Designing a security sensitive self-assessment framework

Abstract

Eesti Infoturbestandardi (E-ITS) loomisega kaasnes vajadus hinnata organisatsioonide infoturbe seisundit. Turvameetmeid kirjeldavate andmete kogumist tuleb aga käsitleda turvaliselt. Selle töö eesmärk on F4SLE (Framework for Security Level Evaluation) vastuste kogumiseks projekteerida turvatundlik enesehindamise raamistik (SAF). SAF loomiseks viidi läbi järgnevad sammud: sarnaste tööriistade võrdlus, nõuete analüüs ja kolm projekteerimise iteratsiooni. Raamistiku lõplik tulem koosneb veebipõhisest kasutajaliidesest, millega kogutakse asutuste tulemused, ja serveripõhisest haldusfunktsioonist mvõrdlusaluse arvutamiseks ja visualiseerimiseks. Lisaks arendati piirangutega SAF versioon, et läbi viia piloot mõõtmised Eestis ja Tšehhis (Lõuna-Moravias). Raamistiku valideerimine koosnes kahest osast. Esmalt viidi läbi ohuanalüüs, et hinnata raamistiku turvatundlikkust ja täiendada raamistikule seatud nõudeid. Teiseks paluti piloodis osalejatel hinnata raamistikku, et valideerida projekteerimisotsused. Loodud turvatundliku enesehindamise raamistikku saab üldistada 4-tasandiliste küsimustike kasutamiseks. Arendatud raamistikku saab kasutada ohuauditite läbiviimiseks või väljatöötatud riskihindamisraamistike valideerimiseks.