FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.8.4 Tillat kun virksomhetsgodkjente programtillegg

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Virksomhetsgodkjente programtillegg

Kapitlet sier at virksomheten bare bør tillate programtillegg som er godkjent av virksomheten selv. Poenget er å redusere sårbarheter som oppstår når unødvendige tillegg får tilgang i e-postleser eller nettleser. Teksten peker særlig på tilleggsfunksjoner som brukes for å integrere e-postleser og nettleser mot for eksempel saks- og arkivsystemer. Slike tillegg må vurderes opp mot behovet i virksomheten, ikke bare funksjonaliteten de gir. Kapitlet plasserer dette som et viderekommende tiltak. Først bør mer grunnleggende tiltak være på plass, som oppdateringer, styring av klientapplikasjoner, begrensning av admin-rettigheter og styrt dataflyt.

Betydning for anskaffelser

Brukes når anskaffelsen, konfigurasjonen eller sikkerhetskravene gjelder e-postlesere, nettlesere og programtillegg i klientmiljøet. Relevant ved vurdering av hvilke tillegg som skal tillates, hvilke som skal blokkeres, og hvordan unødvendige funksjoner kan bli en sikkerhetssvakhet. Også relevant ved prioritering av sikkerhetstiltak, fordi teksten uttrykkelig beskriver dette som et tiltak som kommer etter mer grunnleggende klient- og oppdateringstiltak.

Sentrale kildepunkter

  • Bare virksomhetsgodkjente programtillegg bør tillates.
  • Programtillegg som ikke er nødvendige for virksomheten kan utgjøre en sårbarhet.
  • Eksempelet gjelder tillegg som integrerer e-postleser og nettleser mot saks- og arkivsystemer.
  • Tiltaket gjelder særlig e-post og nettlesing.
  • Dette er et viderekommende tiltak og forutsetter at enklere grunntiltak allerede er gjennomført.

Berørte bestemmelser

  • LOA § § 5d – Relevans for sikkerhetskrav og sikkerhetsorganisering i anskaffelser, særlig når virksomheten skal stille krav til IKT-sikkerhet i løsninger og klientmiljø.
  • FOA § § 15-3 – Relevant som mulig kontraktsvilkår eller krav til leveransen når anskaffelsen omfatter programvare, klienttilgang eller administrasjon av programtillegg.
  • FOA § § 19-1 – Relevant for krav til konkurransegrunnlag og kravspesifikasjon dersom virksomheten vil begrense eller godkjenne programtillegg.
Fulltekst

2.9. Etabler evne til gjenoppretting av data

Målet med prinsippet: Etabler en metode for sikkerhetskopiering og gjenoppretting av kritiske data for å hindre tap. Hvorfor er dette viktig? Virksomheten bør etablere kapasitet for å gjenopprette tapte eller endrede data og systemkonfigurasjoner. Enkelte dataangrep medfører at kritiske konfigurasjoner, programvare eller informasjon endres eller gjøres utilgjengelig. Dette kan påvirke virksomhetskritiske prosesser. Et eksempel på et slikt angrep er kryptovirus, der både informasjon og det underliggende systemet kan bli kryptert og dermed blir utilgjengelig. Anbefalte tiltak: Etabler evne til gjenoppretting av data ID Beskrivelse