"Eesti Teadusfondi uurimistoetus" projekt ETF8704
ETF8704 "Raamistik äriprotsesside ja turvanõuete ühendamiseks (1.01.2011−31.12.2013)", Raimundas Matulevicius, Tartu Ülikool, Matemaatika-informaatikateaduskond.
ETF8704
Raamistik äriprotsesside ja turvanõuete ühendamiseks
A Framework for Aligning Business Processes and Security Requirements
1.01.2011
31.12.2013
Teadus- ja arendusprojekt
Eesti Teadusfondi uurimistoetus
ValdkondAlamvaldkondCERCS erialaFrascati Manual’i erialaProtsent
4. Loodusteadused ja tehnika4.6. ArvutiteadusedP175 Informaatika, süsteemiteooria1.1. Matemaatika ja arvutiteadus (matemaatika ja teised sellega seotud teadused: arvutiteadus ja sellega seotud teadused (ainult tarkvaraarendus, riistvara arendus kuulub tehnikavaldkonda)100,0
PerioodSumma
01.01.2011−31.12.201110 200,00 EUR
01.01.2012−31.12.201210 200,00 EUR
01.01.2013−31.12.201310 200,00 EUR
30 600,00 EUR

Tänapäeval on informatsioonisüsteemid (Information Systems - IS) nurgakivid, millele tuginedes teostatakse enamik kaasaegsete organisatsioonide missioonitundlikke äriprotsesse. Organisatsioonid püüdlevad turvalise IS poole, mis tagaks konfidentsiaalsuse, terviklikkuse ja nende elutähtsa äriteabe kättesaadavuse. IS turvalisuse aspekte käsitletakse kasutades mitmeid turvalisuse modelleerimise keeli (nt abuse frames, Secure Tropos, KAOS, misuse cases, mal-activity diagrams, Secure UML ja UMLsec). Sellegipoolest, turvanõudeid kirjeldavad keeled (security languages) ei kirjelda turvanõudeid äriprotsesside tasandil. Teiselt poolt, äriprotsesside modelleerimise keeled (nt BPMN, ECP ja YAWL) kirjeldavad organisatsioonide tööd, kuid sisaldavad vähe turvalisuse aspekte. Käesolevas projektis keskendume IS arendamise esimestele etappidele, so nõuete tehnoloogia (Requirements Engineering). Rõhutame ühtlustatud raamistiku vajadust, mis hõlbustaks äriprotsesside ja turvanõuete teabekorralduse. Võimalik ühtlustatus tooks esile semantilised vastavused äri- ja turvalisuse modelleerimise keeltes. Koos integreeritud, põhjaliku, kaasaaegse ja dokumenteeritud lähenemisviisiga nende keelte ühtlustamiseks, taotleb projekt kiirendada äri- ja turvanõuete tehnoloogiate omandamist praktikute poolt. Eeldatud pikaajalisteks tulemiteks on turvalise IS arendamise paranemine, et toetada äriettevõtete teabe terviklikkust, konfidentsiaalsust ja kättesaadavust.
Nowadays, Information Systems (IS) are the cornerstones upon which the majority of mission-critical business processes are executed in modern organizations. Organisations strive for secure IS that would ensure confidentiality, integrity and availability of their vital business information. Security aspects of IS can be captured and managed using various security modelling languages (e.g., abuse frames, Secure Tropos, KAOS, misuse cases, mal-activity diagrams, SecureUML and UMLsec). However, security languages do little to express and agree on security concerns at the business level. On another hand business processes modelling languages (e.g., BPMN, ECP, and YAWL) combine together activities describing the organisation's work. However security concerns are addressed at the limited extend. In this proposal we focus on the initial IS development stages, a.k.a. Requirements Engineering (RE). We argue for a necessity to an alignment framework that would facilitate an information management between business processes and security requirements. A possible alignment highlights semantic correspondences between business and security modelling languages. With an integrated, sound, comprehensive, and documented approach for aligning the business and security modelling languages, the project aims to accelerate the better adoption of business and security requirement techniques by practitioners. The expected long-term results are improvement of the secure IS development to support business information integrity, confidentiality and availability.