Vertraulichkeit
Das Informationssicherheitsziel der Vertraulichkeit bezieht sich auf den Schutz von Informationen vor unbefugtem Zugriff und unbefugter Offenlegung. Es stellt sicher, dass sensible Daten nur für Personen, Prozesse oder Systeme zugänglich sind, die über die entsprechende Berechtigung verfügen. Wichtige Schlüsselaspekte der Vertraulichkeit sind:
Zugriffskontrolle
Sicherstellen, dass nur autorisierte Benutzer Zugriff auf bestimmte Daten oder Systeme haben. Dies umfasst die Implementierung von Mechanismen wie Passwörtern, biometrischen Verfahren, Zugriffskontrolllisten (ACLs) und rollenbasierter Zugriffskontrolle (RBAC).
Verschlüsselung
Verschlüsselung von Informationen, sodass nur autorisierte Parteien sie entschlüsseln und lesen können. Durch Verschlüsselung werden Daten sowohl im Ruhezustand (gespeicherte Daten) als auch während der Übertragung (Daten, die über Netzwerke übertragen werden) geschützt.
Datenmaskierung und Pseudonymisierung
Veränderung bestimmter Datenelemente, z. B. das Maskieren sensibler Informationen wie Kreditkartennummern oder Sozialversicherungsnummern, um sie vor dem Zugriff unbefugter Benutzer zu schützen. Die Datenmaskierung und Pseudonymisierung kann auch für personenbezogene Daten verwendet werden (DSGVO).
Sichere Kommunikation
Sicherstellen, dass Daten sicher über Netzwerke übertragen werden, häufig durch die Verwendung von Verschlüsselungsprotokollen wie SSL/TLS für den Webverkehr oder VPNs für sicheren Fernzugriff.
Grundsatz der geringsten Privilegien
Gewährung des Mindestmaßes an Zugriffsrechten, das für die Ausführung der Aufgaben eines Benutzers erforderlich ist, wodurch das Risiko eines unbefugten Zugriffs auf sensible Informationen verringert wird.
Sicherheitsrichtlinien und -verfahren
Festlegung von Richtlinien und Regeln für die Verwaltung und den Schutz vertraulicher Informationen, einschließlich der Frage, wer darauf zugreifen kann, wie sie behandelt werden sollten und welche Schritte im Falle einer Verletzung zu ergreifen sind.
