Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
SecurityEngineeringinindustriellemMaßstab
RuthBreuUniversitätInnsbruck
04.07.17 Slide2SecurityEngineeringinindustriellemMaßstab
Quelle:HeiseSecurityNews
ZweizentraleFragen(undHerausforderungen)
04.07.17 Slide3
WievielSecuritybrauchtmeinUnternehmen?
WiesicheristmeinUnternehmenaktuell?
SecurityEngineeringinindustriellemMaßstab
SecurityRequirement System
Evidenz
Herausforderung1- Scope
04.07.17 Slide4SecurityEngineeringinindustriellemMaßstab
NureinsicheresSystem,dasineinersicherenUmgebungläuftundvonsicherheitsbewusstenNutzernbedientwird,istsicher.
NurautorisierteNutzerkönnenaufKundendaten
zugreifen
Herausforderung2– AbhängigkeitvonAssets
04.07.17 Slide5SecurityEngineeringinindustriellemMaßstab
GeschäftsprozessZahlung
ZahlungsinformationmussbeimTransfergeschütztwerden
AlleÜbertragungenmüssenaufBasisvon
TLS1.2erfolgen
PaymentInformationServer
Nurwasmankennt,kannmanschützen
Expertenumfrage
Slide604.07.17SecurityEngineeringinindustriellemMaßstab
Roth,S.andHauder,M.andFarwick,M.andMatthes,F.andBreu,R.(2013)EnterpriseArchitectureDocumentation:CurrentPracticesandFutureDirections.In:11thInternationalConferenceonWirtschaftsinformatik(WI),Leipzig
UniversitätInnsbruck,TUMünchen,140befragteEnterpriseArchitektenzumThemaQualitätvonIT-Asset-Dokumentationen
Herausforderung3– AbhängigkeitenderAnforderungen
04.07.17 Slide7SecurityEngineeringinindustriellemMaßstab
Kosten Security
Safety FunktionaleAnforderungen
Energie-EffizienzUsability
Datenschutz
Performanz
Herausforderung4- Agilität
04.07.17 Slide8SecurityEngineeringinindustriellemMaßstab
ReleaseX
ReleaseX+1
Lösungen
04.07.17 Slide9SecurityEngineeringinindustriellemMaßstab
QualitativhochwertigesAssetManagement– DerTxture-Ansatz
04.07.17 Slide10SecurityEngineeringinindustriellemMaßstab
AssetRepository
ExterneDatenquellen
CMDB
EA-Tool
SystemOperations
EntwickeltinKooperationmitInfineonTechnologies
NavigierbareVisualisierungen
ChronoSphereModelRepository
04.07.17 Slide11SecurityEngineeringinindustriellemMaßstab
MartinHäusler,EmmanuelNowakowski,MatthiasFarwick,RuthBreu,JohannesKessler,ThomasTrojer: ChronoGraph:VersioningSupportforOLTPTinkerPopGraphs,DATA2017
§ TransaktionaleSicherheit§ Skalierbarbis100k+Knoten§ GenerischesMetamodell§ AufKnotenebenehistorisierteModelle§ Model-Branching-Konzept
Map-of-Things
04.07.17 Slide12SecurityEngineeringinindustriellemMaßstab
DokumentationvernetzterITundphysikalischerAssets
DokumentationvonIT-Infrastrukturen
NachverfolgbareSecurityRequirements
04.07.17 Slide13
Gültigkeitsdauer für
Passwörter festgelegt
Root-Zugriff
eingeschränkt
Passwort-Policy
eingerichtet
Zugriffspunkte definiert 5 weitere Anfoderungen
Zugriffskontrollen für
Server "S00227.intern" eingerichtet
Zugriffskontrollen für
alle Server eingerichtet
Zugriff auf sensible
Daten beschränken
Quellen: BDSG PCI Data Security Standard
Server S00227.intern
Schützt
COBIT
Zugriffskontrollen für
Server "S00227.intern" eingerichtet
Standard-Passwörter
verändert
Standard-Passwörter
verändert
Schützt
Admin-Konsole
Kunden-Datenbank
Web-ServerMonitoring-App
SecurityEngineeringinindustriellemMaßstab
adamant.q-e.at
Workflow-Unterstützung
04.07.17 Slide14
Logfiles
5 weitere Anfoderungen
Daten müssen in angemessen
gesicherten Storages archiviert
werden
Geschäftsdaten
Schützt
Logdaten werden mit niedrigem
Schutzbedarf archiviert
Kundendaten werden mit hohem
Schutzbedarf archiviert
Transaktionsdaten werden mit
hohem Schutzbedarf archiviert
Stammdaten
Transaktionen
Schützt
Schützt
Schützt
Logfiles
5 weitere Anfoderungen
Daten müssen in angemessen
gesicherten Storages archiviert
werden
Geschäftsdaten
Schützt
Logdaten werden mit niedrigem
Schutzbedarf archiviert
Kundendaten werden mit hohem
Schutzbedarf archiviert
Transaktionsdaten werden mit
hohem Schutzbedarf archiviert
Stammdaten
Transaktionen
Schützt
Schützt
Schützt
Kundendaten werden mit hohem
Schutzbedarf archiviert
Daten müssen in angemessen
gesicherten Storages archiviert
werden
Logfiles
5 weitere Anfoderungen
Daten müssen in angemessen
gesicherten Storages archiviert
werden
Geschäftsdaten
Schützt
Logdaten werden mit niedrigem
Schutzbedarf archiviert
Kundendaten werden mit hohem
Schutzbedarf archiviert
Transaktionsdaten werden mit
hohem Schutzbedarf archiviert
Stammdaten
Transaktionen
Schützt
Schützt
Schützt
Kundendaten werden mit hohem
Schutzbedarf archiviert
Daten müssen in angemessen
gesicherten Storages archiviert
werden
Logfiles
5 weitere Anfoderungen
Daten müssen in angemessen
gesicherten Storages archiviert
werden
Geschäftsdaten
Schützt
Logdaten werden mit niedrigem
Schutzbedarf archiviert
Kundendaten werden mit hohem
Schutzbedarf archiviert
Transaktionsdaten werden mit
hohem Schutzbedarf archiviert
Stammdaten
Transaktionen
Schützt
Schützt
Schützt
Kundendaten werden mit hohem
Schutzbedarf archiviert
Daten müssen in angemessen
gesicherten Storages archiviert
werdenUnzureichenderSchutz
wirdautomatischerkannt
Statusänderungerfolgtautomatisch
Statusänderungwirdautomatischpropagiert
SecurityEngineeringinindustriellemMaßstab
Task TaskfürverantwortlichenStakeholderwirderstellt
DesignSciencealswissenschaftlicheMethodik
04.07.17 Slide15SecurityEngineeringinindustriellemMaßstab
Quelle:Hevner
Relevance
ISResearch
Rigor
KnowledgeBase
BusinessNeeds
ApplicableKnowledge
Application Additions
Environment
ModelRepositories
SecurityRequirementsEngineering
WorkflowEnactment
• Txture:www.txture.io• ADAMANT:adamant.q-e.at• R.Breu,M.Farwick,T.Trojer:EnterpriseITIntelligence – Was
bedeutetdigitaleTransformationfürdasBusiness-IT-Alignment?Objektspektrum,April2017
• R.Breu,M.Brunner,C.Sillaber:SecurityimProdukt-Lifecycle– LästigePflichtoderChance?Informatik-Spektrum,November2015http://link.springer.com/article/10.1007%2Fs00287-015-0938-1
• R.Breu,A.Kuntzmann-Combelles,M.Felderer:NewPerspectives onSoftwareQuality,IEEESoftware,January/February2014http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=6750444
LinksundLiteratur
04.07.17 Slide16SecurityEngineeringinindustriellemMaßstab