Mit diesen Begriffen könnten wir alles präzise ausdrücken. Was halten Sie/haltet Ihr davon?
Das klingt doch sehr sinnvoll. Jan Jürjens ruediger.grimm@tu-ilmenau.de wrote:
Liebe Begriffsbildner/-innen,
die Diskussion in Frankfurt auf der GI 2003 hat uns alle nach übereinstimmenden Aussagen weitergebracht. Noch keine Lösung, aber mehr Klarheit.
Aus meiner Sicht:
Beide Communities, die "Safety"- und die "Security"-Community haben seit langem jeweils für sich konsentiert eine begriffliche Abgrenzung der Begriffe "Security" vs. "Safety" erarbeitet. Dabei ordnen sie der jeweils anderen Community einen Schwerpunkt zu, in dem die andere sich aber nicht wiederfindet.
Ganz knapp zusammengefasst:
Die Safety-Community versteht es so: Security ("die anderen")= Informationssicherheit bzw. Datensicherheit Safety ("wir")= Sicherheit für die Umgebung eines Informationssystems
Die Security-Community versteht es so: Security ("wir")= Sicherheit gegen absichtliche Angriffe Safety ("die anderen")= Sicherheit gegen Fehler und unbeabsichtigte Unfälle
Nun wollen sich die Safety-Leute nicht von den Angriffen ausschließen lassen und die Security-Leute nicht von den Systemumgebungen.
Keine der beiden Ansätze ist die umfassendere.
Mein Vorschlag: Wir akzeptieren die jeweiligen "Wir"-Definitionen:
Safety = Umgebungssicherheit = Sicherheit für die Umgebung eines Informationssystems
Security = Angriffstoleranz bzw. Angriffsresistenz = Sicherheit gegen absichtliche Angriffe
Und dann stellt sich erfreulicherweise heraus, dass die beiden Begriffe Überschneidungen haben, denn die Security-Leute behandeln SELBSTVERSTÄNDLICH auch den Einfluss von und die Auswirklung auf Umgebung (im Sinne der Safety-Leute sind das Safety-Fragen), und die Safety-Leute behandlen SELBSTVERSTÄNDLICH auch absichtliche Angriffe (aus Sicht der Security-Leute sind das Security-Fragen). Und daraus wird klar, wieso wir einen gemeinsamen Fachbereich haben, weil die Dinge nämlich zusammenhängen.
Übrigens stellt sich dann erstaunlicherweise heraus, dass "Fehlertolerante IT-Systeme" von BEIDEN Communities jeweils der anderen Begrifflichkeit zugeordnet werden! Die Security-Leute zählen das wegen der Fehler zu "Safety", die Safety-Leute zählen das wegen der Einschränkung auf die IT-Systeme zu "Security".
Und wenn man doch trennscharf werden will, bietet sich (frei nach einem alten Vorschlag von Pfitzmann) etwa folgendes an:
* Angriffstoleranz/-resistenz = Security, sowohl für IT-Systeme, als auch Umgebung; * Umgebungssicherheit = Safety, sowohl gegen Angriffe, als auch Fehler; * Fehlertoleranz = Ausschlussgebiet von Security (aber nicht deckungsgleich mit Safety!); * Informations- bzw. Datensicherheit = Ausschlussgebiet von Safety (aber nicht deckungsgleich mit Security).
Dann ergeben sich ganz natürlich trennscharfe Begriffe durch einschränkende Attribute wie * Schnittmenge aus Safety und Security: = Angriffsresistente Safety = Angriffsresistente Systemumgebungen = Security in Bezug auf Systemumgebungen * Safety ohne Security = Fehlertolerante Safety = Fehlertolerante Systemumgebungen * Security ohne Safety = Angriffsresistente IT-Systeme = Security für IT-Systeme * Weder Security noch Safety = Fehlertolerante IT-Systeme * Sicherheit = Vereinigungsmenge aus Safety und Security plus fehlertolerante IT-Systeme
Mit diesen Begriffen könnten wir alles präzise ausdrücken. Was halten Sie/haltet Ihr davon?
Beste Grüße --- RÜdiger Grimm
Umwelteinbettung
keller wrote:
Hallo Herr Pohl, im FB Sicherheit gibt es einen AK, welcher diese Begrifswelt zur Zeit ausarbeitet. Anbei sende ich Ihnen dieses Papier mit Anmerkungen von RüdigerGrimm. Anmerkungen bitte per email an mich. Gruß Hubert Keller
Pohl, Hartmut schrieb:
Hallo Herr Federath, ich höre, dass Sie auf der Jahrestagung Vorstellungen zur Begriffswelt safety und security vorgetragen haben. Könnte ich mir das Papier oder die Folien einmal ansehen? Würden Sie mir das Papier senden?
MhG Ihr Hartmut Pohl
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
------------------------------------------------------------------------
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg
-- Jan Ju"rjens, Software & Systems Engineering, TU Munich http://www4.in.tum.de/~juerjens - tel. +49 179 8804051