Inlämning av Examensarbete / Submission of Thesis

Sandra Olandersson; Jeanette Fredsson , pp. 53. Inst. för Programvaruteknik och Datavetenskap/Dept. of Software Engineering and Computer Science, 2001.

The work

Författare / Author: Sandra Olandersson, Jeanette Fredsson
guohua.bai@bth.se
Titel / Title: Threats in Information Security: Beyond technical solutions. - Using Threat Tree Analysis
Översatt titel / Translated title: Hot mot Informationssäkerhet: Bortom tekniska lösningar. - Använda Hotträdsanalys
Abstrakt Abstract:

To be able to protect an organisation's resources, it is important to understand what there is to protect and what to protect it from. The first step is to try to analyse the security threats that exist against an organisation's resources to explore the risks. Threats have to be identified, for the organisation to protect its resources and find where the optimal placement against threats is.

This thesis analysis whether it is possible to obtain a Threat Tree Analysis that is useful for developing an information security policy for the municipality in Ronneby, using the SS 62 77 99-1 standard. A co-operation between the technical solutions and the administrative security is necessary to achieve information security, together with ordinary common sense. True, each of these can help improve security, but none of them is a complete solution. Security is not a product - it is a process. Threat trees form the basis of understanding that process.

In this thesis, we have been using a qualitative method. The analysis method is a case study at the Social Department, at the municipality in Ronneby. Through interviews it has come us to hand, that the organisation has not established an information security policy which should give the code of practice for how the work of information security will pursue within the organisation. The organisation does neither use a model for structuring threats nor a method for collecting threats against information today.

Through the structure of possible threats, the personnel generates an understanding of the organisation and takes active part finding adequate threats within the Social Department. As users understand the importance of security, how to use it, and where to report suspected violations, they can do a great deal to reduce the risk to loose information. Important to remember is that the education is an ongoing process, new users need training and trained users need reminding, especially when new technologies or processes are introduced. Thus, Threat Tree Analysis is useful for continuing towards developing an information security policy according to SS 62 77 99-1 standard.

Populärvetenskaplig beskrivning / Popular science summary: För att kunna skydda en organisations resurser är det viktigt att förstå vad organisationen behöver skydda och vad den ska skydda det ifrån. Det första steget är att analysera hot mot organisationens resurser för att uppskatta riskerna. Hot måste identifieras för att organisationen ska kunna skydda sina resurser och hitta den optimala placeringen av åtgärder mot hot.

Denna uppsatsen undersöker om det är möjligt att skapa en hotträdsanalys som är användbar för skapandet av en informationssäkerhetspolicy för Ronneby kommun, genom att använda standarden SS 62 77 99-1. Vi betonar i uppsatsen att ett samarbete mellan existerande tekniska lösningar och administrativ säkerhet är nödvändigt för att uppnå informationssäkerhet. Visst kan var och en av dessa hjälpa till att förbättra säkerheten, men ingen av dem är ensam den kompletta lösningen. Säkerhet är inte en produkt - det är en process. Hotträd formar grunden för en förståelse av den processen.

I denna uppsats har vi använt en kvalitativ metod. Analysmetoden är en fallstudie på Socialförvaltningen i Ronneby kommun. Genom intervjuer har vi fått fram att organisationen inte har etablerat en informationssäkerhetspolicy, vilken ska ge riktlinjer för hur säkerhetsarbetet ska fullföljas inom organisationen. Organisationen använder varken en modell för att identifiera hot mot information eller en metod för att strukturera hoten.

Genom strukturen av möjliga hot, genererar personalen en förståelse för organisationen och tar aktivt del i att identifiera hot mot Socialförvaltningen. Detta medför att alla användare förstår hur viktigt det är med säkerhet, vart de ska rapportera misstänkta händelser och de kan göra mycket för att minska risken att förlora information. Det är viktigt att komma ihåg att utbildning är en pågående process, nya användare behöver utbildning och utbildade användare behöver vidareutbildning, speciellt när nya tekniker eller processer introduceras. Därför är hotträdsanalysen en användbar modell för arbetet mot att skapa en informationssäkerhetspolicy enligt standarden SS 62 77 99-1.
Ämnesord / Subject: Datavetenskap - Computer Science\General

Nyckelord / Keywords: Information security, Administrative security, Information technology security, Resources, Vulnerability, Security awareness, Risk assessments, Threats, Threat tree analysis, Information security policy

Publication info

Dokument id / Document id:
Program:/ Programme Internationell ADB/International IS
Registreringsdatum / Date of registration: 09/16/2004
Uppsatstyp / Type of thesis: C-Uppsats

Context

Handledare / Supervisor: Jelte Jansons
jelte.jansons@bth.se
Examinator / Examiner: Guohua Bai
Organisation / Organisation: Blekinge Institute of Technology
Institution / School: Inst. för Programvaruteknik och Datavetenskap/Dept. of Software Engineering and Computer Science
Inst. för Programvaruteknik och Datavetenskap S-372 25 Ronneby
+46 455 780 00
http://www.ipd.bth.se/
I samarbete med / In co-operation with: Ronneby kommun
Anmärkningar / Comments:

Sandra Olandersson
Blåbärsvägen 27
372 38 RONNEBY
0457 / 12084

Jeanette Fredsson
Villa Viola
372 36 RONNEBY
0457 / 26616

Files & Access

Bifogad uppsats fil(er) / Files attached: thesis.pdf (152 kB, öppnas i nytt fönster)