Informationssäkerhet

Information är en tillgång för varje företag och individ, och i ett tjänsteorienterat samhälle utgör information en allt värdefullare tillgång. I datorsystem är information central för att styra processer och beslut, varför riktighet och tillgänglighet hos informationen normalt är av central betydelse för en korrekt funktion.

Informationssäkerhet omfattar IT-säkerhet såväl som administrativa processer och rutiner för att upprätthålla nödvändig integritet, konfidentialitet och tillgänglighet hos information. Datasäkerhet är den del av IT-säkerheten som handlar om tekniskt skydd av datorsystem och data, och omfattar metoder för t.ex. kryptering, autentisering och skydd mot överbelastningsattacker.

  
För funktionssäkerhetskritiska datorsystem i t.ex. maskinstyrningar och fordon som skall uppfylla kraven i funktionssäkerhetsstandarder som IEC 61508 måste man säkerställa att funktionssäkerheten inte äventyras då man kopplar upp det mot andra system eller internet. En del i detta arbete innefattar att implementera lämpliga datasäkerhetsmekanismer för att erhålla ett tillräckligt starkt skydd. Svårigheten ligger i att välja en säkerhetsnivå som är tillräckligt hög för att erhålla skydd samtidigt som kostnaderna och komplexiteten skall stå i proportion till riskerna. Avvägningen börjar med en heltäckande riskanalys, följt av valet av lämpliga skyddsmekanismer samt utvärderingen av dessa. Slutligen måste man vara beredd att acceptera de kvarstående riskerna baserat på organisationens riskaptit. Att vara helt skyddad mot alla typer av angrepp under överskådlig framtid är i de flesta fall en omöjlig uppgift samtidigt som krav på tillgänglighet skall uppfyllas. Det är därför viktigt att välja säkerhetstekniker som ger en acceptabel kvarstående risk, vilket kräver ett systematiskt säkerhetsarbete.

RISE kan hjälpa till i alla utvecklingsfaser i utvecklingen av inbyggda datorsystem.


Exempel på tjänster inom informationssäkerhet

  • Utbildning och stöd kring arbetet med att uppfylla funktionssäkerhetsstandarder som t.ex. IEC 61508 och kravet på tillräcklig datasäkerhet.
  • Riskanalys
  • Verifiering av arkitektur och säkerhetsmekanismer

 

Utbildning
Vi har lång erfarenhet av att utbilda inom maskindirektivet samt funktionssäkerhetsstandarder som IEC 61508, ISO 13849 och ISO 26262. Vi erbjuder även utbildning inom datasäkerhet för att hjälpa dig som bygger säkerhetskritiska system som skall kopplas upp mot nätverk. Utbildningen innefattar tolkning av begrepp som konfidentialitet, integritet och tillgänglighet samt föreslår mekanismer för att erhålla en tillräckligt god nivå av datasäkerhet för det inbyggda systemet.


Riskanalys
Riskanalys är en allmän analysmetod och kan göras på alla typer av system och för olika typer av risker. Vi har lång erfarenhet av att göra riskanalys med avseende på funktionssäkerhet såväl som informationssäkerhet. Därmed kan vi, med hjälp av metoder som t.ex. HAZOP, FTA och FMEA hjälpa till att identifiera de risker som ditt system ställs inför med avseende på funktionssäkerhet såväl som informationssäkerhet.


Verifiering av säkerhetsmekanismer
När riskanalysen är utförd och systemarkitektur och säkerhetsmekanismer valts för att hantera riskerna, kan RISE hjälpa dig med att analysera arkitekturen för att göra ett oberoende utlåtande om huruvida tillräcklig säkerhet erhålls med den föreslagna arkitekturen och de föreslagna säkerhetsmekanismerna. Vidare kan vi hjälpa till med att verifiera de implementerade säkerhetsmekanismerna genom metoder för systematisk analys (t.ex. granskning av kod, kretsschema och testspecifikationer).

RISE Research Institutes of Sweden, Tel 010-516 50 00, E-post info@ri.se

SP, Innventia och Swedish ICT har gått samman i RISE för att bli en starkare forsknings- och innovationspartner för näringsliv och samhälle.
Under 2017 kommer sp.se att vara en av flera webbplatser inom RISE. Besök gärna ri.se för mer information om RISE.

Dela den här sidan: