Praca magisterska
Ładowanie...
Miniatura
Licencja

ClosedAccessDostęp zamknięty

Wpływ analizy ryzyka i modelowania zagrożeń na bezpieczeństwo informacji w organizacjach

Autor
Wester Tomasz
Data publikacji
Abstrakt (PL)

Celem pracy jest zbadanie wpływu analizy ryzyka i modelowania zagrożeń na poziom bez pieczeństwa informacji w organizacjach oraz ustalenie, od czego zależy praktyczna wartość tych procesów. W części teoretycznej przeprowadzono analizę porównawczą wiodących metod i standardów oceny ryzyka oraz modelowania zagrożeń: od klasycznego modelu likelihood × impact, przez NIST SP 800-30, ISO/IEC 27005, STRIDE, DREAD, PASTA, OCTAVE i MITRE ATT&CK, po ilościowy model FAIR. Szczególną uwagę poświęcono najsłabiej zoperacjonali zowanemu elementowi analizy, czyli szacowaniu prawdopodobieństwa, oraz częstemu myleniu możliwości zdarzenia z jego prawdopodobieństwem. Część badawczą stanowi scenariuszowe studium przypadku ataku ransomware na organizację ochrony zdrowia, osadzone w realnych danych z ataku na Change Healthcare z 2024 roku. Na podstawie wniosków zaproponowano praktyczny, skalowalny framework analizy ryzyka i modelowania zagrożeń, złożony z czterech faz i dziesięciu kroków, którego wyróżnikiem jest dekompozycja prawdopodobieństwa w du chu modelu FAIR oraz obowiązkowa inwentaryzacja zależności od dostawców zewnętrznych. Wyniki potwierdzają hipotezę, że rzetelnie przeprowadzona analiza ryzyka realnie wzmacnia bezpieczeństwo informacji, pod warunkiem że jest powiązana z konkretnymi decyzjami, a nie traktowana jako obowiązek dokumentacyjny.

Abstrakt (EN)

This thesis examines the impact of risk analysis and threat modeling on the level of information security in organizations and identifies what determines the practical value of these processes. The theoretical part provides a comparative analysis of leading risk assessment and threat modeling methods and standards: from the classic likelihood × impact model, through NIST SP 800-30, ISO/IEC 27005, STRIDE, DREAD,PASTA,OCTAVEandMITREATT&CK,tothequantitative FAIR model. Particular attention is paid to the least operationalized element of risk analysis, namely the estimation of likelihood, and to the common confusion between the possibility of an event and its probability. The empirical part is a scenario-based case study of a ransomware attack on a healthcare organization, grounded in real data from the 2024 Change Healthcare attack. Based on the findings, the thesis proposes a practical, scalable framework for risk analysis and threat modeling, consisting of four phases and ten steps, distinguished by a FAIR-style decomposition of likelihood and a mandatory inventory of third-party dependencies. The results confirm the hypothesis that rigorous risk analysis genuinely strengthens information security, provided that it is linked to concrete decisions rather than treated as a documentation obligation

Inny tytuł

The Impact of Risk Analysis and Threat Modeling on Information Security in Organizations

Wydawca
Uniwersytet Warszawski
Data obrony
2026-06-22
Licencja otwartego dostępu
Dostęp zamknięty