Fragen zur Datenrettung ?
Tel. 0234 - 962 90 390

Normen und Empfehlungen

Normen und Empfehlungen

Ecksteine der Informationssicherheit

Im Zuge der Implementierung des technischen Systems und der Zusammenstellung eines entsprechenden Sicherheitsvorschriftensystems für Informatik muss darauf geachtet werden, dass es die Anforderungen erfüllt, die sich aus den entsprechenden Vorschriften der internationalen Normen ergeben.

KUERT hat zertifizierte Berater für alle internationalen Sicherheitsnormen. Es soll im Folgenden ein kurzer Überblick über die am weitesten entwickelten und am meisten akzeptierten Normen gegeben werden.

 

TCSEC

Das Verteidigungsministerium der USA veröffentlichte im Dezember 1985 die Norm „Trusted Computer System Evaluation Criteria“ (Kriterien zur Einschätzung der Sicherheit von Computersystemen), mit der die Sicherheit von Informatiksystemen beurteilt werden kann. Diese Norm ist in den USA nach wie vor gültig und ist bei Informatiksystemen auf Regierungs- oder Militärebene verpflichtend anzuwenden. Die TCSEC ordnet die Informatiksysteme in vier Sicherheitskategorien: Sicherheitsstrategie, Verantwortlichkeit, Versicherung und Dokumentation. Die Systeme werden Innerhalb der einzelnen Kategorien bewertet, wobei die Bezeichnungen D, C1, C2, B1, B2, B3 und A1 verwendet werden. D bedeutet den schlechtesten, A1 den höchsten bewiesenen, individuellen Schutz.

 

ITSEC

Die erste Version des ITSEC (Information Technology Security Evaluation Criteria) - Bewertungskriterien der Sicherheit der Informationstechnologie - wurde 1990 von England, Frankreich, Niederlande und Deutschland gemeinsam erarbeitet, und sollte das Europäische Äquivalent zum TCSEC werden. Die Version 1.2 des ITSEC wurde 1991 für die EU herausgegeben. Die Prinzipien und Forderungen der ITSEC sind grundsätzlich identisch mit denen der TCSEC. Neben den auf gleicher Art bestimmten Kategorien definiert die ITSEC jedoch eigene Sicherheitskategorien für die einzelnen relevanten Arten von Informatiksystemen. Für diese Kategorien werden auch die grundsätzlichen Sicherheitsfunktionen des TCSEC angegeben, es werden jedoch nur die für die jeweilige Systemart charakteristischen Anforderungen hervorgehoben (Basisfunktionen von zuverlässigen Informatiksystemen, Funktionalitätskategorien, Verteidigungsmechanismen, Eignungskriterien und -stufen). 

Common Criteria 2.1 (ISO/IEC 15408:1999)

Anfang der 90iger Jahre wurde mit Unterstützung der EU, der amerikanischen und der kanadischen Regierungen die Common Criteria („Einheitliche Kriterien“) erarbeitet, in der man versuchte die technischen und inhaltlichen Unterschiede der vorherigen Empfehlungen zu harmonisieren. Die Common Criteria 2.0 Version ist 1998 erschienen. (Das Dokument CC2.0 wurde – mit dem gleichen Inhalt – von ISO/IEC  auch unter der Nummer 15408 herausgegeben, mit dem Titel „Common Criteria for Information Technology Security Evaluation, version 2.0”.)

 

Die wichtigsten Charakteristika der Common Criteria:

 

  • Es werden einheitliche Anforderungen festgelegt, unabhängig von der Art der Durchführung.
  • Es bietet eine einheitliche Methodik, die Informatiksysteme und Produkte hinsichtlich Sicherheit zu werten und zu zertifizieren.
  • Es wird ein aus vielschichtigen Kategorien bestehender Katalog der Sicherheitsansprüche der Informatiksysteme definiert.
  • Die Norm ist sowohl für Software als auch für Hardware einsetzbar.
  • Hinsichtlich der Produkte besteht Flexibilität, da die Anforderungen weder hardware- noch softwarespezifisch sind.
  • Die Funktionalität der Sicherheit (in der Terminologie des CC: das Verteidigungsprofil) kann definiert, und einer der sieben Verteidigungsebenen der CC (Evaluation Assurance Level: EAL) zugeordnet werden.
     

ITIL 2. (BS 15000:2000)

Die Methodik der ITIL (IT Infrastructure Library) wurde von den Mitarbeitern der CCTA (Central Computing and Telecommunications Agency – Zentrale Agentur für Informatik und Telekommunikation) entwickelt, um kosteneffektive Informatikdienstleistungen guter Qualität zu unterstützen. ITIL beschreibt die Gestaltung von Dienstleistungsmanagementfunktionen in ihrem ganzen Lebenszyklus: Planung, Einführung, Betrieb und Einführung einer neuen Dienstleistung. Die ITIL ist eine konsequente und umfassende Dokumentation, die eine Sammlung von in der Informatikbranche akzeptierten Verfahren und vorbildlichen Methoden auf dem Gebiet des Managements von Informatikdienstleistungen enthält. In den letzten Zeiten hat sich eine vollständige ITIL-Philosophie entwickelt, die eine entsprechende Richtlinie anbieten will IT-Systeme sicher zu machen.

 

BS 7799-1 (ISO/IEC 17799:2000)

Die zweite international akzeptierte und anerkannte Norm, neben der Common Criteria, ist die BS7799, herausgegeben vom British Standard Institute. Die BS7799 (Code of practice for Information Security Management) unterscheidet sich von den früheren Empfehlungen der Informatiksicherheit indem sie die Sicherheitsanforderungen und Maßnahmen aus den wirtschaftlichen Zielen und Strategien des Unternehmens ableitet. Die frühere, produktorientierte Ansatzweise wird ersetzt durch einen Ansatz mit Schwerpunkt auf das IT-Sicherheitsmanagement. Die Norm BS7799 legt keine Anforderungen fest,  stellt aber ein Organisations- und Regelsystem für eine vollständige Informatiksicherheit vor – ähnlich wie ISO9000 für das Gebiet der Qualitätssicherung.

 

BS 7799-2

Viele, die versuchten, die Normen der 1995 erschienenen BS7799 anzuwenden, hatten das Gefühl, dass weder der Aufbau noch der Inhalt ihren Erwartungen entsprach. Als Ergänzung zum ersten Teil erschien 1998 die BS7799-2 mit dem Titel „Specification for Information Security Management Systems“. Der Teil 2 ist eine britische Norm, die auch von einigen europäischen Ländern und Geldinstituten übernommen wurde. Er legt die Anforderungen zur Einführung und Dokumentation des Managementsystems der Informationssicherheit (ISMS – Information Security Management System) fest. Ferner werden Maßnahmen für die Informatiksicherheit auf Organisationsebene, auf Basis umfassender Risikoanalysen, vorgeschlagen.

 

ISO 9000-3

Die schwierigsten Gebiete hinsichtlich der Normierung sind die Softwareentwicklung und Softwarewartung. Der Grund dafür ist, dass die Verfahren der Softwareentwicklung und –wartung sich stark von den entsprechenden Verfahren bei anderen industriellen Produkten unterscheiden. Da sich dieses Gebiet ständig rasch weiter entwickelt, ist es notwendig allen Systemen in denen Softwareprodukte involviert sind, ergänzende Richtlinien beiseite zu stellen. Es liegt in der Natur der Softwareentwicklung, dass bestimmte Tätigkeiten nur mit bestimmten Phasen der Entwicklung verbunden sind, manche andere können aber während des ganzen Verfahrens eingesetzt  werden. Der strukturelle Aufbau der Vorschriften von ISO 9000-3 spiegelt diese Unterschiede wieder. Die Struktur dieser Norm entspricht somit dem Aufbau der Norm ISO9001 nicht, sie wurde daher mit Querverweisen ausgestattet, die die Bezugnahme auf ISO9001 erleichtern.

 

COBIT 3

Die dritte internationale Norm, neben der Common Criteria und der BS7799, die die Entwicklung und die Sicherung von Informatiksystemen ermöglicht, ist die COBIT (Control Objectives for Information and Related Technology). Die COBIT ist eine Sammlung international akzeptierter Kontrollziele, die allgemein einsetzbar sind. Bei der Erarbeitung von COBIT wurden die Standpunkte dreier unterschiedlicher Gruppen berücksichtigt:

 

  • Sie hilft dem Management bei der Risikoeinschätzung in einer sich ständig ändernden Umgebung, sowie bei der Erwägung der Investitionen die zur Herstellung der Kontrolle nötig sind.
  • Sie bietet den Anwendern die Kontrolle und Sicherheit der Informatikdienstleistungen.
  • Sie schafft den Kontrollern des Informationssystems eine einheitliche Grundlage für die Bewertung der inneren Kontrollen und für die vom Management gewünschte Beratungstätigkeit.
  • Datenrettung Festplatte
  • Raid - NAS Datenrettung
  • Datenrettung vom Datenretter
  • Philosophie
image Datenrettung im Reinraum

Festplatten reparieren im Reinraum der Klasse-100

Die Datenambulanz bietet ihren Kunden und Fachhandelspartnern viele Vorteile. Ob nun Datenrettung im Reinraum, kostenlose Analyse der Festplatte oder eine komfortable Übersicht bezüglich der geretteten Daten durch den KUERT-Listviewer. Wir können mehr als nur "Daten retten" und beweisen dies täglich. 

Mehr erfahren
 

Datenrettung von RAID und NAS - System

Die Datenwiederherstellung und Datenrettung von RAID-basierten Speichersystemen blickt auf eine langjährige Tradition bei der Datenambulanz von KUERT zurück.

Weiterlesen
image Raid NAS und Server Datenrettung
 
 

Datenrettung vom Datenretter

Datenrettung - Ursachen für Datenverlust

Ein kritischer Verlust an Daten und Informationen kann vielfältige Ursachen haben. Neben dem Head-Crash von Festplatten können dies auch logische Defekte, wie zum Beispiel der Partitionstabelle sein. Bei der Mehrzahl der Datenrettungsfälle, die durch die Datenambulanz bearbeitet werden, sind in der Regel physikalische Beschädigungen ursächlich für den Ausfall des Speichermediums.

Weitere Informationen
 

Daten retten - Unsere Philosophie

Es gibt nichts gutes - Außer man tut es

Wir waren das erste Datenrettungsunternehmen welches die kostenlose Festplatten-Analyse eingeführt hat, welches eine Datenrettung zum Festpreis eingeführt hat, welches Datenrettungen zur Weihnachtszeit im Rahmen einer Charity-Aktion komplett kostenlos anbietet und sind die ersten mit responsiven Webdesign. Wir suchen nach Mitteln und Wegen, jedem Kunden eine Rettung seiner wertvollen Daten erschwinglich zu machen.

Zu unseren Festpreis-Angeboten