RASK - Ramverk för IT-säkerhetskravställning

Författare:

  • Caroline Bildsten
  • Daniel Eidenskog
  • Jonas Hermelin
  • Jacob Löfvenberg

Publiceringsdatum: 2018-11-08

Rapportnummer: FOI-R--4641--SE

Sidor: 56

Skriven på: Svenska

Nyckelord:

  • RASK
  • KSF
  • IT-säkerhetskrav
  • metodik

Sammanfattning

IT-system utgör viktiga komponenter inom Försvarsmakten, ofta på nivån att IT-systemen är centrala för att verksamheterna ska fungera. I och med att hotbilden mot Försvarsmakten är omfattande innebär detta att IT-säkerhetskraven för systemen ofta är mycket höga. I dagsläget ställs de generella säkerhetskraven på IT-system genom regelverket Krav på IT-säkerhetsförmågor hos IT-system v3.1 (KSF 3.1). Som ett steg i utvecklingen mot ett mer välanpassat regelverk har FOI fått i uppdrag av Försvarsmakten att ta fram ett regelverksförslag. Målen med arbetet var att ta fram ett förslag som reducerar risken för överdriven kravställning, ökar förutsägbarheten vid bedömning av kravuppfyllnad, ökar förståelsen för kraven samt förbättrar möjligheterna till fortlöpande uppföljning. Arbetet utfördes genom en explorativ process som tog sin utgångspunkt i de effektmål som Försvarsmakten satt upp, kombinerat med information som sammanställts från tidigare arbeten som visar på förbättringspotential relativt det befintliga regelverket. Resultatet av arbetet är Ramverk för säkerhetskravställning (RASK), en metodik som består av såväl metoder som en generisk modell för kravställning. Kraven i RASK-metodiken delas in i styrkenivåer, baserat på hur kraftiga hot som lösningarna förväntas motstå. Styrkenivåerna bestäms sedan individuellt för varje krav utifrån ett antal inparametrar som beskriver systemets miljö och kontext. Kraven i RASK-metodiken skrivs på ett tydligt sätt med öppna, målorienterade formuleringar för att ge större förståelse för kraven samtidigt som sättet att skriva undviker att kraven förespråkar specifika tekniska lösningar. I projektet skapades även en demonstrator för att påvisa metodikens funktioner och exemplifiera hur krav kan skrivas enligt RASK-metodiken.