6. des “Trussel- og risikoanalyse av IKT- systemer med mobile brukere” Prosjekt - TTM4705, ITEM, NTNU Sept. – Nov John H. Embretsen
6. des Motivasjon Stadig større avhengighet av IKT-systemer Sikkerhet – et viktig satsningsområde Gode sikkerhetsløsninger avhenger av grundige og relevante analyser av trusler mot sikkerheten av Systemet selv Informasjonen som prosesseres i systemet Risiko = f ( sannsynlighet, konsekvens ) Økende mobilitet – store utfordringer Behov for datastøttede metoder og verktøy Krav og overordnet design
6. des. 2004
Bruk av eksterne kilder (eksempler) Standarder ISO/IEC – Anbefalinger for håndtering av infosikkerhet i organisasjoner ISO/IEC TR – Retningslinjer for håndtering av IT- sikkerhet ISO/IEC – Evalueringskriterier for IT-sikkerhet Veiledninger NIST SP (Risk Management Guide for IT-systems) NIST SP (Wireless Network Security) Govt. of Canada Guides (MG-2, MG-3, MG-4, ITSG-04) Verktøy Kartlegging av systemet (NetStumbler, nmap, etc.) Sårbarhetsanalyse (Nessus/NeWT o.l.) Andre verktøy for risikoanalyse
6. des. 2004
Oppsummering Verktøyet er et hjelpemiddel for å samle og analysere informasjon som kan identifisere risiko Fremgangsmåte: Følge strukturen til offisielle standarder og/eller veiledninger Dialog med brukerne Støtte for importering av eksterne dokumenter (tekst, HTML, XML, PDF, PNG, JPG, …) Tilpasning av sjekklister, spørreskjema, intervjuspørsmål Mål: Produksjon av informativ sluttrapport med anbefalinger av tiltak