www.wikidata.de-de.nina.az

VdS 3473 Die Richtlinien Cyber Security für kleine und mittlere Unternehmen KMU der VdS Schadenverhütung GmbH sind die e

VdS 3473

Die Richtlinien VdS 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU) der VdS Schadenverhütung GmbH sind die ersten VdS-Richtlinien für das Themengebiet Informationssicherheit und wurden im Jahr 2018 durch ihre Nachfolger VdS 10000 abgelöst. Sie enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen. Sie sind speziell für KMU sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern. Die Erstellung der VdS 3473 wurde vom Gesamtverband der Deutschen Versicherungswirtschaft initiiert.

Kennzeichen Bearbeiten

Die VdS 3473 sind aufwärtskompatibel zu ISO/IEC 27001 sowie zu dem IT-Grundschutz. Sie sind 38 Seiten lang, 26 Seiten davon beinhalten konkrete Vorgaben. Sie besitzen eine eindeutige Sprachregelung für die Verbindlichkeit von Vorgaben („muss“ / „darf nicht“ / „sollte“ / „sollte nicht“ / „kann“). Um den Analyseaufwand zu minimieren, unterscheiden die VdS 3473 nur zwischen „nicht kritischen“ und „kritischen“ IT-Ressourcen. Darüber hinaus sind die Kriterien, die zur Einstufung einer IT-Ressource als "kritisch" führen sehr hoch. Für die nicht kritischen IT-Ressourcen ist ein einfacher Basisschutz definiert, der – sofern technisch möglich – umgesetzt werden muss. Wenn sich die umsetzende Organisation gegen die Implementierung einzelner Maßnahmen entscheidet, muss sie eine entsprechende Risikoanalyse und -behandlung vornehmen, um die dadurch entstehenden Risiken zu erfassen und zu behandeln. Für kritische IT-Ressourcen fordern die VdS 3473 erweiterte Sicherheitsmaßnahmen sowie eine individuelle Risikoanalyse und -behandlung.

Die VdS 3473 empfiehlt bei verschiedenen Themen (Identifizieren kritischer IT-Ressourcen, Umgebung, Datensicherung und Archivierung, Verfahren und Risikomanagement) die Implementierung etablierter Normen aus den Bereichen Business Continuity Management, physische IT-Sicherheit, Qualitäts- und Risikomanagement. Allerdings können Unternehmen eigene Vorgehensweisen definieren. Diese müssen jedoch einige wenige Kernaspekte der etablierten Normen umsetzen. Bestandteil der VdS 3473 ist die Etablierung einer Sicherheitsleitlinie, entsprechender Richtlinien und Verfahren sowie die Etablierung eines kontinuierlichen Verbesserungsprozesses.

Entwicklungsgeschichte Bearbeiten

Die Erstellung der VdS 3473 erfolgte durch ein Projektteam aus VdS- und externen Experten ab dem 15. Dezember 2014 mit öffentlicher Beteiligung. Die erfolgten Arbeitsschritte wurden während der gesamten Entwicklungsphase in kurzen zeitlichen Abständen veröffentlicht und so Interessenten die Möglichkeit gegeben, eigene Optimierungen und Änderungswünsche einzubringen. Die VdS-Richtlinien liegen seit dem 1. Juli 2015 in Version 1.0 vor und stehen der Öffentlichkeit kostenlos zur Verfügung.

Am 24. April 2017 wurde von der VdS ein Leitfaden zur Interpretation und Umsetzung der VdS 3473 für Industrielle Automatisierungssysteme als Entwurf veröffentlicht.

Die VdS 3473 wurden im Jahr 2018 überarbeitet und durch die VdS 10000 abgelöst.

Verwandtschaft zur VdS 10010 Bearbeiten

Die VdS 3473 diente als Vorlage für die am 15. Dezember 2017 veröffentlichte VdS 10010 ("VdS-Richtlinien zur Umsetzung der DSGVO"). So sind z. B. Kapitel 1 bis 8 beider Richtlinien nahezu deckungsgleich.

Unterstützende Maßnahmen Bearbeiten

Für die Umsetzung der VdS 3473 kann ein VdS-Zertifikat erlangt werden. Um Organisationen, die ihre Informationssicherheit auf der Basis von VdS 3473 zertifizieren lassen möchten, den Einstieg zu erleichtern, hat VdS zwei vorgeschaltete Instrumente entwickelt.

  • In einer webbasierten Selbstauskunft können Unternehmen einen ersten Überblick über den aktuellen Status ihrer Informationssicherheit gewinnen und sich eventuellen Handlungsbedarf verdeutlichen. Die Selbstauskunft besteht aus 39 Fragen zu den Handlungsfeldern Organisation, Technik, Prävention und Management. Sie schließt mit einer Kurzanalyse inklusive Ampelsystem sowie einem ausführlichen Statusbericht zur Informationssicherheit des ausfüllenden Unternehmens ab. Ein derselben Systematik folgender Quick-Check speziell für Prozessautomatisierungstechnik ist seit der CeBIT 2016 ebenfalls online.
  • Auf den Ergebnissen der Selbstauskunft können Unternehmen in einem optionalen zweiten Schritt ein Audit durchführen lassen. Das meist eintägige Audit wird vor Ort von einem Auditor der VdS Schadenverhütung GmbH durchgeführt, welcher den Status der Informationssicherheit testiert und ggf. weiteren Verbesserungsbedarf ermittelt.

Auszeichnungen Bearbeiten

Die VdS 3473 wurden 2016 mit dem als „Branchenoscar“ des Sicherheitssektors bekannten „Security Innovation Award“ der Weltleitmesse für Schadenverhütung, der „Security“ in Essen, ausgezeichnet.

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. VdS-Richtlinie 3473 Cyber-Security für kleine und mittlere Unternehmen (KMU) (PDF; 239K)
  2. VdS-Richtlinie 3473-1 Cyber-Security für kleine und mittlere Unternehmen (KMU) - Leitfaden zur Interpretation und Umsetzung der VdS 3473 für Industrielle Automatisierungssysteme (PDF; 460K)
  3. Webseite des VdS-Quick-Check
  4. Webseite des VdS-Quick-Check für ICS
  5. Webseite des VdS Quick-Audit
  6. Webseite des „Security Innovation Award“
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Die Richtlinien VdS 3473 Cyber Security fur kleine und mittlere Unternehmen KMU der VdS Schadenverhutung GmbH sind die ersten VdS Richtlinien fur das Themengebiet Informationssicherheit und wurden im Jahr 2018 durch ihre Nachfolger VdS 10000 abgelost Sie enthalten Vorgaben und Hilfestellungen fur die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Massnahmen fur die organisatorische sowie technische Absicherung von IT Infrastrukturen Sie sind speziell fur KMU sowie fur kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung ein angemessenes Schutzniveau zu gewahrleisten ohne sie organisatorisch oder finanziell zu uberfordern Die Erstellung der VdS 3473 wurde vom Gesamtverband der Deutschen Versicherungswirtschaft initiiert Inhaltsverzeichnis 1 Kennzeichen 2 Entwicklungsgeschichte 3 Verwandtschaft zur VdS 10010 4 Unterstutzende Massnahmen 5 Auszeichnungen 6 Weblinks 7 EinzelnachweiseKennzeichen BearbeitenDie VdS 3473 sind aufwartskompatibel zu ISO IEC 27001 sowie zu dem IT Grundschutz Sie sind 38 Seiten lang 26 Seiten davon beinhalten konkrete Vorgaben Sie besitzen eine eindeutige Sprachregelung fur die Verbindlichkeit von Vorgaben muss darf nicht sollte sollte nicht kann Um den Analyseaufwand zu minimieren unterscheiden die VdS 3473 nur zwischen nicht kritischen und kritischen IT Ressourcen Daruber hinaus sind die Kriterien die zur Einstufung einer IT Ressource als kritisch fuhren sehr hoch Fur die nicht kritischen IT Ressourcen ist ein einfacher Basisschutz definiert der sofern technisch moglich umgesetzt werden muss Wenn sich die umsetzende Organisation gegen die Implementierung einzelner Massnahmen entscheidet muss sie eine entsprechende Risikoanalyse und behandlung vornehmen um die dadurch entstehenden Risiken zu erfassen und zu behandeln Fur kritische IT Ressourcen fordern die VdS 3473 erweiterte Sicherheitsmassnahmen sowie eine individuelle Risikoanalyse und behandlung Die VdS 3473 empfiehlt bei verschiedenen Themen Identifizieren kritischer IT Ressourcen Umgebung Datensicherung und Archivierung Verfahren und Risikomanagement die Implementierung etablierter Normen aus den Bereichen Business Continuity Management physische IT Sicherheit Qualitats und Risikomanagement Allerdings konnen Unternehmen eigene Vorgehensweisen definieren Diese mussen jedoch einige wenige Kernaspekte der etablierten Normen umsetzen Bestandteil der VdS 3473 ist die Etablierung einer Sicherheitsleitlinie entsprechender Richtlinien und Verfahren sowie die Etablierung eines kontinuierlichen Verbesserungsprozesses Entwicklungsgeschichte BearbeitenDie Erstellung der VdS 3473 erfolgte durch ein Projektteam aus VdS und externen Experten ab dem 15 Dezember 2014 mit offentlicher Beteiligung Die erfolgten Arbeitsschritte wurden wahrend der gesamten Entwicklungsphase in kurzen zeitlichen Abstanden veroffentlicht und so Interessenten die Moglichkeit gegeben eigene Optimierungen und Anderungswunsche einzubringen Die VdS Richtlinien liegen seit dem 1 Juli 2015 in Version 1 0 vor und stehen der Offentlichkeit kostenlos zur Verfugung 1 Am 24 April 2017 wurde von der VdS ein Leitfaden zur Interpretation und Umsetzung der VdS 3473 fur Industrielle Automatisierungssysteme als Entwurf veroffentlicht 2 Die VdS 3473 wurden im Jahr 2018 uberarbeitet und durch die VdS 10000 abgelost Verwandtschaft zur VdS 10010 BearbeitenDie VdS 3473 diente als Vorlage fur die am 15 Dezember 2017 veroffentlichte VdS 10010 VdS Richtlinien zur Umsetzung der DSGVO So sind z B Kapitel 1 bis 8 beider Richtlinien nahezu deckungsgleich Unterstutzende Massnahmen BearbeitenFur die Umsetzung der VdS 3473 kann ein VdS Zertifikat erlangt werden Um Organisationen die ihre Informationssicherheit auf der Basis von VdS 3473 zertifizieren lassen mochten den Einstieg zu erleichtern hat VdS zwei vorgeschaltete Instrumente entwickelt In einer webbasierten Selbstauskunft 3 konnen Unternehmen einen ersten Uberblick uber den aktuellen Status ihrer Informationssicherheit gewinnen und sich eventuellen Handlungsbedarf verdeutlichen Die Selbstauskunft besteht aus 39 Fragen zu den Handlungsfeldern Organisation Technik Pravention und Management Sie schliesst mit einer Kurzanalyse inklusive Ampelsystem sowie einem ausfuhrlichen Statusbericht zur Informationssicherheit des ausfullenden Unternehmens ab Ein derselben Systematik folgender Quick Check speziell fur Prozessautomatisierungstechnik ist seit der CeBIT 2016 ebenfalls online 4 Auf den Ergebnissen der Selbstauskunft konnen Unternehmen in einem optionalen zweiten Schritt ein Audit durchfuhren lassen 5 Das meist eintagige Audit wird vor Ort von einem Auditor der VdS Schadenverhutung GmbH durchgefuhrt welcher den Status der Informationssicherheit testiert und ggf weiteren Verbesserungsbedarf ermittelt Auszeichnungen BearbeitenDie VdS 3473 wurden 2016 mit dem als Branchenoscar des Sicherheitssektors bekannten Security Innovation Award 6 der Weltleitmesse fur Schadenverhutung der Security in Essen ausgezeichnet Weblinks BearbeitenDer auf VdS 3473 basierende BIEG Leitfaden fur Informationssicherheit in kleinen und mittleren UnternehmenEinzelnachweise Bearbeiten VdS Richtlinie 3473 Cyber Security fur kleine und mittlere Unternehmen KMU PDF 239K VdS Richtlinie 3473 1 Cyber Security fur kleine und mittlere Unternehmen KMU Leitfaden zur Interpretation und Umsetzung der VdS 3473 fur Industrielle Automatisierungssysteme PDF 460K Webseite des VdS Quick Check Webseite des VdS Quick Check fur ICS Webseite des VdS Quick Audit Webseite des Security Innovation Award Abgerufen von https de wikipedia org w index php title VdS 3473 amp oldid 188413383