InfoSecRM: Uma Abordagem Ontológica para a Gestão de Riscos de Segurança da Informação
Resumo
Processos de Gerenciamento de Riscos de Segurança da informação utilizam informações de fontes variadas como dados sobre ativos e suas vulnerabilidades, logs de sistemas, decisões gerenciais etc. Recursos que possam auxiliar na manipulação de informações deste complexo arcabouços ao necessidades reais e relevantes a serem consideradas. Neste artigo, e apresentada uma ontologia como proposta de representação para formalizar, compartilhar, manipular e processar conceitos e informações relacionadas ao domínio de gestão de riscos de segurança da informação.
Palavras-chave:
Gestão de Riscos, Segurança da Informação, Manipulação de Informações,
Referências
ABNT (2005). ABNT NBR ISO/IEC 27002 - Codigo de prática para a gestãoo de segurança da informação . Associação Brasileira de Normas Técnicas, Rio de Janeiro.
ABNT (2006). ABNT NBR ISO/IEC 27001 - Sistemas de gestao de segurança da informação - requisitos . Associação Brasileira de Normas Técnicas, Rio de Janeiro.
ABNT (2008). ABNT NBR ISO/IEC 27005 - Gestao de riscos de segurança da informação . Associação Brasileira de Normas Técnicas, Rio de Janeiro.
Alberts, C. and Audrey, D. (2002). Managing Information Security Risks: The OCTAVE Approach. Addison Wesley.
AS/NZS (2004). AS/NZS 4360:2004 - Risk Management. Australian/New Zealand Standard, Autralia: GPO Box 5420, Sydney / New Zealand: Private Bag 2439,Wellington 6020.
Azevedo, R. R. (1994). Coresec: Uma ontologia para o domínio de segurança da informação. Master’s thesis, Universidade Federal de Pernambuco, Recife.
Brascher, M. and Carlan, E. (2010). Passeios no Bosque da Informação: Estudos sobre Representação e Organização da Informação e do Conhecimento , chapter Sistemasde organização do conhecimento: antigas e novas linguagens, pages 147–1 76. IBICT, Brasília.
Brewster, C., Alani, H., Dasmahapatra, S., and Wilks, Y. (2004). Data-driven ontology evaluation. In Proceedings of the Language Resources and Evaluation Conference (LREC 2004), pages 164–168, Lisbon, Portugal. European Language Resources Association.
Donner, M. (2003). Toward a security ontology. IEEE Security and Privacy magazine, 1(3):6–7.
Ehrig, M., Haase, P., Hefke, M., and Stojanovic, N. (2004). Similarity for ontologies - a comprehensive framework. FZI Research Center for Information Technologies at the University of Karlsruhe.
Fensel, D. (2000). Ontologies: Silver Bullet for Knowledge Management and Eletronic Commerce. Springer.
Fernandez-Lopez, M., Gomez-Perez, A., and Juristo, N. (1997). Methontology: from ontological art towards ontological engineering. In Proceedings of the AAAI97 Spring Symposium, pages 33–40, Stanford, USA.
Gruber, T. R. (1995). Toward principles for the design of ontologies used for knowledge sharing. International Journal of Human-Computer Studies, 43(5/6):907–928.
Gruninger, M. and Fox, M. (1995). Methodology for the Design and Evaluation of Ontologies. In IJCAI’95, Workshop on Basic Ontological Issues in Knowledge Sharing, April 13, 1995.
GSI-PR (2008). Gabinete de Segurança Institucional da Presidência da República. Norma Complementar GSI no 2, de 14 de outubro de 2008. Gabinete de Segurança Institucional da Presidência da República.
Guarino, N. (1998). Formal ontologies and information systems. First International Conference (FOIS), 1:3–15.
ISO (2009). ISO/IEC 27000 - Information Security Management Systems. International Organization for Standardization.
Lozano-Tello and Gomez-Perez, A. (2004). ONTOMETRIC: A method to choose the appropriate ontology. JOURNAL OF DATABASE MANAGEMENT, 15(2):1–18.
Maedche, A., Maedche, E., and Staab, S. (2002). Measuring similarity between ontologies. In in Proceedings of the European Conference on Knowledge Acquisition and Management (EKAW, pages 251–263. Springer.
Martimiano, L. A. F. (2006). Sobre a estruturação de informação de segurança com- putacional: o uso de ontologia. PhD thesis, Instituto de Ciencias Matem aticas e deComputação - ICMC, Universidade de São Paulo - USP, São Carlos.
Ning, H. and Shihan, D. (2006). Structure-based ontology evaluation. In e-Business Engineering, 2006. ICEBE ’06. IEEE International Conference on, pages 132–137.
Noy, N. F. and McGuinners, D. L. (2001). Ontology development 101: A guide to create your first ontology. Knowledge Systems Laboratory - Stanfor University.
Obrst, L., Ceusters, W., Mani, I., Ray, S., and Smith, B. (2007). The evaluation of ontologies. In Baker, C. J. and Cheung, K.-H., editors, Revolutionizing Knowledge Discovery in the Life Sciences, chapter 7, pages 139–158. Springer.
R Andersson, A. H. and Hallberg, J. (2003). Evaluation of the Security of Components in Distributed Information Systems. Swedish Defence Reaserch Agency.
Raskin, V., Hempelmann, C. F., Triezenberg, K. E., and Nirenburg, S. (2001). Ontology in information security: a useful theoretical foundation and methology tool. Proceedings of the workshop and New Security Paradigms.
Schumacher, M. (2003). Secuurity Engineering with patterns - Origins, Theoretical and New Applications, chapter Toward security core ontology, pages 87–96. Simpreger Verlag.
Silva, P. F., Otte, H., Todesco, J. L., and Gauthier, F. A. O. (2011). Uma ontologia para gestão de segurança da informação. Ontobras/Most - Internacional Workshop on Metamodels Ontologies and Semantic Technologies.
Sirin, E., Parsia, B., Grau, B., Kalyanpur, A., and Katz, Y. (2007). Pellet: A practical OWL-DL reasoner. Web Semantics: Science, Services and Agents on the World Wide Web, 5(2):51–53.
Semola, M. (2003). Gestão da segurança da informação: visão executiva da segurança da informação . Elsevier, Rio de Janeiro.
Stumme, G. and Maedche, A. (2003). Fca-merge: Bottom-up merging of ontologies. 17th Intl. Conf. on Artificial Inelligence (IJCAI ‘01, 19:225–230.
Vrandeci c, D. (2009).óntology Evaluation, pages 293–313. International Handbook on Information Systems. Springer.
ABNT (2006). ABNT NBR ISO/IEC 27001 - Sistemas de gestao de segurança da informação - requisitos . Associação Brasileira de Normas Técnicas, Rio de Janeiro.
ABNT (2008). ABNT NBR ISO/IEC 27005 - Gestao de riscos de segurança da informação . Associação Brasileira de Normas Técnicas, Rio de Janeiro.
Alberts, C. and Audrey, D. (2002). Managing Information Security Risks: The OCTAVE Approach. Addison Wesley.
AS/NZS (2004). AS/NZS 4360:2004 - Risk Management. Australian/New Zealand Standard, Autralia: GPO Box 5420, Sydney / New Zealand: Private Bag 2439,Wellington 6020.
Azevedo, R. R. (1994). Coresec: Uma ontologia para o domínio de segurança da informação. Master’s thesis, Universidade Federal de Pernambuco, Recife.
Brascher, M. and Carlan, E. (2010). Passeios no Bosque da Informação: Estudos sobre Representação e Organização da Informação e do Conhecimento , chapter Sistemasde organização do conhecimento: antigas e novas linguagens, pages 147–1 76. IBICT, Brasília.
Brewster, C., Alani, H., Dasmahapatra, S., and Wilks, Y. (2004). Data-driven ontology evaluation. In Proceedings of the Language Resources and Evaluation Conference (LREC 2004), pages 164–168, Lisbon, Portugal. European Language Resources Association.
Donner, M. (2003). Toward a security ontology. IEEE Security and Privacy magazine, 1(3):6–7.
Ehrig, M., Haase, P., Hefke, M., and Stojanovic, N. (2004). Similarity for ontologies - a comprehensive framework. FZI Research Center for Information Technologies at the University of Karlsruhe.
Fensel, D. (2000). Ontologies: Silver Bullet for Knowledge Management and Eletronic Commerce. Springer.
Fernandez-Lopez, M., Gomez-Perez, A., and Juristo, N. (1997). Methontology: from ontological art towards ontological engineering. In Proceedings of the AAAI97 Spring Symposium, pages 33–40, Stanford, USA.
Gruber, T. R. (1995). Toward principles for the design of ontologies used for knowledge sharing. International Journal of Human-Computer Studies, 43(5/6):907–928.
Gruninger, M. and Fox, M. (1995). Methodology for the Design and Evaluation of Ontologies. In IJCAI’95, Workshop on Basic Ontological Issues in Knowledge Sharing, April 13, 1995.
GSI-PR (2008). Gabinete de Segurança Institucional da Presidência da República. Norma Complementar GSI no 2, de 14 de outubro de 2008. Gabinete de Segurança Institucional da Presidência da República.
Guarino, N. (1998). Formal ontologies and information systems. First International Conference (FOIS), 1:3–15.
ISO (2009). ISO/IEC 27000 - Information Security Management Systems. International Organization for Standardization.
Lozano-Tello and Gomez-Perez, A. (2004). ONTOMETRIC: A method to choose the appropriate ontology. JOURNAL OF DATABASE MANAGEMENT, 15(2):1–18.
Maedche, A., Maedche, E., and Staab, S. (2002). Measuring similarity between ontologies. In in Proceedings of the European Conference on Knowledge Acquisition and Management (EKAW, pages 251–263. Springer.
Martimiano, L. A. F. (2006). Sobre a estruturação de informação de segurança com- putacional: o uso de ontologia. PhD thesis, Instituto de Ciencias Matem aticas e deComputação - ICMC, Universidade de São Paulo - USP, São Carlos.
Ning, H. and Shihan, D. (2006). Structure-based ontology evaluation. In e-Business Engineering, 2006. ICEBE ’06. IEEE International Conference on, pages 132–137.
Noy, N. F. and McGuinners, D. L. (2001). Ontology development 101: A guide to create your first ontology. Knowledge Systems Laboratory - Stanfor University.
Obrst, L., Ceusters, W., Mani, I., Ray, S., and Smith, B. (2007). The evaluation of ontologies. In Baker, C. J. and Cheung, K.-H., editors, Revolutionizing Knowledge Discovery in the Life Sciences, chapter 7, pages 139–158. Springer.
R Andersson, A. H. and Hallberg, J. (2003). Evaluation of the Security of Components in Distributed Information Systems. Swedish Defence Reaserch Agency.
Raskin, V., Hempelmann, C. F., Triezenberg, K. E., and Nirenburg, S. (2001). Ontology in information security: a useful theoretical foundation and methology tool. Proceedings of the workshop and New Security Paradigms.
Schumacher, M. (2003). Secuurity Engineering with patterns - Origins, Theoretical and New Applications, chapter Toward security core ontology, pages 87–96. Simpreger Verlag.
Silva, P. F., Otte, H., Todesco, J. L., and Gauthier, F. A. O. (2011). Uma ontologia para gestão de segurança da informação. Ontobras/Most - Internacional Workshop on Metamodels Ontologies and Semantic Technologies.
Sirin, E., Parsia, B., Grau, B., Kalyanpur, A., and Katz, Y. (2007). Pellet: A practical OWL-DL reasoner. Web Semantics: Science, Services and Agents on the World Wide Web, 5(2):51–53.
Semola, M. (2003). Gestão da segurança da informação: visão executiva da segurança da informação . Elsevier, Rio de Janeiro.
Stumme, G. and Maedche, A. (2003). Fca-merge: Bottom-up merging of ontologies. 17th Intl. Conf. on Artificial Inelligence (IJCAI ‘01, 19:225–230.
Vrandeci c, D. (2009).óntology Evaluation, pages 293–313. International Handbook on Information Systems. Springer.
Publicado
16/05/2012
Como Citar
GUALBERTO, Éder S.; DE SOUSA JR, Rafael T.; DE DEUS, Flávio E. G.; DUQUE, Cláudio G..
InfoSecRM: Uma Abordagem Ontológica para a Gestão de Riscos de Segurança da Informação. In: SIMPÓSIO BRASILEIRO DE SISTEMAS DE INFORMAÇÃO (SBSI), 8. , 2012, São Paulo.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2012
.
p. 37-48.
DOI: https://doi.org/10.5753/sbsi.2012.14392.
