor allem an professionelle Cloud-Anbieter sowie deren Prüfer und Kunden. Ziel des C5-Kriterienkatalogs ist es, Standards und Richtlinien für die Sicherheit von Cloud-Diensten bereitzustellen. Er hilft dabei, sicherzustellen, dass Cloud-Anbieter Mindestanforderungen erfüllen, um Vertraulichkeit, Integrität und Verfügbarkeit von Daten in der Cloud zu gewährleisten. Der C5-Kriterienkatalog wird als Leitfaden für die Auswahl von Cloud-Dienstleistern genutzt. Er unterstützt Kunden dabei, die Sicherheitspraktiken von Cloud-Anbietern zu bewerten. Er bildet die Grundlage für ein kundenspezifisches Risikomanagement im Umgang mit Cloud-Services. Der Katalog wurde im Jahr 2019 grundlegend überarbeitet. Beispiele Quellen https://www.bsi.bund.de/dok/7685384 https://aws.amazon.com/de/compliance/bsi-c5/ https://cloud.google.com/security/compliance/bsi-c5?hl=de https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CloudComputing/Anforderungskatalog/2020/C5_2020.pdf?__blob=publicationFile&v=2
ISO 27001
ISO Norm der Reihe 2700X. Sie ist eine internationale Norm für Informationssicherheitsmanagement in der Informationstechnologie (IT). Sie legt Anforderungen fest, die Organisationen bei der Einrichtung, Umsetzung, Aufrechterhaltung und Verbesserung ihres Informationssicherheits-Managementsystems (ISMS) berücksichtigen müssen. Sie legt fest, dass Sicherheitsmechanismen entsprechend den individuellen Gegebenheiten der Organisation implementiert werden sollen. Die Anforderungen der Norm umfassen die Bewertung und Behandlung von Informationssicherheitsrisiken, die an die spezifischen Bedürfnisse der Organisation angepasst werden sollen. Die ISO/IEC 27001:2005 wurde entwickelt, um die Auswahl angemessener Sicherheitsmechanismen sicherzustellen, die sämtliche Werte (Assets) in den Wertschöpfungsketten schützen und das Gesamtrisiko des Geschäfts der Organisation berücksichtigen (siehe Scope der ISO/IEC 27001). Quellen