Normative Grundlagen der IT-System- und Datensicherheit
Die IT-Informationssicherheit ist ein Teil der umfassenden Informationssicherheit, die auch nicht digitale Informationen umfasst.
Die IT-Informationssicherheit eines Unternehmens wird anhand der Forderungen der Norm ISO/IEC 27000 beurteilt, in der die Vorgehensweise beschrieben ist, um IT-Grundschutz zu gewährleisten. Unternehmen können die Konformität ihres Informationssicherheitsmanagementsystems (ISMS) mit dieser Norm zertifizieren lassen.
Funktionssicherheit
Die Basisanforderung der IT-Systemsicherheit ist, dass IT-Systeme die Funktion erfüllen, die von ihnen erwartet wird (Funktionssicherheit). Dazu gehören auch die Ausfallsicherheit und die Informationssicherheit (Resilienz). Mit letzterer soll sichergestellt werden, dass Informationen jederzeit zuverlässig verfügbar sind. Diese Verfügbarkeit von Informationen kann durch Redundanz kritischer Hardware-Komponenten, Datenspeicherung und Datensicherung bzw. -spiegelung gewährleistet werden.
Integrität
Informationen sollen nicht manipuliert werden (Integrität) können. Jede Änderung an Daten muss nachvollziehbar dokumentiert werden. In diesem Zusammenhang spielen die Authentizität und die Zurechenbarkeit von Nachrichten eine bedeutende Rolle: Es muss nachgewiesen werden können, dass eine empfangene Nachricht der gesendeten Nachricht entspricht und dass sie tatsächlich von dem ausgewiesenen Absender versandt wurde. Für vertraglich relevante Nachrichten muss auch die Verbindlichkeit sichergestellt sein. Das ist für elektronische Signaturen relevant.
Vertraulichkeit
Außerdem dürfen vertrauliche Informationen unautorisierten Dritten nicht zugänglich sein (Vertraulichkeit). Das bedeutet, dass Server und Verzeichnisse vor dem Zugriff unbefugter Dritter zu schützen sind und dass vertrauliche Informationen verschlüsselt übertragen werden müssen. Für beide Anforderungen gelten MIndestanforderungen. Experten stellen technische und organisatorische Maßnahmen zur Verfügung, um die Anforderungen zu erfüllen.