|
|
| Zeile 1: |
Zeile 1: |
| Grundwerte der Informationssicherheit
| | [[Kategorie:Sicherheit]] |
| | |
| '''topic''' - Kurzbeschreibung
| |
| == Beschreibung ==
| |
| ; Motivation und Ziele der Informationssicherheit
| |
| Informationen (oder Daten) sind schützenswerte Güter.
| |
| * Der Zugriff auf diese sollte beschränkt und kontrolliert sein
| |
| * Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen.
| |
| | |
| ''[[Schutzziele (Informationssicherheit)|Schutzziele]]'' werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von IT-Systemen definiert.
| |
| | |
| == Allgemeine Schutzziele ==
| |
| ; Auch als CIA bekannt
| |
| * Nach ihren englischen Abkürzungen
| |
| {| class="wikitable options"
| |
| |-
| |
| ! Schutzziel !! Englisch !! Beschreibung
| |
| |-
| |
| | [[Vertraulichkeit]] || '''C'''onfidentiality || Daten dürfen lediglich von autorisierten Benutzern gelesen werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten als auch während der [[Datenübertragung]].
| |
| |-
| |
| | [[Integrität (Informationssicherheit)|Integrität]] || '''I'''ntegrity || Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.
| |
| |-
| |
| || [[Verfügbarkeit]] || '''A'''vailability || Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
| |
| |}
| |
| | |
| == Weitere Forderungen ==
| |
| {| class="wikitable options"
| |
| |-
| |
| ! Schutzziel !! Englisch !! Beschreibung
| |
| |-
| |
| | [[Authentizität]] || Authenticity || Bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts. Gesicherte Datenherkunft.
| |
| |-
| |
| | Verbindlichkeit/Nichtabstreitbarkeit || Non repudiation || Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch [[elektronische Signatur]]en.
| |
| |-
| |
| | Zurechenbarkeit || Accountability || Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.
| |
| |-
| |
| | [[Anonymität]] || In bestimmtem Kontext (Internet)
| |
| |-
| |
| | Überwachung || || Zugriff zu Ressourcen
| |
| |-
| |
| | Ordnungsgemäßes Funktionieren || || eines IT-Systems
| |
| |-
| |
| | Revisions-Fähigkeit || || Organisation des Verfahrens, Nachvollziehbarkeit, wie und wann welche Daten in das IT-System gelangt sind
| |
| |-
| |
| | Transparenz || || IT-Verfahren ist nachvollziehbar für Sachkundige, in zumutbarer Zeit, mit zumutbarem Aufwand. Setzt eine aktuelle und angemessene Dokumentation voraus.
| |
| |-
| |
| | Resilienz || Resilience || Schutzziel im Zuge der [[Datenschutz-Grundverordnung|DSGVO]]. Widerstandsfähigkeit/Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen)
| |
| |}
| |
| | |
| == Risikoanalyse und Bewertung ==
| |
| ; Jedes noch so gut geplante und umgesetzte IT-System kann [[Sicherheitslücke|Schwachstellen]] besitzen.
| |
| * Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System ''[[Verwundbarkeit|verwundbar]]''.
| |
| * Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: ''threat'').
| |
| * Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale [[Unternehmenswert]]e, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen.
| |
| * Jede mögliche Bedrohung ist ein ''[[Risiko]]'' (englisch: ''risk'') für das Unternehmen.
| |
| * Unternehmungen versuchen durch die Verwendung eines [[Risikomanagement]]s (englisch: ''risk management'') die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.
| |
| Nach einer ''[[Risikoanalyse]]'' und ''Bewertung'' der unternehmensspezifischen IT-Systeme können entsprechende ''Schutzziele'' definiert werden.
| |
| * Anschließend folgt die Auswahl von IT-Sicherheitsmaßnahmen für die jeweiligen [[Geschäftsprozess]]e eines Unternehmens.
| |
| * Dieser Vorgang zählt zu den Tätigkeiten des IT-Sicherheitsmanagements.
| |
| * Eine genormte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.
| |
| | |
| ; Im Rahmen des IT-Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender ''IT-Sicherheitsstandards'' statt.
| |
| * Zu diesem Zweck existieren im Bereich IT-Sicherheitsmanagement verschiedene Standards.
| |
| * Mit Hilfe des ''[[ISO/IEC 27001]]''- oder des ''[[IT-Grundschutz]]''-Standards wird mit anerkannten Regeln versucht, die Komplexität [[Soziotechnisches System|soziotechnischer Systeme]] für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.
| |
| | |
| <noinclude>
| |
| [[Kategorie:Sicherheit/Grundwerte]] | |
| | |
| == Anhang ==
| |
| === Siehe auch ===
| |
| {{Special:PrefixIndex/{{BASEPAGENAME}}}}
| |
| ==== Sicherheit ====
| |
| ==== Dokumentation ====
| |
| ===== RFC =====
| |
| ===== Man-Pages =====
| |
| ===== Info-Pages =====
| |
| ==== Links ====
| |
| ===== Einzelnachweise =====
| |
| <references />
| |
| ===== Projekt =====
| |
| ===== Weblinks =====
| |
| <noinclude>
| |
| | |
| === Testfragen ===
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 1''
| |
| <div class="mw-collapsible-content">
| |
| <nowiki>'''Antwort1'''
| |
| </div>
| |
| | |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 2''
| |
| <div class="mw-collapsible-content">'''Antwort2'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 3''
| |
| <div class="mw-collapsible-content">'''Antwort3'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 4''
| |
| <div class="mw-collapsible-content">'''Antwort4'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 5''
| |
| <div class="mw-collapsible-content">'''Antwort5'''</div>
| |
| </div>
| |
| </noinclude>
| |