Verksamhetsanalys - Genomförande och betydelse för säkra IT-system

Författare:

  • Henrik Karlzén
  • Ove Jansson
  • Johan Bengtsson
  • Caroline Bildsten
  • Christian Valassi

Publiceringsdatum: 2019-12-20

Rapportnummer: FOI-R--4857--SE

Sidor: 60

Skriven på: Svenska

Forskningsområde:

  • Informationssäkerhet

Nyckelord:

  • verksamhetsanalys
  • verksamhetsbeskrivning
  • riskbedömning
  • säkerhetsanalys
  • säkerhetsmålsättning
  • informationssäkerhet
  • IT-säkerhet
  • cybersäkerhet
  • IT-system
  • intervjustudie
  • litteraturanalys

Sammanfattning

Verksamhetsanalyser genomförs för befintliga eller planerade verksamheter och utgör grunden för riskbedömningar. Resultatet av verksamhetsanalyser utgörs av verksamhetsbeskrivningar. Denna rapport syftar till att skapa bättre förutsättningar att utföra och redovisa de verksamhetsanalyser som genomförs i Försvarsmakten vid framtagandet av nya IT-system eller vid förändring av befintliga IT-system. Rapporten beskriver därför vad verksamhetsanalyser kan bidra med i ett informationssäkerhetsperspektiv, hur analyserna bör genomföras och vilka informationsmängder som bör ingå. Arbetet baseras på litteratur från Försvarsmakten, Försvarets materielverk, civila myndigheter, akademiska forskningsartiklar samt på intervjuer med personer som utfört eller granskat verksamhetsanalyser. Någon utvärdering av faktiska genomförda verksamhetsanalyser har däremot inte gjorts. Verksamhetsanalyser är en viktig grund för säkerhetsarbetet vid framtagande av IT-system. Analyserna kan också stödja utvärdering av huruvida systemen är realiserbara eller ens önskvärda. Att använda mallar för verksamhetsanalyser kan göra arbetet mer kostnadseffektivt och enhetligt, men samtidigt ger de en risk att analytikerna inte tänker tillräckligt vitt och brett. Informationskällorna har olika åsikt om detta. Kommunikation är en viktig del vid genomförandet av en verksamhetsanalys. Med hjälp av kommunikation kan missförstånd minskas, fler komma till tals och viktig information som inte står med i styrande dokument kan inhämtas.