FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.1.2 Kjøp moderne og oppdatert maskin- og programvare slik at nyere sikkerhetsfunksjonalitet er

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Anskaffelse av oppdatert og sikker IKT

Kapitlet sier at IKT-produkter bør velges ut fra sikkerhet i hele levetiden: de skal fortsatt støttes, få sikkerhetsoppdateringer og ha nyere sikkerhetsfunksjonalitet. Eldre produkter skal fases ut når de ikke lenger gir tilstrekkelig beskyttelse. Det peker også på at leverandøren bør brukes aktivt i anskaffelsen, ved å beskrive risikoer, sårbarheter og hvordan produktet kan sikkerhetsherdes og beskyttes. Videre anbefales det å foretrekke produkter som er sertifiserte eller evaluert av en tiltrodd tredjepart, som Common Criteria. Det gjør sikkerhetsvurderingen mer etterprøvbar i anskaffelsen.

Betydning for anskaffelser

Kilden brukes når anskaffelsen skal stille eller begrunne sikkerhetskrav til maskin- og programvare, særlig ved valg av produkter, utskifting av eldre løsninger og vurdering av om leverandørdokumentasjon og tredjepartsevaluering skal inngå i kravgrunnlaget. Den er også relevant når man skal formulere spørsmål til leverandøren om sårbarheter, herding og beskyttelse, og når man vurderer om sikkerhetsfunksjoner må være et minstekrav eller et tildelingsmoment.

Sentrale kildepunkter

  • Bare IKT-produkter som fortsatt støttes og får sikkerhetsoppdateringer bør brukes.
  • Anskaffelsen skal vektlegge nyere sikkerhetsfunksjonalitet og protokoller.
  • Eldre IKT-produkter skal fases ut.
  • Leverandøren bør, der det er hensiktsmessig, opplyse om risikoer og sårbarheter.
  • Leverandøren bør spesifisere hvordan produktet kan sikkerhetshardes og beskyttes.
  • Sertifiserte eller tredjepartsevaluerte produkter bør foretrekkes.
  • Common Criteria nevnes som eksempel på sertifiseringsregime.

Berørte bestemmelser

  • LOA § § 5d – sikkerhetskrav og vurderinger i IKT-anskaffelser
  • ANSKAFFELSESDOKUMENTENE § kravspesifikasjon/kontraktsvilkår – grunnlag for krav om støtte, oppdateringer, herding og sertifisering
Fulltekst

fra leverandør b) å kun anskaffe IKT-produkter som inneholder nyere sikkerhetsfunksjonalitet og protokoller og c) at eldre IKT-produkter fases ut. d) Der det er hensiktsmessig bør man be leverandør (som kjenner IKT-produktet best) i) å informere om risikoer og sårbarheter produktet kan utsettes for og ii) spesifisere nærmere hvordan IKT-produktet kan sikkerhetsherdes og beskyttes. 2.1.3 Foretrekk IKT-produkter som er sertifiserte og evaluert av en tiltrodd tredjepart. Et eksempel på et sertifiseringsregime er Common Criteria. Common Criteria er en internasjonal standard for evaluering av sikkerhetsegenskaper i IKT-produkter og systemer.