Bruksanvisning för kravdatabas IT-säkerhet Att ... - Svensk energi

EBITS 2004-03-08
Energibranschens IT-säkerhetsforum
Bruksanvisning för kravdatabas IT-säkerhet
För ett givet system med en given säkerhetsprofil går det att vaska ut
just de krav ur kravdatabasen som gäller för det aktuella systemet.
Hur man fastställer säkerhetsprofilen för ett system beskrivs i
dokumentet ”Fastställa ett systems säkerhetsprofil”-
Observera
För en given skyddsnivå gäller att även kraven för underliggande
skyddsnivåer skall uppfyllas.
Exempel: Resultatet från en riskanalys ger säkerhetsprofilen S1, R3,
T2. Detta innebär att alla kombinationer av underliggande
nivåer också ska gälla, dvs S1R1T1 + S1R1T2 + S1R2T1 +
S1R2T2 + S1R3T1 + S1R3T2
Säkerhetsprofilen S1, R3, T2
kan beskrivas grafiskt med
vidstående figur.
3
2
1
Sekretess Riktighet Tillgängl.
Att utvinna relevanta krav ur kravdatabasen
Gällande princip för att utvinna
relevanta krav
Exempel: Systemets säkerhetsprofil
är S1R3T2
Följande krav är relevanta:
- alla S1 samt
- alla R1 och R2 och R3 samt
- alla T1 och T2
För en given säkerhetsprofil gäller
att de krav är relevanta där någon
av de tre ingående säkerhetsklasserna
svarar mot säkerhetsklasserna
i systemets säkerhetsprofil.
Kravdatabas
Klassningsrutin
Sekretess 1-3
Tillgänglighet 1-3
Riktighet 1-3
Kravlista, specifik
för ett givet system
Ett givet
system
Bruksanvsining för kravdatabas för IT-systemsäkerhet.doc

Hur man vaskar fram krav ur kravdatabasen
Vissa krav saknar nivåangivelse för någon eller några säkerhetsklasser
vilket innebär att säkerhetsklassen inte är relevant (uppfyller inte
kravet på att tas med bland de utvaskade kraven).
För sortering av tabell, använd Words sorteringsfunktion (Tabell,
Sortera). Inför sökningen ställer du markören i tabellen. Du bör ange
att tabellen har rubrikrad om inte denna kryssruta redan är ifylld.
2(3)
1. Skapa en arbetskopia av kravdatabasen
Ta en kopia på filen ”Kravdatabas för IT-systemsäkerhet” (var rädd om
originalet).
2. Skapa ett måldokument för resultatet
Kopiera kravdatabasens rubrikrad till måldokumentet.
* * *
3. Sortera tabellen (S)
Sortera på S med fallande sorteringsordning.
4. Selektera relevanta rader (S)
Klipp ut med Ctrl-x de rader ur tabellen vars S-märkning motsvarar
S-nivå och underliggande S-nivåer hos systemets säkerhetsprofil.
Tips
Markera översta raden för det område du vill selektera. Scrolla ned till
den nedersta raden för området och markera med markören samtidigt
som du håller ned skifttangenten. Klipp ut med Ctrl-x. Lägg urklippet i
måldokumentet
* * *
5. Sortera tabellen (R)
Återgå till vad som är kvar av kopian av kravdatabasen och sortera på
R med fallande sorteringsordning.
6. Selektera relevanta rader (R)
Klipp ut med Ctrl-x de rader ur tabellen vars R-märkning motsvarar
R-nivån och underliggande R-nivåer hos systemets säkerhetsprofil.
* * *

3(3)
7. Sortera tabellen (T)
Återgå till vad som är kvar av kopian av kravdatabasen och sortera på
T med fallande sorteringsordning.
8. Selektera relevanta rader (T)
Klipp ut med Ctrl-x de rader ur tabellen vars T-märkning motsvarar
T-nivån och underliggande T-nivåer hos systemets säkerhetsprofil.
* * *
9. Slutgiltig sortering av resultatet
Sortera tabellen i måldokumentet i första hand i avseende på paragrafnummer
och i andra hand på säkerhetskrav. Använd stigande
sorteringsordning.
Tänk på att du måste sortera paragrafnummer som text (ej datum).