FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

4.1.6 Test og øv på planer jevnlig slik at disse er godt innøvd.

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Test og øv på beredskapsplaner for IKT-hendelser

Kilden sier at virksomheten må teste og øve på planene sine jevnlig, slik at de er godt innøvd når en alvorlig hendelse faktisk inntreffer. Poenget er å redusere tidsbruk, diskusjoner og forsinkelser når beslutninger må tas raskt. Veilederen fremhever at planene bør være forhåndsgodkjente av virksomheten som helhet, ikke bare av IT. Det betyr at responsvalg som å stenge internett, stramme inn brannmurer eller isolere tjenester må være avklart på forhånd. Teksten peker også på praktiske beredskapsspørsmål som utenom arbeidstid, feriefravær, oppdatert telefonliste, underleverandører og døgnkontinuerlig vakt. Dette gjør kapittelet egnet som grunnlag for krav til øvelser, responsrutiner og kriseorganisering.

Betydning for anskaffelser

Brukes når anskaffelsen eller kontrakten skal støtte virksomhetens beredskap, respons og gjenoppretting ved dataangrep eller annen alvorlig IKT-hendelse. Kilden er relevant for vurderinger av om planverk, roller, fullmakter og kontaktpunkter faktisk er operative, og om leverandør- eller underleverandørstøtte kan mobiliseres raskt nok. Den er også relevant ved spørsmål om øvelsesfrekvens, godkjenning av handlingsmønstre og om tiltakene er tilpasset hendelser som oppdages utenfor ordinær arbeidstid.

Sentrale kildepunkter

  • Planer skal testes og øves jevnlig.
  • Planverk må være godt innøvd før en hendelse oppstår.
  • Forhåndsgodkjente handlingsmønstre skal redusere forsinkelse og diskusjoner i en krisesituasjon.
  • Beslutninger om å kutte internettilgang eller stramme inn brannmurregler må være avklart på forhånd.
  • Planen må være godkjent av forretningen, ikke bare av IT.
  • Øvelser bør omfatte deteksjon og beredskap.
  • Virksomheten må være forberedt på hendelser utenfor arbeidstid og på rask mobilisering av responsfunksjoner.

Berørte bestemmelser

  • LOA § § 5d – Kilden gjelder beredskap og sikker håndtering av IKT-hendelser i anskaffelser med sikkerhetsbehov.
  • FOA § § 7-9 – Kilden er relevant der anskaffelsen har klima- eller miljøkrav i kontrakt, men dette utdraget gjelder ikke miljø; usikker om direkte kobling.
  • ANSKAFFELSESDOKUMENTENE – Kan brukes til å fastsette krav til øvelser, responsrutiner, kontaktlister, vaktordning og godkjente handlingsmønstre.
Fulltekst

4.2. Vurder og klassifiser hendelser

Målet med prinsippet: Virksomheten vurderer og klassifiserer hendelser korrekt og hurtig slik at hendelsene blir håndtert effektivt, med riktig prioritet og involverer nødvendige ressurser og personell. Hvorfor er dette viktig? Riktig klassifisering og prioritering av hendelser er viktig slik at virksomheten kan disponere ressurser fornuftig og løse hendelsen innen nødvendig tid. Hvis det tar lang tid fra en hendelse blir oppdaget til den blir varslet, prioritert og håndtert kan skadeomfang, ressursbruk og gjenopprettingstid bli betydelig. Feilaktig klassifisering kan føre til at en virksomhet bruker mye tid og krefter på uvesentlige hendelser mens viktigere hendelser går under radaren. Om ikke riktige beslutningstagere involveres kan hendelsen eskalere og spre seg fordi det ikke settes inn reaktive tiltak hurtig nok. Ved kompleks skadevare vil de færreste klare å se reelt skadeomfang før i etterkant av hendelsen. For mange virksomheter vil det være nødvendig å hente kompetanse utenfor egen virksomhet. Anbefalte tiltak: Vurder og klassifiser hendelser ID Beskrivelse