Swedish
Johan Bengtsson, Jonas Hallberg, Amund Hunstad, Kristoffer Lundholm
FOI-R--2901--SE
För rationell styrning av arbetet med informationssäkerheten är det nödvändigt att bygga upp kunskap om vilka faktorer som påverkar informationssäkerhet.
Ett redskap för att bygga upp nödvändig kunskap är metoder för värdering av informationssäkerhet. Dessa metoder syftar till att klargöra vilken nivå informationssäkerheten har.
I denna rapport undersöks vilket metodstöd som för närvarande finns tillgängligt för värdering av IT-säkerhet. Det arbete som redovisas inkluderar en litteraturstudie för att identifiera intressanta metoder för värdering av IT-säkerhet samt testning av ett urval av dessa.
Litteraturstudien identifierade 25 metoder som ansågs relevanta att testa.
Av dessa 25 metoder testades 7 under detta arbete. Resultaten från testerna visar att inga av dessa metoder är relevanta för Försvarsmakten. En slutsats av detta är att det krävs mer specifika beskrivningar av de situationer där värderingsbehov uppstår för att kunna testa metoder mer utförligt.
- En studie av Försvarsmaktens metoder för säkerhetskravställning och sårbarhetsanalys
Johan Bengtsson, Jonas Hallberg
FOI-R--2625--SE
Att uppnå och behålla ändamålsenliga nivåer av informationssäkerhet i Försvarsmaktens IT-system är kritiskt. De tillhörande auktorisations- och ackrediteringsprocesserna måste därför vara effektiva. Inom auktorisations- och ackrediteringsprocesserna tas flera beslut baserat på hur olika alternativ förväntas påverka systemens säkerhetsnivåer. Ändamålsenliga underlag för dessa beslut kräver förmåga att värdera de resulterande säkerhetseffekterna. Effektiv värdering av informationssäkerhet kräver att använda metoder såväl motsvarar användarnas behov som avspeglar verkligheten.
Syftet med denna rapport är att utröna relevans och validitet hos metoder för värdering av informationssäkerhet. Studerade metoder återfinns i processer för framtagande av underlag för auktorisationsbeslut B2. Det arbete som beskrivs i denna rapport har resulterat i följande huvudsakliga bidrag.
- En övergripande beskrivning av framtagandet av underlag för auktorisationsbeslut B2.
- Beskrivning av delprocesserna för framtagande av säkerhetskrav samt sårbarhetsanalys.
- Analyser av relevans och validitet hos de metoder för säkerhetsvärdering som ingår i processerna för framtagande av säkerhetskrav och sårbarhetsanalys.
Johan Bengtsson, Jonas Hallberg
FOI-R--2531--SE
Informationssäkerhet är verksamhetskritiskt för Försvarsmakten, varför de IT-system som stödjer verksamheten måste ha adekvat IT-säkerhetsnivå. Därmed är Försvarsmaktens arbete med ackrediteringsprocessen av stor betydelse. Som en konsekvens av detta är det av stor vikt att kunna sätta värden på vilken IT-säkerhet olika IT-system har. Om effekterna av olika lösningar, såväl organisatoriska och användarinriktade som tekniska, är kända blir det tydligare hur eventuella brister kan hanteras. Därmed ökar möjligheterna att nyttja IT för att effektivisera verksamheten.
I denna rapport presenteras underlag vars syfte är att skapa förståelse för hur IT-säkerhet i dagsläget värderas inom Försvarsmakten. Baserat på detta underlag kan Totalförsvarets forskningsinstitut (FOI) inrikta sitt arbete med utveckling av metoder för värdering av IT-säkerhet så att största möjliga stöd kan ges till Försvarsmaktens IT-säkerhetsarbete.
I denna rapport presenteras 49 värderingsaspekter med 150 tillhörande frågeställningar. Utgående från de centrala värderingsaspekterna inom området ackreditering beskrivs tre processer rörande ackrediteringsbeslut, framtagande av ackrediteringsunderlag samt sårbarhetsanalys. I vidare arbete behöver frågeställningarna tillhörande värderingsaspekterna beaktas för att erhålla bra underlag för testning av metoder för värdering av IT-säkerhet samt inriktning av FOIs utveckling av metoder och verktyg för IT-säkerhetsvärdering.
Jonas Hallberg, Amund Hunstad, Niklas Hallberg
FOI Memo 2099
Det finns idag ingen allmänt vedertagen ansats för hur värdering av IT-säkerhet ska genomföras. Detta trots att vetskap om vilken nivå av IT-säkerhet som system har är av stort värde för många olika organisationer och kategorier av användare.
Denna rapport utgör en handbok i att genomföra värdering av IT-system avseende relevanta IT-säkerhetsegenskaper. Syftet är att (1) tydliggöra (a) områdets innehåll och avgränsningar, (b) vilket stöd som kan erbjudas och (c) vad som krävs för att kunna genomföra värderingar samt (2) utföra ett stöd för genomförande av värderingar.
Genomförandet av värderingen beskrivs som en process bestående av sex aktiviteter. Beskrivningen av aktiviteterna innehåller motivering av aktiviteten, viktiga aspekter att beakta, vilka indata aktiviteten förutsätter, vilka resultat som erhålls, vilka delaktiviteter som måste utföras, verktyg som kan nyttjas för att genomföra aktiviteten, diskussion av genomförandet samt ett exempel.
Jonas Hallberg, Niklas Hallberg, Amund Hunstad, Christina Ölvander
FOI Memo 1760
Nätverksorienterade organisationer är beroende av tillförlitliga informationssystem. Graden av känsligheten hos information som hanteras inom Försvarsmakten innebär att IT-säkerhet är centralt för realiseringen av det nätverkbaserade försvaret (NBF). För att kunna säkerställa erforderlig IT-säkerhet krävs förmåga att värdera vilken nivå av IT-säkerhet olika system har. Arbetet som redovisas i denna rapport syftar till att identifiera krav avseende värdering av IT-säkerhet.
Syftet med arbetet som redovisas i denna rapport är att ta fram krav på värderingssystem, dvs. de system som används för att värdera IT-säkerheten i informationssystem. Arbetet fokuserar på att identifiera de krav som skall ställas på system för värdering av IT-säkerhet inom det nätverksbaserade försvaret.
Kravanalysen utgår från resultatet av den behovsanalys avseende värdering av IT-säkerhet som genomfördes under 2005. Underlaget består därmed av en behovsstruktur med 13 övergripande kategorier och totalt 419 behov (Hallberg, Hallberg & Hunstad, 2005). Baserat på dessa behov ledde arbetet med kravanalysen till följande huvudresultat:
- en systemstruktur som placerar värderingssystemet i förhållande till olika stödsystem samt systemet som skall värderas
- en uppdaterad behovsstruktur med 7 övergripande kategorier,
- en uppsättning användningsfall baserade på identifierade behov och
- en struktur med identifierade krav.
Jonas Hallberg, Niklas Hallberg, Amund Hunstad
Scientific report, FOI-R--1820--SE, 41 p
Network-centric organizations depend on reliable information systems. The sensitivity of information handled by the Swedish armed forces results in IT security being critical for the implementation of the network-based defense (NBD). To ensure adequate IT security, the ability to assess security levels of systems is required.
This report describes an effort to identify needs regarding IT security assessment. These needs constitute important input to further development, including requirements engineering, of methods and tools for IT security assessment in complex information systems. The effort described in this report consists of four main tasks: (1) data collection, (2) identification of statements, (3) analysis of statements, and (4) analysis and structuring of needs.
During the data collection, six interviews were conducted and 13 relevant documents were collected. The analysis of the transcribed interviews and the documents resulted in the identification of 215 statements. The analysis of the statements resulted in 525 needs. The outcome of further analysis and structuring was 13 main categories with 419 needs, in total. Examples of identified needs are: requirements engineering, risk management, ability to adapt the security posture of systems during operation, knowledge of to what extent security functions address different aspects of security, and input to decision-making processes
Jonas Hallberg, Niklas Hallberg, Amund Hunstad
FOI Memo 1449
Det övergripande syftet med arbetet som redovisas i denna rapport är att beskriva en metod för behovsanalys avseende värdering av IT-säkerhet. I detta ingår att beskriva framtagandet av metoden samt gjorda avvägningar.
Studien initierades med en översiktlig litteraturstudie kring behovsanalyser. Därefter studerades användandet av tre ansatser, och slutligen specificerades metoden för behovsanalys avseende värdering av IT-säkerhet.
Den metod som specificerades baseras i huvudsak på Kvalitetsdriven kravhantering, men inkluderar även användningsfall och felanvändningsfall. Metoden genomförs i fem steg: (1) insamling av data, (2) identifiering av utsagor, (3) identifiering av behov, (4) analys av behov och (5) modellering av behov avseende värdering av IT-säkerhet. Grundprincipen i metoden är att utifrån utsagorna hitta behov som därefter analyseras och struktureras. Samtidigt som behovsanalysen genomförs identifieras hot som motiverar värdering av IT-säkerhet. Situationen illustreras därefter med stöd av användningsfall där hot illustreras med hjälp av felanvändningsfall. I nästa steg kommer metoden att användas för att samla in behov avseende värdering av IT-säkerhet. Dessa behov kommer därefter att utgöra en grund för vidareutveckling av metoder och verktyg för värdering av IT-säkerhet.
Jonas Hallberg, Niklas Hallberg, Amund Hunstad
FOI Memo 1371
Målsättningen för detta arbete är att formulera ändamålsenliga scenarion vilka kan nyttjas som:
- illustration av situationer där IT-säkerhetsvärdering är nödvändigt,
- utgångspunkt för resonemang kring behov av IT-säkerhetsvärdering och
- underlag för behovsanalys avseende IT-säkerhetsvärdering.
Genom att använda scenarion är det möjligt att (1) direkt påvisa behov av IT-säkerhetsvärdering, (2) stimulera diskussion kring behov av IT-säkerhetsvärdering och (3) genomföra förenklad behovsanalys genom att studera dessa scenarion istället för befintliga verksamheter och system.