Behov av stöd vid genomförande av hot-, risk- och sårbarhetsanalyser för IT-system inom Försvarsmakten

Författare:

  • Johan Bengtsson
  • Kristoffer Lundholm
  • Jonas Hallberg

Publiceringsdatum: 2012-07-12

Rapportnummer: FOI-R--3452--SE

Sidor: 18

Skriven på: Svenska

Nyckelord:

  • Hotanalys
  • riskanalys
  • sårbarhetsanalys
  • behovsanalys
  • IT-system
  • auktorisation
  • ackreditering

Sammanfattning

Målet med projektet Effektivare hot-, risk- och sårbarhetsanalyser är att identifiera hur arbetet med dessa analyser kan effektiviseras som ett led i att snabba upp processen för auktorisation och ackreditering av IT-system. Det första steget i detta arbete är att identifiera vilka områden som är i behov av förändring. Detta görs med hjälp av en behovsanalys där de olika intressenternas behov sammanställs och analyseras. Under 2011 genomfördes en behovsanalys avseende metod- och verktygsstöd vid genomförandet av de hot-, risk- och sårbarhetsanalyser som genomförs vid framtagandet av säkerhetsmålsättningen för Försvarsmaktens IT-system. Denna rapport presenterar en kompletterad version av den tidigare analysen. Den nya versionen innehåller 32 behov indelade i fem kategorier. De flesta behoven kan härledas till flera olika källor. Det behov som uttalades av flest källor (9 av 10) var behov av instruktioner som tydligt beskriver vad analysresultaten ska innehålla samt hur dessa resultat ska tas fram. De befintliga instruktionerna är bristfälliga avseende beskrivning av hur de efterfrågade analysresultaten ska tas fram samt vilken omfattning de framtagna analysresultaten förväntas ha. Behov av kunskap om den verksamhet som IT-systemet ska stödja samt Behov av egen personal inom Försvarsmakten som har tid för och kompetens att genomföra analyserna är också behov som lyftes fram av flertalet (8 respektive 7 av 10) av källorna. Att hot-, risk- och sårbarhetsanalyserna ofta genomförs av externa parter kan vara en anledning till den uttalade brist på förståelse för den verksamhet som IT-systemet ska stödja. Alla de identifierade behoven kommer att ligga till grund för vidare arbete inom projektet med att ta fram lösningsförslag och därefter implementera demonstratorer och konceptverktyg för ett urval av dessa förslag.