2.1.7 Definiera säkerhetskrav

Denna vägledning omfattar inte alla säkerhetsaspekter som kan gälla för en organisation som tillämpar webbtjänster för eget bruk eller mot sin omvärld. En viktig förutsättning är naturligtvis att en organisations tekniska och ad-ministrativa infrastruktur hanterar verksamhetens behov av informationssä-kerhet på ett förnuftigt sätt. Vägledning för informationssäkerhet finns att få från standardiseringen på området och från aktörer som Krisberedskaps-myndigheten och Sitic hos Post och Telestyrelsen, m.fl.

Användning av informationsteknik och inte minst Internet innebär utöver effektivitetsvinster och andra mervärden, också risker för både den som till-handahåller en webbtjänst och för användarna. Eftersom brister i säkerhet oftast är besvärliga och kostsamma att åtgärda i efterhand är det viktigt att säkerhetsfrågorna hanteras redan under utvecklingsprocessen.

Definiera säkerhetskrav och lämpliga skyddsåtgärder genom att skapa dig en uppfattning om konsekvenserna av tänkbara hot och risker. Försök be-döma konsekvenserna, för den egna verksamheten och den som använder tjänsterna, om dessa hot och risker blir verklighet.

Gör en bedömning av informationens ”värde” utifrån följande aspekter:

• Krav på konfidentialitet/sekretess.
• Krav på riktighet.
• Krav på spårbarhet.
• Krav på oavvislighet - att personen som utfört en handling i efter-hand inte kan förneka att han eller hon har utfört handlingen. 
• Användarnas behov av tillgång till tjänsten.
• Skyddsåtgärderna bör omfatta identifiering, styrning av åtkomst och behö-righet och skydd av information som transporteras över datanät och när den lagras i datorer.

Ta hänsyn till de grundskyddskrav som gäller för den egna verksamheten. Alla former av koppling till det egna datanätet innebär alltid potentiella ris-ker för dataintrång och obehörig åtkomst av information.

Det är viktigt att säkerhetsfunktioner som definieras under utvecklingspro-cessen också ingår i det som testas innan driftsättning.

Senast uppdaterad 2008-12-10