Klassifizierung
 

Die Identifizierung und die Klassifizierung der Werte sind ein integraler Bestandteil des Risikomanagements und stellen eine wichtige Komponente der Organisation der Informationssicherheit dar (auch genannt: Informationssicherheitsmanagementsystem - ISMS, siehe ISO/IEC 27001). Sie definieren die Sicherheitsanforderungen in Bezug auf Vertraulichkeit, Verfügbarkeit und Integrität.

Schreiben Sie eine Leitlinie zum Management von organisationseigenen Werten und sorgen Sie für deren Umsetzung.

Klassifizierungsprinzipien

  • Je größer die Auswirkung einer Offenlegung ist, desto höher muss die Klassifizierung der Vertraulichkeit sein.

  • Je größer die Auswirkung einer Kompromittierung eines Wertes ist, desto höher muss die Klassifizierung der Integrität sein.

  • Je größer die Auswirkung eines Verfügbarkeitsverlusts eines Wertes ist, umso höher muss die Klassifizierung der Verfügbarkeit sein.

Wichtigkeit der Klassifizierung

Die Klassifizierung der Werte wird vor allem benötigt, um eine Risikoanalyse durchzuführen. Tatsächlich muss man, um eine Risikoanalyse durchführen zu können, die Kritikalität der Werte (= Klassifizierungsniveau - mögliche Auswirkung) mit den Bedrohungen und den Schwachstellen in Verbindung bringen.

Die Klassifizierung ermöglicht die Erstellung einer möglichst objektiven Risiko-Bewertung sowie eines Risikobehandlungsplans. So kann man die Verringerung der wesentlichen Risiken, unter Berücksichtigung der zur Verfügung stehenden Investitionsmittel, überprüfen.

Klassifizierungs-Schema

Jedes Unternehmen verfügt über mehr oder weniger kritische Vermögenswerte, um einen ordnungsgemäßen Betrieb zu gewährleisten. Zu diesen Vermögenswerten zählen Geschäftsprozesse, Menschen, Informationen und natürlich auch Maschinen. Um wirksame und erfolgreiche Maßnahmen zur Gefahrenabwehr umsetzen zu können, ist es notwendig, für jeden Wert ein Schutzziel zu definieren.

Aus diesem Grund ist es wichtig, eine Klassifizierung der Werte durchzuführen und die Kritikalität in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit festzulegen.

Vertraulichkeit


Das folgende Diagramm zeigt die offizielle Abkürzung, den Namen sowie die Beschreibung der Klassifizierung der Vertraulichkeit. Es bezieht sich auch das "Traffic Light-Protokoll" der britischen Verwaltung NISCC. Diese Klassen definieren die Weiterleitungs-Regeln von Informationen im Bereich der kritischen Infrastrukturen.

Kategorie

1) Auswirkung, 2) Management, 3) Beispiel, 4) Werkzeuge

Entsprechender Wert im TLP

SE, Geheim

  1. Die Offenlegung könnte den Interessen der Organisation schwer schaden.

  2. Handhabung nach klar definierten Verfahren, nur in verschlüsselter Form aufbewahren, unter der ausschließlichen Kontrolle des Verantwortlichen.

  3. Per Gesetz klassifizierte Daten (EU, NATO, National, usw.), Passwörter: , sensible Informationen.

  4. Verwendung von Kryptografie, Safe, Gedächtnis.

Rot
 
Personal for named recipients only, mostly passed verbally or in person

CO, Vertraulich

  1. Die Offenlegung könnte den Interessen der Organisation schaden.

  2. Handhabung nach klar definierten Verfahren, Zugang nur für Menschen mit triftigem Grund.

  3. Bankgeheimnis, sensible, personenbezogene Daten (medizinische), Informationssicherheitsvorfälle.

  4. Verwendung von Kryptografie, lokale, nicht freigegebene Speicherung, formell verwaltete Zugrissverwaltung.

Orange.
 
Limited distribution, within organization, but only on a "need-to-know" basis.

RE, Eingeschränkt

  1. Die Offenlegung könnte nachteilige Konsequenzen für die Organisation haben.

  2. Handhabung auf Basis eines Arbeitsvertrags oder eines NDA, personenbezogene Daten (Gehälter), Vergabe der Berechtigung durch Werteverantwortlichen.

  3. Schema oder Dokumentation des internen Netzwerks, Quellcode von Programmen.

  4. Verwendung von Kryptografie, formell verwaltete Zugriffsverwaltung.

Grün

Community wide. Circulation, may not be published or posted on the Internet, nor released outside of the community.

IN, Intern

  1. Die Offenlegung könnte eventuell nachteilige Konsequenzen für die Organisation haben.

  2. Kann an andere Organisationen einer Gemeinschaft gehen.

  3. Benutzerhandbuch, Direktwahlnummern, interne Prozesse.

  4. Freie interne Verwendung, muss nur im Fall einer externen Kommunikation geschützt werden.

 Grün

Community wide. Circulation, may not be published or posted on the Internet, nor released outside of the community.

PU, Öffentlich

  1. Informationen, deren Offenlegung in der Regel nicht schädlich ist.

  2. Kann öffentlich zirkulieren, da auch außerhalb der Organisation zugänglich.

  3. Verschiedene Veröffentlichungen, Inhalt des öffentlich zugänglichen Internetauftritts.

  4. Keine Einschränkungen bei der Verwendung oder Kommunikation.

Weiß

Unlimited, subject to standard copyright rules, WHITE information may be distributed freely, without restriction.

Integrität

Das folgende Diagramm zeigt die offizielle Abkürzung, den Namen sowie die Beschreibung der Klassifizierung der Integrität.

Kategorie 1) Auswirkung, 2) Management, 3) Beispiel, 4) Werkzeuge
VIT, Vital
  1. Die Änderung könnte ernsthafte Verluste für die Organisation bedeuten oder dem Verfasser der Änderungen zu erheblicher Bereicherung verhelfen.
  2. Formelle, regelmäßige Kontrollverfahren werden eingesetzt (wenigstens wöchentlich oder monatlich).
  3. " DHL " Sendungen, elektronisches Dokumentenmanagement, Server- oder Speicherelemente, Telefonnummern und -Leitungen.
  4. Verwendung von Unterschriften, Safe.
IMP, Wichtig
  1. Die Änderung könnte zu Effizienzverlusten führen oder erhebliche Wiederherstellungskosten verursachen.
  2. Formelle, regelmäßige Kontrollverfahren werden eingesetzt. (dreimonatlich)
  3. Eingeschriebener Brief, chiffrierte E-Mail, Konfiguration der Arbeitsplatzrechner (PC, Laptop, PDA, usw.)
  4. Einschränkung der Benutzerberechtigungen
NOR, Normal
  1. Bis auf den Schutz der Vertraulichkeit gibt es keine zusätzlichen Maßnahmen.
  2. Regelmäßige Kontrollverfahren werden eingesetzt. (ein- bis zweimal im Jahr).
  3. Interne Post, E-Mail, Internetzugang, usw.
  4. Keine Einschränkungen bei der Verwendung oder Kommunikation.

Verfügbarkeit

Die Verfügbarkeit wird in der erwarteten Reparaturzeit ausgedrückt.

Kategorie Code
Kategorie
Ausfallzeit pro Jahr Arbeitszeitverlust pro Jahr
1 20J 1 Monat +/- 20 Tage
2 10T ½ Monat 2 Wochen
3 5J 1 Woche 5 Tage
4 2.5T ½ Woche 2½ Tage
5 1T 1 Tag 8 Stunden
6 0.5T ½ Tag 4 Arbeitsstunden
7 0.1T 1 Stunde 1 Stunde