Wykorzystanie metody FMEA do analizy bezpieczeństwa informacji

• Autorzy: Radosław Wolniak , Dariusz Burtan

Warianty tytułu

Implementation of FMEA Methot in Information Systems Security Management

• Języki publikacji: PL

Abstrakty

Głównym celem publikacji było przedstawienie przeprowadzonej analizy ryzyka bezpieczeństwa informacji na przykładzie przedsiębiorstwa TOORA POLAND S.A. Pozwoliło to na zlokalizowanie i zidentyfikowanie słabych punktów organizacji i miejsc, w których informacje są wystawione na największe ryzyko ich utraty. Określenie głównych przyczyn (będących jednocześnie wadami systemu), wpływających na błędne funkcjonowanie systemu zarządzania bezpieczeństwem informacji, było możliwe dzięki przeprowadzonemu wywiadowi. Respondentem była odpowiedzialna osoba (kierownik działu jakości), wyznaczona przez prezesa Firmy. Odpowiedzi na pytania umożliwiły ustalenie słabych miejsc firmy i charakteru procesu zarządzania informacją. Na podstawie tych danych określono najważniejsze wady, wpływające na błędne funkcjonowanie systemu zarządzania bezpieczeństwem informacji. Mając zidentyfikowane wady, można było w kolejnym kroku przejść do ustalenia ryzyka związanego z ich występowaniem. Analizy tej dokonano metodą FMEA, szacując współczynnik WPR, którego wysokość wskazywała wady o największym wpływie na system zarządzania bezpieczeństwem informacji. (fragment tekstu)

EN

The paper concentrates on FMEA method's implementation in Information System Security Management. On the base of TOORA's POLAND example we present how implement FMEA method in problems common in security management. FMEA (Failure Mode and Effects Analysis) method is an inductive bottom-up of analyzing a system design or manufacturing process in order to evaluate the potential for failures. It consists of defining what can fail and the way it can fail (failure modes) and determining the effect of each failure mode on the system. An important part of a FMEA also includes analyzing the criticality, which is how harmful the effects of a failure mode are on system operation. Usual FMEA method was applied in typical industrial problems. But in the last decade there are many examples of using method in other cases such as: service quality, environmental management, etc. We think that FMEA method we can also implement to resolve and prevent safety management failures. Information is a valuable asset in any organization, whether it's printed or written on paper, stored electronically or sent by mail or electronic means. To effectively manage the threats and risks to your organization's information you should establish an Information Security Management System. But the system not always works well and there is a need to build tools in order to improve. As in the case of traditional FMEA we defined what can fail in the security system and the way it can fail. Then we determinate severity, occurrence and detection of all potential failures. The next step was to calculate risk priority number and also determine corrective and preventive action. (original abstract)

Słowa kluczowe

PL

Analiza przyczyn i skutków wad; Bezpieczeństwo informacji; Analiza ryzyka; Zarządzanie bezpieczeństwem

EN

Failure mode and effects analysis (FMEA); Information security; Risk analysis; Safety management

• Czasopismo: Zarządzanie Przedsiębiorstwem / Polskie Towarzystwo Zarządzania Produkcją
• Rocznik: 2009
• Numer: nr 1
• Strony: 70--84

Twórcy

autor

Radosław Wolniak

• Politechnika Śląska

autor

Dariusz Burtan

• Politechnika Śląska

Bibliografia

• [1] Białas A.: Bezpieczeństwo informacji i usług w nowoczesnej firmie, Wydawnictwo Naukowo-Techniczne, Warszawa 2006.
• [2] Drogoń W., Mąka D., Skawina M.: Jak chronić tajemnice?, Bellona, Warszawa 2004.
• [3] Kaczmarek T.: Zarządzanie ryzykiem, Wyd. ODDK, Gdańsk 2002.
• [4] Lisiecka K., Pater S.: Quality Function Deployment (QFD) narzędziem strategicznego planowania jakości produktu, "Problemy Jakości", nr 3 1997.
• [5] Łuczak J., Matiszczak-Flejszman A.: Metody i techniki zarządzania jakością. Kompendium wiedzy, Quality Progress, Poznań 2007.
• [6] Majdecki M.: Informacje pod kontrolą, "Fakty - Magazyn Gospodarczy", nr 5 (18) 2005.
• [7] Polska Norma PN-ISO/IEC 17799:2003.
• [8] Pustuła Z.: Jak chronić informacje niejawne, "Archiwista Polski", nr 1(25)/2002.
• [9] Sienkiewicz P.: Teoria rozwoju społeczeństwa informacyjnego, AON, Warszawa 2001.
• [10] Szałowski R.: Prawna ochrona informacji niejawnych danych osobowych, Difin, Warszawa 2000.
• [11] Wodarski K.: Ryzyko w działalności gospodarczej, 2006, wykłady udostępnione - materiały niepublikowane.
• [12] Wolniak R., Skotnicka B.: Metody i narzędzia zarządzania jakością. Teoria i praktyka, Wyd. Politechniki Śląskiej, Gliwice 2008.