IT-säkerhetsevaluering i ackrediteringssyfte inom det svenska försvaret. / IT Security Evaluation for Accreditation purpose in the Swedish defence.

Andersson, Magnus

January 2004

<p>Detta examensarbete har genomförts på uppdrag av Försvarets Materielverk (FMV). </p><p>Det påstås att evaluering av komplexa/sammansatta system är svårt, om inte omöjligt. Common Criteria (CC) är en ISO/IEC-standard för evaluering av produkter och system. Även Information Technology Security Evaluation Criteria (ITSEC) används för samma ändamål. Jag har undersökt vad som är möjligt och denna uppsats beskriver alternativa evalueringslösningar med hjälp av CC/ITSEC, dock primärt enligt CC; där fokus hela tiden vilar på ackreditering av system och produkter inom det svenska försvaret. </p><p>Metoden som används bygger på kvalitativ och utredande analys vilken baseras på empirisk kunskap inhämtad från nyckelaktörer på marknaden samt en teoretisk referensram vilken utgörs av nyckelstandarder och för arbetet/uppsatsen relevanta dokument. </p><p>Jag har undersökt SYSn och FTA vilka är två ytterst intressanta lösningar för två olika typer av evalueringssituationer vid informell evaluering. Båda lösningarna fokuserar på systemevalueringar men produktevalueringar stöds även de. SYSn och FTA är framtagna av UK:s myndighet CESG vid GCHQ. </p><p>SYSn är en mer pragmatisk, kostnadseffektiv, snabb (med avseende på total evalueringstid) och flexibel lösning än existerande formella CCoch ITSEC-lösningar. Samtidigt bygger SYSn på CEM vilket gör att SYSn åtnjuter många av CC:s och CEM:s fördelar med avseende på bland annat återanvändbarhet och god struktur. SYSn erbjuder motsvarande assurans som CC: s EAL (SYS2 ≈ EAL2, SYS3 ≈ EAL3, SYS4 ≈EAL4).. Spårbarhet gällande utfall, testprocedurer, använd metodik etc. bibehålls. </p><p>FTA å andra sidan är ett avsevärt snabbare evalueringsinstrument där avkall på återanvändbarhet, struktur, dokumentation och förtroende görs. FTA är en lösning vilken fokuserar på best effort och ger inga direkta garantier om assuransnivåer etc. När det är ont om tid och inget certifikat eller ett formellt utlåtande för evalueringsresultatet efterfrågas är FTA en tilltalande lösning. Evaluering genomförs i enlighet med Fast Track Assessment Methodology (FTAM).</p>

Technology

System

Common Criteria

ITSEC

Evaluering

Certifiering

Ackreditering

IT-Säkerhet

Informationssäkerhet

SYSn

FTA

CCRA

SOGIS-MRA

FMV

TEKNIKVETENSKAP

TECHNOLOGY

TEKNIKVETENSKAP

IT-säkerhetsevaluering i ackrediteringssyfte inom det svenska försvaret. / IT Security Evaluation for Accreditation purpose in the Swedish defence.

Andersson, Magnus

January 2004

Detta examensarbete har genomförts på uppdrag av Försvarets Materielverk (FMV). Det påstås att evaluering av komplexa/sammansatta system är svårt, om inte omöjligt. Common Criteria (CC) är en ISO/IEC-standard för evaluering av produkter och system. Även Information Technology Security Evaluation Criteria (ITSEC) används för samma ändamål. Jag har undersökt vad som är möjligt och denna uppsats beskriver alternativa evalueringslösningar med hjälp av CC/ITSEC, dock primärt enligt CC; där fokus hela tiden vilar på ackreditering av system och produkter inom det svenska försvaret. Metoden som används bygger på kvalitativ och utredande analys vilken baseras på empirisk kunskap inhämtad från nyckelaktörer på marknaden samt en teoretisk referensram vilken utgörs av nyckelstandarder och för arbetet/uppsatsen relevanta dokument. Jag har undersökt SYSn och FTA vilka är två ytterst intressanta lösningar för två olika typer av evalueringssituationer vid informell evaluering. Båda lösningarna fokuserar på systemevalueringar men produktevalueringar stöds även de. SYSn och FTA är framtagna av UK:s myndighet CESG vid GCHQ. SYSn är en mer pragmatisk, kostnadseffektiv, snabb (med avseende på total evalueringstid) och flexibel lösning än existerande formella CCoch ITSEC-lösningar. Samtidigt bygger SYSn på CEM vilket gör att SYSn åtnjuter många av CC:s och CEM:s fördelar med avseende på bland annat återanvändbarhet och god struktur. SYSn erbjuder motsvarande assurans som CC: s EAL (SYS2 ≈ EAL2, SYS3 ≈ EAL3, SYS4 ≈EAL4).. Spårbarhet gällande utfall, testprocedurer, använd metodik etc. bibehålls. FTA å andra sidan är ett avsevärt snabbare evalueringsinstrument där avkall på återanvändbarhet, struktur, dokumentation och förtroende görs. FTA är en lösning vilken fokuserar på best effort och ger inga direkta garantier om assuransnivåer etc. När det är ont om tid och inget certifikat eller ett formellt utlåtande för evalueringsresultatet efterfrågas är FTA en tilltalande lösning. Evaluering genomförs i enlighet med Fast Track Assessment Methodology (FTAM).

Technology

System

Common Criteria

ITSEC

Evaluering

Certifiering

Ackreditering

IT-Säkerhet

Informationssäkerhet

SYSn

FTA

CCRA

SOGIS-MRA

FMV

TEKNIKVETENSKAP

TECHNOLOGY

TEKNIKVETENSKAP