TISAX® – Informationssicherheit im Detail, Teil 8

In den bisherigen Blogartikeln wurde an verschiedenen Stellen (Teil7, Teil6 und Teil1) der Aspekt der Klassifizierung angesprochen. Die meisten Klassifizierungsschemata adressieren das Schutzziel der Vertraulichkeit, so auch das Whitepaper des VDA.

Auch der grundsätzliche Gedanke, dass ein Klassifizierungsschema (oder genaugenommen: eine vorgenommene Klassifizierung) dazu dienen soll, dem Bearbeiter oder Benutzer eines Informationswertes Hinweise über den Umgang und die Handhabung des Informationswertes mitzugeben, kam bereits an mehrere Stellen zur Sprache. Der TISAX® Prüfkatalog fordert als MUSS ebenfalls ein Klassifizierungsschema, das das Schutzziel „Vertraulichkeit“ adressiert.

Probleme in der Umsetzung

In der Praxis tut man sich jedoch manchmal etwas schwer, die im TISAX® Prüfkatalog als SOLLTE ebenfalls geforderte Berücksichtigung der Schutzziele Integrität und Verfügbarkeit in dieses Klassifizierungsschema mit einzubauen. Eine oft anzutreffende Fehlannahme ist hierbei, dass die Bezeichnungen für die einzelnen Klassifizierungsstufen identisch sein müssten – doch dem ist nicht so. Es ist ja auch naheliegend, dass Vokabeln wie „intern“ oder „geheim“ nicht geeignet sind, die Kritikalität hinsichtlich der Verfügbarkeit zu beschreiben. Viel besser passen dagegen Vokabeln wie z.B. „unbedenklich“, „normal“, „kritisch“, um zu beschreiben, wie die Anforderungen an einen Informationswert hinsichtlich seiner Verfügbarkeit sind. Auch für das Schutzziel Integrität würden diese Bezeichnungen besser passen …

Nun ist es toll, ein passendes Klassifizierungsschema zu haben – stellt sich die Frage nach dem praktischen Nutzen. Auch bei den beiden neu hinzugekommenen Schutzzielen (Verfügbarkeit, Integrität) verhält es sich wie schon zuvor bei der Vertraulichkeit: passend zur Klassifizierung werden Handhabungsvorgaben gemacht. Die Klassifizierung eines Informationswertes als „kritisch“ hinsichtlich der Verfügbarkeit könnte so z.B. zu der Auflage führen, nach Möglichkeit eine Redundanz für diesen Informationswert zu etablieren, oder zu dem Verbot, diesen Informationswert vom Unternehmensgelände zu entfernen. Wenn ein anderer Informationswert dagegen als „unbedenklich“ hinsichtlich der Verfügbarkeit angesehen wird, werden die Handhabungsvorgaben sicher weniger streng ausfallen.

Die Philosophie hinter der Klassifizierung

Abschließend sei noch auf die sinnvolle Reihenfolge bei der Nutzung eines Klassifizierungsschemas hingewiesen. Natürlich wird als erstes ein organisationsweites Klassifizierungsschema festgelegt. Zu den Aufgaben der Werteverantwortlichen gehört es dann, die einzelnen Informationswerte hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität zu klassifizieren. Durch die Klassifikation ergeben sich die Handhabungsvorgaben, die für die Benutzung des einzelnen Informationswertes zu beachten sind.

Bliebe als letztes die Frage, woran man seine Einschätzung bei der Klassifizierung eines Informationswertes festmachen soll. Die Antwort ist recht einfach – an der Höhe und der Art des Schadens, der entsteht, wenn das jeweilige Schutzziel beeinträchtigt ist. Man wird ein Dokument oder ein Prototyp als „geheim“ klassifizieren, wenn es bei der Verletzung der Vertraulichkeit zu einem hohen Schaden kommen könnte.

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Webseite.

Hören Sie rein!