Jag accepterar att kakor lagras på min dator

Läs mer

Informationsbehov vid säkerhetsanalyser: En systematisk genomgång av etablerade metoder.

Informationsbehov vid säkerhetsanalyser: En systematisk genomgång av etablerade metoder. Beställ tryckt exemplar Lägg i kundvagnen Ladda ned som PDF
Författare: Teodor Sommestad, Johan Bengtsson, Jonas Hallberg
Ort: Linköping
Sidor: 39
Utgivningsår: 2013
Publiceringsdatum: 2013-12-16
Rapportnummer: (FOI-R--3723--SE)
Nyckelord Säkerhetsanalys, IT-system, risk
Keywords Information security risk analysis, IT system, risk
Sammanfattning Denna rapport försöker ge svar på vilken information som, enligt etablerade säkerhetsanalysmetoder, ska ligga till grund för säkerhetsanalyser av IT-system. En studie har genomförts för att identifiera vad etablerade metoder inom området anser ska användas som grund vid genomförandet av säkerhetsanalyser. De initiala sökningarna efter relevanta metoder resulterade i 74 metoder. Av dessa 74 metoder uppfyllde 12 metoder urvalskriterierna samt angav vilken information som bör ligga till grund för genomförandet av säkerhetsanalyser. Endast en sjundedel av den information som krävs är säkerhetsspecifik information. Metodernas tyngdpunkt ligger således på mer generell information. Med generell information avses exempelvis information om olika typer av strukturer, såsom verksamhetsstruktur och strukturer för tekniska system. Oftast efterfrågas information som relaterar till verksamheten. Överlag prioriteras inte information om vilken information som finns i eller hanteras av ett system. Inte heller prioriteras information om beteende eller information om tekniska lösningar. Ett annat resultat är att det skiljer sig mycket mellan vilken typ av information metoderna anser att säkerhetsanalysen ska baseras på. Några metoder är helt fokuserade på verksamhet medan de flesta tycker att det även behövs teknisk information, framförallt med avseende på teknikstruktur. Generellt visar resultaten att det finns en stor mängd olika typer av information av vitt skild karaktär som kan ligga till grund för en säkerhetsanalys.
Abstract This report aims at answering which information, according to established methods, should be the basis for security risk analyses of IT systems. A study was performed to identify what established methods use as the basis for the analysis. The initial search for relevant methods resulted in 74 methods. 12 of the 74 methods met the specified selection criteria and stated the information needed to perform the analysis. Only one seventh of the required information is security-specific information. Thus the emphasis of the methods is on more general information. General information could for example refer to information about different types of structures, such as business structures and structures for technical systems. The most frequently requested information is business related. The overall priority is not on information about the information contained in or processed by a system. Information about behavior or information about technical solutions is not emphasized. Another result is that the type of information used by the different methods varies. Some methods are completely focused on business whereas most also include technical information, particularly with regard to the structure of technical solutions. Overall, the results show that there is a large variety of different types of information of widely different character that can be used as the basis of information security risk analysis.

Kundvagn

Inga rapporter i kundvagnen

FOI, Totalförsvarets forskningsinstitut

FOI
Totalförsvarets forskningsinstitut
164 90 Stockholm

Tel: 08-555 030 00
Fax: 08-555 031 00

Orgnr: 202100-5182