Channel Header
164302

Informationssicherheit

03.06.2008 | 10:01 Uhr |

Ein grundlegender Aspekt von IT-Sicherheit ist die Informationssicherheit. Sie setzt sich aus Vertraulichkeit, Integrität und Verfügbarkeit zusammen:

Vertraulichkeit (confidentiality): Schutz sensibler Informationen (Daten) vor nicht autorisiertem Zugriff, das heißt, Daten dürfen lediglich von autorisierten Benutzern gelesen beziehungsweise modifiziert werden; dies gilt sowohl beim Zugriff auf gespeicherte Daten als auch während der Datenübertragung.

Integrität (integrity): Schutz sensibler Informationen (Daten) vor ungewollter Veränderung, das heißt, Daten dürfen nicht unbemerkt verändert werden beziehungsweise alle Änderungen müssen nachvollziehbar sein.

Verfügbarkeit (availability): Verhindern von Systemausfällen. Zugriff auf Daten und unerlässliche IT-Services muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein, das heißt, Daten und Services sind verfügbar, wenn sie angefordert werden.

Weitere Aspekte von Informationssicherheit sind Privatsphäre beziehungsweise Anonymität (Schutz personenbezogener Daten), Authentizität (Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein) sowie Verbindlichkeit/Nachvollziehbarkeit (Urheber von Veränderungen müssen erkennbar sein und dürfen Veränderung nicht abstreiten können).

Mehr als Basissicherheit

Security-Management nach ITIL verfolgt grundsätzlich zwei Ziele:

1. Die Realisierung der im Service Level Agreement definierten Sicherheitsanforderungen oder externer Erfordernisse, die in unterstützenden Verträgen, Gesetzen und möglichen internen oder externen Richtlinien spezifiziert wurden.

2. Die Realisierung einer Basisstufe von Sicherheit, die für das Fortbestehen der Organisation notwendig ist. Dazu gehören geeignete Sicherheitstechniken (beispielsweise Firewall, Zugriffschutz, Intrusion Detection) und Vorsorgemaßnahmen zur möglichst reibungslosen Wiederaufnahme des Geschäftsbetriebs nach Störungen.

Der Security-Management-Prozess basiert auf den in den SLAs beschriebenen Anforderungen. Diese können als Key-Performance-Indikatoren (KPI) beziehungsweise Schlüsselkennzahlen für das Prozessmanagement und die Rechtfertigung der Ergebnisse des Security-Management-Prozesses dienen. Sie geben dadurch Aufschluss über die Erfüllung und Realisierung der SLAs sowie Abweichungen von den Anforderungen.

Beispiele für KPIs, die gemessen werden können, sind die (gesunkene) Zahl von sicherheitsbezogenen Serviceanfragen oder Fixes, die (kürzere) Zeitspanne zwischen der Entdeckung des Sicherheitsvorfalls, dem Bericht und der Fehlerbehebung oder eine (geringere) Anzahl von Systemausfällen als Folge von Sicherheitsvorfällen.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
164302