FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.2.3 Del opp virksomhetens nettverk etter virksomhetens risikoprofil

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Deling av nettverk i sikkerhets-soner

Kilden beskriver hvordan virksomheten bør dele opp nettverket etter risiko, funksjon og rolle. Poenget er å skille ulike typer trafikk og systemer fra hverandre, for eksempel administrative systemer, klienter, produksjonssystemer, gjestenett og eksternt tilgjengelige tjenester. Dette gir et praktisk grunnlag for å stille krav til nettverksarkitektur i anskaffelser, særlig der løsningen skal håndtere ulike sikkerhetsnivåer eller mange brukergrupper. Oppdelingen skal brukes aktivt til å styre dataflyt. Teksten viser også at sonedeling kan gjennomføres med flere tekniske løsninger, som VLAN, virtualiserte nett eller mikrosegmentering. Den trekker frem sentral drift av sonene som et organisatorisk grep.

Betydning for anskaffelser

Kilden er relevant når anskaffelsen gjelder IKT-løsninger, drift eller infrastruktur der leverandøren må levere et nettverk med oppdeling i soner og kontrollert dataflyt. Den er særlig nyttig ved kravspesifikasjon, sikkerhetskrav, arkitekturvalg og vurdering av om løsningen skiller mellom administrasjon, drift, produksjon, gjester og eksterne tjenester. Den er også relevant når man skal beskrive hvordan sikkerhetsnivå og funksjoner skal separeres i kontrakten.

Sentrale kildepunkter

  • Nettverket bør deles opp etter virksomhetens risikoprofil.
  • Soner kan opprettes for ulike roller og funksjoner, blant annet administrasjon, klienter, produksjon og gjestenett.
  • Eksternt tilgjengelige tjenester bør vurderes lagt i egne soner.
  • Sonedeling kan gjennomføres på flere måter, blant annet med VLAN, virtualiserte nett og mikrosegmentering.
  • Valgt soneoppdeling skal brukes til å styre dataflyt.
  • Drift av soner bør skje sentralt, ikke lokalt på hver svitsj.
  • Mer finmasket oppdeling kan vurderes, for eksempel per avdeling eller per gruppe av enheter.

Berørte bestemmelser

  • LOA § § 5d – Kilden gjelder sikker organisering av IKT-løsninger og er relevant som bakgrunn for sikkerhetskrav i anskaffelsen.
  • FOA § kapittel om kravspesifikasjon og kontraktsvilkår – Teksten kan brukes ved utforming av tekniske og funksjonelle krav til nettverksdeling, soner og dataflyt.
Fulltekst

egne soner for system-administrasjon, applikasjons-servere, virksomhets-driftede klienter, industri-produksjon (f.eks. SCADA og industrielle kontrollsystemer), internett-aksess, trådløse nett, gjeste-klienter og eksternt tilgjengelige tjenester (f.eks. webserver). I datasentre kan servere deles opp i sikkerhetsmessige grupper som data-sone (nytte-trafikk), kontroll-sone (styring av nettverket) og drifts sone (manuell drift). Man kan og vurdere en nettverksarkitektur med enda mer finmasket oppdeling av soner, f.eks. pr. avdeling, eller hver gruppe av enheter. Merk at oppdeling i soner kan skje på flere måter: VLAN-soner, virtualiserte nett, mikrosegmentering, mm. Drift av soner bør skje sentralt, ikke lokalt på hver svitsj. Bruk den valgte soneoppdelingen til å styre dataflyt, se prinsipp 2.5 - Kontroller dataflyt.