Reeg, ThomasThomasReeg2019-09-192012-02-162011https://fis.uni-bamberg.de/handle/uniba/336Bamberg, Univ., Diss., 2011Betriebliche Informationssicherheit wird im Unternehmenskontext oftmals ausschließlich auf die Betrachtung der Sicherheit von Rechner- und Kommunikationssystemen reduziert. Die diesbezüglichen Anforderungen an die Sicherheit von Informationen entstammen jedoch nicht allein der technischen Ebene, sondern werden vielmehr auch auf fachlicher Ebene durch die jeweils unterstützten Geschäftsprozesse vorgegeben. Ein generischer Ansatz zur dedizierten Betrachtung bzw. Modellierung dieser fachlichen Sicherheitsanforderungen ist jedoch nicht gegeben. Die vorliegende Arbeit greift diese Problemstellung auf, indem eine geschäftsprozessgetriebene Modellierungsmethodik für betriebliche Informationssicherheit entwickelt wird, die eine fachliche Definition von Sicherheitsaspekten auf Geschäftsprozessebene ermöglicht sowie deren Transformation auf Aufgabenträgerebene unterstützt. Als Ausgangspunkt hierfür wird eine einheitliche Sicherheitsterminologie erarbeitet, die in Form eines Referenzmodells betrieblicher Informationssicherheit eine allgemeingültige Systematisierung des betrieblichen Sicherheitsbegriffs auf Basis des Konzepts der Unternehmensarchitektur ermöglicht. Ausgehend hiervon werden die Anforderungen an die zu entwickelnde Modellierungsmethodik für betriebliche Informationssicherheit (SOMsec) abgeleitet, die eine sicherheitserweiterte Modellbildung sowohl auf Aufgabenebene als auch auf Aufgabenträgerebene eines betrieblichen Systems unterstützen muss. Als Grundlage der Modellierungsmethodik wird der SOM-Ansatz verwendet, der jedoch insbesondere im Hinblick auf Modellumfang, Modellierungsreichweite und zu verwendende Modellierungsverfahren erweitert wird. Als Modellierungsergebnisse von SOMsec entstehen auf Aufgabenebene ein sicherheitserweitertes Geschäftsprozessmodell sowie auf Aufgabenträgerebene davon ableitbare Modelle zur Sicherheitsspezifikation der jeweiligen Anwendungssysteme. Auf diese Weise wird eine ganzheitliche Sicherheitsbetrachtung realisiert, die insbesondere im Rahmen einer geschäftsprozessorientierten Anwendungsentwicklung eine frühe Integration von Sicherheitsaspekten in den Softwareentwicklungsprozess ermöglicht.In a corporate context, business information security is often reduced solely to application-oriented and technical security considerations. However, requirements regarding the security of information do not only follow from technical considerations but are also defined from a functional view by the supported business processes. A generic approach to analyze or even model these functional security requirements on business process level has not been proposed yet. This thesis addresses the mentioned problem by developing a business process driven modeling methodology for business information security, which allows a functional definition of security aspects on business process level as well as their transformation to security requirements on a technical level. At first, a common and consistent security terminology is defined, which provides a starting point for the conception of a corporate security reference model. Based on this reference model, the requirements for the modeling methodology to develop (SOMsec) are derived. The approach of the Semantic Object Model (SOM) is used as a basis for the development of SOMsec, particularly extended in terms of modeling scope, coverage and modeling techniques. The main results of modeling security with SOMsec are a security enhanced business process model as well as derivable security models concerning requirements for the respective application systems. In this way, a comprehensive view on business information security can be realized, which also allows a rather early integration of security requirements in the software development process.deuInformationssicherheit, Referenzmodel, Modellierungsmethodik, SOM, SOMsec, Geschäftsprozessmodellierung, Sicherheitsmodellierung, Sicherheit , AnwenduInformation security, reference model, modeling methodology, SOM, SOMsec, business process modeling, security modelingInformationssicherheitReferenzmodelModellierungsmethodikSOMSOMsecGeschäftsprozessmodellierungSicherheitsmodellierungSicherheitAnwenduInformation securityreference modelmodeling methodologySOMSOMsecbusiness process modelingsecurity modeling004doctoralthesisurn:nbn:de:bvb:473-opus-4007