dc.description.abstract | NORSK:
I dagens samfunnsutvikling er riktig behandling og ivaretakelse av informasjon, et konstant
spørsmål om sikkerhet. Økte krav til effektivisering leder ofte til sentralisering og
konvergens av parallelle utviklingsløp. Samtidig er det en økende tendens til at ulike informasjonssystemer
kobles sammen og tilknyttes Internett. Dette medfører større krav til
informasjonstilgjengelighet og nye kommunikasjonsformer. På den andre siden medfører
slike krav økt kompleksitet og større angrepsflate. En stadig utfordring er å sikre tilstrekkelig
ivaretakelse av informasjonssikkerhet. Når data skal utveksles i et nettverk, eller
det skal gis tilgang til data fra forskjellige systemer, vil forskjellige aktører ha forskjellige
krav til sikkerhet, mens dataene vil ha de samme behovene for sikkerhet.
Ledelsen i virksomheten er ofte de som avgjør og fastslår hvorvidt virksomheten har
tilstrekkelig informasjonssikkerhet. Ledelsen tar ofte sine beslutninger basert på undersøkelser,
vurderinger og analyser. En risiko- og sårbarhetsanalyse kan være et hjelpemiddel
for å avgjøre om virksomheten har tilstrekkelig sikkerhet og informasjonssikkerhet. En
risiko- og sårbarhetsanalyse kan også bidra til å hjelpe prosjektdeltakerne i å sikre kvalitet
i prosjektet, og bidra til at den endelige leveransen er i samsvar med krav og målsetting
definert av ledelsen. Masteroppgaven benytter metodene NSM-ROS2004 og FTA for å
avdekke konsekvenser ved sentralisering av kritiske IKT-systemer innen helsesektoren.
Samtidig forsøker oppgaven å besvare hvilken grad av objektivitet eller subjektivitet som
ligger i resultatene. Det kan være en tendens til at kvalitative metoder har et preg av
personlige vurderinger og personlig empiri, noe som kan medføre misvisende sluttresultater.
Masteroppgaven inneholder også et eksperiment ved å benytte FTA som metode
innen informasjonssikkerhet. FTA metoden er benyttet i både kvalitativ og kvantitativ tilnærming.
Eksperimentet viser at FTA i en kvantitativ tilnærming kan bidra til en mindre
grad av subjektivitet i resultatet. Masteroppgaven drøfter også fordeler og ulemper ved
en enkel og lett metode, i forhold til en mer omfattende og ressurskrevende metode.
I tillegg er et av rapportens bidrag å gi en beskrivelse og fremgangsmåte for hvordan
en risiko- og sårbarhetsanalyse kan gjennomføres. Dette gjøres ved å være prosessorientert
i beskrivelsene av fremgangsmåte, og således beskrives begge risiko- og sårbarhetsanalysene
detaljert. Det eksisterer relativt lite offentlig tilgjengelig dokumentasjon
som beskriver en detaljert fremgangsmåte og bruk av ROS-metoder. Ofte holdes hele
ROS-analysen og prosessen konfidensiell innenfor en virksomhet, organisasjon eller konsulentfirma.
Rapporten gir således også en kort oppsummering over ulike typer metoder
som kan benyttes i forskjellige typer risiko- og sårbarhetsanalyser. | no |
dc.description.abstract | ENGELSK:
In modern society, current treatment and management of information is a constant question
about security. Raised demand of improving the efficiency of operations, leads
frequently to centralization and convergence of unequal systems. A frequently challenge
is to fulfil the demand of sufficient security and information security. For example, when
information is exchanged in a network, or there are given access to information from
different systems. The information itself will have the same security requirements, and
because of this, information and security must be managed in a complete and satisfactory
way.
The management decide whether the organization have sufficient information security.
The management often base such decision on analysis, investigation or exploration. A
risk analysis could confirm that the organization fulfil the demands of sufficient security.
A risk analysis could also ensure a quality in the project and confirm that the deliverance
is in accordance defined by the management. Different kind of factors identified as
critical to a project are affecting the choice of methods. The increasing human impact,
beside increasing complexity and convergence, often requires knowledge about how to
choose the most suitable method. The methods are effective tools for analyzing systems,
in order to reduce the likelihood that critical and crucial threats remain unidentified.
Which might be achieved by choosing the most effective and suitable method for the
project and the organization. For example qualitative methods lack the ability to account
the dependencies between events, but are effective in identifying potential hazards and
failures within the system, whereas tree-based techniques take into consideration the dependencies
between events.
This thesis describes the use of two different methods for analyzing a health-care organization.
The two chosen methods are, the quick and easy method «NSM-ROS2004»,
and the heavier and more extensive method «FTA». The thesis carries out an experiment
by using FTA as a method within information security. Both methods are used to uncover
the consequences of centralizing critical ICT-systems. The thesis also discuss the benefit
of choosing a quick and easy method, instead of an extensive one, the theses will also
analysis the result in each method, to disclose in which degree there are subjective or objective
parts in the results. A greater subjective part might lead to deceptive conclusions.
Another contribution is to describe the procedure of performing a risk analysis. There
is a relative small number of detailed documentation about how to choose a method,
employ a method and perform a risk analyse. The whole process and the results are often
kept confidential within an organization or consultant firm. The theses give a description
on how to choose, perform and analyse the results. | en |