Sie sind hier: Startseite Forschung Forschungsgebiete IT-Risiko, Compliance und Resilienz
Artikelaktionen

IT-Risiko, Compliance und Resilienz

Projekt: FORISK (Formalizing Information Security Risk and Compliance Management)

Projektbeschreibung

Da die große Mehrheit der Entscheidungen von Unternehmen auf Daten basiert, ist eine zuverlässige Informationstechnologie (IT) eine Voraussetzung für den Unternehmensfortbestand und daher von entscheidender Bedeutung für die gesamte Wirtschaft.
Der UK Turnbull Bericht, US Sarbanes-Oxley Act, Basel II und viele ähnliche Regelungen fordern von Entscheidungsträgern für ihre betriebsbedingten IT-Risiken Abwehrstrategien zu definieren.
Da Datenschutz, Privatsphäre-Vorschriften und Sicherheitsstandards eine komplexe Reihe von Anforderungen stellen, auf welche Entscheidungsträger reagieren müssen, gibt es einen wachsenden Bedarf für übergreifende Informationssicherheits (IS) Regelungen, die einen Rahmen und Kohärenz zu Risiko- und Compliance-Aktivitäten bieten können.

Allerdings zeigt die Praxis, dass die bestehenden Ansätze die Anforderungen nicht erfüllen.
Die meisten Organisationen verlieren sich in der Flut von Sicherheits- und Privatsphäre-Vorschriften.
Während detailliertes Wissen der verantwortlichen Organisation und der IS-Domäne als Ganzes von grundlegender Bedeutung für bestehende Ansätze ist, wurde wenig in der formalen Wissensrepräsentation im Gebiet IS Risiko Management geforscht.
Jüngste Studien haben gezeigt, dass das Fehlen von IS-Wissen auf der Management-Ebene ein Grund für unzureichende oder nicht vorhandene IS Risikomanagement-Strategien ist.
Die Forschungsgemeinschaft identifizierte IS-Risikomanagement als eine der Top-Ten Herausforderungen in IT-Sicherheit und forderte korrekte Theorien und Methoden zur Verbesserung der bestehenden IS Risikomanagementansätzen.
In den Jahren 2006 und 2011 befasste sich die European Network and Information Security Agency (ENISA) mit diesen Fragen und bewertet die Einrichtung einer einheitlichen Informationsbasis für IS Risikomanagement und die Entwicklung von Risiko-Messverfahren mit hoher Priorität.

Dieses Projekt verfolgt einen neuen Ansatz, um diese entscheidende Forschungslücke zu schließen, indem sie die Entscheidungsträger in interaktiver Festlegung des optimalen Satzes von Sicherheits-Kontrollen nach gemeinsamen Vorschriften und Standards unterstützen.
Das vorgeschlagene Projekt beinhaltet drei wesentliche, ungelöste Forschungsprobleme, nämlich (1) die formale (XML, OWL) Darstellung der IS-Standards und des Domänen-Wissens, (2) die zuverlässige Bestimmung des Risikos, (3) und die (semi-) automatische Gegenmaßnahmen Definition.
Das Projekt fördert den Stand der Technik für alle drei Probleme der Forschung und entwickelt Methoden (i), um die formale Darstellung des ISO 27002-Standard (Security Ontology) zu ermöglichen, (ii) um automatisch den IS Status einer Organisation zu bestimmen, (iii) zur Berechnung des globalen Business Process Risiko Levels auf Grundlage der beteiligten Vermögenswerte und deren Risiko Level, (iv) um automatisch die Bedeutung von Vermögenswerten zu bestimmen, und (v) den Entscheidungsträgern einen interaktiven Überblick über Lösungsszenarien zu bieten.
Die entwickelten Methoden werden von Prototypen validiert und durch Fallstudien getestet .
Diese Daten erlauben uns quantitativ und objektiv den Erfolg unserer Methoden im Vergleich zu konkurrierenden Verfahren zu messen.

Zur Präsentation und Erfahrungsaustausch bisheriger Forschungsergebnisse findet ein Workshop zum Thema "Resilientes und sicheres Geschäftsprozessmanagement" im Rahmen der 8th International Conference on Availability, Reliability and Security (ARES 2013) in Regensburg statt.

Mehr Informationen unter:
http://www.ares-conference.eu/conf/index.php?option=com_content&view=article&id=82&Itemid=140

Laufzeit

Seit 1. Januar 2013

Projektleitung

Mitarbeiter

Kooperationspartner

TU Wien

Finanzierung

  • Wiener Wissenschafts- Forschungs- und Technologiefonds
Benutzerspezifische Werkzeuge