FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.6.1 Etabler retningslinjer for tilgangskontroll.

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Retningslinjer for tilgangskontroll og minste privilegium

Kapitlet beskriver hvordan tilgangsstyring bør organiseres i et IKT-miljø: hvem som skal ha tilgang, hvilke rettigheter som trengs, og hvordan tilganger skal kunne knyttes til ansvarlige personer og roller. Hovedpoenget er at tilganger skal begrenses til det som er nødvendig, og at kontoer, rettigheter og ansvar skal være sporbare og jevnlig gjennomgått. Dette har praktisk betydning ved etablering av rutiner, tildeling av tilgang og kontroll av drifts- og spesialbrukere. Teksten peker også på tiltak som gjenbruk av identiteter på tvers av systemer, personlig ansvar for passord og låsing av klienter når de forlates. Den brukes som bakgrunn for å formulere sikkerhetskrav, kontrollpunkter og kontraktsoppfølging i anskaffelser.

Betydning for anskaffelser

Kilden brukes når anskaffelsen eller leveransen gjelder tilgangsstyring, identitetsforvaltning, driftstilganger, privilegerte kontoer, sporbarhet og regelmessig revisjon av rettigheter. Den er relevant ved kravstilling, evaluering av sikkerhetsrutiner, kontraktsvilkår og kontroll av at leverandøren har begrenset og dokumentert tilgang til systemer og data.

Sentrale kildepunkter

  • Tilgangsregler bør omfatte brukere, klienter, fellesmapper, server-applikasjoner, servere, nettverksenheter, sikkerhetsenheter og databaser.
  • Minste privilegiums prinsipp: ingen skal ha flere rettigheter enn nødvendig.
  • Det holder ofte med lesetilgang; ikke alle trenger skrive-, slette- eller kjøre-rettigheter.
  • Alle kontoer bør kunne spores til en ansvarlig bruker, også upersonlige kontoer.
  • Tilganger og rettigheter bør være knyttet til ansvarlig rolle og person som godkjente dem.
  • Kontoer, tilganger og rettigheter bør revideres jevnlig, særlig for drift og spesialbrukere.
  • Passord er personlige og hemmelige og skal aldri deles.
  • Klienter bør låses når de forlates av bruker.

Berørte bestemmelser

  • NSMS GRUNNPRINSIPPER FOR IKT-SIKKERHET § 2.6.1 – Kilden fastsetter praktiske anbefalinger om tilgangskontroll, sporbarhet og revisjon av tilganger.
  • LOA § § 5d – Relevant som sikkerhets- og beredskapsforankring når anskaffelsen krever kontroll med tilgang til systemer og data.
Fulltekst

sikkerhetsenheter og databaser. b) Retningslinjene bør følge minste privilegiums prinsipp; ikke gi sluttbrukere, service-kontoer, utviklere eller driftsbrukere flere privilegier enn nødvendig. Alle trenger ikke tilgang til alt. Og hvis man trenger tilgang så holder det ofte med lese-rettigheter, alle trenger ikke rett til å skrive, slette og kjøre. c) Alle kontoer bør kunne spores til en ansvarlig bruker (også upersonlige kontoer uten personnavn). d) Alle kontoer, tilganger og rettigheter bør spores til en ansvarlig rolle og person som godkjente dette. e) Kontoer, tilganger og rettigheter bør revideres jevnlig. Dette er spesielt kritisk mht. kontoer, tilganger og rettigheter for drift og spesialbrukere. f) Gjenbruk identiteter mest mulig på tvers av systemer, delsystemer og applikasjoner (ideelt «Single sign on»). g) Ansvarliggjør brukere mht. at passord er personlige og hemmelige og aldri skal deles med noen, selv ikke med nære kollegaer eller overordnede. Klienter bør i tillegg låses når de forlates av bruker.