Hönigsberger, S. (2009). Bestimmung der betriebswirtschaftlichen Effektivität von Informationssicherheitsmaßnahmen [Dissertation, Technische Universität Wien]. reposiTUm. https://resolver.obvsg.at/urn:nbn:at:at-ubtuw:1-28775
information security; risk analysis; COSO2; operational risk
en
Abstract:
In dieser Arbeit geht es darum ein Rahmenmodell zu erarbeiten, das es ermöglicht, alle Arten von Informationssicherheitsprozessen und -technologien in organisationsweite Risikomanagementmethoden und Risikomanagementprozesse zu integrieren. Dadurch soll Organisationen bzw. Unternehmen eine bessere Steuerung der Investitionen in diese Informationssicherheitsmaßnahmen ermöglicht werden.<br />Bei der Erstellung des Modells war es wichtig, die bereits existierenden Standards wie etwa den ISO 2700x Normenreihe, das Risikomanagementframework COSO2 und das IT-Governance Regelwerk COBIT zu berücksichtigen, um eine möglichst breite praktische Anwendbarkeit sicherzustellen. Der Ausgangspunkt der Arbeit ist die Betrachtung einer Organisation bzw.<br />eines Unternehmens als soziotechnisches System. Darauf aufbauend wird zuerst das System und dessen Kontext im Rahmen einer kurzen Systemumfeldanalyse näher betrachtet, und so die Basis für den Modellrahmen gelegt. Basierend auf diesem groben Modellrahmen wird ein Metamodell aufgespannt, in welchem das System, zur besseren Darstellung der Intrasystemabhängigkeiten, selbst in eine Prozessdomäne und in eine Infrastrukturdomäne aufgeteilt wird. Das Metamodell beinhaltet bereits jene Instrumentarien, welche es ermöglichen den Weg, den ein Schadenereignis von seinem Eintritt in das System bis zu seinem Austritt aus dem System nehmen kann, darzustellen.<br />Weiters können mit Hilfe des Metamodells bereits auch die jeweiligen Schadwirkungen näher analysiert werden. Zur Berechnung des mit einem Ereignis verbundenen Risikos wird die Methode des Probabilistic Risk Assessment (PRA) verwendet. Im erarbeiten Modell werden die für das Probabilistic Risk Assessment benötigten Schadenpotentiale aus der Prozessdomäne, und die Eintrittswahrscheinlichkeiten der jeweiligen Ereignisse aus der Infrastrukturdomäne abgeleitet. Die Schnittstellen zwischen diesen beiden Domänen bilden dabei die IT-Dienste, die den Prozessen von der Infrastruktur zur Verfügung gestellt werden. Parallel zu der schrittweisen Vertiefung des Metamodells, die von den in den COSO2 Aktivitäten Objective Setting, Event Identification, Risk Assessment und Risk Response definierten Aufgaben eines Risikomanagementsystems geleitet wird, wird in der Arbeit auch immer eine einfache Ausprägung einer Implementierung des Metamodells mitgeführt, um die integrierten Konzepte besser darstellen zu können.<br />Nach dem vollständigen Aufspannen des Modellbogens ist es gegen Ende der Arbeit endlich möglich näher auf das eigentliche Ziel der Arbeit einzugehen. Es wird dort gezeigt, wie sich Informationssicherheitsmaßnahmen in das Modell integrieren lassen, und wie deren Wirkung sowohl auf die Eintrittswahrscheinlichkeit eines Ereignisses als auch auf die Schadenpotentiale eines Ereignisses bei der Berechnung des Risikos des Ereignisses berücksichtigt werden kann.<br />Nach der detaillierten Darstellung des Modells wird am Ende der Arbeit noch anhand eines praktischen Beispiels, in dem für einen IT-Dienst, wie etwa einen Webserver, eine Gegenüberstellung des inhärenten Risikos ohne implementierte Sicherheitsmaßnahmen für einen auf diesen Dienst angewiesenen Geschäftsprozess dem residualen Risiko nach Implementierung entsprechender Maßnahmen durchgeführt. Das Beispiel bedient sich dabei einer Monte Carlo Simulation des Dienstes und der von ihm benötigten Infrastruktur.<br />
de
This paper tries to define a framework model which allows to integrate all kind of information security related processes and technologies into risk management methods and risk management processes that scale also for enterprises. This framework is supposed to support descion makers within such organizations in their investment decisions regarding information security measures.<br />During the creation of the model the incorporation of already existing, well known, standards like ISO 2700x series of standards, the Enterprise Risk Managementframework COSO2 and COBIT which is one relevant standard for IT-Governance, was one main focus to guarantee a broad practical usability of the model.<br />The starting point of the model is see on organizations or corporations as socio-technical systems. Based on this view the system itself and it's near context are examined more closely. This examination is then used to build the foundation of the model, and upon this a meta model is constructed, in which the system is split into process domain and an infrastructure domain to better show the intra-system dependencies.<br />This meta model also contains all instruments needed to be able to plot the path an loss event takes from it's entry of the system till it leaves the system. The meta model also allows to analyze the details of the internal and external induced parts of the loss potential. To calculate the risk that is associated with an event the probabilistic risk assessment method is used, with the loss potential derived from the process domain, and the occurrence rate derived from the infrastructure domain. As interface between these two domains the it-services, that are offered by the infrastructure domain, are used. In parallel to the stepwise refinement of the meta model, which is driven by the COSO2 activities objective setting, event identification, risk assessment and risk responses, the author also tries to develop one, simple, implementation of the meta model for a better demonstrate the concepts that are integrated into the meta model.<br />After completely building the meta model, the paper focuses on it's original goal, the integration of information security related measures into the model. It is also shown how these measures can affect the occurrence rate and the loss potentials of information security related events, and how these measures therefore can change the assessed risk for the loss events.<br />Right at the end of this paper a simple example shows how this model can be used practically. It calculates the inherent risk, before, and the residual risk, after the implementation of countermeasures, for a certain information security related event on an it-service like a web- or a mailservice. The calculation is done via monte carlo simulations of the underlying infrastructure components.
en
Additional information:
Abweichender Titel laut Übersetzung der Verfasserin/des Verfassers