Riskhantering för IT-system - tolv år av forskning och teknikutveckling

Författare:

 • Johan Bengtsson
 • Henrik Karlzén

Publiceringsdatum: 2019-12-19

Rapportnummer: FOI-R--4835--SE

Sidor: 62

Skriven på: Svenska

Forskningsområde:

 • Informationssäkerhet

Nyckelord:

 • informationssäkerhet
 • IT-säkerhet
 • cybersäkerhet
 • IT-system
 • risk
 • konsekvens
 • sannolikhet
 • riskhantering
 • riskbedömning
 • riskanalys
 • hot- riskoch sårbarhetsanalys
 • säkerhetsanalys
 • säkerhetsmålsättning
 • säkerhetsvärdering
 • KSF
 • riskacceptans
 • verksamhetsanalys
 • säkerhetsskyddsanalys
 • slutrapport

Sammanfattning

Denna rapport sammanfattar studier inom riskhantering för IT-system som bedrivits på FOI de senaste tolv åren (2008-2019). Studierna har finansierats av Försvarsmaktens anslag för forskning och teknikutveckling (FoT) och haft syftet att genom forskning förbättra Försvarsmaktens arbete med att analysera säkerheten i deras IT-system. Några av de viktigare slutsatserna från studierna är att: det finns behov av att upprätthålla kunskapsnivån om riskbedömningar inom Försvarsmakten; det finns behov av tydligare instruktioner för hur riskhanteringsarbetet ska genomföras; andra vedertagna metoder för riskhantering är av begränsad nytta för Försvarsmakten då stora anpassningar krävs för att de ska kunna användas; IT-säkerhetsexperters bedömningar är mer samstämmiga om jämförelsebaserade metoder används istället för nuvarande tillvägagångssätt. Det finns flera viktiga frågor som uppstått till följd av studierna och som lämnats obesvarade: - Hur stor skillnad blir det normalt mellan resultat från riskbedömningar för två olika IT-system? - Hur beständiga är riskbedömningar över tid och hur ska man hålla sig underrättad om förändringar som sker av system, hot och kontext? - Hur stor skillnad medför olika riskbedömningsresultat senare i processen i form av rekommenderade skyddsåtgärder? - Hur ska riskbedömningarna likriktas samtidigt som unika insikter tillvaratas?