ISO/IEC 27038 beschreibt die Merkmale digitaler Redaktionsansätze. Auch die 27038 veröffentlichte ISO 2014 definiert Kriterien für Software-Redaktionstools und für die Vervollständigung Testverfahren sicher durchführen.
Manchmal müssen Sie Informationen möglicherweise an Dritte oder sogar an die Öffentlichkeit weitergeben, beispielsweise für die Offenlegung offizieller Aufzeichnungen im Rahmen des Free Access Law oder als Beweismittel in Rechtsangelegenheiten oder Gerichtsverfahren. ISO 27038 sieht jedoch keine Revision der Datendatenbank vor. Datenbanken gelten als „Einheiten aufgezeichneter Informationen“, sind jedoch ausdrücklich vom Anwendungsbereich des Standards ausgenommen.
Schwärzung ist die Methode, Material aus einem Dokument vor der Veröffentlichung zu entfernen. Im rechtlichen Kontext besteht die Verwendung der Schwärzung darin, sensible, geschützte oder geschützte Informationen aus Aufzeichnungen zu löschen, bevor sie beim Gericht eingereicht werden, oder sie auf andere Weise zur Einsicht außerhalb des Büros verfügbar zu machen. Eine Organisation kann die Schwärzung auch verwenden, um Metadaten oder in ein Dokument importiertes Material (z. B. Bilder) zu löschen.
ISO 27038 beschreibt Schwärzung als dauerhafte Entfernung von Informationen in einem Dokument, wobei das Dokument offiziell als aufgezeichnete Informationen definiert und als Einheit betrachtet wird. Definitionen sind wichtig, da diese Wörter in anderen Kontexten und im allgemeinen Gebrauch auch andere Bedeutungen haben. Später im Standard wird die Schwärzung erweitert und umfasst nicht nur das Entfernen sensibler Informationen, sondern bei Bedarf auch die Angabe, wo sich das entfernte Material befindet.
Wenn es als inakzeptabel erachtet wird, vertrauliche Details in einem Dokument preiszugeben, muss die Organisation die Informationen vor der Veröffentlichung sicher löschen. Beispiele hierfür sind die Namen oder Standorte von Personen, die anonym bleiben müssen, sowie verschiedene andere persönliche oder geschützte Aufzeichnungen, die streng vertraulich bleiben müssen.
Die Berücksichtigung der Schwärzung ist in der Regel für den Schutz hochsensibler Informationen von entscheidender Bedeutung. Fehler in der Prozess, der zur unbefugten Offenlegung von Daten führt sind ernst. Redaktionsmängel führten zu Ereignissen wie Identitätsdiebstahl, Offenlegung sensibler Sicherheitsbedenken, Verletzungen der Privatsphäre und in einigen extremen Fällen zur Offenlegung der Identität verdeckter Ermittler und Informanten. Im Gegensatz dazu kann die Offenlegung von Geschäftsgeheimnissen im kommerziellen Kontext sehr kostspielig sein. Redaktionsfehler können zumindest für diejenigen, die als haftbar gelten, demütigend sein.
Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.
Wir haben angefangen, Tabellenkalkulationen zu verwenden, und es war ein Albtraum. Mit der ISMS.online-Lösung wurde die ganze harte Arbeit erleichtert.
Es gibt mehrere Daten Sicherheitsrisiken im Zusammenhang mit der digitalen Redaktion. Eine dieser Bedrohungen besteht darin, dass die geschwärzten Informationen nicht irreversibel gemacht werden. Dies kann auf verschiedene Faktoren zurückzuführen sein, beispielsweise darauf, dass sensible Daten nicht neu geschrieben wurden oder dass sensible Informationen nur teilweise entfernt wurden. Durch das Zurücklassen der Datenreste kann die Wiederherstellung geschwärzter Informationen ermöglicht werden. Auch der Einsatz falscher oder unzureichender technischer Redaktionsmethoden, wie beispielsweise die unsaubere Veränderung von Aufzeichnungen, birgt Datenrisiken. Anstatt sensible Daten dauerhaft zu entfernen, wird der Einsatz von Techniken, die sich ändern oder auf andere Weise rückgängig machen lassen, dem Zweck der Schwärzung der sensiblen Informationen zuwiderlaufen, da sie immer noch entdeckt werden können.
Eine weitere Schwachstelle im Zusammenhang mit der Schwärzung besteht darin, dass man sich zu sehr auf Retusche, Pixelierung oder die Verwendung anderer ähnlicher Verschleierungstechniken verlässt, um Bildabschnitte zu maskieren. Diese Techniken werden häufig zum Schutz der Privatsphäre eingesetzt. Durch die Verwendung von Dekonvolution und anderen, weniger ausgefeilten Transformationsansätzen kann genügend Originalinformation wiederhergestellt werden, um eine Erkennung zu ermöglichen. Aber im anderen Extrem kann auch eine übermäßige oder unsachgemäße Bearbeitung die Kosten erhöhen Sicherheitsrisiko für eine Organisation. Das Entfernen von mehr als nur bestimmten sensiblen Dingen, die angeblich geschrieben oder ungeschickt gemacht wurden, könnte aufgrund kontextbezogener Probleme unbeabsichtigt die Bedeutung der verbleibenden Daten ändern.
Das fehlerhafte Umschreiben von Informationen kann zu Leckagen oder unbeabsichtigten Datenverlusten führen Datenverlust. Beispiele für dieses Verhalten sind:
Eine übermäßige Abhängigkeit von der Redaktion kann ebenfalls ein Problem darstellen Informationssicherheitsrisiko. In der Überzeugung, dass es in jedem Fall ausreicht, sensible Daten vollständig vertraulich zu behandeln, während Technologie- und Prozessfehler unvermeidlich sind und es häufig zu Unfällen kommt. Umgekehrt kann es Ihr Risiko auch erhöhen, wenn Sie sich nicht mehr auf das Schreiben verlassen und denken, dass es nicht in der Lage ist, vertrauliche Informationen zu schützen.
Die Schwärzung kann auch zu Informationssicherheitsproblemen führen, die unbeabsichtigt oder nebensächlich für den Prozess selbst sind. Beispiele hierfür sind:
Diese Fälle können der Glaubwürdigkeit einer Organisation oder den ursprünglich ungeschriebenen Dateien schaden.
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
Obwohl der ISO 27038-Standard einen begrenzten Anwendungsbereich hat, ist der Risiken, die es anspricht sind von Bedeutung, und viele der Kontrollen sind sowohl technisch als auch verfahrenstechnisch ausgefeilt. Wie andere ISO27k ISO 27038 zielt nicht darauf ab, alle Unwägbarkeiten des Redaktionsprozesses im Detail abzudecken, sondern bietet fundierte allgemeine und hochrangige Leitlinien.
Digitale Schwärzungstechnologien gibt es schon seit vielen Jahren, um vertrauliche Texte aus beliebigen Dokumenten im PDF-Format elektronisch zu überarbeiten. Eine Vielzahl von Softwareprogramme verfügen über diese Funktion. Dennoch und da Unternehmen immer mehr digital erstellte Dokumente erstellen und übertragen, verwenden einige immer noch manuelle Schwärzungsmethoden auf Papier.
In vielen Fällen umfasst dies das Drucken eines Dokuments, das manuelle Entfernen vertraulicher Informationen mit Tinte oder Klebeband, das Fotokopieren der Aufzeichnung und das anschließende Herunterladen des Dokuments zurück in das System. Warum verwenden einige Unternehmen trotz der verfügbaren Tools immer noch die manuelle Schwärzung?
Manche Unternehmen sind sich dessen nicht bewusst dass Redaktionstechnologien existieren, weil sie zu beschäftigt waren, um mit den technischen Entwicklungen auf dem Laufenden zu bleiben. Einige Unternehmen glauben, dass sie keine Zeit haben, ihre Anwendungsmöglichkeiten zu erkunden, und machen daher weiter mit dem, was sie gewohnt sind. Andere Unternehmen gehen davon aus, dass die Software ungenau ist und schriftliches Wissen und Metadaten irgendwie nicht auffindbar wären, was ihre Risikobereitschaft erhöht. Andere hingegen kennen diese Software, glauben sich sie aber nicht leisten zu können.
Die daraus resultierenden Schwärzungen sind genauer, da sie nicht darauf angewiesen sind, dass Menschen sensible und privilegierte Informationen finden. Digitale Schwärzungen gehen in der Regel schneller als die manuelle Bearbeitung eines Textes.
Es ist einfacher, Text mit einfachen Mausbewegungen zu beschriften und zu löschen, als vertrauliche Daten mit Klebeband oder schwarzer Tinte abzudecken. Sie können Hunderte von Seiten in einem Bruchteil der Zeit ändern, die erforderlich wäre, um dieselbe Menge manuell neu zu schreiben.
Darüber hinaus ist die digitale Redaktion eine erhebliche Kosteneinsparungsmethode. Es spart einem Unternehmen Geld an Ressourcen und Personalzeit. Anstatt Stunden mit der Ausführung einer sehr administrativen Aufgabe zu verschwenden, kann die digitale Redaktion den Mitarbeitern mehr Zeit für substanziellere Aufgaben geben.
Dieses digitale Verfahren ist jedem Papierverfahren in mehrfacher Hinsicht überlegen. Die digitale Bearbeitung ist viel effektiver. Da alle PDF-Anwendungen mit einer Schwärzungsfunktion über Suchfunktionen verfügen, können Benutzer nach vertraulichen Details wie Kontonummern und bestimmten Phrasen suchen.
ISMS.online macht die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich.
ISO 27038 gilt für jede Organisation, die sensible Informationen extern austauscht. Zum Beispiel beim Teilen einer Informationssicherheitspolitik Außerhalb des Unternehmens sollten alle darin enthaltenen vertraulichen Informationen vor der Veröffentlichung redigiert werden. Der Standard umfasst zwei redaktionelle Ebenen:
Diese Unterscheidung macht ISO 27038 für viele Organisationen in allen Branchen von entscheidender Bedeutung.
Während in den ISO-Spezifikationsrichtlinien das „shall“ meist nur zur Bezeichnung verbindlicher Bedingungen verwendet wird, verwendet die ISO 27038 an manchen Stellen häufig das „should“ und bietet Erläuterungen, die über die formalen Spezifikationen hinausgehen. In der Praxis erleichtert dies den Benutzern das Verständnis und die Umsetzung des Standards, es ist jedoch schwieriger, die Einhaltung zu überprüfen und durchzusetzen, sofern dies jemals erwartet wird.
Der Standard sagt jedoch nichts über die Gesamtverwaltung des Redaktionsprozesses aus. Stattdessen definiert ISO 27038, was geschrieben werden muss, warum, wie und von wem bzw Risiken einzuschätzen und mit ihnen umzugehen in einer gegebenen Redaktionssituation. Der Standard diskutiert auch Sicherheitsmaßnahmen, die angewendet werden müssen im Zusammenhang mit dem Prozess stehen, beispielsweise die Verhinderung einer missbräuchlichen Veröffentlichung oder die Aufklärung ungeschriebener Inhalte.
ISO 27038 besteht aus 9 Abschnitten und einem Anhang.
Klausel 1: Geltungsbereich
Klausel 2: Begriffe und Definitionen
Abschnitt 3: Symbole und Abkürzungen
Abschnitt 4: Allgemeine Grundsätze der digitalen Redaktion
Abschnitt 5: Anforderungen
Klausel 6: Redaktionsprozesse
Klausel 7: Führung von Aufzeichnungen über Redaktionsarbeiten
Abschnitt 8: Merkmale von Software-Redaktionstools
Abschnitt 9: Anforderungen an Redaktionstests
Anhang A: Schwärzung von PDF-Dokumenten
Buchen Sie eine maßgeschneiderte praktische Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.
100 % unserer Benutzer erreichen beim ersten Mal die ISO 27001-Zertifizierung