IT-Sicherheit/Grundfunktionen
(Weitergeleitet von ISMS/Schutzziele)
Sicherheitsgrundfunktionen - Beschreibung
Beschreibung
Auch
- Sicherheitsgrundfunktionen
- Schutzziele
- Grundwerte der Informationssicherheit
- Motivation und Ziele der Informationssicherheit
- Informationen/Daten sind schützenswerte Güter
- Zugriff beschränkt und kontrolliert
- Nur autorisierte Benutzer oder Programme
- Schutzziele
- Erreichen bzw. Einhalten der Informationssicherheit
- Schutz der Daten vor Angriffen auf und Ausfällen von IT-Systemen
Allgemeine Schutzziele
Schlüsselkonzepte
- CIA - Confidentiality - Integrity - Availability
Herzstück der Informationssicherheit
| Schutzziel | Englisch | Beschreibung |
|---|---|---|
| Vertraulichkeit | Confidentiality | Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung. |
| Integrität | Integrity | Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein. |
| Verfügbarkeit | Availability | Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein. |
Die Mitglieder des klassischen InfoSec-Dreiklangs - Vertraulichkeit, Integrität und Verfügbarkeit - werden in der Literatur auch als Sicherheitsattribute, Eigenschaften, Sicherheitsziele, grundlegende Aspekte, Informationskriterien, kritische Informationsmerkmale und Grundbausteine bezeichnet
- Es wird jedoch weiterhin darüber diskutiert, ob diese CIA-Trias ausreicht, um den sich schnell ändernden technologischen und geschäftlichen Anforderungen gerecht zu werden, wobei empfohlen wird, die Überschneidungen zwischen Verfügbarkeit und Vertraulichkeit sowie die Beziehung zwischen Sicherheit und Datenschutz zu erweitern.
- Der Dreiklang scheint erstmals 1977 in einer NIST-Publikation erwähnt worden zu sein.
- In den 1992 veröffentlichten und 2002 überarbeiteten Guidelines for the Security of Information Systems and Networks der OECD
- die neun allgemein anerkannten Grundsätze vor: Bewusstsein, Verantwortung, Reaktion, Ethik, Demokratie, Risikobewertung, Sicherheitsentwurf und -umsetzung, Sicherheitsmanagement und Neubewertung.
- Darauf aufbauend wurden 2004 in den NISTs Engineering Principles for Information Technology Security 33 Grundsätze vorgeschlagen.
- Aus jedem dieser Grundsätze wurden Leitlinien und Praktiken abgeleitet.
- 1998 schlug Donn Parker ein alternatives Modell für die klassische CIA-Triade vor, das er die Sechs atomare Elemente der Information nannte
- Die Elemente sind Vertraulichkeit, Besitz, Integrität, Authentizität, Verfügbarkeit und Nutzen.
- Die Vorzüge des Parkersche Hexades sind unter Sicherheitsexperten umstritten.
- Im Jahr 2011 veröffentlichte The Open Group den Informationssicherheitsmanagement-Standard O-ISM3
Dieser Standard schlägt eine operationelle Definition der Schlüsselkonzepte der Sicherheit vor, mit Elementen, die als "Sicherheitsziele" bezeichnet werden und sich auf Zugriffskontrolle (9), Verfügbarkeit (3), Datenqualität (1), Compliance und Technik (4) beziehen.
- Im Jahr 2009 hat die DoD Software Protection Initiative die Three Tenets of Cybersecurity veröffentlicht, die die Anfälligkeit des Systems, den Zugang zum Fehler und die Fähigkeit zur Ausnutzung des Fehlers umfassen.
Weitere Forderungen
| Schutzziel | Englisch | Beschreibung |
|---|---|---|
| Authentizität | Authenticity | Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts. |
| Verbindlichkeit/Nichtabstreitbarkeit | Non repudiation | Erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar beispielsweise durch elektronische Signaturen. |
| Zurechenbarkeit | Accountability | Eine Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden |
| Anonymität | ||
| Authentizität | Authenticity | Gesicherte Datenherkunft |
| Überwachung | Zugriff zu Ressourcen | |
| Ordnungsgemäßes Funktionieren | eines IT-Systems | |
| Revisions-Fähigkeit | Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind | |
| Transparenz |
| |
| Resilienz | Resilience | Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen) |
Baukasten
| Option | Beschreibung |
|---|---|
| Authentifizierung | |
| Autorisierung | |
| Backup | |
| Kryptologie | |
| Zugriffsrechte | |
| Beweissicherung | |
| Wiederaufbereitung | |
| Funktionalität | |
| Verfügbarkeit | Maßnahmen: Abwehr von DoS, Priorisierung von Funktionalitäten. |
Bewertungskriterien/Kriterienkataloge stellen Bewertungsschemata zur Verfügung