Wykorzystanie analizy ryzyka oraz scenariuszy przebiegu incydentów w systemie zarządzania bezpieczeństwem informacji gromadzonej, przetwarzanej i przesyłanej w systemach teleinformatycznych instytucji

• Autorzy: Szleszyński A. , Witkowski M.

Warianty tytułu

EN

Use of risk analysis and incident scenarios in systems managing security of information collated, processed and transmitted in information and communication technology systems

• Języki publikacji: PL

Abstrakty

PL

W pracy przedstawiono wykorzystanie analizy ryzyka oraz scenariuszy przebiegu incydentów w systemie teleinformatycznym do oceny wpływu incydentów na bezpieczeństwo gromadzonej i przetwarzanej w systemie informacji. Dokonano przeglądu literatury przedmiotu, a następnie zaprezentowano związki pomiędzy analizą ryzyka a scenariuszami. Scenariusz w sposób opisowy ma pokazać, jakie mogą być skutki incydentów dla bezpieczeństwa systemu teleinformatycznego oraz dla znajdującej się w nim informacji. Przedstawiono wyniki badań dotyczące znajomości zagadnień związanych z analizą ryzyka. Wykonanie analizy ryzyka jest wymaganiem ustawowym.

EN

In the paper the use of risk analysis and incident scenarios in Information and Communication Technology (ICT) systems is presented. An evaluation of the incidents affecting the security of information stored and processed in an ICT system is made. In the first part of the paper an analysis of the current state is made. Next a correlation between risk analysis and incident scenarios developed for information security is shown. In Tables 1, 2, 3 and 4 the result of the survey conducted by the authors on the body of knowledge related to risk analysis methods is shown. The survey shows that potential analysis users who would have to do it sometime in the future have decent theoretical knowledge about risk analysis. However, as they indicated in their responses, they were not ready to make it themselves.

Słowa kluczowe

PL

bezpieczeństwo informacji; analiza ryzyka; scenariusze przebiegu incydentów; systemy teleinformatyczne

EN

information security; risk analysis; incident scenarios; information and communication technology systems

• Wydawca: Wydawnictwo Akademii Wojsk Lądowych imienia generała Tadeusza Kościuszki
• Czasopismo: Zeszyty Naukowe / Wyższa Szkoła Oficerska Wojsk Lądowych im. gen. T. Kościuszki
• Rocznik: 2013
• Tom: Nr 4
• Strony: 153--166
• Opis fizyczny: Bibliogr. 17 poz., tab.

Twórcy

autor

Szleszyński A.

• Wydział Zarządzania, Wyższa Szkoła Oficerska Wojsk Lądowych

autor

Witkowski M.

• Instytut Dowodzenia, Wyższa Szkoła Oficerska Wojsk Lądowych

Bibliografia

• 1. Aven T., Foundation of risk analysis. A Knowledge and Decision – Oriented Perspective, John Wiley & Sons Ltd, Chichester, West Sussex 2003.
• 2. Białas A., Bezpieczeństwo informacji i usług we współczesnej firmie lub organizacji, WNT, Warszawa 2006.
• 3. Clements P., Kazman R., Klein M., Architektura oprogramowania. Metody oceny oraz analiza przypadków, Wydawnictwo Helion, Gliwice 2003.
• 4. Górny P., Elementy analizy decyzyjnej, AON, Warszawa 2004.
• 5. International Standard ISO/IEC-15408 part 1., Information security techniques, International Standardization Organization, Geneva 2005.
• 6. Jóźwiak I., Szleszyński A., Rola oraz bezpieczeństwo informacji w uczelni publicznej i niepublicznej, [w:] „Zeszyty Naukowe WSOWL”, nr 4/2011, Wrocław 2011, s.435-446.
• 7. Larman C., UML i wzorce projektowe. Analiza i projektowanie obiektowe oraz iteracyjny model wytwarzania aplikacji, Helion, Gliwice 2011.
• 8. Liderman K., Analiza ryzyka i ochrona informacji w systemach komputerowych, PWN, Warszawa 2008.
• 9. Michalski A., Dostępność informacji w organizacji gospodarczej, Wydawnictwo Politechniki Śląskiej, Gliwice 2007.
• 10. Polska Norma PN ISO/IEC 17799:2007, Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji, PKN, Warszawa 2007.
• 11. Polska Norma PN ISO/IEC 27001:2010, Technika informatyczna. Techniki bezpieczeństwa. System zarządzania bezpieczeństwem informacji. Wymagania, PKN, Warszawa 2010.
• 12. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r.Nr 100, poz. 1024).
• 13. Swiderski F., Snyder W., Modelowanie zagrożeń, Promise, Warszawa 2005.
• 14. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, (Dz. U. z 1997 r. Nr 133, poz. 883, z późn. zm.).
• 15. Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r. Nr 182, poz. 1228, z późn. zm.).
• 16. Wolaniuk L., Szleszyński A., Metodyka szacowania ryzyka bezpieczeństwa informacji wojskowego polowego systemu teleinformatycznego. Etap I: Wykorzystanie drzewa użyteczności do analizy ryzyka dla bezpieczeństwa informacji w wojskowym polowym systemie teleinformatycznym, WSOWL, Wrocław 2010.
• 17. Zio E., An Introduction To The Basics Of Reliability And Risk Analysis, World Scientific, Singapore 2010.