2.3.4 Etabler og vedlikehold standard sikkerhetskonfigurasjoner, dvs. ideelt sett en standard pr. type

FOA-vurdering

Standard sikkerhetskonfigurasjoner og kontroll med endringer

Kapitlet beskriver et konkret sikkerhetstiltak: virksomheten bør ha standardiserte sikkerhetskonfigurasjoner per type enhet, med sentral drift og jevnlig oppdatering. Det skiller mellom hvem som skal styre konfigurasjonen og hvem som ikke skal kunne endre den. Endringer skal gå gjennom virksomhetens endringshåndtering og utføres av autorisert personell. Praktisk betyr dette at sikkerhetsnivået må være styrt, dokumentert og vanskelig å omgå på klientene. Poenget er å redusere risikoen for sårbarheter og uønskede endringer.

Betydning for anskaffelser

Brukes når anskaffelsen, kontrakten eller oppfølgingen gjelder drift, forvaltning eller sikkerhetskrav til IKT-utstyr, og det må bestemmes hvordan standardkonfigurasjoner, oppdateringer og tilgang til endringer skal håndteres. Relevans ved vurdering av krav til leverandør, intern rollefordeling, endringsprosesser og om sluttbrukere skal være sperret fra å endre sikkerhetsinnstillinger.

Sentrale kildepunkter

• Det bør være én standard sikkerhetskonfigurasjon per type enhet.
• Drift av sikkerhetskonfigurasjon bør være sentralisert og standardisert.
• Konfigurasjonen bør gjennomgås og oppdateres jevnlig.
• Endringer bør følge virksomhetens endringshåndtering og styres av autoriserte ansatte.
• Bare autorisert driftspersonale skal kunne endre sikkerhetskonfigurasjonen.
• Sluttbrukere skal ikke kunne endre sikkerhetskonfigurasjonen på sine klienter.

Berørte bestemmelser

• LOA § § 5d – Relevant som bakgrunn for sikkerhets- og beredskapshensyn i anskaffelser av IKT-løsninger.
• ANSKAFFELSESREGELVERKET § kontraktsvilkår / kravspesifikasjon – Brukes som praktisk grunnlag for å stille og følge opp krav til standardiserte sikkerhetskonfigurasjoner, endringskontroll og autorisert adgang.