Wykorzystanie metod bezpieczeństwa funkcjonalnego w ocenie zagrożeń w sieciach informatycznych - propozycja

pol Article in Polish DOI:

send Tadeusz Missala Przemysáowy Instytut Automatyki i Pomiarów PIAP, Warszawa

Download Article

Streszczenie

W nawiązaniu do poprzedniej publikacji autora [1] zwrócono uwagę, że na Warsztatach CRITIS 2010 pojawiły się publikacje dotyczące analizy zagrożeń powstających w sieciach informatycznych sterujących infrastrukturą krytyczną i ilościowej oceny odporności na te zagrożenia. Ta tematyka ma wiele aspektów wspólnych z tematyką oceny zagrożeń i ryzyka stosowaną w bezpieczeństwie funkcjonalnym [3]. Zaproponowano zastosowanie tych metod w ocenie zagrożeń w sieciach informatycznych.

Słowa kluczowe

bezpieczeństwo funkcjonalne, ocena zagrożeń, sieci informatyczne

Providing of functional safety methods to threats and resilience analysis in information networks - proposal

Abstract

Referring to the precedent publication of the author [1] the attention is direct to the fact, during Workshop CRITIS '2010 are occurred publications concerning threats analysis in the information networks controlling the critical infrastructure and quantitative assessment of the networks resilience. It is to note the many of aspects of these are common with the methods applied in the functional safety [3]. Use of functional safety methods to threats assessment in information networks is proposed.

Keywords

functional safety, networks, threat assessment

Bibliography

  1. Missala T.: Zabezpieczenie sieci przemysłowych przed intruzami - temat dnia. Pomiary Automatyka Robotyka, 2/2010, s. 180-189.
  2. Missala T.: Walidacja złożonych systemów automatyki i robotyki. Pomiary Automatyka Robotyka, 2/2009, s. 201-213.
  3. Missala T.: Analiza wymagań i metod postępowania przy ocenie ryzyka i określaniu wymaganego poziomu nienaruszalności bezpieczeństwa. Monografia. Przemysłowy Instytut Automatyki i Pomiarów. Warszawa 2009.
  4. Vavoulas N., Xenakis Ch.: A Quantitative Risk Analysis Approach for deliberate Threats. Conference Pre-Proceedings, 5th International Workshop on Critical Information Infrastructures Security, CRITIS’10, Athens, 2010, s. 13-26.
  5. Chołda P., Jajszczyk A.: Resilience metrics. Presentation on the special session of 4th International Workshop on Critical Information Infrastructures Security, CRITIS’09, Athens, 2010 r.
  6. Duessel P. et all.: Cyber-Critical Infrastructure Protection Using Real-time Payoload-Based anomaly Detection., 4th International Workshop on Critical Information Infrastructures Security, CRITIS’09, Bonn, 2009 r., Springer, Conference Revised Papers, s. 85-97.
  7. Batista Jr. A.B. et all.: Application Filters for TCP/IP Industrial Automation Protocols. 4th International Workshop on Critical Information Infrastructures Security, CRITIS’09, Bonn, 2009 r.,Springer,Conference Revised Papers, s. 111-123.
  8. Choraś M. et all.: Ontology-Based Reasoning Combined with Inference Engine for SCADA-ITC Independencies, Vulnerabilities and Treats Analysis. 4th International Workshop on Critical Information Infrastructures Security, CRITIS’09, Bonn, 2009 r., Springer, Conference Revised Papers, s. 98-110.
  9. PN-EN 50128:2002, Zastosowania kolejowe - Łączność, sygnalizacja i systemy sterowania - Programy dla kolejowych systemów sterowania i zabezpieczenia (oryg.).
  10. PN-EN 61069, Pomiary i sterowanie procesami przemysłowymi - Określenie właściwości systemu w celu jego oceny.
  11. a. PN-EN 61069-1:2002, Część 1: Postanowienia ogólne i metodologia.
  12. b. PN-EN 61069-2:2002, Część 2: Metodologia oceny.
  13. c. PN-EN 61069-3:2002, Część 3: Ocena funkcjonalności systemu.
  14. d. PN-EN 61069-4:2002, Część 4: Ocena parametrów systemu.
  15. e. PN-EN 61069-5:2004, Część 5: Ocena niezawodności systemu.
  16. f. PN-EN 61069-6:2004, Część 6: Ocena współdziałania systemu z operatorem.
  17. g. PN-EN 61069-7:2004, Część 7: Ocena bezpieczeństwa systemu.
  18. h. PN-EN 61069-8:1004, Część 8: Ocena niewiążących sił z zadaniem właściwości systemu.
  19. PN-EN 61508 (IEC 61508): Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem:
  20. a PN-EN 61508-1:2010 Część 1:Wymagania ogólne (oryg.).
  21. b PN-EN 61508-2:2010 Część 2: Wymagania dotyczące elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem (oryg.).
  22. c PN-EN 61508-3:2010 Część 3: Wymagania dotyczące oprogramowania (oryg.).
  23. d PN-EN 61508-4:2010 Część 4: Definicje i skrótowce (oryg.).
  24. e PN-EN 61508-5:2010 Część 5: Przykłady metod określania poziomów nienaruszalności bezpieczeństwa (oryg.).
  25. f PN-EN 61508-6:2010 Część 6: Wytyczne do stosowania IEC 61508-2 i IEC 61508-3 (oryg.).
  26. g PN-EN 61508-7:2010 Część 7: Przegląd technik i miar (oryg.).
  27. PN-EN 61511 (IEC 61511): Bezpieczeństwo funkcjonalne - Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego:
  28. a. PN-EN 61511-1:2005 Część 1: Schemat, definicje, wymagania dotyczące systemu, sprzętu i oprogramowania.
  29. b. PN-EN 61511-2:2008 Część 2 : Wytyczne do stosowania IEC 61511-1.
  30. c. PN-EN 61511-3:2009 Część 3: Wytyczne do określania poziomów nienaruszalności bezpieczeństwa .
  31. PN-EN 61882:2005, Badanie zagrożeń i zdolności do działania (badania HAZOP) - Przewodnik zastosowań.
  32. PN-EN ISO 9000:2006, Systemy zarządzania jakością - Podstawy i terminologia.
  33. PN-ISO/IEC 27001:2007, Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem - Wymagania.
  34. PN-ISO/IEC 13332-1:2004, Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management.
  35. ITU-T E800, Telecommunication Standardization Sector of ITU, (09/2008) - Series E: Overall network operation, Telephone service, service operation and human factors - Quality of telecommunication services: concepts, models, objectives and dependability planning - Terms and definitions related to the quality of telecommunication services - Definitions of terms related to quality of service. Recommendation ITU.
  36. ISA-100.11a-2009, An ISA Standard - Wireless systems for industrial automation: Process control and related application.
  37. IEC 62443-1-1: 2009: Industrial communication networks - network and system security - Part 1-1: Terminology, concepts and models.
  38. IEC 62443-2-1(65/438/CDV: Industrial communication networks - network and system security - Part 2-1: Establishing an industrial automation and control system security program.
  39. IEC/TR 662443-3-1:2009: Industrial communication networks - network and system security - Part 5: Security technologies for industrial automation and control systems.
  40. NIST National Institute of Standard and Technology; USA - SP 800-30: Risk Management Guide for Information Technology Systems - Recommendations, July 2002.
  41. The CORAS Method [http://coras.souceforge.net/].
  42. Facilitated Risk Analysis Process (FRAP) [www.wikipedia.org/Risk_analysis_(buissnes)].
  43. Model krok po kroku [www.piap.pl/certyfikacja].