Riskhantering för IT-system - tolv år av forskning och teknikutveckling

Författare:

  • Johan Bengtsson
  • Henrik Karlzén

Publiceringsdatum: 2019-12-19

Rapportnummer: FOI-R--4835--SE

Sidor: 62

Skriven på: Svenska

Forskningsområde:

  • Informationssäkerhet

Nyckelord:

  • informationssäkerhet
  • IT-säkerhet
  • cybersäkerhet
  • IT-system
  • risk
  • konsekvens
  • sannolikhet
  • riskhantering
  • riskbedömning
  • riskanalys
  • hot- riskoch sårbarhetsanalys
  • säkerhetsanalys
  • säkerhetsmålsättning
  • säkerhetsvärdering
  • KSF
  • riskacceptans
  • verksamhetsanalys
  • säkerhetsskyddsanalys
  • slutrapport

Sammanfattning

Denna rapport sammanfattar studier inom riskhantering för IT-system som bedrivits på FOI de senaste tolv åren (2008-2019). Studierna har finansierats av Försvarsmaktens anslag för forskning och teknikutveckling (FoT) och haft syftet att genom forskning förbättra Försvarsmaktens arbete med att analysera säkerheten i deras IT-system. Några av de viktigare slutsatserna från studierna är att: det finns behov av att upprätthålla kunskapsnivån om riskbedömningar inom Försvarsmakten; det finns behov av tydligare instruktioner för hur riskhanteringsarbetet ska genomföras; andra vedertagna metoder för riskhantering är av begränsad nytta för Försvarsmakten då stora anpassningar krävs för att de ska kunna användas; IT-säkerhetsexperters bedömningar är mer samstämmiga om jämförelsebaserade metoder används istället för nuvarande tillvägagångssätt. Det finns flera viktiga frågor som uppstått till följd av studierna och som lämnats obesvarade: - Hur stor skillnad blir det normalt mellan resultat från riskbedömningar för två olika IT-system? - Hur beständiga är riskbedömningar över tid och hur ska man hålla sig underrättad om förändringar som sker av system, hot och kontext? - Hur stor skillnad medför olika riskbedömningsresultat senare i processen i form av rekommenderade skyddsåtgärder? - Hur ska riskbedömningarna likriktas samtidigt som unika insikter tillvaratas?