Schutzziele: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 12: Zeile 12:


== Allgemeine Schutzziele ==
== Allgemeine Schutzziele ==
; Auch als CIA bekannt
'''CIA''' - '''C'''onfidentiality '''I'''ntegrity '''A'''vailability
* Nach ihren englischen Abkürzungen
* Nach ihren englischen Abkürzungen
{| class="wikitable options"
{| class="wikitable options"

Version vom 11. Mai 2023, 13:17 Uhr

Grundwerte der Informationssicherheit

topic - Kurzbeschreibung

Beschreibung

Motivation und Ziele der Informationssicherheit

Informationen (oder Daten) sind schützenswerte Güter.

  • Der Zugriff auf diese sollte beschränkt und kontrolliert sein
  • Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen.
Schutzziele
  • werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert

Allgemeine Schutzziele

CIA - Confidentiality Integrity Availability

  • Nach ihren englischen Abkürzungen
Schutzziel Englisch Beschreibung
Vertraulichkeit Confidentiality Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung.
Integrität Integrity Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
Verfügbarkeit Availability Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.

Weitere Forderungen

Schutzziel Englisch Beschreibung
Authentizität Authenticity Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
Verbindlichkeit/Nichtabstreitbarkeit Non repudiation Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen.
Zurechenbarkeit Accountability „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
Anonymität in bestimmtem Kontext (zum Beispiel im Internet)
Authentizität Authenticity Gesicherte Datenherkunft
Überwachung Zugriff zu Ressourcen
Ordnungsgemäßes Funktionieren eines IT-Systems
Revisions-Fähigkeit Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
Transparenz IT-Verfahren ist nachvollziehbar für Sachkundige, in zumutbarer Zeit, mit zumutbarem Aufwand. Setzt eine aktuelle und angemessene Dokumentation voraus.
Resilienz Resilience Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)

Risikoanalyse und Bewertung

Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen.
  • Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar.
  • Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: threat).
  • Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
  • Jede mögliche Bedrohung ist ein Risiko (englisch: risk) für das Unternehmen.
  • Unternehmungen versuchen durch die Verwendung eines Risikomanagements (englisch: risk management) die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.

Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen IT-Systeme können entsprechende Schutzziele definiert werden.

  • Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens.
  • Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
  • Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender IT-Sicherheitsstandards statt.
  • Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
  • Mit Hilfe des ISO/IEC 27001- oder des IT-Grundschutz-Standards wird mit anerkannten Regeln versucht, die Komplexität soziotechnischer Systeme für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.

Anhang

Siehe auch

Sicherheit

Dokumentation

RFC
Man-Pages
Info-Pages

Links

Einzelnachweise
Projekt
Weblinks

Testfragen

Testfrage 1

<nowiki>Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5