Diplomarbeit
Titel:
Abbildung von Prozessen eines Information Security Management System (ISMS) nach BS 7799-2 mit dem ARIS-Tool zur Prozess-Modellierung
Autor:
Hofmann, Jens
Betreuer:
Arndt, Hans-Knud
Abgabedatum:
23.02.2006
Abstract:
AIm Zuge der zunehmenden Zahl an Sicherheitsvorfällen in Organisationen gewinnt die Erkenntnis an Bedeutung, dass Informationen bedeutende Organisationswerte sind deren Sicherheit nicht allein durch Ad-hoc-Sicherheitsmaßnahmen zu gewährleisten ist. Gesetzliche Vorgaben sorgen dafür, dass Organisationen die Angemessenheit ihrer Maßnahmen bewerten und belegen können müssen. Daraus ergibt sich der Bedarf kon-trollierte prozessbasierte Systeme zu etablieren, die zur Aufrechterhaltung der Informationssicherheit in einer Organisation (Informationssicherheits-Mangemementsysteme ISMS) dienen. Hier liegt der Schwerpunkt auf einer hohen Qualität, welche gegenüber Dritten belegt werden kann. Dabei sind die Möglichkeiten der Zertifizierung von Interesse, wobei sich der britische Standard BS7799-2:2002 als international anerkannter Standard etabliert hat. Dieser beschreibt Anforderungen an die Planung, Durchführung, Dokumentation, Bewertung und kontinuierliche Verbesserung, unter zugrunde legen eines prozessorientierten Ansatzes, eines Informationssicherheits-Managementsystems. Dabei wird vor allem die Notwendigkeit, dass alle Prozesse in ihrer Wirksamkeit überwacht werden und durch geeignete Maßnahmen verbesserte werden, vorausgesetzt. Die Grundlage hierfür stellt der Plan-Do-Check-Act-Ansatz, welcher Planung, Durchführen, Kontrolle sowie Verbesserung in einem kontinuierlichen Prozess zusammenfasst. Somit weist der Standard viele Gemeinsamkeiten mit dem DIN EN ISO 9001:2000 Standard auf, mit dem er auch explizit harmonisiert wurde. Durch die Komplexität der Planung, Einführung, Überwachung, Bewertung und Doku-mentation eines Informationssicherheits-Managementsystems, sollten diese durch geeignete Anwendungen unterstützt werden. Das ARIS-Toolset der Firma IDS Scheer AG wurde speziell zur Modellierung von Prozessen entwickelt und wird beispielsweise bei der Einführung komplexer Applikationen, wie SAP R/3, und der damit verbundenen Prozesse verwendet. Es bietet somit die Möglichkeit die Prozesse eines ISMS geeignet abzubilden. Ziel ist die Abbildung von Prozessen eines ISMS nach BS 7799-2:2002 mit dem ARIS-Toolset unter Verwendung der zugehörigen Modellierungsmethoden. Angestrebt wird hierbei eine möglichst generelle Abbildung, unter weitgehender Abstraktion von Organisationsspezifika, sodass die abgebildeten Prozesse als Muster für spätere Anpassung dienen können. Hierbei kann auf dem bereits bestehenden Referenzmodell der DIN EN ISO 9001:2000 aufgebaut werden. Kernpunkt der Abbildung wird dabei der Bereich der Risikoeinschätzung und -behandlung sein.
Verweisungen:
