Normung von IT-Sicherheitsverfahren

Die querschnittliche Normung von Grundlagen der IT-Sicherheit ist eines der Anliegen der Fachgruppe Evaluation, Zertifizierung, Qualitätssicherung, Normung (EZQN). Verschiedene Mitglieder der FG EZQN arbeiten über ihre jeweils autorisierenden Stellen unmittelbar als Interessierte Kreise an der Normung von IT-Sicherheitsverfahren mit.

Der Begriff der "IT-Sicherheitsverfahren" entstammt der technischen Normung und ist inhaltlich eng mit den Arbeitsgebieten der technischen Informationssicherheit bzw. IT-Sicherheit verbunden.

IT-Sicherheitsverfahren bzw. "IT Security Techniques" besitzen im Bereich der Informations- und Kommunikationstechnologie (IKT) eine erhebliche Bedeutung, was auch durch begriffliche (aber nicht unbedingt inhaltliche) Neuschöpfungen wie "Cyber-Security" reflektiert wird. Im Zusammenspiel mit "Cyber-physical Systems", einschließlich Autos und Luftfahrzeugen sowie in der Automation, ergeben sich neuerdings zusätzliche Aspekte, die innovative Fragen aufwerfen und auch neue Ansätze für die angemessene Normung von IT-Sicherheitsverfahren und die Interoperabilität erfordern.

Der Aufgabenbereich des DIN Arbeitsausschusses NA 043-01-27 AA bzw. des DIN NIA-01-27 AA "IT-Sicherheitsverfahren" umfasst die Erarbeitung von Normen für generische Methoden und Techniken für die IT-Sicherheit, was Verfahren aus dem Bereich "Cyber-Security" einschließt. Traditionell sind verschiedene Fachexperten des DIN NIA-01-27 AA auch gleichzeitig Mitglieder der GI-Fachgruppe EZQN woraus eine langjährige, nicht nur fachlich erfolgreiche, intensive Zusammenarbeit entstanden ist. Vom thematisch breit gefächerten Arbeitsgebiet des fachlich übergeordneten Normenausschusses Informationstechnik und Anwendungen (DIN NIA) und des DIN NIA-01-27 AA her bestehen zahlreiche Querverbindungen in fast alle Fachgruppen des Fachbereichs "Sicherheit - Schutz und Zuverlässigkeit" der Gesellschaft für Informatik.

Der DIN NIA-01-27 AA "IT-Sicherheitsverfahren" spiegelt auf nationaler Ebene das internationale Komitee ISO/IEC JTC 1/SC 27 "Information Technology – Security Techniques" und nimmt als deutsche Delegation regelmäßig an den jeweiligen Arbeitstreffen bzw. -konferenzen teil. Getrennt davon stellt Deutschland den Chairman (Bundesdruckerei) sowie das Sekretariat (DIN) für das Internationale Normungskomitee ISO/IEC JTC 1/SC 27  "Information Technology - Security Techniques", wobei diese übergeordneten Rollen getrennt und unabhängig von der Ausschussarbeit sowie für alle an SC 27 beteiligten Nationen unparteiisch und im Rahmen der ISO/IEC-Direktiven als Geschäftsordnung wahrgenommen werden.

In seinen Aktivitäten orientiert sich der DIN NIA-01-27 AA mehrheitlich am Arbeitsprogramm von ISO/IEC JTC 1/SC 27 und arbeitet an der Mehrzahl internationaler Projekte intensiv mit. Aus Deutschland nehmen regelmäßig etwa 15 Experten an den internationalen Arbeitskonferenzen des SC 27 teil, davon ungefähr 10 als Editoren und Leiter von internationalen Projekten. Aufgabe der deutschen Delegation ist dabei vor allem auch die Verfolgung von im vorher im Konsensverfahren des DIN definierten Zielen der deutschen Interessierten Kreise.

Der DIN Arbeitsausschuss NIA-01-27 AA "IT-Sicherheitsverfahren" hat in den letzten Jahren weitere Zuständigkeiten auch über das Arbeitsgebiet des SC 27 hinaus erhalten und führt nun ebenfalls nationale bzw. deutsche Normungsprojekte durch, die oft genug mit dem Ziel einer beschleunigten Einbringung für ein internationales Projekt entstehen. Darüber hinaus werden auch einzelne Projekte aus IEC und ETSI bzw. CEN/CENELEC vom DIN NIA-01-27 AA überwiegend eigenverantwortlich betreut, was u.a. in Absprache mit der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik im DIN und VDE geschieht.

 

Struktur des DIN NIA-01-27 AA

Kürzel

Spiegelgremium im deutschen Normenausschuss

Kürzel

Internationales Gremium - ISO/IEC Subcommittee

NIA 27

NA 043-01-27 AA IT-Sicherheitsverfahren

SC 27

ISO/IEC JTC 1/SC 27 IT-Security Techniques

01 AK

NA 043-01-27-01 AK
Anforderungen, Dienste und Richtlinien
für IT-Sicherheitssysteme

WG 1

ISO/IEC JTC 1/SC 27/WG 1
Information security management systems

02 AK

NA 043-01-27-02 AK
IT-Sicherheitstechniken und -mechanismen

WG 2

ISO/IEC JTC 1/SC 27/WG 2
Cryptography and security mechanisms

03 AK

NA 043-01-27-03 AK
Evaluationskriterien für IT-Sicherheit

WG 3

ISO/IEC JTC 1/SC 27/WG 3
Security Evaluation, Testing and Specification

04 AK

NA 043-01-27-04 AK
IT-Sicherheitsmaßnahmen und Dienste

WG 4

ISO/IEC JTC 1/SC 27/WG 4
Security controls and services

05 AK

NA 043-01-27-5 AK
Identitätsmanagement und Datenschutz-Technologien

WG 5

ISO/IEC JTC 1/SC 27/WG 5
Identity management and privacy technologies