Bausteine eines Prozessmodells für Security-Engineering



Ähnliche Dokumente
ITIL & IT-Sicherheit. Michael Storz CN8

Softwareanforderungsanalyse

Einführung und Motivation

Marktprozessbeschreibungen richtig lesen und verstehen. 2. Februar 2012

Use Cases. Die Sicht des Nutzers. Fortgeschrittenenpraktikum SS 2004

ERP-Evaluation systematisch und sicher zum optimalen ERP-System

Bundeskanzlei BK Programm GEVER Bund. als Basis für GEVER. 29. November 2012

Requirements Engineering für IT Systeme

Potential für integrierte E-Government Lösungen GIS / CMS / Portal - an praktischen Beispielen

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

IT-Revision als Chance für das IT- Management

Der Weg zum sicheren Webauftritt

Vgl. Kapitel 5 aus Systematisches Requirements Engineering, Christoph Ebert

Seminar: IT in ehealth und Telemedizin. Lehrstuhl für Internet-Technologien und Systeme Prof. Dr. Christoph Meinel Aaron Kunde Nuhad Shaabani

16 Architekturentwurf Einführung und Überblick

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Microsoft Office Visio 2007 Infotag SemTalk Thema: Prozessmodellierung

Vgl. Kapitel 4 aus Systematisches Requirements Engineering, Christoph Ebert

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Freie Universität Berlin

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Anforderungen an ein Workflow-Management-System im Gesundheitswesen am Beispiel des Gesundheitsnetzes prosenior. prosenior.

Auswertung Onlinebefragung Unternehmen. Thematik: Mitarbeitende mit psychischen Beeinträchtigungen bei Unternehmen

Software Engineering. 3. Anforderungsanalyse. Franz-Josef Elmer, Universität Basel, WS 2006/07

Ringvorlesung: SW- Entwicklung in der industriellen Praxis ( )

SERVICE SUCHE ZUR UNTERSTÜTZUNG

Sicherheitsprofile Software as a Service. Sichere Nutzung von Cloud-Diensten

Management von IT-Architekturen

Requirements Engineering

SSZ Policy und IAM Strategie BIT

Grundlagen Software Engineering

Zur Definition von Web-Services

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Virtual Private Network. David Greber und Michael Wäger

Klausur Software Engineering für WI (EuI)

InnoFaktor Innovationsstrategien mittelständischer Weltmarktführer im demografischen Wandel

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Vertraulich. Nachname: Vorname: Matrikel-Nummer: Studiengang: Datum: 30. Januar 2015

FUTURE NETWORK REQUIREMENTS ENGINEERING

Klausur zu den Teilgebieten Software-Management und Software-Qualitätsmanagement

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Techniken der Projektentwicklungen

Softwaretechnologie Wintersemester 2009/2010 Dr. Günter Kniesel, Pascal Bihler

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

K o n v e n t i o n enh a n d b u c h P r o z e s s m a n a g e m e n t

Softwareentwicklungspraktikum Sommersemester Grobentwurf

INTERVIEW. Wissensmanagement bei Würth Elektronik ICS. Ein erfolgreiches Praxisbeispiel aus dem Mittelstand

Vorstellung des BMBF-Projektes FluSs aus Sicht eines Endanwenders. Düsseldorf Maritim-Hotel, 09. Juli 2013 Mark Zwirner

Abschnitt 16: Objektorientiertes Design

Verbrauchertipp! Gesetz zur Button-Lösung

Evaluierung verteilter Middleware-Technologien zur Steigerung der Integrationsfähigkeit von Enterprise-Software

Dieter Brunner ISO in der betrieblichen Praxis

Software-Engineering 2. Übungen zur Wiederholung. IT works. Metris GmbH

Inhalt. 3 Architektureller Entwurf Modellgeleitete Entwicklung Was ist Software-Architektur?... 43

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Datenschutzrechtliche Aspekte bei Campus Management Systemen

IDV Assessment- und Migration Factory für Banken und Versicherungen

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Datenschutzkonforme digitale Patientenakten im Outsourcing. Datenschutzkonforme digitale Patientenakten im Outsourcing

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung

Von Perimeter-Security zu robusten Systemen

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Coaching-Projekt: Organisationsoptimierung und Burn-out-Prävention

Interoperabilität und Informationssicherheit mit SGAM 2. LIESA Kongress, Saarbrücken, 30. September 2015

Kernkompetenzen eines Wirtschaftsinformatikers heute und morgen

Erfahrungsbericht: Einsatz objektorientierter Methoden in Flugkörper-Software

Stand des Aufbaus der Geodateninfrastruktur in Sachsen-Anhalt (GDI-LSA )

Wer sich nicht täglich mit Versicherungen. Die meisten Menschen haben. Sind Sie richtig und vor allem preiswert versichert?

Ausgewählte Rechtsfragen der IT-Security

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Architekturplanung und IS-Portfolio-

L o g i s t i k l ö s u n g e n f ü r P r o d u k t i o n u n d L a g e r. Die Details kennen heißt das Ganze sehen.

Business Process Management. AristaFlow GmbH Ulm

Das Projekt wird durchgeführt von den Bezirksregierungen in Nordrhein- Westfalen in ihrer Funktion als Fachstelle für die öffentlichen Bibliotheken

PKI-Forum Schweiz, 15. Mai Erfahrungsbericht über den Aufbau der PKI der

Cloud Computing Security

Requirements Engineering und IT Service Management Ansatzpunkte einer integrierten Sichtweise

Sind Sie fit für neue Software?

Landschaftsverband Rheinland Dezernat Schulen und Jugend. Risikomanagement

Softwaretechnik (Allgemeine Informatik) Überblick

Ablauf Vorstellungsgespräch

REACH-CLP-Helpdesk. Zulassung in der Lieferkette. Matti Sander, Bundesanstalt für Arbeitsschutz und Arbeitsmedizin

Fragenkatalog Geschäftsmodellierung Grundlagen

Unsere Kunden erzählen keine Geschichten. Ursula Meseberg microtool GmbH Berlin

Content Management System mit INTREXX 2002.

IT-Unternehmensarchitektur Übung 01: IT-Strategie

Lebendige Sicherheit: Entwicklung von Secure Software im dynamischen Umfeld

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

ebiv und GPM GPM-Consulting in einem Software-Entwicklungsprojekt am Beispiel der elektronischen Beihilfe

Fragen und Antworten

CAS E-Commerce & Online-Marketing. Lukas Fässler MA Public Adminstration & Management

Die revidierte Norm SIA 405 Geodaten zu Ver- und Entsorgungsleitungen

Dr. Hanno Schauer Mons-Tabor-Gymnasium Montabaur. UML-Klassendiagramme als Werkzeug im Unterricht

Lehrplan: Grundlagen der industriellen So4ware- Entwicklung. paluno

EINFÜHRUNG DER erechnung

Use Cases. Use Cases

Transkript:

Bausteine eines Prozessmodells für Security-Engineering Ruth Breu Universität Innsbruck M. Breu Mai-03/1 Motivation Entwicklung einer Methode zum systematischen Entwurf zugriffssicherer Systeme Integration von Aspekten der Zugriffssicherheit in objektorientierte Entwurfstechniken Übersicht 1. Der Entwurfsrahmen 2. Spezifikation von Sicherheitsanforderungen 3. Entwicklung eines Sicherheitsmodells 12/05/2003/2

1. Der Entwurfsrahmen Was? Geschäftsprozessmodell Use-Case- Modell Beschreibung von Sicherheitsanforderungen Wie? Analysemodell Software- Architektur Entwicklung eines Sicherheitsmodells 12/05/2003/3 Typische Anwendungen Beispiele E-Government» Abwicklung von Behördenvorgängen über das Internet» Beispiel: kommunale Steuern und Abgaben (Abfallgebühren, Wohnsitzmeldung, ) Gesundheitswesen» elektronische Patientenakte» Einsatz mobiler Geräte am Krankenbett Versicherungswesen» Systeme für den Außendienst 12/05/2003/4

Gemeinsamkeit dieser Anwendungen Komplexe organisatorische Abläufe» enge Verflechtung manueller und systemunterstützter Aktivitäten» Abläufe oft institutionsübergreifend» massiv verteilte Abläufe» mit der Einführung des IT-Systems müssen die Abläufe neu organisiert werden» Systemdienste müssen analysiert werden Sicherheit spielt eine vorherrschende Rolle» rechtliche Aspekte» wirtschaftliche Aspekte Bedeutung der Konzeptionsphase wächst! 12/05/2003/5 2. Spezifikation von Sicherheitsanforderungen Formulierung von Sicherheitszielen unter Einbeziehung möglicher Bedrohungen Sicherheitsziele:» Vertraulichkeit» Datenintegrität» Authentizität» Nicht-Abstreitbarkeit» Verfügbarkeit Spezifikation von Anforderungen im Geschäftsprozess- und Use-Case-Modell 12/05/2003/6

Beispiel: Geschäftsprozessmodell Akteur Aktivität Vertrag unterschreiben Klasse Außendienstmitarbeiter Angebot Vertraulichkeit» Welche Akteure haben welche Sicht auf welche Objekte? Datenintegrität» Wo fließen Objekte zwischen Aktivitäten und wo spielt Datenintegrität eine Rolle? Authentizität» Bei welchen Aktivitäten muss der ausführende Akteur authentifiziert sein? Nicht-Abstreitbarkeit» Welche Aktivitäten kann der ausführende Akteur nicht abstreiten? 12/05/2003/7 Beispiel Angebotserstellung einer Versicherung 12/05/2003/8

Beispiel - Klassendiagramm 12/05/2003/9 Security Requirements - Beispiele Vertraulichkeit Datenintegrität 12/05/2003/10

3. Entwicklung eines Sicherheitsmodells Systematische Umsetzung der Sicherheitsanforderungen Analyse der Sicherheitsrisiken Wahl geeigneter Sicherheitsmaßnahmen Zwei Schritte» Security-Analysemodell» Security-Architektur 12/05/2003/11 Security-Analysemodell Analysemodell» Beschreibung der Use Cases als Nachrichtenflüsse» Entwicklung fachlicher Komponenten Security-Aspekte» Analyse und Abwehr interner Risiken» Analyse und Abwehr externer, systemspezifischer Risiken» Definition logischer Sicherheitskomponenten» Beispiele: Authentifizierung, Sicherheitsprotokolle für Datenintegrität, error tracing, 12/05/2003/12

Security-Architektur Softwarearchitektur» Entwicklung der verteilten Systemstruktur» Definition technischer Komponenten Security-Aspekte» Analyse und Abwehr externer Risiken» Umsetzung des Security-Analysemodells» Definition technischer Sicherheitskomponenten» Wahl spezieller technischer Geräte» Beispiele: Wahl spezieller Verschlüsselungstechniken und Protokolle, Schlüsselmanagement, Firewalls, Virenabwehr, 12/05/2003/13 Zusammenfassung Objektorientiertes Security-Engineering Systematische Erfassung und Umsetzung von Sicherheitsanforderungen Skizzierter Prozess ist in hohem Grade iterativ 12/05/2003/14

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback