<div class="csl-bib-body">
<div class="csl-entry">Ekelhart, A. (2011). <i>Ontology-based framework for information security risk management</i> [Dissertation, Technische Universität Wien]. reposiTUm. http://hdl.handle.net/20.500.12708/160511</div>
</div>
-
dc.identifier.uri
http://hdl.handle.net/20.500.12708/160511
-
dc.description
Zsfassung in dt. Sprache
-
dc.description.abstract
Die ständig wachsende Abhängigkeit von Informationstechnologien führt auch zu einem Anstieg an kostspieligen Informationssicherheitsvorfällen und Fehlern. Bereits bestehende Ansätze im Informationssicherheitsrisikomanagement (ISRM) sind weitgehend anerkannt, weisen aber dennoch eine Reihe von Schwachstellen auf.<br />Komplexe Abhängigkeiten in der Informationssicherheitsdomäne, Fehleranfälligkeit bei der manuellen Anwendung von Informationssicherheitswissen auf die Infrastruktur eines Unternehmens, subjektiv ermittelte Bewertungen des Schadenausmaßes von Bedrohungen und fehlendes Wissen bei der Auswahl von Schutz- und Gegenmaßnahmen können zu einer unzureichenden Sicherheitsstrategie führen und stellen somit eine Bedrohung für die gesamte Unternehmensmission dar.<br />Um diese Schwachstellen zu beheben, widmet sich die vorliegende Dissertation zunächst der Entwicklung eines formalen Wissensmodells (Sicherheitsontologie), welches die wesentlichen Sicherheitskonzepte und Beziehungen beinhaltet. Dieses Modell erlaubt es, eine Unternehmensumgebung abzubilden und liefert Antworten auf sicherheitsrelevante Fragen. Die Analyse bisheriger Arbeiten über Sicherheitsontologien bildet die Grundlage der vorgestellten Sicherheitsontologie, welche auf Basis von Kompetenzfragen evaluiert wurde. In weiterer Folge wird das Konzept eines semantischen Computer Security Incident Response Teams vorgestellt. Um den Risikomanagementprozess ganzheitlich über alle ISRM-Phasen zu unterstützen, wurde ein Framework für automatisiertes ISRM entwickelt.<br />Das Framework bietet neuartige Methoden und basiert auf der in dieser Dissertation vorgestellten Sicherheitsontologie. Beispielsweise wird zur Bewertung des Schadenausmaßes die Wichtigkeit von Assets anhand einer Analyse von Unternehmensprozessen automatisiert bestimmt. Zur Evaluierung des Frameworks wurde ein Prototyp erstellt und bei einem Partnerunternehmen getestet. Die Ergebnisse zeigten die Vorteile des Frameworks, etwa die konsistente und verständliche Darstellung von Informationssicherheitswissen, automatisiert berechnete, konsistente Risikowerte und die Entscheidungsunterstützung bei der Auswahl von Sicherheitsmaßnahmen.<br />Der letzte Abschnitt der Dissertation befasst sich mit dem Problem, dass die Verifizierung, Validierung und Evaluierung von ISRM-Ansätzen häufig vernachlässigt wird. Anhand einer Literaturanalyse wird eine Übersicht über in der Praxis eingesetzte Verifizierungs-, Validierungs- und Evaluierungsmethoden geboten. Im Anschluss wird besprochen, in welcher ISRM-Phase die einzelnen Methoden angewendet werden sollten. Diese Analyse soll Forschern und Anwendern von ISRM-Ansätzen dazu dienen, das Vertrauen in ihre Ergebnisse zu stärken und bietet zudem eine Übersicht über derzeit eingesetzte Verifizierungs-, Validierungs- und Evaluierungsmethoden.<br />
de
dc.description.abstract
The ever-growing dependence on information technology leads to an increase in expensive information security incidents and failures.<br />While researchers have proposed several approaches to managing information security risks, several shortcomings of existing approaches can still be identified. Complex relationships in the information security domain, error-prone manual application of the information security knowledge to the organizational infrastructure, subjective impact value determination, and incomplete knowledge during the control evaluation can lead to an inadequate information security strategy and, therefore, pose a risk to the organization's mission.<br />As a first step in addressing these shortcomings, this thesis elaborates on the development of a formal knowledge model (security ontology), comprising relevant security concepts, which can be applied by organizations to model their own environment and subsequently retrieve answers to security-relevant questions. Analysis of existing work in security ontologies forms the basis for the developed security ontology, and the model is evaluated by means of competency questions. Thereafter, we will show how the security ontology can be extended to include advisory knowledge. On this basis, an architecture for a semantic Computer Security Incident Response Team is presented. To support users in the information security risk management (ISRM) process, a framework for automated ISRM is presented, which covers all ISRM phases outlined by major ISRM methodologies. Again, this approach builds on the formal security knowledge model. In addition, extensions for each phase, such as risk determination and control identification, are introduced. While all phases are covered, special focus is placed on a novel technique to determine importance values of assets, based on business process analysis. To demonstrate how this ISRM framework can be applied in real life, a prototype was developed and an example case was carried out.<br />Results showed the benefits of the framework, e.g., that security knowledge is provided in a consistent and comprehensive way, consistent risk values can be automatically calculated, and users are supported in the selection of efficient controls.<br />Most ISRM-related research aims to improve ISRM, but there is still a considerable lack of thorough verification, validation and evaluation of the developed approaches and their implementation. Focusing on the problem of sound verification, validation and evaluation of ISRM, the results of an ISRM literature research are presented to provide an overview of applied verification, validation and evaluation methods.<br />Then, I will discuss in which ISRM phases the methods should be applied.<br />This research provides a reference for researchers and users of ISRM approaches who aim to establish trust in their results, and draws conclusions on the current status of ISRM verification, validation and evaluation.
en
dc.language
English
-
dc.language.iso
en
-
dc.subject
Sicherheitsontologie
de
dc.subject
Informationssicherheit
de
dc.subject
Risikomanagement
de
dc.subject
security ontology
en
dc.subject
information security
en
dc.subject
risk management
en
dc.title
Ontology-based framework for information security risk management
en
dc.type
Thesis
en
dc.type
Hochschulschrift
de
dc.contributor.affiliation
TU Wien, Österreich
-
tuw.thesisinformation
Technische Universität Wien
-
dc.contributor.assistant
Pernul, Günther
-
tuw.publication.orgunit
E188 - Institut für Softwaretechnik und Interaktive Systeme
-
dc.type.qualificationlevel
Doctoral
-
dc.identifier.libraryid
AC07812228
-
dc.description.numberOfPages
172
-
dc.thesistype
Dissertation
de
dc.thesistype
Dissertation
en
tuw.author.orcid
0000-0003-3682-1364
-
tuw.advisor.staffStatus
staff
-
tuw.assistant.staffStatus
exstaff
-
tuw.advisor.orcid
0000-0002-8295-9252
-
item.openairecristype
http://purl.org/coar/resource_type/c_18cf
-
item.openairecristype
http://purl.org/coar/resource_type/c_18cf
-
item.cerifentitytype
Publications
-
item.cerifentitytype
Publications
-
item.fulltext
no Fulltext
-
item.openairetype
Thesis
-
item.openairetype
Hochschulschrift
-
item.grantfulltext
none
-
item.languageiso639-1
en
-
crisitem.author.dept
E194-01 - Forschungsbereich Information und Software Engineering
-
crisitem.author.parentorg
E194 - Institut für Information Systems Engineering