Doktorgradsavhandling   2013

Paintsil, Ebenezer

Publikasjonsdetaljer

Veiledet av:

Fritsch, Lothar; Snekkenes, Einar

Utgiver:

Gjøvik University College

Utgave:

1-2013

Antall sider: 116

Internasjonale standardnumre:

Trykt: 978-82-93269-23-6

Lenker:

FULLTEKST: http://www.nb.no/idtjeneste/URN:NBN:no-bibsys_brage_42242
OMTALE: http://brage.bibsys.no/hig/handle/URN:NBN:no-bibsys_brage_42242
PROSJEKT: http://www.nr.no/nb/projects/petweb-ii-privacy-respecting-identity-management-e-norge

Denne avhandlingen lager en risikomodell og modellbasert risikoanalysemetode for privacyanalyse og sikkerhetsrisikoanalyse av identity management-systemer (IDMS-er), med det formål å redusere kostnader og gi vitenskapelig støtte for valg av identity managementtilnærminger. Modellbaserte risikoanalysemetoder kan hjelpe systemeiere med å forstå en risikoanalyseprosess gjennom metodens effektive bruk av grafiske modeller for å understøtte deltakelse, kommunikasjon av risiko og dokumentasjon. Disse grafiske risikomodellene illustrerer hva som kan gå galt i systemet og hjelper med estimering av sikkerhetsrisiko. Dagens metoder for modellbasert risikoanalyse støtter generell sikkerhetsrisikoanalyse, men tar ikke for seg privacy i nevneverdig grad. Videre, på grunn av manglende data om tidligere hendelser er disse metodene avhengige av subjektive intuisjoner fra de som analyserer risiko eller fra systemeiere eller de er avhengig av komplekse matematiske valideringsteknikker for å bestemme risiko for et system. Subjektive intuisjoner medfører høy usikkerhet i risikoanalyse. Videre er komplekse matematiske teknikker for risikomodellering og -validering kostbare, vanskelige å lære og kan vanskeliggjøre kommunikasjon av risiko mellom systemeiere. Denne avhandlingen utvikler en balansert tilnærming til risikoanalyse der systemkarakteristikker og verktøy som gjemmer kompleks matematikk brukes for å analysere privacy- og sikkerhetsrisiko i IDMS-er. Den gir ny kunnskap om hvordan lage risikomodeller for IDMS-er fra karakteristisk informasjonsflyt i systemene. Videre lager den en utførbar modellbasert risikoanalysemetode (EM-BRAM) for å forbedre kommunikasjon, automatisering, deltakelse og dokumentasjon i risikoanalyse av i IDMS-er. For å analysere privacy- og sikkerhetsrisiko gjør EM-BRAM bruk av utførbare modeller som er relativt enkle å forstå. EM-BRAM gjør bruk av systemoppførsel og -karakteristikker i stedet for data om tidligere hendelser eller intuisjonen til de som analyserer risiko. Dette betyr at metoden kan redusere subjektivitet og usikkerhet i risikoanalyse av i IDMS-er.