https://anskaffelser.no
Fagsider om offentlige anskaffelser
Veileder til regler om klima- og miljøhensyn i offentlige anskaffelser
Sikkerhetsfaglige anbefalinger for tjenesteutsetting
Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Tilgang til ekspertkompetanse og verktøy man ikke selv besitter kan bedres, kostnader kan bli lavere og mer forutsigbare og det kan i større grad bidra til bedre fokus på virksomhetens kjerneaktivitet. Samtidig må virksomheter være bevisst hvilken risiko en tjenesteutsetting medfører. Tilsvarende eller høyere nivå på både tjenestekvalitet og IKT-sikkerhet bør være en målsetning ved tjenesteutsetting.
En tjenesteutsetting stiller store krav til egen virksomhet og krever annen kompetanse enn om tjenesten leveres av egen organisasjon. Før det foretas en strategisk beslutning om bruk av tjenesteutsetting, bør virksomheten vurdere om den er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess. Virksomheten må også kartlegge hvilke lover, krav og regler som gjelder både nasjonalt og internasjonalt. Eksempelvis gir både sikkerhetsloven og personopplysningsloven med forskrifter føringer ved tjenesteutsetting. Noen sektorer har også regulert hvilke muligheter virksomheten har til å tjenesteutsette.
For å ivareta IKT-sikkerheten ved tjenesteutsetting, anbefaler NSM at virksomheten er bevisst behovet for:
- Oversikt og kontroll på hele livsløpet
- God bestillerkompetanse
- Gode risikovurderinger for å kunne ta riktig beslutning
- Riktige og gode krav til IKT-tjenesten og til leverandør
- Riktig beslutning på riktig nivå
https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet-2-0/beskytte-og-opprettholde/ivareta-sikkerhet-i-anskaffelses-og-utviklingsprosesser/
Ivareta sikkerhet i anskaffelses- og utviklingsprosesser
Målet med prinsippet: Sikkerhet er en integrert del av prosessene for anskaffelse og utvikling og virksomheten minimerer risiko for at nye IKT-produkter og IKT-tjenester innfører konfigurasjonsmessige og arkitekturmessige sårbarheter.
Hvorfor er dette viktig?
IKT-sikkerhet er viktig i alle IKT-produkter og IKT-tjenester, ikke kun ved anskaffelse av rene sikkerhetsprodukter som en brannmur. Dersom en virksomhet anskaffer IKT-produkter og IKTtjenester som har svak sikkerhet eller som ikke integrerer godt med virksomhetens øvrig sikkerhetsarkitektur og eksisterende IKT-produkter, kan dette øke sårbarheten og redusere sikkerhetsnivået i IKT-systemet.
Dersom virksomheten mangler gode prosesser for utvikling, test, verifisering og implementering vil sannsynligheten være stor for at sårbarhetene ikke blir oppdaget. Kostnaden ved å rette opp i dette i etterkant er ofte høyere enn kostnaden ved gode forberedelser.
Anbefalte tiltak: Ivareta sikkerhet i anskaffelses- og utviklingsprosesser
| Anskaffelse av IKT-produkter | | | |
| 2.1.1 | Integrer sikkerhet i virksomhetens prosess for anskaffelser. Fastsett krav til IKT-sikkerhet ved anskaffelse av alle IKT-produkter og IKT-tjenester, se prinsipp 2.2 - Etabler en sikker IKT-arkitektur. Inkluder sikkerhet i hele livsløpet fra anskaffelse til avhending. | | | |
|---|
| 2.1.2 | Kjøp moderne og oppdatert maskin- og programvare slik at nyere sikkerhetsfunksjonalitet er innebygd. Sørg for a) å kun benytte IKT-produkter som støttes og mottar sikkerhetsoppdateringer fra leverandør b) å kun anskaffe IKT-produkter som inneholder nyere sikkerhetsfunksjonalitet og protokoller og c) at eldre IKT-produkter fases ut. d) Der det er hensiktsmessig bør man be leverandør (som kjenner IKT-produktet best) i) å informere om risikoer og sårbarheter produktet kan utsettes for og ii) spesifisere nærmere hvordan IKT-produktet kan sikkerhetsherdes og beskyttes. | | | |
|---|
| 2.1.3 | Foretrekk IKT-produkter som er sertifiserte og evaluert av en tiltrodd tredjepart. Et eksempel på et sertifiseringsregime er Common Criteria4. | | | |
|---|
| 2.1.4 | Reduser risiko for målrettet manipulasjon av IKT-produkter i leverandørkjeden. a) Virksomheter bør vurdere risiko for om de kan bli utsatt for slike målrettede angrep. b) Be nasjonale forhandlere/importører vise diskresjon, og ikke videreformidle for mye kundeinformasjon, f.eks kundenavn, hvordan produktet skal benyttes, hvem som skal benytte produktet, hvor produktet skal benyttes. c) Beskytt produktintegritet til fysiske produkter (i dialog med nasjonale forhandlere/importører) så tidlig som mulig i leverandørkjeden. Produkter bør inspiseres av alle nasjonale ledd (også hos kunden før produksjonssetting) for brutte forseglinger og oppbevares slik at kun et begrenset sett av personell har fysisk adgang. d) Programvare-produkter bør kun lastes ned fra leverandørens offisielle webside (kun via https). Virksomheten bør oppbevare all installasjonsprogramvare i fil-mapper hvor kun installasjonsansvarlig har skriverettigheter. e) Leverandørers fysiske adgang ifm. vedlikehold av IKT-produkter bør reguleres og kontrolleres. | | | |
|---|
| | Utvikling og test mht. egen programvareutvikling | | | |
|---|
| 2.1.5 | Benytt en metode for sikker utvikling av programvare for å redusere sårbarhetene i programvaren. Dette inkluderer: a) Hensiktsmessig planlegging, inkludert virksomhetens behov, rammebetingelser, IKT-sikkerhets hensyn og behov for opplæring av personell. b) Analyse av brukerbehov, inkludert IKT-sikkerhetskrav. c) Design av programvare basert på fastsatte krav, d) Utvikling av programvaren, inkludert sikker koding og testing (se 2.1.6 og 2.1.7) e) Implementasjon og idriftsetting av programvaren. f) Sikkerhetsmessig forvaltning av programvaren, bl.a i) planlegge for gjennomføring og distribusjon av sikkerhetsoppdateringer og ii) planlegge støtte for nyere og mer tidsriktig sikkerhetsfunksjonalitet. | | | |
|---|
| 2.1.6 | Benytt separate miljøer for utvikling, test og produksjon slik at operative virksomhetsprosesser og data ikke blir påvirket ved feil i utviklings- og testløp. Vurder også soneinndeling som beskrevet i tiltak 2.2.3 Sensitive produksjonsdata bør bare benyttes på utviklings- og testmiljø som er sikret. | | | |
|---|
| 2.1.7 | Gjennomfør tilstrekkelig med testing gjennom hele utviklingsprosessen. Gjør dette slik at feil, sårbarheter og mangler rettes opp før idriftsetting. a) Dette inkluderer test av at sikkerhetsfunksjonalitet fra forskjellige berørte IKT-produkter fungerer godt sammen, ref. prinsipp 2.2 - Etabler en sikker IKT-arkitektur, samt enhetstesting, integrasjonstesting, systemtest, akseptansetest, pilottest, inntrengingstest(prinsipp 0) og stresstest. b) Utfør kontroll på at kun tillate handlinger virker samt stikkprøver på at andre handlinger blir avvist. | | | |
|---|
| 2.1.8 | Vedlikehold programvarekode som utvikles/benyttes i virksomheten. a) Ha en utviklingsprosess som inneholder metodisk sikkerhetsvurdering av koden. b) Vær spesielt oppmerksom på kode som har spesiell betydning for sikkerheten, f.eks kode for i) tilgangskontroll, ii) kryptering av trafikk, iii) logging, iv) «parsing» av bruker-input, v) «buffer overflow», med mer. Se [2] og [9]. c) Ved bruk av offentlig tilgjengelig kode («open source») og kommersielle «toolkits» bør virksomheten regelmessig (fortrinnsvis automatisk) sjekke for nye versjoner. d) Ved bruk av DevOps/DevSecOps bør også sikkerhetssjekk av egen kode automatiseres der det er hensiktsmessig. Spesielt sikkerhetsrelevant kode (ref. forrige punkt) bør kvalitetssikres. | | | |
|---|
| | Tjenesteutsetting - herunder bruk av skytjenester | | | |
|---|
| 2.1.9 | Ta ansvar for virksomhetens sikkerhet også ved tjenesteutsetting. Dette inkluderer å a) ha oversikt og kontroll på hele livsløpet til tjenesten(e) som skal settes ut, b) ivareta behovet for bestillerkompetanse (f.eks. forvaltning-, administrasjon- og ITarkitekturkompetanse) gjennom hele livsløpet til tjenesteutsettingen c) gjennomføre gode risikovurderinger som inkluderer IKT og hensyntar hele livsløpet, d) utarbeide et kravdokument for alle faser av tjenesteutsettingen hvor krav kan verifiseres, e) avtaler om tjenesteutsetting av IKT-tjenester og endringer i slike avtaler skal behandles i henhold til virksomhetens fullmaktsstruktur. Se også kapittel I - Bruk av tjenesteutsetting og skytjenester og [1]. Det understrekes at virksomhetens ansvar for sikkerheten ikke forsvinner selv om man tjenesteutsetter. Virksomheten har et ansvar uavhengig av hvem som utfører de forskjellige oppgavene. | | | |
|---|
| 2.1.10 | Undersøk sikkerheten hos tjenesteleverandør ved tjenesteutsetting. Det bør som minimum undersøkes om leverandøren: a) har et etablert styringssystem for informasjonssikkerhet og eventuelt sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017. b) gir innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten. c) har utviklingsplaner for fremtidig sikkerhetsfunksjonalitet i tjenestene i tråd med utvikling i teknologi og trusselbildet over tid. d) har en oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregering fra andre kunder. e) har sikkerhetsfunksjonalitet som tilfredsstiller virksomhetens behov. f) har sikkerhetsovervåkning for å avdekke sikkerhetshendelser som kan påvirke virksomheten. g) har rutiner for hendelseshåndtering og avviks- og sikkerhetsrapportering. h) har krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer. i) har godkjenningsprosedyrer for bruk av underleverandører og deres bruk av underleverandører. j) har spesifisert hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon. Les mer i NSMs rapporter om tjenesteutsetting, se [1]. | | | |
|---|
Utdypende informasjon
DevOps/DevSecOps er begreper som er blitt stadig mer aktuelt ifm. utvikling av programvare, kanskje spesielt i forbindelse med tjenester. I korthet går det ut på å utføre kodeendringer som påføres et system i produksjon relativt raskt uten tradisjonelle prosesser med adskillelse som nevnt i 2.1.6 Av navnet ser man at det tradisjonelle skillet på utvikling («Development») og drift («Operations») viskes ut, ofte også organisatorisk. Dersom virksomheten benytter DevOps bør man være ekstra påpasselig med at det ikke innføres sårbarheter som kan påvirke forretningsprosesser. Akkurat som utvikling og drift blir mer automatisert, så bør sikkerhetsprosedyrene for å identifisere programvarekode med sårbarheter også i økende grad automatiseres. Som minimum bør man være mer grundig med kode som har spesiell betydning for sikkerheten.
Lenker
NSM – Temarapport om tjenesteutsetting
Datatilsynet – Programvareutvikling med innebygd personvern
Fagsider om offentlige anskaffelser
Veileder om ivaretakelse av sikkerhet i offentlige anskaffelser
UK GOV: https://www.ncsc.gov.uk/collection/developers-collection
UK GOV: https://www.ncsc.gov.uk/collection/application-development
CIS CSC 18 - Application Software Security
Common Criteria
OWASP Top Ten
Sikkerhetskonferansen 2023
"Nasjonal sikkerhetsmyndighet (NSM) 2023"
▼
https://nsm.no/kurs-og-konferanser/sikkerhetskonferansen/foredragsholdere-sikkerhetskonferansen-2023/
Risiko 2023: Uforutsigbare tider krever høyere beredskap
https://nsm.no/aktuelt/risiko-2023-uforutsigbare-tider-krever-hoyere-beredskap
NSM-rapporten «Risiko» er én av tre offentlige trussel- og risikovurderinger som utgis i første kvartal hvert år. Årets rapport "Risiko 2023" kommer ut under en mer urolig og uforutsigbar sikkerhetspolitisk situasjon enn på mange år.
Last ned rapporten: Risiko 2023
Sikkerhetskonferansen 2022
"Nasjonal sikkerhetsmyndighet (NSM) 2022"
▼
Kan nasjonal sikkerhet være en dugnad?
https://nsm.no/kurs-og-konferanser/sikkerhetskonferansen/2022/program/kan-nasjonal-sikkerhet-vare-en-dugnad
Alt man ikke ser – status sikkerhet i dagens Norge.
https://nsm.no/kurs-og-konferanser/sikkerhetskonferansen/2022/program/alt-man-ikke-ser-status-sikkerhet-i-dagens-norge
- gjelder Folkeretten i det digitale domenet?
https://nsm.no/kurs-og-konferanser/sikkerhetskonferansen/2022/program/det-fjerde-krigsdomenet-gjelder-folkeretten-i-det-digitale-domenet
" Foredragsdugnaden"
▼
https://norsis.no/nasjonal-sikkerhetsmaned/foredragsdugnaden/
Sikkerhetskonferansen 2021
"Den nya oredans tid"
▼
▲ Foredrag av Carl Bildt Tidligere statsminister og utenriksminister, Sverige (Se video i lenken det er henvist til). (English)
▼
Carl Bildt has served as both Prime Minister (1991-1994) and Foreign Minister (2006-2014) of Sweden. During the first period his government initiated major liberal economic reforms, as well as negotiated and signed membership agreement with the European Union. The reform period in the early and mid-1990's is generally seen as having pave the way for the successful growth decades that followed. Subsequently he served in international functions with the EU and UN, primarily related to the conflicts in the Balkans. He was Co-Chairman of the Dayton peace talks on Bosnia and become the first High Representative in the country. Later, he was the Special Envoy of UN Secretary General Kofi Annan to the region. Carl Bildt was an early advocate of the new ICT technologies. An 1994 email exchange between him and President Clinton was the first between heads of state/governments. After stepping down as leader of the Moderate Party of Sweden in 1999 and leaving Parliament in 2000 he was also engaged in corporate boards in Sweden and the US as well as different international think-tanks. Returning as Foreign Minister of Sweden in 2006, he come to be seen as one of the most prominent and vocal of European foreign ministers during those years. He was one of the initiators of EU:s Eastern Partnership, and pushed the EU forward also on issues of the Middle East. Currently he is Co-Chair of the European Council on Foreign Relations, contributing columnist to Washington Post as well as monthly columnist for Project Syndicate. He recently chaired the Global Commission on Internet Governance. He serves as one of the Senior Advisors to the Wallenberg Foundations in Sweden and is on the Board of Trustees of the RAND Corporation in the US.
Sikkerhetskonferansen 2020
2020
▼
Grunnleggende nasjonale funksjoner og veien videre
Hva er en GNF og hvorfor er de viktige for sikkerheten i samfunnet? Temaet er det pågående arbeidet med å identifisere Grunnleggende Nasjonale Funksjoner (GNF) iht den nye sikkerhetsloven.
Fagdirektør Roar Thon i samtale med seniorrådgiver Christer Tjessem i NSM.
Grunnprinsipper fysisk sikkerhet
NSM kommer snart med sine Grunnprinsipper Fysisk sikkerhet - Hva er det og hvordan kan det bidra til økt sikkerhet?
Fagdirektør Roar Thon i samtale med rådgiver Hege Lindborg i NSM.
Grunnprinsipper IKT 2.0
NSM kommer snart med versjon 2.0 av sine Grunnprinsipper IKT sikkerhet – Hva er nytt i versjon 2.0 og hva er veien videre?
Fagdirektør Roar Thon i samtale med senioringeniør John Bothner og seniorrådgiver Are Søndenaa i NSM.
Grunnprinsipper Personellsikkerhet
NSM kommer snart med sine Grunnprinsipper Personellsikkerhet – Hva er det, og hva inneholder de. Hva kan virksomheter gjøre for å sikre seg bedre mot innsiderrisikoen.
Fagdirektør Roar Thon i samtale med orlogskaptein Lars Jørgen Løland i NSM.
Grunnprinsipper Sikkerhetsstyring
NSM kommer snart med sine Grunnprinsipper for Sikkerhetsstyring - Hva er det og hvordan kan det styrke sikkerheten i norske virksomheter.
Fagdirektør Roar Thon i samtale seniorrådgiver Kristian Friid-Hauglund i NSM.
Sikkerhet i anskaffelser
Hva bør virksomheter gjøre knyttet til sikkerhet når de skal igjennom store anskaffelser og hva gjør NSM?
Fagdirektør Roar Thon i samtale med seksjonssjef Dag Sandham i NSM.
Hvis fienden kaprer dronen
Droner og ubemannede systemer – Hvor godt er de sikret, og hva skjer om fienden kaprer dronen?
Fagdirektør Roar Thon i samtale med forsker Martin Strand fra FFI.
Håndtering av uønskede hendelser
Hva er hendelseshåndtering og hvordan kan virksomheter forbedre sin evne til å håndtere hendelser når noe skjer.
Fagdirektør Roar Thon i samtale med seniorrådgiver Henning Køhler Knutsen i NSM.
