Sikkerhetsarkitektur for Forsvarets informasjonsinfrastruktur - en innledende studie av rammeverk og begreper

Mange nye kapabiliteter som ønskes realisert i Forsvaret, forutsetter ny funksjonalitet i informasjonsinfrastrukturen. Men for å oppnå ønsket operativ evne, må tilstrekkelig sikkerhet være på plass for å beskytte mot aktuelle trusler. Dette har en økonomisk kostnad og kan sette begrensinger på hva som kan realiseres i praksis av ønsket funksjonalitet. Det er også vanskelig å vurdere hva som er tilstrekkelig sikkerhet for en gitt funksjonalitet og for informasjonsinfrastrukturen som helhet. En helhetlig sikkerhetsarkitektur har lenge blitt nevnt som en mulig tilnærming for å håndtere kompleksiteten rundt informasjonssikkerhet i Forsvaret. Med arkitektur menes en strukturert tilnærming til planlegging og utvikling av komplekse systemer over tid, samt en formell beskrivelse eller detaljert plan på komponentnivå. Man kan da tenke på en sikkerhetsarkitektur som en beskrivelse av tekniske sikkerhetsløsninger og de prinsippene og retningslinjene som styrer deres utvikling. Disse løsningene skal både være konsistente på tvers av Forsvaret og samtidig sørge for at informasjonsinfrastrukturen som helhet kan operere innenfor et akseptabelt risikonivå. For å sikre dette er det nødvendig å se sikkerhet i et bredere perspektiv. En helhetlig sikkerhetsarkitektur skal sørge for at sikkerhetsarbeidet forankres i virksomhetens strategiske mål og behov og at også ikke-tekniske aspekter blir identifisert og integrert i planlegging og utvikling av sikkerhetsløsninger. Slike aspekter kan for eksempel være forretningsprosesser, kontekster som virksomheten opererer i, lover og regelverk, økonomiske rammer, eller nye teknologiske muligheter. Til tross for at det finnes flere rammeverk som definerer verktøy, metoder og modeller for å bygge en slik arkitektur, er det likevel utfordrende å realisere den i praksis. Generelt er det vanskelig å vurdere og måle risiko, noe som er sentralt i alt sikkerhetsarbeid. I tillegg er det uklart hvordan sikkerhetsarkitektur og virksomhetsarkitektur skal integreres. Vi diskuterer derfor relevante utfordringer knyttet til risikovurdering, og på bakgrunn av dette diskuterer vi eksisterende rammeverk for virksomhetsarkitektur og sikkerhetsarkitektur. Rapporten gir også en kort beskrivelse av de viktigste dokumentene som gir føringer for informasjonssikkerhet i Forsvaret, siden de er med på å definere rammene for en sikkerhetsarkitektur. Vi konkluderer med at et arkitekturrammeverk kan gi oss metoder og verktøy, men Forsvaret må selv avgjøre riktig omfang og utforming av arkitekturarbeidet for å dra nytte av det. Erfaringsmessig er rammeverkene for omfattende og generiske til å brukes slik de er, og tilpasningsbehovet er derfor stort. Det er viktig at det er målene en virksomhet vil oppnå med sikkerhetsarbeidet, og ikke selve rammeverkene, som danner grunnlaget for en arkitektur. Faren er ellers at man fokuserer for mye på arkitekturmetoden og glemmer de underliggende problemene den skal hjelpe med å løse.