Värderingsaspekter inom Försvarsmaktens IT-säkerhetsarbete

Författare:

  • Johan Bengtsson
  • Jonas Hallberg

Publiceringsdatum: 2008-08-25

Rapportnummer: FOI-R--2531--SE

Sidor: 51

Skriven på: Svenska

Nyckelord:

  • IT-säkerhet
  • Ackreditering
  • Värdering

Sammanfattning

Informationssäkerhet är verksamhetskritiskt för Försvarsmakten, varför de IT-system som stödjer verksamheten måste ha adekvat IT-säkerhetsnivå. Därmed är Försvarsmaktens arbete med ackrediteringsprocessen av stor betydelse. Som en konsekvens av detta är det av stor vikt att kunna sätta värden på vilken IT-säkerhet olika IT-system har. Om effekterna av olika lösningar, såväl organisatoriska och användarinriktade som tekniska, är kända blir det tydligare hur eventuella brister kan hanteras. Därmed ökar möjligheterna att nyttja IT för att effektivisera verksamheten. I denna rapport presenteras underlag vars syfte är att skapa förståelse för hur ITsäkerhet i dagsläget värderas inom Försvarsmakten. Baserat på detta underlag kan Totalförsvarets forskningsinstitut (FOI) inrikta sitt arbete med utveckling av metoder för värdering av IT-säkerhet så att största möjliga stöd kan ges till Försvarsmaktens ITsäkerhetsarbete. I denna rapport presenteras 49 värderingsaspekter med 150 tillhörande frågeställningar. Utgående från de centrala värderingsaspekterna inom området ackreditering beskrivs tre processer rörande ackrediteringsbeslut, framtagande av ackrediteringsunderlag samt sårbarhetsanalys. I vidare arbete behöver frågeställningarna tillhörande värderingsaspekterna beaktas för att erhålla bra underlag för testning av metoder för värdering av IT-säkerhet samt inriktning av FOIs utveckling av metoder och verktyg för IT-säkerhetsvärdering.