Оцінювання ризиків інформаційної безпеки: міжнародні стандарти та українське законодавство

Розглянуто вимоги, викладені у нормативних документах, та рекомендації міжнародних стандартів до методики оцінювання ризиків інформаційної безпеки. Наведено умови відповідності методик оцінки ризиків інформаційної безпеки вітчизняним нормативним документам та міжнародним стандартам ISO/IEC.Рассмотрены требования, изложенные в нормативных документах, и рекомендации международных стандартов относительно методики оценивания рисков информационной безопасности. Представлены условия соответствия методик оценки рисков информационной безопасности отечественным нормативным документам и международным стандартам ISO/IEC

INTEGRATION OF AN IT-RISK MANAGEMENT/RISK ASSESSMENT FRAMEWORK WITH OPERATIONAL PROCESSES

This paper discusses the background and results of a research project which was conducted by ENISA (European Network and Information Security Agency) in cooperation with the BOC Information Technologies Consulting GmbH. The project was initiated with respect to the main task of ENISA: ensuring a high and effective level of network and information security within organisations in the European Union. As an important step towards this goal the research project aimed at increasing the level of integration between an enterprise-level IT Risk Management/Risk Assessment on the one hand, and selected operational business processes, on the other hand. The proposed integration is mainly established on the level of document flows between processes and activities respectively. In particular, operational processes which are closely related to IT were selected for integration. The introduced approach promises a better overall quality of IT Risk Management in an enterprise in general, as well as an improved management of risks in operational processes

Digitale Archivierung von Abschlussarbeiten : eine Analyse mit Handlungsempfehlungen für den Dokumentenserver PubLIS Cologne

Seit Mitte des Jahres 2012 werden alle Abschlussarbeiten der Studierenden des Instituts für Informationswissenschaft an der Fachhochschule Köln auf dem Dokumentenserver PubLIS Cologne abgelegt. Um den Zugriff auf das Originaldokument zu gewährleisten, wird zusätzlich ein gedrucktes Archivexemplar aufbewahrt. Die Frage ob eine ausschließlich elektronische Speicherung der Abschlussarbeiten prüfungsrechtlich ausreichend sein kann, wird in der vorliegenden Bachelorarbeit behandelt. Hierzu werden zunächst Kriterien vorgestellt, welche die organisatorischen und technischen Voraussetzungen für die ausschließlich digitale Aufbewahrung festlegen. Zudem wird die rechtliche Lage von Abschlussarbeiten dargelegt sowie der Dokumentenserver vorgestellt. Als Hauptteil der Arbeit werden aufbauend auf die vorgestellten Kriterien konkrete Handlungsempfehlungen für das Repositorium PubLIS Cologne gegeben. Diese beziehen sich auf das Vorgehen bei Verwaltung und Organisation am Institut für Informationswissenschaft sowie auf technische Verfahrensweisen zur Erhaltung von Integrität und Authentizität im Dokumentenbestand. Besondere Beachtung findet dabei die Vergabe von digitalen Signaturen in Verbindung mit Hashwerten. Zusammenfassend wird festgestellt, dass es durchaus vielversprechende Potentiale und Möglichkeiten zur sicheren Umsetzung gibt. Es fehlen jedoch konkret hochschulund allgemeinrechtliche Vorschriften mit Bezug zu Abschlussarbeiten. Allgemein kann davon ausgegangen werden, dass diese Art der Archivierung im zunehmend von digitalen Prozessen geprägten Hochschulalltag an Bedeutung gewinnen wird.Since 2012 the Institute of Information Science at the University of Applied Sciences Cologne runs its own repository named PubLIS Cologne. All of the theses, which are handed in at the institute, are saved on this repository. In addition a printed copy of each thesis is saved. The present paper examines the question if it is possible, regarding the examination rules, to keep only the digital document. To clear this issue, relevant criteria are summed up and the legal situation of digital documents in companies is explained. Afterwards the organization of the repository at the Institute of Information Science and the technical aspects of the hosting are presented. The main part of the paper contains concrete suggestions to optimize the organization. Besides technical methods to save the authenticity and integrity of the documents are pointed out and the potential use for PubLIS Cologne is explained. Concerning these goals digital signatures and hash functions are important technics. In summary it is to be said, that possibilities for a reliable realization exist. Nevertheless concrete laws, in general and concerning universities, are missing. Regarding the increasing importance of digital processes in universities this subject offers great potentials

IT-Grundschutz für die Container-Virtualisierung mit dem neuen BSI-Baustein SYS. 1.6

Mit Hilfe der Container-Virtualisierung lassen sich Anwendungen flexibel in die Cloud auslagern, administrieren, zwischen Rechenzentren migrieren, etc. Dafür baut die Containervirtualisierung auf eine komplexe IT-Landschaft auf, in der Hardware, Betriebssystem und Anwendungen von verschiedenen Parteien bereitgestellt und genutzt werden. Der IT-Sicherheit kommt daher eine große Bedeutung zu. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem ITGrundschutz eine Methode zur Umsetzung von angemessenen Schutzmaßnahmen im IT-Umfeld zur Verfügung. Es gibt jedoch wenig Erfahrung mit der Absicherung der Container-Virtualisierung gemäß IT-Grundschutz: Das Grundschutz-Kompendium und die Standards zur Risikoanalyse wurden erst im November 2017 in überarbeiteter Form neu eingeführt, und der Baustein SYS. 1.6 zur Container-Virtualisierung wurde erst im Mai 2018 als Community Draft veröffentlicht. In dieser Arbeit untersuchen wir, wie gut sich der aktuelle IT-Grundschutz auf einen Web-Shop anwenden lässt, der mittels Docker virtualisiert wurde. Wir gehen dabei insbesondere auf die Gefährdungsanalyse, Docker-spezifische Gefährdungen sowie entsprechende Maßnahmen zur Abwendung dieser Gefährdungen ein. Darüber hinaus diskutieren wir, wie sich unsere Erkenntnisse über das Docker-Szenario hinaus auf Container-Technologie verallgemeinern lassen.Wir haben festgestellt, dass der Baustein SYS. 1.6 das Grundschutz-Kompendiums eine umfassende Hilfestellung zur Absicherung von Containern bietet. Wir haben jedoch zwei zusätzliche Gefährdungen identifiziert

Creation of an online tutorial dealing with the subject “long-term storage of digital images”

Gerade in der heutigen Zeit wird das Lernen mit modernen Medien, wie dem Internet, immer wichtiger, da sich der Prozess dadurch flexibler gestalten lässt. Deshalb greifen viele Institutionen auf Online-Tutorials zurück, in denen die Lernenden die Thematik selbstständig und mit multimedialen Inhalten bearbeiten können. Diese Arbeit beschreibt die Erstellung eines Online-Tutorials zum Thema „Langzeitarchivierung von digitalen Bilddokumenten“ im Rahmen des nestor-Schwerpunkts „Qualifizierung“.The present-day learning, enhanced with modern media like the internet is getting more and more important, to create more flexibility for the students. This is where a lot of institutes use online tutorials, with which the students attend the subject individually and with multimedia-based content. This thesis describes the creation of an online tutorial dealing with the subject “long-term storage of digital images” in the context of the nestor main topic “qualification”

Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen

In den letzten Jahren entwickelte sich das Thema IT-Security zu einem immer essentielleren Bereich in Unternehmen weltweit. Ursprünglich als eine Sparte, die als nettes Add-On dient, angesehen, rückt IT-Security bei der Planung und Einrichtung von IT-Infrastrukturen innerhalb von Konzernen in das Zentrum. Diverse Umfragen in Medien zeigen, dass das Thema Sicherheit zu einer der Hauptprioritäten im Informations- und Kommunikationstechnologiebereich wird. Speziell Begriffe wie „Security Management“ und „Information Security“ rücken in den Mittelpunkt von IT-Experten in heutigen Unternehmen. Eine wesentliche Aufgabe besteht darin, adäquate IT-Architekturen, koordinierte Technologieführung und die Definition von Rollen und Verantwortungsbereichen über das ganze Unternehmen hinweg zu schaffen. Dies alles sollte unter Berücksichtigung von etablierten Security Richtlinien, Standards und Methoden ermöglicht werden. Stärken und Schwächen bestehender Systeme müssen analysiert werden, um notwendige Korrekturen durchzuführen und eine kontinuierliche Verbesserung sowohl der IT-Landschaft als auch des Sicherheitsbewusstseins innerhalb der Unternehmen zu gewährleisten. Zielsetzung dieser Masterarbeit ist die Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen (KMU). Dies erfolgt unter Berücksichtigung der im deutschsprachigen Raum meistverbreiteten existierenden Planungsansätze der IT-Security. Zu diesen zählen die ISO-2700x Normreihe, der IT-Grundschutzkatalog bzw. die IT-Grundschutzvorgehensweise des Bundesamt für Sicherheit in der Informationstechnik (BSI), in Österreich das österreichische Informationssicherheitshandbuch, sowie der Common Criteria for Information Technology Security Evaluation Standard (CC) zur Bewertung der Sicherheit von Informationstechnologie. Aufbauend auf die existierenden Planungsansätze sowie die in der Arbeit identifizierten bestehenden und zukünftigen Herausforderungen für den Entwurf eines IT-Security Managementkonzepts für KMUs werden Anforderungen dafür abgeleitet. Diese werden in weiterer Folge in ein Konzept eingearbeitet, welches sicherstellt, dass mit vertretbarem Aufwand ein umfassender und nachhaltiger Beitrag zur Verbesserung der IT-Security in KMUs gewährleistet werden kann. Der nachhaltige Beitrag wird unter anderem dadurch garantiert, dass neben der Berücksichtigung existierender Planungsansätze und Best Practices, Trends hinsichtlich der IT-Security, die in den nächsten 3-4 Jahren immer mehr an Bedeutung gewinnen werden, ebenfalls berücksichtigt sind. Es wird kleinen und mittleren Unternehmen ein einfaches Vorgehenskonzept zur Verfügung gestellt, das ihnen ermöglicht, schnell effiziente Maßnahmen zur Einrichtung eines nachhaltigen IT-Security Managements auszuwählen und durchzuführen. Die Überprüfung auf Praxistauglichkeit des entwickelten Konzepts erfolgt anschließend in Kooperation mit der ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH.In recent years the subject of IT security has developed into an essential topic in companies worldwide. Originally viewed as a nice add-on, nowadays the field of IT security is in the center of planning- and establishment activities for IT-infrastructures of any organisation. Various surveys in the media indicate that the issue of security is increasingly growing to one of the main priorities in the information and communication technology sector. Especially terms like "Security Management" and "Information Security" are moving into the focus of IT professionals in today's businesses. An essential task is to create adequate IT architectures, coordinated technology management and the definition of roles and responsibilities throughout the enterprises. This has to be done under consideration of established security policies, standards and methods. Strengths and weaknesses of existing systems must be analyzed in order to carry out necessary adjustments and to ensure a continuous improvement of the IT environment, as well as security awareness within the companies. The objective of this thesis is to create a sustainable IT-Security Management Concept for small and medium enterprises (SMEs). It takes into account the most common existing planning approaches for IT security. These include the ISO 2700x standards, the IT-Baseline Protection Catalog (IT-Grundschutzkatalog des BSI), the IT-Baseline Protection Approach of the Federal Office for Information Security in Germany (IT-Grundschutzvorgehensweise des BSI), the Austrian Information Security Manual (Österreichisches Sicherheitshandbuch) and the Common Criteria for Information Technology Security Evaluation Standard (CC) for the security evaluation of information technology. Based on the established planning approaches mentioned before and the identified existing and future challenges concerning the design of an IT-Security Management Concept for SMEs, the requirements are derived. Subsequently they are incorporated into a concept, which will guarantee that, with justifiable effort, a comprehensive and lasting contribution for the improvement of SMEs IT security is ensured. Moreover the lasting contribution of this work should be guaranteed considering the trends of IT security, which will get more and more influence in the next 3-4 years. For small and medium-sized businesses a simple process concept is provided that allows them to quickly carry out effective measures for establishing a sustainable IT-Security Management. The verification of the concept on suitability for daily use is carried out in cooperation with the ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH

A systematic methodology for privacy impact assessments: a design science approach

For companies that develop and operate IT applications that process the personal data of customers and employees, a major problem is protecting these data and preventing privacy breaches. Failure to adequately address this problem can result in considerable damage to the company's reputation and finances, as well as negative effects for customers or employees (data subjects). To address this problem, we propose a methodology that systematically considers privacy issues by using a step-by-step privacy impact assessment (PIA). Existing PIA approaches cannot be applied easily because they are improperly structured or imprecise and lengthy. We argue that companies that employ our PIA can achieve "privacy-by-design", which is widely heralded by data protection authorities. In fact, the German Federal Office for Information Security (BSI) ratified the approach we present in this article for the technical field of RFID and published it as a guideline in November 2011. The contribution of the artefacts we created is twofold: First, we provide a formal problem representation structure for the analysis of privacy requirements. Second, we reduce the complexity of the privacy regulation landscape for practitioners who need to make privacy management decisions for their IT applications

AN APPROACH FOR ANALYZING THE EFFECTS OF RISKS ON BUSINESS PROCESSES USING SEMANTIC ANNOTATIONS

The management of risks has gained a lot of attention in the last years. Among the current challenges in this domain are the integration of risk management in the strategic planning and performance management across business units and organizational structures, the assessment of a company’s risk bearing capacity, and the improvement of the methods of risk measurement. In order to support the elicitation of risks in business processes, measure their impact on a company’s return and provide reports for regulatory authorities, it can be reverted to technology-oriented knowledge management. In this context we propose an approach that uses semantically annotated models to represent the influence of risks on business activities based on the concepts provided by a risk knowledge base. By transferring the annotated model information to the knowledge base, inference rules can be applied to analyze the effects of risks on the business processes during subsequent capacity simulations. For a first evaluation the approach has been implemented using the ADOxx meta modeling platform, the Protégé ontology management toolkit and the Jess rule engine. Finally, the use of the implementation is shortly illustrated by reverting to a sample business process from the domain of banking