Jag accepterar att kakor lagras på min dator

Läs mer

Hot-, risk- och sårbarhetsanalys - Grunden för IT-säkerhet inom Försvarsmakten

Hot-, risk- och sårbarhetsanalys  -  Grunden för IT-säkerhet inom Försvarsmakten Beställ tryckt exemplar Lägg i kundvagnen Ladda ned som PDF
Författare: Kristoffer Lundholm, Johan Bengtsson, Jonas Hallberg
Ort: Linköping
Sidor: 42
Utgivningsår: 2011
Publiceringsdatum: 2011-12-31
Rapportnummer: (FOI-R--3349--SE)
Nyckelord IT-säkerhet, ackreditering, hot, risk, sårbarhet
Keywords IT security, accreditation, threat, risk, vulnerability
Sammanfattning Hot-, risk- och sårbarhetsanalyser utgör grunden för IT-säkerheten i Försvarsmaktens IT-system. De instruktioner som Försvarsmakten i dagsläget tillhandahåller angående genomförandet av analyserna är knapphändiga. Fokus ligger på vilket underlag som ska tas fram, inte hur det ska gå till. Detta leder till att inriktning och omfattning hos framtagna säkerhetsmålsättningar varierar stort. Kommunikation kring IT-säkerhet försvåras av att terminologin varierar. Exempelvis anses ofta hotbilden vara slutresultatet av analyserna då det egentligen är de kvarvarande riskerna som avses. Enligt H SÄK IT kan dessa kvarvarande risker också benämnas sårbarheter eller resulterande riskvärden och anses vara brister i systemet. Avsaknad av tid och resurser för att med egen personal genomföra analyserna är ett tydligt problem. Då sårbarhetsanalysen är avgörande för kravställningen av IT-säkerhet bör den genomföras av Försvarsmaktens personal, inte extern personal. Att den egna personalen inte har tid att genomföra analyserna leder till att deras kompetens inom området blir begränsad, vilket i sin tur skapar ett starkt beroende av externa parter. Avsaknaden av verksamhetsrepresentanter i analysarbetet leder till generella analysresultat som ofta saknar specifik relevans. Ett syfte med att genomföra analyserna är att avgöra vilka risker som tas vid användning av det tänkta systemet. När kunskapen om den aktuella verksamheten är bristfällig är det inte troligt att analysresultatet ger den efterfrågade förståelsen. Analysernas betydelse för systemets IT-säkerhet kan i dessa fall ifrågasättas. Utgående från Försvarsmaktens IT-livscykelmodell ska säkerhetsmålsättningen tas fram då IT-systemet fortfarande är i ett konceptstadie, med fokus på verksamhet snarare än teknik. Tanken är god, men verklighetsanknytningen är vag. Analysarbetet genomförs ofta då IT-systemet redan är framtaget, vilket kan vara en bidragande orsak till att ackrediteringen ofta upplevs som tidsödande och som ett hinder på vägen. Följande rekommendationer ges till Försvarsmakten avseende framtida arbete med hot-, risk- och sårbarhetsanalyser för IT-system. ? Utveckla kunskap om de faktorer som påverkar analyserna ? Ta fram tydliga instruktioner för hur analyserna ska genomföras ? Tillhandahåll relevant utbildning ? Ta fram stöd för nödvändiga bedömningar ? Fokusera analyserna på det specifika snarare än det generella ? Ta fram stöd för att avgöra vilka krav verksamheten ställer på IT-säkerheten
Abstract Threat, risk and vulnerability analyses are the basis for IT security in the IT systems of the Swedish Armed Forces. The current documentation of these tasks is scarce in the Swedish armed forces. The focus is on what to deliver, not on how to perform the analyses. The following recommendations are given to the Swedish Armed Forces for future work on developing the threat, risk and vulnerability analysis of IT systems. ? Develop basic knowledge about the fundamental issues of analysis ? Develop clear instructions on how to implement the assessments ? Provide relevant training ? Develop supporting tools for the analyses ? Focus the analyses on the specific rather than the general aspects ? Develop support to determine demands of the operations on IT security

Kundvagn

Inga rapporter i kundvagnen

FOI, Totalförsvarets forskningsinstitut

FOI
Totalförsvarets forskningsinstitut
164 90 Stockholm

Tel: 08-555 030 00
Fax: 08-555 031 00

Orgnr: 202100-5182