Statskontoret 1995:6
Brandväggar vid anslutning till Internet
Skydd mot obehörigt intrång
[Föregående kapitel]
[Innehåll]
För att kunna genomföra en ackreditering måste detaljer och
moment i följande punkter identifieras och genomföras.
- identifiera hoten (t.ex. utslagning av viktiga resurser, otillbörlig
åtkomst av information, förvanskning av information etc)
- bedöm konsekvenser av vad det innebär om respektive hot inträffar
- bestäm vad det är som ska skyddas, datorer, program, information, etc
- bestäm vilken funktionalitet och vilka tjänster (externa, interna)
som man behöver och vilka man kan avvara utan att verksamheten
negativt påverkas
- ta fram en systemlösning som uppfyller de krav som punkterna ovan
genererar. (En systemlösning måste tas fram av personer som
väl förstår de system som är väsentliga för
säkerheten)
- ta fram en säkerhetsplan som omfattar konfigureringsbeskrivningar
för kritiska system, driftföreskrifter, vilka behörigheter
som olika personalkategorier ska ha, vem som är ansvarig för
vad, regler för hur förändringar ska genomföras,
handlingsplan vad som ska göras vid incidenter. Vid en incident
är det viktigt att i efterhand undersöka om det är
något vad gäller säkerhetsarbetet som behöver
förändras för att nå den säkerhet som krävs.
Punkterna ovan kan sägas beskriva vad en säkerhetsanalys, -policy och
-plan enligt den princip som anges i avsnitt
1.1 kan omfatta.
En ackreditering av säkerhetslösningen enligt ovan kan ske genom att
en oberoende person med tillräcklig kunskap granskar genomförandet
och dokumentationen av punkterna enligt ovan samt skriver på ett
"godkännande" av implementationen.
Kraven och metoderna för ackreditering bestäms från fall till
fall beroende på det objekt som ska skyddas av brandväggen.
[Bilagor]
[Innehåll]
Jan Berner Statskontoret/Stattel,
Peo Haettner FMV/TelekomS,
Peter Löthberg STUPI
Senast uppdaterad: 1995-05-25
Anpassning till HTML: ulla@stupi.se