FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

3.4.6 Kommuniser resultater fra inntrengingstester til relevante interesseparter.

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Resultater fra inntrengingstester og hendelsesøvelser må deles og dokumenteres

Når virksomheten gjennomfører inntrengingstester eller IKT-beredskapsøvelser, skal resultatene rapporteres på en måte som dekker virksomhetens behov. Poenget er ikke bare å teste, men å gjøre funnene brukbare for dem som skal følge dem opp. Kilden peker på at testene bør dokumenteres med en ledelsesoppsummering, oversikt over funn og forslag til forbedringstiltak. Det gir et grunnlag for beslutninger, prioritering og faktisk lukking av svakheter. Veilederen understreker også at rutiner for rapportering, datainnsamling, ledelsesansvar og kommunikasjon må være etablert før en hendelse oppstår. Dette er en del av beredskapen, ikke noe som skal utarbeides etter at angrepet har skjedd.

Betydning for anskaffelser

Kilden er relevant når en oppdragsgiver skal fastsette hvordan sikkerhetstester, beredskapsøvelser og hendelseshåndtering skal dokumenteres, hvem som skal få resultatene, og hvordan funn skal omsettes til forbedringstiltak. Den er også relevant ved vurdering av om rapportering, ansvarslinjer og kommunikasjonsrutiner er tilstrekkelig planlagt og øvd på før hendelser oppstår.

Sentrale kildepunkter

  • Rapportering fra inntrengingstester og IKT-beredskapsøvelser bør dekke virksomhetens behov.
  • Testene bør dokumenteres med ledelsesoppsummering, oversikt over funn og forslag til forbedringstiltak.
  • Resultatene skal kommuniseres til relevante interesseparter.
  • Inntrengingstesting er kontrollerte dataangrep som prøver ut motstandskraften i IKT-systemer.
  • Testene kan både avdekke sårbarheter og vise hvordan angriper kan få tilgang til konfidensiell informasjon eller kontroll over IKT-infrastruktur.
  • Ved hendelser må rutiner for rapportering, datainnsamling, ledelsesansvar og kommunikasjon være utarbeidet på forhånd.
  • Hendelseshåndtering skal etableres og øves jevnlig slik at virksomheten kan oppdage, kontrollere og gjenopprette normaltilstanden.
Fulltekst

4. Håndtere og gjenopprette

4.1. Forbered virksomheten på håndtering av

hendelser Målet med prinsippet: Virksomheten har implementert effektive prosesser for hendelseshåndtering slik at hendelser oppdages hurtig, kontrolleres, skaden minimeres og hendelsesårsaken fjernes effektivt. Dette inkluderer gjenopprettelse av integriteten til systemer og nettverk. Hvorfor er dette viktig? Dataangrep har blitt en del av dagliglivet. Selv store, teknisk sofistikerte virksomheter med mange ressurser har utfordringer med å holde følge med frekvensen og kompleksiteten på dataangrep. Spørsmålet er ikke «om» en virksomhet blir offer for et vellykket dataangrep, men «når». Uten en plan og en prosess for hendelseshåndtering vil det være vanskelig for virksomheten å begrense skaden og gjenopprette normaltilstanden. Når hendelsen inntreffer er det for sent å utarbeide gode prosedyrer, rapporteringsrutiner, datainnsamling, ledelsesansvar og kommunikasjonsstrategier. Disse må utarbeides og øves jevnlig for å gjøre virksomheten i stand til å forstå, håndtere og gjenopprette normaltilstanden. Anbefalte tiltak: Forbered virksomheten på håndtering av hendelser ID Beskrivelse