DIN EN ISO/IEC 27011 definiert Richtlinien, welche die Implementierung von Informationssicherheitsmaßnahmen in Telekommunikationsorganisationen unterstützen.

Durch die Anwendung dieser Norm können Telekommunikationsunternehmen die grundlegenden Anforderungen an das Informationssicherheitsmanagement hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und anderer relevanter Sicherheitseigenschaften erfüllen.

Inhalt

Nationales Vorwort
Europäisches Vorwort
Anerkennungsnotiz
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe und Abkürzungen

Begriffe

• Co-Lokation
• Kommunikationszentrale
• kritische Kommunikation
• Geheimhaltung von Kommunikation
• priorisierte Kommunikation
• Telekommunikationsanwendung
• Telekommunikationsgeschäft
• Raum für Telekommunikationsbetriebsmittel
• Telekommunikationseinrichtung
• Telekommunikationsorganisation
• Telekommunikationsaufzeichnung
• Telekommunikationsdienstleistung
• Kunde von Telekommunikationsdienstleistungen
• Anwender von Telekommunikationsdienstleistungen
• Endstelleneinrichtung
• Anwender

Abkürzungen

4 Übersicht

Aufbau dieser Empfehlung | Internationalen Norm

Informationssicherheits-Managementsysteme in Telekommunikationsorganisationen

• Ziel
• Sicherheitsbetrachtungen in der Telekommunikation
• Zu schützende Informationswerte
• Einrichtung des Informationssicherheitsmanagements
  • Bestimmung der Sicherheitsanforderungen
  • Beurteilung von Sicherheitsrisiken
  • Auswahl von Maßnahmen

5 Informationssicherheitsrichtlinien

6 Organisation der Informationssicherheit

Interne Organisation

• Informationssicherheitsrollen und -verantwortlichkeiten
• Aufgabentrennung
• Kontakt mit Behörden
• Kontakt mit speziellen Interessensgruppen
• Informationssicherheit im Projektmanagement

Mobilgeräte und Telearbeit

7 Personalsicherheit

Vor der Beschäftigung

• Sicherheitsüberprüfung
• Beschäftigungs- und Vertragsbedingungen

Während der Beschäftigung

Beendigung oder Änderung der Beschäftigung

8 Verwaltung der Werte

Verantwortlichkeit für Werte

• Inventarisierung der Werte
• Zuständigkeit für Werte
• Zulässiger Gebrauch von Werten
• Rückgabe von Werten

Informationsklassifizierung

• Leitlinien für die Klassifizierung
• Kennzeichnung von Information
• Handhabung von Werten

Handhabung von Datenträgern

9 Zugangssteuerung

Geschäftsanforderungen an die Zugangsteuerung

• Zugangssteuerungsrichtlinie
• Zugang zu Netzwerken und Netzwerkdiensten

Benutzerzugangsverwaltung

Benutzerverantwortlichkeiten

Zugangssteuerung für Systeme und Anwendungen

10 Kryptographie

11 Physische und umgebungsbezogene Sicherheit

Sicherheitsbereiche

• Physische Sicherheitsperimeter
• Physische Zutrittssteuerung
• Sichern von Büros, Räumen und Einrichtungen
• Schutz vor externen und umweltbedingten Bedrohungen
• Arbeiten in Sicherheitsbereichen
• Anlieferungs- und Ladebereiche

Geräte und Betriebsmittel

• Platzierung und Schutz von Geräten und Betriebsmitteln
• Versorgungseinrichtungen
• Sicherheit der Verkabelung
• Instandhaltung von Geräten und Betriebsmitteln
• Entfernen von Werten
• Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten
• Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
• Unbeaufsichtigte Benutzergeräte
• Richtlinien für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren

12 Betriebssicherheit

Betriebsabläufe und –verantwortlichkeiten

• Dokumentierte Betriebsabläufe
• Änderungssteuerung
• Kapazitätssteuerung
• Trennung von Entwicklungs-, Test- und Betriebsumgebungen

Schutz vor Schadsoftware

Datensicherung

Protokollierung und Überwachung

• Ereignisprotokollierung
• Schutz der Protokollinformation
• Administratoren- und Bedienerprotokolle
• Uhrensynchronisation

Steuerung von Software im Betrieb

• Installation von Software auf Systemen im Betrieb

Handhabung technischer SchwachstellenUnterkapitel anzeigen

• Handhabung von technischen Schwachstellen
• Einschränkungen von Softwareinstallation

Audits von Informationssystemen

13 Kommunikationssicherheit

Netzwerksicherheitsmanagement

• Netzwerksteuerungsmaßnahmen
• Sicherheit von Netzwerkdiensten
• Trennung in Netzwerken

Informationsübertragung

• Richtlinien und Verfahren für die Informationsübertragung
• Vereinbarungen zur Informationsübertragung
• Elektronische Nachrichtenübermittlung
• Vertraulichkeits- oder Geheimhaltungsvereinbarungen

14 Anschaffung, Entwicklung und Instandhaltung von Systemen

• Sicherheitsanforderungen an Informationssysteme
• Sicherheit in Entwicklungs- und Unterstützungsprozessen
• Testdaten

15 Lieferantenbeziehungen

Informationssicherheit in Lieferantenbeziehungen

• Informationssicherheitsrichtlinie für Lieferantenbeziehungen
• Behandlung von Sicherheit in Lieferantenvereinbarungen
• Lieferkette für Informations- und Kommunikationstechnologie

Steuerung der Dienstleistungserbringung von Lieferanten

16 Handhabung von Informationssicherheitsvorfällen

Handhabung von Informationssicherheitsvorfällen und -verbesserungen

• Verantwortlichkeiten und Verfahren
• Meldung von Informationssicherheitsereignissen
• Meldung von Schwächen in der Sicherheit
• Beurteilung von und Entscheidung über Informationssicherheitsereignisse
• Reaktion auf Informationssicherheitsvorfälle
• Erkenntnisse aus Informationssicherheitsvorfällen
• Sammeln von Beweismaterial

17 Informationssicherheitsaspekte beim Business Continuity Management

Aufrechterhalten der Informationssicherheit

• Planung zur Aufrechterhaltung der Informationssicherheit
• Umsetzung der Aufrechterhaltung der Informationssicherheit
• Überprüfen und Bewerten der Aufrechterhaltung der Informationssicherheit

Redundanzen

• Verfügbarkeit von informationsverarbeitenden Einrichtungen

18 Compliance

Anhang 1 - Telekommunikationsspezifischer Maßnahmenkatalog (normativ)

Zugangssteuerung

• Steuerung des Netzwerkzugangs
  • Identifizierung und Authentifizierung von Telekommunikationsbetreibern durch Benutzer

Physische und umgebungsbezogene Sicherheit

• Sicherheitsbereiche
  • Sichern von Kommunikationszentralen
  • Sichern von Räumen für Telekommunikationsbetriebsmittel
  • Sichern von physisch isolierten Betriebsbereichen
• Sicherheit im Verantwortungsbereich von Dritten
  • In Liegenschaften von anderen Betreibern befindliche Betriebsmittel
  • In Liegenschaften von Anwendern befindliche Betriebsmittel
  • Verknüpfte Telekommunikationsdienstleistungen

KommunikationssicherheitUnterkapitel anzeigen

• Netzwerksicherheitsmanagement
  • Sicherheitsmanagement bei der Bereitstellung von Telekommunikationsdienstleistungen
  • Reaktion auf Spam
  • Reaktion auf DoS- / DDoS-Angriffe

Compliance

• Einhaltung gesetzlicher und vertraglicher Anforderungen
  • Geheimhaltung von Kommunikation
  • Kritische Kommunikation
  • Rechtmäßigkeit von Notfallmaßnahmen

Anhang 2 - Weitere Leitlinien für die Netzwerksicherheit (informativ)

Sicherheitsmaßnahmen zum Schutz vor Netzwerkangriffen

• Schutz vor Netzwerkangriffen
• Anwender informieren

Netzwerksicherheitsmaßnahmen zum Schutz vor Netzwerküberlastung

• Sammeln von Informationen
• Maßnahmen gegen Netzwerküberlastungen

Literaturhinweise

Literaturhinweise (informativ)