Title (deu)
Konzeptualisierung und Implementierung eines Security Layers für ArchiMate
Parallel title (eng)
Conceptualization and implementation of a security layer for ArchiMate
Author
Manuel Timotic
Advisor
Gerald Quirchmayr
Assessor
Gerald Quirchmayr
Abstract (deu)
In einer Zeit der immer stärker voranschreitenden Digitalisierung und komplexer werdenden IT-Landschaften setzen Unternehmen vermehrt Enterprise Architecture Management (EAM) ein. Trotz der zahlreichen Überlappungen von EAM und Security Management werden die beiden Managementdomänen oftmals separat voneinander organisiert, sodass sich ergebende Potenziale aus einer gesamtheitlichen Betrachtung nicht heben lassen. Umfassende Frameworks, wie beispielsweise TOGAF (The Open Group Architecture Frameworks), weisen zwar auf die Bedeutung sicherer Architekturen hin, bleiben aber oberflächlich und verweisen auf spezialisierte Frameworks, wie zum Beispiel SABSA.
Diese Arbeit beschreibt die Implementierung eines Security Frameworks unter Verwendung der Modellierungssprache ArchiMate (Der Quellcode steht auf CD zur Verfügung). Es wird insbesondere der Bereich Grundschutz abgedeckt. Der Schutzbedarf fokussiert sich dabei auf die Bewertung von Unternehmensdaten und ermöglicht darauf basierend die Bewertung der wesentlichen Vermögenswerte (Assets) der Unternehmen. Für die Umsetzung eines ausreichenden IT-Grundschutzes wird der Grundschutzkatalog des BSI verwendet. Dieser bietet einen umfassenden Katalog an Maßnahmen und Gefährdungen, welche durch die beschriebene Methode einfach identifiziert und auf die unternehmenseigene Architektur angewendet werden können. Risiken lassen sich auf diese Weise strukturiert identifizieren und Maßnahmen zu deren Mitigation werden direkt ersichtlich. Die identifizierten Risiken werden auf Basis einer Likelihood-Impact-Analyse bewertet. Dabei orientiert sich der Konzeptualisierungsansatz an die Paper "Agile modeling method engineering" (Karagiannis) und "Metamodelling Platforms" (Karagiannis, Kühn). Auf Basis dieses Konzeptes wird die Methode mithilfe der Metamodellierungsplattform ADOxx implementiert. Final stellt diese Arbeit eine Case Study vor, die zur Evaluierung des umgesetzten Sicherheitskonzepts dient.
Abstract (eng)
In a time of ever-increasing digitalization and increasingly complex IT environments more and more companies are using enterprise architecture (EA). Despite the numerous overlaps of EA and Security Management, the two management domains are often organized separately from one another, so that the resulting potentials cannot be identified from a holistic point of view. Comprehensive frameworks, such as TOGAF (The Open Group Architecture Frameworks), point to the importance of secure architectures but remain superficial and refer to specialized frameworks such as SABSA.
This work covers the area of basic protection and describes the implementation of a security framework using the modelling language ArchiMate (The source code is provided on CD). Basic protection is based on the valuation of company data and enables the valuation of the company's main assets. The IT-Grundschutz Catalogues of the BSI are used to implement adequate IT protection. This provides a comprehensive catalog of controls and threats, which can be easily identified by the described method and applied to the company's architecture. Risks can thus be identified in a structured manner and measures for their mitigation are immediately apparent. The identified risks are assessed on the basis of a likelihood impact analysis. The conceptualisation approach is based on the paper "Agile modeling method engineering" (Karagiannis) and "Metamodelling Platforms" (Karagiannis, Kühn). Based on this concept, the method is implemented using the ADOxx Metamodelling Platform. Finally, this thesis presents a case study to evaluate the implemented security concept.
Keywords (eng)
Enterprise ArchitectureArchiMateSecurityConfidentialityIntegrityAvailabilityProtection requirementsIT-Grundschutz Catalogues of the BSIADOxxTOGAFITILSABSAISO 27000
Keywords (deu)
Enterprise Architecture ManagementArchiMateSicherheitVertraulichkeitIntegritätVerfügbarkeitSchutzbedarfIT-Grundschutz-Kataloge des BSIADOxxTOGAFITILSABSAISO 27000
Subject (deu)
Type (deu)
Persistent identifier
https://phaidra.univie.ac.at/o:1351120
rdau:P60550 (deu)
101 Seiten : Illustrationen, Diagramme
Number of pages
101
Association (deu)
Title (deu)
Konzeptualisierung und Implementierung eines Security Layers für ArchiMate
Parallel title (eng)
Conceptualization and implementation of a security layer for ArchiMate
Author
Manuel Timotic
Abstract (deu)
In einer Zeit der immer stärker voranschreitenden Digitalisierung und komplexer werdenden IT-Landschaften setzen Unternehmen vermehrt Enterprise Architecture Management (EAM) ein. Trotz der zahlreichen Überlappungen von EAM und Security Management werden die beiden Managementdomänen oftmals separat voneinander organisiert, sodass sich ergebende Potenziale aus einer gesamtheitlichen Betrachtung nicht heben lassen. Umfassende Frameworks, wie beispielsweise TOGAF (The Open Group Architecture Frameworks), weisen zwar auf die Bedeutung sicherer Architekturen hin, bleiben aber oberflächlich und verweisen auf spezialisierte Frameworks, wie zum Beispiel SABSA.
Diese Arbeit beschreibt die Implementierung eines Security Frameworks unter Verwendung der Modellierungssprache ArchiMate (Der Quellcode steht auf CD zur Verfügung). Es wird insbesondere der Bereich Grundschutz abgedeckt. Der Schutzbedarf fokussiert sich dabei auf die Bewertung von Unternehmensdaten und ermöglicht darauf basierend die Bewertung der wesentlichen Vermögenswerte (Assets) der Unternehmen. Für die Umsetzung eines ausreichenden IT-Grundschutzes wird der Grundschutzkatalog des BSI verwendet. Dieser bietet einen umfassenden Katalog an Maßnahmen und Gefährdungen, welche durch die beschriebene Methode einfach identifiziert und auf die unternehmenseigene Architektur angewendet werden können. Risiken lassen sich auf diese Weise strukturiert identifizieren und Maßnahmen zu deren Mitigation werden direkt ersichtlich. Die identifizierten Risiken werden auf Basis einer Likelihood-Impact-Analyse bewertet. Dabei orientiert sich der Konzeptualisierungsansatz an die Paper "Agile modeling method engineering" (Karagiannis) und "Metamodelling Platforms" (Karagiannis, Kühn). Auf Basis dieses Konzeptes wird die Methode mithilfe der Metamodellierungsplattform ADOxx implementiert. Final stellt diese Arbeit eine Case Study vor, die zur Evaluierung des umgesetzten Sicherheitskonzepts dient.
Abstract (eng)
In a time of ever-increasing digitalization and increasingly complex IT environments more and more companies are using enterprise architecture (EA). Despite the numerous overlaps of EA and Security Management, the two management domains are often organized separately from one another, so that the resulting potentials cannot be identified from a holistic point of view. Comprehensive frameworks, such as TOGAF (The Open Group Architecture Frameworks), point to the importance of secure architectures but remain superficial and refer to specialized frameworks such as SABSA.
This work covers the area of basic protection and describes the implementation of a security framework using the modelling language ArchiMate (The source code is provided on CD). Basic protection is based on the valuation of company data and enables the valuation of the company's main assets. The IT-Grundschutz Catalogues of the BSI are used to implement adequate IT protection. This provides a comprehensive catalog of controls and threats, which can be easily identified by the described method and applied to the company's architecture. Risks can thus be identified in a structured manner and measures for their mitigation are immediately apparent. The identified risks are assessed on the basis of a likelihood impact analysis. The conceptualisation approach is based on the paper "Agile modeling method engineering" (Karagiannis) and "Metamodelling Platforms" (Karagiannis, Kühn). Based on this concept, the method is implemented using the ADOxx Metamodelling Platform. Finally, this thesis presents a case study to evaluate the implemented security concept.
Keywords (eng)
Enterprise ArchitectureArchiMateSecurityConfidentialityIntegrityAvailabilityProtection requirementsIT-Grundschutz Catalogues of the BSIADOxxTOGAFITILSABSAISO 27000
Keywords (deu)
Enterprise Architecture ManagementArchiMateSicherheitVertraulichkeitIntegritätVerfügbarkeitSchutzbedarfIT-Grundschutz-Kataloge des BSIADOxxTOGAFITILSABSAISO 27000
Subject (deu)
Type (deu)
Persistent identifier
https://phaidra.univie.ac.at/o:1351121
Number of pages
101
Association (deu)
License
Citable links
Other links
Managed by
Details
Metadata
Export formats
Universitätsring 1, 1010 Wien | T
T +43-1-4277-0