Hot-, risk- och sårbarhetsanalys - Grunden för IT-säkerhet inom Försvarsmakten
Publiceringsdatum: 2011-12-31
Rapportnummer: FOI-R--3349--SE
Sidor: 42
Skriven på: Svenska
Nyckelord:
- IT-säkerhet
- ackreditering
- hot
- risk
- sårbarhet
Sammanfattning
Hot-, risk- och sårbarhetsanalyser utgör grunden för IT-säkerheten i Försvarsmaktens IT-system. De instruktioner som Försvarsmakten i dagsläget tillhandahåller angående genomförandet av analyserna är knapphändiga. Fokus ligger på vilket underlag som ska tas fram, inte hur det ska gå till. Detta leder till att inriktning och omfattning hos framtagna säkerhetsmålsättningar varierar stort. Kommunikation kring IT-säkerhet försvåras av att terminologin varierar. Exempelvis anses ofta hotbilden vara slutresultatet av analyserna då det egentligen är de kvarvarande riskerna som avses. Enligt H SÄK IT kan dessa kvarvarande risker också benämnas sårbarheter eller resulterande riskvärden och anses vara brister i systemet. Avsaknad av tid och resurser för att med egen personal genomföra analyserna är ett tydligt problem. Då sårbarhetsanalysen är avgörande för kravställningen av IT-säkerhet bör den genomföras av Försvarsmaktens personal, inte extern personal. Att den egna personalen inte har tid att genomföra analyserna leder till att deras kompetens inom området blir begränsad, vilket i sin tur skapar ett starkt beroende av externa parter. Avsaknaden av verksamhetsrepresentanter i analysarbetet leder till generella analysresultat som ofta saknar specifik relevans. Ett syfte med att genomföra analyserna är att avgöra vilka risker som tas vid användning av det tänkta systemet. När kunskapen om den aktuella verksamheten är bristfällig är det inte troligt att analysresultatet ger den efterfrågade förståelsen. Analysernas betydelse för systemets IT-säkerhet kan i dessa fall ifrågasättas. Utgående från Försvarsmaktens IT-livscykelmodell ska säkerhetsmålsättningen tas fram då IT-systemet fortfarande är i ett konceptstadie, med fokus på verksamhet snarare än teknik. Tanken är god, men verklighetsanknytningen är vag. Analysarbetet genomförs ofta då IT-systemet redan är framtaget, vilket kan vara en bidragande orsak till att ackrediteringen ofta upplevs som tidsödande och som ett hinder på vägen. Följande rekommendationer ges till Försvarsmakten avseende framtida arbete med hot-, risk- och sårbarhetsanalyser för IT-system. ? Utveckla kunskap om de faktorer som påverkar analyserna ? Ta fram tydliga instruktioner för hur analyserna ska genomföras ? Tillhandahåll relevant utbildning ? Ta fram stöd för nödvändiga bedömningar ? Fokusera analyserna på det specifika snarare än det generella ? Ta fram stöd för att avgöra vilka krav verksamheten ställer på IT-säkerheten