Julgeolekuriskide juhtimisel kasutatavate modelleerimiskeelte võrdlus

Date

2014

Journal Title

Journal ISSN

Volume Title

Publisher

Abstract

Tänapaeval kõik firmad, mis omavad väärtuslikke varasid, püüavad oma aktiva ja pasiva kaitsta. Kahjuks ei ole võimalik reageerida kõikidele varade turvalisust puudutavaid ähvardustele. Selliste võimalike ohtude leevendamiseks olid laiendatud modelleerimiskeeled turvariskide halduse kasutamiseks. Sobiva keele valik võib aga olla keeruline otsus, kuna see on iseenesest ränk küsimus, kuidas need keeled omavahel võrrelda ning otsustada kumb lahendus on rentaabel. Iga turvateenusel on oma hind, kuigi firmad on oma eelarvega piiratud. Konkreetne valitud keel turvariski haldamiseks peab vastama firma vajadustele, kuna see on tähtis positiivse “ROI” (investeeringu risk) suhtes. Samas turvariski haldus asub infosüsteemi arendamise varajasel staadiumil ja keele valik, mis ei vasta firma vajadustele, võib viita aja kaotusele või isegi süsteemi turvaaukudele. Selle probleemi lahenduseks on meie tehniline panus võrrelda modelleerimiskeel: “BPMN”, “Secure Tropos”, “Misuse case” ja “Mal-activity” diagramm. On tähtis määratlema, kuidas need keeled toimivad infosüsteemi turvariskide haldamine (ingl. ISSRM) domeeni mudeliga. Juhtumisel ja empiitilisel analüüsil põhinev võrdlus oli tehtud selleks, et selgust saada turvalisuse probleeme puudutavatest keeltest ja nende semiootilisest selgusest. Empiiriline analüüs juhtumi analüüsiga võimaldab välja selgitada, mismoodi üks keel toimib paremini kui teine “ISSRM” suhtes. Valitud modeleerimiskeeled turvariskide halduseks on mingil määral piiratud semiootilise selguse suhtes, kuna need pole olnud esialgu mõeldud tegelema turvariskide haldusega, pigem “ISSRM” kasutamiseks ning selleks, et aidata ohud leevendada infosüsteemi arendamise varajasel staadiumil.
Nowadays, every company that has valuable assets has an urge to protect them. Unfortunately, it is impossible to act on every single security threat. To mitigate these threats Security Modelling Languages were extended to use for Security Risk Management. However, choosing suitable language can be a difficult decision, because it can be a problem to compare those languages and decide which one would bring the most cost-effective solution. Every security solution has its cost and companies have limited resources. The chosen language that will be used for Security Risk Management must suit the company’s needs, as it is important in terms of getting positive ROI (Risk on investment). In addition, Security Risk Management takes place on early stages of IS development and choosing security modelling language that does not suit the company’s needs will result in a loss of time as well as possible system vulnerabilities. Our technical contribution to the solution to this problem is a comparison of these Security Modelling Languages: BPMN, Secure Tropos, Misuse cases and Mal-activity diagrams. It is important to determine how these languages act with Information System Security Risk Management (ISSRM) domain model. The comparison is made based on the case study and empirical research in order to understand the semiotic clarity of these languages used to express the security concerns. The empirical research within the case study will allow us to point out in which ways one language acts better than another regarding ISSRM. The chosen security modelling languages contain limitations regarding the semiotic clarity, as they were not designed to deal with the security risk management at the first place, but used in terms of ISSRM, they help to mitigate risks starting from early stages of IS development.

Description

Keywords

Citation