ASST.3.1 — Nutzungsvereinbarungen
SOLLTE
Security level: normal-SdT
Effort 2
BSI-Stand-der-Technik-Kernel
Statement (Anforderung)
Informationen und Assets für Nutzende SOLLTE diese zu den Regelungen der Nutzung von Informationen und anderen Assets anweisen.
Guidance (Erläuterung)
Wenn Nutzende nicht angewiesen werden bestimmte Nutzungsregelungen einzuhalten, dann könnte es zu ungewollten Verstößen gegen die Sicherheitsverfahren kommen. Auch Maßregelungen bei Verstößen werden erschwert, wenn unklar ist, ob Verstöße für die Nutzenden vorher als solche erkennbar waren. Dies gilt insbesondere für externe Personen, die nur durch die Nutzung von Assets mit den Regelungen in Berührung kommen könnten, z.B. Kunden oder Drittunternehmen. Die konkreten Regelungen ergeben sich aus den Maßnahmen zur Umsetzung der anderen Anforderungen dieser Praktik und den Anforderungen zur Sensibilisierung.
Statement properties
| Name | Value |
|---|---|
| target_object_categories | Nutzende |
| documentation | Arbeitsanweisung |
| result | diese zu den Regelungen der Nutzung von Informationen und anderen Assets |
| action_word | anweisen |
| modal_verb | SOLLTE |
Control properties
| Name | Value |
|---|---|
| alt-identifier | ec6bc7aa-7f8c-4cb1-a564-73e39401051f |
| sec_level | normal-SdT |
| effort_level | 2 |
Sub-controls
- ASST.3.1.1 Weitergabe nur bei Erforderlichkeit
Raw OSCAL JSON (complete control)
{
"class": "BSI-Stand-der-Technik-Kernel",
"controls": [
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "ASST.3.1.1",
"links": [
{
"href": "#SENS.5.2",
"rel": "related"
}
],
"parts": [
{
"id": "ASST.3.1.1_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Nutzende"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Arbeitsanweisung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "zur Weitergabe von Informationen nur bei Erforderlichkeit"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "anweisen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Informationen und Assets für Nutzende SOLLTE zur Weitergabe von Informationen nur bei Erforderlichkeit anweisen."
},
{
"id": "ASST.3.1.1_gdn",
"name": "guidance",
"prose": "Das Need-to-Know-Prinzip ist ein Sicherheitskonzept, das den Zugriff auf Informationen auf das absolut notwendige Maß beschränkt. Es besagt, dass Personen nur dann Zugang zu bestimmten Daten enthalten, wenn diese Informationen für die Erfüllung ihrer konkreten Aufgaben erforderlich sind. Ziel ist es, das Risiko von Datenmissbrauch, -verlust oder unbefugtem Zugriff zu minimieren."
}
],
"props": [
{
"name": "alt-identifier",
"value": "32afe7a4-d3d4-43d2-a37b-8ecd45ea69f5"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "2"
}
],
"title": "Weitergabe nur bei Erforderlichkeit"
}
],
"id": "ASST.3.1",
"links": [
{
"href": "#SENS.1.1",
"rel": "related"
}
],
"parts": [
{
"id": "ASST.3.1_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Nutzende"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Arbeitsanweisung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "diese zu den Regelungen der Nutzung von Informationen und anderen Assets"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "anweisen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Informationen und Assets für Nutzende SOLLTE diese zu den Regelungen der Nutzung von Informationen und anderen Assets anweisen."
},
{
"id": "ASST.3.1_gdn",
"name": "guidance",
"prose": "Wenn Nutzende nicht angewiesen werden bestimmte Nutzungsregelungen einzuhalten, dann könnte es zu ungewollten Verstößen gegen die Sicherheitsverfahren kommen. Auch Maßregelungen bei Verstößen werden erschwert, wenn unklar ist, ob Verstöße für die Nutzenden vorher als solche erkennbar waren. Dies gilt insbesondere für externe Personen, die nur durch die Nutzung von Assets mit den Regelungen in Berührung kommen könnten, z.B. Kunden oder Drittunternehmen. Die konkreten Regelungen ergeben sich aus den Maßnahmen zur Umsetzung der anderen Anforderungen dieser Praktik und den Anforderungen zur Sensibilisierung."
}
],
"props": [
{
"name": "alt-identifier",
"value": "ec6bc7aa-7f8c-4cb1-a564-73e39401051f"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "2"
}
],
"title": "Nutzungsvereinbarungen"
}