IT-säkerhetskrav i Försvarsmakten - KSF3 och tillkommande säkerhetskrav

Författare:

  • Johan Bengtsson
  • Teodor Sommestad
  • Hannes Holm

Publiceringsdatum: 2014-12-31

Rapportnummer: FOI-R--4000--SE

Sidor: 60

Skriven på: Svenska

Nyckelord:

  • KSF
  • Säkerhetsanalys
  • IT-säkerhetskrav
  • cybersäkerhet

Sammanfattning

Denna rapport beskriver två studier kopplade till version 3 av Försvarsmaktens Krav på Säkerhetsfunktioner (KSF3) - en riskhanteringsmodell och samling av IT-säkerhetskrav som har skapats av Militära underrättelse- och säkerhetstjänsten (MUST). Utöver dessa två studier har projektet även analyserat hur framgångsrik kravhantering mäts i vetenskaplig forskning. Den första studien analyserade 13 säkerhetsmålsättningar, dokument som skall visa hur IT-system i upphandlingsfasen uppfyller MUST:s IT-säkerhetskrav. Syfte med studien var att identifiera IT-säkerhetskrav som ofta tillkommer till de krav som KSF3 föreskriver. Totalt 672 unika krav kartlades. Av dessa fanns 288 representerade i KSF3, 308 var tillkommande och 76 var för oklara för att kunna klassificeras. De tillkommande kraven var oftast av icke-fysisk karaktär (60% av kraven), hade en antagonist i åtanke (67% av kraven) och rörde tillgänglighet specifikt (15%). Nio kategorier av tillkommande krav identifierades. De vanligaste kategorierna var krav på konfigurationsmöjligheter (34%) och inbrottsskydd (17%). KSF har nyligen uppdaterats från version 2 (KSF2) till version 3 (KSF3), vilket har inneburit signifikanta förändringar rörande dess innehåll sedan de analyserade säkerhetsmålsättningarna skrevs. Vissa av KSF3-kraven var bättre representerade i de analyserade säkerhetsmålsättningarna. Exempelvis var skydd mot skadlig kod bättre representerat av säkerhetsmålsättningarna än behörighetskontroll. Den andra studien analyserade hur de funktionella säkerhetskraven i KSF3 enklast kan realiseras med hjälp av typiska säkerhetskomponenter i ett fiktivt system med enkel funktionalitet. Forskarna bedömde att KSF3 på grundläggande nivå enklast realiserades med en Windows-baserad lösning innefattande en terminalserver, antivirus, brandvägg och ett verktyg för samlad logghantering. För KSF3:s krav på utökad nivå bedömdes det tillkomma (i huvudsak) TEID-kort, anomalidetektion, en patchhanteringsserver och stöd för märkning av objekt. TAK-kort, applikationssandlådor och mer avancerade inspektionssystem var de huvudsakliga tillkommande funktionerna för KSF3 på hög nivå. Dessutom tillkommer skydd mot röjande signaler och kabelinspektioner (dessa kan dock även vara relevanta för att uppfylla utökade krav).