it-architekturen für auditierbare geschäftsprozessanwendungen · systems modeling, 2011 kunde...
TRANSCRIPT
© Fraunhofer ISST
IT-Architekturen für auditierbare Geschäftsprozessanwendungen
Prof. Dr. Jan Jürjens
Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund
http://www.isst.fraunhofer.de
http://jan.jurjens.de
Fraunhofer-Attract-Projekt APEX (1.10.2009-30.9.2014):
Prof. Dr. Jan Jürjens
Dr. Sven Wenzel
Thorsten Humberg
Daniel Poggenpohl
Andreas Schmitz
© Fraunhofer ISST
2
Herausforderung Compliance
Steigende Anzahl von Regulierungen
(z.B. Finanzen: Solvency II, Basel III; Gesundheit: Medizinproduktegesetz (MPG); Pharma: Arzneimittelmarktneuordnungsgesetz (AMNOG))
Steigende Komplexität des Compliance-Nachweises:
Viele Facetten: Anforderungen an Geschäftsprozesse (Design + Ausführung), IT-Infrastruktur (+ deren Prozesse), deren Abhängigkeiten…
Wechselseitige Abhängigkeiten von Vorgaben
Aggregation von Vorgaben bei komplexen IT-Systemen
Verteilung über verschiedene Standorte
Anbindung von Lieferanten bzw. Partnern
Cloud-Computing besondere Anforderungen
Audits wiederholen Analyse der Änderungen
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Notwendig: Werkzeuge für Compliance-Management
Manueller Nachweis aufwendig und kostenintensiv.
Erforderliche Daten schwer manuell erfassbar.
Prüfung einzelner Eigenschaften bereits komplex und umfangreich.
Großer Bedarf an Compliance-Werkzeugen (1,3 Mrd.$ (Forrester 2011))
Werkzeuge: bislang i.W. Unterstützung der manuellen Dokumentation.
Schwachpunkte:
Automatisierte Erfassung / Analyse von Complianceanforderungen.
Überwachung der Compliancevorgaben.
Derzeitige Risiko-Bewertungsmethoden generell nicht ausreichend.1
3
1 S. Taubenberger, J. Jürjens: Durchführung von IT-Risikobewertungen und die Nutzung von
Sicherheitsanforderungen in der Praxis. Studie, Fraunhofer ISST 2011 und DACH security 2011
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Vision: Automatisierte Compliance-Analysen
Ziele:
Bewältigung der Komplexität und Kostenersparnis durch automatische Compliance-Analysen.
Bessere Überprüfbarkeit der Ergebnisse.
Idee:
Entwicklung automatischer Werkzeuge: Management und Analyse von Compliance-Anforderungen mit vorhandenen Artefakten:
Textdokumente, Software-/Geschäftsprozessmodelle, Logdaten…
Expertensystem für Compliance
4
Compliance-Report Compliant: NEIN Verstöße: - MaRISK VA 7.2: Einhaltung von BSI G3.1 nicht erfüllt Maßnahmen: - BSI Maßnahmen-katalog M 2.62
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Vorgehen (1): Automatische Risiko-Identifikation
5
[Kunde stellt Anfrage zu Cloud-Service (233)] 4 Relevante Worte: [Information(200.0), Meldung(200.0), Nachricht(200.0), Internet(100.0)] 22 relevante Pattern: B_5.10 : Internet Information Server (300.0) G_2.96 : Veraltete oder falsche Informationen in einem Webangebot (200.0) G_3.13 : Weitergabe falscher oder interner Informationen (200.0) G_3.44 : Sorglosigkeit im Umgang mit Informationen (200.0) …
Aktivität
Identifizierte Ausdrücke
Gefundene Pattern
Jürjens et al., Journal of Software and Systems Modeling, 2011
Kunde stellt Anfrage zu Cloud-Service
Dienstleister erhält Serviceanfrage
Eingabe personenbezogener Daten
Verschlüsselung und Authentifikation
Prüfung der Daten
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Vorgehen (2): Von Compliance zu Geschäftsprozessen
J. Jürjens et al.. J. Inform. Management & Computer Security, 2013
6
Jürjens et al., Int. Journal on Intelligent Systems 25(8): 813-840 (2010)
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Business Process Mining: Prozesse aus Logdaten rekonstru- ieren
Ereignis-daten
7
ERP SCM WfMS CRM ...
A
B
C
X
Jürjens et al., Journal on Computers & Security 29(3): 315-330 (2010)
Alternativ: Compliance- Monitoring auf Logdaten.
Beispiel: 4-Augen-Prinzip
Vorgehen (3): Compliance vs. IT-Daten
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Analyse nur auf Basis der Systemänderungen
Effizienzgewinn.
8
Jürjens, Wenzel et al. ServiceWave 2011
Jürjens et al., The Computer Journal, 2011
Vorgehen (4): Re-Zertifizierung nach Systemänderungen
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Werkzeugunterstützung: Überblick
9
CARiSMA Unterneh-
mens-
Daten
http://carisma.umlsec.de
Wenzel, Humberg, Wessel, Poggenpohl, Ruhroth, Jürjens. 3rd Int. Conf. Cloud Computing and Services Science, 2013
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
10
Werkzeug-unterstützung: Textprozessor
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Herausforderung: Komplexität der Analyse
Beispiel: MaRisk (VA)
(Mindestanforderungen an das Risikomanagement im Versicherungswesen)
Querverweise
ausgehend von §10 (Ausschnitt)
11
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Textbasiertes Compliance-Mining: Experimentelle Resultate
Anforderungsdokumente
Common Electronic Purse Specifications (ePurse)
Customer Premises Network specification (CPN)
Global Platform Specification (GPS)
12
Jürjens et al. Requirements Engineering Journal (REJ) , 2010
Metriken für Information Retrieval:
Recall: Trefferquote
Precision: Genauigkeit
F-Measure: Kombination P&R
Baseline: Alle Anforderungen als security relevant klassifiziert
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Spin-Off-Projekte
SecureClouds (BMBF): Compliance-Analyse bei
Auslagerung in Cloud. [Kooperationsmöglichkeiten: vgl. Vortrag Oliver Strauß]
SECONOMICS (EU): Werkzeuge für ökonomische Bewertung von
Sicherheitsmaßnahmen (insb. cyber-physikalische Systeme). [Kooperationsmöglichkeiten: vgl. Vortrag Prof. Riedel, Dr. Kohlhammer]
Fhg-ZV-Studie: Anwendbarkeit eines Informationssicherheits-
Risikomanagements nach ISO 2700x in FhG
WBMP: Industrieauftrag Text-Processing-Werkzeug
ClouDAT (IKT.NRW, via TUDo): Sicherheitszertifizierung von Clouds.
Secure Change (EU, via TUDo): Rezertifizierung von Compliance nach
Änderungen der Software, insbes. Sicherheitstesten
[Kooperationsmöglichkeiten: vgl. Vortrag Prof. Schieferdecker]
SecVolution (DFG, via TUDo): Rezertifizierung von Compliance nach
Änderungen der Systemumgebung 13
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
In Arbeit: Integrierte Compliance Management Plattform
14
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Zusammenfassung
Problem: Compliance zunehmend komplexe Herausforderung.
Lösung: Automatische Werkzeuge für Compliance-Management und -Analyse mit relevanten Artefakten (z.B. Textdokumente, Software-/Geschäftsprozessmodelle, Logdaten).
Erfolgreicher Einsatz in Pilotprojekten.
Aktuelle Arbeiten:
Integrierte Compliance Management Plattform (ICMP)
Spin-off Projekte z.B. SECONOMICS, ClouDAT
Kontakt: http://www.isst.fraunhofer.de http://jan.jurjens.de
15
Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss
© Fraunhofer ISST
Backup-Folien
16
Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
© Fraunhofer ISST
Veröffentlichungen
Impakt:
»10 years most influential paper« für UML’02-Veröffentlichung
Mehr als 3000 Zitierungen, h-index 29
Einige aktuelle Veröffentlichungen (ab 2011):
17
Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
Vorträge zu Sicherheit und Compliance (z.B. in Clouds) auf: iqnite 2012, Anw.
Informationstechnik und Telekommunikation (AKIT) 2012, CloudConf 2011,
CloudDays 2011, Object-Oriented Programming (OOP 2011), iqnite 2011
Compliance-Management:
• S. Islam, H. Mouratidis, J. Jürjens. A Framework to Support Alignment of Secure
Software Engineering with Legal Regulations. Journal of Software and Systems
Modeling (SoSyM) 2011
Sichere Software Migration in die Cloud:
• S. Wenzel, T. Humberg, C. Wessel, D. Poggenpohl, T. Ruhroth, J. Jürjens. Ontology-
Based Analysis of Compliance and Regulatory Requirements of Business Processes.
In: 3rd Int. Conference on Cloud Computing and Services Science (Closer 2013)
• S. Wenzel, C. Wessel, T. Humberg, J. Jürjens. Securing Processes for Outsourcing
into the Cloud. In 2nd Int. Conf. on Cloud Computing and Services Science 2012.
Text-basiertes Risk-Mining:
• K. Schneider, E. Knauss, S. Houmb, S. Islam, J. Jürjens. Enhancing Security
Requirements Engineering by Organisational Learning. Requirements Engineering
Journal (REJ), 2012.
ModellbasiertesSicherheits-Testen:
• E. Fourneret, M. Ochoa, F. Bouquet, J. Botella, J. Jürjens, P. Yousefi. Model-Based
Security Verification and Testing for Smart-cards. In ARES 2011
Werkzeugunterstützung:
• M. Ochoa, J. Jürjens, J. Cuellar. Non-interference on UML State-charts. In 50th Int.
Conference on Objects, Models, Components, Patterns (TOOLS Europe 2012)
• M. Ochoa, J. Jürjens, D. Warzecha. A Sound Decision Procedure for the
Compositionality of Secrecy. In 4th Int. Symp. on Engin. Secure Software and
Systems 2012
Rezertifizierung bei Softwareevolution:
• A. Bauer, J. Jürjens, Yijun Yu. Runtime Security Traceability for Evolving
Systems. The Computer Journal, Oxford Univ. Press, vol. 54, no. 1, 2011,
pp. 58–87.
• J. Jürjens, K. Schneider. On modelling non-functional requirements evolution
with UML (invited contribution). In Festschrift for Martin Glinz 2012
• T. Ruhroth, J. Jürjens. Supporting Security Assurance in the Context of
Evolution: Modular Modeling and Analysis with UMLsec. In 16th IEEE Intern.
Symp. on High Assurance Systems Engineering (HASE 2012), IEEE, 2012
• F. Massacci, F. Bouquet, E. Fourneret, J. Jürjens, M.S. Lund, S. Madelenat,
J.T. Mühlberg, F. Paci, S. Paul, B. Solhaug, S. Wenzel, F. Piessens.
Orchestrating Security and System Engineering for Evolving Systems
(Invited paper). In 4th European Conf. ServiceWave 2011, LNCS 6994,
Springer 2011, pp. 134–143
Studien zu IT-Sicherheits-Risikobewertung in der Praxis:
• S. Taubenberger, J. Jürjens, Y. Yu, B. Nuseibeh. Resolving Vulnerability
Identification Errors using Security Requirements on Business Process
Models. J. Inform. Management & Computer Security, 2013
• S. Taubenberger, J. Jürjens. Studie zu IT-Risikobewertungen in der Praxis.
In D-A-CH Security 2011.
• S. Taubenberger, J. Jürjens, B. Nuseibeh, Yijun Yu. Problem Analysis of
Traditional IT-Security Risk Assessment Methods – An Experience Report
from the Insurance and Auditing Domain. In 26th IFIP International
Information Security Conference (IFIP SEC 2011), Lucerne, 7-9 June 2011
• J. Jürjens, K. Schneider: The SecReq approach: From Security
Requirements to Secure Design, Software Engineering 2014
© Fraunhofer ISST
Compliance-Methodik: Überblick
18
Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
Abstrakte Gesetze und Regularien
Konkrete Sicherheits- Bestimmungen
AktG SOX
MARisk
Basel II Solvency II
ISO 2700x
BSI-Grundschutzhandbuch
Risk Finder Compliance
pattern analyzer
KWG VAG
Apex Werkzeuge
© Fraunhofer ISST
Automatische Compliance-Analyse auf Geschäftsprozessen
Strukturanalyse von Geschäftsprozess auf Compliance-Muster
Beispiel: 4-Augen-Prinzip bei Vertragsabschluss (Formalisierung in temporaler Logik).
19
Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
formula four\_eyes\_principle ( a1:activity, a2:activity ) :=
forall [ p:person | ( !(execute(p, a1)) \/ !(execute(p, a2)) ) ];
© Fraunhofer ISST
Automatische Risiko-Annotation
20
Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
© Fraunhofer ISST
Von IT-Daten zu Geschäftsprozessen: Business Process Mining
Analyse von Prozessen, die aus Log-Daten rekonstruiert wurden
Ereignis-Daten
21
Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
ERP SCM WfMS CRM ...
A
B
C
X
Process ID Activity ID Consultant Time Stampe
1 A John 9-3-10:15.01
2 A Mike 9-3-10:15.12
3 B Mike 9-3-10:16.07
4 C Carol 9-3-10:18.25
© Fraunhofer ISST
Log-Daten-basierte Compliance-Analyse
Beispiel: Überprüfung des 4-Augen-Prinzips anhand Log-Daten
22
Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
Jürjens et al., Journal on Computers & Security 29(3): 315-330 (2010)
© Fraunhofer ISST
Evolution auf Design-Ebene: Differenz-basierte Verifikation
Differenz-basierte Verifikation – Idee:
Erstmalige Verifikation: Registrieren, welche Modellelemente bei Verifikation gegebener Eigenschaft referenziert.
Im verifizierten Modell gespeichert, inkl. Teil-Resultate (»proof-carrying models«).
Mit Heuristiken Bedingungen an Änderungen definiert, die Verifikationsergebnis bewahren.
Evolutions-Differenz zwischen altem und neuem Modell berechnen (z.B. mit SiDiff [Kelter]).
Nur die Modell-Teile re-verifizieren, die 1) sich geändert haben und 2) in der Verifikation referenziert wurden und 3) deren Änderung die Bedingungen nicht erfüllt.
Erheblicher Performanzgewinn gegenüber einfacher Re-Verifikation.
23
Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
...
© Fraunhofer ISST
Einige technologische Assets
Werkzeug CARiSMA: Sicherheits-, Risiko- / Compliance- analysen auf Geschäftsprozess-/Software-Modellen:
BPMN-/UML-Modellanalyse Anbindung von Process-Mining Differenzberechnung nach Modelländerungen Re-Verifikation auf Sicherheit nach Modelländerungen
Ontologie zur systematischen Herleitung, Formalisierung, Verwaltung von Sicherheits/Compliance-Anforderungen
Taxonomie für Sicherheitsstandards (z.B. BSI Grundschutz) Modell für Cloud-Umgebungen über Extraktion sicherheits- relevanter Daten über Cloud-Interfaces. Werkzeugunterstützung zur Erfassung von Quelltexten (z.B. Gesetzestexte, BSI-Grundschutzkataloge), deren Verarbeitung und automatisierte Erkennung und Erfassung der Querbeziehungen.
»RiskFinder«: Findet Sicherheits-/Compliance-Risiken in Prozessbeschreibungen. Werkzeug zur textbasierten Analyse von Compliance-Anforderungen.
Analysewerkzeug für Rentabilität von Sicherheitsmaßnahmen (in Entwicklung).
Analysewerkzeug für Clouds auf Sicherheitsanforderungen (in Entwicklung). 24
Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
CARiSMA Unterneh-
mens-
Daten
© Fraunhofer ISST
Wissenschaftliche Grundlage: Modellbasiertes Compliancemanagement
25
Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
Modelle
Anforderungen
Implementierung
Einfügen
Code- / Testgen.
Reverse Engin.
Analysieren
Konfiguration Generieren
Verifizieren
Laufzeitsystem
Konfigurieren
Ausführen
Evolution
[Jan Jürjens: Secure systems development with UML. Springer 2005. Chines. Übers. 2009]
© Fraunhofer ISST
Wissenschaftliche Herausforderung: Automatische Analyse der Compliance
Beispiel »sicherer Informationsfluss«:
Kein Informationsfluss von vertraulichem zu öffentlichem Wert.
Analyse: Wenn zwei Systemzustände statecurrent, state‘current sich nur in den
Werten der vertraulichen Attribute unterscheiden, darf ihr öffentlich
beobachtbares Verhalten sich nicht unterscheiden:
(wobei statecurrent ≈pub state‘current falls statecurrent und state‘current sich in ihrem
öffentlich beobachtbaren Verhalten nicht unterscheiden).
Beispiel: Unsicher, weil vertrauliches Attribut money den
Rückgabe-Wert der öffentlichen Methode rx() beeinflusst.
26
Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen
Jürjens et al., TOOLS Europe 2012
statecurrent ≈pub state‘current statecurrent.t(m) ≈pub state‘current.t(m)
ExtraService ≈pub NoExtraService
aber nicht:
ExtraService.rx() ≈pub
NoExtraService.rx()