Definition und Zweck

Die NIST 800-115 bietet Organisationen einen umfassenden Überblick und eine Anleitung zur Durchführung von Sicherheitstests und -bewertungen. Das Dokument soll Organisationen einen strukturierten Ansatz zur Identifizierung von Schwachstellen und Schwächen in ihren Informationssystemen bieten, um die Wirksamkeit von Sicherheitsmaßnahmen zu validieren und die Einhaltung von Sicherheitsrichtlinien und -vorschriften sicherzustellen.

Verantwortliche Organisation

Das National Institute of Standards and Technology (NIST) ist die verantwortliche Institution für die 800er-Serie von Veröffentlichungen, einschließlich NIST 800-115.

Letzte Aktualisierung

Die letzte Aktualisierung wurde im April 2021 veröffentlicht.

Anwendungsbereich

Die NIST 800-115 gilt generell für jede Organisation oder Einrichtung, die Sicherheitstests und -bewertungen ihrer Informationssysteme durchführen möchte. Dies umfasst Regierungsbehörden, private Unternehmen und gemeinnützige Organisationen. Die Richtlinien sind besonders relevant für Einrichtungen, die unter US-amerikanische Bundesvorschriften fallen, aber die Praktiken sind weithin anerkannt und können in verschiedenen Kontexten außerhalb der US-Bundesregierung angewendet werden.

Kontrollen und Anforderungen

NIST 800-115 ist ein Leitfaden und stellt daher keine strengen Kontrollen oder Anforderungen in der gleichen Weise wie ein Compliance-Standard dar. Stattdessen bietet er Methoden, Techniken und Verfahren. Wichtige Schwerpunkte sind unter anderem:

• Planung von Sicherheitsbewertungen
• Durchführung von Sicherheitsbewertungen
• Aktivitäten nach dem Testen
• Schwachstellen-Scanning
• Sicherheitstesttechniken (einschließlich Überprüfungen und Analysen, Bewertungen und Beurteilungen)
• Penetrationstests

Jeder Abschnitt bietet detaillierte Schritte, Empfehlungen und Überlegungen zur effektiven Durchführung der jeweiligen Art von Sicherheitsbewertung.

Bitte beachten Sie die offizielle NIST SP 800-115 Veröffentlichung für weitere Details.

Audittyp, Häufigkeit und Dauer

Da NIST 800-115 ein Leitfaden für die Durchführung von Sicherheitsbewertungen und kein Compliance-Standard ist, gibt er keine spezifischen Audittypen, Häufigkeiten oder Dauern vor.

Stattdessen würden Organisationen diesen Leitfaden nutzen, um ihre eigenen Bewertungs- und Testaktivitäten zu informieren und zu strukturieren. Die Häufigkeit und Dauer dieser Aktivitäten würden von den internen Richtlinien der Organisation, der Art des Informationssystems und den geltenden gesetzlichen Anforderungen abhängen.