Risk management of information systems in dynamic environments. A case study of the Norwegian Defence and the process of approving classified information systems.

Abstract

NORSK: Det er ingen selvfølge at forutsetningene som er lagt til grunn for et sikkerhetsnivå i et informasjonssystem fortsatt er gyldige når omgivelsene endres kontinuerlig. Denne MSc rapporten beskriver et risikohåndteringskonsept som går ut på å gi en kort opplæring i risikohåndtering og dokumentering av sikkerhetstiltak for å øke kompetansen hos lokale sikkerhetsorganisasjoner. Opplæringen skal gi nødvendig forståelse for sammenhengen mellom kritisk informasjon, trusler og sårbarheter slik at personellet får et aktivt forhold til dokumenterte sikkerhetstiltak. Etter endt opplæring kan medarbeiderne bidra til å opprettholde de forutsetningene som ligger til grunn for et sikkerhetsnivå, og avdekke avvik som medfører en vesentlig endring i det vedtatte sikkerhetsnivået. Det er gjennomført en kvalitativ studie av Forsvarets informasjonssystemer og prosessen for å oppnå en sikkerhetmessig godkjenning i henhold til Sikkerhetsloven. Et kurs i risikohåndtering av informasjonssystemer er gjennomført som et eksperiment for å demonstrere hvordan en kan imøtekomme et stort kompetansebehov som er avdekket innen dette området. Kurset ble evaluert av en gruppe med variert erfaringsbakgrunn, fra nybegynnere til ekspertnivå. Rapporten foreslår en struktur for å organisere alle dokumenterte sikkerhetstiltak, slik at det skal bli lettere å forholde seg til dem og gjøre forløpende oppdateringer i takt med skiftende omgivelser.

ENGELSK: The validity of preconditions for an information system s security level can t be taken for granted when the environment for that system is constantly changing. This MSc report describes a risk management concept that is based on a brief education in risk management procedures and documentation of security measures in order to strengthen local security organization competence. The purpose is to give key personnel necessary understanding about the connection between critical information, threats and vulnerabilities in such a manner that they will achieve an active relationship to the documented security measures. After completing the course, the coworkers can contribute to uphold the preconditions which a given security level is based on and reveal deviations which represent a significant change of that security level. A qualitative study of the Norwegian Defences information systems and the process of achieving a security certification according to national legislation have been conducted. A course in risk management of information systems is carried out as an experiment in order to demonstrate how a revealed need for competence in this area can be addressed. The course was evaluated by a group of people with varied experience background, from beginners to experts. This report suggests a structure to organize all documented security measures, in order to make it easier to relate to them and make continuously updates as the environment changes.