|
|
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| '''Schutzziele''' - Grundwerte der Informationssicherheit
| | #WEITERLEITUNG [[IT-Sicherheit/Grundfunktionen]] |
| | |
| === Beschreibung ===
| |
| ; Motivation und Ziele der Informationssicherheit
| |
| * Informationen (oder Daten) sind schützenswerte Güter
| |
| * Zugriff sollte beschränkt und kontrolliert sein
| |
| * Nur autorisierte Benutzer oder Programme dürfen zugreifen
| |
| | |
| ; Schutzziele
| |
| * Erreichen bzw. Einhalten der Informationssicherheit
| |
| * Schutz der Daten vor Angriffen auf und Ausfällen von IT-Systemen
| |
| | |
| === Allgemeine Schutzziele ===
| |
| '''CIA''' - '''C'''onfidentiality '''I'''ntegrity '''A'''vailability
| |
| | |
| {| class="wikitable options"
| |
| |-
| |
| !Schutzziel!! Englisch!! Beschreibung
| |
| |-
| |
| |[[Vertraulichkeit]]||'''C'''onfidentiality||Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der [[Datenübertragung]].
| |
| |-
| |
| |[[Integrität (Informationssicherheit)|Integrität]]||'''I'''ntegrity||Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
| |
| |-
| |
| ||[[Verfügbarkeit]]||'''A'''vailability||Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
| |
| |}
| |
| | |
| === Weitere Forderungen ===
| |
| {| class="wikitable options"
| |
| |-
| |
| !Schutzziel !! Englisch!!Beschreibung
| |
| |-
| |
| |[[Authentizität]]||Authenticity ||Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
| |
| |-
| |
| |[[Verbindlichkeit]]/Nichtabstreitbarkeit || Non repudiation || Erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar beispielsweise durch [[elektronische Signatur]]en.
| |
| |-
| |
| |[[Zurechenbarkeit]]|| Accountability || Eine Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden
| |
| |-
| |
| |[[Anonymität]] || ||
| |
| |-
| |
| |[[Authentizität]] || Authenticity|| Gesicherte Datenherkunft
| |
| |-
| |
| |[[Überwachung]] || || Zugriff zu Ressourcen
| |
| |-
| |
| |[[Ordnungsgemäßes Funktionieren]] || || eines IT-Systems
| |
| |-
| |
| |[[Revisions-Fähigkeit]] || || Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
| |
| |-
| |
| |[[Transparenz]] || ||
| |
| * Nachvollziehbarkeit für Sachkundige (in zumutbarer Zeit, mit zumutbarem Aufwand)
| |
| * Setzt eine aktuelle und angemessene Dokumentation voraus.
| |
| |-
| |
| |[[Resilienz]] || Resilience|| Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
| |
| |}
| |
| | |
| <noinclude>
| |
| | |
| ==Anhang==
| |
| ===Siehe auch===
| |
| {{:Kategorie:Informationssicherheit/Schutzziele}}
| |
| | |
| ====Links ====
| |
| =====Weblinks=====
| |
| | |
| = Grundwerte =
| |
| '''Informationssicherheit Grundprinzipien''' - Vertraulichkeit, Integrität und Verfügbarkeit
| |
| === Beschreibung ===
| |
| ==== Schlüsselkonzepte ====
| |
| [[File:Posters for information security for the Ministry of Defense of the Russian Federation.jpg|thumb|Poster promoting information security by the Russian [[Ministry of Defence (Russia)|Ministry of Defence]]]]
| |
| | |
| ; Der CIA-Dreiklang aus Vertraulichkeit, Integrität und Verfügbarkeit ist das Herzstück der Informationssicherheit
| |
| * Die Mitglieder des klassischen InfoSec-Dreiklangs - Vertraulichkeit, Integrität und Verfügbarkeit - werden in der Literatur auch als Sicherheitsattribute, Eigenschaften, Sicherheitsziele, grundlegende Aspekte, Informationskriterien, kritische Informationsmerkmale und Grundbausteine bezeichnet
| |
| * Es wird jedoch weiterhin darüber diskutiert, ob diese CIA-Trias ausreicht, um den sich schnell ändernden technologischen und geschäftlichen Anforderungen gerecht zu werden, wobei empfohlen wird, die Überschneidungen zwischen Verfügbarkeit und Vertraulichkeit sowie die Beziehung zwischen Sicherheit und Datenschutz zu erweitern.
| |
| * Der Dreiklang scheint erstmals 1977 in einer [[NIST]]-Publikation erwähnt worden zu sein.
| |
| | |
| ; In den 1992 veröffentlichten und 2002 überarbeiteten ''Guidelines for the Security of Information Systems and Networks'' der [[OECD]]
| |
| * die neun allgemein anerkannten Grundsätze vor: [[Bewusstsein für Informationssicherheit|Bewusstsein]], Verantwortung, Reaktion, Ethik, Demokratie, Risikobewertung, Sicherheitsentwurf und -umsetzung, Sicherheitsmanagement und Neubewertung.
| |
| * Darauf aufbauend wurden 2004 in den [[NIST]]s ''Engineering Principles for Information Technology Security'' 33 Grundsätze vorgeschlagen.
| |
| ** Aus jedem dieser Grundsätze wurden Leitlinien und Praktiken abgeleitet.
| |
| | |
| ; 1998 schlug [[Donn Parker]] ein alternatives Modell für die klassische CIA-Triade vor, das er die [[Parkersche Hexade|Sechs atomare Elemente der Information]] nannte
| |
| * Die Elemente sind [[Vertraulichkeit]], [[Eigentum|Besitz]], [[Integrität]], [[Authentifizierung|Authentizität]], [[Verfügbarkeit]] und [[Nutzen]].
| |
| * Die Vorzüge des [[Parkersche Hexade]]s sind unter Sicherheitsexperten umstritten.
| |
| | |
| ; Im Jahr 2011 veröffentlichte [[The Open Group]] den Informationssicherheitsmanagement-Standard [[Open Information Security Maturity Model|O-ISM3]]
| |
| Dieser Standard schlägt eine [[operationelle Definition]] der Schlüsselkonzepte der Sicherheit vor, mit Elementen, die als "Sicherheitsziele" bezeichnet werden und sich auf [[Zugriffskontrolle]] (9), [[Verfügbarkeit]] (3), [[Datenqualität]] (1), Compliance und Technik (4) beziehen.
| |
| * Im Jahr 2009 hat die [[DoD]] [https://spi.dod.mil/ Software Protection Initiative] die [https://spi.dod.mil/threat.htm Three Tenets of Cybersecurity] veröffentlicht, die die Anfälligkeit des Systems, den Zugang zum Fehler und die Fähigkeit zur Ausnutzung des Fehlers umfassen.
| |
| | |
| ; Keines dieser Modelle ist weit verbreitet.
| |
| | |
| === Vertraulichkeit ===
| |
| In der Informationssicherheit ist Vertraulichkeit "die Eigenschaft, dass Informationen nicht für unbefugte Personen, Einrichtungen oder Prozesse zugänglich gemacht oder offengelegt werden".
| |
| | |
| Obwohl sie dem Begriff "Datenschutz" ähneln, sind die beiden Wörter nicht austauschbar.
| |
| * Vielmehr ist die Vertraulichkeit eine Komponente des Datenschutzes, die unsere Daten vor unbefugten Einblicken schützt.
| |
| Beispiele für die Gefährdung der Vertraulichkeit elektronischer Daten sind der Diebstahl von Laptops, der Diebstahl von Passwörtern oder der Versand sensibler E-Mails an die falschen Personen.
| |
| | |
| === Integrität ===
| |
| ; In der IT-Sicherheit bedeutet [[Datenintegrität]], dass die Richtigkeit und Vollständigkeit von Daten während ihres gesamten Lebenszyklus gewahrt und sichergestellt wird.
| |
| * Dies bedeutet, dass Daten nicht auf unautorisierte oder unentdeckte Weise verändert werden können.
| |
| * Dies ist nicht dasselbe wie die [[referentielle Integrität]] in [[Datenbanken]], obwohl sie als ein Spezialfall der Konsistenz im Sinne des klassischen [[ACID]]-Modells der [[Transaktionsverarbeitung]] angesehen werden kann.
| |
| * Informationssicherheitssysteme enthalten in der Regel Kontrollen zur Gewährleistung ihrer eigenen Integrität, insbesondere zum Schutz des Kerns oder der Kernfunktionen gegen absichtliche und zufällige Bedrohungen.
| |
| * Mehrzweck- und Mehrbenutzer-Computersysteme zielen darauf ab, die Daten und die Verarbeitung so aufzuteilen, dass kein Benutzer oder Prozess einen anderen nachteilig beeinflussen kann: Die Kontrollen können jedoch nicht erfolgreich sein, wie wir bei Vorfällen wie Malware-Infektionen, Hacks, Datendiebstahl, Betrug und Verletzungen der Privatsphäre sehen.
| |
| | |
| Im weiteren Sinne ist Integrität ein Grundsatz der Informationssicherheit, der sowohl die menschliche/soziale, verfahrenstechnische und wirtschaftliche Integrität als auch die Datenintegrität umfasst.
| |
| * Als solches berührt sie Aspekte wie Glaubwürdigkeit, Konsistenz, Wahrhaftigkeit, Vollständigkeit, Genauigkeit, Aktualität und Sicherheit.
| |
| | |
| === Verfügbarkeit ===
| |
| ; Damit ein Informationssystem seinen Zweck erfüllen kann, müssen die Informationen verfügbar sein, wenn sie benötigt werden.
| |
| Das bedeutet, dass die Computersysteme, die zur Speicherung und Verarbeitung der Informationen verwendet werden, die [[Sicherheitskontrollen]], die zum Schutz der Informationen eingesetzt werden, und die Kommunikationskanäle, über die auf die Informationen zugegriffen wird, korrekt funktionieren müssen.
| |
| [[Hochverfügbarkeit]]ssysteme zielen darauf ab, jederzeit verfügbar zu sein und Dienstunterbrechungen aufgrund von Stromausfällen, Hardwarefehlern und System-Upgrades zu verhindern.
| |
| Zur Sicherstellung der Verfügbarkeit gehört auch die Verhinderung von [[Denial-of-Service-Angriff]]en, wie z.B.
| |
| * eine Flut von eingehenden Nachrichten an das Zielsystem, die es im Wesentlichen zum Abschalten zwingt.
| |
| | |
| Im Bereich der Informationssicherheit kann die Verfügbarkeit oft als einer der wichtigsten Bestandteile eines erfolgreichen Informationssicherheitsprogramms angesehen werden, denn schließlich müssen die Endbenutzer in der Lage sein, ihre Aufgaben zu erfüllen; durch die Sicherstellung der Verfügbarkeit ist ein Unternehmen in der Lage, die von den Interessengruppen des Unternehmens erwarteten Standards zu erfüllen.
| |
| * Dies kann Themen wie Proxy-Konfigurationen, Web-Zugang von außen, Zugriff auf freigegebene Laufwerke und die Möglichkeit, E-Mails zu versenden, betreffen.
| |
| Führungskräfte haben oft kein Verständnis für die technische Seite der Informationssicherheit und sehen die Verfügbarkeit als einfache Lösung an, aber dies erfordert oft die Zusammenarbeit vieler verschiedener Organisationsteams, wie z.B.
| |
| * Netzwerkbetrieb, Entwicklungsbetrieb, Reaktion auf Zwischenfälle und Richtlinien-/Änderungsmanagement.
| |
| Ein erfolgreiches Informationssicherheitsteam umfasst viele verschiedene Schlüsselrollen, die ineinandergreifen und aufeinander abgestimmt sein müssen, damit die CIA-Dreiergruppe effektiv bereitgestellt werden kann.
| |
| | |
| === Unleugbarkeit ===
| |
| Im Recht bedeutet [[Nichtabstreitbarkeit]] die Absicht einer Person, ihre Verpflichtungen aus einem Vertrag zu erfüllen.
| |
| * Es bedeutet auch, dass eine Partei einer Transaktion nicht bestreiten kann, eine Transaktion erhalten zu haben, noch kann die andere Partei bestreiten, eine Transaktion gesendet zu haben.
| |
| * Es ist wichtig, darauf hinzuweisen, dass Technologie wie kryptografische Systeme zwar bei den Bemühungen um Nichtabstreitbarkeit helfen können, das Konzept aber im Kern ein Rechtskonzept ist, das über den Bereich der Technologie hinausgeht.
| |
| * So reicht es beispielsweise nicht aus, nachzuweisen, dass die Nachricht mit einer digitalen Signatur übereinstimmt, die mit dem privaten Schlüssel des Absenders unterzeichnet wurde, so dass nur der Absender die Nachricht abgeschickt haben kann und niemand sonst sie während der Übertragung verändert haben kann ([[Datenintegrität]]).
| |
| * Der angebliche Absender könnte im Gegenzug nachweisen, dass der Algorithmus der digitalen Signatur anfällig oder fehlerhaft ist, oder behaupten oder beweisen, dass sein Signaturschlüssel kompromittiert wurde.
| |
| * Die Schuld für diese Verstöße kann beim Absender liegen oder auch nicht, und solche Behauptungen können den Absender von der Haftung befreien oder auch nicht, aber die Behauptung würde die Behauptung entkräften, dass die Signatur notwendigerweise Authentizität und Integrität beweist.
| |
| * Als solcher kann der Absender die Nachricht zurückweisen (denn Authentizität und Integrität sind Voraussetzungen für die Nichtabstreitbarkeit).
| |
| <noinclude>
| |
| == Anhang ==
| |
| === Siehe auch ===
| |
| {{Special:PrefixIndex/{{BASEPAGENAME}}}}
| |
| ==== Links ====
| |
| ===== Projekt =====
| |
| ===== Weblinks =====
| |
| | |
| [[Kategorie:Informationssicherheit/Schutzziele]]
| |
| </noinclude>
| |