Use of the utility tree technique in process of treats analysis for information security in information and communication systems

• Autorzy: Jóźwiak I. J. , Szleszyński A.

Warianty tytułu

PL

Wykorzystanie techniki drzewa użyteczności w procesie analizy zagrożeń dla bezpieczeństwa informacji w systemach teleinformatycznych

• Języki publikacji: EN

Abstrakty

EN

This paper describes a technique of utility tree, which can be used in process of risk analysis for information security in information and communication systems. The technique uses connections between vulnerabilities of a system's element, a frequency of an event incidence (which exploits the vulnerability) and its the importance of such events for information security. It also describes and evaluates the influence of an event on information and communication system. The technique uses a qualitative risks assessment, which makes it simple in use.

PL

W artykule opisano wykorzystanie techniki drzewa użyteczności w procesie analizy ryzyka dla bezpieczeństwa informacji w systemach teleinformatycznych. Technika wykorzystuje powiązanie występujące pomiędzy podatnością występującą w elemencie systemu, częstością występowania zdarzeń wykorzystującą daną podatność oraz istotnością takiego zdarzenia dla bezpieczeństwa informacji oraz funkcjonowania systemu teleinformatycznego. Technika wykorzystuje jakościową ocenę zagrożeń, dzięki czemu jest ona prosta w stosowaniu.

Słowa kluczowe

EN

risk analysis; information security; utility tree; information and communication system

PL

analiza ryzyka; bezpieczeństwo informacji; drzewo użyteczności; system teleinformatyczny

• Wydawca: Wydawnictwo Instytutu Technicznego Wojsk Lotniczych
• Czasopismo: Journal of KONBiN
• Rocznik: 2010
• Tom: No. 2-3 (14-15)
• Strony: 289--298
• Opis fizyczny: Bibliogr. 10 poz.

Twórcy

autor

Jóźwiak I. J.

autor

Szleszyński A.

• Institute of Informatics, Faculty of Computer Science and Management, Wrocław University of Technology, Wybrzeże Wyspiańskiego 27 Str., 50-370 Wrocław, Poland

Bibliografia

• 1. Białas A.: Bezpieczeństwo informacji i usług we współczesnej firmie i instytucji, WNT, Warszawa 2006.
• 2. Hayakin S.: Systemy telekomunikacyjne t.1, Wydawnictwa Komunikacji i Łączności, Warszawa 2004.
• 3. International Standard ISO/IEC TR 13335-1 Information technology - guidelines for management of IT security - Part 1: Concept and models for IT security - International Standard Organization, Geneva 1996.
• 4. International Standard ISO/IEC 15408-1- Information Technology. Security techniques - Evaluation criteria for IT security. Part I. Introduction and general model, Second edition, International Standard Organization, Geneva 2005.
• 5. Polska Norma PN-ISO/IEC 17799:2007 Technika Informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji, PKN, Warszawa 2007.
• 6. Liderman K.: Analiza ryzyka i ochrona informacji w systemach komputerowych, PWN, Warszawa 2008.
• 7. Liderman K.: Wykorzystanie drzewa zagrożeń w analizie ryzyka, [w:] Bezpieczeństwo teleinformatyczne. Aspekty techniczne i prawne, red. K. Liderman, Wojskowa Akademia Techniczna, Warszawa 2006.
• 8. Small and Midsized Businesses Aware of Security Risks, But Not Doing All They Can to Protect Information. While SMBs understand security risks, a high percentage have failed to enact basic safeguards [on-line access] http://www.symantec.com/about/news/release/article.jsp?prid=20090409_01
• 9. Ustawa o ochronie informacji niejawnych, Dz.U.1999 nr 11 poz. 95 nr z dn. 22 stycznia 1999 r. z póź. Zmianami
• 10. Ustawa o ochronie danych osobowych, Dz. U. 1997 nr 133 poz. 833 z dn. 29 sierpnia 1997 r. Z póź. zmianami