Identyfikatory
Warianty tytułu
Specification of security requirements for information collected and proceeded by a server operating system
Języki publikacji
Abstrakty
W pracy przedstawiono powiązanie pomiędzy bezpieczeństwem funkcjonowania systemu operacyjnego serwera sieci teleinformatycznej, a bezpieczeństwem informacji. Serwer sieci teleinformatycznej pełni rolę węzła systemu realizując zadania uwierzytelniania oraz weryfikacji dla użytkowników, procesów programowych oraz zasobów sprzętowych. W publikacji poddano analizie zapisy umieszczone w dzienniku bezpieczeństwa serwera systemu teleinformatycznego. Przedstawiono przykład wymagań bezpieczeństwa dla wymienionego elementu systemu teleinformatycznego oraz przedstawiono propozycje dalszych działań mających na celu podniesienie bezpieczeństwa serwera systemu teleinformatycznego.
This paper presents relations between safety of an Information and Communication Technology (ICT) system server and safety of information collected and processed by the ICT system. At the beginning, the function of a server in the ICT system is explained. Next, the influence of the server safety on information safety attributes is presented. During the safety planning process there are various sources of information to be used by an information security team (Fig. 1). Next, a statistical analysis of records from the server security log is presented. The statistical parameters of a sample probe are given in Table 1. Its time series is depicted in Fig. 2. Most of events (66% of total number) recorded in the security log occurred less than 100 times, but only 13% of events occurred more than 1000 times (Table 2), which led to numerous records in the security log (more than 84000). After that, a proposal of security requirements is presented. However, it is difficult to analyse security log records due to their object database-like structure. Their type of information structure makes it necessary to create a dedicated software to decompose information into relational database scheme and merge to get an original structure of the record. The next problem to consider is how to use information from different devices in one model of ICT system security. As one of many possible solutions the authors recommend the graph analysis method.
Wydawca
Czasopismo
Rocznik
Tom
Strony
1075--1078
Opis fizyczny
Bibliogr. 11 poz., rys., tab., wykr
Twórcy
autor
autor
- Politechnika Wrocławska, Wydział Informatyki i Zarządzania, Instytut Informatyki, ul. Wybrzeże Wyspiańskiego 27, 50-370 Wrocław, ireneusz.jozwiak@pwr.wroc.pl
Bibliografia
- [1] Jennex M.: Modeling Security Requirements for Information Systems Development, http://www.sreis.org/SREIS_05_Program/full39_jennex.pdf
- [2] Liderman K.: Analiza ryzyka i ochrona informacji w systemach komputerowych, PWN, Warszawa 2008.
- [3] Polska Norma PN-I-13335-1 Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych, Polski Komitet Normalizacyjny, Warszawa 1999.
- [4] Aczel A.: Statystyka w zarządzaniu, PWN, Warszawa.
- [5] International Standard ISO/IEC-15408-1. Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model. Second edition 2005-10-01. International Organization for Standardization. Geneva 2005.
- [6] Jóźwiak I. J., Szleszyński A.: Use of the utility tree technique in process of threats analysis for information security in information and communication systems, Journal of KONBiN 2,3 (14,15) 2010, pp. 289-298, Warszawa 2010.
- [7] International Standard. Technical Report ISO/IEC TR 13335-3, Information technology - Guidelines for the management of IT Security. Part 3: Techniques for the management of IT Security, First edition 1998-06-15, International Organization for Standardization, Geneva 2005, Switzerland.
- [8] Wolaniuk L., Szleszyński A.: Metodyka szacowania ryzyka bezpieczeństwa informacji wojskowego polowego systemu teleinformatycznego. Wykorzystanie drzewa użyteczności do analizy ryzyka dla bezpieczeństwa informacji w wojskowym polowym systemie teleinformatycznym. WSOWL, Wrocław 2010.
- [9] Haley C. B., Moffet J. D., Laney R., Nuseibeh B.: Arguing Security: Validating Security Requirements Using Structured Argumentation, http://www.sreis.org/SREIS_05_Program/full14_haley.pdf
- [10] Jóźwiak I., Nowakowski T., Szleszyński A.: Methodology of specification of information security requirements Information and Communication Technology systems, [w:], Reliability, Risk and safety. Back to Future, Eds: B. J. M. Ale, I. A. Papazoglu, E. Zio, pp. 2126-2131, CRC Press Taylor & Francis Group, London 2010.
- [11] Polska Norma PN ISO/IEC - 17799:2007. Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji, Polski Komitet Normalizacyjny, Warszawa 2007.
Typ dokumentu
Bibliografia
Identyfikator YADDA
bwmeta1.element.baztech-article-BSW4-0105-0026