Schutzziele: Unterschied zwischen den Versionen
Dirkwagner verschob die Seite Sicherheit/Ziele nach Kategorie:Sicherheit/Ziele Markierung: Neue Weiterleitung |
Weiterleitung auf Kategorie:Sicherheit/Ziele entfernt Markierung: Weiterleitung entfernt |
||
| Zeile 1: | Zeile 1: | ||
Grundwerte der Informationssicherheit | |||
'''topic''' - Kurzbeschreibung | |||
== Beschreibung == | |||
; Motivation und Ziele der Informationssicherheit | |||
Informationen (oder Daten) sind schützenswerte Güter. | |||
* Der Zugriff auf diese sollte beschränkt und kontrolliert sein | |||
* Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen. | |||
''[[Schutzziele (Informationssicherheit)|Schutzziele]]'' werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert. | |||
== Allgemeine Schutzziele == | |||
; Auch als CIA bekannt | |||
* Nach ihren englischen Abkürzungen | |||
{| class="wikitable options" | |||
|- | |||
! Schutzziel !! Englisch !! Beschreibung | |||
|- | |||
| [[Vertraulichkeit]] || '''C'''onfidentiality || Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der [[Datenübertragung]]. | |||
|- | |||
| [[Integrität (Informationssicherheit)|Integrität]] || '''I'''ntegrity || Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein. | |||
|- | |||
|| [[Verfügbarkeit]] || '''A'''vailability || Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein. | |||
|} | |||
== Weitere Forderungen == | |||
{| class="wikitable options" | |||
|- | |||
! Schutzziel !! Englisch !! Beschreibung | |||
|- | |||
| [[Authentizität]] || Authenticity || Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts. | |||
|- | |||
| Verbindlichkeit/Nichtabstreitbarkeit || Non repudiation || Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch [[elektronische Signatur]]en. | |||
|- | |||
| Zurechenbarkeit || Accountability || „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“ | |||
* in bestimmtem Kontext (zum Beispiel im Internet) auch ''[[Anonymität]]'' | |||
|- | |||
| Authentizität || Authenticity || Gesicherte Datenherkunft | |||
|- | |||
| Überwachung || || Zugriff zu Ressourcen | |||
|- | |||
| Ordnungsgemäßes Funktionieren || || eines IT-Systems | |||
|- | |||
| Revisions-Fähigkeit || || Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind | |||
|- | |||
| Transparenz || || IT-Verfahren ist nachvollziehbar für Sachkundige, in zumutbarer Zeit, mit zumutbarem Aufwand. Setzt eine aktuelle und angemessene Dokumentation voraus. | |||
|} | |||
=== Besonderes Schutzziel im Zuge der [[Datenschutz-Grundverordnung|DSGVO]] === | |||
{| class="wikitable options" | |||
|- | |||
! Schutzziel !! Englisch !! Beschreibung | |||
|- | |||
| Resilienz || Resilience || Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen) | |||
|} | |||
== Risikoanalyse und Bewertung == | |||
; Jedes noch so gut geplante und umgesetzte IT-System kann [[Sicherheitslücke|Schwachstellen]] besitzen. | |||
* Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System ''[[Verwundbarkeit|verwundbar]]''. | |||
* Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: ''threat''). | |||
* Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale [[Unternehmenswert]]e, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen. | |||
* Jede mögliche Bedrohung ist ein ''[[Risiko]]'' (englisch: ''risk'') für das Unternehmen. | |||
* Unternehmungen versuchen durch die Verwendung eines [[Risikomanagement]]s (englisch: ''risk management'') die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen. | |||
Nach einer ''[[Risikoanalyse]]'' und ''Bewertung'' der unternehmensspezifischen IT-Systeme können entsprechende ''Schutzziele'' definiert werden. | |||
* Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen [[Geschäftsprozess]]e eines Unternehmens. | |||
* Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements. | |||
* Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht. | |||
; Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender ''IT-Sicherheitsstandards'' statt. | |||
* Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards. | |||
* Mit Hilfe des ''[[ISO/IEC 27001]]''- oder des ''[[IT-Grundschutz]]''-Standards wird mit anerkannten Regeln versucht, die Komplexität [[Soziotechnisches System|soziotechnischer Systeme]] für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden. | |||
<noinclude> | |||
[[Kategorie:Sicherheit/Grundwerte]] | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | |||
==== Sicherheit ==== | |||
==== Dokumentation ==== | |||
===== RFC ===== | |||
===== Man-Pages ===== | |||
===== Info-Pages ===== | |||
==== Links ==== | |||
===== Einzelnachweise ===== | |||
<references /> | |||
===== Projekt ===== | |||
===== Weblinks ===== | |||
<noinclude> | |||
=== Testfragen === | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
''Testfrage 1'' | |||
<div class="mw-collapsible-content"> | |||
<nowiki>'''Antwort1''' | |||
</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
''Testfrage 2'' | |||
<div class="mw-collapsible-content">'''Antwort2'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
''Testfrage 3'' | |||
<div class="mw-collapsible-content">'''Antwort3'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
''Testfrage 4'' | |||
<div class="mw-collapsible-content">'''Antwort4'''</div> | |||
</div> | |||
<div class="toccolours mw-collapsible mw-collapsed"> | |||
''Testfrage 5'' | |||
<div class="mw-collapsible-content">'''Antwort5'''</div> | |||
</div> | |||
[[Kategorie:Sicherheit/Ziele]] | |||
</noinclude> | |||
Version vom 8. Mai 2023, 21:58 Uhr
Grundwerte der Informationssicherheit
topic - Kurzbeschreibung
Beschreibung
- Motivation und Ziele der Informationssicherheit
Informationen (oder Daten) sind schützenswerte Güter.
- Der Zugriff auf diese sollte beschränkt und kontrolliert sein
- Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen.
Schutzziele werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert.
Allgemeine Schutzziele
- Auch als CIA bekannt
- Nach ihren englischen Abkürzungen
| Schutzziel | Englisch | Beschreibung |
|---|---|---|
| Vertraulichkeit | Confidentiality | Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten wie auch während der Datenübertragung. |
| Integrität | Integrity | Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein. |
| Verfügbarkeit | Availability | Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein. |
Weitere Forderungen
| Schutzziel | Englisch | Beschreibung |
|---|---|---|
| Authentizität | Authenticity | Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts. |
| Verbindlichkeit/Nichtabstreitbarkeit | Non repudiation | Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen. |
| Zurechenbarkeit | Accountability | „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
|
| Authentizität | Authenticity | Gesicherte Datenherkunft |
| Überwachung | Zugriff zu Ressourcen | |
| Ordnungsgemäßes Funktionieren | eines IT-Systems | |
| Revisions-Fähigkeit | Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind | |
| Transparenz | IT-Verfahren ist nachvollziehbar für Sachkundige, in zumutbarer Zeit, mit zumutbarem Aufwand. Setzt eine aktuelle und angemessene Dokumentation voraus. |
Besonderes Schutzziel im Zuge der DSGVO
| Schutzziel | Englisch | Beschreibung |
|---|---|---|
| Resilienz | Resilience | Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen) |
Risikoanalyse und Bewertung
- Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen.
- Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar.
- Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: threat).
- Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
- Jede mögliche Bedrohung ist ein Risiko (englisch: risk) für das Unternehmen.
- Unternehmungen versuchen durch die Verwendung eines Risikomanagements (englisch: risk management) die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.
Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen IT-Systeme können entsprechende Schutzziele definiert werden.
- Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens.
- Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
- Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
- Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender IT-Sicherheitsstandards statt.
- Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
- Mit Hilfe des ISO/IEC 27001- oder des IT-Grundschutz-Standards wird mit anerkannten Regeln versucht, die Komplexität soziotechnischer Systeme für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
Anhang
Siehe auch
Sicherheit
Dokumentation
RFC
Man-Pages
Info-Pages
Links
Einzelnachweise
Projekt
Weblinks
Testfragen
Testfrage 1
<nowiki>Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5