Zusammenfassung
In diesem Kapitel werden die für das Konzept einer wissensbasierten Bedrohungs-und Risikoanalyse Workflow-basierter Anwendung notwendigen Grundlagen erläutert.
This is a preview of subscription content, log in via an institution to check access.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Preview
Unable to display preview. Download preview PDF.
Literatur
In [Bas88, Bas93] beginnt die erste Generation von Systemen zur Unterstützung des Risiko— Managements im Jahr 1972 (siehe Abschnitt 2.1.1).
In der Sicherheitspolitik wird genau festgelegt, gegen welche Bedrohungen ein Anwendungssystem geschützt werden muß, welche Grundsätze und Regeln bzgl. der Sicherheit in einem System gelten sollen, welche Schutzwürdigkeit die Komponenten in dem Anwendungssystem besitzen und welches Restrisiko der Anwender akzeptieren kann [Ker91]. Somit beschreibt die Sicherheitspolitik umfassend alle Aspekte der Sicherheit, die für ein Anwendungssystem gelten sollen.
Häufig wird in der Literatur die Sicherheit durch den Begriff der IT-Sicherheit dahingehend eingeschränkt, daß die Sicherheit ausschließlich für IT-Systeme betrachtet wird [Bun92].
Der Kontext wird durch die unmittelbare Systemumgebung definiert, aber auch das Unternehmen bzw. die Umwelt, in der das Unternehmen agiert, können dem Kontext des Informationssystems zugeordnet werden.
Eine Definition des Begriffs der Sicherheit als „sogar wenn — sonst nichts — Eigenschaft“ in [Bis93] betont ebenfalls, daß die Sicherheit als Eigenschaft stark kontextabhängig ist. Weiterhin besagt sie, daß Sicherheit eine Zweigesichtigkeit in der Form zeigt, daß das Geforderte für ein System geschehen, aber sonst zumindest nichts Verbotenes passieren soll.
Es gibt keine eindeutige Festlegung der Begriffe und der Einteilung der Ebenen eines Anwendungssystems. So wird beispielsweise in [HBvSR96] ein Informationssystem als Teil eines IT— Systems gesehen oder in [ALK94, MT88] die Arbeitsabläufe nicht berücksichtigt. In [Wie94] ist dagegen eine leicht veränderte Vier—Ebenen—Struktur definiert, die keine explizite Nennung von Daten sowie den organisatorischen Einheiten beinhaltet.
[Bun92] verwendet für die Kennzeichnung einer Gefahrenquelle direkt den Begriff Ursache.
Man kann alternativ natürlich auch sagen, daß die Bedrohung auf die Schwachstelle des Systemelementes wirkt. Da jedoch Schwachstellen nicht immer bekannt sein müssen, Bedrohungen trotzdem wirken, wird diese Sichtweise nicht verwendet.
Häufig wird ein Sicherheitsplan auch als Sicherheitskonzept bezeichnet [Bun92].
In [BE95] wird die Integration anhand des Spiralmodells [13ö88] herleitet.
Das NBS wurde 1988/89 in National Institute of Standards and Technology (NIST) umbenannt.
CRAMM ermittelt für jede Kombination von Gruppe und Konsequenz sogenannte Risikoniveaus („Level of Risk“).
Ein Sicherheitsrnodell enthält alle Regeln, die zur Gewährleistung der Sicherheitspolitik für ein Anwendungssystem relevant sind [Ker95].
APL steht für „A Programming Language“ und ist die Bezeichnung für eine Anfang der 60er Jahre entwickelte Programmiersprache, die sich durch eine mathematisch orientierte, sehr knapp gefaßte Notation auszeichnet.
Im SOM—Ansatz wird hier der Begriff „Geschäftsprozeßmodell“ verwendet, während nach der Begriffsbildung aus Abschnitt 2.2.2 Geschäftsprozeßschemata gemeint sind.
In GPOSS werden sie „direkte“ und „indirekte“ Konsequenzen genannt.
Heraklit: „Alles fließt“.
Zwar kann ein ausgebuchtes Hotel nicht zwingend als Ausnahme bezeichnet werden, aber für einen Workflow stellt diese Situation genau dann eine Ausnahme dar, wenn sie im Rahmen der Modellierung nicht berücksichtigt wurde.
Eine Fuzzy-Menge wird auch als unscharfe Menge bezeichnet. Jede scharfe Menge kann natürlich als spezielle Fuzzy-Menge interpretiert werden, die keine Zugehörigkeitsgrade zwischen 0 und 1 hat, sondern nur die exakten Werte 0 und 1.
acc(a) = 1 bedeutet, daß a definitiv wahr ist, acc(a) = 0 bedeutet, daß a definitiv falsch ist.
Eine Regel Rj feuert genau dann, wenn alle Vorbedingungen „єij is µij“ mit (i=1, ..., n) erfüllt sind.
In Anwendungen der Regelungstechnik wird die Stetigkeit sehr häufig gefordert.
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 2000 Springer Fachmedien Wiesbaden
About this chapter
Cite this chapter
Thoben, W. (2000). Grundlagen. In: Wissensbasierte Bedrohungs- und Risikoanalyse Workflow-basierter Anwendungssysteme. Teubner-Reihe Wirtschaftsinformatik. Vieweg+Teubner Verlag, Wiesbaden. https://doi.org/10.1007/978-3-663-05903-5_2
Download citation
DOI: https://doi.org/10.1007/978-3-663-05903-5_2
Publisher Name: Vieweg+Teubner Verlag, Wiesbaden
Print ISBN: 978-3-519-00319-9
Online ISBN: 978-3-663-05903-5
eBook Packages: Springer Book Archive