Jag accepterar att kakor lagras på min dator

Läs mer

Framtida metoder för värdering av IT-säkerhet.

Framtida metoder för värdering av IT-säkerhet. Beställ tryckt exemplar Lägg i kundvagnen Ladda ned som PDF
Författare: Johan Bengtsson, Jonas Hallberg, Kristoffer Lundholm
Ort: Linköping
Sidor: 56
Utgivningsår: 2010
Publiceringsdatum: 2010-12-31
Rapportnummer: (FOI-R--3094--SE)
Nyckelord IT-säkerhet, värdering, IT-livscykelmodell, TSAR
Keywords IT security, assessment, lifecycle model, TSAR
Sammanfattning Användandet av informationssystem inom Försvarsmakten ökar samtidigt som systemen blir allt mer omfattande, mer sammankopplade och hanterar mer verksamhetskritisk information. Detta leder till ökade behov av att säkerställa att systemen håller en tillräckligt hög nivå av IT-säkerhet. Olika ansatser till att avgöra IT-säkerhetsnivåer passar mer eller mindre bra under de olika stegen i Försvarsmaktens IT-livscykelmodell. För att skapa en tydlig bild av vilka typer av framtida ITsäkerhetsvärderingsmetoder som kan vara relevanta för Försvarsmakten genomfördes en litteraturstudie. Litteraturstudien resulterade i ett antal artiklar vilka beskriver olika angreppssätt för att avgöra IT-säkerhetsnivån i ett system. Liknande angreppssätt grupperades ihop, vilket resulterade i fyra metodgrupper. Dessa fyra metodgrupper testades med hjälp av testproceduren TSAR. För att få en indikation på relevansen för Försvarsmakten testades varje metodgrupp gentemot behoven av IT-säkerhetsvärdering under varje steg i ITlivscykelmodellen. Behoven av IT-säkerhetsvärdering identifierades med hjälp av en enkätundersökning. De genomförda testerna resulterade i ett mått på hur relevant varje metodgrupp anses vara för Försvarsmakten under varje steg i IT-livscykelmodellen. Utifrån testresultatet ges en rekommendation angående vilka typer av ITsäkerhetsvärderingsmetoder som kan vara av intresse för Försvarsmakten i framtiden.
Abstract The use of information systems within the Swedish Armed Forces is increasing while the systems are becoming larger, more interconnected, and manages more mission-critical information. This leads to increasing needs to ensure that the systems have a sufficient level of IT security. Different approaches to determining the IT security levels are more or less appropriate during the various stages of the IT lifecycle model used by the Swedish Armed Forces. To create a clear picture of what types of future IT security assessment methods that may be relevant to the Swedish Armed Forces a literature study was conducted. The literature study resulted in a number of articles that describe different approaches to determine the IT security level of a system. Similar approaches were grouped together, resulting in four groups of methods. These four method groups were tested using the test procedure TSAR. To get an indication of the relevance to the Swedish Armed Forces, each method group was tested against the needs of IT security assessment at each stage of the IT life cycle model. The needs of IT security assessment were identified through a survey. The tests resulted in a measure of how relevant each method group is considered to be for the Swedish Armed Forces during the steps of the IT life cycle model. Based on the test results, recommendations are provided regarding what types of IT security assessment methods that may be of interest to the Swedish Armed Forces in the future.

Kundvagn

Inga rapporter i kundvagnen

FOI, Totalförsvarets forskningsinstitut

FOI
Totalförsvarets forskningsinstitut
164 90 Stockholm

Tel: 08-555 030 00
Fax: 08-555 031 00

Orgnr: 202100-5182