FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.1.10 Undersøk sikkerheten hos tjenesteleverandør ved tjenesteutsetting

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Kontroll av sikkerheten hos tjenesteleverandør ved tjenesteutsetting

Kapitlet beskriver hva virksomheten bør undersøke hos en tjenesteleverandør før tjenesteutsetting. Poenget er å få fram om leverandøren faktisk har de sikkerhetsordningene som trengs for å levere tjenesten forsvarlig. Vurderingen favner både styringssystem for informasjonssikkerhet, innsyn i sikkerhetsarkitektur, overvåkning, hendelseshåndtering, beredskap, underleverandører og hva som skjer ved terminering av kontrakten. Teksten er derfor et praktisk grunnlag for kravstilling, leverandørkontroll og oppfølging i kontrakt. For DevOps/DevSecOps understrekes at raske kodeendringer og mer automatisering øker behovet for å oppdage sårbarheter tidlig og ha ekstra kontroll med kode som er viktig for sikkerheten.

Betydning for anskaffelser

Kilden brukes når anskaffelsen gjelder tjenesteutsetting, skytjenester eller andre IKT-tjenester hvor leverandørens sikkerhetsnivå må vurderes før valg og under kontraktsoppfølging. Den er relevant ved spørsmål om hvilke sikkerhetskrav som bør stilles, hvordan leverandørens sikkerhetsmodenhet kan dokumenteres, og hvilke rutiner som må være på plass for hendelser, beredskap, underleverandører og avslutning av kontrakten.

Sentrale kildepunkter

  • Leverandøren bør ha et etablert styringssystem for informasjonssikkerhet og eventuell sertifisering etter internasjonale standarder.
  • Det bør undersøkes om virksomheten får innsyn i sikkerhetsarkitekturen som brukes for å levere tjenesten.
  • Leverandøren bør ha planer for videre utvikling av sikkerhetsfunksjonalitet i takt med teknologi og trusselbilde.
  • Det bør avklares hvem som får innsyn i virksomhetens informasjon, hvordan den behandles og lagres, og hvilken segregering som finnes mot andre kunder.
  • Leverandøren bør ha sikkerhetsovervåkning, rutiner for hendelseshåndtering og avviks- og sikkerhetsrapportering.
  • Krise- og beredskapsplaner hos leverandøren skal harmonisere med virksomhetens egne planer.
  • Det bør finnes godkjenningsprosedyrer for underleverandører og deres underleverandører.
  • Kontrakten bør spesifisere aktiviteter ved terminering, herunder tilbakeføring, flytting og sletting av virksomhetens informasjon.

Berørte bestemmelser

  • LOA § § 5 – Kilden gjelder sikkerhetsmessige hensyn i anskaffelser og leverandørkontroll ved tjenesteutsetting.
  • LOA § § 5d – Særlig relevant ved sikkerhet/beredskap i offentlige anskaffelser og krav til ivaretakelse av sikkerhet.
  • FOA § § 7-9 – Relevant som mulig sammenheng med sikkerhetskrav; om teksten viderefører eller skiller seg fra gjeldende regulering må vurderes særskilt.
Fulltekst

2.2. Etabler en sikker IKT-arkitektur

Målet med prinsippet: Virksomheten har etablert en helhetlig sikkerhetsarkitektur som ivaretar ønsket sikkerhetsnivå gjennom gode sikkerhetsfunksjoner og sikkerhetsstrukturer med mulighet for etterprøvbarhet. Hvorfor er dette viktig? En angriper går minste motstands vei for å komme inn i og få kontroll over et informasjonssystem. Dersom man har en dårlig planskisse før bygging, lite kontroll på byggeprosessen og manglende vedlikehold etter at det er bygget, vil det være mange huller og inngangsdører som en angriper kan benytte. Et IKT-system må planlegges og bygges på en sikker måte. Viktige momenter er: • Et IKT-system inneholder mange sikkerhetsfunksjoner (se 2.2.1) og mange forskjellige IKT- produkter, ofte fra forskjellige produsenter. Alle disse må fungerer godt og sikkert sammen, ellers risikerer man dobbeltarbeid og økt fare for menneskelige feil i forbindelse med drift. Dette fører ofte til økt mengde av sårbarheter som en angriper kan utnytte. En klassisk feil er å forvalte egen brukerdatabase i en applikasjon i stedet for å gjenbruke brukerdatabasen som er felles for hele IKT-systemet. Dette kan føre til mange feil og glemte kontoer som kan misbrukes av angripere. • Drift og sikkerhetskonfigurasjon bør skje sentralt og likt per type enhet. Ellers risikerer man dobbeltarbeid, menneskelige feil og flere sårbarheter. • IKT-systemet bør deles opp i forskjellige deler avhengig av tillitsnivå. Slik oppdeling bør etableres for nettverk, samt for logiske deler (f.eks. i en domenearkitektur). Hvis man ikke gjør dette kan konsekvenser i forbindelse med et angrep eller menneskelig driftsfeil omfatte hele virksomheten, i stedet for kun en begrenset del. Anbefalte tiltak: Etabler en sikker IKT-arkitektur ID Beskrivelse