Klassifizierung: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
Zeile 3: Zeile 3:
|keywords= ISMS,Klassifizierung,Informationen,Geheimschutz,Vertraulichkeit,Definition
|keywords= ISMS,Klassifizierung,Informationen,Geheimschutz,Vertraulichkeit,Definition
|description=Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.
|description=Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.
}}{{SHORTDESC:Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.}}
}}{{SHORTDESC:Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.}}Organisationen stehen vor der Herausforderung, dass Informationen einen unterschiedlichen Schutzbedarf haben können und nicht alle Informationen für jeden zugänglich sein sollten.
== Klassifizierung von Informationen ==
 
Organisationen stehen vor der Herausforderung, dass Informationen einen unterschiedlichen Schutzbedarf haben können und nicht alle Informationen für jeden zugänglich sein sollten.


Dies ergibt sich zum Teil auch aus gesetzlichen oder normativen Anforderungen wie Geheimschutz, Datenschutz, ISO 27001 oder BSI IT-Grundschutz. Die Anforderungen sind z.B:
Dies ergibt sich zum Teil auch aus gesetzlichen oder normativen Anforderungen wie Geheimschutz, Datenschutz, ISO 27001 oder BSI IT-Grundschutz. Die Anforderungen sind z.B:

Aktuelle Version vom 2. August 2024, 14:45 Uhr

Organisationen stehen vor der Herausforderung, dass Informationen einen unterschiedlichen Schutzbedarf haben können und nicht alle Informationen für jeden zugänglich sein sollten.

Dies ergibt sich zum Teil auch aus gesetzlichen oder normativen Anforderungen wie Geheimschutz, Datenschutz, ISO 27001 oder BSI IT-Grundschutz. Die Anforderungen sind z.B:

  • Informationen gemäß einer Schutzbedarfsfeststellung angemessen zu schützen
  • Informationen entsprechend ihrer Bedeutung für die Organisation zu klassifizieren
  • Informationen nach einem Klassifizierungsschema zu kennzeichnen
  • Verfahren für den Umgang mit Informationen entsprechend dem Klassifizierungsschema zu entwickeln

Geheimschutz (öffentliche Verwaltung)

In Deutschland gibt es für den Bereich der öffentlichen Verwaltung gesetzliche Grundlagen für die Einstufung von geheimhaltungsbedürftigen Informationen (Verschlusssachen). Diese sind unter anderem im Sicherheitsüberprüfungsgesetz (SÜG) und in der Verschlusssachenanweisung (VSA) geregelt.

Der Geheimschutz ist eine sehr spezielle Materie, die nur in sehr begrenzten Bereichen der öffentlichen Verwaltung Anwendung findet. Auch wenn viele Verwaltungen die Einstufung als Verschlusssache gerne für sich reklamieren und Informationen als "Verschlusssache", "VS-Vertraulich" oder gar "Geheim" bezeichnen, hat dies mit Geheimschutz im rechtlichen Sinne tatsächlich meist nichts zu tun. Der Gesetzgeber hat hier einen sehr engen inhaltlichen und formalen Rahmen gesetzt, den die wenigsten der so bezeichneten Informationen erfüllen dürften. Auch sind die meisten Organisationen technisch und organisatorisch nicht in der Lage, diese Informationen gesetzeskonform zu speichern oder zu verarbeiten.

Näheres zum Thema Geheimnisschutz ist in einem eigenen Artikel zum Geheimschutz beschrieben.

Informationsklassifizierung in der Privatwirtschaft

In der Privatwirtschaft gibt es - wie in der allgemeinen öffentlichen Verwaltung - keine direkte gesetzliche Grundlage für die Klassifizierung von Informationen (es sei denn, ein privates Unternehmen oder eine öffentliche Stelle arbeitet im Auftrag einer geheimschutzrelevanten Behörde mit deren klassifizierten Informationen).

Die Notwendigkeit einer Klassifizierung ergibt sich jedoch indirekt aus anderen Rechtsgrundlagen (z. B. Datenschutz).

Im privaten, nicht geheimschutzrelevanten Bereich werden in der Regel folgende Klassifizierungen verwendet

DE: öffentlich intern vertraulich streng vertraulich
EN: public restricted confidential secret

Definition der Klassen

Für jede Informationsklasse muss festgelegt werden, welche Informationen unter diese Klasse fallen und unter welchen Bedingungen diese Informationen erfasst, verarbeitet, übermittelt und vernichtet werden dürfen. Die jeweiligen Definitionen unterscheiden sich je nach Organisation und den von ihr verarbeiteten Informationen und müssen an die Bedürfnisse der Organisation angepasst werden. Hier ein Beispiel:

öffentlich
nicht klassifiziert
intern vertraulich streng vertraulich
Beispiele Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine Telefonlisten, Raumpläne, Geschäftsverteilungsplan Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten Entwicklungsdaten, geheime Vertragsunterlagen, Bestechungslisten
Kenntnis jeder Mitarbeiter
ggf. Geschäftspartner und Kunden
begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle) Einzelne ausgewählte Personen (z.B. nur Geschäftsleitung)
Ablage beliebig nur auf internen Systemen der Organisation nur in zugriffsgeschützten Bereichen Nur gesondert verschlüsselt in zugriffsgeschützten Bereichen
Cloud Speicher beliebig nur europäische Cloudspeicher nur zusätzlich Verschlüsselt nicht erlaubt
Mobile
Speicher
beliebig nur zusätzlich Verschlüsselt nur auf freigegebene verschlüsselte Datenträger nicht erlaubt
Ausdruck
Kopie
beliebig nur innerhalb der Organisation nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle) nur mit Zustimmung der Geschäftsleitung
Übermittlung
(intern)
beliebig nur innerhalb der Organisation Nur verschlüsselt oder in versiegeltem Umschlag Nur verschlüsselt oder in versiegeltem Umschlag und mit Zustimmung der Geschäftsleitung
Übermittlung
(extern)
beliebig nur an ausgewählte Geschäftspartner bzw. Kunden Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA* Nur verschlüsselt und mit Zustimmung der Geschäftsleitung und mit NDA*
Löschung
Vernichtung
keine Vorgaben gem. DIN66399 Sicherheitsklasse 1 gem. DIN66399 Sicherheitsklasse 2 gem. DIN66399 Sicherheitsklasse 3

*) Ein NDA (Non-Disclosure Agreement) ist ein Vertrag, bei dem sich die verschiedenen Parteien bzw. Vertragspartner zu einem streng vertraulichen Umgang mit allen Geschäfts- und Betriebsgeheimnissen, Informationen, Verhandlungen und Unterlagen verpflichten.

Je nach Organisation können auch drei Stufen ausreichend sein. Eine feinere Unterteilung (mehr als vier Stufen) führt nur zu einer erheblichen Komplexität und macht das System eher unüberschaubar.

Zusätzlich muss definiert werden, welche Informationen klassifiziert werden sollen und wie diese gekennzeichnet werden. Für die erste Stufe (öffentlich) ist in der Regel keine Kennzeichnung erforderlich, weshalb sie häufig als "nicht klassifiziert" bezeichnet wird.

Insbesondere die Kennzeichnung von digitalen - nicht textlichen - Informationen stellt eine Herausforderung dar.