FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.2.2 Bygg IKT-systemet med IKT-produkter som fungerer godt sammen sikkerhetsmessig.

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

IKT-produkter som fungerer sikkerhetsmessig sammen

Kilden gir et praktisk sikkerhetsprinsipp for sammensetning av IKT-løsninger: Produktene bør velges og settes sammen slik at de støtter hverandre sikkerhetsmessig. Det peker særlig på modulbaserte produkter, bruk av bransjestandarder for sikkerhetsfunksjoner og felles håndtering av identiteter. Poenget er å redusere behovet for særskilte produktløsninger som ikke passer sammen med resten av sikkerhetsarkitekturen. For anskaffelser betyr dette at krav, kriterier og kontraktsvilkår bør vurderes i lys av samspill mellom produkter, ikke bare enkeltproduktets funksjoner.

Betydning for anskaffelser

Brukes ved utforming og vurdering av krav til IKT-anskaffelser der samvirke mellom produkter, identitetsforvaltning og sikkerhetsfunksjoner er sentralt. Relevansen ligger i valg av produktarkitektur, kravspesifikasjon og kontroll av om ulike leverandørers produkter kan brukes sammen uten å svekke sikkerheten.

Sentrale kildepunkter

  • Produktene bør være modulbaserte, med mulighet til å aktivere bare nødvendig funksjonalitet.
  • Produktene bør følge bransjestandarder mest mulig for sikkerhetsfunksjoner.
  • Sikkerhetsfunksjonene omfatter tilgangskontroll, logging, drift, kodekontroll, ressursstyring og tilgjengelighetsfunksjoner.
  • Produktene bør fungere godt sammen sikkerhetsmessig, også når de kommer fra ulike leverandører.
  • IKT-produkter bør gjenbruke identiteter fra en felles kilde i stedet for å ha egne produkt- eller applikasjonsspesifikke identiteter.

Berørte bestemmelser

  • NSM: GRUNNPRINSIPPER FOR IKT-SIKKERHET § 2.2.2 – Kapittelet beskriver hvordan IKT-systemet bør bygges opp med produkter som fungerer sammen sikkerhetsmessig.
Fulltekst

b) Produkter bør følge bransjestandarder mest mulig mht. sikkerhetsfunksjoner som tilgangskontroll, logging, drift, kodekontroll, ressursstyring og tilgjengelighetsfunksjoner slik at de fungerer godt med andre sikkerhetsfunksjoner, se 2.2.1. c) Produkter bør (selv om de er fra ulike leverandører) fungere godt sammen sikkerhetsmessig. Spesielt bør IKT-produkter gjenbruke identiteter (til brukere og enheter) hentet fra en felles kilde av virksomhetens identiteter, i stedet for å implementere egne produkt- eller applikasjonsspesifikke identiteter.