FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

3.3.1 Lage en plan for analyse av data fra sikkerhetsovervåkning, herunder:

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Plan for analyse av data fra sikkerhetsovervåkning

Kapitlet beskriver hvilke forhold en virksomhet må ta stilling til når analyse av sikkerhetsovervåkingsdata skal organiseres. Det gjelder særlig om analysen skal bygges internt eller kjøpes inn, og hvordan ressursbruk, verktøy og metoder skal prioriteres. Teksten viser også at planen må omfatte forvaltning og videreutvikling av analyseområdet, ikke bare selve innsamlingen. Det trekkes frem signaturbaserte verktøy, normaltilstand i informasjonssystemet, automatisert prosessering, re-konfigurering av innhentede data og bruk av maskinlæring. Praktisk betyr dette at anskaffelser av analyseverktøy, tjenester og bemanning må sees i sammenheng med rapportering og hendelseshåndtering. Kilden er en styrings- og planleggingsveiledning, ikke en selvstendig anskaffelsesregel, men den gir et konkret grunnlag for krav, organisering og kontraktsmessige valg i IKT-sikkerhetsarbeidet.

Betydning for anskaffelser

Brukes når oppdragsgiver eller virksomhet skal planlegge anskaffelse eller organisering av analysekapasitet for sikkerhetsovervåkning. Kilden er relevant ved vurdering av om behovet dekkes best med egen kompetanse eller innkjøp, hvilke funksjoner som må inngå i løsningen, og hvordan analyse, rapportering og hendelseshåndtering skal henge sammen i praksis.

Sentrale kildepunkter

  • Virksomheten må ta stilling til om analysekompetanse skal bygges opp internt eller kjøpes inn.
  • Planen skal angi prioritet, frekvens og ressursbruk for analysearbeidet.
  • Verktøy, tjenester og mekanismer for søk, prosessering og analyse må beskrives.
  • Forvaltning og videreutvikling av analyseområdet skal inngå i planen.
  • Planen omfatter signaturbaserte verktøy, normaltilstand, automatisert prosessering og re-konfigurering av innhentede data.
  • Analyseverktøy, teknologi, algoritmer og anvendt maskinlæring er uttrykkelig nevnt.
  • Rapportering og hendelseshåndtering er en del av den samlede planen.

Berørte bestemmelser

  • NSM GRUNNPRINSIPPER FOR IKT-SIKKERHET § 3.3.1 – Kilden angir hvilke elementer som skal inngå i en plan for analyse av data fra sikkerhetsovervåkning.
  • LOA § § 5d – Sikkerhets- og beredskapsbehov kan være del av anskaffelsesstrategien når analysefunksjoner skal kjøpes inn.
  • FOA § regelverk om anskaffelsesstrategi og kontraktsutforming – Kilden peker mot behov for å spesifisere tjenester, verktøy, rapportering og hendelseshåndtering i anskaffelsen.
Fulltekst

• Avgjøre om virksomheten selv skal bygge opp analysekompetanse, eller om dette skal kjøpes. • Prioritet, frekvens og ressursbruk på analysearbeidet. • Verktøy, tjenester og mekanismer for søk, prosessering og analyser. • Forvaltning og videreutvikling av fagområdet, inkludert: o signaturbaserte verktøy o normaltilstanden i informasjonssystemet o metodikk og automatisert prosessering av innhentet sikkerhetsrelevant data o re-konfigurering av innhenting av sikkerhetsrelevant data o analyseverktøy, teknologi og algoritmer «anvendt maskinlæring» • Rapportering • Hendelseshåndtering