ISMS/Schutzziele: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
Klassische Grundwerte der Informationssicherheit
Grundwerte der Informationssicherheit


== Motivation und Ziele der Informationssicherheit ==
== Motivation und Ziele der Informationssicherheit ==
Zeile 36: Zeile 36:
* Mit Hilfe des ''[[ISO/IEC 27001]]''- oder des ''[[IT-Grundschutz]]''-Standards wird mit anerkannten Regeln versucht, die Komplexität [[Soziotechnisches System|soziotechnischer Systeme]] für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
* Mit Hilfe des ''[[ISO/IEC 27001]]''- oder des ''[[IT-Grundschutz]]''-Standards wird mit anerkannten Regeln versucht, die Komplexität [[Soziotechnisches System|soziotechnischer Systeme]] für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.


== Vertraulichkeit ==
; Klassische Grundwerte der Informationssicherheit
[[Vertraulichkeit]]
{|
 
| [[Vertraulichkeit]] ||
== Verfügbarkeit ==
|-
[[Verfügbarkeit]]
| [[Verfügbarkeit]] ||
 
|-
== Integrität ==
| [[Integrität]] ||
[[Integrität]]
|}


== Weitere Forderungen ==
== Weitere Forderungen ==
=== Authentizität (Authenticity)‏ ===
{|
* Gesicherte Datenherkunft
| Authentizität (Authenticity)‏ || Gesicherte Datenherkunft
 
|-
=== Überwachung ===
| Überwachung || des Zugriffs zu Ressourcen
* des Zugriffs zu Ressourcen
|-
 
| Ordnungsgemäßes Funktionieren || eines IT-Systems
=== Ordnungsgemäßes Funktionieren ===
|-
* eines IT-Systems
| Revisions-Fähigkeit || Organisation des Verfahrens
 
=== Revisions-Fähigkeit ===
* Organisation des Verfahrens
* Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
* Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
 
|-
=== Transparenz ===
| Transparenz || IT-Verfahren ist nachvollziehbar
; IT-Verfahren ist nachvollziehbar
* für Sachkundige  
* für Sachkundige  
* in zumutbarer Zeit  
* in zumutbarer Zeit  
* mit zumutbarem Aufwand  
* mit zumutbarem Aufwand  
 
Setzt eine aktuelle und angemessene Dokumentation voraus
; Setzt eine aktuelle und angemessene Dokumentation voraus
|}


<noinclude>
<noinclude>
[[Kategorie:Sicherheit/Grundwerte]]
[[Kategorie:Sicherheit/Grundwerte]]
</noinclude>
</noinclude>

Version vom 8. Mai 2023, 10:33 Uhr

Grundwerte der Informationssicherheit

Motivation und Ziele der Informationssicherheit

Informationen (oder Daten) sind schützenswerte Güter.
  • Der Zugriff auf diese sollte beschränkt und kontrolliert sein.
  • Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen. Schutzziele werden zum Erreichen bzw.
Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert
  • Die Allgemeine Schutzziele sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt:
    • Vertraulichkeit (englisch: confidentiality): Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
    • Integrität (englisch: integrity): Daten dürfen nicht unbemerkt verändert werden.
  • Alle Änderungen müssen nachvollziehbar sein.
    • Verfügbarkeit (englisch: availability): Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
  • Weitere Schutzziele der Informationssicherheit:
    • Authentizität (englisch: authenticity) bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
    • Verbindlichkeit/Nichtabstreitbarkeit (englisch: non repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.[1] Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen.
  • Erreichbar ist sie beispielsweise durch elektronische Signaturen.
    • Zurechenbarkeit (englisch: accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
    • in bestimmtem Kontext (zum Beispiel im Internet) auch Anonymität
  • Besonderes Schutzziel im Zuge der DSGVO:
    • Resilienz (englisch: resilience): Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen.
  • Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar.
  • Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: threat).
  • Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
  • Jede mögliche Bedrohung ist ein Risiko (englisch: risk) für das Unternehmen.
  • Unternehmungen versuchen durch die Verwendung eines Risikomanagements (englisch: risk management) die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.

Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen IT-Systeme können entsprechende Schutzziele definiert werden.

  • Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens.
  • Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
  • Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender IT-Sicherheitsstandards statt.
  • Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
  • Mit Hilfe des ISO/IEC 27001- oder des IT-Grundschutz-Standards wird mit anerkannten Regeln versucht, die Komplexität soziotechnischer Systeme für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
Klassische Grundwerte der Informationssicherheit
Vertraulichkeit
Verfügbarkeit
Integrität

Weitere Forderungen

Authentizität (Authenticity)‏ Gesicherte Datenherkunft
Überwachung des Zugriffs zu Ressourcen
Ordnungsgemäßes Funktionieren eines IT-Systems
Revisions-Fähigkeit Organisation des Verfahrens
  • Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
Transparenz IT-Verfahren ist nachvollziehbar
  • für Sachkundige
  • in zumutbarer Zeit
  • mit zumutbarem Aufwand

Setzt eine aktuelle und angemessene Dokumentation voraus

  1. Referenzfehler: Es ist ein ungültiger <ref>-Tag vorhanden: Für die Referenz namens unibr_itsec05-0a_F25 wurde kein Text angegeben.
Abgerufen von „https://wiki.foxtom.de/index.php?title=ISMS/Schutzziele&oldid=67538