a11r - rant machine?

Ursprünglich vom Massachusetts Institute of Technology (MIT) als "Generally Accepted System Security Principles (GASSP)" entwickelt, wurden diese im September 2002 von der Information Systems Security Association (ISSA) übernommen und folgend als "Generally Accepted Information Security Principles (GAISP)" fortgeschrieben. Derzeit ist die Draft Version 3.0 vom Mai 2004 aktuell.

Während existierende Standards wie CobiT und ISO/EIC 17799 ziel-orientiert arbeiten, sie also Sicherheitsziele und -richtlinien setzen, definieren diese jedoch keine konkreten Umsetzungsmechanismen; ein Ziel, welches sich die GAISP in Form von "Best Practices" vorgenommen haben.

Dafür nutzt GAISP drei Ebenen von Richtlinien:

die neun "Pervasive Principles", welche als "oberste" Ebene das Management adressieren und die Konformität mit gesetzlichen Regelungen suchen;

die 14 "Broad Functional Principles", welche sich an die IT-Verantwortlichen richten und im Stil an die ISO 17799 angelehnt sind. Hier werden verstärkt technische Begebenheiten angesprochen, wie z.B. "Access Control" oder "Network and Internet Security"; sowie schliesslich

die "Detailed Principles", welche sich derzeit in der Erarbeitung befinden. Hier sollen Schutzmassnahmen für konkrete Situationen für den entsprechenden IT-Spezialisten entstehen, die diese für ihre tägliche Arbeit nutzen und umsetzen können und sollten.

Dabei soll jedoch nicht erneut ein vollständig neues Regelwerk erzeugt werden, sondern dem Anwender Gründe, Beispiele, Kreuzreferenzen und detaillierte Anleitungen - auch durch Verweise auf existierende Alternativstandards - zur Verfügung gestellt werden.

Aufgrund der jedoch quasi nicht vorhandenen Aktivität muss man davon ausgehen, das sich dieses Projekt totgelaufen hat.

Links:
http://www.issa.org/gaisp/
http://www.issa.org/gaisp/_pdfs/v30.pdf (aktueller Draft)
http://infosecuritymag.techtarget.com/2003/may/gaisp.shtml