Riskhantering för IT-system - tolv år av forskning och teknikutveckling
Publiceringsdatum: 2019-12-19
Rapportnummer: FOI-R--4835--SE
Sidor: 62
Skriven på: Svenska
Forskningsområde:
- Informationssäkerhet
Nyckelord:
- informationssäkerhet
- IT-säkerhet
- cybersäkerhet
- IT-system
- risk
- konsekvens
- sannolikhet
- riskhantering
- riskbedömning
- riskanalys
- hot- riskoch sårbarhetsanalys
- säkerhetsanalys
- säkerhetsmålsättning
- säkerhetsvärdering
- KSF
- riskacceptans
- verksamhetsanalys
- säkerhetsskyddsanalys
- slutrapport
Sammanfattning
Denna rapport sammanfattar studier inom riskhantering för IT-system som bedrivits på FOI de senaste tolv åren (2008-2019). Studierna har finansierats av Försvarsmaktens anslag för forskning och teknikutveckling (FoT) och haft syftet att genom forskning förbättra Försvarsmaktens arbete med att analysera säkerheten i deras IT-system. Några av de viktigare slutsatserna från studierna är att: det finns behov av att upprätthålla kunskapsnivån om riskbedömningar inom Försvarsmakten; det finns behov av tydligare instruktioner för hur riskhanteringsarbetet ska genomföras; andra vedertagna metoder för riskhantering är av begränsad nytta för Försvarsmakten då stora anpassningar krävs för att de ska kunna användas; IT-säkerhetsexperters bedömningar är mer samstämmiga om jämförelsebaserade metoder används istället för nuvarande tillvägagångssätt. Det finns flera viktiga frågor som uppstått till följd av studierna och som lämnats obesvarade: - Hur stor skillnad blir det normalt mellan resultat från riskbedömningar för två olika IT-system? - Hur beständiga är riskbedömningar över tid och hur ska man hålla sig underrättad om förändringar som sker av system, hot och kontext? - Hur stor skillnad medför olika riskbedömningsresultat senare i processen i form av rekommenderade skyddsåtgärder? - Hur ska riskbedömningarna likriktas samtidigt som unika insikter tillvaratas?