PL
 |
EN
Preferencje help
Polish version English version Język
Widoczny [Schowaj] Abstrakt
Liczba wyników

Znaleziono wyników: 12

Liczba wyników na stronie
first rewind previous Strona / 1 next fast forward last
Wyniki wyszukiwania
help Sortuj według:

help Ogranicz wyniki do:
first rewind previous Strona / 1 next fast forward last
1
Content available remote A graph-based risk assessment and prediction in IT systems
El Fray I., Pejaś J.
Przegląd Elektrotechniczny
|
2017
|
R. 93, nr 1
91--95
EN
In this paper we propose a graph-based model for the description of a risk analysis process and a risk calculation in IT systems. Our model based on a graph (Graph Risk model in short) is compliant with international standards and recommendations. The graph model for risk assessment includes the best practices in IT Governance. Based on the proposed model there is possible to describe the structure of the security system, its components and relations, and then to make risk calculations for each embedded component of the evaluated system. Moreover, it allows to compare results obtained using different risk analysis method in the context of compliance with standards and recommendations. A simple example given at the end of this paper illustrates how to apply the proposed model to describe the security system and calculate its final risk values.
PL
W artykule zaproponowano oparty na teorii grafów model opisu procesu analizy i oceny ryzyka w systemach informatycznych. Model ten (w skrócie model grafu ryzyk) jest zgodny z międzynarodowymi standardami i zaleceniami. Model grafowy do szacowania ryzyka budowany jest w oparciu o dobre praktyki z zakresu zarządzania IT. W oparciu o zaproponowany model możliwe jest opisanie struktury systemu bezpieczeństwa, jego komponentów i ich relacji, a następnie oszacowanie ryzyka każdego komponentu ocenianego systemu. Ponadto, proponowany model pozwala na porównanie wyników z innymi wynikami uzyskanymi za pomocą metody analizy ryzyka „FoMRA” w kontekście zgodności z normami i zaleceniami. Na końcu niniejszego artykułu podany jest przykład pokazujący, jak zastosować proponowany model do opisania systemu bezpieczeństwa SI i obliczyć jego wagę ryzyka.
2
Content available remote Implementation of Pairing-Based Cryptographic Trust Infrastructure in Mobile Environment
Hyla T., El Fray I, Maćków W., Pejaś J.
Przegląd Elektrotechniczny
|
2015
|
R. 91, nr 2
93-97
EN
Current trends in information system design show that users should have access to services provided by information system offered on their mobile devices. Because many information systems store sensitive information, appropriate protection mechanisms must be deployed. This paper presents the software libraries (APIs) that can be used to implement pairing-based systems on mobile devices. Variety of mobile devices causes that is necessary to design a generic trust infrastructure that will allow to implement efficiently a system that uses parings. There are two basic paradigms that can be used: client-server or cloud-based. The analysis of pros and cons of the architectures showed that it is faster and easier to implement pairing application using cloud-based approach mainly because of the lower number of components required to implement, e.g., the library containing pairing calculations must be only prepared for one operating system instead of many that are using different technologies. The tests conducted using cloud-based demonstrator showed, that in case of documents signing and verification with auxiliary server instead of the mobile device, the pairing calculation time is marginally short in relation to the required to retrieve documents from a remote location.
PL
Aktualne trendy w projektowaniu systemów informacyjnych pokazują, że użytkownik powinien mieć dostęp do usług systemów IT za pomocą urządzeń mobilnych. W przypadku przechowywania informacji wrażliwej w systemach informacyjnych muszą być wdrożone odpowiednie mechanizmy zabezpieczeń. W artykule zaprezentowano biblioteki programowe (API), umożliwiające implementacje systemów wykorzystujących odwzorowania dwuliniowe na urządzeniach mobilnych. Różnorodność urządzeń mobilnych powoduje, że konieczne jest zaprojektowanie ogólnej infrastruktury zaufania, w szczególności przy założeniu wykorzystania odwzorowań dwuliniowych. W artykule zostały przeanalizowane dwa podstawowe podejścia bazujące na modelu klient-serwer i modelu bazującym na chmurze. Testy bazujące na demonstratorze wykorzystującym model chmury pokazały, że czas obliczeń odwzorowania przy podpisywaniu i weryfikowaniu podpisu cyfrowego jest bardzo mały w stosunku do czasu pobierania plików ze zdalnych serwerów.
3
Content available remote Authentication protocol for software and hardware components in distributed electronic signature creation system
Pejaś J., El Fray I., Ruciński A.
Przegląd Elektrotechniczny
|
2012
|
R. 88, nr 10b
192-197
EN
The paper presents the solution enabling to distribute different software and hardware components between public network system users (application providers, electronic signature service providers and signing entities) in the manner ensuring the appropriate security level of signing and verification/validation processes. The essential elements of the presented method are authentication protocols of the software and hardware components. These protocols and supporting hardware components constitute the trusted computing base for the creation and verification of an electronic signature in distributed systems. By the use of proposed protocols it is possible to meet the security requirements defined in the standard PN ISO/IEC 15408 (so called "Common Criteria") for EAL4+ category.
PL
W artykule przedstawiono sposób rozproszenia różnych komponentów programowych i sprzętowych pomiędzy użytkowników systemu (dostawcę aplikacji, dostawcę usługi podpisu elektronicznego i podmiot podpisujący), pracujących w sieci publicznej, zapewniający odpowiedni poziom bezpieczeństwa procesowi podpisywania lub weryfikowania podpisu. Istotnymi elementmi prezentowanego sposobu są protokoły uwierzytelniania komponentów programowo-sprzętowych. Protokoły te, wraz ze wspierającymi je elementami sprzętowymi, stanowią wiarygodną bazę obliczeniową dla rozproszonego systemu do składania i weryfikacji podpisu elektronicznego. Dzięki zastosowaniu proponowanych protokołów możliwe jest spełnienie wymagań bezpieczeństwa określonych w PN ISO/IEC 15408 (tzw. Common Criteria) dla poziomu EAL4+.
4
Content available remote A new model of a system to monitor the activity of employees In the organization in accordance with ISO/IEC 27001 requirements
El Fray I.
Przegląd Elektrotechniczny
|
2012
|
R. 88, nr 11a
59-65
EN
The proposed model of the system to monitor the activity of employees focused on creating a safe and stable solution, which, together with the monitoring process, is not overloading the observed device. This model complements the organization's security policy requirements In accordance with ISO/IEC 27001 standard. It is based on known and proven technology using the advantages of similar solutions, domestic and foreign, while eliminating their drawbacks. The study showed that the proposed model provides a wide range of useful functionality for a potential supervisor in dynamically changing environment of the observed machine.
PL
Zaproponowany model systemu monitorowania czynności pracowników skupia się na stworzeniu bezpiecznego i stabilnego rozwiązania, które nie obciąża obserwowanej maszyny. Model ten jest uzupełnieniem wymagań polityki bezpieczeństwa organizacji zgodnie z ISO/IEC 27001. Opiera się on na znanych i sprawdzonych technologiach, wykorzystujących zalety podobnych rozwiązań krajowych i zagranicznych, jednocześnie eliminując ich wady. Przeprowadzone badania wykazały iż proponowany model zapewnia szeroki wachlarz pożytecznych dla potencjalnego nadzorcy funkcjonalności w zmieniającym się otoczeniu.
5
Content available An approach to determine the Evaluation Assurance Level to the system based on the results of risk analysis
El Fray I.
Pomiary Automatyka Kontrola
|
2011
|
R. 57, nr 7
770-773
EN
This paper presents an approach to determine the Evaluation Assurance Level (EAL) for IT systems based on risk analysis results with the use of common methods, such as CRAMM, OCTAVE or MEHARI. The main goal of the work was the analysis of mutual influence of strength of function and vulnerability taking into account the classification of common vulnerabilities. The attack potential factors were also determined as elements broadening the knowledge bases included in Mehari method. The correctness of discussed method has been verified on the example of CA computer network.
PL
W artykule przedstawiano sposób wyznaczania poziomu uzasadnionego zaufania do systemu (EAL) w oparciu o wyniki analizy ryzyka z wykorzystaniem dostępnych na rynku metod analizy ryzyka, jak CRAMM, OCTAVE czy MEHARI. Głównym celem pracy była analiza wzajemnego wpływu siły funkcji zabezpieczeń, potencjał ataku, oraz komponenty procesu analizy podatności z uwzględnieniem klasyfikacji powszechnie występujących słabości systemów informatycznych. Określono również czynniki potencjału ataku jako elementy rozszerzające bazę wiedzy zawartą w metodzie Mehari. Prawidłowość omawianego sposobu zweryfikowano na podstawie przykładowego sieciowego urzędu certyfikującego (dwusegmentowa sieć CA). Otrzymane wyniki wykazały, że przy minimalnych zmianach w bazie wiedzy Mehari możliwe jest wykonanie szczegółowej oceny badanej przykładowej infrastruktury klucza publicznego oraz w przybliżeniu można wyznaczyć jej poziom uzasadnionego zaufania zgodnie z wymaganiami wspólnych kryteriów (Common Criteria ISO/IEC 15408).
6
Content available Information Security Management System proposal
El Fray I., Klasa T.
Pomiary Automatyka Kontrola
|
2010
|
R. 56, nr 12
1544-1546
EN
Information security in organizational and corporate information systems is currently one of the most important business problems. Losing control over vulnerable information may lead to severe losses and, as a consequence, bankruptcy. For such reason utilization of efficient information security management system becomes more and more important. Growing speed of business limits the efficiency of traditional solutions in this area, based on manual audits. Automation of assessment as well as monitoring becomes necessary, followed by a method of efficient integration of those two processes, decreasing latencies in information security management process.
PL
Bezpieczeństwo informacji w systemach informacyjnych organizacji i przedsiębiorstw jest obecnie jednym z najważniejszych problemów biznesowych. Utrata kontroli nad informacjami wrażliwymi może doprowadzić do dotkliwych strat, a w konsekwencji do bankructwa firmy. Dlatego też coraz bardziej istotne jest posiadanie sprawnie funkcjonującego systemu zarządzania bezpieczeństwem informacji. Rosnące tempo prowadzenia biznesu ogranicza efektywność tradycyjnych rozwiązań w tym obszarze, opartych na manualnych analizach ryzyka i audytach bezpieczeństwa. Konieczna staje się automatyzacja zarówno procesu oceny stanu bezpieczeństwa organizacji, jak i procesu monitorowania bezpieczeństwa informacji, oraz opracowanie metody ich efektywnej integracji. Celem automatyzacji jest zmniejszenie opóźnień w procesie zarządzania bezpieczeństwem informacji. Artykuł przedstawia propozycję integracji tych dwóch obszarów (oceny i monitorowania) w jednym, wysoce zautomatyzowanym systemie zarządzania bezpieczeństwem informacji - odpowiedź na wzrastające tempo działań biznesowych, powodujące znaczne ograniczenie dostępnego czasu na reakcję.
7
Content available Authentication and authorization in multilevel security systems for public administration
El Fray I., Hyla T., Maćków W., Pejaś J.
Pomiary Automatyka Kontrola
|
2010
|
R. 56, nr 8
983-986
EN
The article contains a brief survey of the different approaches to authentication and authorization in distributed systems and the new concept of the authentication and authorization based on multilevel security features. Proposed idea should be particularly useful in public administration systems. Such systems can consist of many separated subsystems with completely different authentication mechanisms. The goal of the paper was to develop a prototype of Authentication and Authorization System (AAS in short) to supervise access to the data applications operating in the information systems of public administration.
PL
Artykuł zawiera krótki przegląd różnych metod uwierzytelniania i autoryzacji w systemach rozproszonych oraz nową koncepcję uwierzytelniania w oparciu o zabezpieczenia wielopoziomowe. Zaproponowane rozwiązanie powinno być szczególnie użyteczne w systemach informacyjnych administracji publicznej, które zwykle składają się z wielu podsystemów posiadających całkowicie różne mechanizmy uwierzytelniania i autoryzacji. W artykule zaproponowano taki sposób integracji tych mechanizmów, aby w zależności od poziomu uprawnień bezpieczeństwa podmiotu oraz wrażliwości danych możliwe było nie tylko kontrolowanie dostępu do tych danych, ale użycie różnych metod uwierzytelniania (np. uwierzytelniania wieloczynnikowego). Chociaż w systemach rozproszonych poziomy uprawnień bezpieczeństwa podmiotu oraz wrażliwości danych brane są pod uwagę tylko w procesie autoryzacji, realizowanego zwykle w oparciu o modele kontroli dostępu będące kombinacją modeli MAC i RBAC, w naszej propozycji przyjmujemy dodatkowo, że czynniki te powinny być brane po uwagę także w procesie uwierzytelnia i mieć wpływ na stosowane metody uwierzytelniania. Celem artykułu jest przedstawienie koncepcji prototypu systemu uwierzytelniania i autoryzacji (w skrócie SUA) nadzorującego dostęp do aplikacji działających w systemach informacyjnych administracji publicznej. Wymagania bezpieczeństwa dla tej klasy systemów są zapisywane w postaci dobrze sformalizowanej politykibezpieczeństwa, uwzględniającej poziomy uprawnień bezpieczeństwa podmiotów zaangażowanych w wymianę danych, poziomy wrażliwości wymienianej informacji, a także własności (m.in. poziomy bezpieczeństwa) urządzeń stosowanych podczas przesyłania danych.
8
Content available Trust construction for security functions and mechanisms of IT system using results of risk analysis
El Fray I.
Pomiary Automatyka Kontrola
|
2009
|
R. 55, nr 10
893-843
EN
In this paper the new approach enabling trust construction for security functions and mechanisms of IT system is proposed. It is based on specific determinants of risk values and trust values and uses "MEHARI_V3" risk analysis method. The proposed approach takes into account functional requirements and a trust justification for security means defined in ISO/IEC 15408 standard as an extension for security domains determined in MEHARI method.
PL
W artykule zaproponowano nowe podejście umożliwiające budowę zaufania do funkcji i mechanizmów zabezpieczeń systemu IT na podstawie określonych determinantów wag ryzyka, z wykorzystaniem gotowych scenariuszy zawartych w bazie wiedzy na zasadzie licencji GNU " Mehari V3" oraz wartości zaufania z wykorzystaniem wymagań na funkcjonalne zabezpieczenie zawartych w częściej drugiej normy pt. "Kryteria oceny zabezpieczeń teleinformatyki" i wymagań na uzasadnienie zaufania do zabezpieczenia z części trzeciej cytowanej wyżej normy. Proponowane podejście wykorzystuje nowo powstałą tabelę awersji poziomu zaufania do systemu w zależności od czynników określających determinanty wartości zaufania i wag ryzyka. Tabela awersji poziomu zaufania jest oparta na tabeli awersji ryzyka zawartej w metodzie Mehari. Wartości determinantów wag ryzyka, wartości zaufania oraz poziomu zaufania określane są doświadczalnie na podstawie wykonanych analiz ryzyka oraz opracowanych profili zabezpieczeń systemów dla różnych instytucji. Proponowane podejście łączy w sobie zalety dwóch norm związanych z analizą ryzyka ISO/IEC 27001 i oceną bezpieczeństwa systemów ISO/IEC 15408 oraz umożliwia zwiększenie dokładności procesu szacowania ryzyka i zwiększa poziom zaufania odbiorców systemów IT.
9
Nowe podejście realizujące uwierzytelnienie i autoryzację żądań z wykorzystaniem usługi WEB XML
Maćków W., El Fray I.
Metody Informatyki Stosowanej
|
2009
|
nr 4 (21)
73-81
PL
Analiza rezultatów przeprowadzonych testów prowadzi do konkluzji, że dane, do których wykonywane są częste odwołania powinny znajdować się w miejscu o możliwie najkrótszym czasie dostępu oraz w strukturach cechujących się szybkim czasem przeszukiwania zbioru. Korzystanie z zewnętrznych źródeł danych, takich jak bazy danych, zewnętrzne pliki tekstowe, czy oddelegowywanie operacji związanych z autoryzacją do innych aplikacji powinno być ograniczane do niezbędnego minimum. Na podstawie przedstawionych wykresów i zebranych w tabelach danych można stwierdzić występowanie znacznego narzutu czasowego związanego z dostępem do tego typu źródeł danych. Zaproponowane rozwiązanie i związane z nim bardzo dobre wyniki okupione są jednak zwiększonymi wymaganiami w stosunku do pamięci oraz czasu potrzebnego na uruchamianie się aplikacji.
EN
This paper is a continuation of previous work on accessibility of information accests with the use of Web XML services [1]. Mentioned paper was focused in theoretical part on the detailed representation of the Web XML services requirements and its security, while in practical part was referring to the concept of a system enabling safe access to organization assets being Web XML services and their management. In this paper, the attempi was made to show that utilization of Web XML services enables the access and management of assets in a safe way, independently from the IT infrastructure within the organization. In order to achieve this goal, the project system described in above mentioned source was modified and detailed tests were performed. These tests were referring to comparison of decision making time and authorization by the new project system in comparison to that one described in the previous paper (server load responsible for authorization at variable number of defined users, roles and assets). The influence on the system efficiency at ascribed number of users/assets role, creation time of security context and memory load was also tested.
10
An experiment of implementation of DLP system working as a Linux kernel loadable module
Rakowski A., El Fray I.
Elektronika : konstrukcje, technologie, zastosowania
|
2009
|
Vol. 50, nr 11
48-51
EN
This article covers general description of DLP systems and some software implementations dedicated to Windows operating system. Also possible channels of loss of sensitive data were mentioned and described. Authors discuss their own experiment of creating simple data loss prevention system. Created system called PXX is made up of Linux's kernel loadable module for 2.6 family and root space daemon. The aim was to determine possibility of implementation of universal Linux-based business DLP solution.
PL
W pracy omówiono ogólnie ideę systemów DLP i kilku wybranych realizacji programowych dedykowanych platformie Windows. W artykule opisano także możliwe kanały wycieku informacji wrażliwej oraz przedstawiono autorską próbę utworzenia prostego systemu zapobiegania przed utratą danych. Utworzony system o nazwie PXX jest aplikacją złożoną z modułu jądra dla systemu Linux rodziny 2.6 oraz daemonem pracującym w przestrzeni administratora. Celem pracy jest określenie możliwości realizacji seryjnego i biznesowego rozwiązania rodziny DLP dla systemu Linux.
11
Kontrolowany i bezpieczny sposób udostępniana zasobów informacyjnych poprzez usługi Web XML
El Fray I.
Metody Informatyki Stosowanej
|
2008
|
nr 3 (Tom 16)
97--105
EN
In this paper, the model of a system enabling access to information resources on the basis of authentication and authorization techniques is proposed. The suggested model, being a separate application, is serving as a trusted proxy capable of the SOAP data conversion between communicating subjects. Presented system is using control tokens stored locally by a trusted proxy. This solution, in its nature, is safe and efficient (it decreases the time needed to authorize the access to resources).
12
Komputerowy system wspomagania zarządzania dokumentami
El Fray I.
Zeszyty Naukowe. Automatyka / Politechnika Śląska
|
2000
|
z. 130
21-28
PL
Obieg dokumentów w firmie jest ważnym elementem w procesie informowania i komunikowania się pomiędzy pracownikami. Obieg dokumentów w firmie, metody ich generowania określają pewne reguły wynikające z organizacji pracy, liczby zatrudnionych osób, stosowania różnego rodzaju systemów informatycznych mających na celu wspomaganie pracy. Nadmiarowość stosowanych systemów komputerowych w firmie oraz zła organizacja pracy powodują bałagan w obiegu dokumentów. Proponowany system ułatwia nadzór nad dokumentami wchodzącymi i wychodzącymi według zaleceń norm ISO 9000.
EN
Document's flow is a very important element in the information and communication processes between employees. The document's flow in the company and their generation is described by certain rules resulted from the organisation of the work, amount of employees, application of different computer systems for work assistance. High amount of the computer systems available and wrong organisation of the work can induce some "disorder" in document's flow. This in turn leads to multiple re-writing of the same document in different, not co-operating, systems, thus to prolonging the time of manipulative operations on the information highway. A good solution is ordering the documents circulation according to the ISO 9000 standard.
first rewind previous Strona / 1 next fast forward last
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.