WNIOSEK O PORTFOLIO: Opracowanie koncepcji metodyki oceny ryzyka bezpieczeństwa systemów informatycznych

Podobne dokumenty
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Grzegorz Pieniążek Hubert Szczepaniuk

WNIOSEK O PORTFOLIO: Analiza i poprawa efektywności energetycznej na przykładzie obiektu sektora publicznego (jsp)

Opis merytoryczny. Cel Naukowy

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

I. O P I S S Z K O L E N I A

Model referencyjny doboru narzędzi Open Source dla zarządzania wymaganiami

PORTFOLIO: Systemy inteligentne w aparaturze medycznej Autor: Piotr Augustyniak

!!!!!!!!!!! PORTFOLIO: Analiza zachowań użytkowników serwisów internetowych. Autorzy: Marek Zachara

WNIOSEK O FINANSOWANIE PROJEKTU BADAWCZEGO - DOTACJA STATUTOWA

1. Opis merytoryczny. a. Cel naukowy: b. Istniejący stan wiedzy:

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

z siedzibą w Poznaniu W N I O S E K

6 Metody badania i modele rozwoju organizacji

Kompleksowe Przygotowanie do Egzaminu CISMP

17. Kierownik zadania badawczego zobowiązany jest złożyć sprawozdanie z realizacji wraz z udokumentowaniem efektów w terminie przewidzianym we

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Zarządzanie Projektami zgodnie z PRINCE2

Krzysztof Świtała WPiA UKSW

Bezpieczeństwo dziś i jutro Security InsideOut

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

WNIOSEK OSOBY FIZYCZNEJ

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

KIERUNKOWE EFEKTY KSZTAŁCENIA

Spis treści 5. Spis treści. Część pierwsza Podstawy projektowania systemów organizacyjnych przedsiębiorstwa

1. WYMAGANIA WSTĘPNE W ZAKRESIE WIEDZY, UMIEJĘTNOŚCI I INNYCH KOMPETENCJI

Maciej Byczkowski ENSI 2017 ENSI 2017

W jaki sposób efektywnie zarządzać ryzykiem w organizacji na przykładzie narzędzia klasy GRC. Jan Anisimowicz Łukasz Krzewicki 10 Marzec 2016

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

Usługa: Audyt kodu źródłowego

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

ZARZĄDZANIE WYMAGANIAMI ARCHITEKTONICZNYMI

ZAKRES DANYCH WYMAGANYCH

Jako odbiorców rezultatów Projektu wytypowano szereg instytucji i władz: Realizacja Projektu przewidziana jest do końca 2021 roku.

Wykorzystanie standardów serii ISO oraz OGC dla potrzeb budowy infrastruktury danych przestrzennych

WNIOSEK O FINANSOWANIE PROJEKTU BADAWCZEGO REALIZOWANEGO PRZEZ OSOBĘ ROZPOCZYNAJĄCĄ KARIERĘ NAUKOWĄ, NIEPOSIADAJĄCĄ STOPNIA NAUKOWEGO DOKTORA 1

Karta opisu przedmiotu Zaawansowane techniki analizy systemowej oparte o modelowanie warsztaty

ROZWÓJ SYSTEMÓW SZTUCZNEJ INTELIGENCJI W PERSPEKTYWIE "PRZEMYSŁ 4.0"

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Szkolenie otwarte 2016 r.

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze

Bezpieczeństwo danych w sieciach elektroenergetycznych

System wyboru projektów. Dr Tomasz Poprawka Zastępca Dyrektora ds. Działalności Programowej Warszawa, 10 maja 2016

KARTA PRZEDMIOTU. 1) Nazwa przedmiotu: INŻYNIERIA SYSTEMÓW I ANALIZA SYSTEMOWA. 2) Kod przedmiotu: ROZ-L3-20

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Szczegółowy opis przedmiotu zamówienia:

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zarządzanie relacjami z dostawcami

Zastosowanie rozmytych map kognitywnych do badania scenariuszy rozwoju jednostek naukowo-dydaktycznych

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Warsztaty FRAME. Sygnatura warsztatu: W1 (W3) Czas trwania: 3 dni

Zarządzanie projektami a zarządzanie ryzykiem

Promotor: dr inż. Krzysztof Różanowski

Formułowanie i zastosowanie pryncypiów architektury korporacyjnej w organizacjach publicznych

Zastosowanie symulacji Monte Carlo do zarządzania ryzykiem przedsięwzięcia z wykorzystaniem metod sieciowych PERT i CPM

Odniesienie do efektów kształcenia dla obszaru nauk EFEKTY KSZTAŁCENIA Symbol

WNIOSEK O FINANSOWANIE PROJEKTU BADAWCZEGO REALIZOWANEGO PRZEZ OSOBĘ FIZYCZNĄ

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Wprowadzenie w tematykę zarządzania przedsięwzięciami/projektami. dr inż. Agata Klaus-Rosińska

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

KIERUNKOWE EFEKTY KSZTAŁCENIA

Koncepcja organizacji zakupów grupowych Opracowano na podstawie materiałów Energy Centre Bratislava (ECB)

Tematy prac magisterskich Rok akademicki 2013/2014

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Analityk i współczesna analiza

Wsparcie narzędziowe zarządzania ryzykiem w projektach

Jarosław Żeliński analityk biznesowy, projektant systemów

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Bezpieczeństwo informacji. jak i co chronimy

DLA SEKTORA INFORMATYCZNEGO W POLSCE

Kryteria merytoryczne dla działania 2.1 Wysoka dostępność i jakość e-usług publicznych Programu Operacyjnego Polska Cyfrowa na lata

Analiza biznesowa a metody agile owe

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Adonis w Banku Spółdzielczym w Trzebnicy

Diagnostyka ekonomiczna w systemach automatycznego zarządzania przedsiębiorstwem. dr Jarosław Olejniczak

ISO w Banku Spółdzielczym - od decyzji do realizacji

STUDIA I MONOGRAFIE NR

udokumentowanych poprzez publikacje naukowe lub raporty, z zakresu baz danych

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing

Program szkolenia: Wprowadzenie do Domain Driven Design dla biznesu (część 0)

Regulamin II Konkursu Projektów Badawczych. 1. ( Komisja ). 2. Regulamin Komisji dostępny jest na stronie internetowej PTO

PYTANIA PRÓBNE DO EGZAMINU NA CERTYFIKAT ZAAWANSOWANY REQB KLUCZ ODPOWIEDZI. Część DODATEK

Narzędzia informatyczne wspierające przedsięwzięcia e-commerce

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

WDROŻENIE MODELOWANIA PROCESÓW ORAZ WSPARCIE

WNIOSEK O PORTFOLIO: Koncepcja zróżnicowanej, rozproszonej, heterogenicznej architektury Inteligentnych Systemów Informatycznych

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r.

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Transkrypt:

WNIOSEK O PORTFOLIO: Opracowanie koncepcji metodyki oceny ryzyka bezpieczeństwa systemów informatycznych Autorzy: Piotr Szwed, Paweł Skrzyński

1. Opis merytoryczny. a. cel naukowy jaki problem wnioskodawca podejmuje się rozwiązać, co jest jego istotą, co uzasadnia podjęcie tego problemu, jakie przesłanki skłaniają wnioskodawcę do podjęcia proponowanego tematu. Celem projektu jest opracowanie lekkiej metodyki, która pozwali na na ocenę ryzyka dla systemów informatycznych pod względem bezpieczeństwa ze szczególnym uwzględnieniem złożonych systemów informatycznych. Jako "lekka" rozumiana jest metodyka, której zastosowanie nie wymaga ponoszenia dużych nakładów (zarówno czasowych jak i finansowych) oraz dostarczająca szybko wiarygodnych wyników. Temat jest ważny ze względu na następujące czynniki: a) Bezpieczeństwo jest kluczowym wymaganiem stawianym w stosunku do wielu systemów. Zwłaszcza dotyczy to systemów przetwarzających wrażliwe dane i korzystających z publicznej infrastruktury sieciowej. b) Klasyczne metodyki oceny jakości zabezpieczeń i ryzyka ich naruszenia są ciężkie i nie zawsze możliwe do zastosowania: np. w CRAMM czy NIST wymagane jest finansowe oszacowanie strat płynących z różnych czynników ryzyka oraz oszacowanie prawdopodobieństwa ich wystąpienia. c) Przy zastosowaniu podejścia klasycznego nie jest możliwa wczesna ocena ryzyka (przed pełną integracją i wdrożeniem). Trudno jest np.: oceniać potencjalne straty dla systemu w trakcie implementacji i wdrożenia. d) Współczesne zwinne praktyki implementacji oprogramowania pomijają ocenę ryzyka lub redukują ją do sprawdzenia zgodności rozwiązań z listą dobrych praktyk. Praktyki te mogą być niezmieniane przez długi czas, mechanicznie stosowane do kolejnych systemów. W dłuższej perspektywie prowadzi to do zwiększenia podatności na nowe zagrożenia.

b. istniejący stan wiedzy w zakresie tematu badań jaki oryginalny wkład wniesie rozwiązanie postawionego problemu do dorobku danej dyscypliny, czy jest to problem nowy czy kontynuowany, Zgodnie z definicją zaproponowaną przez Guttmana i Robacka (1995) bezpieczeństwo systemów informatycznych obejmuje ochronę integralności danych i funkcji, ich dostępność, autentyczność oraz poufność. Powszechnie stosowanym podejściem do oceny ryzyka dla systemów o niekrytycznych wymaganiach jest metryka ALE (Annual Loss Expectancy). Definiuje ona ryzyko jako iloczyn straty wyrażonej w jednostkach walutowych oraz prawdopodobieństwa wystąpienia zagrożenia. W niektórych modelach może być takze brana pod uwagę podatność na zagrożenie. Opisane podejście jest podstawą wszystkich ciężkich metod oceny ryzyka i zarządzania ryzykiem (CRAMM, NIST, SABSA, standardy zebrane w zestawieniu ENISA). Ocena ryzyka zgodnie z wymienionymi standardami jest bardzo czasochłona i obarczona jest dużą niepewnością. Ze względu na nacisk na produktywność i redukcję czasu wdrożenia systemów IT, wiele organizacji odeszło od ciężkich standardów oceny ryzyka. Stosowane rozwiązania obejmują metody oparte na wartościowaniu aktywów (stosowane są zabezpieczenia adekwatne do ich wartości), analizy scenariuszowe ataków oraz dobre praktyki. Zgodnie z postawioną diagnozą istnieje luka pomiędzy ciężkimi metodami oceny ryzyka i panującymi praktykami: nie prowadzi się oceny zagrożeń dla poszczególnych systemów (ponieważ jest to zbyt kosztowne), natomiast wybór zastosowanych zabezpieczeń nie opiera się na modelach ryzyka, ale predefiniowanych listach przygotowanych zgodnie z regułami najlepszych praktyk. Oryginalnym wkładem projektu jest propozycja lekkiej metodyki oceny bezpieczeństwa dla różnych klas systemów

informatycznych. W zamierzeniu metoda ta ma integrować wspólczesne rozwiązania (dobre praktyki, wartościowanie aktywów), obejmować techniki grupowej oceny przez ekspertów, wykorzystywać artefakty cyklu życia oprogramowania oraz stosować podejście do agregacji ryzyka wykorzystujące wnioskowanie przybliżone, a zwłaszcza Rozmyte Mapy Kognitywne (ang. Fuzzy Cognitive Maps). Szersze omówienie istniejącego stanu wiedzy znajduje się w publikacji: A new lightweight method for security risk assessment based on fuzzy cognitive maps, Piotr SZWED, Paweł SKRZYŃSKI, International Journal of Applied Mathematics and Computer Science ; ISSN 1641876X. 2014 vol. 24 no. 1, s. 213 225. 1. CRAMM: http://www.cramm.com/ 2. NIST 80030, Guide for conducting risk assessments, nist sp 80030rev1, Nist Special Publication (September): 85. 3. Standardy Enisa: http://rminv.enisa.europa.eu/methods/ rm_ra_methods.html 4. http://www.sabsainstitute.org/thesabsamethod c. metodyka badań co stanowi podstawę naukowego warsztatu wnioskodawcy i jak zamierza rozwiązać postawiony problem, jakie urządzenia (aparatura) zostaną wykorzystane w badaniach, Proponowane we wniosku podejście w zamierzeniu ma wykorzystać modele i techniki stosowane w inżynierii oprogramowania, modelowania biznesowego, opisy semantyczne w postaci ontologii oraz wnioskowanie przybliżone. Planowane cechy metodyki:

Wykorzystanie rezultatów cyklu rozwoju oprogramowania (w tym modeli architektury, zidentyfikowanych procesów i ról) do identyfikacji aktywów Wykorzystanie podczas analiz informacji o najlepszych praktykach dotyczących zabezpieczeń stosowanych w danej dziedzinie zastosowań Wykorzystanie w ocenie wiedzy ekspertów, technik głosowania i usuwania rozbieżności Zastosowanie modeli i technik wnioskowania przybliżonego (w tym rozmytych map kognitywnych) do modelowania i agregacji ryzyka. Formalizacja metodyki obejmująca: klasy opisywanych obiektów i ich powiązania (aktywa, zagrożenia, zabezpieczenia), opis procesowy czynności wykonywanych podczas oceny ryzyka oraz artefakty powstające w poszczególnych etapach. Możliwość wielokrotnego użycia rezultatów analiz: listy najlepszych praktyk, klas aktywów, taksonomii zagrożeń dla systemów tej samej klasy d. co będzie wymiernym, udokumentowanym efektem podjętego problemu nowe patenty knowhow, nowe metody, urządzenia, implikacje, konsekwencje, walory. Wymiernym efektem projektu będzie opracowanie nowej metodyki oceny bezpieczeństwa systemów informatycznych. Rezultaty szczegółowe obejmowały będą: Analizę najlepszych praktyk dotyczących zabezpieczeń Ogólną hierarchię zagrożeń wraz z egzemplifikacjami odnoszącymi się do wybranych klas systemów

Formalny metamodel opisujący przetwarzane informacje oraz wytwarzane artefakty Przykłady zastosowań metodyki podczas oceny ryzyka dla konkretnych systemów Publikacje 2. Charakterystyka i typ potencjalnych nabywców: a. partnerzy z przemysłu, biznesu potencjalnie zainteresowani rozwiązaniem, Można wyróżnić kilka typów nabywców: Nabywcy zainteresowani usługą polegającą na ocenie ryzyka bezpieczęństwa dla wybranych instancji systemów. Dotyczy to dostawców złożonych systemów teleinformatycznych oraz instytucje wdrażające systemy, w których bezpieczeństwo odgrywa kluczową rolę. Dostawcy oferujący wdrożenie produktu o podwyższonych wymaganiach dotyczących bezpieczeństwa. Ocena ryzyka powinna być przeprowadzona wielokrotnie dla różnych instancji systemu z wielokrotnym wykorzystaniem modelu ryzyka (aktywów, zagrożeń, podatności). Tym samym uzasadniona jest implementacja narzędzia wspierającego tę ocenę. Nabywcy zainteresowani komercjalizacją metodyki i budową dedykowanego narzedzia informatycznego.

Podmioty komercyjne zainteresowane rozwiązaniem: 1App SA, Getin Noble Bank SA, WOW Sp. z o.o.. b. jednostki samorządowe i instytucje potencjalnie zainteresowane rozwiązaniem, Wszelkie instytucje dokonujące wdrożeń systemów teleinformatycznych, gdzie bezpieczeństwo jest istotnym elementem. c. obszary przemysłu, biznesu, w których można zastosować rozwiązanie. Wszelkie instytucje dokonujące wdrożeń systemów teleinformatycznych, gdzie bezpieczeństwo jest istotnym elementem. W szczególności dotyczy to systemów, które powinna cechować niezawodność,duża dostępność oraz wysoki poziom bezpieczeństwa dla przetwarzanych danych poufnych. Jako szczególne przykłady można wskazać instytucje finansowe, ubezpieczeniowe, jednostki medyczne, czy firmy energetyczne. 3. Opis istniejących materiałów promocyjnych, które mogą być wykorzystane do promocji np: projekty, zdjęcia, szkice, wizualizacje. Dokumenty opisujące metodykę, prezentacje obrazujące jej zastosowanie, przykładowe wyniki z aplikacji metodyki na rzeczywistych systemach. Materiały promocyjne powinny być jednak adresowane dla konkretnej branży. 4. Potencjalni rozmówcy (autorytety w

dziedzinie), wywiady z którymi pozwolą podnieść jakość rozwiązania. dr maj. Bartosz Jasiul, Wojskowy Instytut Łączności 5. Kierunki potencjalnego zastosowania projektu. 1. Wdrożenia złożonych systemów informatycznych. 2. Audyty bezpieczeństwa istniejących systemów. 6. Opis silnych i słabych strony projektu. Silne strony: 1. Łatwość i szybkość wykorzystania wyników 2. Niskie koszty zastosowania. Słabe: wyniki uzależnione od wiedzy dziedzinowej ekspertów zaangażowanych w proces brak narzędzi wspomagających przeprowadzenie procesu ewaluacji ryzyka z wykorzystaniem proponowanej metodyki 7. Wskazania czynników ryzyka. Czynnik Ryzyko Komentarz

Brak dostępu do specyfikacji systemu, opisów architektury i funkcji. średnie Problem dotyczy systemów rozwijanych zgodnie ze zwinnym podejściem. W tym przypadku konieczne jest zebranie informacji w trakcie wywiadów z zepsołem. Problem z zebraniem informacji od ekspertów, architektów systemu i zespołu wykonawczego średnie Planowana jest zastosowanie technik burzy mózgów Stronniczość ocen, odpowiedzi zmierzające do zmniejszenia ocenianego ryzyka duże Jest to znany problem wszystkich metod. Brak danych porównawczych pozwalających na kalibrację ryzyka średnie Jest to również problem większości metod (benchmarking). Przy braku danych historycznych kalibracja jest możliwa przez zebranie informacji o dobrymi praktykach. Opór decydentów przed zastosowaniem wnioskowania przybliżonego średnie Brak narzędzi wspierających zastosowanie metodyki małe

Brak możliwości porównania rezultatów z metodykami uznanmi za referencyjne duże Metodyki referencyjne sa ciężkę i koszt przeprowadzenia oceny nawet dla średniej klasy systemów jest duży

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres