ISMS/Schutzziele: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
K Dirkwagner verschob die Seite Informationssicherheit/Schutzziele nach ISMS/Schutzziele: Textersetzung - „Informationssicherheit“ durch „ISMS“
 
(16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Grundwerte der Informationssicherheit
#WEITERLEITUNG [[IT-Sicherheit/Grundfunktionen]]
 
'''topic''' - Kurzbeschreibung
== Beschreibung ==
; Motivation und Ziele der Informationssicherheit
Informationen (oder Daten) sind schützenswerte Güter.
* Der Zugriff auf diese sollte beschränkt und kontrolliert sein
* Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen.
 
''[[Schutzziele (Informationssicherheit)|Schutzziele]]'' werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert.
 
== Allgemeine Schutzziele ==
; Auch als CIA bekannt
* Nach ihren englischen Abkürzungen
{| class="wikitable options"
|-
! Schutzziel !! Englisch !! Beschreibung
|-
| [[Vertraulichkeit]] || '''C'''onfidentiality || Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der [[Datenübertragung]].
|-
| [[Integrität (Informationssicherheit)|Integrität]] || '''I'''ntegrity || Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
|-
|| [[Verfügbarkeit]] || '''A'''vailability || Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
|-
| [[Authentizität]] || Authenticity || Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
|-
| Verbindlichkeit/Nichtabstreitbarkeit || Non repudiation || Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch [[elektronische Signatur]]en.
|-
| Zurechenbarkeit || Accountability || „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
* in bestimmtem Kontext (zum Beispiel im Internet) auch ''[[Anonymität]]''
|}
 
== Weitere Forderungen ==
{| class="wikitable options"
|-
! Schutzziel !! Englisch !! Beschreibung
|-
| Authentizität || Authenticity || Gesicherte Datenherkunft
|-
| Überwachung || || Zugriff zu Ressourcen
|-
| Ordnungsgemäßes Funktionieren || || eines IT-Systems
|-
| Revisions-Fähigkeit || || Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
|-
| Transparenz || || IT-Verfahren ist nachvollziehbar für Sachkundige, in zumutbarer Zeit, mit zumutbarem Aufwand. Setzt eine aktuelle und angemessene Dokumentation voraus.
|}
 
== Besonderes Schutzziel im Zuge der [[Datenschutz-Grundverordnung|DSGVO]] ==
{| class="wikitable options"
|-
! Schutzziel !! Englisch !! Beschreibung
|-
| Resilienz || Resilience || Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
|}
 
== Risikoanalyse und Bewertung ==
; Jedes noch so gut geplante und umgesetzte IT-System kann [[Sicherheitslücke|Schwachstellen]] besitzen.
* Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System ''[[Verwundbarkeit|verwundbar]]''.
* Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: ''threat'').
* Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale [[Unternehmenswert]]e, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
* Jede mögliche Bedrohung ist ein ''[[Risiko]]'' (englisch: ''risk'') für das Unternehmen.
* Unternehmungen versuchen durch die Verwendung eines [[Risikomanagement]]s (englisch: ''risk management'') die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.
Nach einer ''[[Risikoanalyse]]'' und ''Bewertung'' der unternehmensspezifischen IT-Systeme können entsprechende ''Schutzziele'' definiert werden.
* Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen [[Geschäftsprozess]]e eines Unternehmens.
* Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
* Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
 
; Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender ''IT-Sicherheitsstandards'' statt.
* Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
* Mit Hilfe des ''[[ISO/IEC 27001]]''- oder des ''[[IT-Grundschutz]]''-Standards wird mit anerkannten Regeln versucht, die Komplexität [[Soziotechnisches System|soziotechnischer Systeme]] für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
 
<noinclude>
[[Kategorie:Sicherheit/Grundwerte]]
 
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Sicherheit ====
==== Dokumentation ====
===== RFC =====
===== Man-Pages =====
===== Info-Pages =====
==== Links ====
===== Einzelnachweise =====
<references />
===== Projekt =====
===== Weblinks =====
<noinclude>
 
=== Testfragen ===
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">
<nowiki>'''Antwort1'''
</div>
 
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
</noinclude>

Aktuelle Version vom 17. September 2024, 10:04 Uhr