Auktorisation och ackreditering inom Försvarsmakten : En studie i nyttan av en standardiserad process för att hantera informationssäkerhet

Fredriksson, Susanne

January 2011

Information Technology is an essential part of the society today, not least in large organisations dealing with sensitive information. An example of such an organisation is the Swedish Armed Forces which indeed is in the need of ways to ensure information security in their Information Technology systems. The means which is used is an authorisation and accreditation process. All Information Technology systems go through a life cycle which includes realisation, usage, development and liquidation. In the Swedish Armed Forces the lifecycle is an authorisation process. Each step in the process is followed by an authorisation decision and one of these steps is accreditation. Accreditation is a formal approval to put the system in operation. The aim of the thesis is to study how large organisations may ensure information security when developing IT and the importance of a standardised process to handle information security. The study has been carried out by comparing the process of the Swedish Armed Forces with other methods to run projects and theories concerning development of IT. Interviews with Information Security Consultants at Combitech AB along with a study of documentation have been carried out in order to study the process. The theoretical framework has been formed through a literature study of project models and methods for development of IT. The main result of the thesis is that a standardised process which manage quality, communication, traceability, complexity, aim, operation and liquidation plan, risk assessment as well as use case increases the chance of a successful project and the achievement of information security in development of new IT. High quality in the formation of the security aim and the specification of requirements, along with tests to establish that all requirements are fulfilled, are crucial when it comes to information security.

auktorisation

ackreditering

Utveckling av utbildning : Mervärdet och vikten av ackreditering för studenten

Mattsson, Johan, Wengberg, Patrik

January 2015

Det pågår en förändring på världsmarknaden då nya förutsättningar bidragit till enallt mer dynamisk arbetsmarknad. Det skapar goda möjligheter till en internationell karriär förframtida examinerade studenter. Marknaden kommer att kräva nya typer av erkännande av desom är examinerade av utländska universitet vilket en extern ackreditering kan vara ett svar på. AACSB är en extern ackreditering verksam för att främja och förbättra högre utbildning inomföretagsekonomi. Tidigare studier har endast sett till hur en extern ackreditering påverkarorganisationen på en makronivå och inte studeranden ur ett mikroperspektiv. Organisationerbör arbeta efter det som ger mest mervärde för slutkunden, därmed är det utav egenintresse förutbildningssätet att förstå vilka behov och krav studenterna har på utbildning. Studien ämnar attundersöka om den extern ackreditering AACSB tillför mervärde för studenter och om dettamervärde utav vikt för dem. Via inledande intervjuer skapades en intervjuguide till fokusgruppermed studenter som ansåg att AACSB bidrog till följande mervärden utav vikt: universitetetsstatus, universitetets legitimitet, studenternas anställningsbarhet, internationella partners,extern kvalitetskontroll och transparens. Studenternas egna anställningsbarhet utifrånutbildningen var i fokus nära samtliga mervärdens vikt analyserades, dock var studenternaosäkra kring vad arbetsmarknaden efterfrågade

ackreditering

mervärde

utbildning & kvalitet.

IT-säkerhetsevaluering i ackrediteringssyfte inom det svenska försvaret. / IT Security Evaluation for Accreditation purpose in the Swedish defence.

Andersson, Magnus

January 2004

<p>Detta examensarbete har genomförts på uppdrag av Försvarets Materielverk (FMV). </p><p>Det påstås att evaluering av komplexa/sammansatta system är svårt, om inte omöjligt. Common Criteria (CC) är en ISO/IEC-standard för evaluering av produkter och system. Även Information Technology Security Evaluation Criteria (ITSEC) används för samma ändamål. Jag har undersökt vad som är möjligt och denna uppsats beskriver alternativa evalueringslösningar med hjälp av CC/ITSEC, dock primärt enligt CC; där fokus hela tiden vilar på ackreditering av system och produkter inom det svenska försvaret. </p><p>Metoden som används bygger på kvalitativ och utredande analys vilken baseras på empirisk kunskap inhämtad från nyckelaktörer på marknaden samt en teoretisk referensram vilken utgörs av nyckelstandarder och för arbetet/uppsatsen relevanta dokument. </p><p>Jag har undersökt SYSn och FTA vilka är två ytterst intressanta lösningar för två olika typer av evalueringssituationer vid informell evaluering. Båda lösningarna fokuserar på systemevalueringar men produktevalueringar stöds även de. SYSn och FTA är framtagna av UK:s myndighet CESG vid GCHQ. </p><p>SYSn är en mer pragmatisk, kostnadseffektiv, snabb (med avseende på total evalueringstid) och flexibel lösning än existerande formella CCoch ITSEC-lösningar. Samtidigt bygger SYSn på CEM vilket gör att SYSn åtnjuter många av CC:s och CEM:s fördelar med avseende på bland annat återanvändbarhet och god struktur. SYSn erbjuder motsvarande assurans som CC: s EAL (SYS2 ≈ EAL2, SYS3 ≈ EAL3, SYS4 ≈EAL4).. Spårbarhet gällande utfall, testprocedurer, använd metodik etc. bibehålls. </p><p>FTA å andra sidan är ett avsevärt snabbare evalueringsinstrument där avkall på återanvändbarhet, struktur, dokumentation och förtroende görs. FTA är en lösning vilken fokuserar på best effort och ger inga direkta garantier om assuransnivåer etc. När det är ont om tid och inget certifikat eller ett formellt utlåtande för evalueringsresultatet efterfrågas är FTA en tilltalande lösning. Evaluering genomförs i enlighet med Fast Track Assessment Methodology (FTAM).</p>

Technology

System

Common Criteria

ITSEC

Evaluering

Certifiering

Ackreditering

IT-Säkerhet

Informationssäkerhet

SYSn

FTA

CCRA

SOGIS-MRA

FMV

TEKNIKVETENSKAP

TECHNOLOGY

TEKNIKVETENSKAP

IT-säkerhetsevaluering i ackrediteringssyfte inom det svenska försvaret. / IT Security Evaluation for Accreditation purpose in the Swedish defence.

Andersson, Magnus

January 2004

Detta examensarbete har genomförts på uppdrag av Försvarets Materielverk (FMV). Det påstås att evaluering av komplexa/sammansatta system är svårt, om inte omöjligt. Common Criteria (CC) är en ISO/IEC-standard för evaluering av produkter och system. Även Information Technology Security Evaluation Criteria (ITSEC) används för samma ändamål. Jag har undersökt vad som är möjligt och denna uppsats beskriver alternativa evalueringslösningar med hjälp av CC/ITSEC, dock primärt enligt CC; där fokus hela tiden vilar på ackreditering av system och produkter inom det svenska försvaret. Metoden som används bygger på kvalitativ och utredande analys vilken baseras på empirisk kunskap inhämtad från nyckelaktörer på marknaden samt en teoretisk referensram vilken utgörs av nyckelstandarder och för arbetet/uppsatsen relevanta dokument. Jag har undersökt SYSn och FTA vilka är två ytterst intressanta lösningar för två olika typer av evalueringssituationer vid informell evaluering. Båda lösningarna fokuserar på systemevalueringar men produktevalueringar stöds även de. SYSn och FTA är framtagna av UK:s myndighet CESG vid GCHQ. SYSn är en mer pragmatisk, kostnadseffektiv, snabb (med avseende på total evalueringstid) och flexibel lösning än existerande formella CCoch ITSEC-lösningar. Samtidigt bygger SYSn på CEM vilket gör att SYSn åtnjuter många av CC:s och CEM:s fördelar med avseende på bland annat återanvändbarhet och god struktur. SYSn erbjuder motsvarande assurans som CC: s EAL (SYS2 ≈ EAL2, SYS3 ≈ EAL3, SYS4 ≈EAL4).. Spårbarhet gällande utfall, testprocedurer, använd metodik etc. bibehålls. FTA å andra sidan är ett avsevärt snabbare evalueringsinstrument där avkall på återanvändbarhet, struktur, dokumentation och förtroende görs. FTA är en lösning vilken fokuserar på best effort och ger inga direkta garantier om assuransnivåer etc. När det är ont om tid och inget certifikat eller ett formellt utlåtande för evalueringsresultatet efterfrågas är FTA en tilltalande lösning. Evaluering genomförs i enlighet med Fast Track Assessment Methodology (FTAM).

Technology

System

Common Criteria

ITSEC

Evaluering

Certifiering

Ackreditering

IT-Säkerhet

Informationssäkerhet

SYSn

FTA

CCRA

SOGIS-MRA

FMV

TEKNIKVETENSKAP

TECHNOLOGY

TEKNIKVETENSKAP

The Need for Accreditation Speed

Lindskog, Viktor

January 2022

Security requirements on information systems needs a way to be verified for fulfilment. Accreditation is a tool to measure the level of compliance of the security requirements. Unfortunately, the accreditation process also comes with challenges. To be able to complete the whole accreditation process the practitioners need to have a rigorous time plan and a generous budget, something that are not always available. The aim of this research is to identify challenges with time and costs in the accreditation process. Thereafter, building upon the identified challenges, aspects that could address time and costs are then proposed as a new model for accreditation. The theory presents the importance of accreditations and known challenges of today. The theory also justifies the need of reducing these challenges. This research collaborated with a company that has experience in accreditation. The company was used to gather empirical data to widen the view of accreditation in a qualitative way. The chosen method for this research was Design Science Research. The method was performed in two iterations and the demonstration- and evaluation-step was performed with an expert-panel consisted of employees from the collaborated company. The conclusion of the research is that the identified challenges can be assessed in a qualitative way to be handled with the new accreditation model developed in this research. The new accreditation model is based on a meticulous analysis on the identified challenges and the different steps in the risk management framework from National Institute of Standards and Technology.

Accreditation

Information Security

Compliance

Challenges

Review

Risk Management

Ackreditering

Informationssäkerhet

Kravefterlevnad

Utmaningar

Recension

Riskhantering

Other Computer and Information Science

Annan data- och informationsvetenskap