Philosophie
Informationssicherheit
bezieht sich auf
die Sicherheit der Informationen an sich. Im erweiterten Sinn
beinhaltet Informationssicherheit auch die Sicherheit der IT-Systeme,
die die Daten verarbeiten und speichern.
Ausgangspunkt jeder Informationssicherheit ist die Schutzbedarfsanalyse der Daten, die sich aus den fachlichen Anforderungen ergeben. Der Schutzbedarf wird jeweils für die Aspekte Vertraulichkeit, Integrität, Verfügbarkeit und Nichtabstreitbarkeit ermittelt. Dabei spielen sowohl firmeneigene Belange als auch die rechtlichen Bestimmungen, wie die des Datenschutzes, eine Rolle.
Die im nachfolgenden durchzuführende Bedrohungs- und Risikoanalyse zeigt mögliche Bedrohungen der Vertraulichkeit, Integrität, Verfügbarkeit und Nichtabstreitbarkeit, die Wahrscheinlichkeiten des Eintretens eines schadhaften Ereignisses und potentielle Schäden auf. Die Wahrscheinlichkeit und der potentielle Schaden ergeben zusammen das Risiko.
Der Umgang mit Risiken richtet sich nach dem Schutzbedarf und den unternehmensbezogenen Security Policies, Richtlinien und Guidelines. Geeignete Sicherheitsmaßnahmen setzen das Risiko herab, so dass ein bestimmtes Sicherheitsniveau erreicht wird, wobei die Verhältnismäßigkeit zwischen Aufwand für eine Sicherheitsmaßnahme und deren Nutzen zu beachten ist.
Da die Risiken einer ständigen Veränderung unterliegen und die Erreichung und die Aufrechterhaltung eines bestimmten Sicherheitsniveaus regelmäßige Kontrollen voraussetzt, ist Informationssicherheit ein Prozess.
Informationssicherheit umfasst technische, organisatorische, rechtliche und insbesondere bezüglich Awareness auch psychologische Aspekte. Sicherheitsmaßnahmen können sowohl technischer oder / und organisatorischer Natur sein. Das Spektrum der technischen Sicherheitsmaßnahmen erstreckt sich von physikalischer Sicherheit über die Hardware, das Betriebssystem und die einzelnen Schichten der Applikationen. Es ist sinnvoll, die technischen Sicherheitsmaßnahmen redundant über das gesamte Spektrum zu verteilen. Aber auch alle technischen Maßnahmen zusammen lösen kein Problem, das seine Wurzeln in der Organisation hat.
Last but not least ist Informationssicherheit kein Selbstzweck, sondern dient dem Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Nichtabstreitbarkeit der Daten und stellt damit eine Voraussetzung für einen möglichst störungsarmen betrieblichen Ablauf dar.
Die sich aus dem Business heraus ergebenden Sicherheitsanforderungen an Daten sind der Ausgangspunkt und der Sinn der Informationssicherheit.
Ausgangspunkt jeder Informationssicherheit ist die Schutzbedarfsanalyse der Daten, die sich aus den fachlichen Anforderungen ergeben. Der Schutzbedarf wird jeweils für die Aspekte Vertraulichkeit, Integrität, Verfügbarkeit und Nichtabstreitbarkeit ermittelt. Dabei spielen sowohl firmeneigene Belange als auch die rechtlichen Bestimmungen, wie die des Datenschutzes, eine Rolle.
Die im nachfolgenden durchzuführende Bedrohungs- und Risikoanalyse zeigt mögliche Bedrohungen der Vertraulichkeit, Integrität, Verfügbarkeit und Nichtabstreitbarkeit, die Wahrscheinlichkeiten des Eintretens eines schadhaften Ereignisses und potentielle Schäden auf. Die Wahrscheinlichkeit und der potentielle Schaden ergeben zusammen das Risiko.
Der Umgang mit Risiken richtet sich nach dem Schutzbedarf und den unternehmensbezogenen Security Policies, Richtlinien und Guidelines. Geeignete Sicherheitsmaßnahmen setzen das Risiko herab, so dass ein bestimmtes Sicherheitsniveau erreicht wird, wobei die Verhältnismäßigkeit zwischen Aufwand für eine Sicherheitsmaßnahme und deren Nutzen zu beachten ist.
Da die Risiken einer ständigen Veränderung unterliegen und die Erreichung und die Aufrechterhaltung eines bestimmten Sicherheitsniveaus regelmäßige Kontrollen voraussetzt, ist Informationssicherheit ein Prozess.
Informationssicherheit umfasst technische, organisatorische, rechtliche und insbesondere bezüglich Awareness auch psychologische Aspekte. Sicherheitsmaßnahmen können sowohl technischer oder / und organisatorischer Natur sein. Das Spektrum der technischen Sicherheitsmaßnahmen erstreckt sich von physikalischer Sicherheit über die Hardware, das Betriebssystem und die einzelnen Schichten der Applikationen. Es ist sinnvoll, die technischen Sicherheitsmaßnahmen redundant über das gesamte Spektrum zu verteilen. Aber auch alle technischen Maßnahmen zusammen lösen kein Problem, das seine Wurzeln in der Organisation hat.
Last but not least ist Informationssicherheit kein Selbstzweck, sondern dient dem Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Nichtabstreitbarkeit der Daten und stellt damit eine Voraussetzung für einen möglichst störungsarmen betrieblichen Ablauf dar.
Die sich aus dem Business heraus ergebenden Sicherheitsanforderungen an Daten sind der Ausgangspunkt und der Sinn der Informationssicherheit.