Problems of failure of the existing model of Personnel Management of the Armed Forces of Ukraine in the context of external military aggression

В перші часи повномасштабної військової агресії Російської Федерації проти України кадровий менеджмент в Збройних Силах України проявився у незадовільному стані. Тому, таку систему Збройних Сил України необхідно переформовувати. Нова система кадрового менеджменту повинна мати вигляд «моделі майбутнього результату, як деякий вихідний образ, до якого слід прагнути, щоб досягти мети».In the first days of the full-scale military aggression of the Russian Federation against Ukraine, personnel management in the Armed Forces of Ukraine was unsatisfactory and purposeful. Therefore, such a system in the Armed Forces of Ukraine needs to be reformed. The purpose of the new personnel management system should be "a model of future results as some initial image that should be sought to achieve results.

Cloud Security Risk Management: A Critical Review

Cloud computing has created a remarkable paradigm shift in the IT industry and brought several advantages such as on-demand self-service, broad network access, resource pooling, rapid elasticity, and measured service. These advantages enabled cloud to have significant impact on different sectors of smart cites. However, cloud adoption has increased the sophistication of the ever changing security risks which frustrate enterprises on expanding their on-premises infrastructure towards cloud horizons. These risks have the potential of being a major concern for smart cities due to the increasing impact of cloud on them. Managing these security risks requires adopting effective risk management method which involve both the cloud service provider and the customer. The risk management frameworks currently applied to manage enterprise IT risks do not readily fit the cloud environment and the dynamic nature of clouds, which are characterized by on demand self-service and rapid elasticity. Therefore, researchers have proposed different cloud security risk management methods and frameworks. This paper critically reviews these risk management methods and frameworks. In addition, it conducts critical analysis on two of them using qualitative content analysis technique, and evaluates their effectiveness for assessing and mitigating cloud security risks

Kajian tadbir urus teknologi maklumat organisasi awam di Gorontao-Indonesia

The concept of information technology (IT) governance has become a trend in public organizations sector in most countries. However, the implementation of IT governance in Indonesia continues to face problems and challenges, including weak understanding and assessment processes activities based on IT implementation. In addition, empirical studies related to IT governance within public organizations in Indonesia are limited. The main objective of this study is to develop an IT governance model in public organizations in Gorontalo, Indonesia. This study adapted the Control Objective for Information and Related Technology (COBIT) model which conformed to the principles of management of IT resources that form the basis of IT governance in Indonesia by studying the contribution factors of implementation IT governance in public organizations. This study used quantitative and qualitative methods which involved questionnaires, interviews, observations and documents. Quantitative data was collected via questionnaires that were distributed to 367 and the return rate was 90.6 percent. This data was analyzed using Structural Equation Modeling (SEM) to validate the research model and test the proposed research hypotheses. Semi-structured interviews were used to obtain the management's views about IT governance activities and their implementation. Observations and documents analysis were used to observe how the activities and find data, information and resources for implementation of IT governance. The results show that the proposed model conforms to COBIT. The study also proves that COBIT together with the goal of and the principles of IT resource management that form the basis of IT governance in Indonesia has managed to enrich the model in describing understanding and implementation of IT governance. The results of this study contribute to knowledge to best practice of IT governance. This study can be used as a guide the best practice IT governance in Indonesia in the futur

Quantified approach to risk analysis in case of cyber security

Tato bakalářská práce se věnuje kvantitativnímu přístupu k rizikové analýze v rámci kybernetické bezpečnosti. První část je věnována teoretické rovině. Jsou zde definovány základní pojmy spojené s problematikou kybernetické bezpečnosti a kybernetického prostoru. Je popsán proces řízení rizik dle normy ISO/IEC 27005 a podle metodiky NIST. Dále je provede-no srovnání jednotlivých metod rizikové analýzy. Závěrem jsou uvedeny příklady kvantitativních metod a představena triáda CIA. Druhá část této práce je věnována vypracování QRA metody. Tato metoda je apli-kována na dvě zařízení s výpočtem pravděpodobnosti, dopadu a míry rizika. Závěrem je provedeno vyhodnocení a srovnání obou zařízení. Přínosem této bakalářské práce je sestavená metodika, která je uplatnitelná nejen pro stanovení samotného rizika, ale také lze podle ní porovnat jednotlivé systémy, zařízení nebo řešení mezi sebou.This bachelor thesis deals with the quantitative approach to risk analysis in the frame-work of cyber security. The first part is devoted to the theoretical level. There are defined basic terms connected with cyber security and cyberspace. The risk management process according to ISO / IEC 27005 and NIST methodology is described. Furthermore, a comparison of individual risk analysis methods is performed. Finally, examples of quantitative methods are presented and the CIA triad is presented. The second part of this thesis is dedicated to the QRA method. This method is applied to two devices and probability, impact and risk are calculated. Finally, the evaluation and comparison of both devices is performed. The benefit of this bachelor thesis is a compiled methodology, which is applicable not only for the determination of the risk itself, but it is also possible to compare individual systems, equipment or solutions among them.

Domain- and Quality-aware Requirements Engineering for Law-compliant Systems

Titel in deutscher Übersetzung: Domänen- und qualitätsgetriebene Anforderungserhebung für gesetzeskonforme Systeme Der bekannte Leitsatz in der Anforderungserhebung und -analyse besagt, dass es schwierig ist, das richtige System zu bauen, wenn man nicht weiß, was das 'Richtige' eigentlich ist. Es existieren überzeugende Belege, dass dieser Leitsatz die Notwendigkeit der Anforderungserhebung und -analyse exakt definiert und beschreibt. Zum Beispiel ergaben Studien, dass das Beheben von Defekten in einer Software, die bereits produktiv genutzt wird, bis zu 80 mal so teuer ist wie das frühzeitige Beheben der korrespondierenden Defekte in den Anforderungen. Generell hat es sich gezeigt, dass das Durchführen einer angemessenen Anforderungserhebung und -analyse ein wichtiger Erfolgsfaktor für Softwareentwicklungsprojekte ist. Während der Progression von den initialen Wünschen der beteiligten Interessensvertretern für ein zu entwickelndes System zu einer Spezifikation für eben dieses Systems müssen Anforderungsanalysten einen komplexen Entscheidungsprozess durchlaufen, der die initialen Wünsche in die Spezifikation überführt. Tatsächlich wird das Treffen von Entscheidungen als integraler Bestandteil der Anforderungsanalyse gesehen. In dieser Arbeit werden wir versuchen zu verstehen welche Aktivitäten und Information von Nöten sind, um eine fundierte Auswahl von Anforderungen vorzunehmen, welche Herausforderungen damit verbunden sind, wie eine ideale Lösung zur Anforderungswahl aussehen könnte und in welchen Bereichen der aktuelle Stand der Technik in Bezug auf diese ideale Lösung lückenhaft ist. Innerhalb dieser Arbeit werden wir die Informationen, die notwendig für eine fundierte Anforderungsauswahl sind, identifizieren, einen Prozess präsentieren, um diese notwendigen Informationen zu sammeln, die Herausforderungen herausstellen, die durch diesen Prozess und die damit verbundenen Aktivitäten adressiert werden und eine Auswahl von Methoden diskutieren, mit deren Hilfe man die Aktivitäten des Prozesses umsetzen kann. Die gesammelten Informationen werden dann für eine automatisierte Anforderungsauswahl verwendet. Für die Auswahl kommt ein Optimierungsmodell, das Teil des Beitrags dieser Arbeit ist, zum Einsatz. Da wir während der Erstellung dieser Arbeit zwei große Lücken im Stand der Technik bezüglich unseres Prozesses und der damit verbundenen Aktivitäten identifiziert haben, präsentieren wir darüber hinaus zwei neuartige Methoden für die Kontexterhebung und die Erhebung von rechtlichen Anforderungen, um diese Lücken zu schließen. Diese Methoden sind Teil des Hauptbeitrags dieser Arbeit. Unsere Lösung für der Erhebung des Kontext für ein zu entwickelndes System ermöglicht das Etablieren eines domänenspezifischen Kontextes unter Zuhilfenahme von Mustern für verschiedene Domänen. Diese Kontextmuster erlauben eine strukturierte Erhebung und Dokumentation aller relevanten Interessensvertreter und technischen Entitäten für ein zu entwickelndes System. Sowohl die Dokumentation in Form von grafischen Musterinstanzen und textuellen Vorlageninstanzen als auch die Methode zum Sammeln der notwendigen Informationen sind expliziter Bestandteil jedes Kontextmusters. Zusätzlich stellen wir auch Hilfsmittel für die Erstellung neuer Kontextmuster und das Erweitern der in dieser Arbeit präsentierten Kontextmustersprache zur Verfügung. Unsere Lösung für die Erhebung von rechtlichen Anforderungen basiert auch auf Mustern und stellt eine Methode bereit, welche es einem erlaubt, die relevanten Gesetze für ein zu erstellendes System, welches in Form der funktionalen Anforderungen bereits beschrieben sein muss, zu identifizieren und welche die bestehenden funktionalen Anforderungen mit den rechtlichen Anforderungen verknüpft. Diese Methode beruht auf der Zusammenarbeit zwischen Anforderungsanalysten und Rechtsexperten und schließt die Verständnislücke zwischen ihren verschiedenartigen Welten. Wir veranschaulichen unseren Prozess unter der Zuhilfenahme eines durchgehenden Beispiels aus dem Bereich der service-orientierten Architekturen. Zusätzlich präsentieren wir sowohl die Ergebnisse der Anwendung unseres Prozesses (bzw. Teilen davon) auf zwei reale Fälle aus den Bereichen von Smart Grids und Wahlsystemen, als auch alle anderen Ergebnisse der wissenschaftlichen Methoden, die wir genutzt haben, um unsere Lösung zu fundieren und validieren.The long known credo of requirements engineering states that it is challenging to build the right system if you do not know what right is. There is strong evidence that this credo exactly defines and describes the necessity of requirements engineering. Fixing a defect when it is already fielded is reported to be up to eighty times more expensive than fixing the corresponding requirements defects early on. In general, conducting sufficient requirements engineering has shown to be a crucial success factor for software development projects. Throughout the progression from initial stakeholders' wishes regarding the system-to-be to a specification for the system-to-be requirements engineers have to undergo a complex decision process for forming the actual plan connecting stakeholder wishes and the final specification. Indeed, decision making is considered to be an inherent part of requirements engineering. In this thesis, we try to understand which activities and information are needed for selecting requirements, which the challenges are, how an ideal solution for selecting requirements would look like, and where the current state of the art is deficient regarding the ideal solution. Within this thesis we identify the information necessary for an informed requirements selection, present a process in which one collects all the necessary information, highlight the challenges to be addressed by this process and its activities, and a selection of methods to conduct the activities of the process. All the collected information is then used for an automated requirements selection using an optimization model which is also part of the contribution of this thesis. As we identified two major gaps in the state of the art considering the proposed process and its activities, we also present two novel methods for context elicitation and for legal compliance requirements elicitation to fill the gaps as part of the main contribution. Our solution for context elicitation enables a domain-specific context establishment based on patterns for different domains. The context patterns allow a structured elicitation and documentation of relevant stakeholders and technical entities for a system-to-be. Both, the documentation in means of graphical pattern instances and textual template instances as well as the method for collecting the necessary information are explicitly given in each context pattern. Additionally, we also provide the means which are necessary to derive new context patterns and extend our context patterns language which is part of this thesis. Our solution for legal compliance requirements elicitation is a pattern-based and guided method which lets one identify the relevant laws for a system-to-be, which is described in means of functional requirements, and which intertwines the functional requirements with the according legal requirements. This method relies on the collaboration of requirements engineers and legal experts, and bridges the gap between their distinct worlds. Our process is exemplified using a running example in the domain of service oriented architectures. Additionally, the results of applying (parts of) the process to real life cases from the smart grid domain and voting system domain are presented, as well as all other results from the scientific means we took to ground and validate the proposed solutions