SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Like dokumenter
SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Tjenesteutsetting Dine data i andres hender. Ernst Unsgaard Seniorrådgiver, Strategisk Cybersikkerhet ikins,stavanger

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Om fem år er hele NAV i skyen. 18. juni 2019 // Petter Hafskjold, sjefarkitekt IT

Anbefalinger om åpenhet rundt IKT-hendelser

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

NASJONAL SIKKERHETSMYNDIGHET

Ny sikkerhetslov og forskrifter

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Databehandleravtaler. Tommy Tranvik Unit

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Internkontroll i praksis (styringssystem/isms)

Informasjonssikkerhet ved bruk av private leverandører Tillegg til tildelingsbrev nr. 4

Personvern - sjekkliste for databehandleravtale

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Digitaliseringsstrategi

Databehandleravtale for NLF-medlemmer

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

Referansearkitektur sikkerhet

Strategi for Informasjonssikkerhet

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Internkontroll og informasjonssikkerhet lover og standarder

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Tiltaksplan digitalisering 2019

SIKKER SKY. Skyseminar Difi Lars Strand Dag Sandham NSM

Digitaliseringsstrategi

Hva er sikkerhet for deg?

Utredning av standarder for styring av informasjonssikkerhet

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Sykehuspartner skal bygge en digital motorvei for Helse Sør-Øst. Morten Thorkildsen Styreleder, Sykehuspartner HF 11. oktober 2018

Digitaliseringsstrategi

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Spørreundersøkelse om informasjonssikkerhet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Personvern og informasjonssikkerhet ved anskaffelser

Sikkerhet og personvern i skole og klasserom

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

HØRING NOU 2016:19 SAMHANDLING FOR SIKKERHET

Tilsiktede uønskede handlinger

Frist for innspill: 1. november Mottaker etter liste

Informasjonssikkerhet i Norge digitalt Teknologiforum

Ny styringsmodell for informasjonssikkerhet og personvern

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Nasjonal sikkerhetsmyndighet

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Kan du legge personopplysninger i skyen?

Databehandleravtaler

Næringslivets Sikkerhetsråd Mot kriminalitet - for næringsliv og samfunn

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Aggregering av risiko - behov og utfordringer i risikostyringen

1. Generelt om tilsynene

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

SIKRING i et helhetsperspektiv

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Prosjektmandat. IT i nye Moss kommune. Delprosjektleder: Skal rekrutteres. Planlagt startdato: Planlagt sluttdato:

OMRÅDER. ROS analyser sammenhenger

Difis veiledningsmateriell, ISO og Normen

SIKRING i et helhetsperspektiv

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Retningslinjer for databehandleravtaler

IKT-infrastrukturmodernisering i Helse Sør-Øst Styresak september 2016 Cathrine M. Lofthus

Har du kontroll på verdiene dine

Hva kan vi gjøre med det da?

Krav til informasjonssikkerhet i nytt personvernregelverk

Oppfølging av informasjonssikkerheten i UH-sektoren

Bedre personvern i skole og barnehage

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Kommunikasjon med ledelsen hva kan Difi bidra med?

Digitaliseringsstrategi Birkenes kommune Vedtatt av RLG Digitaliseringsstrategi for Birkenes kommune 1

FOR ET TRYGGERE NORGE NASJONALT KOMPETANSESENTER FOR SIKRING AV BYGG

Brudd på personopplysningssikkerheten

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Et sikkert digitalt Norge IKT-risikobilde 2018

Kvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen

Objektsikkerhet. Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b).

Transkript:

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet NASJONAL SIKKERHETSMYNDIGHET 1

Versjonsnummer (1.1) per 09.04.2018 2 NASJONAL SIKKERHETSMYNDIGHET

INNHOLD Innhold...3 Om Temarapporten...5 Bakgrunn... 7 Anbefaling # 1: Oversikt og kontroll på hele livsløpet... 10 Anbefaling # 2: God bestillerkompetanse... 11 Anbefaling # 4: Riktige og gode krav til IKT-tjenesten og til leverandør... 13 Anbefaling # 5: Riktig beslutning på riktig nivå... 15 NASJONAL SIKKERHETSMYNDIGHET 3

4 NASJONAL SIKKERHETSMYNDIGHET

OM TEMARAPPORTEN Hensikten med temarapporten er å bistå offentlige og private virksomheter med overordnede sikkerhetsfaglige anbefalinger ved tjenesteutsetting av IKT-tjenester. Anbefalingene er relevante for offentlige og private virksomheter som vurderer å tjenesteutsette basisdrift, applikasjonsdrift eller applikasjonsforvaltning til en ekstern tjenesteleverandør. NASJONAL SIKKERHETSMYNDIGHET 5

GRUNNLEGGENDE TILTAK FOR SIKRING AV E-POST 6 NASJONAL SIKKERHETSMYNDIGHET BESKRIVELSE

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING Bakgrunn Det er en økende trend at private og offentlige virksomheter velger å tjenesteutsette hele eller deler av sin IKT-portefølje. Ifølge Statistisk sentralbyrå (SSB) har andelen norske virksomheter med ti eller flere ansatte som kjøper skytjenester, økt fra 40 til 48 prosent fra 2016 til 2017. Tjenesteutsetting, inkludert skytjenester, er av de mest betydningsfulle trendene innen digitaliseringen av samfunnet. Digitalisering er en viktig faktor i samfunnsutviklingen for å sikre nødvendig innovasjon og konkurransekraft. Virksomhetene benytter tjenesteutsetting som ett av virkemidlene for å holde følge med teknologiutviklingen og digitaliseringen, og ofte skjer dette ut av landet. Økende bruk av tjenesteutsetting gjelder også for virksomheter som understøtter samfunnets beredskap og krisehåndtering. Dette er leveranser som bør være mer robuste og tilgjengelige enn vanlige kommersielle løsninger, fordi de skal fungere i situasjoner hvor mye annet er utilgjengelig. Dette må tas hensyn til når tjenesteutsetting vurderes. Det digitale sårbarhetsutvalget (Lysneutvalget)1 viser til at det blir stadig mer krevende å ha oversikt over allerede komplekse verdikjeder ved økende digitalisering av samfunnet. Tjenesteutsetting bidrar til å øke risikoen ved ytterligere å øke kompleksiteten i verdikjeden. I 2017 har det vært flere eksempler i Norge og Sverige på beslutninger om tjenesteutsetting der risikovurderingene har vært mangelfulle eller manglende. Disse sakene har blitt slått stort opp i media og har i ettertid fått konsekvenser for sentrale beslutningstakere. Erfaringer fra NSMs operative virksomhet og andre statlige tilsynsorganer viser at det er lav bevissthet rundt krav til og oppfølging av informasjonssikkerhet ved tjenesteutsetting av IKT-tjenester. Risikovurderinger og konsekvensutredninger som utføres ved tjenesteutsetting er ofte mangelfulle. NSM er bekymret for at samfunnskritiske IKT-tjenester tjenesteutsettes uten tilstrekkelige risikovurderinger og sikringstiltak og at data flyttes til utlandet 1 NOU 2015: 13 Digital sårbarhet sikkert samfunn. NASJONAL SIKKERHETSMYNDIGHET 7

uten tilstrekkelige sikkerhetsfaglige vurderinger. Hensikten med temarapporten er å bistå offentlige og private virksomheter med overordnede sikkerhetsfaglige anbefalinger om hva som bør ivaretas ved tjenesteutsetting av basisdrift, applikasjonsdrift eller applikasjonsforvaltning. Anbefalingene er relevante for offentlige og private virksomheter. Rapporten er en utdypning av «Valg av leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet2. Kontaktpunkt for kommentarer er IKT-radgivning@nsm.stat.no. Vennligst bruk rapportens navn som emne. Kommentarer og innspill mottas med takk. 2 NSMs grunnprinsipper for IKT-sikkerhet: https://www.nsm.stat.no/publikasjoner/rad-og-anbefalinger/ grunnprinsipper-for-ikt-sikkerhet/ 8 NASJONAL SIKKERHETSMYNDIGHET

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING Sikkerhetsfaglige anbefalinger for tjenesteutsetting Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Tilgang til ekspertkompetanse og verktøy man ikke selv besitter kan bedres, kostnader kan bli lavere og mer forutsigbare og det kan i større grad bidra til bedre fokus på virksomhetens kjerneaktivitet. Samtidig må virksomheter være bevisst hvilken risiko en tjenesteutsetting medfører. Tilsvarende eller høyere nivå på både tjenestekvalitet og IKT-sikkerhet bør være en målsetning ved tjenesteutsetting. En tjenesteutsetting stiller store krav til egen virksomhet og krever annen kompetanse enn om tjenesten leveres av egen organisasjon. Før det foretas en strategisk beslutning om bruk av tjenesteutsetting, bør virksomheten vurdere om den er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess. Virksomheten må også kartlegge hvilke lover, krav og regler som gjelder både nasjonalt og internasjonalt. Eksempelvis gir både sikkerhetsloven og personopplysningsloven med forskrifter føringer ved tjenesteutsetting. Noen sektorer har også regulert hvilke muligheter virksomheten har til å tjenesteutsette. For å ivareta IKT-sikkerheten ved tjenesteutsetting, anbefaler NSM at virksomheten er bevisst behovet for: 1 Oversikt og kontroll på hele livsløpet 2 God bestillerkompetanse 3 Gode risikovurderinger for å kunne ta riktig beslutning 4 Riktige og gode krav til IKT-tjenesten og til leverandør 5 Riktig beslutning på riktig nivå NASJONAL SIKKERHETSMYNDIGHET 9

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING Anbefaling # 1: OVERSIKT OG KONTROLL PÅ HELE LIVSLØPET Når en virksomhet har besluttet å ta i bruk tjenesteutsetting som en del av sin IKT-strategi, må man sørge for å etablere oversikt og kontroll på hele livsløpet ved tjenesteutsettingen. Dette må ivaretas gjennom kontrakten som inngås mellom partene. Livsløpet kan inndeles i fire hovedfaser (forberedende, anskaffelse, forvaltning og opphør), hvor hver fase inkluderer et sett med behov og krav som må følges opp FORBEREDENDE ANSKAFFELSE FORVALTNING OPPHØR Figur 1 TJENESTEUTSETTINGENS LIVSLØP KAN DELES I FIRE HOVEDFASER. I HVER FASE ER DET ET SETT MED AKTIVITETER SOM VIRKSOMHETEN MÅ HA OVERSIKT OG KONTROLL OVER. Forberedende: I denne fasen utarbeides detaljerte forutsetninger for tjenesteutsettingen, samt at det gjøres nødvendige vurderinger av om tjenesteutsettingen kan gjennomføres og eventuelt hvordan. En viktig vurdering her er hvordan tjenesten som settes ut skal integreres med virksomhetens øvrige IKT-systemer, slik at nødvendig sikkerhetsnivå ivaretas. Et mangelfullt arbeid i denne fasen kan påvirke leveransekvaliteten i de etterfølgende fasene. Anskaffelse: Med basis i forutsetningene og vurderingene i den forberedende fasen, starter arbeidet med valg av leverandør og inngåelse av kontrakt. Innholdet i kontrakten er svært viktig fordi kontrakten regulerer forholdet mellom virksomhet og leverandør, herunder leveransekvalitet, rapportering, endringsprosesser, revisjon og møtearenaer. Utvetydige prosedyrer for verifisering og oppfølging av kontraktens leveransekrav bør være på plass før kontraktsinngåelse og iverksetting av tjenesteutsettingen. Forvaltning: Fasen innebærer etablering, integrering og eventuell transisjon av tjenesten som settes ut. Den må videre regulere hvordan virksomheten skal følge opp leverandøren og leveransene, slik at kontraktsforpliktelsene samt virksomhetens endringsbehov ivaretas i kontraktsperioden. Forvaltning innebærer at avvik fra leveransekravene vurderes med hensyn til iverksetting av tiltak. 10 NASJONAL SIKKERHETSMYNDIGHET

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING Opphør: Dette er perioden når virksomheten skal avslutte tjenesteutsettingen. Det kan være tilsiktede og utilsiktede grunner til at en virksomhet avslutter kontrakten. Det kan eksempelvis være kontraktsbrudd eller endrede uakseptable forhold ved vertslandet og/eller leverandør. Ved opphør må virksomheten være særlig forberedt på to aktiviteter: 6 Tilbakeføring og/eller overføring: Iverksette plan for å tilbakeføre tjenesten til virksomheten, eller overføre tjenesten til en annen leverandør. 7 Sletting: Iverksette plan for at data tilhørende virksomheten blir forsvarlig slettet av leverandøren. Anbefaling # 2: GOD BESTILLERKOMPETANSE En vellykket tjenesteutsetting fordrer at virksomheten har god bestillerkompetanse. Svak bestillerkompetanse kan medføre at virksomheten anskaffer IKT-tjenester uten tilstrekkelig kartlegging av behov, og kan gi utfordringer med å stille gode krav til blant annet IKT-sikkerhet ovenfor leverandør. Det kan resultere i at tjenesteutsettingen gjennomføres uten at det er vurdert hva som skal ivaretas gjennom livsløpet til tjenesteutsettingen, fra forberedende aktiviteter til opphør av avtalen. NSM anbefaler at virksomheten 1) ivaretar behovet for bestillerkompetanse gjennom hele livsløpet til tjenesteutsettingen, og 2) som et minimum har følgende kompetanseområder ved en tjenesteutsetting: VIRKSOMHETS- KOMPETANSE - For å kunne definere behov og stille nødvendige krav SIKKERHETS- KOMPETANSE - For å kunne vurdere risiko og stille riktige sikkerhetskrav. Dette gjelder alle områder av sikkerhet dvs. fysisk, personellog informasjons-sikkerhet. INTEGRASJONS- KOMPETANSE - For å kunne forstå hvordan tjenestene kan integreres i virksomheten på best mulig måte KOMPETANSE OM ANSKAFFELSER - Slik at anskaffelsen kan gjennomføres på en måte som støtter virksomhetens forretningsmessige og funksjonelle behov på best måte. JURIDISK KOMPETANSE - Slik at virksomhetens juridiske krav og behov ivaretas og at kontrakten kan oppfylles i produksjonen. NASJONAL SIKKERHETSMYNDIGHET 11

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING Grunnleggende IKT-kompetanse er en forutsetning for kvalitet i kompetanseområdene beskrevet over. Anbefaling # 3: GODE RISIKOVURDERINGER FOR Å KUNNE TA RIKTIG BESLUTNING En beslutning om tjenesteutsetting bør tas basert på risikovurderinger som beskriver de faktiske risikoene tjenesteutsettingen medfører. NSMs erfaringer tilsier at det i altfor stor grad er et primærfokus på kostnader og at det kun vurderes økonomisk risiko eller risiko ved gjennomføring av selve tjenesteutsettingen (prosjektrisiko). NSM anbefaler å tydeliggjøre hva en risikovurdering som omhandler en tjenesteutsetting av IKT-tjenester skal inneholde og at hele livsløpet til tjenesteutsettingen risikovurderes. Eksempler på faktorer som vil kunne påvirke risikobildet er redusert kontroll på stadig mer komplekse verdikjeder, tap av intern kompetanse og avhengigheter til eksterne tjenesteleverandør for å kunne levere virksomhetens tjenester. Risikovurderingen bør også inkludere risiko knyttet til selve leverandøren, eksempelvis leveranseevne og muligheten til å vedlikeholde ønsket sikkerhetstilstand. Utsetting av en eller flere tjenester vil endre konfigurasjonen og sammensetningen på virksomhetens IKT-portefølje og arkitektur. Tjenestene skal i de fleste tilfeller integreres i eksisterende infrastruktur og tjenesteportefølje. Tjenesteutsetting til en profesjonell aktør kan i mange tilfeller gi bedret sikkerhet, men nye sårbarheter kan også introduseres. Samtidig er virksomheten avhengig av at leverandøren iverksetter nødvendige kompenserende tiltak, noe som kan være utfordrende å kontrollere. En virksomhet som tjenesteutsetter må derfor ha et aktivt forhold til hvordan leverandøren iverksetter tiltak og reduserer risiko slik at risikovurderingene i egen virksomhet beskriver den faktiske risikoen virksomheten tar. Hvis tjenesten skal leveres fra utlandet, anbefaler NSM, i tillegg til å vurdere tjenestetilbyderen, å vurdere vertslandet der leverandøren har tilhold og hvor tjenesten tilbys fra. Nasjonale forhold kan påvirke en tjenesteleverandørs mulighet til å levere tjenester, eksempelvis gjennom kvaliteten på 12 NASJONAL SIKKERHETSMYNDIGHET

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING nasjonal infrastruktur eller nasjonal lovgivning som gir rett til innsyn i data lagret i vertslandet. Risikoen knyttet til vertslandet kan dermed gi avgjørende føringer på behovet for kompenserende sikringstiltak og hvilke tjenestetilbydere som bør vurderes. Landvurderingen bør inngå som en del av den totale risikovurderingen ved tjenesteutsettingen. Virksomheten må også vurdere om andre relevante kriterier ved vertslandet skal vurderes. Eksempelvis kan forhold i transittland påvirke risiko. Virksomheten må revidere risikoen knyttet til tjenesteutsettinger jevnlig og gjennom alle faser av tjenesteutsettingen. Risikobildet vil endres over tid slik at kompenserende tiltak som lå til grunn for risikoaksept ved kontraktsinngåelse ikke nødvendigvis er tilstrekkelig over tid. Eksempler på faktorer som kan påvirke risikobildet over tid kan være endringer i trusselbildet, økt avhengighet av IKT-tjenesten i det norske samfunnet, endringer i egen bestillerkompetanse, innsikt i nye teknologiske sårbarheter og nye opplysninger knyttet til vertslandet eller leverandøren som leverer tjenesten. Anbefaling # 4: RIKTIGE OG GODE KRAV TIL IKT-TJENESTEN OG TIL LEVERANDØR En kritisk suksessfaktor for en vellykket tjenesteutsetting er å stille riktige og gode krav. For å finne gode krav må du kjenne din egen virksomhet og vite hvilke behov du har. Kravene uttrykker et behov og må formuleres slik at de kan bli verifisert. Kravene beskriver hva virksomheten ber om, og spesifiserer hva tjenestetilbyderen skal levere. En tjenesteutsetting blir ikke bedre enn kravene, som ikke blir bedre enn din forståelse av behovet.. Sett fra et kontraktsperspektiv er kravene, og verifikasjon av disse, bindeleddet mellom virksomhetens behov og tjenesten som leveres fra tjenestetilbyderen. Flere store norske virksomheter har hatt vesentlige utfordringer med å rydde opp i uklare kontraktsforhold i etterkant av en tjenesteutsetting. Virksomheten må utarbeide en detaljert kravspesifikasjon for IKT-tjenesten som skal tjenesteutsettes basert på virksomhetens behov og gjeldende lover og regler. Sikkerhetskravene en virksomhet stiller til konfidensialitet, integritet og tilgjengelighet til sine IKT-tjenester må gjelde uavhengig av geografisk lokasjon og om det er tjenesteutsatt eller ikke. Dersom det er NASJONAL SIKKERHETSMYNDIGHET 13

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING forhold som kan ha innvirkning på risikoen, må disse identifiseres og vurderes, og kompenserende tiltak må iverksettes. NSM anbefaler at NSMs grunnprinsipper for IKT-sikkerhet brukes i utarbeidelse av kravene som stilles til IKT-tjenesten, uavhengig om leveransene utfører internt eller eksternt. Hvis leverandøren ikke kan levere på kravene som stilles er det viktig at virksomheten tar en veloverveid beslutning basert på risikoen tjenesteutsettingen medfører, og vurderer kompenserende tiltak. Virksomheten bør utarbeide et kravdokument for alle faser av tjenesteutsettingen, det vil si selve anskaffelsen, forvaltning og driftsfasen samt ved terminering av kontrakten. Ved en tjenesteutsetting bør det som minimum stilles krav til at leverandøren har: Et etablert styringssystem for informasjonssikkerhet og sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017. Innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten. Utviklingsplaner for sikkerhet i tjenesteproduksjonen i tråd med utvikling i teknologi og trusselbildet over tid. En oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregering fra andre kunder. Tilgangsstyring som inkluderer kryptering, aktivitetslogging og fysisk og logisk sikkerhet. Sikkerhetsovervåkning egnet til å avdekke hendelser og handlinger i tråd med virksomhetens trusselbilde og relevante trusselaktører. Rutiner for hendelseshåndtering og avviks- og sikkerhetsrapportering. Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer. Godkjenningsprosedyrer for bruk av underleverandører og deres bruk av underleverandører. Spesifisert hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon. 14 NASJONAL SIKKERHETSMYNDIGHET

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING Anbefaling # 5: RIKTIG BESLUTNING PÅ RIKTIG NIVÅ I dagens digitaliserte samfunn vil bortfall av IKT-tjenester som oftest påvirke hele eller store deler av virksomheten. Settes virksomhetskritiske tjenester ut til en tredjepart, kan det øke risikoen for både tilsiktede og utilsiktede hendelser som for eksempel bortfall av tjeneste eller tap/endring av data. Beslutningen om tjenesteutsetting bør ikke utelukkende tas av virksomhetens IKT-miljø alene. Valg av leverandørmodell og tjenesteutsetting av IKT-tjenester er en viktig strategisk del av virksomhetsstyringen. Virksomhetens leder bør sørge for en godt forankret prosess for alle berørte parter i virksomheten. Når en beslutning om tjenesteutsetting tas, bør den baseres på risikovurderinger som beskriver tjenesteutsettingens påvirkning på hele virksomheten, herunder leveranseevne, IKT-portefølje, økonomi og behov for kompetanse. NSM anbefaler at avtaler om tjenesteutsetting av IKT-tjenester og endringer i slike avtaler skal behandles av øverste ledelse. I mange tilfeller vil dette være styret i en virksomhet. Styret skal forelegges planer for tjenesteutsettingen, med risikovurdering. Dersom tjenesteutsettingen påvirker virksomhetskritiske leveranser, anbefaler NSM at private virksomheter behandler og vedtar tjenesteutsettingen i styret, eller for offentlige virksomheter; at beslutningen om tjenesteutsetting forankres hos overordnet fagdepartement. NASJONAL SIKKERHETSMYNDIGHET 15

Nasjonal sikkerhetsmyndighet 67 86 40 00 Postboks 814 1306 Sandvika 16 NASJONAL SIKKERHETSMYNDIGHET post@nsm.stat.no www.nsm.stat.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding