6. des. 2004 “Trussel- og risikoanalyse av IKT- systemer med mobile brukere” Prosjekt - TTM4705, ITEM, NTNU Sept. – Nov. 2004 John H. Embretsen

Presentasjon om: "6. des. 2004 “Trussel- og risikoanalyse av IKT- systemer med mobile brukere” Prosjekt - TTM4705, ITEM, NTNU Sept. – Nov. 2004 John H. Embretsen"— Utskrift av presentasjonen:

1 6. des. 2004 “Trussel- og risikoanalyse av IKT- systemer med mobile brukere” Prosjekt - TTM4705, ITEM, NTNU Sept. – Nov. 2004 John H. Embretsen embretse@stud.ntnu.no

2 6. des. 2004 Motivasjon Stadig større avhengighet av IKT-systemer Sikkerhet – et viktig satsningsområde Gode sikkerhetsløsninger avhenger av grundige og relevante analyser av trusler mot sikkerheten av  Systemet selv  Informasjonen som prosesseres i systemet Risiko = f ( sannsynlighet, konsekvens ) Økende mobilitet – store utfordringer Behov for datastøttede metoder og verktøy Krav og overordnet design

3 6. des. 2004

4 Bruk av eksterne kilder (eksempler) Standarder  ISO/IEC 17799 – Anbefalinger for håndtering av infosikkerhet i organisasjoner  ISO/IEC TR 13335 – Retningslinjer for håndtering av IT- sikkerhet  ISO/IEC 15408 – Evalueringskriterier for IT-sikkerhet Veiledninger  NIST SP 800-30 (Risk Management Guide for IT-systems)  NIST SP 800-48 (Wireless Network Security)  Govt. of Canada Guides (MG-2, MG-3, MG-4, ITSG-04) Verktøy  Kartlegging av systemet (NetStumbler, nmap, etc.)  Sårbarhetsanalyse (Nessus/NeWT o.l.)  Andre verktøy for risikoanalyse

5 6. des. 2004

6 Oppsummering Verktøyet er et hjelpemiddel for å samle og analysere informasjon som kan identifisere risiko Fremgangsmåte: Følge strukturen til offisielle standarder og/eller veiledninger Dialog med brukerne Støtte for importering av eksterne dokumenter (tekst, HTML, XML, PDF, PNG, JPG, …) Tilpasning av sjekklister, spørreskjema, intervjuspørsmål Mål: Produksjon av informativ sluttrapport med anbefalinger av tiltak