[Back]

V. Culha:
"Development and Implementation of a Method for the Selection of Security Measures from ISO/IEC 27001";
Supervisor: A. Tjoa, T. Neubauer; Institut für Softwaretechnik und Interaktive Systeme, 2008; final examination: 2008-10.

Companies and their business processes are increasingly exposed to information security threats. In particular the increased usage of information and communication technology increases the amount of security hazards. As a result, companies are facing with incidents such as data loss, data manipulation, computer virus and data theft. Thus, companies that are not prepared for such risks may lose their business value (e.g., the company reputation, services, software or important information). Organizations need to protect their assets against potential security threats. Security standards such as Common Criteria (CC), the German IT Baseline Protection Manual (GITBPM), ISO/IEC 17799 or ISO/IEC 27001 can serve organizations as a guideline for managing organizational information security. However, applying these security standards is a challenge for organizations since these standards are usually formulated in a very generic way. Therefore, implementing security standards turns out to be an expensive, complex and bureaucratic process because the standards must be adapted to the specific corporate needs.
This thesis proposes a model for selecting the optimal set of security measures based on the standard ISO/IEC 27001. It implements a multiobjective decision support approach and provides decision makers with a practical method for selecting the optimal set of safeguards according to company specific criteria. This model can thus assist decision makers in using the security control classes from the standard ISO/IEC 27001 in an appropriate and organized way. This does not only support organizations in determining the company-specific security measures but also facilitates the certification according to ISO/IEC 27001.

Die Informationssicherheit von Geschäftsprozessen ist auf Grund von Sicherheitslücken in zunehmendem Maße Bedrohungen ausgesetzt. Besonders die steigende Nutzung von Information-, und Kommunikationstechnologie erhöht das Risiko.
Unternehmen müssen daher ihre Assets (wie etwa Reputation, Services, Software oder wichtige Information) vor möglichen Bedrohungen schützen. Sicherheitsstandards wie zum Beispiel Common Criteria (CC), der IT-Grundschutz-Kataloge des BSI, ISO/IEC 17799 oder ISO/IEC 27001 können Unternehmen als Richtlinien für das Management von Informationssicherheit dienen.
Allerdings stellt die Anwendung dieser Normen eine Herausforderung dar, da diese Normen üblicherweise sehr allgemein formuliert sind. Die Implementierung der Sicherheitsstandards ist ein teurer, komplizierter und bürokratischer Prozess, da die Standards an die spezifischen Unternehmensanforderungen angepasst werden müssen.
In dieser Arbeit wird ein Modell ausgearbeitet, dass Entscheidungsträger bei der Auswahl der optimalen Sicherheitsmaßnahmen auf Basis der Norm ISO/IEC 27001 unterstützt werden. In diesem Modell wird eine multikriterielle Methode zur Entscheidungsunterstützung angewandt, die Entscheidungsträgern als effiziente Methode zur Auswahl von Sicherheitsmaßnahmen gemäß der gewählten Kriterien dienen kann. Dieses Modell kann Entscheidungsträger bei der zweckmäßigen und organisierten Implementierung der Norm ISO/IEC 27001 unterstützen. Dies ermöglicht nicht nur die Bestimmung der für das Unternehmen spezifischen Sicherheitsanforderungen, sondern erleichtert auch den Weg zur Zertifizierung gemäß ISO/IEC.