Schutzbedarf
Grundlegendes zum Schutzbedarf
In den letzten Jahren ist der Fokus der IT-Sicherheitsbetrachtung von der ursprünglichen schutzobjektbasierten Arbeitsweise zur geschäftsprozessbasierten Arbeitsweise gewechselt. Die korrekte Verwendung der Anforderungen an Schutzbedarf und Schutzniveau soll nachfolgend kurz erklärt werden.
Die geschäftsprozessorientierte Arbeitsweise stellt das Tätigkeitsfeld der Unternehmen in den Vordergrund. Die Fragestellungen sind dabei:
- Was tut das Unternehmen? (Geschäftsprozesse)
- Wie wichtig ist der Geschäftsprozess? (Schutzbedarf)
- Welche Daten werden verarbeitet? (Datenklassen)
- Was benötigt das Unternehmen dafür? (Schutzobjekte)
Der Geschäftsprozess wird damit zum eigentlich schützenswerten Element und hat daher einen Schutzbedarf. Die Anforderungen zur Verfügbarkeit des Geschäftsprozesses richten sich dabei nach der Zeitspanne, die der Prozess maximal ausfallen darf. Anforderungen an Vertraulichkeit, Integrität und Authentizität richten sich nach den verarbeitenden Daten. Zur Erreichung dieses Schutzbedarfs müssen die verwendeten Objekte ein entsprechendes Schutzniveau bieten.
Im Bereich Schutzbedarf finden Sie folgende Themen:
Was ist der Unterschied zwischen Schutzbedarf und Schutzniveau?
Der Schutzbedarf kennzeichnet die Anforderungen eines Objektes (zum Beispiel eines Geschäftsprozesses) an die Schutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität. Bei der Zusammenfassung von Bereichen (CIN bzw. VIA) gilt das Maximalitätsprinzip, das heißt, die höchstwertige Anforderung bestimmt den Gesamtwert.
Die benötigten Objekte (Anwendungen, Systeme, Infrastruktur) bieten dem Geschäftsprozess ein Schutzniveau. Dies entspricht den Schutzzielen, die das Objekt ohne weitere Maßnahmen bieten kann. Bei der Zusammenfassung der Bereiche (CIN bzw. VIA) gilt das Minimalitätsprinzip.