Was ist Informationssicherung?
Die meisten Unternehmen verlassen sich auf Informationen, die elektronisch über eine beliebige Anzahl von Informationssystemen und Netzwerken gespeichert werden und auf die zugegriffen werden kann. Die Speicherung und Zugänglichkeit kritischer Informationen auf elektronischem Wege birgt das Risiko, wie diese Informationen gespeichert werden und auf welche Weise von wem und zu welchen Zwecken zugegriffen wird. Information Assurance (IA) ist der Begriff, mit dem die Praktiken und Prozesse definiert werden, die mit dem Management der damit verbundenen Risiken verbunden sind, um potenzielle Schäden wirksam zu mindern. Es gibt drei gebräuchliche Modelle der Informationssicherung, die jeweils auf dem Vorgänger aufbauen. Zu diesen Modellen gehören die CIA-Triade, die Five Pillars of IA und das Parker-Hexad-Modell.
Die CIA-Triade gilt als das erste Modell der Informationssicherung, das eingeführt wurde, um wirksame Verfahren zur Gewährleistung der Informationssicherheit und -integrität zu definieren. Basierend auf drei Hauptkomponenten des IA-Managements wird die CIA-Triade treffend benannt, da der Schwerpunkt auf Vertraulichkeit, Integrität und Verfügbarkeit im Kern des Modells liegt. Viele Organisationen, insbesondere militärische und zivile Geheimdienste in den USA, verlassen sich auf die CIA-Triade, um sowohl die Speicherung als auch den Zugriff auf sensible Daten zu gewährleisten. Dieses Modell dient zwar als Grundlage, lässt jedoch einige sehr wichtige Attribute für das IA-Management aus. Anschließend wurden andere Modelle entwickelt, um diese Abmessungen zu berücksichtigen.
Das Fünf-Säulen-Modell der Informationssicherung greift auf das Modell der CIA-Triade zurück und erweitert den Prozess und die Verfahren zur Sicherung von Informationen um einige weitere Dimensionen. Diese zusätzlichen Dimensionen werden hauptsächlich vom US-Verteidigungsministerium und verschiedenen anderen Regierungsorganisationen verwendet und umfassen die Nicht-Zurückweisung und Authentifizierung. Organisationen außerhalb der Regierung tendieren dazu, einen kombinierten Ansatz dieser beiden Modelle zu verwenden, wobei in der Regel der Schwerpunkt auf den Komponenten liegt, die ihrer Ansicht nach für ihre organisatorische Mission am wichtigsten sind. Viele Unternehmen halten es jedoch für angebracht, ein besser abgerundetes Modell für das Management von Informationssicherungsrisiken und damit die Entwicklung eines dritten Modells einzuführen.
Donn B. Parker ist verantwortlich für die Einführung des Hexad-Modells der Informationssicherung von Parker, das sich auf viele der gleichen Attribute konzentriert, eine zusätzliche Komponente hinzufügt und überlappende Komponenten beseitigt. Sechs Kernattribute bilden das Modell: Vertraulichkeit, Besitz, Integrität, Authentizität, Verfügbarkeit und Nützlichkeit. Die Authentizität in diesem Modell unterscheidet sich jedoch von der Definition der Authentizität, die vom Fünf-Säulen-Modell verwendet wird. Sie bezieht sich auf die Gültigkeit von Daten zu jeder Zeit, anstatt Benutzer zu identifizieren und ihnen Zugriff zu gewähren. Obwohl dieses Modell bei der Bereitstellung nicht so weit verbreitet ist, bevorzugen es viele Organisationen, die auf Informationen angewiesen sind, die in ihrem ursprünglichen Format und Inhalt dargestellt werden müssen. Zu diesen Organisationen könnten Rechtsanwaltskanzleien gehören, die sicherstellen müssen, dass die in Fällen, in denen keine Manipulation vorliegt, gesicherten Beweise nicht manipuliert wurden.