Sicherheitsmanagement

Zeit: Montag, 14:25-16:05                        Klausurtermin: am 26.07.2010 findet die Klausur in S202/C110 von 14:30 - 16:30 Uhr statt.
Beginn: 12.04.2010
Raum: S202/C110

Ziel der Vorlesung: Kenntnisse, Inhalte und Strukturen eines Sicherheitsmanagementsystems (ISMS) sowie eines Business Continuity Management Systems (BCMS) zu vermitteln. Ein Management System wird als ein diskreter Regelkreis aufgefasst und mittels der ereignisdiskreten Systemtheorie (DES) beschrieben. Es besteht ein Unterschied zwischen Policies die für geschlossene Systeme ideal geeignet sind und Management Systemen, die besser für offene Systeme geeignet sind. Weiterhin zeichnen sich Management Systeme durch eine ggf. vorhandene Zielfunktion aus. Je nach dem lassen sich Managementsysteme der 1. Ordnung oder 2. Ordnung herleiten.

Weiterhin wird ein Überblick über gängige Verfahren und deren Grenzen hinsichtlich eines IT-Sicherheitsmanagements, wie z.B. ISO/IEC 27001:2005, IT-GsHb des BSI, BS 25999-2:2007 und ITSM gegeben. Quantitative und qualitative Risikoanalysen und Risikomanagement im Unternehmen bzgl. der IT-Sicherheit (Verfügbarkeit, Vertraulichkeit und Integrität) bilden einen weiteren Schwerpunkt. Dabei werden ebenso Beispiele für Risikoaggregationen von operationellen Risiken diskutiert. Ebenso wird eine systematische Bewertung der Unternehmenssicherheit anhand von Messungen der Effektivität und Effizienz eines ISMS vorgestellt. Grenzen der derzeitigen Betrachtungen werden aufgezeigt und neue Forschungsansätze in der Prozessbehandlung z.B. zum Testen von Notfallprozessen mittels Prozess Algebra und Fixpunktoperatoren (modal Logik) werden vorgestellt.

Ausserdem sind auf dieser Seite die Folien und das Begleitmaterial zur Vorlesung aufbereitet. Ein Skript zur Vorlesung ist in Arbeit, jedoch noch nicht veröffentlicht.

Die Begleitmaterialien geben einen vertiefenden Einblick in den Stoff und zeigen aktuelle Forschungsaktivitäten

Für diejenigen die an den Übungen und an meinen Antworten interessiert sind, schicken mir Ihre Lösungen bitte in der folgenden Struktur: Vn-Uebung-Name.pdf. Dabei ist "n= Nummer" der Vorlesung und "Name" der Nachname des Studenten der die Übung einreicht.

Vorlesung Nr. 1: Vorbesprechung, Einführung und Klausurhinweise:

 

Vorlesung Nr. 2: Definitionen, Sicherheitsmodelle und Security Paradigma

Ergänzende Materialien:

1.  Bitkom Publikation (Matrix der Haftungsrisiken)

2.  Definitionen zur IT-Sicherheit gemäß Dierstein (2004)

3.  RFC 2196 Site Security Handbook, Fraser, B. (SEI/CMU) (1977)

Vorlesung Nr. 3: Klassischer, technischer Ansatz zum IT-Sicherheitsmanagement I (bottom up)

Ergänzende Materialien:

1.  IT-GshB Sicherheitsmanagement

2.  IT-GshB Grundschutzhandbuch

3.  IT-GshB Risikoanalyse

 

Vorlesung Nr. 4: Klassischer, technischer Ansatz zum IT-Sicherheitsmanagement II (bottom up)

Ergänzende Materialien:

1.  BSI-Studie: ITIL und IT-GsHb

2.  BSI-Studie: Vergleich zwischen IT-GsHb und ISO 17799

3.  BSI-Studie: IT-GsHb und ein ISMS

 

Vorlesung Nr. 5: Prozessorientierter Managementansatz (ISMS) nach ISO/IEC 27001 (I)

Ergänzende Materialien:

1.  ISO/IEC 27001(E) Englische Version

2. ISO/IEC 27000(E) Englische Version

3. Aligning the information security policy with strategic information system plan: Computer & Security, 25 (2006), 55-63)

4. Information Security Management: A New Paradigm (Proceedings of SAICSIT 2003, Pages 130 -136)

 

Vorlesung Nr. 6: Prozessorientierter Managementansatz (ISMS) nach ISO/IEC 27001 (II)

Ergänzende Materialien:

1. Normenvergleich der ISO27001:2005 und ISO27001 auf Basis von IT-GsHB; Computerzeitung KW 44, Rubrick Security Corner (2007)

2. A quantitative Method for ISO 17799 gap-analysis (Journal: Computer & Security, 25 (2006), 413-419)

3. Information Security - The Fourth Wave (Journal: Computer & Security, 25 (2006), 165-168)

 

Vorlesung Nr. 7: Riskoanalyse und Risikomanagement (I)

Ergänzende Materialien:

1. Risk Analysis Methodology Applied to Industrial Machine Development (IEEE Publication)

2. Return On Security Investment (ROSI): A Practical Quantitative Model (wes@sagesecure.com)

3. A Model for Evaluating IT Security Investment (ACM, July 2004/Vol. 47, No.7)

4. The Economics of Information Security Investment (ACM, Nov. 2002, Vol. 5, No.4)

5. Value at Risk Verfahren, eine kritische Betrachtung, Universität Würzburg, PD. Dr. Rau-Bredow

 

Vorlesung Nr. 8: Risikoanalyse und Risikomanagement (II)

Exkurs: Risikoquantifizierung an einem Beispiel

Ergänzende Materialien:

1. Qualitative Risk Methodology for complex Network-Centric Operations(IEEE paper, 2001)

2. Norm ISO 27005:2008

3. Norm ISO 27003:2010

4. A Framework for Comparing Different Information Security Risk Analysis Methodologies (Proceedings of SAICSIT 2005, Pages 95-103)

5. Algebraic Specification of Network Security Risk Management (FMSE'03, October 30, 2003, Washington, DC, USA. Copyright 2003 ACM )

 

Vorlesung Nr. 9: Risikoanalyse und Risikomanagement (III)

Ergänzende Materialien:

1. Baysian probabilistic risk analysis (SIGMETRICS Perform. Eval. Rev. 13, 1)

2. Use of Probabilistic Risk Assessments for the International Space Station Program (Pages 512-517, 2004 IEEE Aerospace Conference Proceedings)

3. Risikomanagement als Gefahr von Wolfgang Münchau

 

Vorlesung Nr. 10: Risikoanalyse und Risikomanagement (IV)

Ergänzende Materialien:

1. A Graph-Based System for Network-Vulnerability Analysis (p.71-79 ACM, 1999)

2. Scalable, Graph-Based Network Vulnerability Analysis (p. 217 - 224) ACM, 2002

3. A Brief History of Process Algebra (Prof. J.C.M. Baeten, Technische Universität Eindhoven.

 

Vorlesung Nr. 11: Managementsystem zur Automatisierung der IT und IT-Services (ISO 20000 / ITIL) (I)

Ergänzende Materialien:

1. Lösungen zu den Übungsaufgaben V09

2. Der Geschäftsprozeß als formaler Prozess - Definition, Eigenschaften, Arten (Arbeitspapiere WI, Nr. 4, 1996)

3. The IT Service Capability Maturity Model; Niessink, F; Clerc, V; Vliet, H.v.: Vrije Universiteit and Software Engineering Research Centre, Utrecht

 

Vorlesung Nr. 12: Managementsystem zur Automatisierung der IT und IT-Services (ISO 20000 / ITIL) (II)

Ergänzende Materialien:

1. ISO 20000-2:2005, Norm zum Management von IT-Prozessen

2. Integration of IT Service Management into Enterprise Architecture (p. 1215 - 1219) ACM, March, 2007

 

Vorlesung Nr. 13: Beurteilung von Managementsystemen durch Kontrollprozesse am Beispiel CobiT

Ergänzende Materialien:

1. CobiT 4.1 ed., 2007

2. IT Assurance Gudie Using COBIT, ISBN 1-933284-74-9, 2007

3. Aligning COBIT, ITIL and ISO 17799 for Business Benefit

 

Vorlesung Nr. 14: Beurteilung von Managementsystemen durch Indikatoren am Beispiel der Informationssicherheit (ISO 27001:2005)

Ergänzende Materialien:

1. NIST-Special Publication 800-55 (Security Metrics)

2. On the Implementation of Security Measures in Information System

3. Information Security Models and Metrics, Wang, A.J.; ACM Southeast Conference, March, 2005

4. Appraisal of the effectiveness and efficiency of an Information Security Management System based on ISO 27001, SECUWARE 2008, August 25-31, Cap Esterel, IEEE-Computer Society

5. Evaluating Security Controls Based on Key Performance Indicators and Stakeholder Mission, CSIIRW’08, May 12–14, 2008

6. Toward a target function of an Information Security Management System, IEEE Conference, TSP2010, June 29 - 1 July, 2010, Bradford (UK) (neu 13.06.2010)

 

 

Vorlesung Nr. 15: Beurteilung von Managementsystemen durch Indikatoren am Beispiel des Business Continuity Management System (BS 25999-2:2007)

Ergänzende Materialien:

1. Business Continuity Management System (BCMS) vom BSI (UK), Version 2, 11/2007

2. Survivability and Business Continuity Management, Quirchmayr, G., Univ. Wien

3. Enhancing Business Impact Analysis and Risk Assessment applying a Risk-Aware Business Process Modeling and Simulation Methodology, Quirchmayr, G., Univ. Wien, ARES 2008

4. Survivability and Business Continuity Management System According to BS 25999; Third International Conference on Emerging Security Information, Systems and Technologies (SECURWARE 2009), Athens/Glyfada, Greece, June 2009, IEEE Computer Society

 

Beispielklausuren aus vergangenen Semestern:

Beispielklausur SS05

Beispielklausur SS06

Beispielklausur WS06

Beispielklausur SS07

Beispielklausur WS07

Beispielklausur SS08

Beispielklausur WS08

Beispielklausur SS09

Beispielklausur WS09

 

Neu: 11.08.2010

Ergebnisse der Klausuren liegen vor.

 

Es sind nur für die angemeldeten Teilnehmer Klausurexemplare garantiert.

Wenn Sie sich noch anmelden möchten, so ist dies via eMail noch bis zum 24. Juni möglich.

Die Gelegenheit zur Klausureinsicht findet obligatorisch im neuen Semester nach der ersten Vorlesung - nach Anmeldung - statt.

 

gez. W.Böhmer

 

 

 


zum Seitenanfangzum Seitenanfang

A A A | Drucken Print | Impressum Impressum | Kontakt Contact | Last edited: 2 years ago