Initial draft of presentation - Distributed security system for solving malicious software problem that has high goals of solving at least 95% of malware problems
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help protect against mental illness and improve symptoms.
Initial draft of presentation - Distributed security system for solving malicious software problem that has high goals of solving at least 95% of malware problems
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help protect against mental illness and improve symptoms.
The document discusses wireless network security and methods to prevent unauthorized access. It describes common types of wireless encryption like WEP and WPA and risks from rogue access points. Effective wireless security policies and systems like WIPS are important to enforce policies and prevent intrusion. Potential modes of unauthorized network access are also outlined, as well as security measures, mobile device security categories, and methods for implementing network encryption using authentication servers and client software. Open access points are also discussed, with arguments for and against allowing public access to wireless networks.
Authentication in wireless - Security in Wireless Protocolsphanleson
The document discusses authentication protocols for wireless devices. It begins by describing the authentication problem and some basic client-server protocols. It then introduces the challenge-response protocol which aims to prevent replay attacks by including a random number in the response. However, this protocol is still vulnerable to man-in-the-middle and reflection attacks. The document proposes improvements like including an identifier in the hashed response to prevent message manipulation attacks. Overall, the document provides an overview of authentication challenges for wireless devices and the development of challenge-response protocols to address these issues.
Wireless networks have become commonplace in homes and offices, enabling increased productivity and mobile connectivity. They function by connecting clients to a central access point or in an ad-hoc peer-to-peer mode. Early security standards like WEP had vulnerabilities due to short encryption keys and initialization vector reuse. WPA and its successor WPA2 were developed to address these issues through stronger encryption, authentication, and dynamic key generation. However, wireless networks remain vulnerable to insertion attacks by unauthorized clients or rogue access points, as well as traffic interception if encryption is not used.
Security+ Guide to Network Security Fundamentals, 3rd Edition, by Mark Ciampa
Knowledge and skills required for Network Administrators and Information Technology professionals to be aware of security vulnerabilities, to implement security measures, to analyze an existing network environment in consideration of known security threats or risks, to defend against attacks or viruses, and to ensure data privacy and integrity. Terminology and procedures for implementation and configuration of security, including access control, authorization, encryption, packet filters, firewalls, and Virtual Private Networks (VPNs).
CNIT 120: Network Security
http://samsclass.info/120/120_S09.shtml#lecture
Policy: http://samsclass.info/policy_use.htm
Many thanks to Sam Bowne for allowing to publish these presentations.
Wireless networks allow devices to connect to a wired network without cables. An access point connected to the wired network allows devices like computers and phones to connect wirelessly at broadband speeds. However, wireless networks pose security risks if not configured properly, as unencrypted wireless traffic can be intercepted and users can gain unauthorized access. It is important to set up security measures like access restrictions, encryption, and isolating wireless networks when deploying wireless networks.
This document discusses security issues with wireless networks and protocols. It describes common wireless standards like 802.11b, g, and a. It then covers security protocols that aimed to improve on WEP like WPA and WPA2, discussing their encryption methods. The document also outlines various threats to wireless security like eavesdropping, unauthorized access, and denial of service attacks. It concludes by listing some common wireless hacking tools.
The presentation addresses the major benefits of implementing a wireless local area network (WLAN) for a company, including increased mobility within the network, lower installation costs compared to running cables, easier network modifications, and improved disaster recovery capabilities. However, the presentation also notes some disadvantages of WLANs, such as potential radio signal interference, security risks from broadcasting the wireless signal openly, and unresolved health concerns regarding low-level radio frequency emissions.
Wireless networking allows devices to connect to a network without cables by using technologies like Wi-Fi, Bluetooth, and HomeRF. Common types of wireless networks include peer-to-peer networks connecting devices directly and infrastructure networks with an access point connecting devices to a larger network. Key components of setting up a wireless network include wireless adapters, access points, antennas, and configuring standards and security protocols like WEP, WPA, and MAC address filtering.
The document outlines a presentation by two speakers on hacking and information security. It introduces the speakers and their backgrounds in cybersecurity. The presentation topics include basics of WiFi networks, wireless standards, encryption algorithms, wireless hacking methodology and common attacks. It also covers how to stay secure and defensive tools. Interactive portions engage the audience on their WiFi security concerns and ask for feedback to improve future sessions.
Pojam umjetne inteligenicja koji smo susretati samo u znanstveno fantastičkim filmovima sada je postao dio svakodnevnice i posve normalna pojava.
Od svojih početaka na slabašnim računalima pred kraj dvadesetog stoljeća, ekspertni sustavi su razvojem informatičke industrije dobili znatan porast mogućnosti i sve veći broj primjena u rješavanju problema u mnogim svakodnevnim situacijama.
Sastanak zajednice Microsoft prodavača - Sales readinessTomislav Lulic
Sastanak Microsoft prodavača održan 31.10.2013. u prostorijama Microsoft Hrvatska. Jedna od tema bila je i vođenje softverskog inventara, odnosno, kako napraviti prodajnu priliku vezanu za Get2Modern kampanju.
Ovaj minivodič obuhvaća temu Upravljanje sustavom kvalitete i rizicima. Željeli bismo zahvaliti gđi. Katarini Gaži Pavelić koja je preuzela odgovornost izrade minivodiča te Hrvatskom zavodu za norme koji je pregledao i odobrio minivodič. Katarina Gaži - Pavelić, mag.oec, profesionalno se bavi sustavima kvalitete već 18 godina, te ima veliko iskustvo u implementaciji i održavanju upravljačkih sustava, reorganizaciji poslovanja, konzaltingu, treninzima i edukaciji za sustave.
The document discusses wireless network security and methods to prevent unauthorized access. It describes common types of wireless encryption like WEP and WPA and risks from rogue access points. Effective wireless security policies and systems like WIPS are important to enforce policies and prevent intrusion. Potential modes of unauthorized network access are also outlined, as well as security measures, mobile device security categories, and methods for implementing network encryption using authentication servers and client software. Open access points are also discussed, with arguments for and against allowing public access to wireless networks.
Authentication in wireless - Security in Wireless Protocolsphanleson
The document discusses authentication protocols for wireless devices. It begins by describing the authentication problem and some basic client-server protocols. It then introduces the challenge-response protocol which aims to prevent replay attacks by including a random number in the response. However, this protocol is still vulnerable to man-in-the-middle and reflection attacks. The document proposes improvements like including an identifier in the hashed response to prevent message manipulation attacks. Overall, the document provides an overview of authentication challenges for wireless devices and the development of challenge-response protocols to address these issues.
Wireless networks have become commonplace in homes and offices, enabling increased productivity and mobile connectivity. They function by connecting clients to a central access point or in an ad-hoc peer-to-peer mode. Early security standards like WEP had vulnerabilities due to short encryption keys and initialization vector reuse. WPA and its successor WPA2 were developed to address these issues through stronger encryption, authentication, and dynamic key generation. However, wireless networks remain vulnerable to insertion attacks by unauthorized clients or rogue access points, as well as traffic interception if encryption is not used.
Security+ Guide to Network Security Fundamentals, 3rd Edition, by Mark Ciampa
Knowledge and skills required for Network Administrators and Information Technology professionals to be aware of security vulnerabilities, to implement security measures, to analyze an existing network environment in consideration of known security threats or risks, to defend against attacks or viruses, and to ensure data privacy and integrity. Terminology and procedures for implementation and configuration of security, including access control, authorization, encryption, packet filters, firewalls, and Virtual Private Networks (VPNs).
CNIT 120: Network Security
http://samsclass.info/120/120_S09.shtml#lecture
Policy: http://samsclass.info/policy_use.htm
Many thanks to Sam Bowne for allowing to publish these presentations.
Wireless networks allow devices to connect to a wired network without cables. An access point connected to the wired network allows devices like computers and phones to connect wirelessly at broadband speeds. However, wireless networks pose security risks if not configured properly, as unencrypted wireless traffic can be intercepted and users can gain unauthorized access. It is important to set up security measures like access restrictions, encryption, and isolating wireless networks when deploying wireless networks.
This document discusses security issues with wireless networks and protocols. It describes common wireless standards like 802.11b, g, and a. It then covers security protocols that aimed to improve on WEP like WPA and WPA2, discussing their encryption methods. The document also outlines various threats to wireless security like eavesdropping, unauthorized access, and denial of service attacks. It concludes by listing some common wireless hacking tools.
The presentation addresses the major benefits of implementing a wireless local area network (WLAN) for a company, including increased mobility within the network, lower installation costs compared to running cables, easier network modifications, and improved disaster recovery capabilities. However, the presentation also notes some disadvantages of WLANs, such as potential radio signal interference, security risks from broadcasting the wireless signal openly, and unresolved health concerns regarding low-level radio frequency emissions.
Wireless networking allows devices to connect to a network without cables by using technologies like Wi-Fi, Bluetooth, and HomeRF. Common types of wireless networks include peer-to-peer networks connecting devices directly and infrastructure networks with an access point connecting devices to a larger network. Key components of setting up a wireless network include wireless adapters, access points, antennas, and configuring standards and security protocols like WEP, WPA, and MAC address filtering.
The document outlines a presentation by two speakers on hacking and information security. It introduces the speakers and their backgrounds in cybersecurity. The presentation topics include basics of WiFi networks, wireless standards, encryption algorithms, wireless hacking methodology and common attacks. It also covers how to stay secure and defensive tools. Interactive portions engage the audience on their WiFi security concerns and ask for feedback to improve future sessions.
Pojam umjetne inteligenicja koji smo susretati samo u znanstveno fantastičkim filmovima sada je postao dio svakodnevnice i posve normalna pojava.
Od svojih početaka na slabašnim računalima pred kraj dvadesetog stoljeća, ekspertni sustavi su razvojem informatičke industrije dobili znatan porast mogućnosti i sve veći broj primjena u rješavanju problema u mnogim svakodnevnim situacijama.
Sastanak zajednice Microsoft prodavača - Sales readinessTomislav Lulic
Sastanak Microsoft prodavača održan 31.10.2013. u prostorijama Microsoft Hrvatska. Jedna od tema bila je i vođenje softverskog inventara, odnosno, kako napraviti prodajnu priliku vezanu za Get2Modern kampanju.
Ovaj minivodič obuhvaća temu Upravljanje sustavom kvalitete i rizicima. Željeli bismo zahvaliti gđi. Katarini Gaži Pavelić koja je preuzela odgovornost izrade minivodiča te Hrvatskom zavodu za norme koji je pregledao i odobrio minivodič. Katarina Gaži - Pavelić, mag.oec, profesionalno se bavi sustavima kvalitete već 18 godina, te ima veliko iskustvo u implementaciji i održavanju upravljačkih sustava, reorganizaciji poslovanja, konzaltingu, treninzima i edukaciji za sustave.
Analiza softverske imovine koju koristite - prvi korak migraciji u CloudTomislav Lulic
Često se događa da tvrtka odluči prijeći na servise u Cloudu (Azure, Office 365 itd.), nabavi licence, pokrene servise i nakon toga pokušaju migraciju svojih postojećih servisa u Cloud. I tu zapne! Zašto? Zbog pripreme. Naime, dobra analiza što koristite unutar tvrtke i vođenje inventara aplikacija koje koristite, jednako je važno, kao i materijalni inventar (ormari, stolice itd.). Posebno danas kada se pristupa dokumentima i aplikacijama praktički sa svih uređaja koje posjedujete. Predavanje bi ukazalo na neke zamke kao i načine analize da bi migracija u Cloud bila bezbolnija, ili bi zbog troškova odustali od nje. Da li je moguće migrirati cjelokupno poslovanje u Cloud, koje servise odabrati, kako licencirati? Demonstriralo bi se na nekoliko primjera na što treba paziti i koje alate koristiti u analizi. Software Asset Management ili upravljanje softverskom imovinom tu vam može pomoći.
Poslovanje radionice za popravak vozila analiza poslovnog sustava -aps-
30
1. 1) Slobodan Živković dipl. ing., Mašinski fakultet Podgorica, mail: zivkoviccg@gmail.com
PRIMJENA METODE ANALIZE GREŠAKA I NJIHOVIH POSLEDICA
(FMEA) U ANALIZI INFORMACIONO BEZBJEDONOSNIH RIZIKA
AN ILLUSTRATION OF FAILURE MODES AND EFFECTS ANALYSIS
(FMEA) TECHNIQUES TO THE ANALYSIS OF INFORMATION
SECURITY RISKS *
Slobodan Živković1)
Rezime: Rad je namjenjen da demonstrira kako se može koristiti FMEA metoda za analizu
informaciono - sigurnosnih rizika kao dio oblikovanja i/ili pregleda Sistema menadžmenta
bezbednošću informacija ISO 27000 (ISMS). Rad ima za cilj da pomogne svima onima koji
provode ili planiraju implementirati ISO / IEC 27000 standarde.
Ključne reči: FMEA metoda, rizik, ISO 27000
Abstract: This work is intended to demonstrate how the FMEA method can be used to analyze
information security risks as part of the design and/or review of organization Information Security
Management System ISO 27000 (ISMS). The work is meant to help those implementing or
planning to implement the ISO/IEC information security management standards.
Key words: FMEA method, Risk, ISO 27000
1. UVOD
Krajem dvadesetog vijeka na svjetsku
poslovnu scenu poseban "ožiljak" ostavio je nagli
razvoj informacione tehnologije. Već početkom
trećeg milenijuma informacione tehnologije
imaju toliku rasprostranjenost da se može
govoriti o informacionoj eri ili eri znanja.
Znanje proizilazi iz informacije, to jest, znanje
je formalizovana informacija na koju se poziva
ili koja se koristi u procesu zaključivanja. U
literaturi je najčešće isticana i sa stanovišta
sistema najprihvatljivija definicija informacije
u kojoj se navodi da je informacija mjera
organizacije. Imajući ovo u vidu može se jasno
istaći značaj bezbjednosti informacija, jer je to
čuvanje informacije od suštinskog resursa za
današnje poslovne sisteme. U uslovima visoke
konkurentnosti, pravovremena i prava
informacija je novac, opstanak i prestiž na
tržištu.
Sve to je bio razlog da se pojave međunarodni
standardi sistema menadžmenta bezbjednosti
informacionih sistema ISMS.
Imajući u vidu navedene uslove u poslovnim
sistemima i na tržištu i svjesni činjenice
"preuzimanja" informacija i znanja kroz nelegalne
tokove, međunarodna organizacija za
standardizaciju je usvojila standard ISO 27001
(odgovara standardu ISO 17799) i standard ISO
27002 (odgovara standardu ISO 17799). Ovi
standardi ukazuju na to ŠTA organizacije treba
da urade da bi zaštitile svoje povjerljive
informacije. U pomenutim standardima se ne
definiše KAKO treba zaštititi povjerljive
informacije i tu se ostavlja sloboda
organizacijama kako da zadovolje standardima
definisane zahtjeve u skladu sa svojim
potrebama, djelatnostima, veličini i stepenu
tehnološkog razvoja.
ISO / IEC 27005:2008 obezbjeđuje smjernice
za informacionu bezbednost upravljanja rizikom.
Ovi standardi podržavaju opšte pojmove navedene
u ISO / IEC 27001 i dizajnirani su da pomognu
implementaciji informacione bezbjednost na
osnovu upravljanja rizicima. Poznavanje
koncepata, modela, procesa i terminologije
opisano u ISO / IEC 27001 i ISO / IEC 27002 je
važno za razumjevanje ISO / IEC 27005:2008.
ISO / IEC 27005:2008 je primenjiv za sve vrste
organizacija (npr. komercijalna preduzeća,
državnie agencije, neprofitnie organizacije), koje
nameravaju da upravljaju rizicima koji bi mogli
uticati na informacionu bezbjednost.
Revidirana verzija ISO 31000 će uskoro biti
objavljen. Zbog toga će vjerovatno ISO/IEC 27005
2. B-67
biti potrebno uskladiti sa izmijenjenim
standardima ISO 31000.
Standardni serije ISO 270000 ne navede
ime, niti preporučuju bilo koje specifične
metode za smanjenje rizika.
U ovom radu kao metoda koja može pomoći
smanjenju rizika informacione bezbjednosti koristi
se FMEA.
2. METODA ANALIZA GREŠAKA I
NJIHOVIH POSLEDICA – FMEA
Analiza grešaka i njihovih posledica (Failure
Modes and Effects Analysis) ili skraćeno FMEA je
postupak za analizu potencijalnih gršaka unutar
sistema koje se klasifikuju po težini ili se u odnosu
na njih određuje učink istih na sistem. Ona se
naširoko koristi u proizvodnim sistemim, a u
različitim fazama životnog ciklusa proizvoda, a u
zadnje vrijeme sve veću primjenu ima i u sveri
usluga.
Uzroci greška (Failure causes) su bilo koje
greške ili manjkavosti u procesu, projektovanjau ili
u samom proizvodu, a posebno one koje utiču na
kupca, a mogu biti potencijalne ili stvarne. Analiza
efekata - posledica (Effects analysis) odnosi se na
proučavanje i posledice tih kvarova.
Iako je prvobitno razvijena od strane vojske,
FMEA metodologija se sada intenzivno koristi u
različitim industrijama, uključujući industriju za
preradu hrane, plastike, softvera i zdravstvene
zaštite.
Razlikujemo više vrsta FMEA i to:
• Sistema – fokusira se na globalne funkcije
sistema,
• procesa - fokusira na procese proizvodnje i
montaže,
• dizajna – analiza proizvoda prije proizvodnje,
• koncepta - analiza sistema ili podsistema u
ranim fazama koncept dizajna,
• opreme - analiza mašina i opreme za dizajn
prije kupovine,
• usluga - fokusira na funkciju usluge,
• softvera - fokusira na funkcije softvera.
FMEA je osmišljena kako bi pomogala
inženjerima da poboljšaju kvalitet i pouzdanost
proizvoda. Ispravno korišćenje FMEA pruža
inženjerima nekoliko pogodnosti. Između ostalog,
ove prednosti uključuju:
• Poboljšanje pouzdanost i kvaliteta proizvoda/
procesa,
• povećavamo zadovoljstva kupaca,
• rana identifikacija i izdvajanje potencijalnih
grešaka proizvoda/procesa
• omogućuje prioritizaciju grešaka proizvoda/
procesa,
• ističe problem prevencije,
• dokumentuju se rizici i akcije preduzete za
smanjenje rizika,
• osigurava fokus na poboljšanje testiranja i
razvoja,
• minimizira kasnije promjene i nepotrebne –
dodatne troškove,
• katalizator za timski rad i razmjenu ideja.
FMEA se primjenjuje u slučajevima kada se:
• novi proizvod ili proces pokreće (na početku
ciklusa),
• promjene učine u radnim uslovima proizvoda
ili procesa,
• promjene naprave na dizajnu bilo proizvoda ili
procesa,
• novi propisi postave,
• uoče problemi prizvoda ili procesa na osnovu
korisničkog feedback-a.
3. SMJERNICA ZA SPROVOĐENJE
PROCJENE RIZIKA
KORIŠĆENJEM FMEA
Analize rizika je više umjetnost nego nauka.
Iz tih razloga, postupak će najbolje provesti tim
ljudi sa solidnom stručnost i praktična iskustvima
za:
(a) procjenu i upravljanje rizicima informacione
bezbjednost, te,
(b) organizaciju, njene unutrašnje i spoljne
situacije s obzirom na informacionu bezbjednost.
Netrebamo očekivati da ćemo dobiti konačne
odgovore od bilo koga. Nemoguće je garantovati
da su svi rizici koji se razmotraju analizirani
ispravno. Čak nekoliko vrlo iskusnih praktičara u
ovoj oblasti tvrde da su sve analize rizika u osnovi
besmislica. Rezultati analize zasigurno bi trebao
biti pregledani od strane menadžmenta
(uključujući IT revizore, HR stručnjake, stručnjake
iz ostalih funkcije podrške i/ili informaciono
bezbjedonosne konsultante) i trebalo bi ih
prilagoditi u skladu sa njhovim iskustvom. Ne
treba zaboraviti ni to da samo zato što organizacija
ima malo iskustva, ako ga uopšte i ima, u sveri
bezbednosnih rizika informacija, ne znači da se ti
rizici mogu zanemarit.
Takođe prilikom korišćenja FMEA treba imati
u vidu da:
• Ova metoda ne uzima u obzir vrijednosti
imovine. Rizici su identifikovani za svako
sredstvo bez vođenja računa o vrijednosti
imovine.
• Kumulativni rizik identifikovane imovine za
svaku prijetnju se razazna na osnovu RPN.
• Svako sredstvo može imati više od jedne
greške i svaki neuspeh može biti sačinjen od
više uzroka.
3. B-68
4. KORACI PRI SPROVOĐENJU
PROCJENE RIZIKA (RISK
ASSESSMENT - RA) INFORMACIONE
BEZBJEDNOSTI POMOĆU FMEA
Suština metode se sastoji u realizaciji više
koraka. Koraci su manje više standardizovani kod
primjene ove metode ali takođe moraju biti
prilagođeni vrsti organizacije i njenim specifičnim
potrebama. Za procjenu rizika informacione
bezbjednosti preporučuju se slijedeći koraci:
Slika 1 - Osnovni koraci kod FMEA metode
1. Sastaviti unakrsno funkcionalni tim ljudi sa
raznolikim znanjem iz oblasti: projektovanja,
proizvodnje, kvaliteta, testiranja, pouzdanosti,
održavanja, prodaje, marketinga, korisničkih
službi i sl.
Slika 2 - Sastav FMEA tima
2. Označiti broj informacione imovine kako ne
bi došlo do dupliranja iste.
3. Zabilježiti funkciju informacione imovine.
4. Zatim je potrebno da analiziramo uticaj
grešaka, ali treba imati na umu da jedna
greška može uticati na više funkcija.
5. Odrediti tehničke mogućnosti nastajanja
greške.
6. Odrediti potencijalne efekte ako se greška desi
7. Zatim iz tabele uticaja - štete (severity of
effect) izabrati broj koji je relevantan za uticaj
greške.
Efekt
Effect
Uticaj štete
Severity of Effect
Rang
Katastrofalan
Resurs nije dostupan /
Problem nepoznat
10
Ekstreman
Resurs nije dostupan /
Problem poznat i ne
može biti pod
kontrolom
9
Vrlo visok
Resurs nije dostupan /
Problem poznat i
može da se kontroliše
8
Visok
Resurs raspoloživ/
Veliko kršenje pravila
7
Umjeren
Resurs raspoloživ/
Veliko kršenja
procesa
6
Nizak
Resurs raspoloživ/
Veliko kršenja
procedure
5
Vrlo nizak
Resurs raspoloživ/
sitna kršenja pravila
4
Minoran
Resurs raspoloživ/
sitna kršenja procesa
3
Vrlo Minoran
Resurs raspoloživ/
sitna kršenja
procedure
2
Bez uticaja Bez efekta 1
Tabla 1 - Tabela uticaja (šteta)
8. Zatim detektujemo potencijalne uzroke
grešaka. Napomenimo da svaka greška može
imati više od jednog uzroka.
9. Pogledati na tabelu vjerovatnoće pojave neke
opasnosti (Probability of Failure) i izabrati
relevatnu vrijednost.
10. Na listi tekuće kontrole pažljivo odrediti vrstu
kontrole – preventivna ili detektivna kontrola.
11. Na osnovu tabele detekcije - vjerovatnoće
otkrivanja (Detection) odretiti kolika je
vjerovatnoća otkrivanja greške, odnosno
kolika je efikasnost kontrole.
Verovatnoća
greške
Probability of
Failure
Vjerovatnoća
neuspjeha
Failure
Probability
Rang
>1 in 2 > 1 u 2 10Vrlo visoka:
Neuspjeh je
gotovo
neizbežan
1 in 3 1 od 3
9
1 in 8 1 na 8 8Najviša:
ponovljanje
kvarova
1 in 20 1 u 20 7
Razvoj
proizvoda
Razvoj
tehnologija
Korisnik -
kupac
Markrting
Kvalitet
Proizvodnja
Nabavka
Isporučilac
4. B-69
1 in 80 1 u 80 6
1 in 400 1 u 400 5
Umerena:
Povremeni
kvarovi 1 in 2,000 1 u 2000 4
1 in 15,000 1 u
15000
3Niska: relativno
mali broj
kvarova
1 in 150,000 1 u
150000
2
Mala: Greška je
malo vjerovatna
<1 in 1,500,000 <1
u 1500000
1
Tabla 3 - Tabela vjerovatnoće pojave greške
12. Sad možemo da odredimo RPN (Risk Priority
Number) kao RPN = S * P * D i na osnovu
toga izvršiti prioritizaciju rizika.
Slika 3 - Određivanje RPN-a - Risk Priority
Number
13. Ovako izračunati indeks prioriteta rizika se
upoređuje sa unaprijed utvrđenom granicom
intervencije koja se definiše. Ako je RPN
iznad dozvoljene granice to nam govori da je
rizik veliki i da je potrebno preduzeti
odgovarajuće mjere (preporučene kontrole).
14. Indentifikovati preporičene kontrole i zapisati
ko je odgovoran za njih i vrijeme do kad
moraju biti izvršene.
15. Na kraju je potrebno analizirati akcione
rezultate. Izračunava se novi RPN. Ako je
novi RPN prihvatljive vrijednosti tada rizik
pokazuje status "nizak" u suprotnom je visok.
Ako je RPN visoko rizičan tada se proces
mora ponaviti iz korak 1.
Prioritizacija rizika se vrši na osnovu
navedenih napomena:
• Menadžment odlučuje o doljnjoj granici
prihvatljivosti rizika, npr 5% od ukupne
moguće vrijednosti rizika (1000).
• Nakon sprovedene FMEA moguće je
kategorisati rizike po RPN-u.
• 5% od 1000 (maksimalna vrijednost RPN) je
50. I sve rizike koji prelaze ovu vrijednost
potrebno ih je preispitati i unaprijediti njihovu
kontrolu.
• Ako organizacija procjeni i ako je dobro
kontroliše određene procese može da revidira
ovaj procenat sa 5% na npr. 15%.
• Prioritizovana lista rizika omogućuje
menadžmentu da na realnoj osnovi procjeni
koliko će resursa da koristi za revidiranje istih.
Detekcija
Detection
Verovatnoć otkrivanja
Likelihood of Detection
Rang
Apsolutno
nesigurna
Kontrola ne može
spriječiti / otkriti
potencijalne uzroke i
naknadne greške
10
Vrlo
teška
Vrlo teško će kontrola
spriječiti / otkriti
potencijalni uzrok i
naknadnu grešku
9
Remote
Daljinski
Mala mogućnost da
kontrola spriječiti / otkriti
potencijalni uzrok i
grešku
8
Vrlo
niska
Vrlo niska verovatnoća
da će kontrola spriječiti /
otkriti potencijalni uzrok
i grešku
7
Niska
Vrlo niska verovatnoća
da će kontrola spriječiti /
otkriti potencijalni uzrok
i grešku
6
Umjerena
Kontrola ima priliku da
otkrije spriječi
potencijalni uzrok i
grešku
5
Umjereno
Visoka
Umjereno visoka kontrole
će spriječiti / otkriti
potencijalni uzrok i
naknadnu grešku
4
Visoka
Kontrole će spriječiti /
otkriti potencijalni uzrok
i grešku
3
Vrlo
visoka
Vrlo visoka verovatnoća
da će kontrola spriječiti /
otkriti potencijalni uzrok
i grešku
2
Gotovo
sigurna
Kontrola će skoro sigurno
spriječiti / otkriti
potencijalni uzrok i
grešku
1
Tabla 3 - Tabela vjerovatnoće otkrivanja greške
Definisanje zahtjeva i
očekivanih rezultata
Kako možemo
indentifikovati
uzroke
grešaka?
Identifikacija
grešaka
Koji su
potencijalni
uzroci
grešaka?
Indentifikacija
potencijalnih
uzroka
Kontrolni
plan
Uticaj štete
Severity of
Effect
Detekcija
Detection
Koliko su
ozbiljni ti
efekti
grešaka?
Verovatnoća
greške
Probability
of Failure
5. B-70
Na osnovu svega navedenog na tabeli 4
prikazan je jedan primjer primjene FMEA na
informacionu bezbjednost, kao primjer
informacione imovine se uzima firewall i
analiziraju se greške i njihove eventualne posledice
na ukupnu bezbjednost.
U tabelama 2,3 i 4 dati su rangirane
vrijednosti faktora S, P i D.
Da još napomenemo da bi tabela 4 bila
potpuna potrebno je da sadrži zaglavlje tabele u
kojem se unose podaci vezani za sam proces
sprovođenja analiza grešaka i njihovih posledica
FMEA. To su podaci koje treba da sadrži svaki
standardizovani document (naziv dokumenta, tim
koji učestvuje u realizaciji, odgovorno lice, period
na koji se dokument odnosi sl.). ovi podaci nijesu
ucrtani samo zbog nedostatka prostora.
Ovo su samo neke moguće mjere koje je
poželjno sprovesti u cilju obezbjeđenja podataka
i smanjenja rizika. Pored ovih mjera postoje
mnoge druge, a koje će se mjere sprovesti zavisi
od vrste organizacije i njenog informacionog
sistema kao i od finansijskih mogućnosti i
isplativosti za ulaganje u sisteme zaštite koja
nekada mogu da budu veoma značajna. Osim
toga organizacije moraju da uspostave model
za upravljanje rizikom koji je u skladu sa
principom stalnog poboljšavanja.
U nastavku navedene su neke osnovne zamke
i ograničenja koje se javljaju prilikom sprovođenja
FMEA:
• FMEA vrši prioritizaciju a ne korekciju rizika.
• FMEA funkcioniše samo ako postoji dobro
tim.
• Potrebno je vrijeme da se uđe u detalje.
• Pravilno se ne rangira rizik.
• FMEA se ne primjenjuje od samog početka.
• Uzima se prevelika cjelina da bi se vršila
procjena rizika.
• Nijesu uključeni ljudu sa operativnog nivoa
nit se uvažavaju njihova mišljenja.
• Ne uzima se u obzir glas kupca, klijenta.
• Ne uključuju se dobavljači u proces analize
rizika.
• Ne ulazi se previše u detalje.
• Zaboravlja se da greške mogu biti uzrokavane
kako spoljnim tako i unutrašnjm faktorima.
• Ne gleda se svaki proizvod ponaosob. Postoji
veliki broj šablona, ali svaki proizvod koji je u
procesu nije baš isto.
• Predpostavlja se da je detektivna kontrola
bolja nego što jeste.
• FMEA nije povezana ni ukjučena u Plan
kontrole. FMEA neće biti živi dokument ako
se ne veže na kontrolni plan.
• Ne ažuriranje FMEA i dr..
B
r
Poslovanje
/servis
Naziv
imovine
Br
imov
funkcija
Potencijalne
greške
Tehničke moguć.
Nastajanja greške
Potencijalne
posledice
S
Potencijalni
uzroci
9 Zaštita IT
imovine
firewall 3000 Za blokiranje
ne ovlaštenih
zahtjeva
Pravila
nepoštovana
IP Spoofing Diverzija na
podatke,
krađa
8 Procedure
nijesu
slijeđene
8 Zaštita IT
imovine
firewall 3000 Za blokiranje
ne ovlaštenih
zahtjeva
Pravila
nepoštovana
Napad Hakera Izmjena
poslovne
evidencije
7 Procedure
nijesu
slijeđene
7 Zaštita IT
imovine
firewall 3000 Za blokiranje
ne ovlaštenih
zahtjeva
Pravila
nepoštovana
DDoS napad Nemogućnost
obrade
elec.transak.
10 Procedure
nijesu
slijeđene
6 Zaštita IT
imovine
firewall 3000 Identifikacija
trusted zona
Korisnička
svijest
CIA
kompromitovane
Obljavljivanje
DB o
kupcima
5 Procedure
nijesu
slijeđene
5 Zaštita IT
imovine
firewall 3000 Identifikacija
trusted zona
Nepravilne
konfiguracije
Korisnik nema
pristup uslugama
Službenici
nesposobni
6 Načela
nijesu
ispoštovana
4 Zaštita IT
imovine
firewall 3000 Za blokiranje
ne ovlaštenih
zahtjeva
Pravila
nepoštovana
Napad Hakera Izmjena
poslovne
evidencije
7 Procedure
nijesu
slijeđene
3 Zaštita IT
imovine
firewall 3000 Za blokiranje
ne ovlaštenih
zahtjeva
Pravila
nepoštovana
DDoS napad Nemogućnost
obrade
elec.transak.
10 Procedure
nijesu
slijeđene
2 Zaštita IT
imovine
firewall 3000 Identifikacija
trusted zona
Nivo
enkripcije
Podaci izloženi
kao tekst
Obljavljivanje
DB o
kupcima
7 Načela
nijesu
ispoštovana
1 Zaštita IT
imovine
firewall 3000 Za blokiranje
ne ovlaštenih
zahtjeva
Pravila
nepoštovana
Krađa podataka Posledice po
privatnost
7 Procedure
nijesu
slijeđene
Tabla 4 - Primjer FMEA (zbog veličine podjeljena je u dva dijela)
6. B-71
Akcioni rezultati
Tekuća kontrola
Preporučena
kontrola Sprovedena kontrola
P
preven
tivna
detekti
vna
D RPN
prevent
ivna
detekti
vna
Odgovorn
osti i
rokovi preventi
vna
detektivna
Novi
S
Novi
P
Novi
D
Novi
RPN
2 Proced
ura
dost.
4 64 Više
revizija
X do juna
2009.g.
Više
revizija
5 3 2 30
2 Prijaviti
monito
ring
4 56 Više
revizija
X do juna
2009.g.
Više
revizija
5 3 2 30
2 Proced
ura
dost.
2 40 Više
revizija
X do juna
2009.g.
Više
revizija
2 5 2 20
6 Načela
def.
1 30 Nepotr
ebna
Nepotr
ebna
X do juna
2009.g.
Više
revizija
5 2 2 20
1 Načela
def.
5 30 Korisn.
svijest
X do juna
2009.g.
Korisn.
svijest
1 5 3 15
2 Proced
ura
dost.
2 28 Više
revizija
X do juna
2009.g.
Više
revizija
1 4 2 8
2 Prijaviti
monito
ring
1 20 Više
revizija
X do juna
2009.g.
Više
revizija
1 4 2 8
2 Načela
def.
1 14 Korisn.
svijest
X do juna
2009.g.
Korisn.
svijest
2 2 2 8
2 Ništa 1 14 Korisn.
svijest
X do juna
2009.g.
Korisn.
svijest
2 2 1 4
Tabla 4 - Primjer FMEA (zbog veličine podjeljena je u dva dijela)
5. ZAKLJUČAK
ISO/IEC 27005 definiše rizik kao
kombinaciju posledica koje nastaju poslije nekog
neželjenog događaja i verovatnoće od nastanka
neželjenog događaja. U procesu analize rizika
navedenoj u standardu ukazuje se na potrebu da se
identifikuju informacione imovine, potencijalne
prijetnje ili izvori prijetnji, potencijalna
ranjivost i potencijalne posledice (uticaji).
Standardni govore o kvantitativnim i kvalitativnim
metodama za procjenu rizika. Oni ne preporučuju
niti ijednu metodu, u suštini preporučuju da
korisnici odaberu metodu koja im najbolje
odgovara. Treba napomenuti i da obje vrste
metoda procjenjuju, ali ne definišu, rizike. Koraci
u procesu su (uglavnom) definisani na nivou input
- aktivnosti - izlaz, sa dodatnim
"implementacijskim smjernicama" u stilu sličnom
kao u ISO/IEC 27002.
Obrađena FMEA je jedna od metoda koja
može pomoći svim onim organizacijama, koje
imaju ISO 27000 ili onima koje tek planiraju da ga
uvedu, da bi na adekvatan način vršili procjenu
informacione sigurnosti. Naravno od metode ne
treba očekivati čuda pogotovo kada se ima pogled
koliko je oblast upravljanja rizikom kompleksna,
ali i te kako može da pomogne da se rizik svede na
prihvatljiv nivo. Procjenu rizika je potrebno raditi
permanentno i na osnovu principa stalnog
unapređenja. Ako su rezultati procjene
nezadovoljavajući, vršimo loop - back na ulazima.
LITERATURA
[1] Perović Milan, Zdravko Krivokapić,
“Menadžment uslugama”, Mašinski fakultet
Podgorica, Fakultet za turizam i ugostiteljstvo
Kotor, 2007
[2] D. H. Stamatis, Failure mode and effect
analysis: FMEA from theory to execution,
Edition: 2, American Society for Quality,
2003
[3] Robin E. Mcdermott, Raymond J. Mikulak,
Michael R. Beauregard, Edition: 2, The Basics
of FMEA, CRC Press, 2008
[4] Yacov Y. Haimes, Risk Modeling,
Assessment, and Management, Edition: 3,
John Wiley and Sons, 2009
[5] R. Kostić, Priručnik za obuku iz oblasti
FMEA analize, zastava automobili, a.d.april
2007
[6] Alan Calder, Jan Van Bon, Van Haren,
Information Security Based on ISO
27001/ISO 17799: A Management Guide, Van
Haren Publishing, 2006
[7] Michael E. Whitman, herbert J. Mattord,
principles of information security, Cengage
Learning EMEA, 2008
[8] Nina Godbole, Information Systems Security:
Security Mangement, Metrics, Frameworks
And Best Practices, W/cd, Wiley-India, 2008
7. [9] Firewalls and Internet security: repelling the
wily hacker, William R. Cheswick, Aviel D.
Rubin, Edition: 2, Addison-Wesley, 2003
[10]Hossein Bidgoli, Handbook of information
security, John Wiley and Sons, 2006
[11]Dameon D. Welch-Abernathy, Essential
Check Point FireWall-1 NG: an installation,
configuration, and troubleshooting guide,
Addison-Wesley, 2004
[12]ISO/IEC 27000 Information technology -
Security techniques - Information security
management systems - Fundamentals and
vocabulary (draft)
[13]ISO/IEC 27001:2005 Information technology
- Security techniques - Specification for an
Information Security Management System
[14]ISO/IEC 27005:2008 Information technology
- Security techniques -- Information security
risk management
[15]Www.ansi.org
[16]Http://en.wikipedia.org
[17]Http://www.softwaretestingwiki.com
[18]Www.worldwidestandards.com
