ASST.4.3 — Autorisierung von Veröffentlichungen

SOLLTE Security level: normal-SdT Effort 3 BSI-Stand-der-Technik-Kernel

Statement (Anforderung)

Informationen und Assets SOLLTE Veröffentlichungen durch eine zuständige Person oder Rolle autorisieren.

Guidance (Erläuterung)

„Veröffentlichungen“ bezieht sich hier auf jede Form der öffentlichen oder externen Verbreitung von Informationen, sei es durch Pressemitteilungen, Social-Media-Beiträge, wissenschaftliche Publikationen, öffentliche Datensätze oder zur Erfüllung gesetzlicher Informationspflichten. Hierbei besteht das Risiko, dass vertrauliche Informationen unbeabsichtigt veröffentlicht werden. Kriterien zur Veröffentlichung können z.B. das Entfernen von Geschäftsgeheimnissen oder die Freigabe durch bestimmte Stellen innerhalb oder außerhalb der Institution sein. Der Hauptzweck dieser Anforderung ist die Schaffung einer Gatekeeping-Funktion, um den Informationsfluss zu steuern, der die Institution verlässt, und so das Risiko unbefugter oder schädlicher Offenlegungen zu mindern. Ohne diese Kontrolle könnte eine Institution versehentlich sensible Geschäftsdaten, geistiges Eigentum oder vertrauliche Kundeninformationen offenlegen, was zu schwerwiegendem Reputationsschaden, finanziellem Verlust oder rechtlichen Strafen führen könnte. So könnte ein nicht genehmigter Social-Media-Beitrag Details über ein noch nicht veröffentlichtes Produkt preisgeben, ein Forscher könnte versehentlich einen Datensatz mit vertraulichen Informationen veröffentlichen, oder ein Finanzbericht könnte vorzeitig veröffentlicht werden und Marktvolatilität verursachen. Ein sinnvoller Ansatz könnte die Einrichtung eines gestuften Genehmigungsprozesses sein, der auf der Sensibilität der Informationen basiert und sich am Konzept der Vertraulichkeitsanforderungen orientiert. Eine öffentliche Ankündigung von geringer Sensibilität erfordert möglicherweise nur die Genehmigung durch einen Abteilungsleiter, während ein Finanzbericht mit hohem Risiko die Unterschrift mehrerer Führungskräfte, einschließlich des Leiters der Rechtsabteilung und des CISO, erfordert. Um dies zu erleichtern, können Institutionen technische Maßnahmen ergreifen, wie z. B. ein digitales Workflow-System, in dem der Veröffentlichungsstatus eines Dokuments nachverfolgt und verwaltet wird. Dieses System könnte Funktionen umfassen wie: (1) automatisches Routing von Dokumenten an die entsprechenden Genehmiger, (2) eine sichere Überwachung aller Genehmigungen und Ablehnungen, und (3) ein zentrales Repository für alle genehmigten und veröffentlichten Materialien. Aus prozessualer Sicht ist es von Vorteil, eine Veröffentlichungs-Checkliste zu erstellen, die sicherstellt, dass alle relevanten rechtlichen und Compliance-Prüfungen vor der Veröffentlichung durchgeführt werden.

Statement properties

Name	Value
documentation	Arbeitsanweisung
result	Veröffentlichungen
result_specification	durch {{eine zuständige Person oder Rolle}}
action_word	autorisieren
modal_verb	SOLLTE

Control properties

Name	Value
alt-identifier	fa86f5b3-1e36-40bd-a61e-c58e7eba11c0
sec_level	normal-SdT
effort_level	3

Parameters

ID	Label	Values
asst.4.3-prm1	eine zuständige Person oder Rolle

Raw OSCAL JSON (complete control)

{
  "class": "BSI-Stand-der-Technik-Kernel",
  "id": "ASST.4.3",
  "params": [
    {
      "id": "asst.4.3-prm1",
      "label": "eine zuständige Person oder Rolle",
      "props": [
        {
          "name": "alt-identifier",
          "value": "fa86f5b3-1e36-40bd-a61e-c58e7eba11c0"
        }
      ]
    }
  ],
  "parts": [
    {
      "id": "ASST.4.3_stm",
      "name": "statement",
      "props": [
        {
          "name": "documentation",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
          "value": "Arbeitsanweisung"
        },
        {
          "name": "result",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "Veröffentlichungen"
        },
        {
          "name": "result_specification",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "durch {{eine zuständige Person oder Rolle}}"
        },
        {
          "name": "action_word",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
          "value": "autorisieren"
        },
        {
          "name": "modal_verb",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
          "value": "SOLLTE"
        }
      ],
      "prose": "Informationen und Assets SOLLTE Veröffentlichungen durch {{ insert: param, asst.4.3-prm1 }} autorisieren."
    },
    {
      "id": "ASST.4.3_gdn",
      "name": "guidance",
      "prose": "„Veröffentlichungen“ bezieht sich hier auf jede Form der öffentlichen oder externen Verbreitung von Informationen, sei es durch Pressemitteilungen, Social-Media-Beiträge, wissenschaftliche Publikationen, öffentliche Datensätze oder zur Erfüllung gesetzlicher Informationspflichten. Hierbei besteht das Risiko, dass vertrauliche Informationen unbeabsichtigt veröffentlicht werden. Kriterien zur Veröffentlichung können z.B. das Entfernen von Geschäftsgeheimnissen oder die Freigabe durch bestimmte Stellen innerhalb oder außerhalb der Institution sein. Der Hauptzweck dieser Anforderung ist die Schaffung einer Gatekeeping-Funktion, um den Informationsfluss zu steuern, der die Institution verlässt, und so das Risiko unbefugter oder schädlicher Offenlegungen zu mindern. Ohne diese Kontrolle könnte eine Institution versehentlich sensible Geschäftsdaten, geistiges Eigentum oder vertrauliche Kundeninformationen offenlegen, was zu schwerwiegendem Reputationsschaden, finanziellem Verlust oder rechtlichen Strafen führen könnte. So könnte ein nicht genehmigter Social-Media-Beitrag Details über ein noch nicht veröffentlichtes Produkt preisgeben, ein Forscher könnte versehentlich einen Datensatz mit vertraulichen Informationen veröffentlichen, oder ein Finanzbericht könnte vorzeitig veröffentlicht werden und Marktvolatilität verursachen. Ein sinnvoller Ansatz könnte die Einrichtung eines gestuften Genehmigungsprozesses sein, der auf der Sensibilität der Informationen basiert und sich am Konzept der Vertraulichkeitsanforderungen orientiert. Eine öffentliche Ankündigung von geringer Sensibilität erfordert möglicherweise nur die Genehmigung durch einen Abteilungsleiter, während ein Finanzbericht mit hohem Risiko die Unterschrift mehrerer Führungskräfte, einschließlich des Leiters der Rechtsabteilung und des CISO, erfordert. Um dies zu erleichtern, können Institutionen technische Maßnahmen ergreifen, wie z. B. ein digitales Workflow-System, in dem der Veröffentlichungsstatus eines Dokuments nachverfolgt und verwaltet wird. Dieses System könnte Funktionen umfassen wie: (1) automatisches Routing von Dokumenten an die entsprechenden Genehmiger, (2) eine sichere Überwachung aller Genehmigungen und Ablehnungen, und (3) ein zentrales Repository für alle genehmigten und veröffentlichten Materialien. Aus prozessualer Sicht ist es von Vorteil, eine Veröffentlichungs-Checkliste zu erstellen, die sicherstellt, dass alle relevanten rechtlichen und Compliance-Prüfungen vor der Veröffentlichung durchgeführt werden."
    }
  ],
  "props": [
    {
      "name": "alt-identifier",
      "value": "fa86f5b3-1e36-40bd-a61e-c58e7eba11c0"
    },
    {
      "name": "sec_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
      "value": "normal-SdT"
    },
    {
      "name": "effort_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
      "value": "3"
    }
  ],
  "title": "Autorisierung von Veröffentlichungen"
}

View JSON API Download JSON