Erfarenheter från utveckling och förvaltning av IT-system
Publiceringsdatum: 2017-04-26
Rapportnummer: FOI-R--4423--SE
Sidor: 36
Skriven på: Svenska
Nyckelord:
- Informationssäkerhet
- ackreditering
- IT-arkitektur
- IT-säkerhet
- riskhantering
- riskbaserad säkerhet
Sammanfattning
Informationssäkerhet kan upplevas som ett hinder vid utveckling och användning av IT-system. När det gäller system med särskilt höga krav på IT-säkerhet blir säkerhetsåtgärderna omfattande, vilket medför ett omfattande arbete innan ett system är ackrediterat och får användas i verksamheten. Denna rapport presenterar en intervjustudie avseende erfarenheter av säkerhetsarbete relaterat till IT-system för hantering av information som omfattas av försvarssekretess. Respondenterna arbetar med frågor relaterade till IT-säkerhet hos Försvarsmakten, civila myndigheter och näringslivet. Deras samlade erfarenhet omfattar teknik och processer under utveckling, ackreditering och drift. Intervjusvaren har analyserats ur två perspektiv för att brett belysa området. Respondenterna ger en bild av att det finns många utmaningar i strävan mot det ideala men ouppnåeliga målet med absolut säkerhet. Systemen ökar i komplexitet, vilket gör ackrediteringsprocessen allt mer krävande. Dessutom ökar kommunikationen mellan IT-system vilket ger högre exponering mot angrepp. Ett överdrivet fokus på säkerhet kan leda till system som kräver mer tid och pengar att ta fram, samtidigt som nya arkitekturer och funktioner uteblir. Respondenterna är i stora drag överens om att det nuvarande tankesättet behöver justeras så att fokus hamnar på ett kontinuerligt och aktivt säkerhetsarbete under hela systemets livslängd, med en utvidgning från enbart teknisk säkerhet. En viss förändring av synen på risk har redan introducerats i Försvarsmakten men fort-farande verkar yttranden om säkerhet tolkas absolut utan att väga in verksamhetsnyttan. En slutsats är att det skulle vara värdefullt att utreda hur IT-säkerhetsaspekter och ackreditering ska hanteras i Försvarsmakten för att bättre kunna tillgodose verksamhetens behov i framtiden.