Die Schutzziele der Informationssicherheit — Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Triade) — bilden das Fundament jedes ISMS. Vertraulichkeit stellt sicher, dass Informationen nur Berechtigten zugänglich sind. Integrität gewährleistet die Richtigkeit und Vollständigkeit von Daten. Verfügbarkeit bedeutet, dass Systeme und Daten bei Bedarf nutzbar sind. Jede Sicherheitsmaßnahme adressiert mindestens eines dieser Ziele. Du bewertest den Schutzbedarf jedes Assets anhand der drei Schutzziele. Im ISMS dienen sie als Strukturierungsprinzip für Risikoanalyse, Maßnahmenauswahl und Audit.
Schutzziele (CIA)
Hier verwendet
ISO-27001-Kontrollen 93
- A.5.1 — Richtlinien für Informationssicherheit
- A.5.10 — Akzeptable Nutzung von Informationswerten
- A.5.11 — Rückgabe von Vermögenswerten
- A.5.12 — Klassifizierung von Informationen
- A.5.13 — Kennzeichnung von Informationen
- A.5.14 — Informationsübertragung
- A.5.15 — Zugriffskontrolle
- A.5.16 — Identitätsmanagement
- A.5.17 — Authentifizierungsinformationen
- A.5.18 — Zugriffsrechte
- A.5.19 — IS in Lieferantenbeziehungen
- A.5.2 — Rollen und Verantwortlichkeiten
- A.5.20 — IS in Lieferantenvereinbarungen
- A.5.21 — IS in der IKT-Lieferkette
- A.5.22 — Überwachung von Lieferantendiensten
- A.5.23 — IS für Cloud-Dienste
- A.5.24 — Planung des Vorfallmanagements
- A.5.25 — Bewertung von IS-Ereignissen
- A.5.26 — Reaktion auf IS-Vorfälle
- A.5.27 — Lernen aus IS-Vorfällen
- A.5.28 — Sammlung von Beweismitteln
- A.5.29 — IS während einer Störung
- A.5.3 — Aufgabentrennung
- A.5.30 — IKT-Bereitschaft für Geschäftskontinuität
- A.5.31 — Rechtliche und vertragliche Anforderungen
- A.5.32 — Geistige Eigentumsrechte
- A.5.33 — Schutz von Aufzeichnungen
- A.5.34 — Datenschutz und Schutz von PII
- A.5.35 — Unabhängige Überprüfung der IS
- A.5.36 — Einhaltung von IS-Richtlinien
- A.5.37 — Dokumentierte Betriebsverfahren
- A.5.4 — Managementverantwortlichkeiten
- A.5.5 — Kontakt mit Behörden
- A.5.6 — Kontakt mit Interessengruppen
- A.5.7 — Bedrohungsintelligenz
- A.5.8 — IS im Projektmanagement
- A.5.9 — Inventar von Informationswerten
- A.6.1 — Sicherheitsüberprüfung
- A.6.2 — Beschäftigungsbedingungen
- A.6.3 — IS-Bewusstsein, -Bildung und -Schulung
- A.6.4 — Disziplinarverfahren
- A.6.5 — Pflichten nach Beschäftigungsende
- A.6.6 — Vertraulichkeitsvereinbarungen
- A.6.7 — Telearbeit
- A.6.8 — Meldung von IS-Vorfällen
- A.7.1 — Physische Sicherheitsgrenzen
- A.7.10 — Speichermedien
- A.7.11 — Unterstützende Versorgungsdienste
- A.7.12 — Sicherheit der Verkabelung
- A.7.13 — Ausrüstungswartung
- A.7.14 — Sichere Entsorgung oder Wiederverwendung
- A.7.2 — Physischer Zugang
- A.7.3 — Sichern von Büros, Räumen und Einrichtungen
- A.7.4 — Physische Sicherheitsüberwachung
- A.7.5 — Schutz vor physischen und umweltbedingten Bedrohungen
- A.7.6 — Arbeiten in sicheren Bereichen
- A.7.7 — Aufgeräumte Arbeitsumgebung und Bildschirmsperren
- A.7.8 — Platzierung und Schutz von Geräten
- A.7.9 — Sicherheit von Vermögenswerten außerhalb des Firmengeländes
- A.8.1 — Benutzerendgeräte
- A.8.10 — Informationslöschung
- A.8.11 — Datenmaskierung
- A.8.12 — Datenverlustprävention
- A.8.13 — Informationssicherung
- A.8.14 — Redundanz von Informationsverarbeitungseinrichtungen
- A.8.15 — Protokollierung
- A.8.16 — Überwachungsaktivitäten
- A.8.17 — Uhrensynchronisation
- A.8.18 — Verwendung privilegierter Dienstprogramme
- A.8.19 — Installation von Software auf Betriebssystemen
- A.8.2 — Privilegierte Zugriffsrechte
- A.8.20 — Netzwerksicherheit
- A.8.21 — Sicherheit von Netzwerkdiensten
- A.8.22 — Trennung von Netzwerken
- A.8.23 — Web-Filterung
- A.8.24 — Verwendung von Kryptographie
- A.8.25 — Sicherer Entwicklungslebenszyklus
- A.8.26 — Anwendungssicherheitsanforderungen
- A.8.27 — Sichere Systemarchitektur und Ingenieurprinzipien
- A.8.28 — Sicheres Programmieren
- A.8.29 — Sicherheitstests in Entwicklung und Abnahme
- A.8.3 — Einschränkung des Informationszugriffs
- A.8.30 — Ausgelagerte Entwicklung
- A.8.31 — Trennung von Entwicklungs-, Test- und Produktionsumgebungen
- A.8.32 — Änderungsmanagement
- A.8.33 — Testinformationen
- A.8.34 — Schutz bei Prüfungstests
- A.8.4 — Zugriff auf den Quellcode
- A.8.5 — Sichere Authentifizierung
- A.8.6 — Kapazitätsmanagement
- A.8.7 — Schutz vor Malware
- A.8.8 — Verwaltung technischer Schwachstellen
- A.8.9 — Konfigurationsmanagement
Bedrohungen 47
- G 0.1 — Feuer
- G 0.10 — Ausfall oder Störung von Versorgungsnetzen
- G 0.11 — Ausfall oder Störung von Dienstleistern
- G 0.12 — Elektromagnetische Störstrahlung
- G 0.13 — Abfangen kompromittierender Strahlung
- G 0.14 — Ausspähen von Informationen (Spionage)
- G 0.15 — Abhören
- G 0.16 — Diebstahl von Geräten, Datenträgern oder Dokumenten
- G 0.17 — Verlust von Geräten, Datenträgern oder Dokumenten
- G 0.18 — Fehlplanung oder fehlende Anpassung
- G 0.19 — Offenlegung schützenswerter Informationen
- G 0.2 — Ungünstige klimatische Bedingungen
- G 0.20 — Informationen oder Produkte aus unzuverlässiger Quelle
- G 0.21 — Manipulation von Hard- oder Software
- G 0.22 — Manipulation von Informationen
- G 0.23 — Unbefugtes Eindringen in IT-Systeme
- G 0.24 — Zerstörung von Geräten oder Datenträgern
- G 0.25 — Ausfall von Geräten oder Systemen
- G 0.26 — Fehlfunktion von Geräten oder Systemen
- G 0.27 — Ressourcenmangel
- G 0.28 — Software-Schwachstellen oder -Fehler
- G 0.29 — Verstoß gegen Gesetze oder Regelungen
- G 0.3 — Wasser
- G 0.30 — Unberechtigte Nutzung oder Administration von Geräten und Systemen
- G 0.31 — Fehlerhafte Nutzung oder Administration von Geräten und Systemen
- G 0.32 — Missbrauch von Berechtigungen
- G 0.33 — Personalausfall
- G 0.34 — Anschlag
- G 0.35 — Nötigung, Erpressung oder Korruption
- G 0.36 — Identitätsdiebstahl
- G 0.37 — Abstreiten von Handlungen
- G 0.38 — Missbrauch personenbezogener Daten
- G 0.39 — Schadprogramme
- G 0.4 — Verschmutzung, Staub, Korrosion
- G 0.40 — Verhinderung von Diensten (Denial of Service)
- G 0.41 — Sabotage
- G 0.42 — Social Engineering
- G 0.43 — Einspielen von Nachrichten
- G 0.44 — Unbefugtes Eindringen in Räumlichkeiten
- G 0.45 — Datenverlust
- G 0.46 — Integritätsverlust schützenswerter Informationen
- G 0.47 — Schädliche Seiteneffekte IT-gestützter Angriffe
- G 0.5 — Naturkatastrophen
- G 0.6 — Katastrophen im Umfeld
- G 0.7 — Großereignisse im Umfeld
- G 0.8 — Ausfall oder Störung der Stromversorgung
- G 0.9 — Ausfall oder Störung von Kommunikationsnetzen