(Sicherheits-)Ziele: Unterschied zwischen den Versionen
Zeile 1: | Zeile 1: | ||
Die klassischen Sicherheitsziele Werden in der Norm nur beispielhaft genannt.<br> | Die klassischen Sicherheitsziele Werden in der Norm nur beispielhaft genannt.<br> | ||
<br> | <br> | ||
− | Jede Organisation ist frei, die für ihren geschäftlichen Kontext als relevant erachteten Ziele individuell festzulegen. Diese Ziele sind zu dokumentieren, was meist im Überblick in einer Security Policy (zu dt. meist Sicherheitsleitlinie) erfolgt. Davon zu unterscheiden sind [[Sicherheitsrichtlinien]], die ein spezielles Thema aus Sicht einer Zielgruppe behandeln. | + | Jede Organisation ist frei, die für ihren geschäftlichen Kontext als relevant erachteten Ziele individuell festzulegen. Diese Ziele sind zu dokumentieren, was meist im Überblick in einer Security Policy (zu dt. meist [[Sicherheitsleitlinien|Sicherheitsleitlinie]]) erfolgt. Davon zu unterscheiden sind [[Sicherheitsrichtlinien]], die ein spezielles Thema aus Sicht einer Zielgruppe behandeln. |
== klassische Sicherheitsziele == | == klassische Sicherheitsziele == |
Version vom 1. Februar 2021, 12:01 Uhr
Die klassischen Sicherheitsziele Werden in der Norm nur beispielhaft genannt.
Jede Organisation ist frei, die für ihren geschäftlichen Kontext als relevant erachteten Ziele individuell festzulegen. Diese Ziele sind zu dokumentieren, was meist im Überblick in einer Security Policy (zu dt. meist Sicherheitsleitlinie) erfolgt. Davon zu unterscheiden sind Sicherheitsrichtlinien, die ein spezielles Thema aus Sicht einer Zielgruppe behandeln.
klassische Sicherheitsziele
Meist mit den Begriffen Vertraulichkeit, Integrität und Verfügbarkeit verbunden.
Vertraulichkeit von Informationen zu wahren meint, dass diese nur einem entsprechend autorisierten Personenkreis zur Kenntnis gelangen.
Integrität von Daten wahren meint, dass nur autorisierte Änderungen vorgenommen werden dürfen.
Verfügbar mein, dass Daten für _autorisierte_ Zwecke ausreichend schnell zur Verfügung stehen müssen - genauer: Verzögerungen sind nur in akzeptablen Umfang zulässig.
Die Ziele der Integrität und Verfügbarkeit werden nicht nur für Daten, sondern analog auch für Systeme, IT-Anwendungen und Prozesse definiert.
Wer zur Kenntnisnahme oder Änderungen autorisiert ist bzw. welche Verzögerung noch als akzeptabel angesehen wird, ist durch die jeweilige Organisation für ihre geschäftlichen Zwecke festzulegen. Möglicherweise existieren dazu auch Vorgaben in relevanten Gesetzen, Verträgen und anderen Standards.
Erweiterte Sicherheitsziele
Im Zusammenhang mit dem Datenaustausch über Netzwerke werden bspw. die Authentizität von Absendern und des Datenursprungs, auch der Nachweis des Empfängers bzw. des Absenders von Daten gefordert.
Eine weitere Gruppe von Zielen stellen die Compliance-Ziele dar, bei denen es um die Einhaltung von Vorgaben gesetzlicher (z.B. BDSG) oder vertraglicher (z.B. SLAs) Art geht.