Krav på godkända säkerhetsfunktioner i IT-system

För att uppnå rätt säkerhet för ett IT-system behöver man på något sätt ställa säkerhetskrav på systemet, men även systemets omgivning och hur systemet ska hanteras när det är i drift. Det finns inga gemensamma detaljerade krav på IT-säkerhet för svenska myndigheter. Alla uppfinner hjulet på nytt även om det går att läsa ut gemensamma drag, t ex i vilka analyser som görs och vilka säkerhetsfunktioner som finns i systemen.

Hur ser det då ut för IT-system som ska hantera hemlig information som rör rikets säkerhet? Både Säkerhetspolisen och Försvarsmakten har i sina föreskrifter om säkerhetsskydd regler om IT-säkerhet. Reglerna säger bl a att IT-system ska vara försedda med sju säkerhetsfunktioner. De sju säkerhetsfunktionerna ska tillsammans skydda ett IT-system mot hot i och utanför systemet.

180408 sapo fm sakerhetsfunktioner

De sju säkerhetsfunktionerna för IT-system som ska hantera hemlig information. Översikt över Säkerhetspolisens och Försvarsmaktens krav i föreskrifter om säkerhetsskydd.

Försvarsmakten ställer krav att IT-systemen ska vara försedda med av myndigheten godkända säkerhetsfunktioner. Förutom Försvarsmakten gäller reglerna även för de försvarsnära myndigheterna (bl a FMV, FRA, FOI, FHS och TRM). Myndigheterna ska själva avgöra vad som är godkända säkerhetsfunktioner för myndighetens IT-system, dvs vilka egenskaper säkerhetsfunktionerna ska ha.

KSF

MUST har tagit fram krav på godkända säkerhetsfunktioner (KSF). Om ett IT-system uppfyller KSF-kraven reduceras riskerna, enligt MUST, till en acceptabel risknivå. KSF-kraven är, vad jag känner till, de mest detaljerade krav för sådana IT-system hos en svensk myndighet. KSF är Försvarsmaktens interna krav och gäller endast i Försvarsmakten. Nu har kraven ändå fått spridning utanför Försvarsmakten. Ett exempel är att FMV i Industrisäkerhetsskyddsmanualen (ISM 2013) klippt in delar av den äldre KSF 2.0 från 2004 och ställt kravet att IT-system hos försvarsindustrin ska uppfylla kraven om systemet hanterar hemlig information som rör rikets säkerhet.

Den KSF som gäller i dag i Försvarsmakten är version 3.1 från 2014. Den innehåller 148 krav på säkerhetsförmågor för de sju säkerhetsfunktionerna (funktionella säkerhetskrav) och 275 krav på hur man påvisar förtroende för säkerhetsförmågorna (assuranskrav).

Både de funktionella säkerhetskraven och assuranskraven är indelade i tre kravnivåer: Grund, Utökad och Hög. En högre kravnivå innebär ökande krav på säkerhetsfunktionalitet och assurans. Vilken kravnivå som gäller för ett visst IT-system beror på två faktorer:

  1. Konsekvensnivå vid röjande av den information som systemet ska behandla.
  2. Exponeringsnivå för hur exponerat systemet är avseende någon aktörs möjlighet att påverka systemet fysiskt eller logiskt.

Kriterier för konsekvensnivåer och exponeringsnivåer finns i tabeller i KSF 3.1. När man identifierat vilka konsekvensnivåer och exponeringsnivåer som gäller för det aktuella IT-systemet läser man ut kravnivån. Bilden nedan är en sammanställning av kriterier och nivåer.

Kravnivåer för funktionella säkerhetskrav och assuranskrav bestäms utifrån informationens konsekvensnivå och systemets exponering. Tabeller hämtade från sidorna 19-20, 22 och 24 i bilaga 1 till KSF 3.1. Stor bild.

IT-säkerhetsspecifikation

IT-säkerhetsspecifikationen (ITSS) för ett IT-system är ett dokument som, enligt KSF 3.1, beskriver systemet, vilka säkerhetskrav som systemet ska uppfylla samt hur systemet uppfyller kraven. Strukturen på en ITSS för ett system och det förväntade innehållet är tydligt angivet i KSF. KSF-kraven är inte uttömmande, då det inte är möjligt att genom generella krav förutse alla tänkbara säkerhetsegenskaper som ett IT-system måste ha. Det måste vara tillåtet att tänka själv. I ITSS finns därför plats för tillkommande säkerhetskrav, krav som kommer från analyser som ligger utanför KSF. Det kan t ex vara verksamhetens krav på tillgänglighet, författningskrav som gäller för verksamheten som systemet ska stödja eller informationen i systemet samt hotrelaterade krav unika för den plats där systemet ska finnas.

KSF 3.1 är en komplicerad kravmassa som måste tolkas för varje IT-system. Ett funktionellt säkerhetskrav kan innebära att en skyddsåtgärd måste finnas i flera delar av systemet. Det är sådana tolkningar som dokumenteras i ITSS. Det är också denna kravtolkning som sedan kan användas som en kravspecifikation för upphandling. De nakna KSF-kraven är sällan meningsfulla att använda för att upphandla utveckling av ett IT-system.

180408 ksf 31 itss tillkommande sakerhetskrav

IT-säkerhetsspecifikationen enligt KSF 3.1 med plats för bl a tillkommande säkerhetskrav som kommer från analyser utanför KSF. Stor bild.

Assurans

Assuranskraven i KSF 3.1 handlar om att få förtroende för IT-systemets säkerhetsförmågor. Det räcker inte med vaga påståenden eller säljpresentationer. Systemutvecklaren måste bl a påvisa att säkerhetsfunktionerna inte kan kringgås, att hen har kontroll över systemets komponenter, gränsytor och dataflöden, hur utvecklingen av systemet går till och hur drift och förvaltning ska genomföras.

Assuranskraven i KSF innehåller krav på analys och beskrivning av säkerhetskrav (ITSS), säker utveckling i systemutvecklingens livscykel, arkitektur och design samt installation och drift. Dessutom finns krav på tre typer av tester som bl a omfattar angripartester. Assuranskravens sista del handlar om att identifiera eventuella avvikelser, sårbarheter och kvarstående risker. En viktig del i assuranskraven är den oberoende granskning som ska genomföras av en evaluerare.

Merparten av assuranskraven går ut på att evalueraren ska undersöka den dokumentation som systemutvecklaren har tagit fram, för att verifiera att kraven har uppfyllts. Evalueringen är inte helt dokumentbaserad, evalueraren ska bl a installera systemet för att verifiera att systemet kan installeras genom att följa installationsdokumentationen. Evalueraren ska också verifiera att systemutvecklaren verkligen utvecklar systemet på det sätt som systemutvecklaren har beskrivit.

180408 KSF 31 assuranskrav

Översikt över assuranskraven i KSF 3.1. Det handlar mycket om ordning och reda i och kring IT-system. Stor bild.

Komponentassurans

Avgörande för tilltro till ett IT-system är vilket förtroende man har till de säkerhetsrelaterade komponenterna i systemet. En komponent är säkerhetsrelaterad om den används för att uppfylla en säkerhetsfunktion eller om den tillhandahåller funktionalitet som en säkerhetsfunktion är beroende av. KSF 3.1 utgår från att det redan finns komponenter med kända säkerhetsegenskaper. Hård- och mjukvarorna som ger säkerhetsfunktionalitet har tidigare granskats och det är dessa komponenter som används när man utvecklar ett IT-system som ska uppfylla KSF-kraven.

Vilken tilltro som behövs för en säkerhetsrelaterad komponent delas i KSF 3.1 in i fyra komponentassuransnivåer (N1-N4). I Försvarsmakten är det MUST som verifierar IT-säkerhetsfunktionalitet i komponenterna och godkänner en komponent till någon av de fyra komponentassuransnivåerna.

180408 ksf 31 komponentassuransnivaer

Övergripande skillnader mellan komponentassuransnivåer. Innehållet i tabellen ska inte förväxlas med krav. Tabellen är hämtad från sidan 30 i bilaga 1 i KSF 3.1. Stor bild.

Kravet på vilken komponentassuransnivå som gäller för säkerhetsrelaterade komponenter i ett IT-system anges i en tabell i KSF. Komponentassuransnivå styrs av informationens högsta konsekvensnivå och systemets högsta exponeringsnivå.

180408 ksf 31 krav komponentassuransnivaer

Tabell med krav på komponentassurans, hämtad från sidan 31 i bilaga 1 i KSF 3.1.

En hotaktörs möjlighet att påverka ett IT-system fysiskt eller logiskt kan variera i systemets olika delar. Exponeringsnivån kan därför variera för systemets komponenter. Konsekvensnivån för den information som ett IT-system ska hantera kan också variera i systemets olika delar. Det behöver ju inte vara så att systemets högsta skyddsvärde är utsmetat på alla komponenter i systemet. Komponentassuransnivån behöver därför inte vara lika hög för alla säkerhetsrelaterade komponenter i ett IT-system. Det öppnar upp för att delar av ett IT-system kan baseras på generella COTS-produkter som MUST har godkänt, dvs komponenter med komponentassurans nivå N2.

≈ ≈ ≈

Detta var en lättare introduktion till godkända säkerhetsfunktioner med fokus på några assuransfrågor. Hur är bra är då KSF 3.1 och vilka svårigheter finns att uppfylla kraven? Det tänkte jag återkomma till i ett kommande blogginlägg.

Källor:

  • 4 kap Säkerhetspolisens föreskrifter (PMFS 2015:3) och allmänna råd om säkerhetsskydd (PDF).
  • 7 kap Försvarsmaktens föreskrifter (FFS 2015:2) om säkerhetsskydd (PDF).
  • Beslut om krav på godkända säkerhetsfunktioner version 3.1 (2014-06-13 FM2014-5302:1) (PDF på FM webbplats, PDF på FMV webbplats för ISD).
  • Avsnitt 4.11.2 och bilaga 3 i FMV Industrisäkerhetsskyddsmanual 2013 (13FMV4466-1:1) (PDF).

/Kim Hakkarainen

3 kommentarer

Publicerad i IT-säkerhet, Säkerhetsskydd

3 kommentarer till Krav på godkända säkerhetsfunktioner i IT-system

  1. Tonna

    Snyggt. Tar tacksamt emot information.

  2. Greger Westberg

    Bra och tydligt sammanfattat!
    Ser redan fram mot nästa inlägg 😉

  3. Ulf

    Tack Kim,
    Pedagogiskt och översiktligt- som vanligt

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Denna webbplats använder Akismet för att förhindra skräppost. Läs mer om hur dina kommentarsuppgifter behandlas.