ISMS/Schutzziele: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 1: | Zeile 1: | ||
Klassische Grundwerte der Informationssicherheit | Klassische Grundwerte der Informationssicherheit | ||
== Motivation und Ziele der Informationssicherheit == | |||
Informationen (oder Daten) sind schützenswerte Güter. | |||
* Der Zugriff auf diese sollte beschränkt und kontrolliert sein. | |||
* Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen. ''[[Schutzziele (Informationssicherheit)|Schutzziele]]'' werden zum Erreichen bzw. | |||
Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert: | |||
* Die Allgemeine Schutzziele sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt: | |||
** ''[[Vertraulichkeit]]'' (englisch: ''confidentiality''): Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der [[Datenübertragung]]. | |||
** ''[[Integrität (Informationssicherheit)|Integrität]]'' (englisch: ''integrity''): Daten dürfen nicht unbemerkt verändert werden. | |||
* Alle Änderungen müssen nachvollziehbar sein. | |||
** ''[[Verfügbarkeit]]'' (englisch: ''availability''): Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein. | |||
* Weitere Schutzziele der Informationssicherheit: | |||
** ''[[Authentizität]]'' (englisch: ''authenticity'') bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts. | |||
** ''Verbindlichkeit/Nichtabstreitbarkeit'' (englisch: ''non repudiation''): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.<ref name="unibr_itsec05-0a_F25" /> Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. | |||
* Erreichbar ist sie beispielsweise durch [[elektronische Signatur]]en. | |||
** ''Zurechenbarkeit'' (englisch: ''accountability''): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“ | |||
** in bestimmtem Kontext (zum Beispiel im Internet) auch ''[[Anonymität]]'' | |||
* Besonderes Schutzziel im Zuge der [[Datenschutz-Grundverordnung|DSGVO]]: | |||
** ''Resilienz'' (englisch: ''resilience''): Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen) | |||
Jedes noch so gut geplante und umgesetzte IT-System kann [[Sicherheitslücke|Schwachstellen]] besitzen. | |||
* Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System ''[[Verwundbarkeit|verwundbar]]''. | |||
* Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: ''threat''). | |||
* Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale [[Unternehmenswert]]e, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen. | |||
* Jede mögliche Bedrohung ist ein ''[[Risiko]]'' (englisch: ''risk'') für das Unternehmen. | |||
* Unternehmungen versuchen durch die Verwendung eines [[Risikomanagement]]s (englisch: ''risk management'') die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen. | |||
Nach einer ''[[Risikoanalyse]]'' und ''Bewertung'' der unternehmensspezifischen IT-Systeme können entsprechende ''Schutzziele'' definiert werden. | |||
* Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen [[Geschäftsprozess]]e eines Unternehmens. | |||
* Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements. | |||
* Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht. | |||
Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender ''IT-Sicherheitsstandards'' statt. | |||
* Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards. | |||
* Mit Hilfe des ''[[ISO/IEC 27001]]''- oder des ''[[IT-Grundschutz]]''-Standards wird mit anerkannten Regeln versucht, die Komplexität [[Soziotechnisches System|soziotechnischer Systeme]] für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden. | |||
=== Vertraulichkeit === | === Vertraulichkeit === | ||
[[Vertraulichkeit]] | [[Vertraulichkeit]] | ||
Version vom 8. Mai 2023, 10:08 Uhr
Klassische Grundwerte der Informationssicherheit
Motivation und Ziele der Informationssicherheit
Informationen (oder Daten) sind schützenswerte Güter.
- Der Zugriff auf diese sollte beschränkt und kontrolliert sein.
- Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen. Schutzziele werden zum Erreichen bzw.
Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert:
- Die Allgemeine Schutzziele sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt:
- Vertraulichkeit (englisch: confidentiality): Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
- Integrität (englisch: integrity): Daten dürfen nicht unbemerkt verändert werden.
- Alle Änderungen müssen nachvollziehbar sein.
- Verfügbarkeit (englisch: availability): Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
- Weitere Schutzziele der Informationssicherheit:
- Authentizität (englisch: authenticity) bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
- Verbindlichkeit/Nichtabstreitbarkeit (englisch: non repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.[1] Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen.
- Erreichbar ist sie beispielsweise durch elektronische Signaturen.
- Zurechenbarkeit (englisch: accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
- in bestimmtem Kontext (zum Beispiel im Internet) auch Anonymität
- Besonderes Schutzziel im Zuge der DSGVO:
- Resilienz (englisch: resilience): Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen.
- Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar.
- Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: threat).
- Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
- Jede mögliche Bedrohung ist ein Risiko (englisch: risk) für das Unternehmen.
- Unternehmungen versuchen durch die Verwendung eines Risikomanagements (englisch: risk management) die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.
Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen IT-Systeme können entsprechende Schutzziele definiert werden.
- Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens.
- Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
- Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender IT-Sicherheitsstandards statt.
- Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
- Mit Hilfe des ISO/IEC 27001- oder des IT-Grundschutz-Standards wird mit anerkannten Regeln versucht, die Komplexität soziotechnischer Systeme für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
Vertraulichkeit
Verfügbarkeit
Integrität
Weitere Forderungen
Authentizität (Authenticity)
- Gesicherte Datenherkunft
Überwachung
- des Zugriffs zu Ressourcen
Ordnungsgemäßes Funktionieren
- eines IT-Systems
Revisions-Fähigkeit
- Organisation des Verfahrens
- Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
Transparenz
- IT-Verfahren ist nachvollziehbar
- für Sachkundige
- in zumutbarer Zeit
- mit zumutbarem Aufwand
- Setzt eine aktuelle und angemessene Dokumentation voraus
TMP
- ↑ Referenzfehler: Es ist ein ungültiger
<ref>-Tag vorhanden: Für die Referenz namensunibr_itsec05-0a_F25wurde kein Text angegeben.