Läs mer

Värdering av IT-säkerhet

Det är svårt att värdera IT-säkerheten i ett IT-system. Det finns metoder för att värdera individuella komponenter samt metoder för att dokumentera processer i stora system. Dessa metoder är dock inte gjorda för att användas vid värdering av IT-säkerheten i stora system. På grund av komplexiteten i ett stort system så är det svårt att betrakta det som en enhet, vilket tydliggör behovet av nya metoder för att värdera IT-säkerheten i IT-system.

Som figuren nedan illustrerar består IT-säkerhetsvärdering av följande sex steg.

 

  • Fastställ behov
  • Definiera relevant IT-säkerhetskarakteristik
  • Koppla relevant IT-säkerhetskarakteristik till mätbara systemegenskaper och systemeffekter
  • Mät valda egenskaper och effekter
  • Beräkna sammansatta värden
  • Tolka värden

 

Det är viktigt att bedömningen både börjar och slutar vid användaren. IT-säkerhetsvärderingsmetoder måste därför vara utvecklade, valda och använda med de tänkta användarna i åtanke. Tillvägagångssätt som överväger dessa problem kommer att resultera i

  • förbättrad systemförståelse
  • mer allmänt tillämpliga säkerhetsverktyg
  • bättre överensstämmelse mellan behov och lösningar
  • märkbara vinster i system och kostnadseffektivitet.