Integriertes Management von Security-Frameworks
Beschreibung
vor 13 Jahren
Security-Frameworks sind baukastenähnliche, zunächst abstrakte
Konzepte, die aufeinander abgestimmte technische und
organisatorische Maßnahmen zur Prävention, Detektion und
Bearbeitung von Informationssicherheitsvorfällen bündeln. Anders
als bei der Zusammenstellung eigener Sicherheitskonzepte aus einer
Vielzahl punktueller Einzelmaßnahmen wird bei der Anwendung von
Security-Frameworks das Ziel verfolgt, mit einem relativ geringen
Aufwand auf bewährte Lösungsansätze zur Absicherung von komplexen
IT-Diensten und IT-Architekturen zurückgreifen zu können. Die
praktische Umsetzung eines Security-Frameworks erfordert seine
szenarienspezifische Adaption und Implementierung, durch die
insbesondere eine nahtlose Integration in die vorhandene
Infrastruktur sichergestellt und die Basis für den nachhaltigen,
effizienten Betrieb geschaffen werden müssen. Die vorliegende
Arbeit behandelt das integrierte Management von
Security-Frameworks. Im Kern ihrer Betrachtungen liegen folglich
nicht individuelle Frameworkkonzepte, sondern Managementmethoden,
-prozesse und -werkzeuge für den parallelen Einsatz mehrerer
Frameworkinstanzen in komplexen organisationsweiten und
-übergreifenden Szenarien. Ihre Schwerpunkte werden zum einen durch
die derzeit sehr technische Ausprägung vieler Security-Frameworks
und zum anderen durch die fehlende Betrachtung ihres Lebenszyklus
über die szenarienspezifische Anpassung hinaus motiviert. Beide
Aspekte wirken sich bislang inhibitorisch auf den praktischen
Einsatz aus, da zur Umsetzung von Security-Frameworks immer noch
ein erheblicher szenarienspezifischer konzeptioneller Aufwand
erbracht werden muss. Nach der Diskussion der relevanten Grundlagen
des Sicherheitsmanagements und der Einordnung von
Security-Frameworks in Informationssicherheitsmanagementsysteme
werden auf Basis ausgewählter konkreter Szenarien mehr als 50
Anforderungen an Security-Frameworks aus der Perspektive ihres
Managements abgeleitet und begründet gewichtet. Die anschließende
Anwendung dieses Anforderungskatalogs auf mehr als 75 aktuelle
Security-Frameworks zeigt typische Stärken sowie Schwächen auf und
motiviert neben konkreten Verbesserungsvorschlägen für
Frameworkkonzepte die nachfolgend erarbeiteten, für
Security-Frameworks spezifischen Managementmethoden. Als
Bezugsbasis für alle eigenen Konzepte dient eine detaillierte
Analyse des gesamten Lebenszyklus von Security-Frameworks, der zur
grundlegenden Spezifikation von Managementaufgaben,
Verantwortlichkeiten und Schnittstellen zu anderen
Managementprozessen herangezogen wird. Darauf aufbauend werden an
den Einsatz von Security-Frameworks angepasste Methoden und
Prozesse u. a. für das Risikomanagement und ausgewählte
Disziplinen des operativen Sicherheitsmanagements spezifiziert,
eine Sicherheitsmanagementarchitektur für Security-Frameworks
konzipiert, die prozessualen Schnittstellen am Beispiel von
ISO/IEC 27001 und ITIL v3 umfassend ausgearbeitet und der
Einsatz von IT-Sicherheitskennzahlen zur Beurteilung von
Security-Frameworks demonstriert. Die praktische Anwendung dieser
innovativen Methoden erfordert dedizierte Managementwerkzeuge, die
im Anschluss im Detail konzipiert und in Form von Prototypen bzw.
Simulationen umgesetzt, exemplifiziert und bewertet werden. Ein
umfassendes Anwendungsbeispiel demonstriert die praktische,
parallele Anwendung mehrerer Security-Frameworks und der
spezifizierten Konzepte und Werkzeuge. Abschließend werden alle
erreichten Ergebnisse kritisch beurteilt und ein Ausblick auf
mögliche Weiterentwicklungen und offene Forschungsfragestellungen
in verwandten Bereichen gegeben.
Konzepte, die aufeinander abgestimmte technische und
organisatorische Maßnahmen zur Prävention, Detektion und
Bearbeitung von Informationssicherheitsvorfällen bündeln. Anders
als bei der Zusammenstellung eigener Sicherheitskonzepte aus einer
Vielzahl punktueller Einzelmaßnahmen wird bei der Anwendung von
Security-Frameworks das Ziel verfolgt, mit einem relativ geringen
Aufwand auf bewährte Lösungsansätze zur Absicherung von komplexen
IT-Diensten und IT-Architekturen zurückgreifen zu können. Die
praktische Umsetzung eines Security-Frameworks erfordert seine
szenarienspezifische Adaption und Implementierung, durch die
insbesondere eine nahtlose Integration in die vorhandene
Infrastruktur sichergestellt und die Basis für den nachhaltigen,
effizienten Betrieb geschaffen werden müssen. Die vorliegende
Arbeit behandelt das integrierte Management von
Security-Frameworks. Im Kern ihrer Betrachtungen liegen folglich
nicht individuelle Frameworkkonzepte, sondern Managementmethoden,
-prozesse und -werkzeuge für den parallelen Einsatz mehrerer
Frameworkinstanzen in komplexen organisationsweiten und
-übergreifenden Szenarien. Ihre Schwerpunkte werden zum einen durch
die derzeit sehr technische Ausprägung vieler Security-Frameworks
und zum anderen durch die fehlende Betrachtung ihres Lebenszyklus
über die szenarienspezifische Anpassung hinaus motiviert. Beide
Aspekte wirken sich bislang inhibitorisch auf den praktischen
Einsatz aus, da zur Umsetzung von Security-Frameworks immer noch
ein erheblicher szenarienspezifischer konzeptioneller Aufwand
erbracht werden muss. Nach der Diskussion der relevanten Grundlagen
des Sicherheitsmanagements und der Einordnung von
Security-Frameworks in Informationssicherheitsmanagementsysteme
werden auf Basis ausgewählter konkreter Szenarien mehr als 50
Anforderungen an Security-Frameworks aus der Perspektive ihres
Managements abgeleitet und begründet gewichtet. Die anschließende
Anwendung dieses Anforderungskatalogs auf mehr als 75 aktuelle
Security-Frameworks zeigt typische Stärken sowie Schwächen auf und
motiviert neben konkreten Verbesserungsvorschlägen für
Frameworkkonzepte die nachfolgend erarbeiteten, für
Security-Frameworks spezifischen Managementmethoden. Als
Bezugsbasis für alle eigenen Konzepte dient eine detaillierte
Analyse des gesamten Lebenszyklus von Security-Frameworks, der zur
grundlegenden Spezifikation von Managementaufgaben,
Verantwortlichkeiten und Schnittstellen zu anderen
Managementprozessen herangezogen wird. Darauf aufbauend werden an
den Einsatz von Security-Frameworks angepasste Methoden und
Prozesse u. a. für das Risikomanagement und ausgewählte
Disziplinen des operativen Sicherheitsmanagements spezifiziert,
eine Sicherheitsmanagementarchitektur für Security-Frameworks
konzipiert, die prozessualen Schnittstellen am Beispiel von
ISO/IEC 27001 und ITIL v3 umfassend ausgearbeitet und der
Einsatz von IT-Sicherheitskennzahlen zur Beurteilung von
Security-Frameworks demonstriert. Die praktische Anwendung dieser
innovativen Methoden erfordert dedizierte Managementwerkzeuge, die
im Anschluss im Detail konzipiert und in Form von Prototypen bzw.
Simulationen umgesetzt, exemplifiziert und bewertet werden. Ein
umfassendes Anwendungsbeispiel demonstriert die praktische,
parallele Anwendung mehrerer Security-Frameworks und der
spezifizierten Konzepte und Werkzeuge. Abschließend werden alle
erreichten Ergebnisse kritisch beurteilt und ein Ausblick auf
mögliche Weiterentwicklungen und offene Forschungsfragestellungen
in verwandten Bereichen gegeben.
Weitere Episoden
vor 12 Jahren
In Podcasts werben
Kommentare (0)