DU ER HER > FFI prosjekter > BAS


#	A	B	C	D	E
F	G	H	I	J	K
L	M	N	O	P	Q
R	S	T	U	V	W
X	Y	Z	Æ	Ø	Å

Postadresse:
Forsvarets forskningsinstitutt
Postboks 25
2027 Kjeller

-og FFI Horten
Postboks 115
3191 Horten

Besøksadresse Kjeller:
Instituttveien 20
2007 Kjeller

Horten:
Karljohansvern
3190 Horten

Telefon:
63 80 70 00
Militær tlf. 0505 7000
Telefaks: 63 80 71 15

Horten:
33 03 38 00
Militær tlf. 0525 3800

E-post:
ffi@ffi.no

Beskyttelse av samfunnet (BAS)

Prosjektene i serien ”Beskyttelse av samfunnet” har vært gjennomført ved FFI siden 1994, i samarbeid med en rekke aktører innenfor sivil beredskap og samfunnssikkerhet.

Justis- og politidepartementet og Direktoratet for samfunnssikkerhet og beredskap har vært hovedsamarbeidspartnere i alle prosjektene.

De første prosjektene arbeidet med overordnede problemstillinger for den sivile beredskap etter den kalde krigens slutt. Etter hvert så man at det var flere utfordringer knyttet til sårbarheter i kritisk infrastruktur i Norge, noe som ble et hovedtema i flere av prosjektene.

Nå går det sjette prosjektet i BAS-serien. Prosjektet ”BAS 6 – Scenarier og samfunnssikkerhet” tar sikte på å utvikle scenarier for det nasjonale arbeidet med samfunnssikkerhet i Norge, og å gjennomføre analyser av problemstillinger knyttet til tverrsektoriell samordning og sivilmilitært samarbeid.

BAS-prosjektene og lenker til sluttrapporter

BAS6 – Scenarier og samfunnssikkerhet (2007-2010)
BAS5 – Sårbarhet i kritiske IKT-systemer (2004-2008)
BAS4 – Sårbarhet i transportsektoren (2001-2003)
BAS3 – Sårbarhet i kraftforsyningen (1999-2001)
BAS2 – Sårbarhet i offentlig telekommunikasjon (1997-1999)
Beskyttelse av samfunnet 1 (1994-1997)

Kontakt:
Jan Ivar Botnan, avdelingssjef Beskyttelse, tlf. 63 80 75 00

BAS 5 – Sårbarhet i kritiske IKT-systemer

Prosjektet BAS 5 ble gjennomført i perioden 2004-2008. Prosjektet ble finansiert av Norges Forskningsråds IKT-SOS-program.

Målsettinger for prosjektet

Hvem deltok i BAS 5?

Hva kom ut av BAS 5?

Dokumenter fra prosjektet

BAS 5 hadde tre hovedmålsettinger

Utvikle og anvende metodikk for identifisering og rangering av kritiske samfunnsfunksjoner og IKT-systemer.
Utvikle og anvende metodikk for risikoanalyse av samfunnskritiske IKT-systemer.
Utvikle og anvende metodikk for effektivitetsvurderinger av tiltak som kan redusere sårbarheter i IKT-systemer.

Bakgrunnen for disse målene var å understøtte ulike myndigheter og virksomheters mulighet til å forbedre informasjonssikkerheten i samfunnskritiske IKT-systemer. Sammenhengen mellom målene er som følger: Hva er de mest samfunnskritiske virksomhetene og IKT-systemene, hvordan kan risiko og sårbarhet i disse systemene best analyseres, og hvordan kan man velge blant ulike tiltak for å øke sikkerheten i IKT-systemene?

BAS 5 var et samarbeid mellom en rekke institusjoner:

Prosjektet ble også finansiert av IKT-SOS-programmet under Norges forskningsråd.

Hva kom ut av BAS 5?
Informasjons- og kommunikasjonssystemer og IKT-baserte infrastrukturer er grunnleggende viktige for svært mange tjenester og funksjoner i samfunnet vårt. Konsekvensene vil bli store dersom samfunnskritiske IKT-systemer svikter.

Et godt og målrettet sikkerhetsarbeid er derfor viktig, men å oppnå god IKT-sikkerhet er en krevende oppgave. IKT-systemer er komplekse av natur, og de er preget av en rask teknologisk utvikling. Å finne metodiske tilnærminger som kan fungere og gi hensiktsmessige svar under slike rammebetingelser er derfor en utfordring.

BAS 5-prosjektet har sett dette problemet fra toppen, med andre ord med utgangspunkt i det nasjonale arbeidet med IKT-sikkerhet. FFIs erfaring er at det mangler nødvendige rammebetingelser for arbeidet med nasjonal informasjonssikkerhet, blant annet et konkret ambisjonsnivå for arbeidet, en avklaring av ulike aktørers roller og oppgaver, og utvikling av gode metoder som kan understøtte sikkerhetsarbeidet. Dette siste har vært et hovedtema i BAS 5-prosjektet.

Arbeidet med IKT-sikkerhet blir best dersom det legges strukturerte arbeidsprosesser med klare rammebetingelser til grunn for arbeidet, uavhengig av om arbeidet skal gjøres av den enkelte virksomhet eller av offentlige forvaltningsmyndigheter. Det metodiske arbeidet i BAS 5 har vært gjennomført for å understøtte prosjektets tre hovedmål.

Knyttet til det første målet har prosjektet utviklet en metode og en prosess for identifisering og prioritering på tvers av samfunnsfunksjoner og informasjonssystemer. Dette arbeidet er blant annet tatt videre i SAMRISK-prosjektet DECRIS, som ser på risikoanalyser på tvers av infrastrukturer. Dette arbeidet har fått økt relevans i og med at forslag til Lov om kommunal beredskapsplikt stiller krav til at kommuner skal gjennomføre sektorovergripende risikoanalyser som en del av sitt beredskapsarbeid. Det metodiske arbeidet i BAS5 kan derfor komme direkte til nytte i denne sammenhengen.
Knyttet til det andre målet har prosjektet utviklet en prosess for risikoanalyser av samfunnskritisk IKT som ivaretar både tilsiktede og ikke-tilsiktede hendelser, et rammeverk som understøtter valg av analysemetodikk og en veileder for støtte til personer som skal gjennomføre risikoanalyser. Resultatene fra prosjektet har blitt anvendt i enkelte kritiske infrastrukturer.
Det tredje målet er i hovedsak koblet til prosjektets doktorgradsarbeid.

Prosjektet har vært et møtested for forskningsinstitusjoner, akademiske institusjoner, myndighetene og ulike offentlige og private virksomheter. En delmålsetting om tettere koblinger mellom BAS-prosjektene og akademia er ivaretatt.

Dokumenter fra prosjektet
BAS5 har gitt ut følgende offentlig tilgjengelige rapporter:

Sluttrapport
Beskyttelse av samfunnet 5 (BAS5): Sårbarhet i kritiske IKT-systemer – Sluttrapport

Delmål 1 – Metodikk for identifisering og rangering av kritiske samfunnsfunksjoner og IKT-systemer
Metode for identifisering og rangering av kritiske samfunnsfunksjoner
Bakgrunnsstudie til metode for identifisering og rangering av kritiske samfunnsfunksjoner

Delmål 2 - Metodikk for risikoanalyse av samfunnskritiske IKT-systemer
Utvikling av metodikk for risikoanalyse av samfunnskritisk IKT - SEROS-rapport nr. 91892
Risikoanalyser i BAS 5 - teknologiske erfaringer

Delmål 3 - Metodikk for effektivitetsvurderinger av tiltak som kan redusere sårbarheter i IKT-systemer
Dette er tema for et doktorgradsarbeid ved Høgskolen i Gjøvik.

Grunnlagsstudier
Håndtering av IKT-kriser – aktører og roller
Tilsynsmetodikk og måling av informasjonssikkerhet i finans- og kraftsektoren
Sikkerhet og sårbarhet i elektroniske samfunnsinfrastrukturer – Refleksjoner rundt regulering og tiltak
Sårbarheter i Internett
Nanoteknologi – en innføring

Artikler og foredrag til tidsskrifter og konferanser

Aven, T. (2006): A unified framework for risk and vulnerability analysis and management covering both safety and security security. Reliability Engineering and System Safety Volume 92, Issue 6, June 2007, Pages 745-754
Ford,E., T. Aven, H.Wiencke &W. Røed (2007) An approach for evaluating methods for risk and vulnerability assessments. Proceedings ESREL 2007. Stavanger 25-27 June.
Hagen, J. and Albrechtsen, E., Regulation of information security and the impact on top management commitment - a comparative study of the electric power supply sector and the finance sector, ESREL 2008, conference paper.
Hagen, J., Fridheim, H., Nystuen, K. (2005): New challenges for emergency preparedness in the information society, Telektronikk Issue 1 2005, Pages 48-54
Hagen, J, Kalberg-Sivertsen, T, Rong, C, Information security threats and access control practices in Norwegian businesses, SSNDS 2007, conference paper
Hagen, J, Kalberg-Sivertsen, T, Rong, C, Protection against unauthorized access and computer crime in Norwegian enterprises, 16 (2008), Journal of Computer Security, 341-366, IOS Press.
Wiencke, HS. Aven, T. Hagen, J. (2006): A framework for selection of methodology for risk and vulnerability assessments of infrastructures depending on ICT. ESREL 2006, pp. 2297-2304

Prosjektets medarbeidere gav også flere innspill og arbeidsnotater til Utvalget for sikring av landets kritiske infrastruktur.