Bundesamt für Sicherheit in der Informationstechnik

M 2.560 Integration eines SOA-basierten Need-to-share-Konzepts in das Sicherheitsmanagement

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation

Führt eine Institution ein Need-to-share-Prinzip auf der Basis einer serviceorientierten Architektur ( SOA ) ein, ist eine Sicherheitskultur zu etablieren, die geprägt ist durch ein hohes Sicherheitsbewusstsein für die neue Technik bzw. Denkweise. Das Need-to-share-Prinzip bedingt, dass grundsätzlich mehr Informationen für alle Teilnehmer einer Kommunikation bereitgestellt werden.

Die Mitarbeiter müssen sich ihrer Verantwortung bewusst sein und ausreichend Kenntnisse über die möglichen Risiken haben, beispielsweise über unberechtigten Informationsabfluss. Hierzu muss ein geeignetes Sicherheitsbewusstsein erzeugt und vermittelt werden.

Dasselbe gilt, wenn ein bestehendes Need-to-know-Prinzip als Need-to-share-Prinzip auf alle Teilnehmer einer Informationsdomäne ausgeweitet wird. Bei allen Beteiligten muss auch hier das Sicherheitsbewusstsein etabliert sein, damit sie sich sachgerecht verhalten und Risiken vermeiden. Außerdem darf das Need-to-share-Prinzip nicht unmittelbar auf alle Need-to-know-Dokumente ausgeweitet werden.

Prüffragen:

  • Unterstützen die Sicherheitsmechanismen in einem IT-System ein Need-to-share-Konzept?

  • Sind Prozesse implementiert, die das für die Einführung des Need-to-share-Prinzips bzw. die Ausweitung des Need-to-know-Prinzips notwendige Sicherheitsbewusstsein fördern?

Stand: 15. EL Stand 2016