Modelldrevet risikoanalyse med CORAS

Like dokumenter
Hvordan teste en risikomodell

Cyberspace og implikasjoner for sikkerhet

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT

Dokumentasjon av risiko på en måte som folk forstår

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse. Audun Jøsang

Retningslinjer for scenariobasert trusseldokumentasjon, erfaringer fra praksis

Når bør cyberrisiko forsikres?

Hvordan håndheve sikkerhet med hensyn til endring

Cyber-forsikring til hvilken pris?

Analyse av tillit i elektronisk samvirke

Hvordan lage og bruke policyer i tillitshåndtering

Komposisjon av risikomodeller:

Hva er cyberrisiko? Bjørnar Solhaug. Seminar om cyberrisk, SINTEF, Technology for a better society 1

SIKKERHET SOM INVESTERING HVORDAN KONTROLLER SIKKERHETSKOSTNADENE?

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05

RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL

En praktisk anvendelse av ITIL rammeverket

DESDIFORs virkeområde

Cyber Risk Mapping Kartlegging av cyberrisiko

Kan cyber-risiko forsikres?

VISUAL HVORDAN DESIGNE KUNDEREISER PÅ TVERS AV ORGANISASJONEN

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

Erfaringer fra en Prosjektleder som fikk «overflow»

ISO-standarderfor informasjonssikkerhet

Risiko. Risikostyring Risikobildet Risikoanalyse Risikohåndtering / Risiko-overføring. Farevurderinger Sikker Jobb Analyse. Datakvalitet AS.

Hans Tømmervik, NINA Nikolai K. Winge, NMBU Inge E. Danielsen, Gåebrien Sijte, Røros

Et verktøy for bedre risikoanalyse i krisesituasjoner

Erfaringer med kollisjoner på norsk sokkel og konsekvensene på regelverket

Informasjonssikkerhet En tilnærming

DecisionMaker Frequent error codes (valid from version 7.x and up)

FÅ TIL ITIL? GLEM ITIL! Marius Lien Sr. Rådgiver - Syscom

Fakultet for informasjonsteknologi, Institutt for datateknikk og informasjonsvitenskap AVSLUTTENDE EKSAMEN I. TDT42378 Programvaresikkerhet

Risikovurdering for folk og ledere Normkonferansen 2018

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Use case modellen. Use case modellering i analysefasen. Hva er en Aktør? Hva er et Use case? Use case modellering. Eksempel

Barrieregrenser og beregning av barrierer

Kontinuitetsplanlegging teori og praksis. Arve Sandve Scandpower AS ESRA,

Rune Hagen, BSK. CORAS risikoanalyse Utført for BankID Samarbeidet

Analyse av kundeavgang IBM Watson Content Analytics. Oslo, 19. november, 2015 Mons Nørve, Capgemini

Digitalisering av krav - kravhåndtering

Introduction to DK- CERT Vulnerability Database

SÅRBARHETS- OG RISIKOSEMINAR

God praksis på personalutvikling i TTO/KA. Presentasjon FORNY Seminar Sommaroy

Hvordan komme i gang med ArchiMate? Det første modelleringsspråket som gjør TOGAF Praktisk

Kort om meg. Master i informasjonssikkerhet (HiG) Pågående Master of Management ved BI - Risikostyring - Finansiell strategi - Strategisk ledelse

QuickGuide Oppdateres fortløpende ved nye funksjoner

Sårbarhet i kraftnettet eksempel Sør-Norge uten strøm i 8-12 timer, hva skal til?

UML 1. Use case drevet analyse og design Kirsten Ribu

RISIKO, NFKR Side 1. Det er sannsynlig at noe usannsynlig vil skje (Aristoteles) Vi forbinder begrepet risiko med fare, noe uønsket.

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

A Study of Industrial, Component-Based Development, Ericsson

Level Set methods. Sandra Allaart-Bruin. Level Set methods p.1/24

Standarder for Asset management ISO 55000/55001/55002

Retningslinje for risikostyring for informasjonssikkerhet

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Copyright 2010, SAS Institute Inc. All rights reserved.

Krav til sikkerhet og personvern hos tjenestesteder som skal koble seg opp til en felles elektronisk pasientjournal

Retningslinjer for aggregering av risiko. Ketil Stølen

e-navigasjon Fra brukerkrav til konsekvenser Lars Vollen

\VWHLQÃ+DXJHQ .HWLOÃ6W OHQ. INF-UIT 2002 / / Lysark 1. INF-UIT 2002 / / Lysark 2

Risikovurdering av cybersystemer

Hva er risikovurdering?

Social Media Insight

Bruk av risikoverktøy i byggeprosjekter, eksempel Strindheimstunnelen

Arild Røkenes Dosent Institutt for reiseliv og nordlige studier Campus Alta Risikostyring i naturbasert reiseliv

Standarder for risikostyring av informasjonssikkerhet

Syntax/semantics - I INF 3110/ /29/2005 1

Vurdering av risiko og sikkerhet i skytjenester. Håvard Reknes

Karakteren A: Fremragende Fremragende prestasjon som klart utmerker seg. Kandidaten viser svært god vurderingsevne og stor grad av selvstendighet.

Hvordan ledere bør tenke når det gjelder risiko, risikoanalyse og risikostyring. Terje Aven Universitetet i Stavanger

Håndtering av usikkerhet og kunnskapsstyrke

I dag UML. Domenemodell visualisering av konsepter. Eksempel. Hvordan finne domeneklasser?

Aggregering av risiko - behov og utfordringer i risikostyringen

Løsningsforslag matoppskrifter modellering

Smart High-Side Power Switch BTS730

Godkjenning av hydrogen som drivstoff på skip

Tom Røise 18. Februar 2009

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

O v e r o r d n e t m a k r o p e r s p e k t i v p å d i g i t a l e m u l i g h e t e r

Tilsyn med IKT-sikkerhet i boreprosesskontroll, støttesystemer innen petroleumsnæringen

Digitalt lederskap i global konkurranse. - mulig for norsk

Vekstkonferansen: Vekst gjennom verdibaserte investeringer. Thina Margrethe Saltvedt, 09 April 2019

Ny GIV Akershus fylkeskommune v/ Line Tyrdal

HMS og IKT-sikkerhet i integrerte operasjoner

Compliance officer rollen organisering og funksjon. Krisekonferansen 2014 Cecilie Wetlesen Borge EY FIDS Compliance, risk, governance

Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger Monica Endregard og Maren Maal

Kunde og BI leverandør hånd i hånd - eller..? Anders Hernæs / ah@ravnorge.no Lars- Roar Masdal / lrm@ravnorge.no

Eksempel på anvendelse

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

Referansemodell for arkiv

Barrierer Begrensninger og muligheter

Public roadmap for information management, governance and exchange SINTEF

VERDI-KLARLEGGING. en nøkkel til mer vellykket IT innsats. av Tom Gilb og Kai Gilb. Copyright Gilb.com Tuesday, 31 January 12

Kundetilfredshetsundersøkelse FHI/SMAP

Graphs similar to strongly regular graphs

Å skrive en god oppgavebesvarelse

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Transkript:

Modelldrevet risikoanalyse med CORAS Bjørnar Solhaug Seminar om risikostyring SINTEF, 27. januar 2011 1

Oversikt Hva er CORAS? Sentrale begreper Risikoanalyseprosessen Risikomodellering Oversettelse av diagrammer til engelsk Verktøystøtte Oppsummering 2

Hva er CORAS? CORAS har tre tett integrerte bestanddeler Metode for risikoanalyse Språk for risikomodellering Verktøy som støtter analyseprosessen Stegvis, strukturert og systematisk prosess Aktivum-drevet Konkrete oppgaver med praktiske retningslinjer Modelldrevet Modeller som grunnlag for analyse Modeller som dokumentasjon av resultater Basert på internasjonalt etablerte standarder 3

Sentrale begreper Sårbarhet Kunde Trussel Aktivum Behandling Uønsket hendelse Hyppighet Konsekvens Risiko 4

Risikoanalyseprosessen 8 steg 1. Preparations for the analysis 2. Customer presentation of the target 3. Refining the target description using asset diagrams 4. Approval of the target description 5. Risk identification using threat diagrams 6. Risk estimation using threat diagrams 7. Risk evaluation using risk diagrams 8. Risk treatment using treatment diagrams Etablere kontekst Analysere risiko Behandle risiko 5

Risikomodellering CORAS-språket består av fem typer diagrammer Asset diagrams Threat diagrams Risk diagrams Treatment diagrams Treatment overview diagrams Hver type diagram støtter bestemte steg i prosessen I tillegg finnes tre typer diagrammer for spesielle behov High-level CORAS diagrams Dependent CORAS diagrams Legal CORAS diagrams 6

Eksempel: Trusseldiagram Konsekvens Aktivum Trussel Hacker Computer virus Sårbarhet Hyppighet Virus protection not up to date 0.1 Server is infected by computer virus [possible] Trusselscenario 0.2 Hacker gets access to server [unlikely] Virus creates back door Likelihood to server [possible] Server goes down [unlikely] Uønsket hendelse high high low Confidentiality of information Integrity of server high Availability of server 7

Oversettelse av diagrammer til engelsk Hvordan skal vi fortolke et CORAS-diagram? Brukere behøver en presis og entydig forklaring på hva et gitt diagram betyr CORAS kommer med regler for systematisk oversettelse av ethvert diagram til setninger i naturlig språk (engelsk) 8

Eksempel Elementer Computer virus is a non-human threat. Virus protection not up to date is a vulnerability. Threat scenario Server is infected by computer virus occurs with likelihood possible. Unwanted incident Server goes down occurs with likelihood unlikely. Availability of server is an asset. Relasjoner Computer virus Virus protection not up to date Server is infected by computer virus [possible] Computer virus exploits vulnerability Virus protection not up to date to initiate Server is infected by computer virus with undefined likelihood. Server is infected by computer virus leads to Server goes down with conditional likelihood 0.2. Server goes down impacts Availability of server with consequence high. 0.2 Server goes down [unlikely] high Availability of server 9

Verktøystøtte CORAS-verktøyet er en diagrameditor Gir støtte for å lage alle typer CORAS-diagrammer Egnet for hurtig modellering (on-the-fly) under strukturert idemyldring ved møtene Sikrer syntaktisk korrekte diagrammer Brukes gjennom alle stegene av risikoanalysen Input til de ulike oppgavene Samling og strukturering av informasjon under oppgavene Dokumentasjon av analyseresultater Tilgjengelig for nedlasting: http://coras.sourceforge.net/ 10

Screenshot Pull-down-meny Verktøylinje Palett Outline Lerret Properties 11

Oppsummering CORAS består av tre deler Metode Språk Verktøy Modelldrevet og aktivumdrevet Gir konkrete guidelines for risikoanalyse i praksis Bygget på et veletablert og presist definert begrepsapparat Basert på internasjonalt etablerte standarder Bok: http://www.springer.com/computer/swe/book/978-3-642-12322-1 Hjemmeside: http://coras.sourceforge.net/ 12

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding