Analysis of framework methods and software tools for information security risk management

Σαμπάνης, Σπυρίδων

Ανάλυση μεθόδων και εργαλείων λογισμικού για τη διαχείριση κινδύνων ασφάλειας πληροφοριών

Μεταπτυχιακή διπλωματική εργασία

Συγγραφέας

Σαμπάνης, Σπυρίδων

Ημερομηνία

2024-04-27

Επιβλέπων

Gritzalis, Stefanos

Thesis (2.979Mb)

Declaration of non-plagiarism and assumption of personal responsibility (96.14Kb)

Λέξεις-κλειδιά

Information security ; Risk management ; ISO 27005 vs NIST 800-37 ; OCTAVE ; FAIR ; Information security risk management ; Risk management tools ; Risk management frameworks ; Risk management methods

Περίληψη

Με τις απειλές για την ασφάλεια στον κυβερνοχώρο να αυξάνονται, οι οργανισμοί πρέπει να εφαρμόζουν ισχυρά μέτρα διαχείρισης κινδύνου ασφάλειας πληροφοριών (ISRM). Αυτό προϋποθέτει την επιλογή κατάλληλων πλαισίων και εργαλείων ευθυγραμμισμένων με τις συγκεκριμένες απαιτήσεις και τους περιορισμούς τους. Ωστόσο, η καταλληλόλητα αυτών των λύσεων σε διάφορα οργανωτικά πλαίσια παραμένει ανεπαρκώς αναλυμένη. Ως εκ τούτου, η παρούσα έρευνα διενεργεί συγκριτική αξιολόγηση των ευρέως υιοθετημένων πλαισίων, συμπεριλαμβανομένων των ISO 27005:2022, NIST SP 800-37, OCTAVE και FAIR, μαζί με εργαλεία λογισμικού όπως τα MSAT 4.0, CORAS, SimpleRisk και SAP GRC. Η μελέτη αξιολογεί αυτές τις επιλογές με βάση διάφορα κριτήρια που προτείνονται στην παρούσα μελέτη. Τα ευρήματα αποκαλύπτουν ότι οι ολοκληρωμένες λύσεις όπως το ISO 27005:2022 και το SAP GRC ταιριάζουν σε μεγάλες επιχειρήσεις, αλλά μπορούν να επιβαρύνουν τις μικρότερες οντότητες για τις οποίες μπορεί να είναι προτιμότερες οι λύσεις OCTAVE ή SimpleRisk. Οι βιομηχανίες με υψηλή ρύθμιση επωφελούνται από τις δυνατότητες συμμόρφωσης του ISO και του NIST, ενώ τα αρθρωτά εργαλεία όπως το MSAT και το CORAS παρέχουν ευελιξία. Τελικά, οι οργανισμοί πρέπει να σταθμίσουν τα κριτήρια με βάση την ωριμότητα, τις στρατηγικές ανάγκες και τα περιβάλλοντα κινδύνου για να καθορίσουν τα βέλτιστα πλαίσια και εργαλεία. Η βασική συμβολή είναι η παροχή μιας ισχυρής συγκριτικής ανάλυσης για την ενημέρωση της λήψης αποφάσεων. Καταλήγει στο συμπέρασμα ότι η τακτική επαναξιολόγηση είναι απαραίτητη, δεδομένου του δυναμικού τοπίου των απειλών. Αυτό συμβάλλει στη διατήρηση των επιλογών ευθυγραμμισμένων με τα εξελισσόμενα οργανωτικά πλαίσια. Περαιτέρω μελέτες περιπτώσεων και αξιολογήσεις αναδυόμενων λύσεων μπορούν να διευρύνουν τις γνώσεις. Συνολικά, η παρούσα έρευνα επιτρέπει στους οργανισμούς να κάνουν στρατηγικές επιλογές στην διαχείριση κινδύνου ασφάλειας πληροφοριών για μακροπρόθεσμη ανθεκτικότητα στον κυβερνοχώρο.

Αριθμός σελίδων

Σχολή

Σχολή Μηχανικών

Ακαδημαϊκό Τμήμα

Τμήμα Μηχανικών Πληροφορικής και Υπολογιστών

Τίτλος Προγράμματος Μεταπτυχιακών Σπουδών

Κυβερνοασφάλεια

Γλώσσα

Αγγλικά

URI

https://polynoe.lib.uniwa.gr/xmlui/handle/11400/6687
http://dx.doi.org/10.26265/polynoe-6523

Συλλογή

Μεταπτυχιακές διπλωματικές εργασίες - Κυβερνοασφάλεια

Εμφάνιση πλήρους εγγραφής

Αναφορά Δημιουργού - Μη Εμπορική Χρήση - Παρόμοια Διανομή 4.0 Διεθνές

Εκτός από όπου επισημαίνεται κάτι διαφορετικό, το τεκμήριο διανέμεται με την ακόλουθη άδεια:
Αναφορά Δημιουργού - Μη Εμπορική Χρήση - Παρόμοια Διανομή 4.0 Διεθνές