МЕТОД АНАЛІЗУВАННЯ ВИМОГ ДО СИСТЕМ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

The process of analyzing the requirements for information security management systems is considered. The obligation to comply with the requirements of the international standard ISO/IEC 27001 is shown. This provides confidence to stakeholders in the proper management of information security risks with an acceptable level. This is due to the internal and external circumstances of influencing the goal and achieving the expected results of organizations. In addition, the identification of stakeholders, their needs and expectations from the development of information security management systems are also considered. It is established that now the main focus is on taking into account the requirements for the process of developing these systems or to ensure information security in organizations. The transformation of the needs, expectations and related constraints of stakeholders into an appropriate systemic solution has been overlooked. These limitations have been overcome through the method of analyzing the requirements for information security management systems. Its use allows, based on the needs, expectations and related constraints of stakeholders, to identify relevant statements in established syntactic forms. There is need to check each of them for correctness of formulation and compliance with the characteristics of both the individual requirement and the set of requirements. For their systematization, establishment of relations the graphic notation SysML is applied. In view of this, the requirement is considered as a stereotype of a class with properties and constraints. Relationships are used to establish relationships between requirements. Their combination is represented by a diagram in the graphical notation SysML and, as a result, allows you to specify the requirements for information security management systems. In the prospects of further research, it is planned to develop its logical structure on the basis of the proposed method.Розглянуто процес аналізування вимог до систем управління інформаційною безпекою. Показано обов’язковість дотримання їхнього переліку настановам міжнародного стандарту ISO/IEC 27001. Завдяки цьому надається впевненість зацікавленим сторонам належного управління ризиками інформаційної безпеки з прийнятним рівнем. Це обумовлюється врахуванням внутрішніх і зовнішніх обставин впливання на мету та досягнення очікуваного результату діяльності організацій. До того ж визначенням зацікавлених сторін, їхніх потреб та очікувань від розроблення систем управління інформаційною безпекою. При цьому встановлено, що нині здебільшого зосереджується увага на врахуванні вимог до процесу розроблення даних систем або до забезпечення інформаційної безпеки в організаціях. При цьому поза увагою залишено перетворення потреб, очікувань і пов’язаних з ними обмежень зацікавлених сторін у відповідне системне рішення. Ці обмеження подолано завдяки методу аналізування вимог до систем управління інформаційною безпекою. Його використання дозволяє на основі потреб, очікувань і пов’язаних з ними обмежень зацікавлених сторін визначити відповідні твердження за встановленими синтаксичними формами. Кожне з них перевіряється стосовно правильності формулювання і відповідності характеристикам як індивідуальної вимоги, так і набору вимог. Для їх систематизування, встановлення відношень використано графічну нотацію SysML. З огляду на це вимогу розглянуто як стереотип класу з властивостями та обмеженнями. Для встановлення взаємозв’язків між вимогами використано відношення. Їхнє поєднання відображається діаграмою у графічній нотації SysML і, як наслідок, дозволяє специфікувати вимоги до систем управління інформаційною безпекою. У перспективах подальших досліджень планується на основі запропонованого методу розробити її логічну структуру

ISO/IEC 27001: An empirical multi-method research

The adoption of digital technologies, the emergence of platform-based business models, and the switch to smart working practices are increasing the number of potential entry points in firms’ networks and therefore their potential vulnerabilities. However, despite the relevance of the issue, the managerial debate on the topic is still scant and several research gaps exist. Under this premise, this doctoral thesis touches on the following aspects. First, by discussing the issue with senior executives and information security experts, it highlights the most relevant information security challenges in the context of Industry 4.0. In doing this, it also shows where current approaches fail short, and what emerging practices are gaining relevance. Second, by conducting a systematic literature review, the thesis provides a comprehensive synthesis of the academic body of knowledge on ISO/IEC 27001 (i.e., the most renowned international management standard for information security and the fourth most widespread ISO certification) as well as it formulates a theory-based research agenda to inspire future studies at the intersection between information systems and managerial disciplines. Third, by resorting to Grey models, it investigates the current and future diffusion patterns of ISO/IEC 27001 in the six most important countries in terms of issued certificates. Fourth, by performing an event study complemented by an ordinary least squares regression on a dataset of 143 US-listed companies, the dissertation sheds light on the performance implications of ISO/IEC 27001 adoption as well as the role of some contextual factors in affecting the outcomes of the adoption. Overall, this doctoral thesis provides several contributions to both theory and practice. From a theoretical point of view, it highlights the need for managerial disciplines to start addressing information security-related aspects. Moreover, it demonstrates that investments in information security pay off also from a financial perspective. From a practical point of view, it shows the increasingly central role that ISO/IEC 27001 is likely to have in the years to come and it provides managers with evidence on the possible performance effects associated to its adoption.The adoption of digital technologies, the emergence of platform-based business models, and the switch to smart working practices are increasing the number of potential entry points in firms’ networks and therefore their potential vulnerabilities. However, despite the relevance of the issue, the managerial debate on the topic is still scant and several research gaps exist. Under this premise, this doctoral thesis touches on the following aspects. First, by discussing the issue with senior executives and information security experts, it highlights the most relevant information security challenges in the context of Industry 4.0. In doing this, it also shows where current approaches fail short, and what emerging practices are gaining relevance. Second, by conducting a systematic literature review, the thesis provides a comprehensive synthesis of the academic body of knowledge on ISO/IEC 27001 (i.e., the most renowned international management standard for information security and the fourth most widespread ISO certification) as well as it formulates a theory-based research agenda to inspire future studies at the intersection between information systems and managerial disciplines. Third, by resorting to Grey models, it investigates the current and future diffusion patterns of ISO/IEC 27001 in the six most important countries in terms of issued certificates. Fourth, by performing an event study complemented by an ordinary least squares regression on a dataset of 143 US-listed companies, the dissertation sheds light on the performance implications of ISO/IEC 27001 adoption as well as the role of some contextual factors in affecting the outcomes of the adoption. Overall, this doctoral thesis provides several contributions to both theory and practice. From a theoretical point of view, it highlights the need for managerial disciplines to start addressing information security-related aspects. Moreover, it demonstrates that investments in information security pay off also from a financial perspective. From a practical point of view, it shows the increasingly central role that ISO/IEC 27001 is likely to have in the years to come and it provides managers with evidence on the possible performance effects associated to its adoption

ADOPTION OF THE INFORMATION SECURITY MANAGEMENT SYSTEM STANDARD ISO/IEC 27001: A STUDY AMONG GERMAN ORGANIZATIONS

Against the backdrop of numerous security breaches and cyber-attacks, organizations need to take measures to secure their data and information. However, the well-known management system standard ISO/IEC 27001 for information security has shown a lower adoption rate - in terms of annual ISO survey data - than was previously expected by scholars and practitioners. Through the lens of Rogers' diffusion of innovation theory, we consider the adoption of ISO/IEC 27001 as a 'preventive innovation' and aim to identify factors that help gain a better understanding of its adoption. Therefore, we conducted a survey among German organizations on the use and impact of management system standards, explicitly distinguishing between organizations that implement ISO/IEC 27001 and those that are additionally certified against this standard. This study provides insights and contributes to an advanced understanding of motives, impacts, barriers, and useful measures to increase adoption of ISO/IEC 27001. Our findings may be useful to organizations considering the adoption of this management system standard, to certification bodies providing certification services, and to policymakers seeking means to improve information security in organizations

Protection of personal information in the South African cloud computing environment: a framework for cloud computing adoption

Cloud Computing has advanced to the point where it may be considered an attractive proposition for an increasing number of South African organisations, yet the adoption of Cloud Computing in South Africa remains relatively low. Many organisations have been hesitant to adopt Cloud solutions owing to a variety of inhibiting factors and concerns that have created mistrust in Cloud Computing. One of the top concerns identified is security within the Cloud Computing environment. The approaching commencement of new data protection legislation in South Africa, known as the Protection of Personal Information Act (POPI), may provide an ideal opportunity to address the information security-related inhibiting factors and foster a trust relationship between potential Cloud users and Cloud providers. POPI applies to anyone who processes personal information and regulates how they must handle, store and secure that information. POPI is considered to be beneficial to Cloud providers as it gives them the opportunity to build trust with potential Cloud users through achieving compliance and providing assurance. The aim of this dissertation is, therefore, to develop a framework for Cloud Computing adoption that will assist in mitigating the information security-related factors inhibiting Cloud adoption by fostering a trust relationship through compliance with the POPI Act. It is believed that such a framework would be useful to South African Cloud providers and could ultimately assist in the promotion of Cloud adoption in South Africa

The future of Cybersecurity in Italy: Strategic focus area

This volume has been created as a continuation of the previous one, with the aim of outlining a set of focus areas and actions that the Italian Nation research community considers essential. The book touches many aspects of cyber security, ranging from the definition of the infrastructure and controls needed to organize cyberdefence to the actions and technologies to be developed to be better protected, from the identification of the main technologies to be defended to the proposal of a set of horizontal actions for training, awareness raising, and risk management

МЕТОД СИНТЕЗУВАННЯ ПОВЕДІНКИ СИСТЕМ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

The behavior of information security management systems is determined due to activities to keep the confidentiality, integrity, and availability of information in organizations. It is characterized by a sequence of risk management actions on the part of structural elements. The prerequisites for such activities have been established. Among them, definitions of external and internal factors of organizations’ activities, needs, and expectations of stakeholders, scope and limits of information security management systems application, the establishment of acceptability criteria, and selection of risk assessment methods are highlighted. Taking this into account, it was proposed to synthesize the behavior of information security management systems in three aspects. To do this, the activity, sequence, and state machine diagrams in SysML graphic notation are used. Each of the above diagrams synthesized its features as individual structural elements, and information security management systems in general. Activity diagrams specify behavior through a controlled sequence of actions. The characteristic feature of this specification is the orientation towards the establishment of conditions for their implementation. At the same time, represent objects as inputs and outputs of each action. Time features of transmission and reception of objects between structural elements of information security management systems are reflected in the sequence diagram through their interactions. The basis of such interaction is to establish a sequence of message exchange. It is possible either between information security management systems and their environment or between structural elements at any hierarchy level. In this case, both structural elements and information security management systems are interpreted by individual entities – lifelines. The interaction between them is represented by the exchange of messages. The change in states when certain conditions occur is reflected in the state machine diagram. Its use is aimed at describing the behavior according to the “state–transition” scheme. This is accompanied by the creation and destruction of objects, change of their attribute values, generation of messages between them. Therefore, the behavior is represented by the sequential passage of the vertices of a finite automaton graph by directed arcs. Due to this, the activity features of information security management systems in organizations by synthesizing their behavior were established.Определено поведение систем управления информационной безопасностью через деятельность по сохранению конфиденциальности, целостности и доступности информации в организациях. Охарактеризовано ее со стороны структурных элементов последовательностью действий относительно обращения с рисками. Установлено предусловия такой деятельности. Среди них выделены определения внешних и внутренних обстоятельств деятельности организаций, потребности и ожидания заинтересованных сторон, сферы и границ применения систем управления информационной безопасностью, установление критериев приемлемости и выбор метода оценивания рисков. Предложено синтезирование поведения систем управления информационной безопасностью в трех аспектах. Для этого использованы диаграммы деятельности, последовательности и конечного автомата в графической нотации SysML. Каждой из обозначенных диаграмм синтезировано ее особенности как отдельных структурных элементов, так и систем управления информационной безопасностью в целом. Диаграммой деятельности специфицировано поведение через контролируемую последовательность действий. Характерной особенностью такой спецификации является ориентированность на установление условий их выполнения. В тоже время представление объектов как входных и выходных данных каждого действия. Временные особенности передачи и приема объектов между структурными элементами систем управления информационной безопасностью отображено диаграммой последовательности через их взаимодействие. Основой такого взаимодействия является установление последовательности обмена сообщениями. Его осуществление возможно либо между системами управления информационной безопасностью и их средой, либо между структурными элементами на любом уровне иерархии. В этом случае как структурные элементы, так и системы управления информационной безопасностью толкуются отдельными сущностями – линиями жизни. Взаимодействие между ними представляется обменом сообщениями. Изменение состояний при наступлении определенных условий отображено диаграммой конечного автомата. Ее использование ориентировано на описание поведения по схема “состояние – переход”. Это сопровождается созданием и уничтожением объектов, изменением значений их атрибутов, генерацией сообщений между ними. Таким образом, поведение представлено последовательным прохождением вершин графа конечного автомата направленными дугами. Благодаря этому установлены особенности деятельности систем управления информационной безопасностью в организациях методом синтезирования их поведения.Визначено поведінку систем управління інформаційною безпекою через діяльність зі збереження конфіденційності, цілісності та доступності інформації в організаціях. Охарактеризовано її з боку структурних елементів послідовністю дій стосовно поводження з ризиками. Встановлено передумови такої діяльності. Серед них виокремлено визначення зовнішніх і внутрішніх обставин діяльності організацій, потреб і очікувань зацікавлених сторін, сфери та меж застосування систем управління інформаційною безпекою, встановлення критеріїв прийнятності та обирання методу оцінювання ризиків. Зважаючи на це запропоновано синтезування поведінки систем управління інформаційною безпекою за трьома аспектами. Для цього використано діаграми діяльності, послідовності та кінцевого автомату в графічній нотації SysML. Кожною зі зазначених діаграм синтезовано її особливості як окремих структурних елементів, так і систем управління інформаційною безпекою загалом. Діаграмою діяльності специфіковано поведінку через контрольовану послідовність дій. Характерною особливістю такого специфікування є орієнтованість на встановлення умов їхнього виконання. Водночас представлення об’єктів як вхідних і вихідних даних кожної дії. Часові особливості передавання і приймання об’єктів між структурними елементами систем управління інформаційною безпекою відображено діаграмою послідовності через їхнє взаємодіяння. Основою такої взаємодії є встановлення послідовності обміну повідомленнями. Він можливий або між системами управління інформаційною безпекою і їхнім середовищем, або між структурними елементами на будь-якому рівні ієрархії. У цьому випадку як структурні елементи, так і системи управління інформаційною безпекою тлумачаться окремими сутностями – лініями життя. Взаємодіяння між ними представляється обміном повідомленнями. Змінення станів при настанні визначених умов відображено діаграмою кінцевого автомату. Її використання орієнтоване на описання поведінки за схемою “стан – перехід”. Це супроводжується створенням і знищенням об’єктів, зміненням значень їхніх атрибутів, генеруванням повідомлень між ними. Тож поведінку представлено послідовним проходженням вершин графу кінцевого автомату направленими дугами. Завдяки цьому встановлено особливості діяльності систем управління інформаційною безпекою в організаціях методом синтезування їхньої поведінки

Security and privacy of resource constrained devices

The thesis aims to present a comprehensive and holistic overview on cybersecurity and privacy & data protection aspects related to IoT resource-constrained devices. Chapter 1 introduces the current technical landscape by providing a working definition and architecture taxonomy of ‘Internet of Things’ and ‘resource-constrained devices’, coupled with a threat landscape where each specific attack is linked to a layer of the taxonomy. Chapter 2 lays down the theoretical foundations for an interdisciplinary approach and a unified, holistic vision of cybersecurity, safety and privacy justified by the ‘IoT revolution’ through the so-called infraethical perspective. Chapter 3 investigates whether and to what extent the fast-evolving European cybersecurity regulatory framework addresses the security challenges brought about by the IoT by allocating legal responsibilities to the right parties. Chapters 4 and 5 focus, on the other hand, on ‘privacy’ understood by proxy as to include EU data protection. In particular, Chapter 4 addresses three legal challenges brought about by the ubiquitous IoT data and metadata processing to EU privacy and data protection legal frameworks i.e., the ePrivacy Directive and the GDPR. Chapter 5 casts light on the risk management tool enshrined in EU data protection law, that is, Data Protection Impact Assessment (DPIA) and proposes an original DPIA methodology for connected devices, building on the CNIL (French data protection authority) model

A national cybersecurity management framework for developing countries

Abstract : Please refer to full text to view abstract.D.Phil. (Computer Science