Was ist Informationssicherheit? - Was bedeuten die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit?

informationssicherheit

Was ist das Ziel der Informationssicherheit?

Die Informationssicherheit setzt sich zum Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen. Auf diese Weise können Informationen vor Risiken wie nicht authorisiertem Zugriff, Informationsmanipulation, Schutz der Privatspähre (Datenschutz), Know-how Diebstahl, Diebstahl von Betriebsgeheimnissen, usw. besser geschützt werden. Dis schafft die Basis, um wirtschaftliche Schäden verhindern zu können und Wettbewerbsvorteile schützen zu können. Das neue Informationssicherheitsgesetz des Bundes unterstützt dabei die Anstrengungen im Bereich Informationssicherheit. Informationen können in unterschiedlichen Formen (Papier, Speichermedien, Mobile Devices, IT Systemen vorliegen und auf verschiedenen Systemen bearbeitet werden. Informationen sind nicht nur auf digitale Daten beschränkt. Bei speichernden Systemen muss es sich nicht grundsätzlich um ICT-Komponenten handeln. Es können sowohl technische als auch nicht-technische ICT-Systeme sein. 

Im Rahmen der Digitalisierung stehen oft digitale Daten, ICT-Systeme, Netzwerke und Speichermedien im Mittelpunkt der Informationssicherheit, obwohl sie im eigentlichen Sinn des Begriffs nur einen Teil abdecken. Weitere mögliche Informationssicherheitsbereiche sind im ICT-Umfeld die Netzwerksicherheit, die IT Sicherheit oder der Datenschutz. In der praktischen Anwendung orientiert sich Informationssicherheit am ICT-Sicherheitsmanagement und an den international gültigen ISO/IEC-27000-Normreihen oder NIST: National Institute of Standards and Technology.

 

informationssicherheitVertraulichkeit, Integrität, Verfügbarkeit, Verbindlichkeit, Zurechenbarkeit - Was bedeuten diese Schutzziele bzw. Begriffe der Informationssicherheit?

Unter Vertraulichkeit versteht man, dass nur autorisierte Benutzer Zugriff auf für sie bestimmte Informationen (physischer Zugriff) bzw. Daten (digitaler Zugriff) erhalten, um diese zu lesen, verarbeiten oder ändern zu können. Durch die Integrität wird unbemerktes Ändern von Informationen bzw. Daten verhindert. Sämtliche Änderungen an Informationen und digitalen Daten sind nachvollziehbar zu gestalten. Die Sicherstellung der Verfügbarkeit ermöglicht den Informations- bzw. Datenzugriff in zugesicherter Art und Weise (gemäss RTO: Recovery time objectives oder RPO: Recovery point objectives) und begrenzt maximal tolerierbare Systemausfälle gemäss den Sicherheitsanforderungen der Service-Prozesse. Neben diesen Grundzielen existieren weitere Schutzziele wie die Verbindlichkeit, die Authentizität oder die eindeutigen Zurechenbarkeit von Informationen

Verbindlichkeit bedeutet, dass es nicht möglich sein darf, ausgeführte Handlungen abzustreiten. Unter Zurechenbarkeit versteht man, dass es möglich sein muss, Handlungen eindeutig demjenigen zuzuordnen, der sie ausgeführt hat. Die beiden Begriffe folgen somit dem Identitätsmanagement und gehen somit Hand in Hand. Die Eigenschaften hängen somit an den im Unternehmen vorhandenen Identitäten!  Die Authentizität definiert grundsätzlich die Echtheit (bzw. Vertrauenswürdigkeit). Im Sinne der Informationssicherheit hört man oft den Begriff Authentifikation. Gemeint wird damit die Überprüfung der Echtheit eines Objekts.

 

Das neue Informationssicherheitsgesetz (ISG) legt keine detaillierten Massnahmen hinsichtlich der erwähnten Schutzziele fest. Es schafft lediglich den gesetzlichen Rahmen. Im Informationssicherheitsgesetz (ISG) werden zur Umsetzung der Informationssicherheit und zur Erreichung der definierten Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit, Verbindlichkeit, Authentizität, Zuordnungsmöglichkeit) Themen wie beispielsweise Risikomanagement, Klassifizierung von Informationen, Data Governance, Informatiksicherheit, Organisation der Informationssicherheit, Physischer Schutz (baulich-technisch, organisatorisch, informationstechnisch), Identitätsverwaltungs-Systeme (Identity- and Access-Management; IAM), Personensicherheitsüberprüfung (PSP), Betriebssicherheitsverfahren (Vergabe sicherheitsempfindlicher Aufträge an externe Partner), Betriebliche Sicherheitskonzepte angesprochen:

 

Was sollten Sie tun hinsichtlich Compliance und neues Informationssicherheitsgesetz (ISG)

Alle Bundesbehörden und kantonalen Behörden sowie die privatwirtschaftlichen Unternehmen, die dem ISG verpflichtet sind, müssen die Vorgaben grundsätzlich bis zum Inkrafttreten des Gesetzes umsetzen. Überprüfen Sie zuerst, welche Daten für das Überleben des Unternehmens überlebenswichtig sind und welcher Datenverlust die grössten Schäden anrichten. In der Folge ist es Ihre Verantwortung und Aufgabe, als Geschäftsführer dafür zu sorgen, dass diese Datenbestände die Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit, Verbindlichkeit, Authentizität, Zuordnungsmöglichkeit) erreichen! Überlegen Sie sich, eventuell auch in Kooperation mit einem Informationssicherheits-Experten, geeignete Sicherheitsmassnahmen umzusetzen, mit denen Sie Ihre Geschäftsinformationen und Datenbestände (physische wie digitale Informationen/ Daten) im Sinne der Informationssicherheit schützen. 

 

 

Neutrale Standortbestimmung hinsichtlich Informationssicherheit und Umsetzung Informationssicherheitsgesetz (ISG)

 

Informationssicherheit - Wo stehen Sie mit Ihrem Unternehmen und was müsste getan werden?

Die neutrale Standortbestimmung hinsichtlich der Informationssicherheit bzw. dem neuen Informationssicherheitsgesetz zeigt, wo Handlungsbedarf besteht und welche Dringlichkeiten umzusetzen sind. RM Risk Management AG hilft Ihnen dabei, die notwendigen Lücken in der Informationssicherheit zu identifizieren und zu schliessen. Entscheidend dabei ist, dass Sie das Wesentliche und Notwendige richtig tun.

 

Benchmarking Informationssicherheit (sinngemäss „Massstäbe vergleichen“) ist ein vergleichendes Instrument der Informationssicherheit zu den Anforderungen, beschrieben in der ISO/IEC 27001 bzw. NIST Normen. Es geht dem Management bzw. den Entscheidungsträgern meistens darum, einschätzen zu können, wie sie im Vergleich zur "Best Practice" bzw. zur ISO/IEC 27001 oder der NIST stehen. Unsere IS Spezialisten/ Experten sind aufgrund ihrer Erfahrungen aus anderen Unternehmen in der Lage, Benchmarking Aussagen zu machen.

Informationssicherheitsgesetz Umsetzung / Audit  oder Standortbestimmung?

Sie starten ein Projekt zur Informationssicherheit bzw. Umsetzung Informationssicherheitsgesetz und möchten transparent eine Standortbestimmung durchführen? Sie suchen fachliche Unterstützung, einen Informationssicherheits-Spezialisten oder Berater für Benchmarking Aussagen hinsichtlich dem bestehenden Umsetzungsgrad bezüglich der Informationssicherheit bzw. das Informationssicherheitsgesetz? Ein unverbindliches Gespräch kann viele Fragen klären. Gerne erläutern wir Ihnen die verschiedenen Unterstützungs-Möglichkeiten.
 Kontaktieren Sie uns oder rufen Sie uns an  +41 44 360 40 40.