FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.4.4 Aktiver brannmur på alle klienter og servere

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Brannmur som tiltak for kontrollert dataflyt og logging

Kilden beskriver et konkret sikkerhetstiltak: brannmur på klienter og servere skal brukes til å styre inn- og utgående trafikk. Den peker også på at brannmur kan brukes til å logge sikkerhetsrelevante hendelser, og at denne loggen bør kobles til virksomhetens øvrige løsninger for sikkerhetsovervåkning. Praktisk betyr dette at kontroll med trafikk og logging ses som del av samme sikkerhetstiltak: virksomheten skal kunne styre hva som får kommunisere, og samtidig få sporbarhet i det som skjer.

Betydning for anskaffelser

Kilden brukes når anskaffelsen gjelder IKT-sikkerhetstiltak, nettverkskontroll, logging eller krav til sikkerhetsovervåkning i klient-, server- eller skybaserte løsninger. Den er relevant ved utforming av krav, tildelingskriterier eller kontraktsvilkår om kontrollert dataflyt, sentralisert logging og integrasjon mot sikkerhetsovervåkning. Den er også relevant ved vurdering av om leveransen skal begrense lateral bevegelse i nettverk og samle hendelser fra flere endepunkter.

Sentrale kildepunkter

  • Brannmur skal regulere innkommende og utgående trafikk.
  • Brannmur kan brukes til å logge sikkerhetsrelevante hendelser.
  • Loggingen bør integreres med virksomhetens øvrige løsninger for sikkerhetsovervåkning.
  • Klient- og serverlogging bør samles i sentralisert virksomhetslogging.
  • Tiltaket gjelder uansett om infrastrukturen er fysisk eller virtualisert/skybassert.
  • Kontrollert dataflyt skal hindre spredning av kompromittering mellom enheter eller soner.

Berørte bestemmelser

  • LOA § § 5d – Kilden gjelder sikkerhetstiltak i anskaffelser der kontrollert dataflyt og logging kan inngå i sikkerhetskrav eller kontraktsvilkår.
  • FOA § kapittel om sikkerhet og anskaffelser – Kilden gir praktisk grunnlag for krav til brannmur, logging og sikkerhetsovervåkning i konkurransegrunnlag og kontrakt.
Fulltekst

2.5. Kontroller dataflyt

Målet med prinsippet: Virksomheten har kontroll på informasjonsflyten mellom ulike deler av systemer slik at enheter kun kan kommunisere sammen etter vedtatte regler. Virksomheten har også kontroll på informasjonsflyten inn og ut av virksomheten. Hvorfor er dette viktig? Et dataangrep starter ofte med overtakelse av en mindre viktig datamaskin. En angriper ønsker normalt å bevege seg videre til en annen del av nettverket for å øke sine rettigheter. Det er viktig med kontrollert dataflyt i virksomhetens systemer av flere grunner, blant annet for å: • hindre at kompromittering av enhet eller sone kan spre seg videre i nettverket. Med god kontroll på dataflyt kan man begrense skaden. • tvinge datatrafikk til å gå igjennom virksomhetens sikkerhetstiltak. • isolere enheter som er spesielt kritiske, sårbare eller eksponerte. Anbefalte tiltak: Kontroller dataflyt ID Beskrivelse Kontrollert dataflyt er viktig uansett hvor fysisk eller virtualisert («sky-basert») infrastruktur man har.