Hierarchy of the Assets Model for the Information Technology Security Management

• Autorzy: Białas A.

Warianty tytułu

PL

Model hierarchii zasobów do zarządzania bezpieczeństwem teleinformatyki

• Języki publikacji: EN

Abstrakty

EN

This paper deals with risk analysis and management in information technology security. It presents a new concept of information technology assets modeling. The assets model plays key role within any risk manager and decides about its efficiency. It was remarked, that all types of assets can be hierarchically ordered (nested), starting from elementary assets to most complex. Some cross sections of hierarchically ordered assets can be done, expressing any security aspect for IT system. This model can be used as a basic model for risk analyzer, intrusion detection, etc.

PL

Artykuł dotyczy podstaw komputerowego wspomagania zarządzania bezpieczeństwem teleinformatyki. Zdefiniowano w nim N-poziomowy model hierarchii zasobów, oznaczany skrótowo jako HAM N, zdolny do wyrażenia wszelkich znanych rodzajów zasobów - od informacji wrażliwych i usług krytycznych, po misję instytucji. Zdefiniowane przekroje modelu, grupujące zbiory podobnych atrybutów, pozwalają wyrazić dowolne aspekty, zarządzania zasobami, zarządzanie incydentami, zarządzanie ryzykiem czy kontrola skuteczności systemu zabezpieczeń. Model, zdefiniowany w postaci gramatyki, zinterpretowano kilkoma przykładami, przedstawiającymi aspekty praktyczne zarządzania. Jako novum można uznać przedstawienie hierarchii zasobów w połączeniu z ich charakterystykami przekrojowymi. Model stanowi podstawę do zaprojektowania szczegółowych struktur danych oraz programowych modułów wspomagających procesy zarządzania bezpieczeństwem teleinformatycznym, zwłaszcza te najtrudniejsze, wymagające szybkich decyzji wypracowanych na podstawie analizy bardzo wielu szczegółowych informacji.

• Wydawca: Instytut Informatyki Teoretycznej i Stosowanej Polskiej Akademii Nauk
• Czasopismo: Archiwum Informatyki Teoretycznej i Stosowanej
• Rocznik: 2003
• Tom: T. 15, z. 2
• Strony: 109--120
• Opis fizyczny: Bibnliogr. 24 poz., rys.

Twórcy

autor

Białas A.

• Institute of Control Systems, PL-41-506 Chorzów, Długa 1, Poland

Bibliografia

• [1] Andrukiewicz E.: Rola polityki bezpieczeństwa w systemach i sieciach teleinformatycznych przetwarzających informacje niejawne, IT Security Magazine. 1(2), październik 1999. pp. 19-25 (in polish).
• [2] Armstrong H.: Managing Information Security in Healthcare - an Action Research Experience, Proceedings of 16th IFIP TCI 1 Annual Working Conference. Beijing, August 2000.
• [3] Białas A.: Polityka bezpieczeństwa systemów teleinformatycznych instytucji - Szkic dokumentu polityki, WinSecurity Magazine Nr 3, styczeń 2002, pp. 33-41 (in polish).
• |4] Białas A.: Polityka bezpieczeństwa systemów teleinformatycznych instytucji - Wytyczne dotyczące bezpieczeństwa systemów, WinSecurity Magazine Nr 4, luty 2002, pp. 32-37 (in polish).
• [5] Białas A.: Polityka bezpieczeństwa systemów teleinformatycznych instytucji - Przykład sformułowania wymagań, Część I: Kontekst, cele i strategie bezpieczeństwa. WinSecurity Magazine Nr 5. marzec 2002, pp. 33-39 (in polish).
• [6] Białas A.: Polityka bezpieczeństwa systemów teleinformatycznych instytucji - Przykład sformułowania wymagań, Część II: Wymagania szczegółowe, WinSecurity Magazine Nr 6, kwiecień 2002. pp. 34-38 (in polish).
• [7] Białas A.: Polityka bezpieczeństwa systemów teleinformatycznych instytucji - Wytyczne dotyczące tworzenia polityki trzeciego poziomu, WinSecurity Magazine Nr 5 (7), maj 2002. pp. 41-44 (in polish).
• [8] Białas A.: Wprowadzenie do modelowania procesów analizy ryzyka w systemach teleinformatycznych. IX Konferencja SIECI KOMPUTEROWE - Zakopane 2002, Studia Informática vol. 23, Number 2B(49), Silesian University of Technology Press. Gliwice 2002. pp. 233-244 (in polish).
• [9] Białas A.: Zarządzanie bezpieczeństwem informacji w systemach gospodarki elektronicznej, VIII Konferencja SIECI KOMPUTEROWE - Krynica 2001, Studia Informatica vol. 22. Number 2(44), Silesian University of Technology Press, Gliwice 2001, pp. 365-389 (in polish).
• [10] Common Criteria for Information Technology Security Evaluation, Part I: Introduction and general model, v.2.1, August 1999.
• [11] Common Criteria for Information Technology Security Evaluation. Part 2: Security functional requirements, v.2.1, August 1999.
• [12] Common Criteria for Information Technology Security Evaluation, Part 3: Security assurance requirements, v.2.1, August 1999.
• [13] http://www.rsbac.org
• [14] ISO/IEC PDTR 15443-2 Information technology - Security Techniques - A framework of IT security assurance - Pan 2 Assurance methods. 2002 (draft).
• [15] ISO/IEC TR 13335-1: 1996. Information technology - Guidelines for the management of IT Security, Part 1 : Concepts and models for IT Security.
• [16] ISO/IEC TR 13335-2: 1997. Information technology - Guidelines for the management of IT Security, Pait2: Managing and planning IT Security.
• [17] ISO/IEC TR 13335-3: 1998, Information technology - Guidelines for the management of IT Security, Part3: Techniques for the management of IT Security.
• [18] Krause M.. Tipton F.H.: Handbook of Information Security Management, C-RC Press U.C. The CISSP Open Study Guide Web Site
• [19] Lidennan K.: Analiza ryzyka dla potrzeb bezpieczeństwa teleinformatycznego, WinSecurity Magazine Nr 2, grudzień 2001. pp. 36-42 (in polish).
• [20] Liebenberg A., Eloflf J.H.P.: MASS Model for Auditing Security Systems. Proceedings of 16' IFIP TCI 1 Annual Working Conference, Beijing 2000.
• [21] Mąka D.: Elementy analizy zagrożeń i zarządzania ryzykiem w świetle polityki bezpieczeństwa infor¬macyjnego. IT Security Magazine 8-9 (24-25)/2001. pp. 21-27 (in polish).
• [22] Project SPARTA: Security Policy Adaptation Reinforced Through Agents http://www.infosvs.tuwien.ac. at/sparta
• [23] Samwel P H. Spruit M.: Risk analysis on Internet connection. Proceedings of I7lh IFIP TCI I WGI 1.1 and WGI 1.2 Conference on Information Security Management &b Small Systems Security. Amsterdam, October 1999.
• [24] Sipponen M.T.: Policies for Construction of Information Systems' Security Guidelines, Proceedings of 16th IFIP TCI 1 Annual Working Conference, Beijing, August 2000.