FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

I. Introduksjon

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

NSMs grunnprinsipper for IKT-sikkerhet som utgangspunkt for IKT-anskaffelser

Kapitlet forklarer at grunnprinsippene er et sett med anbefalte tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade og misbruk. For anskaffelser betyr det at sikkerhet må vurderes både når virksomheten bruker egne systemer og når IKT-tjenester tjenesteutsettes eller kjøpes inn. Veilederen sier uttrykkelig at grunnprinsippene kan brukes som hjelp ved kjøp av IKT-tjenester. Den peker også på at det man ikke får avklart i forkant av tjenesteutsettingen, kan være vanskelig å få gjennomført senere i kontraktstiden. Kapitlet er derfor viktig som bakgrunn for kravstilling, risikovurdering, bestillerkompetanse og valg av sikkerhetstiltak i anskaffelser, særlig der flere leverandører, skytjenester eller lange digitale verdikjeder er involvert.

Betydning for anskaffelser

Brukes når anskaffelsen gjelder IKT-tjenester, skytjenester eller annen tjenesteutsetting, og spørsmålet er hvilke sikkerhetskrav som bør avklares før kontrakt inngås. Kilden er relevant ved vurdering av behov for risikovurdering, krav til leverandør, valg av sikkerhetstiltak, organisering av beslutninger og om virksomheten er rigget for å håndtere hele tjenesteutsettingsprosessen. Den er også relevant når man vurderer om manglende tiltak må kompenseres i krav, kontraktsvilkår eller styring.

Sentrale kildepunkter

  • Grunnprinsippene er anbefalte tiltak, ikke bindende regeltekst.
  • De skal hjelpe virksomheter å sikre informasjonssystemer mot uautorisert tilgang, skade eller misbruk.
  • Kildens uttalte formål er å støtte virksomheten ved kjøp av IKT-tjenester.
  • Tjenesteutsetting krever oversikt over hele livsløpet før beslutning tas.
  • Virksomheten bør ha god bestillerkompetanse og gode risikovurderinger før anskaffelse.
  • Det som ikke avklares i forkant, kan bli vanskelig å gjennomføre senere i kontraktstiden.
  • Tiltakene er relevante både for egen drift og når én eller flere IKT-tjenester forvaltes av tredjepart.
  • Grunnprinsippene kan brukes som basis for krav, prioritering og styring av sikkerhetsarbeidet.

Berørte bestemmelser

  • ANSKAFFELSESREGELVERKET – Kilden brukes ved kjøp av IKT-tjenester og ved kravstilling i anskaffelses- og utviklingsprosesser.
  • SIKKERHETSSTYRING – Teksten peker på ledelsesforankring, risikotoleranse, styringsstrukturer og rapportering som del av sikkerhetsarbeidet.
  • KONTRAKTSOPPFØLGING – Veilederen fremhever at forhold som ikke avklares før tjenesteutsetting kan være vanskelige å få gjennomført senere.
Fulltekst

NSMs grunnprinsipper for IKT-sikkerhet er et sett med prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. De er relevante for alle virksomheter. Digitalisering skaper nye muligheter, men kan også øke risiko Samfunnet er i konstant endring. Flere virksomheter tar i bruk ny teknologi og digitaliserer hele eller deler av prosessene sine. Endringer skjer stadig hurtigere og virksomheters IKT-portefølje består av både nye og gamle systemer som er basert på ulik teknologi og som må fungere sammen. Flere virksomheter tar i tillegg i bruk skytjenester som ofte driftes av flere ulike leverandører. Økende bruk av digitale tjenester kan føre til enklere drift, bedre mobilitet, økt produktivitet og mer automatisert sikkerhet for virksomheter. Digitalisering kan samtidig føre til økende kompleksitet, flere verdier som eksponeres på offentlige, usikrede nett og lange digitale verdikjeder som det er vanskelig å ha oversikt over. Mange virksomheter vet ikke hvor de skal starte Hvordan skal virksomheter sørge for at kunnskap er oppdatert og teknologien relevant når informasjonssystemer utvikler seg hurtig, med tilsynelatende uendelig antall mulige løsninger? Hva er de mest kritiske områdene vi bør adressere, og hvor skal virksomheten starte? Hvordan sikre at vi starter i riktig ende, med de mest grunnleggende stegene, og sørge for at fundamentale prinsipper for å sikre, vedlikeholde, monitorere og forbedre IKT-systemene kommer på plass? Det er ingen mangel på tilgjengelig informasjon om hvordan en virksomhet skal sikre sine informasjonssystemer. Samtidig må den enkelte virksomhet forholde seg til ulike regelverk, bransjenormer og interne og eksterne leveransekrav. All denne informasjonen kan fort bli en jungel av konkurrerende muligheter og krav som distraherer beslutningstakere fra å ta riktige valg. NSMs grunnprinsipper for IKT-sikkerhet vil være en hjelp i digitaliseringen NSMs grunnprinsipper for IKT-sikkerhet er et sett med anbefalinger for hvordan virksomheter kan sikre sine informasjonssystemer. Hvilke anbefalinger som er relevante vil variere fra virksomhet til virksomhet. For store virksomheter vil de fleste tiltakene være relevante, mens mindre virksomheter i større grad må prioritere. Grunnprinsippene kan danne en basis for bransjenormer og kan utdype IKT- anbefalinger i sektorregelverk. De kan benyttes i egen virksomhet og være til hjelp ved kjøp av IKT- tjenester. NSMs grunnprinsipper for IKT-sikkerhet er ment å være levende og tidsaktuelt og vil oppdateres ved behov. NSM takker alle bidragsytere som har hjulpet til med utvikling, innspill og forbedringer av dokumentet. Hvem er målgruppen? Hvilke virksomheter er grunnprinsippene relevante for? NSMs grunnprinsipper for IKT-sikkerhet er utarbeidet i samarbeid med virksomheter som forvalter kritiske samfunnsfunksjoner og/eller kritisk infrastruktur. Dette er også hovedmålgruppen for prinsippene, men de er relevant for alle offentlige og private virksomheter. Dette gjelder både for virksomheter som selv forvalter informasjonssystemer og virksomheter der en eller flere IKT-tjenester forvaltes av en tredjepart. Hvilke roller i virksomheten er grunnprinsippene laget for?

I den enkelte virksomhet er forretnings- og IT-ledelsen ofte bindeleddet mellom toppledelse og

implementasjons- og driftsnivå, som vist i Figur 1. De er hovedmålgruppen for NSMs grunnprinsipper. Det inkluderer systemeiere, sikkerhetsledere og forretnings- og prosesseiere. Under forklares de ulike nivåene og hvordan grunnprinsippene kan bidra til bedret informasjonsflyt om sikkerhetstilstanden i virksomheten. Figur 1 - Informasjonsflyt i en virksomhet Toppledelsen har fokus på organisatorisk risiko. De fastsetter forretningsprioritet, kommuniserer virksomhetens risikotoleranse og tildeler budsjettmidler til forretnings- og IT-ledelse. Det er avgjørende at toppledelsen tar eierskap til og involverer seg i sikkerhetsarbeidet i egen virksomhet. De ulike kategoriene og prinsippene i NSMs grunnprinsipper for IKT-sikkerhet kan benyttes som styringsparameter i dette arbeidet. Forretnings- og IT-ledelsen fastsetter retningslinjer for informasjonssikkerhet og fordeler budsjettmidler basert på ledelsens prioriteringer. Forretnings- og prosesseiere kjenner virksomhetens leveranser best og bør bidra i fastsettelsen av krav og retningslinjer. Hvert prinsipp i grunnprinsippene inneholder tiltak som beskriver hva en virksomhet bør gjøre for å sikre informasjonssystemer og verdier. Forretnings- og IT-ledelsen må samtidig kommunisere et oppdatert status- og risikobilde til toppledelsen og forklare hvorfor tiltakene er nødvendige. Grunnprinsippene vil være til støtte i denne arbeidet fordi det beskrives hvorfor de ulike prinsippene er viktige. Implementasjons- og driftsnivå etablerer og vedlikeholder sikkerhetstiltakene basert på ledelsens retningslinjer og valg. Denne gruppen kan benytte tiltakene i grunnprinsippene for å vurdere hva som kan og bør implementeres. Status og endringer for implementasjonen rapporteres oppover til ledelsen. Hva er NSMs grunnprinsipper for IKT-sikkerhet? NSMs grunnprinsipper for IKT-sikkerhet er en samling med prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. Samlingen er basert på NSMs erfaringer og tilbakemeldinger fra en rekke offentlige og private virksomheter. Ved å implementere de anbefalte tiltakene vil virksomheter etablere et godt forsvar mot cybertrusler, men det er ingen garanti for at de ikke blir rammet. Grunnprinsippene fokuserer på teknologiske og organisatoriske tiltak. Tiltak som dekker fysisk sikkerhet og det menneskelige perspektiv omtales i liten grad. Tiltakene gjelder for både utilsiktede og tilsiktede handlinger, men hovedfokus er på tilsiktede handlinger. Grunnprinsippene erstatter ikke virksomhetens sikkerhetsstyringsarbeid. Viktige suksessfaktorer for å lykkes med implementeringen er involvering fra ledelsen, IKT-sikkerhetskompetanse i virksomheten og etablerte styrings- og rapporteringslinjer, se Figur 1. Valg av sikkerhetstiltak baseres på virksomhetens ordinære risikoarbeid, men grunnprinsippene kan hjelpe til med utvelgelsen. En virksomhet som ikke implementerer et anbefalt sikkerhetstiltak kan ha en økt risiko som må håndteres. Denne risikoen må vurderes opp mot virksomhetens risikotoleranse, i tillegg til krav i lovverk, bransjenormer og avtaler. Dersom risikoen ikke kan aksepteres, må kompenserende tiltak vurderes. Grunnprinsippene er fordelt på fire kategorier

1. Identifisere og kartlegge – opparbeide og forvalte forståelse om virksomheten inkludert

styringsstrukturer, ledelsesprioriteringer, leveranser, IKT-systemer og brukere. Dette er grunnlaget for en effektiv implementering av de øvrige grunnprinsippene. Hensikten er å forstå virksomhetens leveranser og tjenester, få oversikt over hvilke teknologiske ressurser som må sikres og de roller og brukere virksomheten består av. Dette gjør det mulig å fokusere og prioritere sikkerhetstiltakene i tråd med forretningsbehov og strategi for risikostyring. Kategorien fokuserer også på å etablere prosesser for å forvalte kunnskapen over tid.

2. Beskytte og opprettholde – ivareta en forsvarlig sikring av IKT-systemet og opprettholde den sikre

tilstanden over tid og ved endringer. Her finnes prinsippene for å etablere en sikker tilstand for IKT- systemet for å motstå eller begrense skaden fra dataangrep. Det innebærer å sikre hvordan IKT- systemet anskaffes, planlegges, bygges og konfigureres slik at ønsket sikkerhet oppnås.

3. Oppdage – oppdage og fjerne kjente sårbarheter og trusler og etablere sikkerhetsovervåking.

Prinsippene i denne kategorien fokuserer på å oppdage og fjerne kjente sårbarheter og trusler gjennom sårbarhetskartlegging og overvåking av IKT-systemet. Kategorien tar også for seg å oppdage avvik fra ønsket, sikker tilstand, gjennom analyse av data fra sikkerhetsovervåking for å oppdage avvik fra normaltilstand.

4. Håndtere og gjenopprette – håndtere sikkerhetshendelser effektivt. Hensikten med disse

prinsippene er å få på plass aktiviteter for å håndtere hendelser. Dette innebærer å forberede seg på, vurdere, kontrollere og håndtere hendelser, gjenopprette normaltilstand, samt forbedre sikkerheten basert på erfaringer fra hendelseshåndteringen. Figur 2 - Oversikt over NSMs grunnprinsipper for IKT-sikkerhet. Oppbygning av prinsipper Hvert grunnprinsipp er en kontinuerlig aktivitet som pågår i hele informasjonssystemets levetid, fra planlegging og etablering til avhending. Prinsippene har følgende oppbygning: • Grunnprinsippet (overskriften) – et anbefalt prinsipp som virksomheter bør følge. • Mål med prinsippet – beskriver hva man skal oppnå ved å innføre grunnprinsippet. • Hvorfor er dette viktig? – beskriver hvorfor grunnprinsippet er viktig og mulige konsekvenser dersom grunnprinsippet ikke er implementert. • Anbefalte tiltak - beskriver sikkerhetstiltak en virksomhet bør gjøre for å følge grunnprinsippet. • Utdypende informasjon – beskriver «kjekt-å-vite-informasjon» om prinsippet og lenker hvor man kan finne utdypende informasjon. Andre relevante råd og anbefalinger Det finnes en rekke andre relevante styringsrammeverk, tiltaksrammeverk og tekniske veiledere som kan benyttes sammen med NSMs grunnprinsipper. Under hvert grunnprinsipp er det listet opp relevante lenker som kan utdype eller supplere tiltakene. Eksempler på styringsrammeverk og veiledninger er: • NSMs veileder i sikkerhetsstyring – utarbeidet for virksomheter som er omfattet av sikkerhetsloven. • Digitaliseringsdirektoratets internkontrollveileder – utarbeidet for virksomheter innen offentlig sektor. • ISO/IEC 27001 – internasjonal standard som beskriver et ledelsessystemer for informasjonssikkerhet. • ITIL (Information Technology Infrastructure Library) – et rammeverk for kvalitetssikring av leveranse, drift og support innen IT-sektoren. Eksempler på tiltaksrammeverk er: • ISO/IEC 27002 • CIS Critical Security Controls (CIS Controls) • UK NCSC - Cyber Essentials og Cyber Assessment Framework • NIST Cyber Security Framework (NIST CSF) • NIST SP 800-53 - Security and Privacy Controls for Information Systems and Organizations • Australian Government Information Security Manual (ISM). Begreper Følgende begreper er nyttig å kjenne til ved lesing av NSMs grunnprinsipper: • Enhet: For eksempel en klient, en server, en skriver, en sensor (f.eks. IoT-enhet) eller nettverksutstyr. Enheter kan være fysiske gjenstander, eller de kan være virtuelle enheter. Noen underkategorier av enheter benyttet i denne teksten er: - Forvaltede enheter: Enheter som kontrolleres og driftes av virksomheten. Hvis det er en klient så bør ikke brukeren kunne endre sikkerhetskonfigurasjonen. - Ikke-forvaltede enheter: Enheter som ikke er kontrollert av virksomheten. Det kan være private enheter («Bring Your Own Device» - BYOD), IoT-enheter, enheter delt ut av virksomheten, eller enheter til besøkende. Ikke-forvaltede enheter bør kun ha tilgang til en begrenset del av virksomhetens infrastruktur. - Mobile enheter: Alle flyttbare enheter (primært klienter), som benyttes både innenfor og utenfor virksomhetens lokaler. - Klient: En datamaskin som benyttes av sluttbrukere, for eksempel en «PC», «MAC», mobiltelefon, nettbrett eller virtuell klient («Virtual Desktop»). - Server/Tjener: En datamaskin som typisk kjører i et datarom eller datasenter og som kjører applikasjoner eller infrastruktur-tjenester. En server kan være både fysisk og virtuell. De fleste moderne fysiske servere kjører en «hypervisor» som er en plattform for virtuelle servere og/eller «containere». - Virtuelle enheter: Enheter som er virtuelle, og ikke fysiske. Det kan være: virtuelle servere, virtuelle klienter (desktops) og virtuelle nettverkskomponenter (f.eks. virtuelle svitsjer). • Godkjentlisting: Et prinsipp hvor tillatte handlinger eller hendelser spesifiseres. Handlinger/hendelser som ikke er eksplisitt tillatt blir automatisk sperret. Blokkerinslisting vil til forskjell si å liste opp handlinger som ikke er tillatt. Sistnevnte regnes som sikkerhetsmessig mindre effektivt enn godkjentlisting. • IaaS/PaaS/SaaS: Begreper som beskriver forskjellige modeller for virksomhetens egne eller innkjøpte virtualiseringstjenester. De mest vanlige modellene er Infrastructure as a Service (IaaS), Platform as a Service (PaaS) og Software as a Service (SaaS). • IKT-system: Maskinvare, programvare og tilknyttet infrastruktur. • Informasjonssystem: IKT-system, data og tjenestene det tilbyr, bruken av dette, samt menneskers interaksjon med IKT-systemet for å støtte opp under virksomhetsprosesser. • Sikkerhetshendelse: En avvikssituasjon hvor det er et potensiale for tap av konfidensialitet, integritet, og/eller tilgjengelighet for informasjon eller IKT-tjenester. En sikkerhetshendelse kan oppstå som følge av et dataangrep, teknisk svikt, eller utilsiktede feilhandlinger. • Sikker tilstand: Er det virksomhetsbestemte normalnivå for sikkerhet i virksomheten. Kategori 2 - Beskytte og opprettholde beskriver en mulig oppbygging av en sikker tilstand. • Sårbarheter: En sårbarhet i et IKT-system slik det er omtalt i disse grunnprinsippene kan være alt som kan utnyttes av en angriper av organisatoriske og tekniske art. Eksempler på tekniske sårbarheter er manglende oppdeling av nettverket, manglende kontroll på hvilken programvare brukere kan kjøre, mangelfull tilgangsstyring og manglende sikkerhetsoppdatering av enheter. Summen av alle sårbarheter omtales ofte som den mulige angrepsflaten («attack surface»). Menneskelige og fysiske sårbarheter må også vurderes, men omtales i liten grad i grunnprinsipper for IKT-sikkerhet. Bruk av tjenesteutsetting og skytjenester Offentlige og private virksomheter ser på IKT og bruken av IKT som en viktig del av virksomheten og realisering av sin strategi. Samtidig øker kostnader, ressursbruk og den generelle avhengigheten til leveranse av IKT-tjenester. Det er derfor et økende fokus på hvordan IKT-området utvikles og hvordan IKT-tjenestene kan leveres. For mange er konklusjonen å tjenesteutsette hele eller deler av tjenesteporteføljen til en eller flere leverandører. Med tjenesteutsetting menes her at virksomheten velger å anskaffe «varer eller tjenester» fra en ekstern leverandør i stedet for å levere dem selv. Et eksempel på tjenesteutsetting er anskaffelse av skybaserte tjenester. Sikkerhetstiltak er nødvendig, uavhengig av hvem som forvalter tjenestene. NSMs grunnprinsipper for IKT-sikkerhet er like relevante for IKT-tjenester som er tjenesteutsatt som for IKT-tjenester som forvaltes av virksomheten selv. Forskjellen er om man stiller krav til interne eller eksterne tjenesteleverandører. Før det foretas en strategisk beslutning om bruk av tjenesteutsetting, bør virksomheten vurdere om den er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess. For å ivareta IKT-sikkerheten ved tjenesteutsetting anbefales: 1) Oversikt og kontroll på hele livsløpet 2) God bestillerkompetanse 3) Gode risikovurderinger for å kunne ta riktig beslutning 4) Riktige og gode krav til IKT-tjenesten og til leverandør 5) Riktig beslutning på riktig nivå Det man ikke får gjort i forkant av tjenesteutsettingen kan bli utfordrende å få gjennomført senere i kontraktens varighet. Se prinsipp 2.1 - Ivareta sikkerhet i anskaffelses- og utviklingsprosesser samt NSMs samleside om tjenesteutsetting og sky-tjenester (www.nsm.no/sky).

1. Identifisere og kartlegge

1.1. Kartlegg styringsstrukturer, leveranser og

understøttende systemer Målet med prinsippet: Virksomheten identifiserer strukturer og prosesser for sikkerhets- og risikostyring for å styre arbeidet med sikring av IKT-systemene. Virksomheten kartlegger leveranser, informasjonssystemer og understøttende funksjoner og vurderer dette opp imot fastsatte toleransegrenser for risiko for å etablere og justere sikkerhetstiltak Hvorfor er dette viktig? Manglende styringsstrukturer og prosesser for risikovurdering kan føre til at ledelsen ikke får tilstrekkelig informasjon til å prioritere og styre virksomhetens sikkerhetsarbeid. Virksomhetens informasjonssystemer skal støtte opp under virksomhetens aktiviteter og leveranser slik at disse blir gjennomført i henhold til avtalt kvalitet. Virksomheten må identifisere, prioritere og beskytte sine viktigste leveranser. Ved manglende oversikt kan enkelte, mindre viktige deler av IKT- systemet være godt sikret, mens andre vitale deler er eksponert og sårbart for angrep. Både tilgjengelighet, integritet og konfidensialitet for informasjonssystemer og data må vurderes i virksomhetens sikkerhetsarbeid. Anbefalte tiltak: Kartlegg styringsstrukturer, leveranser og understøttende systemer ID Beskrivelse