FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.3.1 Etabler et sentralt styrt regime for sikkerhetsoppdatering

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Sentralt regime for sikkerhetsoppdatering

Kapitlet anbefaler at virksomheten styrer sikkerhetsoppdateringer samlet og etter en tydelig prioritering. Klienter, servere, skrivere og nettverksenheter nevnes som utstyr som må følges opp systematisk. Det praktiske poenget er at oppdateringer ikke skal skje tilfeldig eller lokalt uten styring. Det bør finnes faste rutiner for hvor ofte oppdateringer gjennomføres, hvem som har ansvar, og hva som skjer når en oppdatering må utsettes eller ikke lar seg gjennomføre. Teksten peker også på at virksomheten bør automatisere og forenkle prosessen, og at vanskelig oppdaterbart utstyr bør isoleres. Det er dermed en veiledning om organisering av sårbarhetsoppfølging, ikke bare en teknisk anbefaling.

Betydning for anskaffelser

Brukes når anskaffelsen, driften eller kontraktsoppfølgingen gjelder utstyr og programvare som må holdes oppdatert. Relevansen er størst ved krav til sikkerhetsoppdateringer, ansvarsdeling, rutiner for utsatte oppdateringer, automatisering og håndtering av komponenter som er vanskelige å oppdatere. Teksten er også relevant ved vurdering av om leveransen bør deles opp, isoleres eller ha særskilt oppfølgingsregime i drift.

Sentrale kildepunkter

  • Sikkerhetsoppdateringer skal styres sentralt, ikke ad hoc.
  • Operativsystem og applikasjoner på klienter bør prioriteres.
  • Servere med standard applikasjoner og operativsystem bør oppdateres.
  • Skrivere og nettverksenheter som svitsjer og rutere omfattes av prioriteringen.
  • Det skal finnes rutine for oppdateringsfrekvens og ansvar ved utsettelse.
  • Vanskelig oppdaterbart utstyr bør isoleres.
  • Prosessen for nye sikkerhetsoppdateringer bør automatiseres og forenkles.
Fulltekst

på de ansattes klienter bør prioriteres. Videre bør man oppdatere servere som inneholder standard applikasjoner og operativsystem, programvaren i skrivere, samt enheter som styrer virksomhetens nettverk (svitsjer, rutere). b) Etabler en rutine med klare ansvarsforhold for i) hvor ofte oppdateringer skal utføres (mye bør kunne automatiseres) og ii) ansvarlig rolle for oppfølging hvis en oppdatering ikke kan gjennomføres eller må utsettes. c) Isoler servere og annet som oppleves som vanskelig å holde oppdatert, se 2.5.4. d) Virksomheter bør automatisere og forenkle prosessen for å implementere nye sikkerhetsoppdateringer.