Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- content:kritis [2025/06/02 14:42] – [Cyber-Security] approve
+++ content:kritis [2025/06/10 17:53] (aktuell) – [Relevante Normen und Richtlinien (unvollständig)] approve
@@ Zeile 29: / Zeile 29: @@
 |[[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html|BSI Standard 200-3]]|2017|Risikoanalyse auf der Basis von IT-Grundschutz|-|
 |[[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html|BSI Standard 200-4]]|2023|Business Continuity Management|-|
-|[[https://www.iso.org/standard/27001|ISO 27001 ff]]|2022|Information security, cybersecurity and privacy protection — Information security management systems|-|
+|[[https://www.dinmedia.de/de/norm/din-en-iso-iec-27001/370680635|ISO 27001 ff]]|2024|Information security, cybersecurity and privacy protection — Information security management systems|-|
 |ISO/IEC 62443|-|Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme|-|
 |[[https://www.kompass-sicherheitsstandards.de|Übersicht für die IT-Sicherheit relevanter Standards]]|-|kompass-sicherheitsstandards|-|
@@ Zeile 199: / Zeile 199: @@
 Im Rahmen der IT-Sicherheit gibt es unterschiedliche Ansätze der Sicherheitsbetrachtung. Diese reichen von Produktuntersucherungen/-zerifizierungen (wie ISO/IEC 15408 oder IEC 62443-4-2) bis hin zu Verfahren die komplexen Systeme (wie IT-Grundschutz, ISO 27001, IEC 62443-2-1) betrachten.
-<code>
--    Werden in den angrenzenden Disziplinen ähnliche oder andere Probleme bearbeitet?
+Eine methodische Zusammenführung ist schwierig, da zwar in beiden Domänen risikobasierte Analysen zum Einsatz kommen, diese jedoch unterschiedliche Ziele verfolgen und mögliche Maßnahmen jeweils zu einem Zielkonflikt zwischen beiden Domänen führen. Zielführend erscheint für den Bereich KRITIS im Bereich des Schutzes vor Naturgefahren und Angriffen die Verknüpfung beider Domänen über das Ziel einer Minimierung der Auswirkungen auf die kritischen Services. Insbesondere ist es hier sinnvoll, Aufwand-Nutzen Analysen durchzuführen, welche in der Lage sind, Maßnahmen beider Domänen zu berücksichtigen. Auf diese Weise kann anhand des gemeinsamen Ziels des Schutzes von KRITIS und möglichen Maßnahmen zur Minderung der Auswirkungen eine gemeinsame Betrachtung beider Domänen durchgeführt werden. Durch diese Fokussierung ist es darüber hinaus auch möglich, im Rahmen einer Kosten-Nutzen Optimierung auch mögliche Zielkonflikte zwischen beiden Domänen zu berücksichtigen. So können unter Berücksichtigung beider Domänen effektive und effiziente Maßnahmenkonzepte entwickelt werden. Die letzten Entwürfe des KRITIS-Dachgesetzes (KRITIS-DG) (Verweis) fordern in diesem Zusammenhang einen Nachweis angemessener Maßnahmen zum Schutz von KRITIS. Diese können sowohl Maßnahmen aus Bereichen der Security, als auch der Safety, bzw. der Resilienz umfassen können.
--    Was sind methodische Unterschiede und Gemeinsamkeiten in verschiedenen Domänen?
--    Wie könnte ein gemeinsamer Nenner für die Quantifizierung von Risiken in Safety- und Security Modellen aussehen?
--    Welches neue Wissen ist erforderlich für eine Synthese der Domänen?
-</code>
 ===== Quellen =====