FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.1.5 Benytt en metode for sikker utvikling av programvare for å redusere sårbarhetene i

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Sikker utviklingsmetode for programvare

Kilden beskriver en metode for sikker utvikling av programvare som skal redusere sårbarheter. Poenget er at sikkerhet må inn allerede i planlegging, kravstilling, design, utvikling, testing, implementering og forvaltning. For anskaffelser betyr dette at sikkerhet ikke bare er et drifts- eller etterkontrollspørsmål. Krav til sikker koding, testing, oppdateringer og videreutvikling må tenkes gjennom før kontrakten inngås og når løsningen tas i bruk. Teksten peker også på at virksomheten må planlegge for opplæring, sikkerhetsoppdateringer og støtte for nyere sikkerhetsfunksjonalitet. Det er derfor et grunnlag for å stille krav til både leveranse, vedlikehold og videre sikkerhetsmessig forvaltning av programvaren.

Betydning for anskaffelser

Brukes når anskaffelsen gjelder utvikling, tilpasning, leveranse eller forvaltning av programvare der sårbarheter må reduseres gjennom styrte prosesser. Kilden er relevant ved kravspesifikasjon, konkurransegrunnlag, kontraktsvilkår, akseptansetest, idriftsetting og oppfølgning av sikkerhetsoppdateringer og videreutvikling. Den er også relevant ved vurdering av om sikkerhetskrav er omtalt tidlig nok og om anskaffelsen dekker hele livsløpet til programvaren.

Sentrale kildepunkter

  • Metoden skal redusere sårbarheter i programvaren.
  • Planleggingen skal ta hensyn til virksomhetens behov, rammebetingelser, IKT-sikkerhet og opplæringsbehov.
  • Brukerbehov skal analyseres med IKT-sikkerhetskrav som del av grunnlaget.
  • Programvaren skal designes etter fastsatte krav.
  • Utvikling skal omfatte sikker koding og testing.
  • Programvaren skal implementeres og idriftsettes kontrollert.
  • Forvaltningen skal planlegge sikkerhetsoppdateringer og støtte for nyere sikkerhetsfunksjonalitet.
Fulltekst

rammebetingelser, IKT-sikkerhets hensyn og behov for opplæring av personell. b) Analyse av brukerbehov, inkludert IKT-sikkerhetskrav. c) Design av programvare basert på fastsatte krav, d) Utvikling av programvaren, inkludert sikker koding og testing (se 2.1.6 og 2.1.7). e) Implementasjon og idriftsetting av programvaren. f) Sikkerhetsmessig forvaltning av programvaren, bl.a. i) planlegge for gjennomføring og distribusjon av sikkerhetsoppdateringer og ii) planlegge støtte for nyere og mer tidsriktig sikkerhetsfunksjonalitet.