Bruksanvisning för kravdatabas IT-säkerhet Att ... - Svensk energi
Bruksanvisning för kravdatabas IT-säkerhet Att ... - Svensk energi
Bruksanvisning för kravdatabas IT-säkerhet Att ... - Svensk energi
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
EB<strong>IT</strong>S 2004-03-08<br />
Energibranschens <strong>IT</strong>-säkerhetsforum<br />
<strong>Bruksanvisning</strong> för <strong>kravdatabas</strong> <strong>IT</strong>-säkerhet<br />
För ett givet system med en given säkerhetsprofil går det att vaska ut<br />
just de krav ur <strong>kravdatabas</strong>en som gäller för det aktuella systemet.<br />
Hur man fastställer säkerhetsprofilen för ett system beskrivs i<br />
dokumentet ”Fastställa ett systems säkerhetsprofil”-<br />
Observera<br />
För en given skyddsnivå gäller att även kraven för underliggande<br />
skyddsnivåer skall uppfyllas.<br />
Exempel: Resultatet från en riskanalys ger säkerhetsprofilen S1, R3,<br />
T2. Detta innebär att alla kombinationer av underliggande<br />
nivåer också ska gälla, dvs S1R1T1 + S1R1T2 + S1R2T1 +<br />
S1R2T2 + S1R3T1 + S1R3T2<br />
Säkerhetsprofilen S1, R3, T2<br />
kan beskrivas grafiskt med<br />
vidstående figur.<br />
3<br />
2<br />
1<br />
Sekretess Riktighet Tillgängl.<br />
<strong>Att</strong> utvinna relevanta krav ur <strong>kravdatabas</strong>en<br />
Gällande princip för att utvinna<br />
relevanta krav<br />
Exempel: Systemets säkerhetsprofil<br />
är S1R3T2<br />
Följande krav är relevanta:<br />
- alla S1 samt<br />
- alla R1 och R2 och R3 samt<br />
- alla T1 och T2<br />
För en given säkerhetsprofil gäller<br />
att de krav är relevanta där någon<br />
av de tre ingående säkerhetsklasserna<br />
svarar mot säkerhetsklasserna<br />
i systemets säkerhetsprofil.<br />
Kravdatabas<br />
Klassningsrutin<br />
Sekretess 1-3<br />
Tillgänglighet 1-3<br />
Riktighet 1-3<br />
Kravlista, specifik<br />
för ett givet system<br />
Ett givet<br />
system<br />
Bruksanvsining för <strong>kravdatabas</strong> för <strong>IT</strong>-systemsäkerhet.doc
Hur man vaskar fram krav ur <strong>kravdatabas</strong>en<br />
Vissa krav saknar nivåangivelse för någon eller några säkerhetsklasser<br />
vilket innebär att säkerhetsklassen inte är relevant (uppfyller inte<br />
kravet på att tas med bland de utvaskade kraven).<br />
För sortering av tabell, använd Words sorteringsfunktion (Tabell,<br />
Sortera). Inför sökningen ställer du markören i tabellen. Du bör ange<br />
att tabellen har rubrikrad om inte denna kryssruta redan är ifylld.<br />
2(3)<br />
1. Skapa en arbetskopia av <strong>kravdatabas</strong>en<br />
Ta en kopia på filen ”Kravdatabas för <strong>IT</strong>-systemsäkerhet” (var rädd om<br />
originalet).<br />
2. Skapa ett måldokument för resultatet<br />
Kopiera <strong>kravdatabas</strong>ens rubrikrad till måldokumentet.<br />
* * *<br />
3. Sortera tabellen (S)<br />
Sortera på S med fallande sorteringsordning.<br />
4. Selektera relevanta rader (S)<br />
Klipp ut med Ctrl-x de rader ur tabellen vars S-märkning motsvarar<br />
S-nivå och underliggande S-nivåer hos systemets säkerhetsprofil.<br />
Tips<br />
Markera översta raden för det område du vill selektera. Scrolla ned till<br />
den nedersta raden för området och markera med markören samtidigt<br />
som du håller ned skifttangenten. Klipp ut med Ctrl-x. Lägg urklippet i<br />
måldokumentet<br />
* * *<br />
5. Sortera tabellen (R)<br />
Återgå till vad som är kvar av kopian av <strong>kravdatabas</strong>en och sortera på<br />
R med fallande sorteringsordning.<br />
6. Selektera relevanta rader (R)<br />
Klipp ut med Ctrl-x de rader ur tabellen vars R-märkning motsvarar<br />
R-nivån och underliggande R-nivåer hos systemets säkerhetsprofil.<br />
* * *
3(3)<br />
7. Sortera tabellen (T)<br />
Återgå till vad som är kvar av kopian av <strong>kravdatabas</strong>en och sortera på<br />
T med fallande sorteringsordning.<br />
8. Selektera relevanta rader (T)<br />
Klipp ut med Ctrl-x de rader ur tabellen vars T-märkning motsvarar<br />
T-nivån och underliggande T-nivåer hos systemets säkerhetsprofil.<br />
* * *<br />
9. Slutgiltig sortering av resultatet<br />
Sortera tabellen i måldokumentet i första hand i avseende på paragrafnummer<br />
och i andra hand på säkerhetskrav. Använd stigande<br />
sorteringsordning.<br />
Tänk på att du måste sortera paragrafnummer som text (ej datum).