policies risk analysis
play

Policies & Risk Analysis CS461/ECE422 Spring 2012 - PowerPoint PPT Presentation

May 25, 2023 •177 likes •641 views

Policies & Risk Analysis CS461/ECE422 Spring 2012 Readings Chapters 14 and 15 of Computer Security Informa(on Security Policies and Procedures ,

  1. Policies ¡& ¡Risk ¡Analysis ¡ CS461/ECE422 ¡ Spring ¡2012 ¡

  2. Readings ¡ • Chapters ¡14 ¡and ¡15 ¡of ¡Computer ¡Security ¡ • Informa(on ¡Security ¡Policies ¡and ¡Procedures , ¡ Thomas ¡PelEer ¡ • Informa(on ¡Security ¡Risk ¡Analysis , ¡by ¡Thomas ¡R. ¡ PelEer ¡ – On ¡reserve ¡at ¡the ¡library ¡ – Chapters ¡1 ¡and ¡2 ¡Google ¡Books ¡ – IdenEfies ¡basic ¡elements ¡of ¡risk ¡analysis ¡and ¡reviews ¡ several ¡variants ¡of ¡qualitaEve ¡approaches ¡ • SANS ¡policy ¡project ¡ – hRp://www.sans.org/resources/policies/ ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 2 ¡

  3. Security ¡Policy ¡ • A ¡security ¡policy ¡is ¡a ¡formal ¡statement ¡of ¡the ¡ rules ¡by ¡which ¡people ¡who ¡are ¡given ¡access ¡to ¡ an ¡organizaEon’s ¡technology ¡and ¡informaEon ¡ assets ¡must ¡apply. ¡(RFC ¡2196) ¡ • Defines ¡what ¡it ¡means ¡for ¡the ¡organizaEon ¡to ¡ be ¡in ¡a ¡secure ¡state. ¡ – Otherwise ¡people ¡can ¡claim ¡ignorance. ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 3 ¡

  4. Mechanisms ¡or ¡Controls ¡or ¡ ¡ Countermeasures ¡ • EnEty ¡or ¡procedure ¡that ¡enforces ¡some ¡part ¡of ¡ the ¡security ¡policy ¡ – Access ¡controls ¡(like ¡bits ¡to ¡prevent ¡someone ¡from ¡ reading ¡a ¡homework ¡file) ¡ – Disallowing ¡people ¡from ¡bringing ¡CDs ¡and ¡floppy ¡ disks ¡into ¡a ¡computer ¡facility ¡to ¡control ¡what ¡is ¡ placed ¡on ¡systems ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 4 ¡

  5. Types ¡of ¡Policies ¡that ¡Affect ¡ InformaEon ¡Security ¡ • Data ¡protecEon ¡ • Privacy ¡ • Email ¡ • Hiring ¡ • Numerous ¡others ¡types ¡of ¡organizaEonal ¡ policies ¡with ¡varying ¡impact ¡on ¡informaEon ¡ security ¡ -­‑5 ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

  6. Natural ¡Language ¡Security ¡Policies ¡ • TargeEng ¡Humans ¡ – WriRen ¡at ¡different ¡levels ¡ • To ¡inform ¡end ¡users ¡ • To ¡inform ¡lawyers ¡ • To ¡inform ¡technicians ¡ • Users, ¡owners, ¡beneficiaries ¡(customers) ¡ • As ¡with ¡all ¡policies, ¡should ¡define ¡purpose ¡not ¡mechanism ¡ – May ¡have ¡addiEonal ¡documents ¡that ¡define ¡how ¡policy ¡maps ¡to ¡ mechanism ¡ • Should ¡be ¡enduring ¡ – Don't ¡want ¡to ¡update ¡with ¡each ¡change ¡to ¡technology ¡ • Shows ¡due ¡diligence ¡on ¡part ¡of ¡the ¡organizaEon ¡ -­‑6 ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

  7. Key ¡Parts ¡of ¡OrganizaEonal ¡Policy ¡ 1. What ¡is ¡being ¡protected? ¡ ¡Why? ¡ 2. Generally ¡how ¡should ¡it ¡be ¡protected? ¡ 3. Who ¡is ¡responsible ¡for ¡ensuring ¡policy ¡is ¡ applied? ¡ 4. How ¡are ¡conflicts ¡and ¡discrepancies ¡to ¡be ¡ interpreted ¡and ¡resolved? ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 7 ¡

  8. How ¡to ¡Write ¡a ¡Policy ¡ • Understand ¡your ¡environment ¡ – Risk ¡Analysis ¡(see ¡next ¡lecture) ¡ • Understand ¡your ¡industry ¡ – Look ¡for ¡“standards” ¡from ¡similar ¡companies ¡ – Leverage ¡others ¡wisdom ¡ – Already ¡proven ¡with ¡auditors/regulators ¡ • Standards ¡ • ISO ¡17799 ¡– ¡Code ¡of ¡PracEce ¡for ¡InformaEon ¡Security ¡ Management ¡ • COBIT ¡– ¡Control ¡ObjecEves ¡for ¡InformaEon ¡and ¡Related ¡ Technolgy ¡ • SANS, ¡CERT ¡have ¡policy ¡guidelines ¡ • Gather ¡the ¡right ¡set ¡of ¡people ¡ – Technical ¡experts, ¡person ¡ulEmately ¡responsible, ¡person ¡who ¡ can ¡make ¡it ¡happen ¡ – Not ¡just ¡the ¡security ¡policy ¡“expert” ¡ -­‑8 ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

  9. Security ¡Policy ¡Life ¡Cycle ¡ Risk ¡Analysis ¡ Policy ¡ Reassessment ¡ Development ¡ Policy ¡ Policy ¡ ImplementaEon ¡ Approval ¡ Raising ¡ Awareness ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 9 ¡

  10. Security ¡Policy ¡Contents ¡ • Purpose ¡– ¡Why ¡are ¡we ¡trying ¡to ¡secure ¡ things ¡ • IdenEfy ¡protected ¡resources ¡ • Who ¡is ¡responsible ¡for ¡protecEng ¡ ¡ – What ¡kind ¡of ¡protecEon? ¡ ¡Degree ¡but ¡probably ¡ not ¡precise ¡mechanism. ¡ ¡ • Cover ¡all ¡cases ¡ • RealisEc ¡ -­‑10 ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

  11. More ¡Specific ¡Policy ¡Content ¡Ideas ¡ • Principles ¡of ¡Security ¡ • Technical ¡support ¡ • OrganizaEonal ¡ReporEng ¡ • Privacy ¡ Structure ¡ • Access ¡ • Physical ¡Security ¡ • Accountability ¡ • Hiring, ¡management, ¡ • AuthenEcaEon ¡ firing ¡ • Availability ¡ • Data ¡protecEon ¡ • Maintenance ¡ • CommunicaEon ¡security ¡ • ViolaEons ¡reporEng ¡ • Hardware ¡ • Business ¡conEnuity ¡ • Sonware ¡ • SupporEng ¡informaEon ¡ • OperaEng ¡systems ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 11 ¡

  12. University ¡of ¡Illinois ¡InformaEon ¡ Security ¡Policies ¡ • University ¡of ¡Illinois ¡InformaEon ¡Security ¡Policies ¡ – System ¡wide ¡policy; ¡IdenEfies ¡what, ¡not ¡how ¡ – hRp://www.obfs.uillinois.edu/cms/one.aspx? pageId=914038 ¡ • CITES ¡UIUC ¡standards ¡and ¡guidelines ¡ – DNS ¡-­‑ ¡hRp://www.cites.uiuc.edu/dns/standards.html ¡ – FERPA ¡-­‑ ¡ hRp://www.cites.uiuc.edu/edtech/development_aids/ ferpa/index.html ¡ • CS ¡Department ¡policies ¡ • hRps://wiki.engr.illinois.edu/display/tsg/Policies ¡ -­‑12 ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

  13. Example ¡Privacy ¡policies ¡ • Busey ¡Bank ¡ • hRps://www.busey.com/home/fiFiles/staEc/ documents/privacy.pdf ¡ – Financial ¡Privacy ¡Policy ¡ • Targets ¡handling ¡of ¡personal ¡non-­‑public ¡data ¡ • Clarifies ¡what ¡data ¡is ¡protected ¡ • Who ¡the ¡data ¡is ¡shared ¡with ¡ -­‑13 ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

  14. Poorly ¡WriRen ¡Policies ¡ Cars.gov ¡– ¡Had ¡following ¡in ¡click-­‑through ¡policy ¡ • for ¡dealers ¡ This ¡applicaEon ¡provides ¡access ¡to ¡the ¡[Department ¡of ¡ • TransportaEon] ¡DoT ¡CARS ¡system. ¡When ¡logged ¡on ¡to ¡the ¡CARS ¡ system, ¡your ¡computer ¡is ¡considered ¡a ¡Federal ¡computer ¡system ¡ and ¡is ¡the ¡property ¡of ¡the ¡U.S. ¡Government. ¡Any ¡or ¡all ¡uses ¡of ¡this ¡ system ¡and ¡all ¡files ¡on ¡this ¡system ¡may ¡be ¡intercepted, ¡monitored, ¡ recorded, ¡copied, ¡audited, ¡inspected, ¡and ¡disclosed... ¡to ¡ authorized ¡CARS, ¡DoT, ¡and ¡law ¡enforcement ¡personnel, ¡as ¡well ¡as ¡ authorized ¡officials ¡of ¡other ¡agencies, ¡both ¡domesEc ¡and ¡foreign. ¡ According ¡to ¡ ¡EFF ¡ • hRp://www.eff.org/deeplinks/2009/08/cars-­‑gov-­‑ – terms-­‑service ¡ -­‑14 ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

  15. Example ¡Acceptable ¡Use ¡Policy ¡ • IEEE ¡Email ¡Acceptable ¡Use ¡Policy ¡ ¡ – hRp://eleccomm.ieee.org/email-­‑aup.shtml ¡ – Inform ¡user ¡of ¡what ¡he ¡can ¡do ¡with ¡IEEE ¡email ¡ – Inform ¡user ¡of ¡what ¡IEEE ¡will ¡provide ¡ • Does ¡not ¡accept ¡responsibility ¡of ¡acEons ¡resulEng ¡ from ¡user ¡email ¡ • Does ¡not ¡guarantee ¡privacy ¡of ¡IEEE ¡computers ¡and ¡ networks ¡ – Examples ¡of ¡acceptable ¡and ¡unacceptable ¡use ¡ -­‑15 ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

  16. What ¡is ¡Risk? ¡ ¡ • The ¡probability ¡that ¡a ¡parEcular ¡threat ¡will ¡ exploit ¡a ¡parEcular ¡vulnerability ¡ – Not ¡a ¡certainty. ¡ ¡ – Risk ¡impact ¡– ¡loss ¡associated ¡with ¡exploit ¡ • Need ¡to ¡systemaEcally ¡understand ¡risks ¡to ¡a ¡ system ¡and ¡decide ¡how ¡to ¡control ¡them. ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ Slide ¡#16 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Risk Assessment Reduce the workers and Biosafety is an inexact science, and

Risk Assessment Reduce the workers and Biosafety is an inexact science, and

Risk Analysis Biosafety Risk assessment, Risk Risk analysis encom passes Management & risk risk assessm ent, risk communication m anagem ent, and risk com m unication. Ephy Khaemba International Livestock Research Institute

506 views • 11 slides
Crown Ministries: Policies & Implementation Risk Management Official & Risk Management

Crown Ministries: Policies & Implementation Risk Management Official & Risk Management

Crown Ministries: Policies & Implementation Risk Management Official & Risk Management Inspector Training Course Source Protection Programs Branch Ministry of the Environment & Climate Change Agenda To provide an overview of how

664 views • 33 slides
Research & Education Challenges in Risk Analysis & Risk Management Improved

Research & Education Challenges in Risk Analysis & Risk Management Improved

Research & Education Challenges in Risk Analysis & Risk Management Improved Understanding of Risk Management Type Matching Risks, Risk Analysis & Risk Response Maritime Risk Symposium 2011 Rutgers University 9 November, 2011

1.18k views • 82 slides
Risk analysis process Outline The aim of this presentation is to take the Board through the

Risk analysis process Outline The aim of this presentation is to take the Board through the

RISK ANALYSIS PROCESS 5th December 2018 Risk analysis process Outline The aim of this presentation is to take the Board through the FSA risk analysis process. Risk analysis is a process consisting of three components: risk

304 views • 11 slides
POWER RESOURCES RISK MANAGEMENT POLICIES Board of Public Utilities January 18, 2013

POWER RESOURCES RISK MANAGEMENT POLICIES Board of Public Utilities January 18, 2013

POWER RESOURCES RISK MANAGEMENT POLICIES Board of Public Utilities January 18, 2013 INTRODUCTION RPU'S supply portfolio is exposed to several risks Load variability Cost variability Counterparty risk Energy commodity

629 views • 14 slides
Group Risk Management May 10, 2010 David Benson Chief Risk Officer Agenda 1 . Risk Management

Group Risk Management May 10, 2010 David Benson Chief Risk Officer Agenda 1 . Risk Management

Risk Management Group Risk Management May 10, 2010 David Benson Chief Risk Officer Agenda 1 . Risk Management Framework - 4 Pillars 2 . Risk Appetite pp 3 . Economic Capital Analysis 4 . Illiquid Asset Analysis 2 1. Risk Management

562 views • 10 slides
Preparedness Preliminary risk management Risk assessment Risk management Risk

Preparedness Preliminary risk management Risk assessment Risk management Risk

FAO/WHO guide for application of risk analysis principles to food safety emergencies Food Recall and Traceability (February 2013, Thailand) Preparedness Preliminary risk management Risk assessment Risk management Risk

440 views • 39 slides
Risk and safety, Part 2: Frank Guldenmund

Risk and safety, Part 2: Frank Guldenmund

Risk and safety, Part 2: Frank Guldenmund Overview 1. Risk analysis (con/nued) 2. Safety measures Risk analysis (con9nued) Risk analysis

647 views • 37 slides
Security Planning and Risk Analysis CS461/ECE422 Computer Security I Fall 2010 Slide #1

Security Planning and Risk Analysis CS461/ECE422 Computer Security I Fall 2010 Slide #1

Security Planning and Risk Analysis CS461/ECE422 Computer Security I Fall 2010 Slide #1 Overview Elements of Risk Analysis Quantitative vs Qualitative Analysis One Risk Analysis framework Slide #2 Reading Material Chapter

706 views • 32 slides
Security Planning and Risk Analysis CS461/ECE422 Computer Security I Fall 2009 Slide #1

Security Planning and Risk Analysis CS461/ECE422 Computer Security I Fall 2009 Slide #1

Security Planning and Risk Analysis CS461/ECE422 Computer Security I Fall 2009 Slide #1 Overview Elements of Risk Analysis Quantitative vs Qualitative Analysis One Risk Analysis framework Slide #2 Reading Material Chapter

793 views • 32 slides
Risk Analysis HOW DID WE GET HERE AND WHERE ARE WE GOING? Steven G. Vick Basic precepts 1.

Risk Analysis HOW DID WE GET HERE AND WHERE ARE WE GOING? Steven G. Vick Basic precepts 1.

Risk Analysis HOW DID WE GET HERE AND WHERE ARE WE GOING? Steven G. Vick Basic precepts 1. The purpose of risk analysis is to improve dam safety diagnostic improved understanding of dam and its vulnerabilities efficiency

580 views • 25 slides
Outline 1. A quick look at the development of an archive of macroeconomic models for policy

Outline 1. A quick look at the development of an archive of macroeconomic models for policy

The Effects of Monetary and Fiscal Policies: The Effects of Monetary and Fiscal Policies: The Effects of Monetary and Fiscal Policies: Analysis Using a Macro-Modelbase Analysis Using a Macro- -Modelbase Modelbase Analysis Using a Macro

431 views • 12 slides
Dynamic Positioning System (DPS) Risk Analysis Using Probabilistic Risk Assessment (PRA) Eric

Dynamic Positioning System (DPS) Risk Analysis Using Probabilistic Risk Assessment (PRA) Eric

DYNAMIC POSITIONING CONFERENCE OCTOBER 911, 2017 TESTING/RISK Dynamic Positioning System (DPS) Risk Analysis Using Probabilistic Risk Assessment (PRA) Eric Thigpen, SAIC ; Michael A. Steward, Roger L. Boyer NASA; Pete Fougere, Consultant

796 views • 33 slides
Integration of Indigenous Knowledge into Disaster Risk Reduction and Management (DRRM) Policies

Integration of Indigenous Knowledge into Disaster Risk Reduction and Management (DRRM) Policies

Integration of Indigenous Knowledge into Disaster Risk Reduction and Management (DRRM) Policies and Plans of the Local Government The Case of Agta in Casiguran, Philippines Jesusa Grace J. Molina MA Student in Development Studies University

141 views • 13 slides
The Risk Assessment/Risk Management Process What is risk assessment? The process of evaluating

The Risk Assessment/Risk Management Process What is risk assessment? The process of evaluating

Risk Assessment 101 Scott D. Dwyer, PhD, DABT Practice Leader Risk Analysis and Toxicology Kleinfelder 14710 NE 87 th Street, Suite 100 Redmond WA 98074 425-636-7910 sdwyer@kleinfelder.com The Risk Assessment/Risk Management Process What

378 views • 12 slides
Risk Analysis for Truck Transportation of Risk Analysis for Truck Transportation of High

Risk Analysis for Truck Transportation of Risk Analysis for Truck Transportation of High

SAND2010-5995C Risk Analysis for Truck Transportation of Risk Analysis for Truck Transportation of High Consequence Cargo High Consequence Cargo g g q q g g Bob Waters Sandia National Laboratories S di N ti l L b t i Workshop on

593 views • 9 slides
Neo4j Introduction No Sql Search Roadshow Dirk Mller dirk.moeller@neotechnology.com Neo

Neo4j Introduction No Sql Search Roadshow Dirk Mller dirk.moeller@neotechnology.com Neo

Neo4j Introduction No Sql Search Roadshow Dirk Mller dirk.moeller@neotechnology.com Neo Technology, Inc Confidential Donnerstag, 19. September 13 Graphs are everywhere 2 Donnerstag, 19. September 13 The Graph Trend Neo Technology, Inc

1.11k views • 87 slides
3G All IP Network 1 Outline Mobile Technology Evolution GPRS Overview 3GPP UMTS

3G All IP Network 1 Outline Mobile Technology Evolution GPRS Overview 3GPP UMTS

3G All IP Network 1 Outline Mobile Technology Evolution GPRS Overview 3GPP UMTS System (Release 99) Introduction to VoIP Technologies H.323 SIP MGCP/MEGACO SIGTRAN Softswitch 3GPP All IP Network 2

751 views • 51 slides
A Web-Based Platform for Publication and Distributed Execution of Computing Applications Oleg

A Web-Based Platform for Publication and Distributed Execution of Computing Applications Oleg

14th International Symposium on Parallel and Distributed Computing A Web-Based Platform for Publication and Distributed Execution of Computing Applications Oleg Sukhoroslov, Sergey Volkov, Alexander Afanasiev Institute for Information

561 views • 30 slides
Patient-Centered Outcomes Research Institute Board of Governors Meeting Denver, CO May 21-22,

Patient-Centered Outcomes Research Institute Board of Governors Meeting Denver, CO May 21-22,

Patient-Centered Outcomes Research Institute Board of Governors Meeting Denver, CO May 21-22, 2012 PATIENT-CENTERED OUTCOMES RESEARCH INSTITUTE Patient-Centered Outcomes Research Institute Executive Directors Report PCORI Board of

2.34k views • 176 slides
Computing at MPP Arthur Erhardt MPP Computing Commission + Fachabteilung IT MPP Project Review,

Computing at MPP Arthur Erhardt MPP Computing Commission + Fachabteilung IT MPP Project Review,

Computing at MPP Arthur Erhardt MPP Computing Commission + Fachabteilung IT MPP Project Review, 15.12.2015 Personnel Fachabteilung IT Linux MS Mac SW LAN HW Print Phone Erhardt, A. x x x x x x x x

698 views • 21 slides
CERN and the LHC Computing Challenge by Wolfgang von Rden Head, IT Department CERN 50 th

CERN and the LHC Computing Challenge by Wolfgang von Rden Head, IT Department CERN 50 th

where the Web was born CERN and the LHC Computing Challenge by Wolfgang von Rden Head, IT Department CERN 50 th anniversary with openlab partners 19 th October 2004 October 2004 1 CERN is also: What is CERN? - 2500 staff (physicists,

553 views • 37 slides
Design and Architectures for Design and Architectures for Embedded Systems (ESII) Embedded

Design and Architectures for Design and Architectures for Embedded Systems (ESII) Embedded

ESII: Intro and Overview 1 Design and Architectures for Design and Architectures for Embedded Systems (ESII) Embedded Systems (ESII) Prof. Dr. J. Henkel, M. Shafique Prof. Dr. J. Henkel, M. Shafique CES - Chair for Embedded Systems CES

989 views • 73 slides
Introduction to Data Communications and Computer Networks Surasak Sanguanpong nguan@ku.ac.th

Introduction to Data Communications and Computer Networks Surasak Sanguanpong nguan@ku.ac.th

1/20 Introduction to Data Communications and Computer Networks Surasak Sanguanpong nguan@ku.ac.th http://www.cpe.ku.ac.th/~nguan Last updated: 2 November 2004 Applied Network Research Group Department of

638 views • 10 slides

More recommend