Deriving Security Requirements from Business Process Models

Files

ahmed_naved.pdf (3.07 MB)

Date

2014-11-13

Authors

Journal Title

Journal ISSN

Volume Title

Publisher

Abstract

Iga ettevõte toodab mingit väärtust, mis nende klientidele kasuks tuleb. Ettevõte saab oma äriplaani tõhusalt ja efektiivselt täita vaid sel juhul, kui indiviidid ja teised ettevõtteallikad nagu informatsioonisüsteemid hästi koos töötavad. Äriprotsessid mängivad olulist rolli selle koostöö hõlbustamisel. Neid äriprotsesse kirjeldatakse mudelite abil, mida nimetatakse äriprotsessimudeliteks. Viimastel aastatel on nende äriprotsesside mudelite modelleerimine arvestatavat tähelepanu pälvinud. Seda seepärast, et äriprotsessimudelite jaoks töötatakse välja üha rohkem infosüsteeme. Veelgi enam, arvestades dünaamilise ärikeskkonnaga, mida digitaalne majandus endaga kaasa on toonud, peavad ettevõtted pidevalt oma äriprotsesse ja tugiinfosüsteeme arendama, et turul toimuvate muutustega toime tulla ning et tehnoloogiauuendustest kasu lõigata. See fenomen suurendab vajadust kohase infoturvalisuse järele äriprotsessides. Tänapäeval ei ole turvalisuse tähtsus enam kaugeltki ainult äri jätkusuutlikkuse tagamine või ettevõtte varade kaitsmine; mõned autorid väidavad, et turvalisus ongi see liikumapanev jõud, mille pärast äri teha. Põhilise probleemid olemasolevate turvalisuse analüüsimise meetoditega on, et need lähenemised keskenduvad turvakontrollide rakendamisele ja ei pööra tähelepanu turvalisuse aluspõhimõtetele. Samamoodi on puudu või juhuslik tingimuste esiletoomine ning see viib mõne väga tähtsa turvatingimuse kahe silma vahele jätmiseni ning kuna äriprotsessid on oma loomult dünaamilised ning keerulised, käsitlevad uurimused ainult osasid aspekte, mitte üleüldist äriprotsesside turvalisust. Et seda vajadust hinnata, on selle lõputöö meetodiks analüüsida äriprotsessimudeleid turvalisuse vaatepunktist, et sellest turvalisuse eesmärke ja tingimusi tuletada. Lõputöö on esitanud kolm täiendavat osa: esiteks, turvariski suunitlusega mustrid, mis integreerivad turvariski analüüsi äriprotsessimudelitesse. Need mustrid toetavad turvariski mõisteid äriprotsessimudelites, millest ärianalüütikud lihtsasti aru saavad. Teiseks, äriprotsesside turvalisuse hindamise taksonoomiat. Seda taksonoomiat kasutatakse turvariski suunitlusega mustrite kindlaks tegemisel ning see aitab analüütikutel neid mustreid äriprotsessimudelites kasutada. Lõpuks moodustavad need tulemused põhja ühele meetodile, turvatingimuste esiletoomine äriprotsessides (Security Requirements’ Elicitation from Business Processes, SREBP), mis viib läbi turvatingimuste esiletoomist nende äriprotsesside jaoks. Need osad töötavad koos, et toetada turvatingimuste esiletoomist äriprotsessimudelites, kus i) ärivarade tuvastamine ning turvaeesmärkide kindlakstegemine viiakse läbi ettevõtte äriprotsessidega. Veelgi enam, ii) turvatingimuste esiletoomist viiakse läbi töötavate äriprotsesside peal, kasutades väljamõeldud piirkondi.
Any given enterprise produces some value that is for the benefit of its customers. An enterprise can reach its business goals in an efficient and effective manner only if individuals and other enterprise resources, such as information systems, play together well. Business processes are an important concept to facilitating this effective collaboration. These business processes are described with models that are called business process models. In recent years, modeling of these business process models has received considerable attention. This is due to the fact that information systems increasingly being designed to support business processes. Moreover, given the dynamic business environment that the digital economy has brought about, enterprises need to continuously evolve their business processes and supporting information systems in order to cope with market changes and to take advantage of technology innovations. This phenomenon increases the need for appropriate information security in business processes. Nowadays, the importance of security has gone far away from just ensuring the business continuity or protecting enterprise’s assets; some authors claim security to be the driving force to do business at all. The major problems in existing methods for addressing security analysis are that, these approaches focuses on the implementation of security controls, and leaving behind the rationale for security. Similarly, the requirements elicitation is either missing or haphazard, this leads to miss some critical security requirements; and due to the dynamic and complicated nature of business processes the studies only addresses varying aspects but not the overall security of business processes. To consider this need, the approach taken in this thesis is to analyse the business process models from a security perspective to derive security objectives and requirements. The thesis has proposed three complementary contributions: Firstly, security risk-oriented patterns that integrate the security risk analysis into business process models. These patterns supports security risk concepts in business process models that business analyst can understand easily. Secondly, the taxonomy for assessing security in business processes. This taxonomy is used to classify the security risk-oriented patterns and helps analysts to apply these patterns in business process models. Finally, these contributions form a foundation for a method, security requirements elicitation from business processes (SREBP) that performs a systematic elicitation of security requirements for their business processes. These contributions work together to support the security requirements elicitation from business process models, where, i) the identification of business assets and determination of security objectives are carried out from the enterprise’s business processes. Moreover, ii) the elicitation of security requirements are performed on the operational business processes using contextual areas.

Description

Väitekirja elektrooniline versioon ei sisalda publikatsioone.

Keywords

äriprotsessid, süsteemide modelleerimine, infoturve, riskianalüüs, business processes, systems simulation, information security, risk analysis

Citation

URI

http://hdl.handle.net/10062/44267

Collections

1. TÜ väitekirjad alates 2004 - Theses, PhD, MSc, ETD