Syftet med denna uppgift är att gör en faktisk riskanalys av ett system i mindre skala. Exemplet är påhittat och ganska begränsat eftersom det annars skulle bli en alldeles för stor uppgift. Uppgiften består i att själv göra en grundläggande riskanalys samt ge återkoppling på analysen från tre andra studenter.

Exemplet bygger på systemmodellen som beskrevs i kapitel 3 och utgår från ett litet företag som har ett enklelt affärssystem för att hantera kunder, ordrar, och fakturor.

1. Ladda ned denna modell (högerklicka och välj spara som) för det enkla exempel för en systemmodell som beskrivs i kapitel 3 och öppna i OWASP Threat Dragon.
2. Använd modellen i Threat dragon för att ta fram minst 8 och som mest 15 relevanta hot. Det ska finnas minst ett hot för varje egenskap i CIA (eller motsvarande egenskaper i STRIDE), och försök att sprida ut över olika typer av tillgångar. Du kan lägga till dessa i Threat Dragon, men det viktiga är att de finns med i riskverktyget.
3. Spara hotmodellen som en json-fil med namnet ‘hotmodell-liuid.json’, eller exportera hotmodellen från Treat Dragon som en PDF med filnamnet ‘hotmodell-liuid.pdf’ där du i båda fallen ersätter liuid med ditt eget LiU-id.
4. Ladda ned riskverktyget som som gicks igenom i förra avsnittet.
5. Fyll i studentdata och beskriv nivåer för sannolikhet och konsekvens i riskverktyget (filken risknivåer).
6. För varje hot i hotmodellen, skapa en rad i fliken ‘Riskregister’, och fyll i respektive fält. Använd relevant terminologi. Beskriv riskscenariet och orsak med relevanta begrepp som gör att en utomstående läsare förstår vad scenariet handlar om.
7. Spara filen som ‘riskanalys-liuid.xlsx’ där du ersätter liuid med ditt eget LiU-id.

Inlämning sker i webbplattformen Lisam åtkomligt via denna länk. Observera att din inlämnade uppgift (inklusive namn och LiU-id) kommer att skickas till tre andra medstudenter som ska ge återkoppling på uppgiften. Inlämningstillfället kommer att finnas tillgängligt minst två veckor innan deadline. För vårterminen 2024 finns tre möljigheter till inlämning:

• 2024-02-14
• 2024-04-03
• 2024-05-15

Välj rätt inlämningstillfälle baserat på inlämningsdatum. Observera att båda filerna homodell-liuid.pdf och riskanalys-liuid.xlsx ska lämnas in.

Om du inte har möjlighet att göra färdigt uppgiften till nuvarande tillfälle kommer det ges möjlighet under nästa omgång av kursen.

Inom en vecka efter det ovan angivna datumet för inlämning kommer du få ett mejl till din LiU-mejladress.

Återkopplingen kommer endast ske på riskverktyget (excelfilen) och utgår ifrån följande frågor:

• Är risknivåerna rimligt formulerade?
• Är de beskrivna riskerna rimliga och tydliga?
• Används begreppen på rätt sätt?

Återkopplingen ska normalt göras senast inom en vecka från inlämningsdatumet (exakt datum anges i mejlet).

Resultatet på din uppgift kommer att meddelas inom 15 arbetsdagar från deadline för att lämna in återkoppling.