(Sicherheits-)Ziele
Werden in der Norm nur beispielhaft genannt.
klassische Sicherheitsziele
Meist mit den Begriffen Vertraulichkeit, Integrität und Verfügbarkeit verbunden.
Vertraulichkeit von Informationen zu wahren meint, dass diese nur einem entsprechend autorisierten Personenkreis zur Kenntnis gelangen.
Integrität von Daten wahren meint, dass nur autorisierte Änderungen vorgenommen werden dürfen.
Verfügbar mein, dass Daten für _autorisierte_ Zwecke ausreichend schnell zur Verfügung stehen müssen - genauer: Verzögerungen sind nur in akzeptablen Umfang zulässig.
Die Ziele der Integrität und Verfügbarkeit werden nicht nur für Daten, sondern analog auch für Systeme, IT-Anwendungen und Prozesse definiert.
Wer zur Kenntnisnahme oder Änderungen autorisiert ist bzw. welche Verzögerung noch als akzeptabel angesehen wird, ist durch die jeweilige Organisation für ihre geschäftlichen Zwecke festzulegen. Möglicherweise existieren dazu auch Vorgaben in relevanten Gesetzen, Verträgen und anderen Standards.
Erweiterte Sicherheitsziele
Im Zusammenhang mit dem Datenaustausch über Netzwerke werden bspw. die Authentizität von Absendern und des Datenursprungs, auch der Nachweis des Empfängers bzw. des Absenders von Daten gefordert.
Eine weitere Gruppe von Zielen stellen die Compliance-Ziele dar, bei denen es um die Einhaltung von Vorgaben gesetzlicher (z.B. BDSG) oder vertraglicher (z.B. SLAs) Art geht.