Not logged in.
Quick Search - Contribution
Contribution Details
| Type | Dissertation |
| Scope | Discipline-based scholarship |
| Title | Using Process Models to Analyse IT Security Requirements |
| Organization Unit | |
| Authors |
|
| Supervisors |
|
| Institution | University of Zurich |
| Faculty | Faculty of Economics, Business Administration and Information Technology |
| Date | 2003 |
| Abstract Text | As more enterprises start to transfer their business processes to electronic media, the need for appropriate information security arises. In today's business the security of information systems is not only necessary to ensure business continuity and to protect one's assets from harm; some authors even state that security is also the enabler to do business at all. Unfortunately, it is difficult to specify which measures to take in order to achieve appropriate security. Security reviews or analyses to that aim are usually both tedious and expensive, because they require the knowledge of the IT systems as well as the business processes around them - even though the latter are generally not regarded explicitely. The idea pursued in this thesis is, therefore, to examine business processes descriptions in order to analyse IT security. In this thesis the relations between business process reengineering (BPR) or general process modelling and security analysis will be investigated. Mutual influences will be explained, synergies will be pointed out. Starting from this analysis, the so-called POSeM method - the main contribution of this thesis - was developed. The abbreviation POSeM denotes Process Oriented Security Models. These models are used to select appropriate security measures for a pre-defined business process. In four steps security objectives for the business process in general will be converted into a catalogue of appropriate safeguards, i.e., safeguards that have to be implemented in order to achieve the security objectives defined before. Two rule bases are used: one to ensure the consistency of the defined security objectives and another to derive appropriate security safeguards. Both can be configured to suit the user's security needs. The first step of POSeM examines the security objectives of an enterprise and the business process in general. During a second step these security objectives are broken down into security levels that will be assigned to all parts of the business process for the protection objectives confidentiality, integrity, availability and accountability. These levels are defined according to a discrete and ordered scale consisting of the values none, low, medium, high and, very high. Furthermore components can be assigned types that will later influence the security measures to be implemented for them. After explaining the method and its goals in general, a formal description of its rules and constraints is given. Its implementation is explained and illustrated. To prove the method's applicability it is exercised using an example from the e-business sector (i.e., the use of a content management system) and a detailed example process from the health care sector. A discussion of the method's use cases and advantages compared to ""classical""' methods as well as further research directions will be given in the last chapter. |
| Zusammenfassung | Mit der Verlagerung von Geschäftsprozessen auf elektronische Medien entsteht die Notwendigkeit nach angemessener Sicherheit der verwendeten Informationstechnik. In der heutigen Zeit wird IT-Sicherheit immer weniger als reines Mittel zur Sicherung des Firmenbestandes und zum Schutz von Ressourcen betrachtet, sondern häufig als Enabler bezeichnet, der bestimmte Arten von Geschäften über elektronische Medien erst möglich macht. Unglücklicherweise ist es nicht einfach zu spezifizieren, welche Sicherheitsmassnahmen im jeweiligen Fall angemessen sind. Sicherheitsreviews und -analysen sind aufwendig und teuer, da sie eine genaue Kenntnis der IT-Systeme sowie der verwendeten Geschäftsprozesse voraussetzen, obwohl letztere im Allgemeinen nicht explizit betrachtet werden. Die Idee, die dieser Dissertation zugrunde liegt, ist daher, Beschreibungen von Geschäftsprozessen zur Analyse von IT-Sicherheit zu verwenden. Im Rahmen dieser Doktorarbeit werden die Zusammenhänge von IT-Sicherheit und Geschäftsprozessmodellierung (bspw. im Rahmen eines Business Process Reengineering) untersucht. Gegenseitige Einflüsse werden untersucht, wobei sowohl Synergien als auch Widersprüche herausgearbeitet werden. Der Hauptbeitrag dieser Arbeit zum Sicherheitsmanagement liegt in der Entwicklung und Präsentation der POSeM-Methode, die zum Ziel hat, für gegebene Geschäftsprozesse die jeweils angemessenen Sicherheitsmassnahmen abzuleiten. Die Abkürzung POSeM steht dabei für Process Oriented Security Model, also für prozess-orientierte Sicherheitsmodelle. Nachdem die einzelnen Schritte von POSeM mitsamt ihren Zielen erklärt wurden, wird jeweils eine Erläuterung ihrer Durchführung (ggf. mit formaler Beschreibung der Regeln) gegeben und die Anwendung des Schrittes in praxi erläutert. Die praktische Anwendbarkeit der gesamten POSeM-Methode wird anschliessend mit zwei komplexeren Beispielen nachgewiesen. Im ersten Beispiel wird die Methode anhand eines E-Business-Beispieles (eines Content-Management-Systems) durchgeführt. Darüber hinaus wird ein komplettes Beispiel aus dem Gesundheitswesen mit POSeM analysiert. Im letzten Kapitel der Arbeit erfolgt eine Bewertung von POSeM im Vergleich zu herkömmlichen Verfahren, und es werden Möglichkeiten für weitere Forschungsansätze sowie mögliche POSeM-Erweiterungen diskutiert. |
| PDF File |
Download
|
| Export |
BibTeX
EP3 XML (ZORA)
|