Dissertação

{en_GB=RSLingo4Cybersecurity: Rigorous and Reusable Requirements Catalogue in Cybersecurity Domain } {} EVALUATED

{pt=As organizações estão a dar mais importância à segurança dos seus sistemas devido ao crescente número de ataques informáticos e da sua inerente complexidade. O objetivo do nosso trabalho é ajudar as organizações a planear e considerar essas preocupações de segurança desde o início e não apenas mais tarde nas fases de implementação ou desenvolvimento. Considera-se que os princípios de segurança por desenho e segurança por omissão são abordagens adequadas para evitar custos relacionados com a repetição de trabalho e para atenuar falhas de segurança. No entanto, da nossa análise, ainda não existe uma abordagem adequada para especificar requisitos de segurança de forma mais rigorosa e sistemática. Nesta tese, propomos uma abordagem que permite a definição e especificação de preocupações específicas de segurança tais como requisitos de segurança, mas também vulnerabilidades, riscos ou ameaças. Discutimos essa abordagem com base em duas partes principais: Introduzimos a linguagem RSLingo RSL, que se trata de uma linguagem rigorosa de especificação de requisitos, e discutimos como esta pode ser estendida para suportar esses conceitos específicos de segurança. E discutimos a relevância para a criação de um catálogo de especificações de segurança reutilizáveis e mostramos exemplos concretos de definição e uso de tais especificações. O catálogo proposto pode ser facilmente utilizado e ampliado pela comunidade, e integra atualmente a definição de 28 sistemas. No conjunto da definição desses sistemas, o catálogo agrega 45 vulnerabilidades, 125 riscos, 288 objectivos, 30 testes de BDD e 37 definição de termos. , en=Organizations are giving more importance to secure their systems due to the increasing number of cyber-attacks and inherent complexity. The aim of our work is helping organizations plan and consider these security concerns from the very beginning, since the requirements and design phases, and not just later in the implementation or deployment phases. Consider security-by-design and security-by-default principles are good approaches to avoid rework costs or to mitigate security flaws. However, there is not yet a suitable approach to specify security requirements in a rigorous and systematic way. In this thesis, we propose an approach that allows the definition and specification of security-specific concerns like security requirements but also vulnerabilities, risks or threats. We discuss this approach based on two key parts: First, we introduce the RSLingo RSL language, that is a rigorous requirements specification language, and discuss how it is extended to support such security-specific concepts. Second, we claim the relevance for a catalogue of reusable security-specific specifications and then we show concrete examples of defining and using such specifications. The proposed catalogue can be easily used and extended by the community and involves currently 45 vulnerabilities, 125 risks, 288 goals, 30 BDD tests and 37 terms definition. These concerns are aggregated in 28 systems in which 4 of them are final systems. }
{pt=Especificação de Requisitos, CiberSegurança, Catálogo de requisitos de segurança, en=Requirements specification, Cyber-security, Catalogue of security requirements}

Novembro 12, 2018, 10:30

Orientação

ORIENTADOR

Alberto Manuel Rodrigues da Silva

Departamento de Engenharia Informática (DEI)

Professor Associado