Vertraulichkeit ist im Allgemeinen ein Datenschutzproblem. Es ist nur ein allgemeinerer Begriff.

Es ist, als würde man Tier statt Hund sagen.

Zusätzlich zu den Definitionen können Sie dies bestätigen, indem Sie nach Synonymen für Datenschutz suchen. a> und Synonyme für Vertraulichkeit. Sie können Vertraulichkeit anstelle von Datenschutz verwenden, aber nicht das Gegenteil.

Erstens sind CIA (Vertraulichkeit, Integrität und Verfügbarkeit) keine umfassenden Ziele für die Informationssicherheit. Andere Prinzipien wie Privatsphäre und Nicht-Zurückweisung passen nicht sauber in diese berühmte Triade. ISO / IEC 27000: 2009 definiert Informationssicherheit als: "Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Hinweis: Darüber hinaus können andere Eigenschaften wie Authentizität, Rechenschaftspflicht, Nicht-Zurückweisung und Zuverlässigkeit ebenfalls berücksichtigt werden involviert sein." (Hervorhebung hinzugefügt)

Während beide Prinzipien besagen, dass persönliche oder sensible Informationen nicht in die falschen Hände geraten dürfen, haben Datenschutz und Vertraulichkeit leicht unterschiedliche Definitionen, insbesondere in einer technischen Anwendung. ISO 27000 definiert Vertraulichkeit als "das Eigentum, dass Informationen nicht unbefugten Personen, Organisationen oder Prozessen zur Verfügung gestellt oder offengelegt werden". Der Schlüssel hier ist "nicht autorisiert". Die Vertraulichkeit soll eine zuverlässige Möglichkeit bieten, Informationen nur an autorisierte Personen weiterzugeben und Informationen ohne Lecks vor allen anderen Parteien zu verbergen. Dies schließt auch Informationen ein, die andere vertrauliche Informationen gefährden könnten, wie z. B. das CPU-Timing und die während der Kryptografie verwendete Leistung.

Datenschutz ist sowohl ein kultureller als auch ein rechtlicher Standard, der stark variiert und das Recht auf Anonymität und das Recht einschließen kann zu entscheiden, an wen Informationen weitergegeben werden, das Fehlen von Eingriffen, das Recht, vertrauliche Informationen zu verbergen, und Einschränkungen beim Zugriff auf bestimmte persönliche Gegenstände (wie meine Festplatte oder Heimkameras). Einige dieser Kategorien fallen nicht nur nicht sauber unter die Definition der Vertraulichkeit, sondern es gibt auch einige Kategorien, in denen der Zugriff auf Informationen autorisiert ist, aber dennoch die Privatsphäre verletzt.

Medizinische Informationen müssen beispielsweise strengen Datenschutzrichtlinien entsprechen. Wenn eine dieser Richtlinien verletzt wird (z. B. nicht verbundene Ärzte, die auf medizinische Unterlagen zugreifen oder einen Patienten nicht ordnungsgemäß darüber informieren, wie ihre Informationen verwendet werden), ist dies eine Verletzung der Privatsphäre, jedoch kein Fehler der Informationssicherheit. Wenn sich jemand, der in einem anderen Land nicht verbunden ist, in die Krankenakten gehackt hat, wäre dies eine Verletzung der Privatsphäre und der Vertraulichkeit. Ebenso könnte in den USA eine Datenbank eingerichtet werden, um Eltern den Zugang zu den Noten von Studenten zu ermöglichen. Diese Datenbank könnte zwar Sicherheitsüberprüfungen mit Bravour bestehen, verstößt jedoch gegen die örtlichen Datenschutzgesetze. Dies wird durch die Tatsache erschwert, dass Vertraulichkeit und Datenschutz umgangssprachliche Synonyme sind. Man könnte sagen, dass die Offenlegung von Noten gegenüber Eltern einen Verstoß gegen die Vertraulichkeit darstellt, aber aus technischer Sicht wurde die in der Sicherheitsrichtlinie angegebene Vertraulichkeit nicht verletzt.

TL; DR: In der Infosec-Vertraulichkeit heißt es, dass nur vertrauliche Informationen verwendet werden sollten für Parteien sichtbar sein, die durch die Sicherheitsrichtlinie autorisiert wurden, während der Datenschutz viel komplexer ist und besagt, dass vertrauliche Informationen nur an die beabsichtigten Parteien weitergegeben werden sollten. Der Zugriff auf Informationen kann die Privatsphäre auch dann verletzen, wenn der gesamte Zugriff autorisiert werden muss. Dies ist in Ordnung, da die CIA nicht umfassend ist.

Im Allgemeinen sprechen wir von Datenschutz für personenbezogene Daten (es ist meins, und ich möchte nicht, dass andere es sehen) und Vertraulichkeit für professionelle Daten (nur autorisierte Personen) sollte es sehen). In diesem Sinne ist Vertraulichkeit eine Verallgemeinerung des Datenschutzes.

Andererseits ist die IT-Sicherheit ein Hauptanliegen für Unternehmen (oder sollte es sein ...), und Fachleute für IT-Sicherheit befassen sich hauptsächlich mit Organisationen. Sicherheit.

Übrigens gibt es eine vierte Säule, auch wenn diese im Allgemeinen nicht so wichtig ist wie die drei anderen: Rückverfolgbarkeit (wer hat was getan).

Datenschutz ist ein rechtliches Konzept. Es variiert von Ort zu Ort (sowohl inhaltlich als auch in Umfang).

Mit anderen Worten, es ist nicht möglich zu definieren, was getan werden soll, um "Datenschutz" zu gewährleisten. Das Konzept der Gewährleistung der Vertraulichkeit für bestimmte Daten ist Teil der Sicherheit (das C in Ihrer Liste). "Datenschutz" kann, wenn definiert, einer der Datenkandidaten für die Vertraulichkeit sein.

Da Sicherheit und Datenschutz unterschiedliche (einige ähnliche) Eigenschaften haben:

• Sicherheitseigenschaften: CIA (Vertraulichkeit, Integrität, Verfügbarkeit), AAA (Authentifizierung, Autorisierung, Rechenschaftspflicht), Nicht-Zurückweisung.
• Datenschutz-Eigenschaften (basierend auf der LINDDUN-Mnemonik: Link): Unlinkability, Anonymität und Pseudonymität, plausible Verleugnung, Nichterkennbarkeit und Unbeobachtbarkeit, Vertraulichkeit, Inhaltsbewusstsein, Einhaltung von Richtlinien und Einwilligungen.

Damit sie einen anderen Zweck haben:

• Sicherheit (Kapitel 11 zu Link): Fähigkeit, das System vor versehentlichem oder versehentlichem Schutz zu schützen absichtliches Eindringen.
• Datenschutz (basierend auf dem oben genannten LINDDUN-Papier): Fähigkeit, persönliche Informationen vor der Weitergabe an nicht autorisierte Personen zu schützen.

Neben der Benutzerfreundlichkeit jedoch I. Denken Sie, dass Datenschutz auch als eines der Prinzipien des sicheren Designs betrachtet werden kann. Zum Beispiel ist Antivirus nicht nur verwendbar, sondern muss auch die Privatsphäre der Benutzer wie die MAPS-Funktion schützen, um Malware automatisch an Microsoft in Microsoft Security Essential zu melden, indem eine Datenschutzerklärung erstellt wird.

Vertraulichkeit, Integrität und Verfügbarkeit werden verwendet, um Attribute von Informationen zu beschreiben, und ihre Bedeutungen sind ziemlich eindeutig. Im Allgemeinen werden die Menschen weitgehend einheitliche Definitionen finden. Und obwohl die Notwendigkeit, diese Attribute beizubehalten, unterschiedlich sein kann, ist die Bedeutung dieselbe.

Datenschutz ist ein Konzept oder ein Recht, und selbst wenn nur seine Relevanz für Informationen berücksichtigt wird, gibt es keine einfache Bedeutung, die alles umfasst Dies kann für verschiedene Personen unterschiedliche Bedeutungen haben und vom Kontext abhängen.

Der rechtliche Aspekt in der Antwort von WoJ ist direkt relevant, zum Beispiel, soweit ich mich erinnere, gibt es im britischen Gesetzgeber keine einheitliche rechtliche Definition aus Datenschutzgründen nur kontextbezogene Präzedenzfälle usw.

Datenschutz ist oft nicht Ihr Ziel

Datenschutz kann keine Säule der Informationssicherheit sein, da die Wahrung des Datenschutzes kein grundlegendes Ziel der IS-Richtlinie ist - es könnte ein Ziel sein, aber Abhängig von Ihren Umständen besteht Ihr Ziel möglicherweise darin, den Datenschutz zu verringern.

Bedenken hinsichtlich der Informationssicherheit beim Entwerfen und Implementieren von Systemen, sodass die Informationen in diesen Systemen sicher sind und nur gemäß bestimmten Richtlinien verwendet werden. Bei Datenschutzverletzungen geht es dagegen eher um den Inhalt dieser Richtlinie. Oft funktioniert eine schwerwiegende Verletzung der Privatsphäre gemäß den Richtlinien "wie beabsichtigt".

Interessenkonflikte

Ihre Privatsphäre ist nützlich für Sie, die Privatsphäre anderer jedoch möglicherweise nicht. Die Informationssicherheit in einigen Organisationen befasst sich mit dem Schutz der Interessen und der Minderung der Risiken dieser Organisation. Datenschutz hingegen betrifft im Allgemeinen die Interessen von Personen außerhalb der Organisation, die möglicherweise völlig entgegengesetzt sind. Eine Organisation kann ein berechtigtes Interesse daran haben, die Privatsphäre zu verletzen (soweit dies gesetzlich zulässig ist), indem sie Personen verfolgt und Maßnahmen zur Anonymisierung ergreift, um den Umsatz zu steigern, Betrug zu verringern usw.; oder einfach ein Gewinnmotiv, um durch den Verkauf der privaten Daten Geld zu verdienen. IS würde sich mit unbeabsichtigten Verstößen gegen die Privatsphäre / Vertraulichkeit und der Minderung von Haftungs-, PR- und Gesetzesrisiken befassen, jedoch nicht mit dem Schutz der Interessen anderer, solange dies in Ihrem Interesse liegt. P. >

Gesetzliche Anforderungen zur Vermeidung von Datenschutz

Möglicherweise gibt es auch gesetzliche Anforderungen, um die Privatsphäre zu reduzieren und Möglichkeiten für Anonymität oder Pseudonymität zu vermeiden. Zum Beispiel die KYC-Gesetzgebung (kennen Sie Ihren Kunden) in der Finanzbranche; Vertragliche Vereinbarungen zur Bereitstellung privater Daten (Verletzung der Privatsphäre) für Zwecke der Betrugsüberwachung und Gesetze zur Identifizierung und Registrierung bestimmter Benutzertypen stellen IS-Anforderungen, die ausdrücklich gegen die Privatsphäre verstoßen. Sie haben weiterhin Bedenken hinsichtlich der Vertraulichkeit dieser Daten, aber in einigen Aspekten werden Sie sie absichtlich in einer Weise verwenden, die die Privatsphäre verletzt.

In der Datenschutzklassifizierung unterscheidet (ISC) ^ 2 "vertraulich" und "privat". Beide gelten als die höchste Ebene nichtmilitärischer "klassifizierter" Informationen, die vor der Öffentlichkeit geschützt werden müssen (niedrigere Ebenen sind "sensibel" und "öffentlich"). Hier bezieht sich "privat" explizit auf Informationen, die sich auf Menschen beziehen. Da sich "Informationssicherheit" sehr oft auf die Sicherheit von Unternehmen bezieht, finden Sie mehr Hinweise auf "Vertraulichkeit" als auf "Datenschutz". Was Google oder Facebook mit Ihren privaten Daten tun, ist für Unternehmen nicht von zentraler Bedeutung.

Für ein praktisches Verständnis des Unterschieds zwischen Datenschutz und Sicherheit möchte ich Sie auf das in diesem Sommer herausgegebene OMB-Rundschreiben A-130 verweisen.

Der relevante Auszug:

Obwohl Sicherheit und Datenschutz unabhängige und getrennte Disziplinen sind, sind sie eng miteinander verbunden. Für Agenturen ist es wichtig, einen koordinierten Ansatz zu wählen, um Sicherheits- und Datenschutzrisiken zu identifizieren und zu verwalten und die geltenden Anforderungen einzuhalten. "Datenschutz geht weit darüber hinaus CIA und sollte nicht mit Sicherheit verwechselt werden. Datenschutz betrifft die Verwendung von personenbezogenen Daten, die Weitergabe dieser Informationen, Transparenz, Bekanntmachung, Auswahl, individuelle Teilnahme und andere Probleme im Zusammenhang mit der Erfassung, Erstellung, Verwendung, Verarbeitung und Speicherung , Weitergabe, Übertragung und Entsorgung von personenbezogenen Daten Datenschutzprobleme treten in vielen Zusammenhängen im Zusammenhang mit der Erfassung und Verwendung von Informationen über Personen auf, selbst wenn keine Sicherheitsprobleme und keine Probleme im Zusammenhang mit nicht autorisierten Personen vorliegen Zugriff.

Der "Datenschutz von X", bei dem es sich bei X um vertrauliche Daten handelt, ist das Maß an Kontrolle, das jemand über diese Daten erwarten sollte.

Sicherheit bietet das Maß an Kontrolle, das erforderlich ist, um diesen Datenschutz zu gewährleisten. Das heißt, die Kontrollen, die die erwartete Vertraulichkeit, die erwartete Integrität (d. H. Den Schutz vor Änderungen) und die erwartete Verfügbarkeit der Daten für sich selbst oder andere autorisierte Parteien gewährleisten.