Werte
 

Kurz gefasst

Als "Wert" bezeichnet man ein Gut oder eine Dienstleistung, die einen bestimmten Wert für die Organisation darstellt. Werte besitzen verschiedene Schwachstellen, welche durch Bedrohungen ausgenutzt werden können und so negative Auswirkungen für die Organisation erzeugen können. Um ihre Werte zu schützen, setzt eine Organisation Sicherheitsmaßnahmen um. Die Bestimmung der Maßnahmen erfolgt während der Risikomanagementphase.

Wir unterscheiden zwischen:

  • Primären Werten:  Geschäftsprozesse und Informationen

  • Unterstützungswerten Werten wie etwa Personen, Maschinen, ...

Die primären Werte

Unter "primären Werten" versteht man Geschäftsprozesse sowie Informationen der Organisation. Jeder Wert besitzt eine bestimmte Kritikalität für die Organisation. So gibt es Geschäftsprozesse die mehr oder wenig wichtig sind, es gibt Geschäftsprozesse, wo die Integrität wichtiger ist, als Vertraulichkeit (Kadasteramt) und so weiter. Ähnlich ist es bei Informationen. Es gibt sehr wichtige und weniger wichtige Informationen. Es gibt Informationen, für die die Vertraulichkeit wichtiger ist, als die Verfügbarkeit.

Die Risikoanalyse wird auf Basis der Kritikalität der primären Werte berechnet. Die Unterstützungswerte, die zur Durchführung der Geschäftsprozesse benötigt werden, erben die Kritikalität dieser primären Werte.

Die Unterstützungswerte

EBIOSv2 schlägt eine Kategorisierung der Unterstützungswerte in 7 Typen vor:

  1. MAT : Material

  2. LOG: Programme

  3. RES : Netzwerk

  4. PER : Personen

  5. PHY : Lokalität

  6. ORG : Organisation

  7. SYS : System

Material

Der Typ "Material" besteht aus allen physischen Elementen eines Informationssystems. (KMU: Lesen Sie auch "Material und seine Bedrohungen")

  • MAT_ACT : Datenverarbeitungsgerät (Asset)
    Gerät zur automatischen Verarbeitung von Daten inklusive jener Elemente, die zu seinem autonomen Betrieb benötigt werden .

    • MAT_ACT.1 : transportierbares Datenverarbeitungsgerät
      Material, das manuell transportiert werden kann und an verschiedenen Orten benutzt werden kann.

    • MAT_ACT.2 : fixes Datenverarbeitungsgerät
      Datenverarbeitungsgerät, das der Organisation gehört und innerhalb der Organisation benutzt wird.

    • MAT_ACT.3 : peripheres Datenverarbeitungsgerät
      Datenverarbeitungsgerät, das über eine Schnittstelle (seriell, parallel, USB ...) an einen Computer angeschlossen ist um Daten zu erfassen, zu transportieren oder zu versenden.

  • MAT_PAS : Datenträger (passiv)
    Es handelt sich um einen Daten- oder Funktionsträger.

    • MAT_PAS.1 : elektronischer Datenträger
      Elektronischer Datenträger zum Speichern von Daten, der an einen Computer oder an ein Netzwerk angeschlossen werden kann. Von kleinem Umfang, können sie trotzdem ein großes Volumen an Daten speichern. Sie können zusammen mit Standarddatenverarbeitungsgeräten benutzt werden.

    • MAT_PAS.2 : Andere Datenträger
      Nicht-elektronische, statische Datenträger.

Programme

Der Typ "Programme" besteht aus allen Programmen, die zur Verarbeitung der Daten benötigt werden. (KMU: Lesen Sie auch "Software und ihre Bedrohungen")

  • LOG_OS : Betriebssysteme
    Dies bezeichnet alle Basisprogramme, welche zur Ausführung von aller anderen Programmen benötigt werden (Anwendungen und Service). Es enthält einen Kern sowie Basis-Funktionen und Dienste. Je nach Architektur kann ein Betriebssystem monolithisch aufgebaut sein oder aus einen Mini-Kern mit einer gewissen Anzahl an System-Diensten bestehen. Das Betriebssystem enthält hauptsächlich alle Dienstprogramme für Komponenten (CPU, Speicher, Festplatten, Peripheriegeräte und Netzwerkschnittstellen), sowie für die Verwaltung von Aufgaben oder Prozessen und zur Verwaltung der Benutzer und ihrer Rechte.

  • LOG_SRV : Administrations- und Wartungsprogramme
    Programme, welche das Betriebssystem vervollständigen und nicht direkt den Anwendern oder Anwendungen zur Verfügung stehen (selbst wenn sie unverzichtbar für das Informationsverarbeitungssystem sind).

  • LOG_STD : Standard-Anwendung
    Kommerzielle Standard-Anwendungen (keine spezifischen oder einzigartigen Entwicklungen) mit Support, Versioning und Wartung. Sie bieten den Anwendern oder Anwendungen eine generische Unterstützung, ohne jedoch spezifisch an Bedürfnisse oder Geschäftsprozesse angepasst zu sein.

  • LOG_APP : Geschäftsanwendung

    • LOG_APP .1 : Standard Geschäftsanwendung
      Es handelt sich um handelsübliche Anwendungen, welche den Anwender bei der Durchführung seiner typischen Geschäftstätigkeiten unterstützen. Es gibt unzählige Anwendungsgebiete.

    • LOG_APP .2 : Spezifische Geschäftsanwendungen
      Hierbei handelt es sich um spezifische Entwicklungen (was einen erheblichen Einfluss hat auf Wartung, Weiterentwicklung,…), die den Anwender bei der Durchführung seiner Geschäftstätigkeiten unterstützen. Es gibt unzählige Anwendungsgebiete.

Netzwerk

Der Typ "Netzwerk" besteht aus der der Menge aller Telekommunikationskomponenten, welche das Zusammenschließen von Computern oder sonstigen Datenverarbeitungsgeräten, die physisch getrennt sind, ermöglichen.

  • RES_INF : Medium und Träger
    Unter Kommunikationsmedien oder -trägern versteht man hauptsächlich die physischen und technischen Spezifikationen (Punkt-zu-Punk, Verbreitung) sowie die Kommunikationsprotokolle (Verbindung oder Netzwerk – Niveau 2 und 3 des OSI 7 Schichtenmodells).

  • RES_REL : Passives oder aktives Relais
    Zu diesem Typ gehören alle Nicht-Kommunikationskomponenten, die keine Endgeräte sind, sondern nur Vermittler oder Relais. Diese Relais bestehen aus Material und Programmen. Sie werden über die zur Verfügung gestellten Kommunikationsprotokolle spezifiziert –Netzwerk– welche sie unterstützen. Sie verfügen oft, neben der einfachen Relais-Funktion auch über Routing-Dienste (Routing der Kommunikation) und/oder Filter-Funktionen (Filter in den Routern). Sie werden oft fern-gewartet und sind manchmal auch fähig, Logs zu erstellen.

  • RES_INT : Kommunikationsschnittstelle
    Es handelt sich um die Datenverarbeitungskommunikationsschnittstellen. Sie sind daran verbunden und werden über die unterstützten Medien und Protokolle, die eventuellen Filterfähigkeiten, Logerstellungsmöglichkeiten, Fernwartungsmöglichkeiten und Meldungserzeugungsfähigkeiten charakterisiert.

Personal

Der Typ "Personal" besteht aus allen Personengruppen, die mit dem Informationssystem zu tun haben. (KMU: siehe Personal gegenüber Bedrohungen)

  • PER_DEC : Entscheidungsträger
    Es handelt sich um die Verantwortungsträger für kritische Werte der Organisation (Informationen und Geschäftsprozesse) sowie um Personen in Leitungsfunktionen.

  • PER_UTI : Anwender
    Es handelt sich um Anwender, die sensible Daten manipulieren und eine spezifische Verantwortung in diesem Bereich haben. Sie können über spezifische Zugangsberechtigungen verfügen, um ihre täglichen Pflichten zu erfüllen.

  • PER_EXP : Produktion / Wartung
    Es handelt sich um jene Personen, die für die Produktion oder die Wartung zuständig sind. Sie können über spezifische Zugangsberechtigungen verfügen, um ihre täglichen Pflichten zu erfüllen.

  • PER_DEV : Entwickler
    Es handelt sich um jene Personen, die Anwendungen für die Organisation entwickeln. Sie haben spezifische Berechtigungen auf den Informationssystemen, haben jedoch keinen Zugang zu Produktionsdaten.

Organisation

Der Typ "Organisation" beschreibt das organisatorische Umfeld der Organisation, zuzüglich aller Verwaltungsprozeduren.

  • ORG_DEP :
    der Organisation hierarchisch vorgesetzte Struktur (unabhängig von der juristischen Abhängigkeitsform). Die Organisation unterliegt dann verschiedenen Verordnungs-, Entscheidungs-, Handlungs- und Informationszwängen.

  • ORG_GEN : innere Organisation
    Interne Organisationsstruktur (inklusive horizontaler Organisationsstrukturen).

  • ORG_PRO : Projekt- und Systemorganisation
    Organisationsformen für spezifische Projekte oder Dienstleistungen.

  • ORG_EXT : Subunternehmer/Lieferanten/Industrielle
    Es handelt sich um die Organisation von Service- und Dienstleistungen durch Externe.

Lokalitäten

Der Typ "Lokalitäten" besteht aus einem Teil oder der Gesamtheit der Lokalitäten, an denen Systeme oder Dienstleistungen der Organisation untergebracht sind. (KMU: Lesen Sie auch "Infrastruktur und ihre Bedrohungen")

  • PHY_LIE : Ort
    Perimeter, Gebäude.

    • PHY_LIE.1 : Extern
      Alle Lokalitäten, an denen die Sicherheitsmaßnahmen der Organisation nicht umgesetzt werden können.

    • PHY_LIE.2 : Lokalitäten
      Alle Lokalitäten, die direkt mit der Außenwelt in Verbindung stehen. Es kann sich um einen Sicherheitsbereich handeln, der durch die Installation von physikalischen Schutzmaßnahmen oder durch die Installation von Überwachungsmitteln entsteht.

    • PHY_LIE.3 : Bereich
      Es handelt sich um einen abgetrennten Sicherheitsbereich der Organisation. Er wird durch die Errichtung physischer Barrieren rund um die Informationsverarbeitungssysteme gesichert.

  • PHY_SRV : Leistungen von Versorgungsbetrieben
    Die für den ungestörten Betrieb benötigten Leistungen.

    • PHY_SRV.1 : Telekommunikation
      Dienstleitungen und technische Geräte, die von einem Telekom-Operator zur Verfügung gestellt werden.

    • PHY_SRV.2 : Energie
      Leistungen und Material (Stromquelle und Verkabelung), die zur Versorgung der Informationssysteme benötigt werden.

    • PHY_SRV.3 : Kühlung / Verschmutzung
      Leistungen und Material (Material und Leitungen) für die Abkühlung und Säuberung der Luft.

System

Der Typ "System" besteht aus allen spezifischen Installationen, die für die Informationsverarbeitung benötigt werden. Er besteht aus verschiedenen Einheiten, die einem der oben beschriebenen Typen angehören.

  • SYS_INT : Internetzugang
    Geräte, die zur Anbindung des internen Netzes an das Internet benötigt werden.

  • SYS_MES : Nachrichten
    Geräte, die zum Erstellen, Lesen und Verschicken von elektronischen Nachrichten dienen.

  • SYS_ITR : Intranet
    Daten und Dienstleistungen, die einen organisations-internen Austausch von Informationen erlauben.

  • SYS_ANU : Organisations-Verzeichnis
    Organisations-Verzeichnis mit einer detaillierten Personalbeschreibung sowie der benötigten Management- und Zugriffsverwaltung.

  • SYS_WEB : externer Internet Auftritt
    Ein Internetauftritt, über den ein Benutzer eine Information oder eine Dienstleistung der Organisation abrufen kann. Diese Auftritte können eine Vielzahl von Ressourcen und Dienstleistungen anbieten.