ISMS/Schutzziele: Unterschied zwischen den Versionen

Aus Foxwiki
K Dirkwagner verschob die Seite Informationssicherheit/Schutzziele nach ISMS/Schutzziele: Textersetzung - „Informationssicherheit“ durch „ISMS“
 
(39 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Grundwerte der Informationssicherheit
#WEITERLEITUNG [[IT-Sicherheit/Grundfunktionen]]
 
== Beschreibung ==
; Klassische Grundwerte der Informationssicherheit
{|
| [[Vertraulichkeit]] ||
|-
| [[Verfügbarkeit]] ||
|-
| [[Integrität]] ||
|}
 
== Motivation und Ziele der Informationssicherheit ==
; Informationen (oder Daten) sind schützenswerte Güter.
* Der Zugriff auf diese sollte beschränkt und kontrolliert sein
* Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen.
 
''[[Schutzziele (Informationssicherheit)|Schutzziele]]'' werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert:
 
; Die Allgemeine Schutzziele sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt:
* ''[[Vertraulichkeit]]'' (englisch: ''confidentiality''): Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der [[Datenübertragung]].
* ''[[Integrität (Informationssicherheit)|Integrität]]'' (englisch: ''integrity''): Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
* ''[[Verfügbarkeit]]'' (englisch: ''availability''): Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
 
Weitere Schutzziele der Informationssicherheit:
* ''[[Authentizität]]'' (englisch: ''authenticity'') bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
* ''Verbindlichkeit/Nichtabstreitbarkeit'' (englisch: ''non repudiation''): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.<ref name="unibr_itsec05-0a_F25" /> Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch [[elektronische Signatur]]en.
* ''Zurechenbarkeit'' (englisch: ''accountability''): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
* in bestimmtem Kontext (zum Beispiel im Internet) auch ''[[Anonymität]]''
 
Besonderes Schutzziel im Zuge der [[Datenschutz-Grundverordnung|DSGVO]]:
* ''Resilienz'' (englisch: ''resilience''): Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
 
; Jedes noch so gut geplante und umgesetzte IT-System kann [[Sicherheitslücke|Schwachstellen]] besitzen.
* Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System ''[[Verwundbarkeit|verwundbar]]''.
* Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: ''threat'').
* Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale [[Unternehmenswert]]e, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
* Jede mögliche Bedrohung ist ein ''[[Risiko]]'' (englisch: ''risk'') für das Unternehmen.
* Unternehmungen versuchen durch die Verwendung eines [[Risikomanagement]]s (englisch: ''risk management'') die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.
Nach einer ''[[Risikoanalyse]]'' und ''Bewertung'' der unternehmensspezifischen IT-Systeme können entsprechende ''Schutzziele'' definiert werden.
* Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen [[Geschäftsprozess]]e eines Unternehmens.
* Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
* Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
 
; Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender ''IT-Sicherheitsstandards'' statt.
* Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
* Mit Hilfe des ''[[ISO/IEC 27001]]''- oder des ''[[IT-Grundschutz]]''-Standards wird mit anerkannten Regeln versucht, die Komplexität [[Soziotechnisches System|soziotechnischer Systeme]] für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
 
== Weitere Forderungen ==
{|
| Authentizität (Authenticity)‏ || Gesicherte Datenherkunft
|-
| Überwachung || des Zugriffs zu Ressourcen
|-
| Ordnungsgemäßes Funktionieren || eines IT-Systems
|-
| Revisions-Fähigkeit || Organisation des Verfahrens
* Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
|-
| Transparenz || IT-Verfahren ist nachvollziehbar
* für Sachkundige
* in zumutbarer Zeit
* mit zumutbarem Aufwand
Setzt eine aktuelle und angemessene Dokumentation voraus
|}
 
<noinclude>
[[Kategorie:Sicherheit/Grundwerte]]
</noinclude>

Aktuelle Version vom 17. September 2024, 10:04 Uhr