ISMS/Schutzziele: Unterschied zwischen den Versionen
| Zeile 7: | Zeile 7: | ||
* Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen. | * Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen. | ||
''[[Schutzziele (Informationssicherheit)|Schutzziele]]'' werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert: | ''[[Schutzziele (Informationssicherheit)|Schutzziele]]'' werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert: | ||
=== Allgemeine Schutzziele === | |||
sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt: | sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt: | ||
{| class="wikitable options" | {| class="wikitable options" | ||
| Zeile 23: | Zeile 22: | ||
|} | |} | ||
=== Weitere Schutzziele der Informationssicherheit === | |||
* ''[[Authentizität]]'' (englisch: ''authenticity'') bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts. | * ''[[Authentizität]]'' (englisch: ''authenticity'') bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts. | ||
* ''Verbindlichkeit/Nichtabstreitbarkeit'' (englisch: ''non repudiation''): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.<ref name="unibr_itsec05-0a_F25" /> Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch [[elektronische Signatur]]en. | * ''Verbindlichkeit/Nichtabstreitbarkeit'' (englisch: ''non repudiation''): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.<ref name="unibr_itsec05-0a_F25" /> Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch [[elektronische Signatur]]en. | ||
| Zeile 29: | Zeile 28: | ||
* in bestimmtem Kontext (zum Beispiel im Internet) auch ''[[Anonymität]]'' | * in bestimmtem Kontext (zum Beispiel im Internet) auch ''[[Anonymität]]'' | ||
=== Besonderes Schutzziel im Zuge der [[Datenschutz-Grundverordnung|DSGVO]] === | |||
* ''Resilienz'' (englisch: ''resilience''): Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen) | * ''Resilienz'' (englisch: ''resilience''): Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen) | ||
=== Risikoanalyse und Bewertung === | |||
; Jedes noch so gut geplante und umgesetzte IT-System kann [[Sicherheitslücke|Schwachstellen]] besitzen. | ; Jedes noch so gut geplante und umgesetzte IT-System kann [[Sicherheitslücke|Schwachstellen]] besitzen. | ||
* Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System ''[[Verwundbarkeit|verwundbar]]''. | * Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System ''[[Verwundbarkeit|verwundbar]]''. | ||
| Zeile 43: | Zeile 43: | ||
* Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht. | * Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht. | ||
=== IT-Sicherheitsmanagements === | |||
; Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender ''IT-Sicherheitsstandards'' statt. | ; Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender ''IT-Sicherheitsstandards'' statt. | ||
* Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards. | * Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards. | ||
Version vom 8. Mai 2023, 21:33 Uhr
Grundwerte der Informationssicherheit
Beschreibung
- Motivation und Ziele der Informationssicherheit
Informationen (oder Daten) sind schützenswerte Güter.
- Der Zugriff auf diese sollte beschränkt und kontrolliert sein
- Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen.
Schutzziele werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert:
Allgemeine Schutzziele
sind nach ihrer englischen Abkürzung auch als CIA(-Triade) bekannt:
| Deutsch | Englisch | Beschreibung |
|---|---|---|
| Vertraulichkeit | Confidentiality | Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung. |
| Integrität | Integrity | Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein. |
| Verfügbarkeit | Availability | Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein. |
Weitere Schutzziele der Informationssicherheit
- Authentizität (englisch: authenticity) bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
- Verbindlichkeit/Nichtabstreitbarkeit (englisch: non repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.[1] Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen.
- Zurechenbarkeit (englisch: accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
- in bestimmtem Kontext (zum Beispiel im Internet) auch Anonymität
Besonderes Schutzziel im Zuge der DSGVO
- Resilienz (englisch: resilience): Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
Risikoanalyse und Bewertung
- Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen.
- Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar.
- Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: threat).
- Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
- Jede mögliche Bedrohung ist ein Risiko (englisch: risk) für das Unternehmen.
- Unternehmungen versuchen durch die Verwendung eines Risikomanagements (englisch: risk management) die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.
Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen IT-Systeme können entsprechende Schutzziele definiert werden.
- Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens.
- Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
- Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
IT-Sicherheitsmanagements
- Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender IT-Sicherheitsstandards statt.
- Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
- Mit Hilfe des ISO/IEC 27001- oder des IT-Grundschutz-Standards wird mit anerkannten Regeln versucht, die Komplexität soziotechnischer Systeme für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
Weitere Forderungen
| Authentizität (Authenticity) | Gesicherte Datenherkunft |
| Überwachung | des Zugriffs zu Ressourcen |
| Ordnungsgemäßes Funktionieren | eines IT-Systems |
| Revisions-Fähigkeit | Organisation des Verfahrens
|
| Transparenz | IT-Verfahren ist nachvollziehbar
Setzt eine aktuelle und angemessene Dokumentation voraus |
- ↑ Referenzfehler: Es ist ein ungültiger
<ref>-Tag vorhanden: Für die Referenz namensunibr_itsec05-0a_F25wurde kein Text angegeben.