Framtida metoder för värdering av IT-säkerhet

Författare:

  • Johan Bengtsson
  • Jonas Hallberg
  • Kristoffer Lundholm

Publiceringsdatum: 2010-12-31

Rapportnummer: FOI-R--3094--SE

Sidor: 56

Skriven på: Svenska

Nyckelord:

  • IT-säkerhet
  • värdering
  • IT-livscykelmodell
  • TSAR

Sammanfattning

Användandet av informationssystem inom Försvarsmakten ökar samtidigt som systemen blir allt mer omfattande, mer sammankopplade och hanterar mer verksamhetskritisk information. Detta leder till ökade behov av att säkerställa att systemen håller en tillräckligt hög nivå av IT-säkerhet. Olika ansatser till att avgöra IT-säkerhetsnivåer passar mer eller mindre bra under de olika stegen i Försvarsmaktens IT-livscykelmodell. För att skapa en tydlig bild av vilka typer av framtida ITsäkerhetsvärderingsmetoder som kan vara relevanta för Försvarsmakten genomfördes en litteraturstudie. Litteraturstudien resulterade i ett antal artiklar vilka beskriver olika angreppssätt för att avgöra IT-säkerhetsnivån i ett system. Liknande angreppssätt grupperades ihop, vilket resulterade i fyra metodgrupper. Dessa fyra metodgrupper testades med hjälp av testproceduren TSAR. För att få en indikation på relevansen för Försvarsmakten testades varje metodgrupp gentemot behoven av IT-säkerhetsvärdering under varje steg i ITlivscykelmodellen. Behoven av IT-säkerhetsvärdering identifierades med hjälp av en enkätundersökning. De genomförda testerna resulterade i ett mått på hur relevant varje metodgrupp anses vara för Försvarsmakten under varje steg i IT-livscykelmodellen. Utifrån testresultatet ges en rekommendation angående vilka typer av ITsäkerhetsvärderingsmetoder som kan vara av intresse för Försvarsmakten i framtiden.