Bygga säkra it-system på riktigt! Del 4: Granskning av tredje part, spårbarhet och assurans

Quality Assurance Service Guarantee Standard Internet Business Technology Concept

Basalts kunder har ofta en ordning som ser ut ungefär så här:

  • En verksamhet har behov, och skriver ner en kravspecifikation på vad verksamheten vill kunna göra med ett it-system.
  • Verksamheten omfattas av lagkrav, interna säkerhetskrav och andra ingångsvärden som måste beaktas och hanteras som specifika ingående krav
  • Säkerhet är ett fokusområde för Basalts kunder och ofta finns specifika regulatoriska säkerhetskrav som följs upp av granskande verksamhet
  • Det betyder att verksamheten formulerar krav och beställer, leverantören producerar och levererar, verksamheten testar leveransen utifrån sina behov och en säkerhetsorganisation, intern eller extern, testar och granskar utifrån de säkerhetskrav som är kopplade till  den tänkta användningen av it-systemet

I denna text ska vi fokusera på den ordning som på grund av Säkerhetsskyddslagen har ökat, nämligen att säkerheten i ett it-system är ett separat ansvar som ska godkännas av en tredje part. Denna tredje part kan vara ett företags säkerhetschef, en extern oberoende test- och granskningsleverantör eller en tillsynsmyndighet som bär ansvar för att underställda organisationer följer säkerhetsskyddslagstiftningen.

När man bygger system som ska möta ovanstående säkerhetskrav är det av stor vikt att följsamhet av säkerhetskrav kan bevisas. I många fall ligger bevisbördan på Basalt som leverantör. Hur kan man på ett trovärdigt sätt kunna låta en tredje part granska allt med en rimlig resursinsats?

Att som säkerhetsansvarig läsa massiva mängder systemdokumentation kommer inte att leda fram till en bra och korrekt granskning. Att bara lita på vad en leverantör eller it-avdelning säger kan vara en väg, men som man säger, tillit är bra, kontroll är bättre.

Basalt anser att en förutsättning vid konstruktion av säkra it-system är att allt ska vara granskningsbart, spårbart och transparent. Genom att strukturerat och metodiskt bygga upp spårbarhet och dokumentation för ett it-systems hela livscykel skapar vi förutsättningar för en korrekt granskning av tredje part. För att uppnå detta innehåller Craton-konceptet en rad delar som tillsammans bygger upp den efterfrågade Assuransen.

Assurans förklaras bäst som Trygghet avseende säkerhet genom tydlig och enkel bevisföring:

  • Mycket grundlig nedbrytning av både verksamhets- och säkerhetsmässiga krav.
  • Automatiska tester så långt det möjligt
  • En förvaltningsstrategi som följer samma mönster som utvecklingen av it-systemet
  • Loggning av alla vidtagna åtgärder
  • Systemdokumentation är till mycket stor andel automatiskt genererad, anpassad för just granskningsbarhet.
  • Ett etablerat it-säkerhetsprogram, där analys av agenter, hotbild, sårbarheter och motåtgärder tydligt lyfts fram
  • En restrisklista som kan förstås av en beslutsfattare

Hela syftet med dessa processer och artefakter är att ge alla intressenter förutsättningar att förstå hur säkerheten och den definierade hotbilden hanteras för att kunna fatta korrekta beslut avseende riskaptit kopplat till systemets användning och information.

Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod

Skärmavbild 2023-02-03 kl. 10.25.40

Skribent

  • Nicklas är grundare och VD i Basalt AB. Nicklas har bakgrund som teknisk konsult och projektledare. Fokus för konsultarbetet har hela tiden kretsat runt systemintegration, it-säkerhet, it-arkitektur och projektledning i olika roller. Nicklas är numera fokuserad på ledarskap, företagsledning, försäljning och marknadsfrågor även om säkerhet och it-arkitektur finns som ett intresse och är en del av den totala arbetsupplevelsen.

    • Många står inför samma utmaningar: Hur ställer man rätt krav? Varför blir det ofta dyrare och mer komplicerat än planerat?

    För att möta upp frågor och diskussioner på temat, och bjuda på egna viktiga erfarenheter från området, har vi tagit fram en seminarieserie om säkerhetsskydd i digitala system.

    Läs mer om seminariet och anmäl dig här.

    More news

    Alla nyheter
    [Frukostseminarium] - Cybersäkerhet med LIVE penetrationstest och SIEM-demo

    Bygga säkra it-system på riktigt! Del 9: Data in och data ut, det är där det händer

    Basalt erbjuder stöd med att förbättra krisledningsorganisation och ledning av staber

    Bygga säkra it-system på riktigt! Del 8: Användartjänster på en säker grund