Informationsbehov vid säkerhetsanalyser: En systematisk genomgång av etablerade metoder

Författare:

  • Teodor Sommestad
  • Johan Bengtsson
  • Jonas Hallberg

Publiceringsdatum: 2013-12-16

Rapportnummer: FOI-R--3723--SE

Sidor: 39

Skriven på: Svenska

Nyckelord:

  • Säkerhetsanalys
  • IT-system
  • risk

Sammanfattning

Denna rapport försöker ge svar på vilken information som, enligt etablerade säkerhetsanalysmetoder, ska ligga till grund för säkerhetsanalyser av IT-system. En studie har genomförts för att identifiera vad etablerade metoder inom området anser ska användas som grund vid genomförandet av säkerhetsanalyser. De initiala sökningarna efter relevanta metoder resulterade i 74 metoder. Av dessa 74 metoder uppfyllde 12 metoder urvalskriterierna samt angav vilken information som bör ligga till grund för genomförandet av säkerhetsanalyser. Endast en sjundedel av den information som krävs är säkerhetsspecifik information. Metodernas tyngdpunkt ligger således på mer generell information. Med generell information avses exempelvis information om olika typer av strukturer, såsom verksamhetsstruktur och strukturer för tekniska system. Oftast efterfrågas information som relaterar till verksamheten. Överlag prioriteras inte information om vilken information som finns i eller hanteras av ett system. Inte heller prioriteras information om beteende eller information om tekniska lösningar. Ett annat resultat är att det skiljer sig mycket mellan vilken typ av information metoderna anser att säkerhetsanalysen ska baseras på. Några metoder är helt fokuserade på verksamhet medan de flesta tycker att det även behövs teknisk information, framförallt med avseende på teknikstruktur. Generellt visar resultaten att det finns en stor mängd olika typer av information av vitt skild karaktär som kan ligga till grund för en säkerhetsanalys.