IT-Sicherheit/Grundfunktionen: Unterschied zwischen den Versionen

Aus Foxwiki
 
(104 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''IT-Sicherheit/Grundfunktionen''' - Sicherheitsgrundfunktionen
 
== Beschreibung ==
== Beschreibung ==
{| class="wikitable sortable options"
* Sicherheitsgrundfunktionen
|-
* Schutzziele
! Option !! Beschreibung
* Grundwerte der Informationssicherheit
 
; Motivation und Ziele der Informationssicherheit
* Informationen/Daten sind schützenswerte Güter
* Zugriff beschränkt und kontrolliert
* Nur autorisierte Benutzer oder Programme
 
; Schutzziele
* Erreichen bzw. Einhalten der Informationssicherheit
* Schutz der Daten vor Angriffen auf und Ausfällen von IT-Systemen
 
== Allgemeine Schutzziele ==
=== Schlüsselkonzepte ===
; '''CIA''' - '''C'''onfidentiality - '''I'''ntegrity  - '''A'''vailability
{| class="wikitable options"
|-
|-
| Authentifizierung‎ ||
! Schutzziel!! Englisch!! Beschreibung
|-
|-
|Autorisierung‎ ||
|[[Vertraulichkeit]]||'''C'''onfidentiality||Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der [[Datenübertragung]].
|-
|-
| Backup‎ ||
|[[Integrität (Informationssicherheit)|Integrität]]||'''I'''ntegrity||Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
|-
|-
| Kryptografie‎ ||
||[[Verfügbarkeit]]||'''A'''vailability||Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
|-
| Zugriffsrechte‎ ||
|}
|}
[[File:Posters for information security for the Ministry of Defense of the Russian Federation.jpg|mini|200px|Poster promoting information security by the Russian [[Ministry of Defence (Russia)|Ministry of Defence]]]]


; Baukasten
; Vertraulichkeit, Integrität und Verfügbarkeit
* Identifikation und Authentifikation
Die Mitglieder des klassischen InfoSec-Dreiklangs - Vertraulichkeit, Integrität und Verfügbarkeit - werden in der Literatur auch als Sicherheitsattribute, Eigenschaften, Sicherheitsziele, grundlegende Aspekte, Informationskriterien, kritische Informationsmerkmale und Grundbausteine bezeichnet
* Rechteverwaltung
* Es wird jedoch weiterhin darüber diskutiert, ob diese CIA-Trias ausreicht, um den sich schnell ändernden technologischen und geschäftlichen Anforderungen gerecht zu werden, wobei empfohlen wird, die Überschneidungen zwischen Verfügbarkeit und Vertraulichkeit sowie die Beziehung zwischen Sicherheit und Datenschutz zu erweitern.
* Rechteprüfung
* Der Dreiklang scheint erstmals 1977 in einer [[NIST]]-Publikation erwähnt worden zu sein.
* Vollständigkeitsprinzip
* Ausnahmen
* Beweissicherung
* Wiederaufbereitung
* Gewährleistung der Funktionalität


=== Identifikation und Authentifikation ===
; In den 1992 veröffentlichten und 2002 überarbeiteten ''Guidelines for the Security of Information Systems and Networks'' der [[OECD]]
* Objekte / Subjekte müssen eindeutig identifizierbar sein
* die neun allgemein anerkannten Grundsätze vor: [[Bewusstsein für Informationssicherheit|Bewusstsein]], Verantwortung, Reaktion, Ethik, Demokratie, Risikobewertung, Sicherheitsentwurf und -umsetzung, Sicherheitsmanagement und Neubewertung.
* Identität nachweisen können
* Darauf aufbauend wurden 2004 in den [[NIST]]s ''Engineering Principles for Information Technology Security'' 33 Grundsätze vorgeschlagen.
* Abwehr von Maskierungsangriffen, unautorisierten Zugriffen
** Aus jedem dieser Grundsätze wurden Leitlinien und Praktiken abgeleitet.
* Sicherheitsanforderungen legen fest
* ob und wenn ja, welche Subjekte zwar zu identifizieren, aber nicht zu authentifizieren sind.


; Betriebssystem
; 1998 schlug [[Donn Parker]] ein alternatives Modell für die klassische CIA-Triade vor, das er die [[Parkersche Hexade|Sechs atomare Elemente der Information]] nannte
* Authentifikation nur bei Login
* Die Elemente sind [[Vertraulichkeit]], [[Eigentum|Besitz]], [[Integrität]], [[Authentifizierung|Authentizität]], [[Verfügbarkeit]] und [[Nutzen]].
* Gültigkeit späterer Aktionen beruhen auf Gültigkeit dieser Kontrolle
* Die Vorzüge des [[Parkersche Hexade]]s sind unter Sicherheitsexperten umstritten.


; Internet-Banking
; Im Jahr 2011 veröffentlichte [[The Open Group]] den Informationssicherheitsmanagement-Standard [[Open Information Security Maturity Model|O-ISM3]]
* Authentifikation bei jeder relevanten Aktion (TAN)
Dieser Standard schlägt eine [[operationelle Definition]] der Schlüsselkonzepte der Sicherheit vor, mit Elementen, die als "Sicherheitsziele" bezeichnet werden und sich auf [[Zugriffskontrolle]] (9), [[Verfügbarkeit]] (3), [[Datenqualität]] (1), Compliance und Technik (4) beziehen.
* Angabe, welche Aktionen zur Abwehr systematischer Angriffsversuche ergriffen werden
* Im Jahr 2009 hat die [[DoD]] [https://spi.dod.mil/ Software Protection Initiative] die [https://spi.dod.mil/threat.htm Three Tenets of Cybersecurity] veröffentlicht, die die Anfälligkeit des Systems, den Zugang zum Fehler und die Fähigkeit zur Ausnutzung des Fehlers umfassen.
* Protokollieren, Sperrung der Kennung


; Rechteverwaltung
=== Weitere Forderungen ===
* Basis zur Abwehr von Bedrohung der Integrität und Vertraulichkeit
{| class="wikitable options"
* Sicherheitsanforderungen legen Rechte für zu schützende Objekte fest
|-
* Vergabe (UNIX: owner-Prinzip)
!Schutzziel !! Englisch!!Beschreibung
Wahrnehmung
|-
Rechteprüfung
|[[Authentizität]]||Authenticity ||Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
Zugriffskontrolle
|-
 
|[[Verbindlichkeit]]/Nichtabstreitbarkeit || Non repudiation || Erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar beispielsweise durch [[elektronische Signatur]]en.
 
|-
; Vollständigkeitsprinzip
|[[Zurechenbarkeit]]|| Accountability || Eine Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden
Bei welchen Aktionen muss Rechteprüfung stattfinden?
|-
: Jeder Zugriff sollte kontrolliert werden
|[[Anonymität]] || ||
 
|-
* Oft prüfen nur beim öffnen einer Datei
|[[Authentizität]] || Authenticity|| Gesicherte Datenherkunft
* Danach Konformitätsprüfung: Wenn lesen, dann weiterlesen.
|-
* File Handles
|[[Überwachung]] || || Zugriff zu Ressourcen
 
|-
; Ausnahmen
|[[Ordnungsgemäßes Funktionieren]] || || eines IT-Systems
Welche Aktionen bei unautorisierten Zugriffen
|-
permission denied
|[[Revisions-Fähigkeit]] || || Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
 
|-
; Beweissicherung
|[[Transparenz]] || ||
* Nichtabstreitbarkeit
* Nachvollziehbarkeit für Sachkundige (in zumutbarer Zeit, mit zumutbarem Aufwand)
* Protokollierung
* Setzt eine aktuelle und angemessene Dokumentation voraus.
 
|-
;Computer-Forensik
|[[Resilienz]] || Resilience|| Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
Wiederaufbereitung
|}
* Maßnahmen zur Wiederaufbereitung von gemeinsam aber exklusiv nutzbaren Betriebsmitteln
  Prozessor, Register, Cache
; Gewährleistung der Funktionalität
Maßnahmen zur Gewährleistung der Verfügbarkeit
Abwehr von DoS
Priorisierung von Funktionalitäten
Einfaches Modell der Datenübertragung
Passiver Angreifer: nur abhören, nicht manipulieren
Bedrohung für Vertraulichkeit
Aktiver Angreifer: abhören, ändern, löschen, duplizieren
Bedrohung für Vertraulichkeit, Integrität, Authentizität
Unterschied Authentizität/Verbindlichkeit
Authentizität: Bob ist sicher, dass Daten von Alice kommen
Verbindlichkeit: Bob kann dies gegenüber Dritten beweisen
Modell I: Sichere Kommunikation über einen unsicheren Kanal
Modell II: Schutz durch Zugangskontrolle
Bewertungskriterien
Kriterienkataloge stellen Bewertungsschema zur Verfügung
  Zertifikate
  Nationale internationale Kataloge
  Orange Book (US)
  Grünbuch (DE)
  ITSEC (Europa)
  Common Criteria (international)


== Baukasten ==
{| class="wikitable options"
|-
! Option !! Beschreibung
|-
| [[Authentifizierung‎]] ||
|-
| [[Autorisierung‎]] ||
|-
| [[Backup‎]] ||
|-
| [[:Kategorie:Kryptologie|Kryptologie]] ||
|-
| [[Zugriffsrechte]] ||
|-
| [[Beweissicherung]] ||
|-
| [[Wiederaufbereitung]] ||
|-
| [[Funktionalität]] ||
|-
| [[Verfügbarkeit]] || Maßnahmen: Abwehr von DoS, Priorisierung von Funktionalitäten.
|}


[[Bewertungskriterien]]/Kriterienkataloge stellen Bewertungsschemata zur Verfügung


<noinclude>
<noinclude>
Zeile 100: Zeile 106:
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
----
{{Special:PrefixIndex/Sicherheitsgrundfunktionen}}
{{Special:PrefixIndex/Sicherheitsgrundfunktionen}}
----
----
* [[Sichere Systeme]]
* [[Sichere Systeme]]
==== Dokumentation ====
===== RFC =====
===== Man-Pages =====
===== Info-Pages =====
==== Links ====
==== Links ====
===== Projekt =====
===== Weblinks =====
===== Weblinks =====


[[Kategorie:IT-Sicherheit/Grundfunktionen]]
[[Kategorie:IT-Sicherheit/Grundfunktionen]]
</noinclude>
</noinclude>

Aktuelle Version vom 18. November 2024, 13:23 Uhr

IT-Sicherheit/Grundfunktionen - Sicherheitsgrundfunktionen

Beschreibung

  • Sicherheitsgrundfunktionen
  • Schutzziele
  • Grundwerte der Informationssicherheit
Motivation und Ziele der Informationssicherheit
  • Informationen/Daten sind schützenswerte Güter
  • Zugriff beschränkt und kontrolliert
  • Nur autorisierte Benutzer oder Programme
Schutzziele
  • Erreichen bzw. Einhalten der Informationssicherheit
  • Schutz der Daten vor Angriffen auf und Ausfällen von IT-Systemen

Allgemeine Schutzziele

Schlüsselkonzepte

CIA - Confidentiality - Integrity - Availability
Schutzziel Englisch Beschreibung
Vertraulichkeit Confidentiality Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
Integrität Integrity Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
Verfügbarkeit Availability Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
Poster promoting information security by the Russian Ministry of Defence
Vertraulichkeit, Integrität und Verfügbarkeit

Die Mitglieder des klassischen InfoSec-Dreiklangs - Vertraulichkeit, Integrität und Verfügbarkeit - werden in der Literatur auch als Sicherheitsattribute, Eigenschaften, Sicherheitsziele, grundlegende Aspekte, Informationskriterien, kritische Informationsmerkmale und Grundbausteine bezeichnet

  • Es wird jedoch weiterhin darüber diskutiert, ob diese CIA-Trias ausreicht, um den sich schnell ändernden technologischen und geschäftlichen Anforderungen gerecht zu werden, wobei empfohlen wird, die Überschneidungen zwischen Verfügbarkeit und Vertraulichkeit sowie die Beziehung zwischen Sicherheit und Datenschutz zu erweitern.
  • Der Dreiklang scheint erstmals 1977 in einer NIST-Publikation erwähnt worden zu sein.
In den 1992 veröffentlichten und 2002 überarbeiteten Guidelines for the Security of Information Systems and Networks der OECD
  • die neun allgemein anerkannten Grundsätze vor: Bewusstsein, Verantwortung, Reaktion, Ethik, Demokratie, Risikobewertung, Sicherheitsentwurf und -umsetzung, Sicherheitsmanagement und Neubewertung.
  • Darauf aufbauend wurden 2004 in den NISTs Engineering Principles for Information Technology Security 33 Grundsätze vorgeschlagen.
    • Aus jedem dieser Grundsätze wurden Leitlinien und Praktiken abgeleitet.
1998 schlug Donn Parker ein alternatives Modell für die klassische CIA-Triade vor, das er die Sechs atomare Elemente der Information nannte
Im Jahr 2011 veröffentlichte The Open Group den Informationssicherheitsmanagement-Standard O-ISM3

Dieser Standard schlägt eine operationelle Definition der Schlüsselkonzepte der Sicherheit vor, mit Elementen, die als "Sicherheitsziele" bezeichnet werden und sich auf Zugriffskontrolle (9), Verfügbarkeit (3), Datenqualität (1), Compliance und Technik (4) beziehen.

Weitere Forderungen

Schutzziel Englisch Beschreibung
Authentizität Authenticity Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
Verbindlichkeit/Nichtabstreitbarkeit Non repudiation Erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar beispielsweise durch elektronische Signaturen.
Zurechenbarkeit Accountability Eine Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden
Anonymität
Authentizität Authenticity Gesicherte Datenherkunft
Überwachung Zugriff zu Ressourcen
Ordnungsgemäßes Funktionieren eines IT-Systems
Revisions-Fähigkeit Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
Transparenz
  • Nachvollziehbarkeit für Sachkundige (in zumutbarer Zeit, mit zumutbarem Aufwand)
  • Setzt eine aktuelle und angemessene Dokumentation voraus.
Resilienz Resilience Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)

Baukasten

Option Beschreibung
Authentifizierung‎
Autorisierung‎
Backup‎
Kryptologie
Zugriffsrechte
Beweissicherung
Wiederaufbereitung
Funktionalität
Verfügbarkeit Maßnahmen: Abwehr von DoS, Priorisierung von Funktionalitäten.

Bewertungskriterien/Kriterienkataloge stellen Bewertungsschemata zur Verfügung


Anhang

Siehe auch



Links

Weblinks