Article
Anforderungen an die Modellierung von IT-Sicherheitszonen in 3LGM²
Search Medline for
Authors
Published: | August 19, 2022 |
---|
Outline
Text
Soll der IST-Zustand einer IT-Architektur dargestellt oder ein SOLL-Zustand geplant und analysiert werden, bietet das 3-Ebenen Metamodell (3LGM²) eine Methodik zur Modellierung von Informationssystem-Architekturen (IS-A) im Gesundheitswesen [1], [2], [3]. Das 3LGM²-Tool implementiert diese Methodik und ermöglicht es Modelle der IS-A, z.B. eines Krankenhauses oder einer Forschungsinfrastruktur, zu erstellen.
Das DFG-geförderte Projekt 3LGM2IHE [4] befasst sich dabei u.a. mit der Abbildung von IT-Sicherheitszonen. Die Motivation dahinter ist in erster Linie, dass das 3LGM²-Tool bei der Modellierung von komplexen IT-Verbünden wie Datenintegrationszentren (DIZ) oder KI-Umgebungen behilflich sein soll, in denen IT-Sicherheit eine große Rolle spielt, weil z.B. die zu verarbeitenden und erzeugten Daten einen besonderen Schutz erfordern. Vor allem bei der Planung ist dies sinnvoll, wenn z.B. IT-sicherheitsrelevante Teile der Infrastruktur analysiert oder visualisiert werden sollen.
Diesbezüglich wurden Anforderungen durch Literaturrecherche und die Befragung von IT-Sicherheitsexperten erhoben und hinsichtlich der Implementierung in 3LGM² untersucht. Im 3LGM²-Tool soll es möglich sein:
a) Elemente allgemein in Gruppen zusammenzufassen.
b) Gruppen sollen durch Attribute als IT-Sicherheitszone ausgezeichnet und näher beschrieben werden.
c) Diese Attribute (=Metadaten einer IT-Sicherheitszone) werden spezifiziert und angelegt.
d) Für wiederkehrende Kombinationen aus Gruppe und Attributen sollen Vorlagen zur schnelleren und einheitlicheren Modellierung entwickelt werden.
Erste Untersuchungen zu den Metadaten von IT-Sicherheitszonen zeigten, dass es kein einheitliches Verständnis darüber gibt. Je nach Fokus können unter dem Begriff „IT-Sicherheitszone“ u.a. räumliche, personelle oder technische Aspekte verstanden werden. Des weiteren sind beim Aufbau, dem Betrieb und der Kontrolle von IT-Sicherheitszonen unterschiedliche Personengruppen involviert. Dazu gehören u.a. IT-Administratoren (mit unterschiedlichen Tätigkeitsfeldern und Spezialisierungen), Anwendungsbetreuer, Informationssicherheitsbeauftragte und Datenschutzbeauftragte - alle mit einer besonderen, u.U. zu den anderen verschiedenen Sicht auf das Thema. Eine Quelle für die Auswahl geeigneter Metadaten ist z.B. das Grundschutzkompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) [5], welches u.a. Begriffe definiert, z.B. Schutzbedarfsklassen („normal“, „hoch“ und „sehr hoch“), die in der Implementierung Berücksichtigung finden sollen.
Das Poster visulisiert die Implementierung der Anforderungen a)-d) und stellt dar, wie die regelmäßig wiederkehrenden Aufgaben von Verantwortlichen für die IS-A unterstützt werden.
Weitere Anforderungen dieser Personengruppen sollen ermittelt und iterativ Optimierungen implementiert werden, sodass sich IT-Sicherheitszonen optimal modellieren lassen. Bereits vorhandene Software-Werkzeuge, wie z.B. verinice [6] oder CRISAM [7], sollen dadurch nicht ersetzt, sondern vielmehr ergänzt werden.
Förderung: Dieses Projekt wurde durch die DFG gefördert. Projektnummer: 315068407. Förderkennzeichen: BE3663/2-2, BI1930/2-2, ME5367/1-2, WI1605/9-2.
Die Autoren geben an, dass kein Interessenkonflikt besteht.
Die Autoren geben an, dass kein Ethikvotum erforderlich ist.
Literatur
- 1.
- Winter A, Brigl B, Wendt T. Modeling hospital information systems (Part 1): The revised three-layer graph-based meta model 3LGM2. Methods Inf Med. 2003;42:544–51. DOI: 10.1267/METH03050544
- 2.
- Wendt T, Häber A, Brigl B, Winter A. Modeling Hospital Information Systems (Part 2): using the 3LGM2 tool for modeling patient record management. Methods Inf Med. 2004;43:256–67. DOI: 10.1267/METH04030256
- 3.
- Stäubert S, Schaaf M, Jahn F, Brandner R, Winter A. Modeling Interoperable Information Systems with 3LGM\u178 ? and IHE. Methods Inf Med. 2015;54:398–405. DOI: 10.3414/ME14-02-0027
- 4.
- DFG. GEPRIS Eintrag des Projektes „Planungsunterstützung für interoperable Informationssysteme in der klinischen Forschung (3LGM2IHE)“. [Accessed 2022 Apr 11]. Available from: https://gepris.dfg.de/gepris/projekt/315068407
- 5.
- Bundesamt für Sicherheit in der Informationstechnik. IT-Grundschutz-Kompendium. 1st ed. Köln: Reguvis Bundesanzeiger Verlag; 2018.
- 6.
- SerNet GmbH. verinice. 2009 [Accessed 2022 Apr 11]. Available from: https://verinice.com/produkte/details
- 7.
- CALPANA business consulting Deutschland GmbH. CRISAM. [Accessed 2022 Apr 11]. Available from: https://www.crisam.net/