IT-Sicherheit/Grundfunktionen: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „Kurzbeschreibung“ durch „Beschreibung“
 
(31 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Sicherheitsgrundfunktionen''' - Beschreibung
== Beschreibung ==
Auch
* Sicherheitsgrundfunktionen
* Sicherheitsgrundfunktionen
* Schutzziele
* Schutzziele
* Grundwerte der Informationssicherheit
* Grundwerte der Informationssicherheit


== Beschreibung ==
; Motivation und Ziele der Informationssicherheit
; Motivation und Ziele der Informationssicherheit
* Informationen (oder Daten) sind schützenswerte Güter
* Informationen/Daten sind schützenswerte Güter
* Zugriff sollte beschränkt und kontrolliert sein
* Zugriff beschränkt und kontrolliert
* Nur autorisierte Benutzer oder Programme dürfen zugreifen
* Nur autorisierte Benutzer oder Programme


; Schutzziele
; Schutzziele
* Erreichen bzw. Einhalten der Informationssicherheit  
* Erreichen bzw. Einhalten der Informationssicherheit
* Schutz der Daten vor Angriffen auf und Ausfällen von IT-Systemen
* Schutz der Daten vor Angriffen auf und Ausfällen von IT-Systemen


== Allgemeine Schutzziele ==
=== Schlüsselkonzepte ===
=== Schlüsselkonzepte ===
[[File:Posters for information security for the Ministry of Defense of the Russian Federation.jpg|thumb|Poster promoting information security by the Russian [[Ministry of Defence (Russia)|Ministry of Defence]] | mini]]
[[File:Posters for information security for the Ministry of Defense of the Russian Federation.jpg|mini|200px|Poster promoting information security by the Russian [[Ministry of Defence (Russia)|Ministry of Defence]]]]
 
; '''CIA''' - '''C'''onfidentiality - '''I'''ntegrity  - '''A'''vailability
Herzstück der Informationssicherheit
{| class="wikitable options"
|-
! Schutzziel!! Englisch!! Beschreibung
|-
|[[Vertraulichkeit]]||'''C'''onfidentiality||Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der [[Datenübertragung]].
|-
|[[Integrität (Informationssicherheit)|Integrität]]||'''I'''ntegrity||Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
|-
||[[Verfügbarkeit]]||'''A'''vailability||Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
|}


; Der CIA-Dreiklang aus Vertraulichkeit, Integrität und Verfügbarkeit ist das Herzstück der Informationssicherheit
Die Mitglieder des klassischen InfoSec-Dreiklangs - Vertraulichkeit, Integrität und Verfügbarkeit - werden in der Literatur auch als Sicherheitsattribute, Eigenschaften, Sicherheitsziele, grundlegende Aspekte, Informationskriterien, kritische Informationsmerkmale und Grundbausteine bezeichnet
* Die Mitglieder des klassischen InfoSec-Dreiklangs - Vertraulichkeit, Integrität und Verfügbarkeit - werden in der Literatur auch als Sicherheitsattribute, Eigenschaften, Sicherheitsziele, grundlegende Aspekte, Informationskriterien, kritische Informationsmerkmale und Grundbausteine bezeichnet
* Es wird jedoch weiterhin darüber diskutiert, ob diese CIA-Trias ausreicht, um den sich schnell ändernden technologischen und geschäftlichen Anforderungen gerecht zu werden, wobei empfohlen wird, die Überschneidungen zwischen Verfügbarkeit und Vertraulichkeit sowie die Beziehung zwischen Sicherheit und Datenschutz zu erweitern.
* Es wird jedoch weiterhin darüber diskutiert, ob diese CIA-Trias ausreicht, um den sich schnell ändernden technologischen und geschäftlichen Anforderungen gerecht zu werden, wobei empfohlen wird, die Überschneidungen zwischen Verfügbarkeit und Vertraulichkeit sowie die Beziehung zwischen Sicherheit und Datenschutz zu erweitern.
* Der Dreiklang scheint erstmals 1977 in einer [[NIST]]-Publikation erwähnt worden zu sein.
* Der Dreiklang scheint erstmals 1977 in einer [[NIST]]-Publikation erwähnt worden zu sein.
Zeile 33: Zeile 48:
Dieser Standard schlägt eine [[operationelle Definition]] der Schlüsselkonzepte der Sicherheit vor, mit Elementen, die als "Sicherheitsziele" bezeichnet werden und sich auf [[Zugriffskontrolle]] (9), [[Verfügbarkeit]] (3), [[Datenqualität]] (1), Compliance und Technik (4) beziehen.
Dieser Standard schlägt eine [[operationelle Definition]] der Schlüsselkonzepte der Sicherheit vor, mit Elementen, die als "Sicherheitsziele" bezeichnet werden und sich auf [[Zugriffskontrolle]] (9), [[Verfügbarkeit]] (3), [[Datenqualität]] (1), Compliance und Technik (4) beziehen.
* Im Jahr 2009 hat die [[DoD]] [https://spi.dod.mil/ Software Protection Initiative] die [https://spi.dod.mil/threat.htm Three Tenets of Cybersecurity] veröffentlicht, die die Anfälligkeit des Systems, den Zugang zum Fehler und die Fähigkeit zur Ausnutzung des Fehlers umfassen.
* Im Jahr 2009 hat die [[DoD]] [https://spi.dod.mil/ Software Protection Initiative] die [https://spi.dod.mil/threat.htm Three Tenets of Cybersecurity] veröffentlicht, die die Anfälligkeit des Systems, den Zugang zum Fehler und die Fähigkeit zur Ausnutzung des Fehlers umfassen.
=== Allgemeine Schutzziele ===
'''CIA''' - '''C'''onfidentiality '''I'''ntegrity '''A'''vailability
{| class="wikitable options"
|-
!Schutzziel!! Englisch!! Beschreibung
|-
|[[Vertraulichkeit]]||'''C'''onfidentiality||Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der [[Datenübertragung]].
|-
|[[Integrität (Informationssicherheit)|Integrität]]||'''I'''ntegrity||Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
|-
||[[Verfügbarkeit]]||'''A'''vailability||Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
|}


=== Weitere Forderungen ===
=== Weitere Forderungen ===
Zeile 69: Zeile 70:
|[[Revisions-Fähigkeit]] || || Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
|[[Revisions-Fähigkeit]] || || Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
|-
|-
|[[Transparenz]] || ||  
|[[Transparenz]] || ||
* Nachvollziehbarkeit für Sachkundige (in zumutbarer Zeit, mit zumutbarem Aufwand)
* Nachvollziehbarkeit für Sachkundige (in zumutbarer Zeit, mit zumutbarem Aufwand)
* Setzt eine aktuelle und angemessene Dokumentation voraus.
* Setzt eine aktuelle und angemessene Dokumentation voraus.
Zeile 76: Zeile 77:
|}
|}


=== Baukasten ===
== Baukasten ==
{| class="wikitable sortable options"
{| class="wikitable big options"
|-
|-
! Option !! Beschreibung
! Option !! Beschreibung
Zeile 95: Zeile 96:
| [[Wiederaufbereitung]] ||
| [[Wiederaufbereitung]] ||
|-
|-
| [[Gewährleistung der Funktionalität]] ||
| [[Funktionalität]] ||
|-
|-
| [[Verfügbarkeit]] || Maßnahmen: Abwehr von DoS, Priorisierung von Funktionalitäten.
| [[Verfügbarkeit]] || Maßnahmen: Abwehr von DoS, Priorisierung von Funktionalitäten.
Zeile 102: Zeile 103:
[[Bewertungskriterien]]/Kriterienkataloge stellen Bewertungsschemata zur Verfügung
[[Bewertungskriterien]]/Kriterienkataloge stellen Bewertungsschemata zur Verfügung


==Anhang==
<noinclude>
===Siehe auch===
{{:Kategorie:IT-Sicherheit/Grundfunktionen}}
 
====Links ====
=====Weblinks=====


== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
----
{{Special:PrefixIndex/Sicherheitsgrundfunktionen}}
{{Special:PrefixIndex/Sicherheitsgrundfunktionen}}
----
----
* [[Sichere Systeme]]
* [[Sichere Systeme]]
==== Links ====
==== Links ====
===== Weblinks =====
===== Weblinks =====


[[Kategorie:IT-Sicherheit/Grundfunktionen]]
[[Kategorie:IT-Sicherheit/Grundfunktionen]]
 
</noinclude>
[[Kategorie:IT-Sicherheit/Grundfunktionen]]

Aktuelle Version vom 19. Oktober 2024, 13:48 Uhr

Sicherheitsgrundfunktionen - Beschreibung

Beschreibung

Auch

  • Sicherheitsgrundfunktionen
  • Schutzziele
  • Grundwerte der Informationssicherheit
Motivation und Ziele der Informationssicherheit
  • Informationen/Daten sind schützenswerte Güter
  • Zugriff beschränkt und kontrolliert
  • Nur autorisierte Benutzer oder Programme
Schutzziele
  • Erreichen bzw. Einhalten der Informationssicherheit
  • Schutz der Daten vor Angriffen auf und Ausfällen von IT-Systemen

Allgemeine Schutzziele

Schlüsselkonzepte

Poster promoting information security by the Russian Ministry of Defence
CIA - Confidentiality - Integrity - Availability

Herzstück der Informationssicherheit

Schutzziel Englisch Beschreibung
Vertraulichkeit Confidentiality Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
Integrität Integrity Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
Verfügbarkeit Availability Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.

Die Mitglieder des klassischen InfoSec-Dreiklangs - Vertraulichkeit, Integrität und Verfügbarkeit - werden in der Literatur auch als Sicherheitsattribute, Eigenschaften, Sicherheitsziele, grundlegende Aspekte, Informationskriterien, kritische Informationsmerkmale und Grundbausteine bezeichnet

  • Es wird jedoch weiterhin darüber diskutiert, ob diese CIA-Trias ausreicht, um den sich schnell ändernden technologischen und geschäftlichen Anforderungen gerecht zu werden, wobei empfohlen wird, die Überschneidungen zwischen Verfügbarkeit und Vertraulichkeit sowie die Beziehung zwischen Sicherheit und Datenschutz zu erweitern.
  • Der Dreiklang scheint erstmals 1977 in einer NIST-Publikation erwähnt worden zu sein.
In den 1992 veröffentlichten und 2002 überarbeiteten Guidelines for the Security of Information Systems and Networks der OECD
  • die neun allgemein anerkannten Grundsätze vor: Bewusstsein, Verantwortung, Reaktion, Ethik, Demokratie, Risikobewertung, Sicherheitsentwurf und -umsetzung, Sicherheitsmanagement und Neubewertung.
  • Darauf aufbauend wurden 2004 in den NISTs Engineering Principles for Information Technology Security 33 Grundsätze vorgeschlagen.
    • Aus jedem dieser Grundsätze wurden Leitlinien und Praktiken abgeleitet.
1998 schlug Donn Parker ein alternatives Modell für die klassische CIA-Triade vor, das er die Sechs atomare Elemente der Information nannte
Im Jahr 2011 veröffentlichte The Open Group den Informationssicherheitsmanagement-Standard O-ISM3

Dieser Standard schlägt eine operationelle Definition der Schlüsselkonzepte der Sicherheit vor, mit Elementen, die als "Sicherheitsziele" bezeichnet werden und sich auf Zugriffskontrolle (9), Verfügbarkeit (3), Datenqualität (1), Compliance und Technik (4) beziehen.

Weitere Forderungen

Schutzziel Englisch Beschreibung
Authentizität Authenticity Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
Verbindlichkeit/Nichtabstreitbarkeit Non repudiation Erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar beispielsweise durch elektronische Signaturen.
Zurechenbarkeit Accountability Eine Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden
Anonymität
Authentizität Authenticity Gesicherte Datenherkunft
Überwachung Zugriff zu Ressourcen
Ordnungsgemäßes Funktionieren eines IT-Systems
Revisions-Fähigkeit Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
Transparenz
  • Nachvollziehbarkeit für Sachkundige (in zumutbarer Zeit, mit zumutbarem Aufwand)
  • Setzt eine aktuelle und angemessene Dokumentation voraus.
Resilienz Resilience Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)

Baukasten

Option Beschreibung
Authentifizierung‎
Autorisierung‎
Backup‎
Kryptologie
Zugriffsrechte
Beweissicherung
Wiederaufbereitung
Funktionalität
Verfügbarkeit Maßnahmen: Abwehr von DoS, Priorisierung von Funktionalitäten.

Bewertungskriterien/Kriterienkataloge stellen Bewertungsschemata zur Verfügung


Anhang

Siehe auch



Links

Weblinks