Säkerhetsevidens för IT-system - En inledande studie om bevisföring för systematisk säkerhet

Säkerhetsevidens utgörs av olika typer av artefakter som påvisar säkerhetsegenskaper hos IT-system, ofta på ganska specifik detaljnivå. Evidens värderas och aggregeras till bevisföring som i sin tur påvisar att IT-systemen uppfyller de säkerhetsbehov som finns på verksamhetsnivå. Denna studie undersöker hur olika metoder och säkerhetsstandarder inom cybersäkerhet och funktionell säkerhet använder evidens för att påvisa att IT-systemen når tillräcklig säkerhetsnivå. Evidensen utgör en viktig bas för att uppnå assurans, där tillräckligt hög tilltro till såväl IT-systemen i sig som till utvecklare och leverantörer har uppnåtts för att kunna använda systemen i säkerhetskritiska tillämpningar. Evidens utgörs av konkreta och spårbara underlag som kan ha producerats genom ett brett spektrum av olika metoder, såsom designgenomgångar, kodgranskning, praktiska tester och formella metoder. De processer och standarder som undersökts i studien rekommenderar olika evidensmetoder men inkluderar endast generella beskrivningar av vad metoderna innebär, varför tolkningsutrymmet är stort avseende vad som faktiskt ska utföras. Värdering och aggregering beskrivs endast på övergripande plan vilket ytterligare ökar oklarheterna kring vad som efterfrågas. Det finns ett stort forskningsbehov inom evidensområdet ända från säkerhetsmål till enskilda evidensmetoder. Området värdering och aggregering tycks vara särskilt outforskat, samtidigt som det finns ett stort behov av att förbättra och utveckla olika evidensmetoder.