Automation of harmonization, analysis and evaluation of information security requirements
Abstract
The growing use of Information Technology (IT) in daily operations of enterprises requires an ever-increasing level of protection over organization’s assets and information from unauthorised access, data leakage or any other type of information security breach. Because of that, it becomes vital to ensure the necessary level of protection. One of the best ways to achieve this goal is to implement controls defined in Information security documents. The problems faced by different organizations are related to the fact that often, organizations are required to be aligned with multiple Information security documents and their requirements. Currently, the organization’s assets and information protection are based on Information security specialist’s knowledge, skills and experience. Lack of automated tools for multiple Information security documents and their requirements harmonization, analysis and visualization lead to the situation when Information security is implemented by organizations in ineffective ways, causing controls duplication or increased cost of security implementation. An automated approach for Information security documents analysis, mapping and visualization would contribute to solving this issue. The dissertation consists of an introduction, three main chapters and general conclusions. The first chapter introduces existing Information security regulatory documents, current harmonization techniques, information security implementation cost evaluation methods and ways to analyse Information security requirements by applying graph theory optimisation algorithms (Vertex cover and Graph isomorphism). The second chapter proposes ways to evaluate information security implementation and costs through a controls-based approach. The effectiveness of this method could be improved by implementing automated initial data gathering from Business processes diagrams. In the third chapter, adaptive mapping on the basis of Security ontology is introduced for harmonization of different security documents; such an approach also allows to apply visualization techniques for harmonization results presentation. Graph optimization algorithms (vertex cover algorithm and graph isomorphism algorithm) for Minimum Security Baseline identification and verification of achieved results against controls implemented in small and medium-sized enterprises were proposed. It was concluded that the proposed methods provide sufficient data for adjustment and verification of security controls applicable by multiple Information security documents. Padidėjus informacinių technologijų (IT) taikymui kasdieninėje organizacijų veikloje, atitinkamai išaugo informacijos ir jos apsaugos įtaka organizacijos veiklai. Dėl šios priežasties informacija, techninė įranga, kuri naudojama jai apdoroti, ir jų apsauga yra itin svarbūs komponentai organizacijų veiklos tęstinumo bei veiklos atstatymo procesų užtikrinimui. Tai galima pasiekti įgyvendinant reikalavimus aprašytus informacijos saugą reglamentuojančiuose dokumentuose. Pagrindinis iššūkis, yra tai kad šiuolaikiniame pasaulyje iš organizacijų dažnai reikalaujama atitikti kelis informacijos saugos dokumentų reikalavimus. Informacijos saugos užtikrinimas ir valdymas reikalauja nuodugnių žinių apie turimą informaciją, organizacijos turtą bei technologijas. Šiuo metu informacijos saugos įgyvendinimas priklauso nuo informacijos saugos specialistų, jų žinių ir patirties. Toks požiūris į informacijos saugos užtikrinimą įtakoja, kad informacijos saugos užtikrinimas remiasi subjektyviais kriterijais, ko pasekoje organizacijos gali įgyvendinti besidubliuojančias rizikos mažinimo priemones, o saugos užtikrinimo kaštai gali būti neadekvačiai dideli. Disertaciją sudaro įvadas, trys pagrindiniai skyriai ir bendrosios išvados. Pirmajame skyriuje analizuojami informacijos saugą reglamentuojantys dokumentai, apibrėžiamos harmonizacijos metodikos, įvertinami esami informacijos saugos kaštų vertinimo metodai ir aptariami grafų teorijos algoritmai, kurie yra naudojami grafų pavidalu pateiktos informacijos analizei. Antrajame skyriuje pristatomas patobulintas kaštų vertinimo metodas, kuris yra orientuotas į rizikos mažinimo priemonių įgyvendinimą. Pateikiami šio me-todo automatizavimo būdai, pritaikant automatinius informacijos surinkimo mechanizmus. Taip pat siūlomi būdai, kaip harmonizuota informacija gali būti efektyviai reprezentuota, naudojant egzistuojančias vizualizacijos priemones. Trečiam skyriuje siūlomi metodai leidžiantys automatizuoti kelių Informacijos saugos dokumentų analizę, siekiant suformuoti minimalias saugos gaires ir palyginti gautus rezultatus su organizacijoje įgyvendintais sprendimais. Pateikti metodai grindžiami grafų teorija ir realizuojami naudojant jų padengiamumo algoritmus ir subgrafų izomorfizmo nustatymo algoritmus. Eksperimentinio tyrimo metu nustatyta, kad siūlomi metodai leidžia automatizuoti kelių informacijos saugos dokumentų analizę, susiejimą, palyginimą ir vizualizavimą.