Ontology- and Bayesian-based information security risk management

Abstract

Das adäquate Management von Informationssicherheitsrisiken ist entscheidend um den langfristigen Unternehmenserfolg zu garantieren. Aus diesem Grund wurden bereits zahlreiche Ansätze zur Umsetzung einer adäquaten Risikomanagementstrategie vorgestellt. Die fehleranfällige Abbildung des generellen Informationssicherheitswissens auf die konkrete Infrastruktur des Unternehmens, die subjektive Bestimmung von Bedrohungseintrittswahrscheinlichkeiten und das meist fehlende Wissen bezüglich geeigneter Gegenmaßnahmen werden von aktuellen Risikomanagementansätzen nur unzulänglich adressiert. Um diesen Defiziten entgegenzuwirken, untersucht diese Dissertation die Annahmen, Unterschiede und Gemeinsamkeiten von existierenden Risikomanagementansätzen und implementiert, basierend auf den identifizierten Anforderungen, ein formales Wissensmodell der Informationssicherheitsdomäne (Security Ontology). Neben der eigentlichen Security Ontology, bestehend aus den Konzepten Threat, Vulnerability und Control, werden auch Konzepte und Relationen zur Beschreibung der Organisation und ihrer Infrastruktur in die Ontologie integriert. Um das erstellte Wissensmodell mit konkretem Informationssicherheitswissen zu füllen wird das Wissen des deutschen Grundschutzhandbuchs in die Ontologie integriert. Dabei werden mehr als 500 Informationssicherheitskonzepte und 600 formale Axiome in die Security Ontology eingegliedert. Darüber hinaus werden Inventarisierungstechniken implementiert um eine effiziente Erfassung von konkreten Infrastrukturdaten zu ermöglichen. Reasoning Techniken werden auf die ontologische Wissensbasis angewendet um den Implementierungsstatus eines jeden Controls automatisch zu ermitteln.<br />Eine nachvollziehbare Quantifizierung des unternehmensweiten Informationssicherheitsstatus wird durch die ressourcenspezifische Berechnung der Bedrohungseintrittswahrscheinlichkeiten mit Hilfe Bayesianischer Netzwerke ermöglicht. Im Vergleich zu existierenden Ansätzen ermöglicht die Toolimplementierung der erarbeiteten Konzepte dem Risikomanager (1) die automatische Anwendung von generellem Informationssicherheitswissen auf die konkrete Unternehmensinfrastruktur, (2) die nachvollziehbare Quantifizierung des unternehmensweiten Informationssicherheitsstatus und (3) die automatische Überprüfung der Einhaltung existierender Informationssicherheitsstandards.<br />

Information security risk management is crucial for ensuring long-term business success and thus numerous approaches to implementing an adequate information security risk management strategy have been proposed. The error-prone manual application of general information security knowledge to the infrastructure of the organization, the subjective threat probability determination, and the common lack of knowledge regarding appropriate control implementations are not addressed by existing approaches. Often these shortcomings result in an inadequate information security strategy endangering the organization in performing its mission. To address these issues, this dissertation elaborates on the underlying assumptions, differences, and commonalities of existing information security risk management approaches and implements, based on the identified requirements, a formal knowledge model of the information security domain (security ontology). Besides the core security ontology, comprising concepts such as threat, vulnerability, and control, also concepts and relations necessary to formally describe the organization and its assets are incorporated. To enrich the knowledge model with concrete information security knowledge the German IT Grundschutz Manual is superimposed on the security ontology and more than 500 information security concepts and 600 corresponding formal axioms are integrated into the ontological knowledge base. Moreover, this thesis implements inventory techniques to ensure an efficient incorporation of concrete infrastructure data into the ontology. Reasoning techniques are applied to the ontological knowledge base to automatically obtain the implementation status of each information security control. To quantify the security status of the organization a Bayesian approach for determining asset-specific and comprehensible threat probabilities is implemented. Compared to existing approaches, the tool implementation of the elaborated concepts enables risk managers (1) to automatically map general information security knowledge to the infrastructure of their organization, (2) to comprehensibly quantify by the Bayesian threat probability determination the current security status of their organization, and (3) to automatically check the organization's compliance with existing best-practices such as the German IT Grundschutz Manual.