Schutzziele: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 1: | Zeile 1: | ||
'''topic''' - Kurzbeschreibung | |||
=== Beschreibung === | |||
Grundwerte der Informationssicherheit | Grundwerte der Informationssicherheit | ||
; Motivation und Ziele der Informationssicherheit | ; Motivation und Ziele der Informationssicherheit | ||
Informationen (oder Daten) sind schützenswerte Güter. | Informationen (oder Daten) sind schützenswerte Güter. | ||
| Zeile 9: | Zeile 10: | ||
; Schutzziele | ; Schutzziele | ||
* | * werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert | ||
== Allgemeine Schutzziele == | === Allgemeine Schutzziele === | ||
'''CIA''' - '''C'''onfidentiality '''I'''ntegrity '''A'''vailability | '''CIA''' - '''C'''onfidentiality '''I'''ntegrity '''A'''vailability | ||
| Zeile 25: | Zeile 26: | ||
|} | |} | ||
== Weitere Forderungen == | === Weitere Forderungen === | ||
{| class="wikitable options" | {| class="wikitable options" | ||
|- | |- | ||
| Zeile 51: | Zeile 52: | ||
|} | |} | ||
== Risikoanalyse und Bewertung == | === Risikoanalyse und Bewertung === | ||
; Jedes noch so gut geplante und umgesetzte IT-System kann [[Sicherheitslücke|Schwachstellen]] besitzen. | ; Jedes noch so gut geplante und umgesetzte IT-System kann [[Sicherheitslücke|Schwachstellen]] besitzen. | ||
* Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System ''[[Verwundbarkeit|verwundbar]]''. | * Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System ''[[Verwundbarkeit|verwundbar]]''. | ||
* Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: ''threat''). | * Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: ''threat''). | ||
* Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale [[Unternehmenswert]]e, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen. | * Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale [[Unternehmenswert]]e, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen. | ||
* Jede mögliche Bedrohung ist ein ''[[Risiko]]'' (englisch: ''risk'') für das Unternehmen. | * Jede mögliche Bedrohung ist ein ''[[Risiko]]'' (englisch: ''risk'') für das Unternehmen. | ||
* Unternehmungen versuchen durch die Verwendung eines [[Risikomanagement]]s (englisch: ''risk management'') die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen. | * Unternehmungen versuchen durch die Verwendung eines [[Risikomanagement]]s (englisch: ''risk management'') die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen. | ||
Nach einer ''[[Risikoanalyse]]'' und ''Bewertung'' der unternehmensspezifischen IT-Systeme können entsprechende ''Schutzziele'' definiert werden. | Nach einer ''[[Risikoanalyse]]'' und ''Bewertung'' der unternehmensspezifischen IT-Systeme können entsprechende ''Schutzziele'' definiert werden. | ||
* Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen [[Geschäftsprozess]]e eines Unternehmens. | * Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen [[Geschäftsprozess]]e eines Unternehmens. | ||
* Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements. | * Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements. | ||
* Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht. | * Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht. | ||
; Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender ''IT-Sicherheitsstandards'' statt. | ; Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender ''IT-Sicherheitsstandards'' statt. | ||
* Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards. | * Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards. | ||
* Mit Hilfe des ''[[ISO/IEC 27001]]''- oder des ''[[IT-Grundschutz]]''-Standards wird mit anerkannten Regeln versucht, die Komplexität [[Soziotechnisches System|soziotechnischer Systeme]] für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden. | * Mit Hilfe des ''[[ISO/IEC 27001]]''- oder des ''[[IT-Grundschutz]]''-Standards wird mit anerkannten Regeln versucht, die Komplexität [[Soziotechnisches System|soziotechnischer Systeme]] für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden. | ||
| Zeile 70: | Zeile 71: | ||
[[Kategorie:Sicherheit/Ziele]] | [[Kategorie:Sicherheit/Ziele]] | ||
== Anhang == | === Anhang === | ||
=== Siehe auch === | ==== Siehe auch ==== | ||
{{Special:PrefixIndex/ | {{Special:PrefixIndex/Schutzziele}} | ||
==== Links ==== | ===== Links ===== | ||
===== Weblinks ===== | ====== Weblinks ====== | ||
<noinclude> | <noinclude> | ||
=== Testfragen === | ==== Testfragen ==== | ||
<div class="toccolours mw-collapsible mw-collapsed"> | <div class="toccolours mw-collapsible mw-collapsed"> | ||
''Testfrage 1'' | ''Testfrage 1'' | ||
Version vom 14. Mai 2023, 09:41 Uhr
topic - Kurzbeschreibung
Beschreibung
Grundwerte der Informationssicherheit
- Motivation und Ziele der Informationssicherheit
Informationen (oder Daten) sind schützenswerte Güter.
- Der Zugriff auf diese sollte beschränkt und kontrolliert sein
- Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen.
- Schutzziele
- werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert
Allgemeine Schutzziele
CIA - Confidentiality Integrity Availability
| Schutzziel | Englisch | Beschreibung |
|---|---|---|
| Vertraulichkeit | Confidentiality | Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung. |
| Integrität | Integrity | Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein. |
| Verfügbarkeit | Availability | Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein. |
Weitere Forderungen
| Schutzziel | Englisch | Beschreibung |
|---|---|---|
| Authentizität | Authenticity | Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts. |
| Verbindlichkeit/Nichtabstreitbarkeit | Non repudiation | Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen. |
| Zurechenbarkeit | Accountability | Eine Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden |
| Anonymität | ||
| Authentizität | Authenticity | Gesicherte Datenherkunft |
| Überwachung | Zugriff zu Ressourcen | |
| Ordnungsgemäßes Funktionieren | eines IT-Systems | |
| Revisions-Fähigkeit | Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind | |
| Transparenz | IT-Verfahren ist nachvollziehbar für Sachkundige, in zumutbarer Zeit, mit zumutbarem Aufwand. Setzt eine aktuelle und angemessene Dokumentation voraus. | |
| Resilienz | Resilience | Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen) |
Risikoanalyse und Bewertung
- Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen.
- Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar.
- Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: threat).
- Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
- Jede mögliche Bedrohung ist ein Risiko (englisch: risk) für das Unternehmen.
- Unternehmungen versuchen durch die Verwendung eines Risikomanagements (englisch: risk management) die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.
Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen IT-Systeme können entsprechende Schutzziele definiert werden.
- Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens.
- Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
- Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
- Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender IT-Sicherheitsstandards statt.
- Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
- Mit Hilfe des ISO/IEC 27001- oder des IT-Grundschutz-Standards wird mit anerkannten Regeln versucht, die Komplexität soziotechnischer Systeme für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
Anhang
Siehe auch
Links
Weblinks
Testfragen
Testfrage 1
<nowiki>Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5