Ocena wpływu incydentów na poziom bezpieczeństwa zasobów informacyjnych metodą modelowania zagrożeń

• Autorzy: Jóźwiak I. J. , Szleszyński A.

Warianty tytułu

EN

Assessment of incident influence on information assets security by Threat Modelling Method

• Języki publikacji: PL

Abstrakty

PL

W artykule opisano zastosowanie metody modelowania zagrożeń dla potrzeb oceny poziomu bezpieczeństwa systemów informatycznych. Przedstawiono modyfikację metody bazującą na wykorzystaniu diagramów sekwencji do oceny zagrożeń w opracowywanym systemie informatycznym. Na podstawie przykładowego systemu teleinformatycznego (STI) zidentyfikowano wybrane incydenty, a następnie przeprowadzono analizę ich wpływu na STI. Autorzy przedstawili wykorzystanie metody modelowania zagrożeń rozbudowując ją o ocenę skumulowanych negatywnych skutków incydentu do ewaluacji poziomu bezpieczeństwa zasobów informacyjnych. Następnie opisano próbę połączenia uzyskanych wyników analizy ze zmianą atrybutów bezpieczeństwa informacji znajdujących się wewnątrz STI.

EN

The paper presents the use of the Threat Modelling Method (TMM) for assessing the incident influence on information assets security. The authors describe a modification of the first solution version which was used to identify ICT vital elements of the created software. The initial version of the TMM method is described in references. Each ICT system has entry points that are the connection between the software system and the outside environment. They are responsible for an interaction with the users and other systems or devices. The modification can be especially used for analysis of the software part of the ICT system. The process of analysis employs sequence diagrams to find potential vulnerabilities which may be exploited by an intruder. Then the authors show the use of the graph as an ICT system substitute. This technique enables identification of the system crucial element or elements. The subject of examination is the incidence between the graph vertexes. Each of them represent one of the element of the evaluated ICT system. The dependencies between vertexes and arcs expressed in vertex's degree help to discover which of the elements is crucial for proper ICT system work. A crucial element of the system will generate the largest losses when the incident occurs. The authors propose measurement of consequence of incident occurrence for each element (formula (2)). Formula (3) presents an aggregated risk connected with the incident occurrence and its negative results. The calculation of the aggregated risk enables preparing the ranking of possible incidents and their consequences. The ranking helps to discover which incident in which elements is the most dangerous for the evaluated system work. The method disadvantage is lack of a simple relation between the ICT system element, incident, message and its consequence (formula (1)). This is because the method is adopted from the analysis of software systems to the analysis more complex ICT systems. This kind of systems (ICT) consists of software, telecommunication equipment and computer devices. All of them can be affected by the incident and all of them can be the source of disturbance in ICT system operation.

Słowa kluczowe

PL

bezpieczeństwo systemu teleinformatycznego; metoda modelowania zagrożeń

EN

ICT security; Threat Modelling Method

• Wydawca: Wydawnictwo PAK
• Czasopismo: Pomiary Automatyka Kontrola
• Rocznik: 2014
• Tom: R. 60, nr 1
• Strony: 56--60
• Opis fizyczny: Bibliogr. 10 poz., rys., schem., tab., wzory

Twórcy

autor

Jóźwiak I. J.

• Instytut Informatyki, Wydział Informatyki i Zarządzania, Politechnika Wrocławska, ul. Wybrzeże Wyspiańskiego 27, 50-370 Wrocław

autor

Szleszyński A.

• Kadra Inżynierii Systemów, Wydział Zarządzania, Wyższa Szkoła Oficerska Wojsk Lądowych im. gen. T. Kościuszki, ul. Czajkowskiego 109, 51-150 Wrocław

Bibliografia

• [1] Białas A.: Bezpieczeństwo informacji i usług we współczesnej firmie, WNT, Warszawa 2006.
• [2] Jóźwiak I. J., Szleszyński A.: Ocena wpływu zabezpieczeń na poziom ochrony zasobów informacyjnych w systemach teleinformatycznych, Zeszyty Naukowe - Politechnika Śląska, z. 61 Organizacja i Zarządzanie, s. 181-190, 2012.
• [3] Jóźwiak I. J., Szleszyński A.: The Use of the Evaluation Method of Software System Architecture to Assess the Impacts on Information Security in Information and Communication Technology Systems, Journal of KONBIN 4(24) 2012. Safety and Reliability Systems, Publishing and Printing House of the Air Force Institute of Technology, Warszawa, Poland, pp. 59-70.
• [4] Kuchta D., Szleszyński A., Witkowski M.: Metodyka opracowania scenariuszy przebiegu incydentów w bezpieczeństwie systemu, wykorzystywanych w zarządzaniu bezpieczeństwem informacji w wojskowych systemach teleinformatycznych, WSOWL, Wrocław 2012.
• [5] Liderman K.: Analiza ryzyka i ochrona informacji w systemach komputerowych, PWN, Warszawa 2008.
• [6] Liderman K.: Bezpieczeństwo informacyjne, PWN, Warszawa 2012.
• [7] Narang M., Mehrotra M.: Security Issue – A Metrics Perspective, International Journal of Information Technology and Knowledge Management, July – December 2010, Vol. 2, No. 2, pp. 567-571.
• [8] Swiderski F., Window S.: Modelowanie zagrożeń, Promise, Warszawa 2005.
• [9] Vaugh R. B., Heming R., Siraj A.: Information Assurance Measures and Metrics – State of Practice and Proposed Taxonomy, Proceedings of the 36th Hawaii International Conference on System Sciences (HICSS’03), IEEE Computer Society 2002.
• [10] Wang L., Wong, E., Xu D.: A Threat Model Driven Approach for Security Testing, 2007. SESS '07: ICSE Workshops 2007. Third International Workshop on Software Engineering for Secure Systems, 20-26 May 2007, IEEE 2007.