Chulalongkorn University Theses and Dissertations (Chula ETD)

กรอบงานสนับสนุนการวิเคราะห์ช่องว่างตามลำดับความสำคัญของความต้องการความมั่นคงสำหรับองค์กรที่ใช้แบบจำลองวุฒิภาวะความสามารถด้านวิศวกรรมความมั่นคงของระบบ (เอสเอสอี-ซีเอ็มเอ็ม)

Other Title (Parallel Title in Other Language of ETD)

Gap analysis supporting framework based on priority of security requirements for System Security Engineering-Capability Maturity Model Organization (SSE-CMM)

Year (A.D.)

2010

Document Type

Thesis

First Advisor

นครทิพย์ พร้อมพูล

Faculty/College

Faculty of Engineering (คณะวิศวกรรมศาสตร์)

Degree Name

วิทยาศาสตรมหาบัณฑิต

Degree Level

ปริญญาโท

Degree Discipline

วิศวกรรมซอฟต์แวร์

DOI

10.58837/CHULA.THE.2010.1417

Abstract

ความมั่นคงของระบบ มีความสำคัญอย่างยิ่งต่อการดำเนินการด้านระบบเทคโนโลยีสารสนเทศขององค์กร หากพบว่าระบบมีจุดอ่อนเกิดขึ้น มีความเสี่ยงที่จะถูกโจมตี อาจจะส่งผลกระทบต่อการปฏิบัติงานขององค์กรเป็นอย่างมาก หากองค์กรสามารถกำหนดความต้องการความมั่นคงได้อย่างครบถ้วนเพื่อใช้ในการออกแบบและสร้างระบบ เพื่อจัดการกับภัยคุกคามอย่างมีประสิทธิภาพ อย่างไรก็ตามการกำหนดความต้องการความมั่นคงนั้นอาจจะทำได้ยาก เนื่องจากจำเป็นต้องใช้ผู้ที่มีประสบการณ์และความชำนาญเฉพาะด้าน มาตรฐานหนึ่งที่เกี่ยวข้องกับความมั่นคงของระบบโดยตรงคือ มาตรฐานเอสเอสอี-ซีเอ็มเอ็ม ได้ช่วยกำหนดแนวทางในการปรับปรุงกระบวนการด้านความมั่นคงให้กับองค์กร การที่จะดำเนินกระบวนการให้เป็นไปตามมาตรฐานนั้น จะต้องมีการวิเคราะห์ช่องว่างโดยเทียบกับมาตรฐาน เพื่อจะช่วยให้องค์กรได้ทราบว่ามีกิจกรรมอะไรที่ยังไม่ได้ดำเนินการงานวิจัยนี้ได้นำเสนอกรอบงานการวิเคราะห์ช่องว่างตามลำดับความสำคัญของความต้องการความมั่นคง สำหรับองค์กรที่เลือกใช้มาตรฐานเอสเอสอี-ซีเอ็มเอ็ม ซึ่งกรอบงานนี้ประกอบด้วย 6 ขั้นตอนคือ การจัดตั้งโครงการวิเคราะห์ช่องว่าง การนิยามความมั่นคง การนิยามรายการปฏิบัติ การจัดลำดับความสำคัญของความมั่นคง การจัดลำดับความสำคัญของรายการปฏิบัติ และการวิเคราะห์ช่องว่าง และได้พัฒนาเครื่องมือสนับสนุนการวิเคราะห์ช่องว่างตามลำดับความสำคัญของความต้องการความมั่นคง เพื่อช่วยประเมินองค์กรก่อนการปรับปรุงกระบวนการ พร้อมทั้งเป็นแนวทางสำหรับการปรับปรุงกระบวนการด้านความมั่นคง

Other Abstract (Other language abstract of ETD)

System security is very important for an organization information technology system. If there are the vulnerabilities that have the risk of being attack, it may significantly effect to the organization operation. Thus, it is necessary for the organization to completely define the security requirements that are used for system security design and development in order to handles the security threats effectively. However, it is quite difficulty to do due to the fact that the defining security requirements requires the security expert. SSE-CMM is the security reference model that helps guide the security process for the organization. To follow this standard, the gap analysis to assess the activities that are undone should be conducted.This thesis proposes the gap analysis supporting framework based on security requirements prioritization for SSE-CMM. This framework comprises six phases, which are project establishment phase, security definition phase, action definition phase, security prioritization phase, security–reference model prioritization phase and gap analysis phase. Moreover, a prototyping tool is developed to support the gap analysis based upon the proposed structure of framework in order to assess the gap and help as a guideline for system security improvement.

Link to Full Text

Share

COinS