Zum Inhalt springen

Informationssicherheit

Aus Foxwiki

Informationssicherheit - Eigenschaft von Systemen Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen

Beschreibung

Option Beschreibung
Grundlagen
Begriffe
Schutzziele
Managementsystem
Maßnahmen
Common Criteria
Security Engineering
Qualifizierung
Audit und Zertifizierungen
Rahmenbedingungen
Umsetzungsbereiche
Mobile Endgeräte
Bedrohungen
Informationssicherheit - Schutz von Informationen durch Risikominderung

Informationssicherheit, manchmal abgekürzt mit InfoSec, ist der Schutz von Informationen durch die Minderung von Informationsrisiken.

In der Regel geht es darum, die Wahrscheinlichkeit eines unbefugten/unangemessenen Zugriffs auf Daten oder die unrechtmäßige Nutzung, Enthüllung, Unterbrechung, Löschung, Korruption, Änderung, Einsichtnahme, Aufzeichnung oder Entwertung von Informationen zu verhindern oder zu verringern.

Er umfasst auch Maßnahmen zur Verringerung der nachteiligen Auswirkungen solcher Vorfälle.

  • Geschützte Informationen können jede Form annehmen, z.B.
  • elektronisch oder physisch, materiell (z.B. Papier) oder immateriell (z.B. Wissen).

Das Hauptaugenmerk der Informationssicherheit liegt auf dem ausgewogenen Schutz der Datenvertraulichkeit, Datenintegrität und Datenverfügbarkeit von Daten (auch als CIA-Trias bekannt), wobei der Schwerpunkt auf der effizienten Umsetzung von Richtlinien liegt, ohne die Produktivität der Organisation zu beeinträchtigen.

Dies wird größtenteils durch einen strukturierten Risikomanagement-Prozess erreicht, der Folgendes umfasst
  • Identifizierung von Informationen und zugehörigen Vermögenswerten sowie potenziellen Bedrohungen, Schwachstellen und Auswirkungen;
  • Bewertung der Risiken
  • Entscheidung, wie mit den Risiken umzugehen ist, d.h.
  • sie zu vermeiden, abzuschwächen, zu teilen oder zu akzeptieren
  • wenn eine Risikominderung erforderlich ist, Auswahl oder Entwurf geeigneter Sicherheitskontrollen und deren Implementierung
  • Überwachung der Aktivitäten und ggf.
  • Anpassung an Probleme, Veränderungen und Verbesserungsmöglichkeiten

Um diese Disziplin zu standardisieren, arbeiten Akademiker und Fachleute zusammen, um Leitlinien, Richtlinien und Industriestandards zu Passwort, Antivirensoftware, firewall, Verschlüsselungssoftware, rechtliche Haftung, Sicherheitsbewusstsein und Schulung usw.

  • anzubieten.

Diese Standardisierung kann durch eine Vielzahl von Gesetzen und Vorschriften vorangetrieben werden, die sich darauf auswirken, wie Daten abgerufen, verarbeitet, gespeichert, übertragen und vernichtet werden. Die Umsetzung von Standards und Leitlinien innerhalb einer Organisation kann jedoch nur begrenzte Wirkung haben, wenn keine Kultur der Kontinuierliche Verbesserung eingeführt wird.

Definition

vectorial version
Information Security Attributes: or qualities, i.e., Confidentiality, Integrity and Availability (CIA). Information Systems are composed in three main portions, hardware, software and communications with the purpose to help identify and apply information security industry standards, as mechanisms of protection and prevention, at three levels or layers: physical, personal and organizational. * Essentially, procedures or policies are implemented to tell administrators, users and operators how to use products to ensure information security within the organizations.
Im Folgenden werden verschiedene Definitionen von Informationssicherheit vorgeschlagen, die aus unterschiedlichen Quellen stammen
  1. Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
    Darüber hinaus können auch andere Eigenschaften, wie Authentizität, Verantwortlichkeit, Nichtabstreitbarkeit und Zuverlässigkeit, einbezogen werden." (ISO/IEC 27000:2009)
  2. "Der Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, Verwendung, Offenlegung, Störung, Änderung oder Zerstörung, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten." (CNSS, 2010)
  3. "Stellt sicher, dass nur autorisierte Benutzer (Vertraulichkeit) bei Bedarf Zugang zu genauen und vollständigen Informationen (Integrität) haben (Verfügbarkeit)." (ISACA, 2008)
  4. "Informationssicherheit ist der Prozess des Schutzes des geistigen Eigentums einer Organisation." (Pipkin, 2000)
  5. "...Informationssicherheit ist eine Disziplin des Risikomanagements, deren Aufgabe es ist, die Kosten des Informationsrisikos für das Unternehmen zu verwalten." (McDermott und Geer, 2001)
  6. Ein gut informiertes Gefühl der Sicherheit, dass Informationsrisiken und -kontrollen im Gleichgewicht sind. (Anderson, J., 2003)
  7. "Informationssicherheit ist der Schutz von Informationen und minimiert das Risiko, dass Informationen Unbefugten zugänglich gemacht werden." (Venter und Eloff, 2003)
  8. Informationssicherheit ist ein multidisziplinäres Studien- und Berufsfeld, das sich mit der Entwicklung und Umsetzung von Sicherheitsmechanismen aller verfügbaren Arten (technisch, organisatorisch, menschlich und rechtlich) befasst, um Informationen an all ihren Orten (innerhalb und außerhalb der Unternehmensgrenzen) und folglich auch Informationssysteme, in denen Informationen erstellt, verarbeitet, gespeichert, übertragen und vernichtet werden, vor Bedrohungen zu schützen.

Bedrohungen für Informationen und Informationssysteme können in Kategorien eingeteilt werden, und für jede Kategorie von Bedrohungen kann ein entsprechendes Sicherheitsziel definiert werden.

  • Ein Satz von Sicherheitszielen, der als Ergebnis einer Bedrohungsanalyse ermittelt wurde, sollte regelmäßig überarbeitet werden, um seine Angemessenheit und Konformität mit dem sich entwickelnden Umfeld sicherzustellen.
  • Der derzeit relevante Satz von Sicherheitszielen kann Folgendes umfassen: Vertraulichkeit, Integrität, Verfügbarkeit, Datenschutz, Authentizität und Vertrauenswürdigkeit, Nichtabstreitbarkeit, Rechenschaftspflicht und Überprüfbarkeit." (Cherdantseva und Hilton, 2013)
  • Die Sicherheit von Informationen und Informationsressourcen unter Verwendung von Telekommunikationssystemen oder -geräten bedeutet den Schutz von Informationen, Informationssystemen oder Büchern vor unbefugtem Zugriff, Beschädigung, Diebstahl oder Zerstörung (Kurose und Ross, 2010).

Überblick

Das Kernstück der Informationssicherheit ist die Informationssicherung, d.h.
  • die Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) von Informationen, um sicherzustellen, dass Informationen in kritischen Situationen nicht beeinträchtigt werden.
  • Zu diesen Problemen gehören unter anderem Naturkatastrophen, Computer-/Serverfehlfunktionen und physischer Diebstahl.
  • Während papiergestützte Geschäftsabläufe immer noch weit verbreitet sind und eine eigene Reihe von Informationssicherheitspraktiken erfordern, werden digitale Unternehmensinitiativen immer mehr in den Vordergrund gerückt, wobei die Informationssicherheit jetzt in der Regel von IT-Sicherheitsspezialisten übernommen wird.
  • Diese Spezialisten wenden die Informationssicherheit auf die Technologie an (meistens auf eine Form von Computersystemen).
  • Es sei darauf hingewiesen, dass ein Computer nicht zwangsläufig ein Heimcomputer ist.
Ein Computer ist jedes Gerät mit einer Prozessor und etwas Speicher.
  • Solche Geräte können von nicht vernetzten, eigenständigen Geräten wie Taschenrechnern bis hin zu vernetzten mobilen Computern wie Smartphones und Tablet-Computern reichen.

IT-Sicherheitsspezialisten sind aufgrund der Art und des Wertes der Daten in größeren Unternehmen fast immer in allen größeren Unternehmen/Einrichtungen zu finden. Sie sind dafür verantwortlich, dass die gesamte Technologie des Unternehmens vor böswilligen Cyberangriffen geschützt wird, die häufig darauf abzielen, an wichtige private Informationen zu gelangen oder die Kontrolle über die internen Systeme zu erlangen.

Der Bereich der Informationssicherheit hat sich in den letzten Jahren stark weiterentwickelt.
  • Es bietet viele Spezialisierungsmöglichkeiten, darunter die Sicherung von Netzwerken und verwandter Infrastruktur, die Sicherung von Anwendungen und Datenbanken, Sicherheitstests, die Prüfung von Informationssystemen Auditierung, Geschäftskontinuitätsplanung, die Aufdeckung elektronischer Daten und digitale Forensik.Fachleute für Informationssicherheit sind in ihrem Beschäftigungsverhältnis sehr stabil.
  • Mehr als 80 Prozent der Fachleute hatten über einen Zeitraum von einem Jahr keinen Wechsel des Arbeitgebers oder der Beschäftigung zu verzeichnen, und die Zahl der Fachleute wird von 2014 bis 2019 voraussichtlich kontinuierlich um mehr als 11 Prozent jährlich steigen.

Bedrohungen

Bedrohungen der Informationssicherheit Bedrohungen gibt es in vielen verschiedenen Formen

Einige der häufigsten Bedrohungen sind heute Softwareangriffe, Diebstahl von geistigem Eigentum, Identitätsdiebstahl, Diebstahl von Geräten oder Informationen, Sabotage und Informationserpressung.

Viren, Würmer, Phishing-Angriffe und Trojanische Pferde sind einige gängige Beispiele für Software-Angriffe.

Unter Identitätsdiebstahl versteht man den Versuch, sich als eine andere Person auszugeben, um an deren persönliche Daten zu gelangen oder deren Zugang zu wichtigen Informationen durch Social Engineering auszunutzen.

Der Diebstahl von Geräten oder Informationen wird heutzutage immer häufiger, da die meisten Geräte heutzutage mobil sind, Sie sind anfällig für Diebstahl und mit zunehmender Datenkapazität auch sehr viel begehrter geworden.

Sabotage besteht in der Regel in der Zerstörung der Website eines Unternehmens, um das Vertrauen der Kunden zu erschüttern.

Bei der Informationserpressung wird versucht, das Eigentum oder die Informationen eines Unternehmens zu stehlen, um im Gegenzug eine Zahlung für die Rückgabe der Informationen oder des Eigentums an den Eigentümer zu erhalten, wie bei Ransomware.

Es gibt viele Möglichkeiten, sich vor einigen dieser Angriffe zu schützen, aber eine der funktionellsten Vorsichtsmaßnahmen ist die regelmäßige Sensibilisierung der Benutzer.

Die größte Bedrohung für jede Organisation sind die Benutzer oder internen Mitarbeiter, die auch als Insider-Bedrohungen bezeichnet werden.

Regierungen, Militär, Unternehmene, Finanzinstitute, Krankenhäuser, gemeinnützige Organisationen und private Unternehmen sammeln eine Vielzahl vertraulicher Informationen über ihre Mitarbeiter, Kunden, Produkte, Forschung und Finanzen. Sollten vertrauliche Informationen über Kunden, Finanzen oder eine neue Produktlinie eines Unternehmens in die Hände eines Konkurrenten oder eines Black Hat Hackers fallen, könnten ein Unternehmen und seine Kunden einen weitreichenden, nicht wieder gutzumachenden finanziellen Schaden erleiden und auch der Ruf des Unternehmens könnte Schaden nehmen. Aus geschäftlicher Sicht muss die Informationssicherheit gegen die Kosten abgewogen werden; das Gordon-Loeb-Modell bietet einen mathematisch-ökonomischen Ansatz, um dieses Problem zu lösen.

Für den Einzelnen hat die Informationssicherheit erhebliche Auswirkungen auf die Privatsphäre, die in verschiedenen Kulturen sehr unterschiedlich gehandhabt wird.

Reaktionen auf Bedrohungen

Mögliche Reaktionen auf eine Sicherheitsbedrohung oder ein Risiko sind
  • reduzieren/vermindern - Schutzmaßnahmen und Gegenmaßnahmen implementieren, um Schwachstellen zu beseitigen oder Bedrohungen abzuwehren
  • zuweisen/übertragen - die Kosten der Bedrohung auf eine andere Einheit oder Organisation übertragen, z.
  • B.
  • durch den Abschluss einer Versicherung oder Outsourcing
  • Akzeptieren - abwägen, ob die Kosten der Gegenmaßnahme die möglichen Verlustkosten aufgrund der Bedrohung überwiegen

Geschichte

Seit den Anfängen der Kommunikation waren sich Diplomaten und militärische Befehlshaber darüber im Klaren, dass ein Mechanismus zum Schutz der Vertraulichkeit der Korrespondenz und ein Mittel zur Aufdeckung von Manipulationen notwendig war. Julius Caesar wird die Erfindung der Caesar-Chiffre um 50 v.Chr.

  • zugeschrieben, die verhindern sollte, dass seine geheimen Botschaften gelesen werden konnten, falls eine Nachricht in die falschen Hände geriet.

In den meisten Fällen wurde der Schutz jedoch durch die Anwendung von Verfahrenskontrollen erreicht.

Sensible Informationen wurden gekennzeichnet, um anzuzeigen, dass sie geschützt und von vertrauenswürdigen Personen transportiert, bewacht und in einer sicheren Umgebung oder einem Tresor aufbewahrt werden sollten.

  • Mit der Ausweitung der Postdienste schufen die Regierungen offizielle Organisationen, um Briefe abzufangen, zu entziffern, zu lesen und wieder zu verschließen (z.B.
  • das 1653 gegründete britische Secret Office).

Jahrhunderts wurden komplexere Klassifizierungssysteme entwickelt, die es den Regierungen ermöglichten, ihre Informationen nach dem Grad ihrer Sensibilität zu verwalten. Die britische Regierung beispielsweise kodifizierte dies bis zu einem gewissen Grad mit der Veröffentlichung des Official Secrets Act im Jahr 1889. Abschnitt 1 des Gesetzes betraf die Spionage und die unrechtmäßige Weitergabe von Informationen, während sich Abschnitt 2 mit der Verletzung des offiziellen Vertrauens befasste. Bald wurde eine Verteidigung des öffentlichen Interesses hinzugefügt, um die Offenlegung von Informationen im Interesse des Staates zu schützen. Ein ähnliches Gesetz wurde 1889 in Indien verabschiedet, der Indian Official Secrets Act, der mit der britischen Kolonialzeit in Verbindung gebracht wurde und dazu diente, gegen Zeitungen vorzugehen, die sich der Politik des Raj widersetzten. Eine neuere Version wurde 1923 verabschiedet, die sich auf alle Angelegenheiten mit vertraulichen oder geheimen Informationen für die Regierung erstreckte. Zur Zeit des Ersten Weltkriegs wurden mehrstufige Klassifizierungssysteme für die Übermittlung von Informationen zwischen den verschiedenen Fronten verwendet, was zu einem verstärkten Einsatz von Verschlüsselungsabteilungen in diplomatischen und militärischen Hauptquartieren führte. In der Zwischenkriegszeit wurde die Verschlüsselung immer ausgeklügelter, da Maschinen eingesetzt wurden, um Informationen zu ver- und entschlüsseln.

Die Einführung der Computersicherheit leitete die Geschichte der Informationssicherheit ein.

  • Die Notwendigkeit dafür ergab sich während des Zweiten Weltkriegs.
  • Die Menge an Informationen, die von den alliierten Ländern während des Zweiten Weltkriegs ausgetauscht wurden, machte eine formale Anpassung der Klassifizierungssysteme und Verfahrenskontrollen erforderlich.

Es entwickelte sich eine Reihe von geheimnisvollen Kennzeichnungen, die anzeigten, wer mit Dokumenten umgehen durfte (in der Regel Offiziere und nicht Soldaten) und wo sie aufbewahrt werden sollten, während immer komplexere Tresore und Lagereinrichtungen entwickelt wurden. Die Enigma-Maschine, die von den Deutschen zur Verschlüsselung von Kriegsdaten eingesetzt und von Alan Turing erfolgreich entschlüsselt wurde, kann als eindrucksvolles Beispiel für die Erstellung und Nutzung gesicherter Informationen angesehen werden. Es wurden Verfahren entwickelt, um sicherzustellen, dass Dokumente ordnungsgemäß vernichtet wurden, und es war die Nichtbeachtung dieser Verfahren, die zu einigen der größten nachrichtendienstlichen Coups des Krieges führte (z.B.die Gefangennahme von U-570).

Während des Kalten Krieges wurden verschiedene Großrechner online miteinander verbunden, um anspruchsvollere Aufgaben zu erledigen, und zwar in einem Kommunikationsprozess, der einfacher war als das Hin- und Herschicken von Magnetbändern durch Rechenzentren.

1973 stellte der Internet-Pionier Robert Metcalfe fest, dass wichtige Elemente der ARPANET-Sicherheit zahlreiche Schwachstellen aufwiesen, wie z.B.: "Anfälligkeit der Passwortstruktur und -formate; fehlende Sicherheitsverfahren für Einwahlverbindungen; und nicht vorhandene Benutzeridentifizierung und -autorisierung", abgesehen von den fehlenden Kontrollen und Sicherheitsvorkehrungen zum Schutz der Daten vor unberechtigtem Zugriff.

  • Aufgrund dieser Probleme, gepaart mit der ständigen Verletzung der Computersicherheit sowie der exponentiellen Zunahme der Zahl der Hosts und Benutzer des Systems, wurde "Netzwerksicherheit" oft als "Netzwerkunsicherheit" bezeichnet.

Jahrhunderts und in den ersten Jahren des einundzwanzigsten Jahrhunderts gab es rasante Fortschritte in der Telekommunikation, der hardware und Software sowie der Verschlüsselung von Daten. Die Verfügbarkeit kleinerer, leistungsfähigerer und preiswerterer Computergeräte machte die elektronische Datenverarbeitung für Kleinunternehmen und Privatanwender erschwinglich. Die Einführung des Transfer Control Protocol/Internetwork Protocol (TCP/IP) in den frühen 1980er Jahren ermöglichte die Kommunikation zwischen verschiedenen Computertypen. Diese Computer wurden schnell durch das Internet miteinander verbunden.

Das rasche Wachstum und die weite Verbreitung der elektronischen Datenverarbeitung und des elektronischen Geschäftsverkehrs über das Internet sowie zahlreiche Fälle von internationalem Terrorismus führten dazu, dass bessere Methoden zum Schutz der Computer und der von ihnen gespeicherten, verarbeiteten und übertragenen Informationen erforderlich wurden. Es entstanden die akademischen Disziplinen Computersicherheit und Informationssicherung sowie zahlreiche Berufsverbände, die alle das gemeinsame Ziel verfolgen, die Sicherheit und Zuverlässigkeit von Informationssystemenen zu gewährleisten.

Grundprinzipien

Schlüsselkonzepte

Poster promoting information security by the Russian Ministry of Defence

Der CIA-Dreiklang aus Vertraulichkeit, Integrität und Verfügbarkeit ist das Herzstück der Informationssicherheit. (Die Mitglieder des klassischen InfoSec-Dreiklangs - Vertraulichkeit, Integrität und Verfügbarkeit - werden in der Literatur auch als Sicherheitsattribute, Eigenschaften, Sicherheitsziele, grundlegende Aspekte, Informationskriterien, kritische Informationsmerkmale und Grundbausteine bezeichnet). Es wird jedoch weiterhin darüber diskutiert, ob diese CIA-Trias ausreicht, um den sich schnell ändernden technologischen und geschäftlichen Anforderungen gerecht zu werden, wobei empfohlen wird, die Überschneidungen zwischen Verfügbarkeit und Vertraulichkeit sowie die Beziehung zwischen Sicherheit und Datenschutz zu erweitern.

Der Dreiklang scheint erstmals 1977 in einer NIST-Publikation erwähnt worden zu sein.

In den 1992 veröffentlichten und 2002 überarbeiteten Guidelines for the Security of Information Systems and Networks der OECD die neun allgemein anerkannten Grundsätze vor: Bewusstsein, Verantwortung, Reaktion, Ethik, Demokratie, Risikobewertung, Sicherheitsentwurf und -umsetzung, Sicherheitsmanagement und Neubewertung. Darauf aufbauend wurden 2004 in den NISTs Engineering Principles for Information Technology Security 33 Grundsätze vorgeschlagen.

  • Aus jedem dieser Grundsätze wurden Leitlinien und Praktiken abgeleitet.

1998 schlug Donn Parker ein alternatives Modell für die klassische CIA-Triade vor, das er die Sechs atomare Elemente der Information nannte.

Im Jahr 2011 veröffentlichte The Open Group den Informationssicherheitsmanagement-Standard O-ISM3. Dieser Standard schlägt eine operationelle Definition der Schlüsselkonzepte der Sicherheit vor, mit Elementen, die als "Sicherheitsziele" bezeichnet werden und sich auf Zugriffskontrolle (9), Verfügbarkeit (3), Datenqualität (1), Compliance und Technik (4) beziehen.

Keines dieser Modelle ist weit verbreitet.

Vertraulichkeit

In der Informationssicherheit ist Vertraulichkeit "die Eigenschaft, dass Informationen nicht für unbefugte Personen, Einrichtungen oder Prozesse zugänglich gemacht oder offengelegt werden".

Obwohl sie dem Begriff "Datenschutz" ähneln, sind die beiden Wörter nicht austauschbar.

  • Vielmehr ist die Vertraulichkeit eine Komponente des Datenschutzes, die unsere Daten vor unbefugten Einblicken schützt.

Beispiele für die Gefährdung der Vertraulichkeit elektronischer Daten sind der Diebstahl von Laptops, der Diebstahl von Passwörtern oder der Versand sensibler E-Mails an die falschen Personen.

Integrität

In der IT-Sicherheit bedeutet Datenintegrität, dass die Richtigkeit und Vollständigkeit von Daten während ihres gesamten Lebenszyklus gewahrt und sichergestellt wird. Dies bedeutet, dass Daten nicht auf unautorisierte oder unentdeckte Weise verändert werden können. Dies ist nicht dasselbe wie die referentielle Integrität in Datenbanken, obwohl sie als ein Spezialfall der Konsistenz im Sinne des klassischen ACID-Modells der Transaktionsverarbeitung angesehen werden kann. Informationssicherheitssysteme enthalten in der Regel Kontrollen zur Gewährleistung ihrer eigenen Integrität, insbesondere zum Schutz des Kerns oder der Kernfunktionen gegen absichtliche und zufällige Bedrohungen. Mehrzweck- und Mehrbenutzer-Computersysteme zielen darauf ab, die Daten und die Verarbeitung so aufzuteilen, dass kein Benutzer oder Prozess einen anderen nachteilig beeinflussen kann: Die Kontrollen können jedoch nicht erfolgreich sein, wie wir bei Vorfällen wie Malware-Infektionen, Hacks, Datendiebstahl, Betrug und Verletzungen der Privatsphäre sehen.

Im weiteren Sinne ist Integrität ein Grundsatz der Informationssicherheit, der sowohl die menschliche/soziale, verfahrenstechnische und wirtschaftliche Integrität als auch die Datenintegrität umfasst.

  • Als solches berührt sie Aspekte wie Glaubwürdigkeit, Konsistenz, Wahrhaftigkeit, Vollständigkeit, Genauigkeit, Aktualität und Sicherheit.

Verfügbarkeit

Damit ein Informationssystem seinen Zweck erfüllen kann, müssen die Informationen verfügbar sein, wenn sie benötigt werden. Das bedeutet, dass die Computersysteme, die zur Speicherung und Verarbeitung der Informationen verwendet werden, die Sicherheitskontrollen, die zum Schutz der Informationen eingesetzt werden, und die Kommunikationskanäle, über die auf die Informationen zugegriffen wird, korrekt funktionieren müssen. Hochverfügbarkeitssysteme zielen darauf ab, jederzeit verfügbar zu sein und Dienstunterbrechungen aufgrund von Stromausfällen, Hardwarefehlern und System-Upgrades zu verhindern. Zur Sicherstellung der Verfügbarkeit gehört auch die Verhinderung von Denial-of-Service-Angriffen, wie z.B.

  • eine Flut von eingehenden Nachrichten an das Zielsystem, die es im Wesentlichen zum Abschalten zwingt.

Im Bereich der Informationssicherheit kann die Verfügbarkeit oft als einer der wichtigsten Bestandteile eines erfolgreichen Informationssicherheitsprogramms angesehen werden, denn schließlich müssen die Endbenutzer in der Lage sein, ihre Aufgaben zu erfüllen; durch die Sicherstellung der Verfügbarkeit ist ein Unternehmen in der Lage, die von den Interessengruppen des Unternehmens erwarteten Standards zu erfüllen. Dies kann Themen wie Proxy-Konfigurationen, Web-Zugang von außen, Zugriff auf freigegebene Laufwerke und die Möglichkeit, E-Mails zu versenden, betreffen. Führungskräfte haben oft kein Verständnis für die technische Seite der Informationssicherheit und sehen die Verfügbarkeit als einfache Lösung an, aber dies erfordert oft die Zusammenarbeit vieler verschiedener Organisationsteams, wie z.B.

  • Netzwerkbetrieb, Entwicklungsbetrieb, Reaktion auf Zwischenfälle und Richtlinien-/Änderungsmanagement.

Ein erfolgreiches Informationssicherheitsteam umfasst viele verschiedene Schlüsselrollen, die ineinandergreifen und aufeinander abgestimmt sein müssen, damit die CIA-Dreiergruppe effektiv bereitgestellt werden kann.

Unleugbarkeit

Im Recht bedeutet Nichtabstreitbarkeit die Absicht einer Person, ihre Verpflichtungen aus einem Vertrag zu erfüllen.

  • Es bedeutet auch, dass eine Partei einer Transaktion nicht bestreiten kann, eine Transaktion erhalten zu haben, noch kann die andere Partei bestreiten, eine Transaktion gesendet zu haben.

Es ist wichtig, darauf hinzuweisen, dass Technologie wie kryptografische Systeme zwar bei den Bemühungen um Nichtabstreitbarkeit helfen können, das Konzept aber im Kern ein Rechtskonzept ist, das über den Bereich der Technologie hinausgeht. So reicht es beispielsweise nicht aus, nachzuweisen, dass die Nachricht mit einer digitalen Signatur übereinstimmt, die mit dem privaten Schlüssel des Absenders unterzeichnet wurde, so dass nur der Absender die Nachricht abgeschickt haben kann und niemand sonst sie während der Übertragung verändert haben kann (Datenintegrität). Der angebliche Absender könnte im Gegenzug nachweisen, dass der Algorithmus der digitalen Signatur anfällig oder fehlerhaft ist, oder behaupten oder beweisen, dass sein Signaturschlüssel kompromittiert wurde. Die Schuld für diese Verstöße kann beim Absender liegen oder auch nicht, und solche Behauptungen können den Absender von der Haftung befreien oder auch nicht, aber die Behauptung würde die Behauptung entkräften, dass die Signatur notwendigerweise Authentizität und Integrität beweist.

  • Als solcher kann der Absender die Nachricht zurückweisen (denn Authentizität und Integrität sind Voraussetzungen für die Nichtabstreitbarkeit).

Risikomanagement

Vorlage:Main

Allgemein ausgedrückt ist Risiko die Wahrscheinlichkeit, dass etwas Schlimmes passiert, das einem Informationsgut Schaden zufügt (oder den Verlust des Gutes verursacht). Eine Schwachstelle ist eine Schwäche, die ausgenutzt werden könnte, um einen Informationswert zu gefährden oder zu schädigen.

  • Eine Bedrohung ist alles (vom Menschen verursachte oder Naturereignis), was das Potenzial hat, Schaden zu verursachen.

Die Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, um Schaden zu verursachen, stellt ein Risiko dar.

  • Wenn eine Bedrohung eine Schwachstelle ausnutzt, um Schaden anzurichten, hat dies eine Auswirkung.

Im Zusammenhang mit der Informationssicherheit ist die Auswirkung ein Verlust an Verfügbarkeit, Integrität und Vertraulichkeit sowie möglicherweise andere Verluste (Einkommensverluste, Verlust von Menschenleben, Verlust von Immobilien).

Das Certified Information Systems Auditor (CISA) Review Manual 2006' definiert Risikomanagement als "den Prozess der Identifizierung von Schwachstellen und Bedrohungen für die Informationsressourcen, die von einer Organisation zur Erreichung ihrer Geschäftsziele genutzt werden, und die Entscheidung, welche Gegenmaßnahmen, Gegenmaßnahmen]] zu ergreifen sind, um das Risiko auf ein akzeptables Niveau zu reduzieren, basierend auf dem Wert der Informationsressourcen für die Organisation."

In dieser Definition gibt es zwei Punkte, die einer Klarstellung bedürfen.

  • Erstens ist der Prozess des Risikomanagements ein fortlaufender, iterativer Prozess.
  • Er muss unendlich oft wiederholt werden.
  • Das Geschäftsumfeld ändert sich ständig, und jeden Tag tauchen neue Bedrohungen und Schwachstellen auf.

Zweitens muss bei der Wahl der Gegenmaßnahmen (Kontrollen), die zur Bewältigung von Risiken eingesetzt werden, ein Gleichgewicht zwischen Produktivität, Kosten, Wirksamkeit der Gegenmaßnahme und dem Wert des zu schützenden Informationsguts gefunden werden. Darüber hinaus sind diesen Verfahren Grenzen gesetzt, da Sicherheitsverletzungen im Allgemeinen selten sind und in einem spezifischen Kontext auftreten, der sich nicht ohne weiteres duplizieren lässt. Daher sollte jedes Verfahren und jede Gegenmaßnahme selbst auf Schwachstellen untersucht werden. Es ist weder möglich, alle Risiken zu identifizieren, noch ist es möglich, alle Risiken zu eliminieren.

  • Das verbleibende Risiko wird als "Restrisiko" bezeichnet.

"

Eine Risikobewertung wird von einem Team von Personen durchgeführt, die über Kenntnisse in bestimmten Bereichen des Unternehmens verfügen. Die Zusammensetzung des Teams kann sich im Laufe der Zeit ändern, da verschiedene Bereiche des Unternehmens bewertet werden. Die Bewertung kann auf einer subjektiven qualitativen Analyse beruhen, die sich auf eine fundierte Meinung stützt, oder, wenn verlässliche Dollar-Zahlen und historische Informationen verfügbar sind, auf einer quantitativen Analyse.

Die Forschung hat gezeigt, dass die anfälligste Stelle in den meisten Informationssystemen der menschliche Benutzer, Bediener, Designer oder andere Menschen sind. Der ISO/IEC 27002:2005 Code of Practice for Information Security Management empfiehlt, bei einer Risikobewertung Folgendes zu untersuchen:

Im Großen und Ganzen besteht der Risikomanagementprozess aus

  1. Identifizierung von Vermögenswerten und Schätzung ihres Wertes.
  • Dazu gehören: Menschen, Gebäude, Hardware, Software, Daten (elektronisch, gedruckt, andere), Zubehör.
  1. Durchführung einer Bedrohungsanalyse.
  • Einschließlich: Naturkatastrophen, Kriegshandlungen, Unfälle, böswillige Handlungen, die von innerhalb oder außerhalb der Organisation ausgehen.
  1. Durchführung einer Schwachstellenbewertung, wobei für jede Schwachstelle die Wahrscheinlichkeit berechnet wird, dass sie ausgenutzt wird.
  1. Berechnen Sie die Auswirkungen, die jede Bedrohung auf jeden Vermögenswert haben würde.
  • Verwenden Sie eine qualitative oder quantitative Analyse.
  1. Identifizieren, wählen und implementieren Sie geeignete Kontrollen.
  • Geben Sie eine verhältnismäßige Antwort.
  • Berücksichtigen Sie Produktivität, Kosteneffizienz und den Wert des Gutes.
  1. Bewerten Sie die Wirksamkeit der Kontrollmaßnahmen.
  • Sicherstellen, dass die Kontrollen den erforderlichen kosteneffektiven Schutz ohne erkennbare Produktivitätseinbußen bieten.

Bei jedem gegebenen Risiko kann die Unternehmensleitung entscheiden, das Risiko aufgrund des relativ geringen Werts des Vermögenswerts, der relativ geringen Häufigkeit des Auftretens und der relativ geringen Auswirkungen auf das Unternehmen zu akzeptieren. Oder die Unternehmensleitung kann sich dafür entscheiden, das Risiko durch die Auswahl und Umsetzung geeigneter Kontrollmaßnahmen zu mindern.

  • In einigen Fällen kann das Risiko auf ein anderes Unternehmen übertragen werden, indem man eine Versicherung abschließt oder es an ein anderes Unternehmen auslagert.

Die Realität mancher Risiken kann umstritten sein.

  • In solchen Fällen kann sich die Unternehmensleitung dafür entscheiden, das Risiko zu leugnen.

Sicherheitskontrollen

Vorlage:Main Die Auswahl und Umsetzung geeigneter Sicherheitskontrollen hilft einer Organisation zunächst, das Risiko auf ein akzeptables Niveau zu senken. Die Auswahl der Kontrollen sollte auf der Grundlage der Risikobewertung erfolgen. Kontrollen können unterschiedlicher Natur sein, aber im Grunde genommen sind sie Mittel zum Schutz der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen.

  • Die ISO/IEC 27001 hat Kontrollen in verschiedenen Bereichen definiert.

Organisationen können je nach Bedarf zusätzliche Kontrollen einführen. ISO/IEC 27002 bietet einen Leitfaden für organisatorische Informationssicherheitsstandards.

Administrative Kontrollen

Administrative Kontrollen (auch Verfahrenskontrollen genannt) bestehen aus genehmigten schriftlichen Richtlinien, Verfahren, Standards und Leitlinien.

  • Administrative Kontrollen bilden den Rahmen für die Führung des Unternehmens und die Verwaltung der Mitarbeiter.

Sie informieren die Mitarbeiter darüber, wie das Unternehmen zu führen ist und wie das Tagesgeschäft abzulaufen hat.

  • Gesetze und Verordnungen, die von staatlichen Stellen erlassen werden, sind ebenfalls eine Art von Verwaltungskontrolle, da sie dem Unternehmen Informationen liefern.

Einige Branchen haben Richtlinien, Verfahren, Standards und Leitlinien, die befolgt werden müssen - der Payment Card Industry Data Security Standard (PCI DSS), der von Visa und MasterCard gefordert wird, ist ein solches Beispiel.

  • Weitere Beispiele für Verwaltungskontrollen sind die Unternehmenssicherheitspolitik, die Passwortpolitik, die Einstellungspolitik und die Disziplinarpolitik.

Administrative Kontrollen bilden die Grundlage für die Auswahl und Umsetzung logischer und physischer Kontrollen.

  • Logische und physische Kontrollen sind Ausprägungen der administrativen Kontrollen, die von überragender Bedeutung sind.

Logische

Logische Kontrollen (auch technische Kontrollen genannt) verwenden Software und Daten, um den Zugang zu Informationen und Computersystemen zu überwachen und zu kontrollieren: Passwörter, netzwerk- und hostbasierte Firewalls, netzwerkbasierte Intrusion Detection-Systeme, Zugangskontrolllisten und Datenverschlüsselung sind Beispiele für logische Kontrollen.

Eine wichtige logische Kontrolle, die häufig übersehen wird, ist das Prinzip der geringsten Privilegien, das besagt, dass einer Person, einem Programm oder einem Systemprozess nicht mehr Zugriffsrechte gewährt werden dürfen, als für die Ausführung der Aufgabe erforderlich sind. Ein eklatantes Beispiel für die Nichteinhaltung des Prinzips der geringsten Rechte ist die Anmeldung bei Windows als Benutzer Administrator, um E-Mails zu lesen und im Internet zu surfen.

  • Verstöße gegen dieses Prinzip können auch auftreten, wenn eine Person im Laufe der Zeit zusätzliche Zugriffsrechte erwirbt.

Dies geschieht, wenn sich die Aufgaben eines Mitarbeiters ändern, er in eine neue Position befördert wird oder er in eine andere Abteilung versetzt wird. Die für die neuen Aufgaben erforderlichen Zugriffsrechte werden häufig zu den bereits bestehenden Zugriffsrechten hinzugefügt, die möglicherweise nicht mehr notwendig oder angemessen sind.

Physische

Physische Kontrollen überwachen und kontrollieren die Umgebung des Arbeitsplatzes und der EDV-Einrichtungen. Dazu gehören Türen, Schlösser, Heizungs- und Klimaanlagen, Rauch- und Feuermelder, Brandbekämpfungssysteme, Kameras, Absperrungen, Zäune, Sicherheitspersonal, Kabelschlösser usw.

  • Die Aufteilung des Netzes und des Arbeitsplatzes in Funktionsbereiche gehört ebenfalls zu den physischen Kontrollen.

Eine wichtige physische Kontrolle, die häufig übersehen wird, ist die Aufgabentrennung, die sicherstellt, dass eine Person eine kritische Aufgabe nicht allein erledigen kann. So sollte beispielsweise ein Mitarbeiter, der einen Erstattungsantrag stellt, nicht auch in der Lage sein, die Zahlung zu genehmigen oder den Scheck zu drucken. Ein Anwendungsprogrammierer sollte nicht gleichzeitig der Serveradministrator oder der Datenbankadministrator sein; diese Rollen und Verantwortlichkeiten müssen voneinander getrennt werden.

Defense in Depth

Das Zwiebelmodell der Verteidigung in der Tiefe

Main: Defense in depth (computing)

Die Informationssicherheit muss Informationen während ihres gesamten Lebenszyklus schützen, von der Erstellung der Informationen bis zu ihrer endgültigen Vernichtung. Die Informationen müssen geschützt werden, während sie in Bewegung sind und während sie ruhen.

  • Während ihrer Lebensdauer können Informationen viele verschiedene Informationsverarbeitungssysteme und viele verschiedene Teile von Informationsverarbeitungssystemen durchlaufen.

Es gibt viele verschiedene Möglichkeiten, wie die Informationen und Informationssysteme bedroht werden können.

  • Um die Informationen während ihrer Lebensdauer vollständig zu schützen, muss jede Komponente des Informationsverarbeitungssystems ihre eigenen Schutzmechanismen haben.

Der Aufbau, die Schichtung und die Überlappung von Sicherheitsmaßnahmen wird als "Verteidigung in der Tiefe" bezeichnet. Im Gegensatz zu einer Metallkette, die bekanntlich nur so stark ist wie ihr schwächstes Glied, zielt die Strategie der "Verteidigung in der Tiefe" auf eine Struktur ab, bei der im Falle des Versagens einer Verteidigungsmaßnahme andere Maßnahmen weiterhin Schutz bieten.

Erinnern Sie sich an die frühere Diskussion über administrative Kontrollen, logische Kontrollen und physische Kontrollen.

  • Diese drei Arten von Kontrollen können als Grundlage für die Entwicklung einer Strategie der Tiefenverteidigung verwendet werden.
  • Mit diesem Ansatz lässt sich die "Defense in Depth"-Strategie als drei verschiedene, übereinander liegende Schichten oder Ebenen konzipieren.

Weitere Einblicke in die Defense-in-Depth-Strategie erhält man, wenn man sie sich als die Schichten einer Zwiebel vorstellt, wobei die Daten den Kern der Zwiebel bilden, die Menschen die nächste äußere Schicht der Zwiebel und die Netzwerksicherheit, die hostbasierte Sicherheit und die Anwendungssicherheit die äußersten Schichten der Zwiebel bilden. Beide Sichtweisen sind gleichermaßen gültig, und beide bieten wertvolle Einblicke in die Umsetzung einer guten Defense-in-Depth-Strategie.

Klassifizierung

Ein wichtiger Aspekt der Informationssicherheit und des Risikomanagements ist das Erkennen des Wertes von Informationen und die Festlegung geeigneter Verfahren und Schutzanforderungen für die Informationen. Nicht alle Informationen sind gleichwertig, und nicht alle Informationen erfordern den gleichen Grad an Schutz. Dazu müssen die Informationen einer Sicherheitsklassifizierung zugeordnet werden. Der erste Schritt bei der Klassifizierung von Informationen besteht darin, ein Mitglied der Geschäftsleitung als Eigentümer der zu klassifizierenden Informationen zu bestimmen.

  • Als Nächstes ist eine Klassifizierungsrichtlinie zu entwickeln.

Die Richtlinie sollte die verschiedenen Klassifizierungskennzeichnungen beschreiben, die Kriterien für die Zuweisung einer bestimmten Kennzeichnung festlegen und die erforderlichen Sicherheitskontrollen für jede Klassifizierung auflisten.

Zu den Faktoren, die Einfluss darauf haben, welche Klassifizierung einer Information zugewiesen werden sollte, gehören der Wert der Information für das Unternehmen, das Alter der Information und die Frage, ob die Information veraltet ist oder nicht. Auch Gesetze und andere regulatorische Anforderungen spielen bei der Klassifizierung von Informationen eine wichtige Rolle. Die Information Systems Audit and Control Association (ISACA) und ihr Business Model for Information Security (Geschäftsmodell für Informationssicherheit) dienen auch als Instrument für Sicherheitsexperten, um die Sicherheit aus einer Systemperspektive zu betrachten und eine Umgebung zu schaffen, in der die Sicherheit ganzheitlich verwaltet werden kann, so dass die tatsächlichen Risiken angegangen werden können.

Welche Art von Klassifizierungskennzeichen für die Informationssicherheit ausgewählt und verwendet wird, hängt von der Art der Organisation ab:

  • Im geschäftlichen Bereich werden Kennzeichnungen wie: Öffentlich, Sensibel, Privat, Vertraulich.
  • Im staatlichen Sektor werden Bezeichnungen wie: Unclassified, Inoffiziell, Geschützt, Vertraulich, Geheim, Streng Geheim und ihre nicht-englischen Entsprechungen.
  • In sektorübergreifenden Zusammenschlüssen das Ampelprotokoll, das aus folgenden Elementen besteht: Weiß, Grün, Gelb und Rot.
  • Im persönlichen Bereich eine Bezeichnung wie Finanzen.
  • Dazu gehören Aktivitäten im Zusammenhang mit der Verwaltung von Geld, wie z.B.
  • Online-Banking.

Alle Mitarbeiter des Unternehmens sowie die Geschäftspartner müssen im Hinblick auf das Klassifizierungsschema geschult werden und die erforderlichen Sicherheitskontrollen und Handhabungsverfahren für jede Klassifizierung verstehen. Die Klassifizierung eines bestimmten Informationsguts, die zugewiesen wurde, sollte regelmäßig überprüft werden, um sicherzustellen, dass die Klassifizierung für die Informationen immer noch angemessen ist und um zu gewährleisten, dass die durch die Klassifizierung vorgeschriebenen Sicherheitskontrollen vorhanden sind und in den richtigen Verfahren befolgt werden.

Zugangskontrolle

Der Zugang zu geschützten Informationen muss auf Personen beschränkt werden, die zum Zugriff auf die Informationen berechtigt sind. Die Computerprogramme und in vielen Fällen auch die Computer, die die Informationen verarbeiten, müssen ebenfalls autorisiert sein. Dies setzt voraus, dass Mechanismen zur Kontrolle des Zugriffs auf geschützte Informationen vorhanden sind.

  • Die Ausgereiftheit der Zugriffskontrollmechanismen sollte dem Wert der zu schützenden Informationen entsprechen; je sensibler oder wertvoller die Informationen sind, desto stärker müssen die Kontrollmechanismen sein.

Die Grundlage, auf der die Zugangskontrollmechanismen aufgebaut sind, beginnt mit der Identifizierung und Authentifizierung.

Die Zugangskontrolle erfolgt im Allgemeinen in drei Schritten: Identifizierung, Authentifizierung und Autorisierung.


Identifizierung

Identifizierung ist eine Aussage darüber, wer jemand ist oder was etwas ist.

  • Wenn eine Person sagt: "Hallo, mein Name ist John Doe", dann behauptet sie damit, wer sie ist.

Diese Behauptung kann jedoch wahr sein oder auch nicht.

  • Bevor John Doe Zugang zu geschützten Informationen erhalten kann, muss überprüft werden, ob die Person, die behauptet, John Doe zu sein, wirklich John Doe ist.

In der Regel erfolgt die Angabe in Form eines Benutzernamens.

  • Durch die Eingabe dieses Benutzernamens erklären Sie, dass Sie die Person sind, zu der der Benutzername gehört".

Authentifizierung

Authentifizierung ist der Akt der Verifizierung einer behaupteten Identität.

  • Wenn John Doe in eine Bank geht, um Geld abzuheben, sagt er dem Bankangestellten, dass er John Doe ist, eine Behauptung der Identität.

Der Bankangestellte verlangt einen Lichtbildausweis, woraufhin er dem Angestellten seinen Führerschein aushändigt. Der Bankangestellte prüft den Führerschein, um sicherzustellen, dass John Doe darauf steht, und vergleicht das Foto auf dem Führerschein mit der Person, die behauptet, John Doe zu sein. Wenn das Foto und der Name mit der Person übereinstimmen, hat der Kassierer bestätigt, dass John Doe derjenige ist, der er vorgibt zu sein.

  • In ähnlicher Weise beweist der Benutzer durch die Eingabe des richtigen Passworts, dass er/sie die Person ist, der der Benutzername gehört.

Es gibt drei verschiedene Arten von Informationen, die für die Authentifizierung verwendet werden können:

Eine starke Authentifizierung erfordert die Angabe von mehr als einer Art von Authentifizierungsinformationen (Zwei-Faktor-Authentifizierung). Der Benutzername ist heute die gebräuchlichste Form der Identifizierung auf Computersystemen, und das Kennwort ist die häufigste Form der Authentifizierung. Benutzernamen und Passwörter haben ihren Zweck erfüllt, aber sie sind zunehmend unzureichend. Benutzernamen und Passwörter werden allmählich durch ausgefeiltere Authentifizierungsmechanismen wie Zeitbasierter Einmal-Passwort-Algorithmuse ersetzt oder ergänzt.

Autorisierung

Nachdem eine Person, ein Programm oder ein Computer erfolgreich identifiziert und authentifiziert wurde, muss festgelegt werden, auf welche Informationsressourcen sie zugreifen dürfen und welche Aktionen sie durchführen dürfen (ausführen, anzeigen, erstellen, löschen oder ändern). Dies wird Autorisierung genannt.

  • Die Autorisierung für den Zugriff auf Informationen und andere Computerdienste beginnt mit administrativen Richtlinien und Verfahren.

In den Richtlinien wird festgelegt, welche Informationen und Computerdienste von wem und unter welchen Bedingungen genutzt werden dürfen.

  • Die Zugriffskontrollmechanismen werden dann so konfiguriert, dass sie diese Richtlinien durchsetzen.

Verschiedene Computersysteme sind mit unterschiedlichen Arten von Zugangskontrollmechanismen ausgestattet.

  • Einige bieten sogar eine Auswahl an verschiedenen Zugangskontrollmechanismen.

Der Zugangskontrollmechanismus, den ein System anbietet, basiert auf einem der drei Ansätze zur Zugangskontrolle oder er kann aus einer Kombination der drei Ansätze abgeleitet sein.

Der nicht-diskretionäre Ansatz konsolidiert die gesamte Zugangskontrolle unter einer zentralisierten Verwaltung. Der Zugang zu Informationen und anderen Ressourcen basiert in der Regel auf der Funktion (Rolle) des Einzelnen in der Organisation oder auf den Aufgaben, die der Einzelne erfüllen muss.

Der diskretionäre Ansatz gibt dem Ersteller oder Eigentümer der Informationsressource die Möglichkeit, den Zugriff auf diese Ressourcen zu kontrollieren.

  • Bei der obligatorischen Zugangskontrolle wird der Zugang auf der Grundlage der der Informationsressource zugewiesenen Sicherheitseinstufung gewährt oder verweigert.

Beispiele für gängige Zugriffskontrollmechanismen sind die Rollenbasierte Zugriffskontrolle, die in vielen fortgeschrittenen Datenbankverwaltungssystemen verfügbar ist; einfache Dateiberechtigungen, die in den Betriebssystemen UNIX und Windows bereitgestellt werden; Gruppenrichtlinienobjekte in Windows-Netzwerksystemen; und Kerberos, RADIUS, TACACS und die einfachen Zugriffslisten, die in vielen Firewalls und Routern verwendet werden.

Um wirksam zu sein, müssen Richtlinien und andere Sicherheitskontrollen durchsetzbar sein und aufrechterhalten werden.

  • Wirksame Richtlinien stellen sicher, dass die Mitarbeiter für ihre Handlungen zur Verantwortung gezogen werden.

Die Richtlinien des U.S. * Treasury für Systeme, die sensible oder geschützte Informationen verarbeiten, sehen beispielsweise vor, dass alle fehlgeschlagenen und erfolgreichen Authentifizierungs- und Zugriffsversuche protokolliert werden müssen und jeder Zugriff auf Informationen eine Art Audit Trail hinterlassen muss.

Außerdem muss bei der Zugangskontrolle der Grundsatz "Kenntnisnahme erforderlich" beachtet werden.

  • Dieses Prinzip gibt einer Person Zugriffsrechte, um ihre Aufgaben zu erfüllen.

Dieses Prinzip wird in der Regierung bei unterschiedlichen Freigaben angewendet. Auch wenn zwei Mitarbeiter in verschiedenen Abteilungen eine Streng geheim haben, müssen sie voneinander wissen, damit Informationen ausgetauscht werden können.

  • Im Rahmen des Need-to-know-Prinzips gewähren die Netzwerkadministratoren den Mitarbeitern die geringsten Rechte, um zu verhindern, dass sie auf mehr Informationen zugreifen, als sie eigentlich dürften.

Need-to-know hilft bei der Durchsetzung des Dreiklangs Vertraulichkeit-Integrität-Verfügbarkeit.

  • Need-to-know wirkt sich direkt auf den vertraulichen Bereich des Dreiklangs aus.

Kryptographie

Main: Kryptographie

Die Informationssicherheit nutzt die Kryptografie, um verwertbare Informationen in eine Form umzuwandeln, die sie für jeden anderen als einen autorisierten Benutzer unbrauchbar macht; dieser Vorgang wird Verschlüsselung genannt. Informationen, die verschlüsselt (unbrauchbar) gemacht wurden, können von einem autorisierten Benutzer, der im Besitz des Kryptographieschlüssels ist, durch den Prozess der Entschlüsselung wieder in ihre ursprüngliche nutzbare Form zurückverwandelt werden. Die Kryptografie wird in der Informationssicherheit eingesetzt, um Informationen vor unbefugter oder versehentlicher Offenlegung zu schützen, während die Informationen übertragen werden (entweder elektronisch oder physisch) und während die Informationen gespeichert werden.

Die Kryptografie bietet der Informationssicherheit auch andere nützliche Anwendungen, darunter verbesserte Authentifizierungsmethoden, Nachrichten-Digests, digitale Signaturen, Nichtabstreitbarkeit und verschlüsselte Netzwerkkommunikation. Ältere, weniger sichere Anwendungen wie Telnet und File Transfer Protocol (FTP) werden langsam durch sicherere Anwendungen wie Secure Shell (SSH) ersetzt, die eine verschlüsselte Netzwerkkommunikation verwenden. Drahtlose Kommunikation kann mit Protokollen wie WPA/WPA2 oder dem älteren (und weniger sicheren) WEP verschlüsselt werden.

  • Die drahtgebundene Kommunikation (wie ITU-T G.hn) ist durch den AES zur Verschlüsselung und X.1035 zur Authentifizierung und zum Schlüsselaustausch gesichert.

Softwareanwendungen wie GnuPG oder PGP können zur Verschlüsselung von Dateien und E-Mails verwendet werden.

Kryptografie kann Sicherheitsprobleme verursachen, wenn sie nicht korrekt implementiert wird. Kryptografische Lösungen müssen mit branchenweit anerkannten Lösungen implementiert werden, die von unabhängigen Kryptografieexperten einer strengen Prüfung unterzogen wurden. Die Länge und Stärke des Verschlüsselungsschlüssels ist ebenfalls ein wichtiger Aspekt. Ein zu schwacher oder zu kurzer Schlüssel führt zu einer schwachen Verschlüsselung.

  • Die für die Ver- und Entschlüsselung verwendeten Schlüssel müssen mit der gleichen Strenge geschützt werden wie alle anderen vertraulichen Informationen.

Sie müssen vor unbefugter Offenlegung und Zerstörung geschützt werden und bei Bedarf verfügbar sein. Lösungen für die Public Key Infrastructure (PKI) lösen viele der Probleme, die mit der Schlüsselverwaltung verbunden sind.

Verfahren

Die Begriffe "vernünftige und umsichtige Person", "Sorgfaltspflicht" und "Sorgfaltspflicht" werden seit vielen Jahren in den Bereichen Finanzen, Wertpapiere und Recht verwendet.

  • In den letzten Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten.

In der Geschäftswelt erwarten Aktionäre, Kunden, Geschäftspartner und Regierungen, dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt.

  • Dies wird oft als die Regel der "vernünftigen und umsichtigen Person" beschrieben.
  • Eine umsichtige Person achtet darauf, dass alles Erforderliche getan wird, um das Unternehmen nach soliden Geschäftsprinzipien und auf legale, ethische Weise zu führen.
  • Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen.

Im Bereich der Informationssicherheit bietet Harris die folgenden Definitionen der Begriffe "due care" und "due diligence" an:

"Due care are steps that are taken to show that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, its resources, and employees.

." Und [Due Diligence sind die] "kontinuierliche Aktivitäten, die sicherstellen, dass die Schutzmechanismen kontinuierlich aufrechterhalten werden und funktionsfähig sind."'

Bei diesen Definitionen sollten zwei wichtige Punkte beachtet werden.

  • Erstens werden bei der Sorgfaltspflicht Schritte unternommen, die sich nachweisen lassen; das bedeutet, dass die Schritte überprüft und gemessen werden können oder sogar greifbare Artefakte hervorbringen.
  • Dies bedeutet, dass Menschen tatsächlich etwas tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und dass diese Aktivitäten fortlaufend sind.

Organisationen haben eine Verantwortung, die Sorgfaltspflicht bei der Anwendung der Informationssicherheit zu praktizieren.

  • Der Duty of Care Risk Analysis Standard (DoCRA) bietet Grundsätze und Praktiken für die Bewertung von Risiken.
  • Dabei werden alle Parteien berücksichtigt, die von diesen Risiken betroffen sein könnten.
  • DoCRA hilft bei der Bewertung von Schutzmaßnahmen, ob diese geeignet sind, andere vor Schaden zu bewahren und gleichzeitig eine angemessene Belastung darstellen.
  • Angesichts der zunehmenden Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen müssen Unternehmen ein Gleichgewicht zwischen Sicherheitskontrollen, Einhaltung der Vorschriften und ihrem Auftrag herstellen.

Sicherheits-Governance

Siehe auch Information Security Governance

Das Software Engineering Institute an der Carnegie Mellon University definiert in einer Veröffentlichung mit dem Titel Governing for Enterprise Security (GES) Implementation Guide die Merkmale einer effektiven Security Governance.

Dazu gehören

  • Ein unternehmensweites Thema
  • Führungskräfte sind rechenschaftspflichtig
  • Betrachtung als Geschäftsanforderung
  • Risikobasiert
  • Rollen, Verantwortlichkeiten und Aufgabentrennung definiert
  • In der Politik angesprochen und durchgesetzt
  • Angemessene Ressourcen werden bereitgestellt
  • Sensibilisierung und Schulung der Mitarbeiter
  • Eine Anforderung an den Entwicklungslebenszyklus
  • Geplant, verwaltet, messbar und gemessen
  • Überprüft und auditiert

Vorfallsreaktionspläne

Ein Vorfallsreaktionsplan (IRP) ist eine Gruppe von Richtlinien, die die Reaktion einer Organisation auf einen Cyberangriff vorschreiben.

Es ist wichtig zu beachten, dass eine Datenpanne rechtliche Folgen haben kann.

  • Die Kenntnis der lokalen und bundesstaatlichen Gesetze ist von entscheidender Bedeutung.

Jeder Plan ist individuell auf die Bedürfnisse des Unternehmens zugeschnitten und kann Fähigkeiten beinhalten, die nicht Teil eines IT-Teams sind. So kann beispielsweise ein Rechtsanwalt in den Reaktionsplan einbezogen werden, um bei der Bewältigung der rechtlichen Folgen einer Datenschutzverletzung zu helfen.

Wie bereits erwähnt, ist jeder Plan einzigartig, aber die meisten Pläne umfassen Folgendes:

Vorbereitung

Zu einer guten Vorbereitung gehört der Aufbau eines Incident Response Teams (IRT). Dieses Team sollte über die folgenden Fähigkeiten verfügen: Penetrationstests, Computerforensik, Netzwerksicherheit usw. Dieses Team sollte auch Trends in der Cybersicherheit und moderne Angriffsstrategien im Auge behalten. Ein Schulungsprogramm für Endbenutzer ist ebenfalls wichtig, da die meisten modernen Angriffsstrategien auf die Benutzer im Netzwerk abzielen.

Identifizierung

In diesem Teil des Vorfallsreaktionsplans wird festgestellt, ob es ein Sicherheitsereignis gab. Wenn ein Endbenutzer Informationen meldet oder ein Administrator Unregelmäßigkeiten feststellt, wird eine Untersuchung eingeleitet.

  • Ein Ereignisprotokoll ist ein wichtiger Bestandteil dieses Schritts.

Alle Mitglieder des Teams sollten dieses Protokoll aktualisieren, um sicherzustellen, dass die Informationen so schnell wie möglich fließen. Wurde festgestellt, dass ein Sicherheitsverstoß vorliegt, sollte der nächste Schritt eingeleitet werden.

Eindämmung

In dieser Phase arbeitet das IRT daran, die Bereiche, in denen die Sicherheitsverletzung stattgefunden hat, zu isolieren, um das Ausmaß des Sicherheitsereignisses zu begrenzen. In dieser Phase ist es wichtig, Informationen forensisch zu sichern, damit sie später im Prozess analysiert werden können. Die Eingrenzung kann so einfach sein wie die physische Eingrenzung eines Serverraums oder so komplex wie die Segmentierung eines Netzwerks, um die Verbreitung eines Virus zu verhindern.

Ausrottung

Hier wird die identifizierte Bedrohung von den betroffenen Systemen entfernt. Dies kann das Löschen bösartiger Dateien, das Beenden kompromittierter Konten oder das Löschen anderer Komponenten umfassen.

Bei einigen Ereignissen ist dieser Schritt nicht erforderlich, aber es ist wichtig, das Ereignis vollständig zu verstehen, bevor man zu diesem Schritt übergeht. So kann sichergestellt werden, dass die Bedrohung vollständig beseitigt wird.

Wiederherstellung

In dieser Phase werden die Systeme wieder in ihren ursprünglichen Zustand versetzt. Dieser Schritt kann die Wiederherstellung von Daten, die Änderung von Benutzerzugangsdaten oder die Aktualisierung von Firewall-Regeln oder -Richtlinien umfassen, um einen Angriff in Zukunft zu verhindern.

Ohne diesen Schritt könnte das System weiterhin anfällig für künftige Sicherheitsbedrohungen sein.

Gelernte Lektionen

In diesem Schritt werden die in diesem Prozess gesammelten Informationen verwendet, um künftige Sicherheitsentscheidungen zu treffen. Dieser Schritt ist entscheidend, um sicherzustellen, dass zukünftige Ereignisse verhindert werden.

  • Die Nutzung dieser Informationen für die Weiterbildung der Administratoren ist für den Prozess von entscheidender Bedeutung.

Dieser Schritt kann auch zur Verarbeitung von Informationen genutzt werden, die von anderen Stellen, die ein Sicherheitsereignis erlebt haben, weitergegeben werden.

Änderungsmanagement

Haupt: Change Management (ITSM)

Das Änderungsmanagement ist ein formaler Prozess zur Steuerung und Kontrolle von Änderungen an der Informationsverarbeitungsumgebung.

Dazu gehören Änderungen an Desktop-Computern, dem Netzwerk, Servern und Software. Ziel des Änderungsmanagements ist es, die mit Änderungen an der Informationsverarbeitungsumgebung verbundenen Risiken zu verringern und die Stabilität und Zuverlässigkeit der Verarbeitungsumgebung bei Änderungen zu verbessern. Es ist nicht das Ziel des Änderungsmanagements, die Durchführung notwendiger Änderungen zu verhindern oder zu behindern.

Jede Änderung der Informationsverarbeitungsumgebung birgt ein gewisses Risiko. Selbst scheinbar einfache Änderungen können unerwartete Auswirkungen haben. Eine der vielen Aufgaben des Managements ist das Management von Risiken.

Das Änderungsmanagement ist ein Instrument zur Bewältigung der Risiken, die durch Änderungen in der Informationsverarbeitungsumgebung entstehen. Ein Teil des Änderungsmanagementprozesses stellt sicher, dass Änderungen nicht zu einem ungünstigen Zeitpunkt durchgeführt werden, wenn sie kritische Geschäftsprozesse stören oder mit anderen Änderungen kollidieren könnten.

Nicht jede Änderung muss verwaltet werden.

Einige Arten von Änderungen sind Teil der täglichen Routine der Informationsverarbeitung und folgen einem vordefinierten Verfahren, wodurch das Gesamtrisiko für die Verarbeitungsumgebung verringert wird. Das Anlegen eines neuen Benutzerkontos oder die Bereitstellung eines neuen Desktop-Computers sind Beispiele für Änderungen, die im Allgemeinen kein Änderungsmanagement erfordern.

  • Die Verlagerung von Benutzerdateifreigaben oder die Aufrüstung des E-Mail-Servers stellen jedoch ein wesentlich höheres Risiko für die Verarbeitungsumgebung dar und gehören nicht zu den alltäglichen Aktivitäten.
  • Die entscheidenden ersten Schritte beim Änderungsmanagement sind (a) die Definition der Änderung (und die Kommunikation dieser Definition) und (b) die Festlegung des Umfangs des Änderungssystems.

Das Änderungsmanagement wird normalerweise von einem Änderungsprüfungsausschuss überwacht, der sich aus Vertretern der wichtigsten Geschäftsbereiche zusammensetzt, Sicherheit, Netzwerke, Systemadministratoren, Datenbankadministratoren, Anwendungsentwickler, Desktop-Support und Helpdesk.

  • Die Aufgaben des Änderungsprüfungsausschusses können durch den Einsatz einer automatisierten Workflow-Anwendung erleichtert werden.
  • Die Aufgabe des Änderungsprüfungsausschusses besteht darin, sicherzustellen, dass die dokumentierten Änderungsmanagementverfahren der Organisation befolgt werden.

Der Änderungsmanagementprozess sieht wie folgt aus

  • Antrag: Jeder kann eine Änderung beantragen.
Die Person, die den Änderungsantrag stellt, kann oder muss nicht dieselbe Person sein, die die Analyse durchführt oder die Änderung umsetzt.
Wenn ein Änderungsantrag eingeht, kann er einer Vorprüfung unterzogen werden, um festzustellen, ob die beantragte Änderung mit dem Geschäftsmodell und den Praktiken des Unternehmens vereinbar ist, und um den Umfang der für die Umsetzung der Änderung erforderlichen Ressourcen zu ermitteln.
  • Genehmigen: Das Management leitet das Unternehmen und kontrolliert die Zuteilung von Ressourcen, daher muss das Management Änderungsanträge genehmigen und jeder Änderung eine Priorität zuweisen.
Die Geschäftsleitung kann einen Änderungsantrag ablehnen, wenn die Änderung nicht mit dem Geschäftsmodell, den Industriestandards oder bewährten Verfahren vereinbar ist.
Die Geschäftsleitung kann einen Änderungsantrag auch ablehnen, wenn die Änderung mehr Ressourcen erfordert, als für die Änderung zugewiesen werden können.
  • Plan: Die Planung einer Änderung umfasst die Ermittlung des Umfangs und der Auswirkungen der vorgeschlagenen Änderung, die Analyse der Komplexität der Änderung, die Zuweisung von Ressourcen sowie die Entwicklung, Prüfung und Dokumentation von Implementierungs- und Back-Out-Plänen.

Es müssen die Kriterien festgelegt werden, anhand derer eine Entscheidung über einen Rückzug getroffen wird.

  • Test: Jede Änderung muss in einer sicheren Testumgebung getestet werden, die die tatsächliche Produktionsumgebung genau widerspiegelt, bevor die Änderung auf die Produktionsumgebung angewendet wird.
  • Auch der Backout-Plan muss getestet werden.
  • Zeitplan: Ein Teil der Verantwortung des Änderungsprüfungsausschusses besteht darin, bei der Planung von Änderungen zu helfen, indem er das vorgeschlagene Implementierungsdatum auf mögliche Konflikte mit anderen geplanten Änderungen oder kritischen Geschäftsaktivitäten überprüft.
  • Kommunizieren: Sobald eine Änderung geplant wurde, muss sie kommuniziert werden.
  • Die Kommunikation soll anderen die Möglichkeit geben, den Änderungsprüfungsausschuss an andere Änderungen oder kritische Geschäftsaktivitäten zu erinnern, die bei der Planung der Änderung übersehen worden sein könnten.
  • Eine weitere Aufgabe des Änderungsprüfungsausschusses besteht darin, sicherzustellen, dass die geplanten Änderungen denjenigen mitgeteilt werden, die von der Änderung betroffen sind oder anderweitig ein Interesse an der Änderung haben.
  • Umsetzung: Zum festgelegten Datum und Zeitpunkt müssen die Änderungen umgesetzt werden.

Ein Teil des Planungsprozesses bestand darin, einen Implementierungsplan, einen Testplan und einen Ausweichplan zu entwickeln.

Sollte die Implementierung der Änderung scheitern, die Tests nach der Implementierung fehlschlagen oder andere "drop dead"-Kriterien erfüllt sein, sollte der Ausstiegsplan umgesetzt werden.

  • Dokumentieren: Alle Änderungen müssen dokumentiert werden.

Die Dokumentation umfasst den ursprünglichen Änderungsantrag, seine Genehmigung, die ihm zugewiesene Priorität, die Durchführung, Die Dokumentation umfasst den ursprünglichen Änderungsantrag, seine Genehmigung, die ihm zugewiesene Priorität, die Implementierungs-, Test- und Back-Out-Pläne, die Ergebnisse der Kritik des Änderungsprüfungsausschusses, das Datum/die Uhrzeit der Implementierung der Änderung, wer sie durchgeführt hat und ob die Änderung erfolgreich durchgeführt wurde, fehlgeschlagen ist oder verschoben wurde.

  • Überprüfung nach der Änderung: Der Änderungsprüfungsausschuss sollte eine Überprüfung der Änderungen nach der Implementierung durchführen.

Es ist besonders wichtig, gescheiterte und zurückgestellte Änderungen zu überprüfen.

  • Der Prüfungsausschuss sollte versuchen, die aufgetretenen Probleme zu verstehen und nach Verbesserungsmöglichkeiten zu suchen.

Einfach zu befolgende und leicht anzuwendende Verfahren für das Änderungsmanagement können die Gesamtrisiken, die bei Änderungen an der Informationsverarbeitungsumgebung entstehen, erheblich verringern. Gute Änderungsmanagementverfahren verbessern die Gesamtqualität und den Erfolg von Änderungen bei deren Umsetzung. Dies wird durch Planung, gegenseitige Überprüfung, Dokumentation und Kommunikation erreicht.

[ISO/IEC 20000]], Das Visible OPS-Handbuch: ITIL-Implementierung in 4 praktischen und überprüfbaren Schritten (Vollständige Buchzusammenfassung), und ITIL bieten alle wertvolle Anleitungen zur Implementierung eines effizienten und effektiven Änderungsmanagementprogramms für die Informationssicherheit.

Geschäftskontinuität

Das Business Continuity Management (BCM) befasst sich mit Vorkehrungen, die darauf abzielen, die kritischen Geschäftsfunktionen einer Organisation vor Unterbrechungen aufgrund von Zwischenfällen zu schützen oder zumindest die Auswirkungen zu minimieren.

BCM ist für jede Organisation unerlässlich, um die Technologie und das Geschäft mit den aktuellen Bedrohungen für die Fortführung des Geschäftsbetriebs in Einklang zu bringen. Das BCM sollte in den Risikoanalyse-Plan einer Organisation aufgenommen werden, um sicherzustellen, dass alle erforderlichen Geschäftsfunktionen über die notwendigen Mittel verfügen, um im Falle einer Bedrohung einer beliebigen Geschäftsfunktion weiterarbeiten zu können.

Sie umfasst:

  • Analyse der Anforderungen, z.B.
  • Identifizierung kritischer Geschäftsfunktionen, Abhängigkeiten und potenzieller Fehlerpunkte, potenzieller Bedrohungen und somit Vorfälle oder Risiken, die für die Organisation von Bedeutung sind;
  • Spezifikation, z.B.
  • maximal tolerierbare Ausfallzeiten; Wiederherstellungspunktziele (maximal akzeptable Zeiten für Datenverluste);
  • Architektur und Design, z.B.
  • eine geeignete Kombination von Ansätzen, einschließlich der Ausfallsicherheit (z.B.
  • Entwicklung von IT-Systemen und -Prozessen für hohe Verfügbarkeit), Vermeidung oder Vorbeugung von Situationen, die zu einer Unterbrechung des Geschäftsbetriebs führen könnten), Störungs- und Notfallmanagement (z.B.
  • Evakuierung von Räumlichkeiten, Anruf bei den Notdiensten, Triage/Situationsbewertung und Aufrufen von Wiederherstellungsplänen)

Bewertung der Situation und Aufrufen von Wiederherstellungsplänen), Wiederherstellung (z.B.

  • Wiederaufbau) und Notfallmanagement (allgemeine Fähigkeiten zur positiven Bewältigung von Ereignissen mit allen verfügbaren Ressourcen);
  • Implementierung, z.B.
  • Konfiguration und Planung von Backups, Datenübertragungen usw., Duplizierung und Verstärkung kritischer Elemente; Vertragsabschluss mit Dienstleistungs- und Ausrüstungsanbietern;
  • Testen, z.B. Übungen zur Geschäftskontinuität verschiedener Arten, Kosten und Sicherheitsstufen;
  • Management, z.B.
  • Definition von Strategien, Festlegung von Zielen und Vorgaben, Planung und Leitung der Arbeit, Zuweisung von Mitteln, Personal und anderen Ressourcen, Festlegung von Prioritäten im Verhältnis zu anderen Aktivitäten, Teambildung, Führung, Kontrolle, Motivation und Koordinierung mit anderen Unternehmensfunktionen und -aktivitäten (z.B.
  • IT, Einrichtungen, Personalwesen, Risikomanagement, Informationsrisiko und -sicherheit, Betrieb); Überwachung der Situation, Überprüfung und Aktualisierung der Vorkehrungen, wenn sich die Dinge ändern; Reifung des Ansatzes durch kontinuierliche Verbesserung, Lernen und angemessene Investitionen;
  • Gewährleistung, z.B.
  • Testen anhand festgelegter Anforderungen; Messen, Analysieren und Berichten von Schlüsselparametern; Durchführen zusätzlicher Tests, Überprüfungen und Audits, um das Vertrauen zu stärken, dass die Vorkehrungen bei Inanspruchnahme wie geplant funktionieren.

Während BCM einen umfassenden Ansatz zur Minimierung katastrophenbedingter Risiken verfolgt, indem es sowohl die Wahrscheinlichkeit als auch die Schwere von Vorfällen reduziert, konzentriert sich ein Disaster Recovery Plan (DRP) speziell darauf, den Geschäftsbetrieb nach einer Katastrophe so schnell wie möglich wieder aufzunehmen. Ein Disaster-Recovery-Plan, der kurz nach einer Katastrophe aufgerufen wird, legt die Schritte fest, die zur Wiederherstellung kritischer Informations- und Kommunikationstechnologie (IKT)-Infrastruktur erforderlich sind. Die Wiederherstellungsplanung im Katastrophenfall umfasst die Einrichtung einer Planungsgruppe, die Durchführung einer Risikobewertung, die Festlegung von Prioritäten, die Entwicklung von Wiederherstellungsstrategien, die Erstellung von Inventaren und die Dokumentation des Plans, die Entwicklung von Überprüfungskriterien und -verfahren und schließlich die Umsetzung des Plans.

Gesetze und Vorschriften

Privacy International 2007 privacy ranking
green: Protections and safeguards
red: Endemic surveillance societies

Nachfolgend finden Sie eine unvollständige Auflistung staatlicher Gesetze und Vorschriften in verschiedenen Teilen der Welt, die sich erheblich auf die Datenverarbeitung und die Informationssicherheit auswirken, ausgewirkt haben oder auswirken werden.

Wichtige branchenspezifische Vorschriften sind ebenfalls aufgeführt, wenn sie sich erheblich auf die Informationssicherheit auswirken.

  • Das britische Data Protection Act 1998 enthält neue Bestimmungen zur Regelung der Verarbeitung personenbezogener Daten, einschließlich der Erlangung, des Besitzes, der Verwendung und der Offenlegung solcher Daten.

Die Datenschutzrichtlinie der Europäischen Union (EUDPD) verlangt, dass alle EU-Mitglieder nationale Vorschriften erlassen, um den Schutz des Datenschutzes für die Bürger in der gesamten EU zu vereinheitlichen.

Das Gesetz wurde zum Vorbild für mehrere andere Länder, Kanada]] und die Republik Irland, haben sich bei der Ausarbeitung ihrer eigenen Gesetze zur Informationssicherheit davon inspirieren lassen.

  • Die Richtlinie über die Vorratsdatenspeicherung der EU (aufgehoben) verpflichtet Internetanbieter und Telefongesellschaften, Daten über jede gesendete elektronische Nachricht und jeden getätigten Anruf zwischen sechs Monaten und zwei Jahren zu speichern.
  • Das Family Educational Rights and Privacy Act (FERPA) (g; 34 CFR Part 99) ist ein US-amerikanisches Bundesgesetz, das die Privatsphäre von Schülerunterlagen schützt.

Das Gesetz gilt für alle Schulen, die im Rahmen eines entsprechenden Programms des US-Bildungsministeriums Mittel erhalten. Im Allgemeinen müssen die Schulen die schriftliche Erlaubnis der Eltern oder des berechtigten Schülers haben um Informationen aus den Bildungsunterlagen eines Schülers freizugeben.

Darüber hinaus verpflichtet es Gesundheitsdienstleister, Versicherungsanbieter und Arbeitgeber, die Sicherheit und den Datenschutz von Gesundheitsdaten zu gewährleisten.

  • Der Gramm-Leach-Bliley Act von 1999 (GLBA), auch bekannt als Financial Services Modernization Act von 1999, schützt die Privatsphäre und die Sicherheit privater Finanzdaten, die von Finanzinstituten gesammelt, gespeichert und verarbeitet werden.
  • Abschnitt 404 des Sarbanes-Oxley Act of 2002 (SOX) verpflichtet börsennotierte Unternehmen, die Wirksamkeit ihrer internen Kontrollen für die Finanzberichterstattung in den Jahresberichten zu bewerten, die sie am Ende eines jeden Geschäftsjahres vorlegen.

Die Chief Information Officers sind für die Sicherheit, Genauigkeit und Zuverlässigkeit der Systeme verantwortlich, die die Finanzdaten verwalten und ausweisen. Das Gesetz verpflichtet börsennotierte Unternehmen außerdem, unabhängige Prüfer zu beauftragen, die die Gültigkeit ihrer Bewertungen bestätigen und darüber berichten müssen.

Er wurde von den Gründungsmitgliedern des PCI Security Standards Council entwickelt - darunter American Express, Discover Financial Services, JCB, MasterCard Worldwide, und Visa International - entwickelt, um die breite Einführung einheitlicher Datensicherheitsmaßnahmen auf globaler Basis zu erleichtern. Der PCI DSS ist ein vielschichtiger Sicherheitsstandard, der Anforderungen an Sicherheitsmanagement, Richtlinien, Verfahren, Netzwerkarchitektur, Softwaredesign und andere wichtige Schutzmaßnahmen enthält.

  • Staatliche Gesetze zur Meldung von Sicherheitsverletzungen (Kalifornien und viele andere) verpflichten Unternehmen, gemeinnützige Organisationen und staatliche Einrichtungen, Verbraucher zu benachrichtigen, wenn unverschlüsselte "personenbezogene Daten" möglicherweise kompromittiert wurden, verloren gegangen oder gestohlen worden sind.
  • Das kanadische Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA) unterstützt und fördert den elektronischen Handel durch den Schutz persönlicher Daten, die unter bestimmten Umständen erhoben, verwendet oder weitergegeben werden,

indem es die Verwendung elektronischer Mittel zur Übermittlung oder Aufzeichnung von Informationen oder Transaktionen vorsieht und den Canada Evidence Act, den Statutory Instruments Act und den Statute Revision Act ändert.

  • Die griechische Behörde für Kommunikationssicherheit und Datenschutz (ADAE) (Gesetz 165/2011) legt die Mindestkontrollen für die Informationssicherheit fest, die jedes Unternehmen, das elektronische Kommunikationsnetze und/oder -dienste in Griechenland anbietet, zum Schutz der Vertraulichkeit der Kunden einsetzen sollte.

Dazu gehören sowohl verwaltungstechnische als auch technische Kontrollen (z.B.

  • sollten Protokollaufzeichnungen zwei Jahre lang aufbewahrt werden).
  • Griechenlands griechische Behörde für Kommunikationssicherheit und Datenschutz (ADAE) (Gesetz 205/2013) konzentriert sich auf den Schutz der Integrität und Verfügbarkeit der von griechischen Telekommunikationsunternehmen angebotenen Dienste und Daten.

Das Gesetz zwingt diese und andere damit verbundene Unternehmen dazu, geeignete Pläne für die Geschäftskontinuität und redundante Infrastrukturen zu entwickeln, einzusetzen und zu testen.

Das US-Verteidigungsministerium (DoD) erließ im Jahr 2004 die DoD-Richtlinie 8570, ergänzt durch die DoD-Richtlinie 8140, die vorschreibt, dass alle DoD-Mitarbeiter und alle DoD-Vertragspersonen, die in der Informationssicherung tätig sind, verschiedene IT-Zertifizierungen erwerben und aufrechterhalten müssen, um sicherzustellen, dass alle DoD-Mitarbeiter, die an der Verteidigung der Netzwerkinfrastruktur beteiligt sind, über ein Mindestmaß an in der IT-Branche anerkannten Kenntnissen, Fähigkeiten und Fertigkeiten (KSA) verfügen.

  • Andersson und Reimers (2019) berichten, dass diese Zertifizierungen von CompTIAs A+ und Security+ bis hin zu ICS2.orgs CISSP usw.
  • reichen.

Kultur

Die Kultur der Informationssicherheit beschreibt nicht nur, wie sicherheitsbewusst die Mitarbeiter sind, sondern auch die Ideen, Bräuche und sozialen Verhaltensweisen einer Organisation, die sich sowohl positiv als auch negativ auf die Informationssicherheit auswirken. Kulturelle Konzepte können dazu beitragen, dass verschiedene Segmente der Organisation effektiv arbeiten oder der Effektivität der Informationssicherheit innerhalb einer Organisation entgegenwirken.

  • Die Art und Weise, wie Mitarbeiter über Sicherheit denken und fühlen und wie sie handeln, kann einen großen Einfluss auf die Informationssicherheit in Organisationen haben.
  • Roer & Petric (2017) identifizieren sieben Kerndimensionen der Informationssicherheitskultur in Organisationen:
  • Haltungen: Gefühle und Emotionen der Mitarbeiter in Bezug auf die verschiedenen Aktivitäten, die mit der organisatorischen Informationssicherheit zusammenhängen.
  • Verhaltensweisen: Tatsächliche oder beabsichtigte Aktivitäten und risikobehaftete Handlungen von Mitarbeitern, die sich direkt oder indirekt auf die Informationssicherheit auswirken.
  • Kognition: Bewusstsein, überprüfbares Wissen und Überzeugungen der Mitarbeiter in Bezug auf Praktiken, Aktivitäten und Selbstwirksamkeit, die mit der Informationssicherheit in Zusammenhang stehen.
  • Kommunikation: Die Art und Weise, wie Mitarbeiter miteinander kommunizieren, das Gefühl der Zugehörigkeit, die Unterstützung bei Sicherheitsfragen und die Meldung von Vorfällen.
  • Einhaltung: Befolgung der Sicherheitsrichtlinien des Unternehmens, Bewusstsein für die Existenz solcher Richtlinien und die Fähigkeit, sich an den Inhalt solcher Richtlinien zu erinnern.
  • Normen: Wahrnehmung sicherheitsrelevanter organisatorischer Verhaltensweisen und Praktiken, die informell von den Mitarbeitern und ihren Kollegen als normal oder abweichend angesehen werden, z.B.
  • verborgene Erwartungen in Bezug auf Sicherheitsverhalten und ungeschriebene Regeln für die Nutzung von Informations- und Kommunikationstechnologien.
  • Verantwortlichkeiten: Das Verständnis der Mitarbeiter für die Rollen und Verantwortlichkeiten, die sie haben, ist ein entscheidender Faktor für die Aufrechterhaltung oder Gefährdung der Informationssicherheit und damit der Organisation.

Andersson und Reimers (2014) stellten fest, dass Mitarbeiter sich oft nicht als Teil der "Bemühungen" der Organisation um die Informationssicherheit sehen und häufig Handlungen vornehmen, die die Interessen der Organisation an der Informationssicherheit ignorieren. Die Forschung zeigt, dass die Informationssicherheitskultur kontinuierlich verbessert werden muss.

  • In der Studie "Informationssicherheitskultur von der Analyse bis zur Veränderung" stellen die Autoren fest: "Es ist ein nie endender Prozess, ein Kreislauf aus Bewertung und Veränderung oder Pflege." Um die Informationssicherheitskultur zu managen, sollten fünf Schritte unternommen werden: Vorbewertung, strategische Planung, operative Planung, Umsetzung und Nachbewertung.
  • Vor-Evaluierung: Ermittlung des Bewusstseins der Mitarbeiter für die Informationssicherheit und Analyse der aktuellen Sicherheitspolitik
  • Strategische Planung: Um ein besseres Bewusstseinsprogramm zu entwickeln, müssen wir klare Ziele setzen.
  • Die Bündelung von Mitarbeitern ist hilfreich, um dies zu erreichen.
  • Operative Planung: Schaffung einer guten Sicherheitskultur auf der Grundlage von interner Kommunikation, Management-Buy-in, Sicherheitsbewusstsein und Schulungsprogrammen
  • Umsetzung: sollte das Engagement des Managements, die Kommunikation mit den Organisationsmitgliedern, Kurse für alle Organisationsmitglieder und das Engagement der Mitarbeiter beinhalten
  • Post-Evaluierung: um die Wirksamkeit der vorangegangenen Schritte besser einschätzen zu können und auf kontinuierliche Verbesserung zu setzen

Quellen für Normen

Haupt: Cybersicherheitsnormen

Die Internationale Organisation für Normung (ISO) ist eine internationale Normungsorganisation, die als Konsortium nationaler Normungsinstitute aus 167 Ländern organisiert ist und über ein Sekretariat in Genf, Schweiz, koordiniert wird.

  • Die ISO ist der weltweit größte Entwickler von internationalen Normen.
  • Die Internationale Elektrotechnische Kommission (IEC) ist eine internationale Normungsorganisation, die sich mit der Elektrotechnik befasst und eng mit der ISO zusammenarbeitet.
  • ISO/IEC 15443: "Informationstechnik - Sicherheitstechniken - Ein Rahmenwerk für die Gewährleistung der IT-Sicherheit", ISO/IEC 27002: "Informationstechnik - Sicherheitstechniken - Verhaltenskodex für das Informationssicherheitsmanagement", ISO/IEC 20000: "Informationstechnik - Dienstleistungsmanagement", und ISO/IEC 27001: "Informationstechnologie - Sicherheitstechniken - Managementsysteme für die Informationssicherheit - Anforderungen" sind von besonderem Interesse für Fachleute der Informationssicherheit.

Das US-amerikanische National Institute of Standards and Technology (NIST) ist eine nicht-regulierende Bundesbehörde innerhalb des US-Handelsministeriums.

  • Die NIST-Abteilung für Computersicherheit entwickelt Standards, Metriken, Tests und Validierungsprogramme und veröffentlicht Standards und Richtlinien zur Verbesserung der sicheren IT-Planung, -Implementierung, -Verwaltung und -Betrieb.
  • Das NIST ist auch der Verwalter der US-amerikanischen Federal Information Processing Standard-Publikationen (FIPS).

Die Internet Society ist eine professionelle Mitgliedsgesellschaft mit mehr als 100 Organisationen und über 20.000 Einzelmitgliedern in über 180 Ländern.

  • Sie ist führend bei der Behandlung von Fragen, die die Zukunft des Internets betreffen, und ist die organisatorische Heimat für die Gruppen, die für die Internet-Infrastrukturstandards verantwortlich sind, einschließlich der Internet Engineering Task Force (IETF) und des Internet Architecture Board (IAB).
  • Das ISOC beherbergt die Requests for Comments (RFCs), zu denen auch die offiziellen Internet-Protokollstandards und das RFC-2196 Site Security Handbook gehören.

Das Information Security Forum (ISF) ist eine weltweite gemeinnützige Organisation, der mehrere hundert führende Organisationen aus den Bereichen Finanzdienstleistungen, Fertigung, Telekommunikation, Konsumgüter, Regierung und anderen Bereichen angehören.

  • Es erforscht die Praktiken der Informationssicherheit und bietet in seinem halbjährlich erscheinenden Standard of Good Practice sowie in detaillierteren Ratgebern für Mitglieder Ratschläge an.

Das Institute of Information Security Professionals (IISP) ist eine unabhängige, gemeinnützige Einrichtung, die von ihren Mitgliedern geleitet wird und deren Hauptziel es ist, die Professionalität von Fachleuten im Bereich der Informationssicherheit und damit die Professionalität der gesamten Branche zu fördern.

  • Das Institut hat das IISP Skills Framework entwickelt.
  • Dieser Rahmen beschreibt das Spektrum der Kompetenzen, die von Fachleuten für Informationssicherheit und Informationssicherung bei der effektiven Ausübung ihrer Tätigkeit erwartet werden.
  • Er wurde in Zusammenarbeit mit Organisationen des privaten und öffentlichen Sektors, weltbekannten Wissenschaftlern und führenden Sicherheitsexperten entwickelt.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) Die BSI-Standards 100-1 bis 100-4 sind eine Reihe von Empfehlungen, die "Methoden, Prozesse, Verfahren, Ansätze und Maßnahmen im Bereich der Informationssicherheit" beinhalten. Der BSI-Standard 100-2 IT-Grundschutz Methodik beschreibt, wie Informationssicherheitsmanagement umgesetzt und betrieben werden kann.

  • Der Standard enthält einen sehr konkreten Leitfaden, die IT-Grundschutz-Kataloge (auch IT-Grundschutz-Kataloge genannt).
  • Vor 2005 waren die Kataloge unter dem Namen "IT-Grundschutz Handbuch".
  • Die Kataloge sind eine Sammlung von Dokumenten, die dazu dienen, sicherheitsrelevante Schwachstellen in der IT-Umgebung (IT-Cluster) zu erkennen und zu bekämpfen.
  • Die Sammlung umfasst mit Stand September 2013 über 4.400 Seiten mit der Einführung und den Katalogen.
  • Der IT-Grundschutz-Ansatz orientiert sich an der ISO/IEC 2700x-Familie.

Das Europäische Institut für Telekommunikationsnormen hat unter der Leitung der Industrial Specification Group (ISG) ISI einen Katalog von Informationssicherheitsindikatoren standardisiert.


Anhang

Siehe auch

Links

Projekt
Weblinks
  1. https://en.wikipedia.org/wiki/Information_security
  2. http://iac.dtic.mil/iatac/ia_policychart.html
  3. http://msdn2.microsoft.com/en-us/library/ms998382.aspx
  4. http://www.opensecurityarchitecture.org
  5. http://www.iwar.org.uk/comsec
  6. Ross Anderson's book "Security Engineering"
  7. Mind Map der Informationssicherheit


Abgerufen von „https://wiki.foxtom.de/index.php?title=Informationssicherheit&oldid=82295