Granskning

Granskning av verksamhetskritiska system är en nödvändighet för att säkerställa vilken säkerhetsnivå ett system erbjuder gentemot en aktuell hotbild. Varken ett penetrationstest eller en sårbarhetsscanning svarar på denna fråga, utan endast på en liten del av denna frågeställning.

Granskningar av system kan göras på många sätt, bland annat på följande sätt:

  1. Granskning av arkitektur gentemot best practice och definierad hotbild.
  2. Sårbarhetsscanningar och penetrationstester.
  3. Kodgranskning.

För att dessa granskningar skall vara användbara för verksamheten på lång sikt krävs dels att granskaren sätter sig in i verksamheten, och den allmänna hotbild verksamheten upplever mot granskningsobjektet. Det är också viktigt att detta dokumenteras på ett riktigt sätt och att granskningen mynnar ut i konkreta rekommendationer som går att använda i det fortsatta arbetet.

Exempel på tjänster vi levererar

Vi genomför granskningar enligt en etablerad metod som kallas FHM (Flaw Hypothesis Methodology). Denna metodik kan liknas med en förenklad variant av Common Criteria.

Metodiken går kort ut på följande:

  1. En hotbild definieras för granskningsobjektet
  2. Bristhypoteser genereras som kan relateras till olika hot
  3. Varje bristhypotes verifieras sedan under granskningen

Verifieringen av bristhypoteser beror på den ambitionsnivå som efterfrågas av kunden. Den lägsta ambitionsnivån omfattar genomgång av dokumentation samt intervjuer. Den högsta ambitionsnivån omfattar skräddarsydda penetrationstester och kodgranskning.

Vi kan på begäran uppvisa referenser på uppdrag utförda inom detta område.