systemutveckling

Säkerhetsgranskning

För att ett IT-system ska vara säkert krävs bland annat en säker arkitektur och att alla enskilda produkter som ingår uppfyller rätt säkerhetsnivå. Syftet med våra granskningar är att ta reda på hur det egentligen ligger till med säkerheten i ert system. Och vi kommer att identifiera brister. Resultatet kan ni sedan använda till förbättringar.

Nedan presenterar vi våra mest efterfrågade säkerhetsgranskningar: systemgranskning, oberoende produktgranskning och granskning för att bevisa uppfyllda säkerhetskrav. Kontakta oss för mer information och offert.


1. Systemgranskning 

Att hitta brister i ett system handlar mycket om att veta var man ska leta. Vi utgår från tillgänglig dokumentation och använder beprövade metoder för att effektivt gå igenom säkerhetsegenskaperna i era system. Granskningen sker med fördel redan under utvecklingsfasen, men kan även genomföras på befintliga system. I båda fallen ger vi dig och ditt team en utförlig rapport som beskriver systemets svagheter och säkerhetsbrister. Vi redovisar även vilka åtgärder som krävs för att systemet ska nå upp till ställda säkerhetskrav.


2. Oberoende produktgranskning

När du vill höja förtroendet för IT-säkerhetsprodukter behövs en oberoende produktgranskning. Vi genomför den med hjälp av publikt tillgänglig information och praktiska tester på produkten. Först definieras säkerhetskraven som produkten ska utvärderas mot. Eftersom felaktig användning eller hantering är en källa till många säkerhetsbrister, utvärderas också hur enkel produkten är att använda korrekt. Teknisk granskning genomförs med utgångspunkt i gränssnitt, dataflöden, protokoll, algoritmer och filformat. Finns kända fel eller svagheter i dessa? Används delkomponenter med kända brister eller med tveksamt säkerhetsrykte? För säkerhetskritiska gränssnitt genomförs både manuell och automatiserad testning, exempelvis fuzzing.

Den genomförda granskningen sammanställs och dokumenteras i en kvalitetssäkrad rapport, med resultat och bedömningar från de olika stegen.


3. Granskning för att bevisa uppfyllda säkerhetskrav

I många branscher, till exempel finansbranschen, måste företag bevisa att de lever upp till ställda säkerhetskrav. Vi går igenom vilka krav som finns och genomför de test som behövs för att se om kraven uppfylls eller ej. En annan vanlig leverans är att hjälpa IT-avdelningar med rapporter och intyg som visar ledningsgruppen att säkerhetsarbetet är korrekt utfört. Vid eventuella brister kommer denna typ av granskningar självklart kunna användas för åtgärder i stället.

 
gustaf_dellkrantz

Gustaf Dellkrantz

Säkerhetskonsult

Senior IT-säkerhetskonsult som innan Subset jobbade många år inom Försvarsmakten. Utbildad till civilingenjör i datateknik vid KTH och har sedan dess samlat på sig expertis inom kryptologi, teknisk IT-säkerhet, säkerhetsgranskning och processutveckling.

Tel: 070-399 72 70
gustaf.dellkrantz@subset.se


Fler tjänster hos Subset

Systemutveckling
Utvecklar komplexa system med extremt höga krav på IT-säkerhet. Läs mer här.

Kvalitetssäkring
Tar fram metoder och processer som säkerställer kvaliteten i alla led. Läs mer här.

Rådgivning
Vi leder dig rätt inom policy, kravuppfyllnad, metoder och tekniska frågor. Läs mer här.