Risk management of information systems in dynamic environments. A case study of the Norwegian Defence and the process of approving classified information systems.
Master thesis
Permanent lenke
http://hdl.handle.net/11250/143924Utgivelsesdato
2004Metadata
Vis full innførselSamlinger
Sammendrag
NORSK:
Det er ingen selvfølge at forutsetningene som er lagt til grunn for et sikkerhetsnivå i et
informasjonssystem fortsatt er gyldige når omgivelsene endres kontinuerlig. Denne MSc
rapporten beskriver et risikohåndteringskonsept som går ut på å gi en kort opplæring i
risikohåndtering og dokumentering av sikkerhetstiltak for å øke kompetansen hos lokale
sikkerhetsorganisasjoner. Opplæringen skal gi nødvendig forståelse for sammenhengen
mellom kritisk informasjon, trusler og sårbarheter slik at personellet får et aktivt forhold til
dokumenterte sikkerhetstiltak. Etter endt opplæring kan medarbeiderne bidra til å
opprettholde de forutsetningene som ligger til grunn for et sikkerhetsnivå, og avdekke
avvik som medfører en vesentlig endring i det vedtatte sikkerhetsnivået.
Det er gjennomført en kvalitativ studie av Forsvarets informasjonssystemer og prosessen
for å oppnå en sikkerhetmessig godkjenning i henhold til Sikkerhetsloven. Et kurs i
risikohåndtering av informasjonssystemer er gjennomført som et eksperiment for å
demonstrere hvordan en kan imøtekomme et stort kompetansebehov som er avdekket
innen dette området. Kurset ble evaluert av en gruppe med variert erfaringsbakgrunn, fra
nybegynnere til ekspertnivå. Rapporten foreslår en struktur for å organisere alle
dokumenterte sikkerhetstiltak, slik at det skal bli lettere å forholde seg til dem og gjøre
forløpende oppdateringer i takt med skiftende omgivelser. ENGELSK:
The validity of preconditions for an information system s security level can t be taken for
granted when the environment for that system is constantly changing. This MSc report
describes a risk management concept that is based on a brief education in risk management
procedures and documentation of security measures in order to strengthen local security
organization competence. The purpose is to give key personnel necessary understanding
about the connection between critical information, threats and vulnerabilities in such a
manner that they will achieve an active relationship to the documented security measures.
After completing the course, the coworkers can contribute to uphold the preconditions
which a given security level is based on and reveal deviations which represent a significant
change of that security level.
A qualitative study of the Norwegian Defences information systems and the process of
achieving a security certification according to national legislation have been conducted. A
course in risk management of information systems is carried out as an experiment in order
to demonstrate how a revealed need for competence in this area can be addressed. The
course was evaluated by a group of people with varied experience background, from
beginners to experts. This report suggests a structure to organize all documented security
measures, in order to make it easier to relate to them and make continuously updates as the
environment changes.