Krav til informasjonssikkerheit - IKT anskaffelser

Her finn du råd for vurdering av sikkerheit i skytenester samt beste praksis - metode for vurdering av sikkerhet i skytjenester.

Publisert: 20. jun 2019, Sist endra: 17. sep 2019

Innbyggarane skal kunne føle seg trygge på at informasjonen dei har gitt til offentlege verksemder ikkje blir avslørt for uvedkommande, og at dei får tilgang til offentlege tenester når dei treng.

Dei tryggleiksvurderingane du må gjere dersom du tenker på å ta i bruk skytenester, er ganske like dei vurderingane du må gjere elles.

Risikoen ved å bruke skytenester vil variere avhengig av kor sensitive data du har, og korleis den valde leverandøren har implementert si teneste.

Kor omfattande vurdering du må gjere, vil avhenge av kva som er verdien av den informasjonen det er snakk om, og kor alvorlege konsekvensane kan vere dersom noko går gale.

Behandling utanfor Noreg

Det er usakleleg å stille krav om at behandling av data skal skje i Noreg, men det finst enkelte untak som f.eks. visse anskaffingar som er omfatta av sikkerheitslova.

Viss du har personopplysningar i løysinga må du følge bestemmingane i personopplysningslova. Hugs at behandling inkluderer ein kvar bruk av personopplysningar, som t.d. innsamling, registrering, samanstilling, lagring og utlevering eller ein kombinasjon av slike bruksmåtar. Det betyr at det ikkje er nok å sjå på kor opplysningane vert lagra. Du må også sjå på kor dei kan hentast ut, kor dei kan administrerast frå og så vidare. Ei praktisk tilnærming er at ein nyttar EU-kommisjonens standardavtalar for overføring av opplysningar til tredjeland (land utanfor EØS-området).

Viss du behandlar opplysningar som er teiepliktige må du også vurdere om det kan vere lovgiving eller forhold i andre land som gjer at du kan få problem med å overhalde teieplikta. Dette kan til dømes vere andre lands praksis med utlevering av opplysningar til myndigheiter.

For alle typar opplysningar må du gjere ei risikovurdering. Kan det ha noko å seie for informasjonens konfidensialitet, integritet eller tilgjengelegheit viss dei vert behandla i eit anna land enn Noreg?

Betre sikkerheit å behandle sjølv?

Det er ikkje slik at noko automatisk vert sikrare av å leggast i skya. I nokre tilfelle kan ein få betre sikkerheit, men det kan også gi dårlegare sikkerheit.

Spesielt for små verksemder kan det vere vanskeleg å ha eit godt nok sikkerheitsnivå. Det kan gjelde både teknisk kompetanse, vedlikehald av system, fysisk sikring og anna. Viss ein vel ein seriøs skyleverandør, kan desse stort sett tilby god kompetanse på sikkerheit, god sikring både fysisk og teknisk, høg oppetid, gode rutinar for tetting av sikkerheitshol og gode rutinar for sikkerheitskopiering.

Samtidig er det framleis verksemda som har ansvaret og det er viktig at ein har tilstrekkeleg styring og kontroll på korleis informasjonen vert behandla. Dette kan vere meir utfordrande viss ein set heile eller deler av ei løysing ut til andre. Vurderingane her vil i stor grad vere die same om ein bruker tradisjonelle eksterne leverandørar eller om ein bruker skyleverandørar.

Tilgangslogg

Må leverandøren gi meg logg over kven som har hatt tilgang til opplysningane i skytenesta?

I ein del tilfelle er det lovkrav om at ein skal kunne sjå kven som har hatt tilgang til opplysningane. Dette gjeld til dømes pasientar sin rett til innsyn i kven som har hatt tilgang til deira helseopplysningar. Tilgangsloggar kan også vere avgjerande for å vite om lovpålagt teieplikt er overhalden.

Verksemda må også vurdere sitt eige behov for å ha oversikt over kven som kan ha sett eller endra opplysningar.

Gode råd for vurdering av informasjonssikkerhet i skytjenester

Rådene er basert på «Implementing the Cloud Security Principles» fra Storbritannias National Cyber Security Centre, publisert under Open Government Licence. Prinsippene er oversatt og tilrettelagt for norske forhold av Difi.

Sikring under overføring

Nettverkene du bruker til å overføre informasjon må være tilstrekkelig sikret mot endring og avlytting.

Du bør be leverandøren av skytjenesten om dokumentasjon på:

  • Hvordan informasjon er sikret under overføringen mellom virksomheten din (for eksempel brukernes PC-er, nettbrett, mobiler eller lignende) og skytjenesten.
  • Hvordan informasjon er sikret når den overføres internt i skytjenesten (for eksempel mellom leverandørens datasentre).
  • Hvordan informasjon er sikret når den overføres mellom skytjenesten og andre tjenester (for eksempel gjennom et API).

Du må vurdere om du trenger en verifikasjon av denne dokumentasjonen for å ha tilstrekkelig tillit til denne, dette kan være en revisjon eller sertifisering gjennom en uavhengig tredjepart.

Tekniske løsninger

Det finnes ulike metoder for å beskytte informasjon under overføring. Den vanligste mellom en kunde og en skyleverandør er bruk av protokollen SSL/TLS (Secure Sockets Layer/Transport Layer Security). TLS er en nyere versjon av SSL, men SSL-navnet brukes fortsatt av mange. Det er viktig å bruke både oppdatert versjon av protokollen og en anerkjent sertifikatutsteder for identifisering av skytjenesten.

Ved større behov for sikkerhet bør i tillegg selve informasjonen krypteres.

Datasenterets beliggenhet

Når datasentre ligger i andre land enn Norge, vil det være annen lovgivning enn den norske som gjelder. Den fysiske beliggenheten av skyleverandørens datasentre vil ha betydning for hva slags informasjon som kan håndterers der. I tillegg påvirker den fysiske beliggenheten hvilke juridiske vilkår som gjelder med hensyn på når andre (for eksempel et annet lands myndighet) kan få lovlig tilgang til informasjonen din.

Det er derfor viktig å vite hvor informasjonen din håndteres (dette inkluderer også lagring).

Du trenger å vite følgende:

  • Forvalter virksomheten din informasjon som er underlagt regelverk som stiller spesielle krav til hvor den kan håndteres? Dette gjelder spesielt skjermingsverdig informasjon, arkiv, bokføringsdata og personopplysninger. Du kan lese mer om hvilke typer informasjon det stilles spesielle krav til under krav til informasjonssikkerheit.
  • I hvilke land håndteres informasjonen din? Fra hvilke land kan ansatte hos leverandøren få tilgang til informasjonen? Skyleverandøren bør kunne gi deg informasjon om dette.
  • Kan leverandøren av skytjenesten tilfredsstille de kravene du har? Dette kan enten være ved at de kun har datasentre i land som tilfredsstiller kravene dine, eller ved at de kan begrense hvilke datasentre din virksomhets informasjon håndteres i.

Vi anbefaler at du følger Datatilsynets veileder for skytjenester dersom virksomheten din forvalter personopplysninger og vurderer å ta i bruk en skytjeneste.

Datsenterets sikkerhet

Datasentre må være fysisk sikret, slik at uvedkommende ikke får adgang. Dersom datasenteret ikke er godt nok sikret, kan informasjon bli kjent for uvedkommende, bli endret eller gå tapt, det kan gjøres endringer på systemene, og utstyr kan bli stjålet.

Du må derfor sjekke hvordan tilbyderen av skytjenester sikrer datasentrene sine. Du må i forkant ha gjort en risikovurdering av arbeidsoppgavene i din virksomhet hvor skytjenesten skal inngå – hva som er tilstrekkelig sikkerhet vil være avhengig av hvilke risikoer du har identifisert.

Les hvordan du kan gjennomføre en risikovurdering på Difi.no.

Du må vurdere følgende:

  • Dersom leverandøren ikke ønsker å gi ut detaljer om hvordan han har sikret datasentrene sine, må du vurdere hvilken grad av tillit du har til leverandøren og hans forsikringer om hvordan datasentrene er sikret.
  • Dersom datasenterleverandøren oppgir hvordan han sikrer datasentrene, må du vurdere hvorvidt du synes disse sikkerhetstiltakene er tilstrekkelig.
  • Enkelte datasentre er sertifisert etter anerkjente standarder som også dekker fysisk sikring. Da må du vurdere om standarden dekker de områdene som er viktige for deg.

Det er alltid en fordel om den fysiske sikkerheten er vurdert av en uavhengig tredjepart.

De fleste store datasentre vil ha betydelig bedre fysisk sikring enn det som er vanlig dersom en virksomhet drifter systemene selv i egne lokaler.

Sikring av lagret informasjon

Det vil være mange som har adgang til en skyleverandørs datasentre, men som ikke skal ha tilgang til informasjonen din.

Derfor må du sjekke om informasjonen din er sikret mot uautorisert tilgang når den er lagret hos skyleverandøren. Tiltak for å hindre uautorisert tilgang kan være:

  • fysisk sikring av datasenteret, for eksempel adgangskontroll (se forrige avsnitt)
  • kryptering av informasjonen.
  • en kombinasjon av de to

Dersom det er viktig for deg at informasjonen er kryptert hos leverandøren, bør du også være bevisst hva slags kryptering som er valgt og hvordan krypteringsnøklene håndteres.

Leverandøren av skytjenesten kan også oppgi at han sikrer informasjonen slik at det er svært vanskelig å finne en spesifikk kundes informasjon dersom man har tilgang til det fysiske lagringsmediet. Dette kan imidlertid være vanskelig å verifisere, og det er derfor viktig å ha en forståelse av tilliten du kan ha til de andre tiltakene.

Sletting

Det er viktig at du har vurdert hva som skal skje med informasjonen dersom leverandøren slutter å tilby tjenesten, du ber om at leverandøren sletter et utvalg av informasjonen, eller dersom du vil bytte tjenesteleverandør. I tillegg vil leverandøren fra tid til annen bytte ut utstyr som håndterer informasjonen din. Dersom det ikke gjøres en skikkelig opprydding, risikerer du at informasjonen din blir liggende på leverandørens utstyr, og at den kan komme på avveie.

Du må derfor vurdere hvilket behov du har for at informasjonen slettes, og be leverandøren om dokumentasjon på følgende:

  • Hvordan håndterer leverandøren informasjonen din når det flyttes mellom tjenester eller du avslutter en tjeneste, eller når du ber leverandøren om å slette den. Det er viktig at leverandøren har rutiner og systemer som sikrer at informasjonen din slettes. Dette gjelder også sikkerhetskopier og eventuelle andre lokale kopier.
  • Hvordan sikrer leverandøren at informasjonen din ikke kan bli tilgjengelig for andre kunder dersom utstyr gjenbrukes til andre.
  • Hvilke rutiner har leverandøren for å slette informasjon og for å kvitte seg med lagringsmedier på en forsvarlig måte, ved fornyelse av teknisk infrastruktur.
    Det kan også være hensiktsmessig å ta stilling til følgende:
  • Hvilke garantier har du for at informasjonen faktisk slettes?
  • Hvilken mulighet har du for å sjekke at informasjonen er slettet?
  • Hvilke sanksjonsmuligheter har du i kontrakten?

Oppetid

En tjeneste må være tilstrekkelig robust, det vil si at den må være tilstrekkelig motstandsdyktig mot uønskede hendelser.

Uønskede hendelser omfatter både ondsinnede angrep og andre feilkilder, som tekniske feil, strømbrudd eller menneskelige feil. Hvordan skyleverandøren har innrettet seg for å håndtere denne typen hendelser, vil ha betydning for tilgjengeligheten til tjenesten din.

Du bør vurdere hvilke behov virksomheten din har for oppetid for hver av sine tjenester – hvor viktig er det for virksomheten at informasjonen er tilgjengelig? Ulike typer informasjon har ulike behov:

  • Noe informasjon må være tilgjengelig hele tiden
  • Noe informasjon er det spesielt kritisk at er tilgjengelig i spesielle tidsperioder
  • For annen informasjon kan det være uproblematisk med noe nedetid

Deretter må du vurdere om leverandørens garantier for tilgjengelighet kan møte de behovene du har identifisert.

Leverandørens garantier vil typisk være formulert i en tjenestenivåavtale (Service Level Agreement – SLA). En SLA er ikke en garanti for at leverandøren har iverksatt hensiktsmessige tiltak for å sikre tilgjengeligheten, og du må derfor løpende følge opp avtalen.

SLA-en bør også si noe om hvordan du vet at det har vært nedetid, og hvordan du kompenseres for det. Det er en fordel dersom leverandøren forplikter seg til å selv varsle om nedetid og kompensere det uten at du krever det.

Dersom du har strenge krav til oppetid, kan det være fornuftig å også vurdere leverandørens historikk når det gjelder tilgjengelighet. Du kan også be om dokumentasjon på hva leverandøren har gjort for å sikre at tjenesten er robust.

En arbeidsgruppe nedsatt av EU-kommisjonen har utarbeidet «Cloud Service Level Agreement Standardisation Guidelines» (PDF). Her finnes forslag til krav til ytelse og tilgjengelighet, så vel som krav til sikkerhet, informasjonshåndtering og beskyttelse av personopplysninger.

Kundeskille

Ved bruk av en skytjeneste deler kunder av tjenesten som regel ressurser med andre kunder. Dersom én kunde har onde hensikter, eller blir angrepet, skal ikke dette kunne påvirke skyleverandørens andre kunder.

Skillet mellom kundene påvirkes av:

  • Typen tjeneste – programvare (SaaS), plattform (PaaS) eller infrastruktur (Iaas)
  • Hvem du deler tjenesten med. Dette er styrt av leveransemodellen – privat sky, gruppesky eller allmenn sky. I en allmenn sky må du være bevisst at det kan være kunder som har onde hensikter, eller at det kan være kunder som andre ønsker å angripe, og treffe tiltak i forhold til dette.
  • Hvordan skillet mellom kunder er implementert i tjenesten

Det er derfor viktig at du er klar over hva slags tjeneste du har valgt og hvem du deler ressurser med – om det er likeartede virksomheter, eller «hvem som helst».

Du kan lese mer om ulike typer skytjenester og leveransemodeller her: https://www.anskaffelser.no/hva-skal-du-kjope/it/skytjenester-cloud

Tekniske løsninger

Du bør forsikre deg om at leverandøren har sørget for tilstrekkelig skille mellom kundene i sin tjeneste. Leverandøren kan ha to tilnærminger til dette:

  • Virtualisering (hypervisor): Dersom leverandøren bruker anerkjente og mye brukte virtualiseringsteknikker, vil dette gi bedre skille mellom kunder enn annen programvare. Enkelte virtualiseringsprodukter er sertifisert etter anerkjente sikkerhetsstandarder.
  • Annen programvare som skiller mellom kunder, for eksempel operativsystem, webtjener eller andre applikasjoner: En slik tilnærming gir større sårbarhet enn virtualisering. I et slikt tilfelle bør du undersøke hvordan løsningen er kvalitetssikret og hvilke rutiner leverandøren har for å teste sikkerheten i løsningen, for eksempel i form av penetrasjonstesting.

Leverandørens arbeid med informasjonssikkerhet

Internkontroll på informasjonssikkerhetsområdet – også kalt styringssystem/ledelsessystem for informasjonssikkerhet – hjelper skyleverandøren å ha tilstrekkelig styring og kontroll på håndtering av tjenesten og informasjonen som forvaltes i den.

Effektiv internkontroll sørger for at retningslinjer og sikkerhetstiltak (menneskelige, fysiske og teknologiske) fortetter å fungere effektivt, også dersom tjenesten endres, teknologien videreutvikles, eller nye trusler oppstår.

Du kan lese mer om internkontroll på informasjonssikkerhetsområdet her: http://internkontroll.infosikkerhet.difi.no

Du bør undersøke om leverandøren kan dokumentere slik internkontroll, med tilhørende prosesser, som tilfredsstiller de kravene du har identifisert gjennom din risikovurdering av dine tjenester hvor skytjenesten skal inngå. En skyleverandør dokumenterer gjerne dette ved å vise til en sertifisering, for eksempel ISO/IEC 27001. Det er imidlertid viktig å kontrollere at omfanget av sertifiseringen dekker ditt behov.

Leverandøren bør ha en navngitt person som er ansvarlig for sikkerheten i skytjenesten. Denne personen har gjerne tittelen «Chief Security Officer», «Chief Information Officer», «Chief Technical Officer» eller lignende.

Leverandøren må sørge for å ha rutiner for å identifisere og sikre at driften av tjenesten er i samsvar med gjeldende lover og forskrifter. For internasjonale aktører vil dette naturlig nok ikke gjelde spesifikt norsk regelverk. Skyleverandøren vil typisk ha en oversikt over internasjonale og nasjonale krav og sertifiseringer som de opererer i samsvar med (for eksempel krav fra USAs helsemyndigheter, krav til betalingstjenester og lignende). De mest relevante av disse for norsk offentlig sektor vil være EUs krav til behandling av personopplysninger, samt eventuelle sikkerhetssertifiseringer.

Husk: Skyleverandøren kan ikke vurdere hvor store konsekvenser en uønsket hendelse kan ha for din virksomhet, eller hva slags risikoer du er villig til å akseptere. Det er derfor viktig at du gjennomfører egne risikovurderinger, selv om du får rapporter og vurderinger fra skyleverandøren.

Leverandørens endringshåndtering

Du bør vite hvilke komponenter tjenesten består av, hvordan de er satt opp, og hvilke avhengigheter som finnes. Dette er mest aktuelt dersom du kjøper infrastruktur og plattform som skytjeneste.

Leverandøren må ha en prosess for å håndtere endringer. Denne prosessen skal sikre at endringer som kan påvirke sikkerheten identifiseres og håndteres, og at uautoriserte endringer kan oppdages. Endringer skal følges opp helt til de er ferdigstilt.

Dersom endringer ikke håndteres og styres ordentlig, kan det introdusere sikkerhetsrisiko i tjenesten uten at man er klar over det.

Du bør i tillegg forsikre deg om at status, plassering og konfigurasjon av de ulike komponentene (både maskinvare og programvare) blir sporet gjennom hele levetiden.

Leverandørens arbeid for å begrense sårbarheten

Leverandøren skal ha en prosess for å identifisere, vurdere og prioritere, samt begrense sårbarheter. Tjenester som ikke har slike prosesser, vil være sårbare for angrep.

«Oppskrifter» på hvordan man kan utnytte sikkerhetshull spres gjerne på internett kun timer etter at de er oppdaget. Det finnes ingen sikkerhetssystemer som kan forsvare deg mot ukjente trusler, men det er viktig at leverandøren setter inn tiltak innenfor akseptable tidsrammer. Følgende kan ses på som minimum god praksis:

  • Kritiske sikkerhetsoppdateringer bør implementeres i løpet av få timer
  • Viktige sikkerhetsoppdateringer bør implementeres i løpet av to uker
  • Andre sikkerhetsoppdateringer bør implementeres i løpet av åtte uker.

Normalt vil programvare levert som skytjeneste (SaaS) fra leverandøren ha sikkerhetsoppdateringer på plass raskere enn lokale systemer.

Du bør forsikre deg om at:

  • Leverandøren holder seg oppdatert på risikobildet, analyserer løpende potensielle trusler og sårbarheter, og har rutiner for å sikre at det blir gjennomført relevante tiltak.
     
  • Leverandøren har systemer for endringshåndtering som følger sårbarheten fram til mottiltakene er iverksatt.

Du er kjent med leverandørens tidsrammer for håndtering av sårbarheter, og at de tilfredsstiller dine behov (basert på den risikovurderingen du har gjort av dine tjenester).

Leverandørens overvåking av systemer

Det er viktig at leverandøren overvåker systemene for å oppdage angrep, misbruk og feil. Det er like viktig at leverandøren har systemer for å oppdage slike trusler fra interne som fra eksterne aktører.

Du bør forsikre deg om at:

  • Tjenesten genererer aktivitetslogger og andre rapporter som gjør det mulig å identifisere mistenkelig aktivitet.
  • Det gjøres analyser av disse loggene og rapportene for å identifisere eventuelle problemer.
  • Eventuelle hendelser som oppdages håndteres innen rimelig tid.

For infrastruktur eller plattform som tjeneste er det du som kunde som kjører dine systemer på leverandørens infrastruktur. Det vil da sannsynligvis være ditt eget ansvar å sørge for slik systemovervåkning. Mange leverandører tilbyr løsninger for dette som egne skytjenester, ofte omtalt som «Security as a Service» (SECaaS).

Det er også viktig at du som kunde kan få tilgang til logger og data du trenger for å holde oversikt over hvem som har sett på eller endret informasjon og når det er gjort, avsløre misbruk eller ondsinnet aktivitet, avsløre feil, avdekke overforbruk, osv.

Du bør sjekke hvor mye data leverandøren vil gi deg tilgang til, når du kan få tilgang, hvilket format du får dataene på, og hvor lenge leverandøren lagrer slike data før de slettes. Du må vurdere i hvilken grad dette tilfredsstiller dine behov.

Logg

På noen områder er det regelverk som direkte eller indirekte stiller krav til logging. For eksempel har både pasientjournalloven og helseregisterloven krav om logging som et tiltak for «tilfredsstillende informasjonssikkerhet». Her må virksomheten selv vurdere hvilken logging som er egnet. I pasientjournalloven gis pasientene også en rett til å få innsyn i hvem som har hatt tilgang til opplysninger om dem. Her stiller altså loven mer konkrete krav til hva som skal logges.

I den nye personvernforordningen er det også krav om at Datatilsynet skal varsles om sikkerhetsbrudd, f.eks. at opplysninger er slettet eller kommet på avveie. Varsling skal skje så snart som mulig etter bruddet, og senest innen 72 timer. Denne varslingsplikten gjelder sikkerhetsbrudd som medfører risiko for den registrerte, men alt som regnes som sikkerhetsbrudd skal iht. forordningen dokumenteres. For alvorlige brudd skal normalt også den registrerte varsles. Dersom man behandler personopplysninger i skytjenesten, er det derfor viktig med logging og varsling som gjør det mulig å oppfylle dette kravet.

Leverandørens tiltaksplaner

Dersom leverandøren ikke har planlagt hvordan ulike hendelser skal håndteres, er det sannsynlig at det vil bli gjort dårlige valg dersom en kritisk situasjon oppstår. Det trenger ikke nødvendigvis være komplekse prosesser eller omfattende rammeverk, men god hendelseshåndtering minimerer ulemper for brukerne av tjenesten.

Du bør forsikre deg om at:

  • Leverandøren har på plass prosesser for hendelseshåndtering og bruker disse aktivt når hendelser oppstår.
  • Det er satt opp forhåndsdefinerte prosesser for å håndtere vanlige typer hendelser og angrep.
  • Leverandøren har rutiner og prosesser for å ta imot melding om sikkerhetshendelser fra kunder og andre eksterne.
  • Du får informasjon om hendelser som er relevante for deg som kunde innen rimelig tid og på et egnet format.

Du bør også selv ha på plass prosesser for hendelseshåndtering for de delene av systemet der du selv evt. står for overvåkningen (for eksempel dersom du kjører egne systemer på en skyleverandørs infrastruktur).

Du finner mer generell informasjon om overvåking og hendelseshåndtering her: https://internkontroll-infosikkerhet.difi.no/systematiske-aktiviteter/overvaking-og-hendelseshandtering

Tjenesteutvikling

Når nye tjenester skal designes og utvikles, må potensielle risikoer identifiseres og nødvendige tiltak for å håndtere disse risikoene iverksettes.

Du bør forsikre deg om at leverandøren:

  • har vurdert risikobildet og tatt høyde for dette i utviklingen av sine tjenester.
  • følger «beste praksis» på sitt felt når det gjelder sikker design, programmering, testing og produksjonssetting.
  • har prosesser for konfigurasjonsstyring som sikrer løsningens integritet gjennom utvikling, testing og produksjonssetting.

Vær oppmerksom på at sikker utvikling ikke nødvendigvis betyr at man må designe og utvikle tjenesten selv. Ofte kan det sikreste være å velge moden og velutprøvd hyllevare.

Gjennom hele utviklingsløpet må mulige risikoer vurderes og også hvilke tiltak som kan settes inn for å håndtere dem. Samtidig er det viktig å balansere sikkerhet mot kostnader og brukervennlighet.

Sikker leverandørkjede

Programvare i skyen leveres gjerne gjennom en tredjeparts infrastruktur eller plattformtjeneste. Dette gjør at kundene kan gjenbruke veldokumenterte, sikre komponenter fra infrastruktur- eller plattformleverandøren. Da er det viktig at det er klart identifisert hvem som har ansvaret for hvilke deler av sikkerheten.

Du bør be leverandøren om dokumentasjon på:

  • Hvordan din informasjon blir delt med, eller gjort tilgjengelig for, tredjepartsleverandører og deres eventuelle underleverandører
  • Hvilke sikkerhetskrav leverandøren stiller til sine underleverandører
  • Hvordan sikkerhetsrisiko fra underleverandører håndteres
  • Hvordan leverandøren verifiserer at underleverandører overholder kravene til sikkerhet

Tilgangskontroll

All tilgang til tjenesten bør begrenses til personer som er autentisert og autorisert for slik tilgang.

Tilgangskontroll handler om å tildele, endre, slette og føre kontroll med hvem (person/rolle) som har tilgang til ulik informasjon på hvilke tidspunkt, til hvilken bruk, under hvilke forutsetninger og hvordan de får tilgang.

Det gjelder både virksomhetens egne brukere, eksterne brukere/kunder eller leverandørens ansatte eller underleverandører.

Tilgangskontroll er nødvendig for å sikre forsvarlig utvikling/anskaffelse, drift, bruk, vedlikehold og avvikling av virksomhetens informasjonssystemer.

I tillegg til å sikre gode prosesser for tildeling av tilgang, bør du forsikre deg om at skyleverandøren har løsninger for autentisering som gjør at kun autoriserte brukere får tilgang til tjenesten. Dersom uautoriserte får tilgang til systemene dine, kan dette føre til brudd på konfidensialitet, integritet eller tilgjengelighet.

Leverandørens tjenesteadministrasjon

Skyleverandøren bør stille til rådighet verktøy som gjør at du kan administrere bruken av tjenesten på en god måte. Brukergrensesnittet for å administrere tjenesten er en viktig del av sikkerhetsgrensesnittet mot omverdenen, og må kunne hindre uautorisert tilgang til, og endring av, ressurser, applikasjoner og informasjon.

Typiske oppgaver er oppretting og avvikling av brukerkontoer, håndtering av brukerinformasjon og endring eller bestilling av nye tjenester. I noen tilfeller kan også administrasjon av tjenesten være satt ut til en underleverandør.

Autentisering av brukere for administrasjon av tjenesten

Brukere som skal administrere tjenesten må autentiseres før de kan få tilgang til å utføre oppgaver, rapportere feil eller legge inn endringsordre.

Skyleverandøren må sikre at alle administrative forespørsler som kan påvirke sikkerheten skjer gjennom sikre kanaler. Dersom man ikke har tilstrekkelig streng autentisering, kan uautoriserte få tilgang til å gjennomføre oppgaver som kan påvirke sikkerheten.

Du bør forsikre deg om at:

  • Du er kjent med alle kanaler leverandøren mottar henvendelser på (for eksempel portal, telefon, e-post etc.).
  • Bare autentiserte brukere fra din organisasjon har tilgang til å bruke disse kanalene
    Du bør gjøre en vurdering av leverandørens mekanismer for autentisering i de ulike kanalene, med utgangspunkt i den risikovurderingen du har gjort.
    Dersom du kan få tilgang til tjenesten fra internett, er det ekstra viktig at brukergrensesnittet er designet for å motstå angrep.
    Brukere fra virksomheten din som har en administratorrolle i systemet har sannsynligvis tilgang til store mengder informasjon. Det er derfor viktig at du begrenser slike tilganger til dem som har behov for det. Rollebasert tilgang er en viktig mekanisme for å håndtere dette.

Skille mellom ulike brukere/kunder i administrasjonsgrensesnittet

Mange skytjenester administreres gjennom webapplikasjoner eller APIer (Application Programming Interface). Disse brukergrensesnittene er en viktig komponent når det gjelder sikkerhet. Dersom det ikke skilles tilstrekkelig mellom ulike brukere/kunder i administrasjonsgrensnittet, kan man risikere at én kunde kan påvirke tjenesten eller informasjonen til en annen kunde.

Sikker bruk

Selv den sikreste tjeneste og informasjonen i den kan bli kompromittert dersom tjenesten brukes galt. Derfor har også du som kunde et ansvar når du bruker tjenesten.

Hvor langt ditt ansvar strekker seg, vil avhenge av hvilken tjenestemodell det er snakk om. Figuren nedenfor illustrerer hvordan ansvaret for gjennomføringen av oppgaver er ulikt for de forskjellige tjenestemodellene.

Dersom du bruker infrastruktur eller plattform som skytjeneste, har du som kunde et betydelig ansvar for sikkerheten i de systemene du selv har bygget eller installert oppå tjenesten. Konfigurasjon av operativsystem og gjennomføring av sikkerhetsoppdateringer vil da være ditt eget ansvar.

Når du benytter en skytjeneste må du:

  • Ha kunnskap om ulike konfigurasjonsmuligheter for tjenesten, og hvilke følger ulike valg får
  • Forstå hvilke sikkerhetskrav som stilles til din bruk av tjenesten
  • Gjennomføre opplæring av dine ansatte, slik at de vet hvordan de benytter tjenesten på en sikker måte

Husk også at det er du som er ansvarlig for at informasjonen virksomheten din forvalter er tilstrekkelig sikret – du er derfor ansvarlig for å følge opp at leverandøren gjennomfører sine oppgaver på en tilfredsstillende måte.

​Sikkerheit i IT-anskaffingar

Tjenesteutsetting er å kjøpe gjennomføring av en oppgave som en tjeneste fra en ekstern leverandør istedenfor å gjøre den selv.

Hvis du ønsker å kjøpe IT-tjenester, må du skaffe deg oversikt over hvilke sikkerhetsbehov disse tjenestene må oppfylle. Du må finne ut hva slags informasjon som vil bli behandlet i tjenesten, og vurdere behovet for informasjonssikkerhet knyttet til denne informasjonen. Vurderingen danner grunnlag for å finne ut om du må stille spesielle krav til leverandøren og/eller til måten informasjonen skal behandles på.

Hvordan får du oversikt over sikkerhetsbehovene?

Difi har laget en veiledning om styring og kontroll på informasjonssikkerhetsområdet.

Den omfatter kartlegging av

  • arbeidsoppgaver (prosesser)
  • informasjon som behandles i prosessene
  • sikkerhetsbehov knyttet til informasjonen

Kartleggingen er en del av aktiviteten Risikovurdering i veiledningen og hjelper deg med å få oversikt over hvilke behov du har for informasjonssikkerhet.

Hvem har ansvaret og hvem kan hjelpe deg?

Virksomhetens øverste leder (direktøren) har det øverste ansvaret for informasjonssikkerheten i virksomheten.

Den som har ansvaret for tjenesten som skal settes ut kalles "behovshaver"  og er den nærmeste til å identifisere og vurdere behovet for for informasjonssikkerhet knyttet til tjenesten.  

Behovshaver har ansvaret for å formidle behovene for informasjonssikkerhet til deg som skal gjennomføre anskaffelsen, slik at de blir en del av konkurransegrunnlaget.

Den som er fagansvarlig for informasjonssikkerhet i virksomheten kan bistå i vurderingene av hvilke krav du bør stille til informasjonssikkerhet. 

Statens standardavtaler inneholder også en del krav til informasjonssikkerhet som du bør vurdere opp mot behovet. Kanskje noen av kravene dine allerede er dekket av standardbestemmelser i avtalen du skal bruke?

Utsetting av IT-drift 

Når du setter ut IT-drift overlater du dataene dine til leverandøren. Derfor må ha gjort en grundig risikovurdering og funnet ut hvor strenge sikkerhetskrav du må stille. Dersom systemene du vil sette ut driften av inneholder personopplysninger, må du inngå en databehandleravtale med leverandøren. Det er også krav i personverlovgivningen (GDPR) knyttet til hvor leverandøren kan være plassert geografisk. Dersom leverandøren er lokalisert utenfor EØS-området gjelder det spesielle krav.  

Utsetting til en skyløsning

Når du setter ut dataene dine i en skyløsning vet du ikke nødvendigvis hvor dataene dine befinner seg. Dersom de inneholder personopplysninger må du forsikre deg om at de lagres innenfor EØS-området, eller i land som personregelverket tillater at personopplysnigene overføres til, men da må du ha inngått en egen avtale.  

Fjerntilgang 

Når du setter ut systemer og data til en leverandør er det ikke gitt at de som står for driften befinner seg på samme geografiske lokasjon som dataene og systemene. Særlig i forbindelse med skyløsninger er det vanlig å plassere brukerstøtte og vedlikehold på mange ulike steder, slik at systemene kn driftes hele døgnet uten at det er nødvendig å jobbe utenfor arbeidstiden. Det betyr at personer kan ha tilgang til data som er lagret innenfor EØS fra f.eks. Filipinene eller USA. Det at de har tilgang gjør at de per definisjon har mulighet for å lagre dataene i landet de har tilgang fra, og du må derfor ha avtale om overføring av opplysninger med disse landene.  

Konsulenter som arbeider i dine lokaler

Dersom du leier inn konsulenter som sitter i dine lokaler og utvikler løsninger på dine systemer, er det viktig å holde oversikt over hva slags tilganger de får. De bør ikke ha tilgang til mer enn det de trenger for å utføre de oppgavene de er leiet inn for og det er viktig at brukeren deres blir slettet når de er ferdig med oppdraget. Dette er spesielt viktig hvis de har hatt mulighet for å jobbe via fjerntilgang.

​​Reglar for lagring og behandling av informasjon

Personopplysningar

Personopplysningar må behandlast forsvarleg. Viss skytenesta skal lagre eller behandle personopplysningar, gjeld det eigne krav om kor data kan lagrast og behandlast.

Personopplysningslova gjeld for alle som behandlar personopplysningar, og det er ingen spesielle reglar for skytenester. Det er likevel krav knyttet til kor personopplysningar kan lagrast og behandlast.

Personopplysningar kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene.

EØS

Alle land innanfor EØS-området har regelverk som tilfredsstiller EUs datalagringsdirektiv. Leverandører EØS-området har derfor ei forsvarleg behandling av personopplysningar.

Viss ein skyleverandør kan garantere lagring og behandling innanfor EØS-området, og elles tilfredsstiller krava til ein databehandlar, kan du bruke tenestene til leverandøren.

Canada, Australia og Sveits er også godkjent av EU som trygge mottakarstatar for personopplysningar. I tillegg kan du inngå ein avtale med databehandlaren (skyleverandøren) gjennom EUs standardkontraktar. Mange av dei store skyleverandørane bruker allereie desse kontraktane.

USA

Det er også etablert ei sertifiseringsordning for verksemder i USA som ønsker å behandle og lagre personopplysningar frå EØS-området – kalla EU-US Privacy Shield. Viss ein leverandør er ein del av denne ordninga, er det tillate å lagre og behandle data hos denne leverandøren, også i USA.

Datatilsynet har laga ei kortfatta oversikt over kva reglar som gjeld viss du skal overføre personopplysningar til utlandet.

Viss du skal lagre og behandle personopplysningar i ei skyteneste, anbefaler vi også at du les Datatilsynets rettleiar for skytenester som skal behandle personopplysningar.

Helseopplysningar

I utgangspunktet gjeld dei same reglane for helseinformasjon som for personopplysningar.

På Direktoratet for e-helse sine nettsider finn du norm for informasjonssikkerheit og rettleiar i bruk av skytenester til behandling av helse- og personopplysningar. Formålet med normen er å bidra til tilfredsstillande informasjonssikkerheit i helsesektoren.

Arkiv

Alle offentlege organ (statlege, fylkeskommunale eller kommunale verksemder) skal ha arkiv. Som hovudregel skal alle dokument som vert saksbehandla eller har verdi som dokumentasjon, journalførast og arkiverast. Det betyr at slike dokument er omfatta av arkivlova.

Gjeldende arkivlov forbyr at dokumentasjon som er omfatta av arkivlova, lagrast på serverar i utlandet. Dette har skapt mykje usikkerheit om bruk av skytenester for offentlege fagsystem og kontorstøttesystem, fordi slike system genererer dokument som vil falle inn under arkivlova.

Arkivverket har uttalt at bruk av tenester som ikkje inneber ei permanent lagring av dokumentasjonen utanfor Noreg, vil vere greitt i samsvar med regelverket. Så lenge informasjonen vert overført til ein servar som er i Noreg, vert kravet i arkivlova rekna som oppfylt.

Utfordring

Hugs at eit arkiv kan innehalde mykje ulik informasjon. Viss arkivet ditt inneheld skjermingsverdig informasjon eller personopplysningar, så gjeld reglane i høvesvis sikkerheitslova og personopplysningslova også for arkivet.

Endring i regelverket

Arkivlovutvalget har anbefalt regelfesting av offentlege verksemders bruk av skytenester for arkiv. Utvalet har levert innstilling og forslår åpning for bruk av skya, men sett samstundes vilkår for sikkerheit og ivaretaking av arkivdokumenta.

Rekneskap og bokføring

Kommunar, fylkeskommunar og verksemder som fører rekneskap etter rekneskapslova, må følge krava i bokføringslova om oppbevaring av rekneskapsdata.

Bokføringslova inneheld krav til korleis rekneskapsdata skal oppbevarast. Desse krava gjeld for verksemder som fører rekneskap etter rekneskapslova og for kommunar og fylkeskommunar som fører rekneskap etter kommunelova. Kommunar og fylkeskommunar må også følge forskrift om årsmelding og årsrekneskap.

Lagring innanfor EØS

Bokføringslova med forskrifter stiller krav om at bokføringsdata skal lagrast i land innanfor EØS-området. Desse er nærare beskrivne i ei eiga forskrift. I dag omfattar denne Danmark, Finland, Sverige og Island. Dette er land skattemyndigheitene har eigne avtalar med, slik at dei kan få tilgang til data viss dei treng det.

Det er ikkje ulovleg å sende bokføringsinformasjon ut av EØS, eller å lagre og behandle slik informasjon i utlandet. Kravet er då at det vert tatt ein kopi av rekneskapen etter årsavslutning (seinast innan 7 månader) og at denne kopien vert lagra i Noreg eller i eit av dei landa som er ført opp i forskrifta.

Viss bokføringsinformasjonen vert oppbevart utanfor Noreg skal det sendast melding til Skatteetaten om dette.

Det er også mogleg å søke Skatteetaten om dispensasjon frå regelen. Du finn meir informasjon om dette på Skatteetatens nettsider

Gradert informasjon

Både tryggingslova og verneinstruksen stiller krav til forvaltning av skjermingsverdig (gradert) informasjon. Desse krava gjer at det er vanskeleg å lagre slik informasjon hos utanlandske leverandørar.

Døme på informasjon det kan vere aktuelt å gjere ei verdivurdering for er beredskapsplanar, samfunnskritiske FoU-prosjekt, etterretningsrapportar, oversikt over sårbarheiter som kan utnyttast av utanforståande, verksemdskritiske informasjonssystem og store, sentraliserte databasar.

Spesielle krav til gradert informasjon

Det er berre Nasjonal sikkerhetsmyndigheit (NSM) som kan godkjenne informasjonssystem eller leverandørar som skal behandle gradert informasjon.

For elektronisk informasjon som er underlagt verneinstruksen gjeld dei same reglane som for informasjon som er gradert som avgrensa etter tryggingslova.

Tilsyn 

Tilsyn med ei skyteneste set krav til dokumentasjon som viser at nødvendige rutinar og sikring av data er tatt vare på.

  • Datatilsynet fører tilsyn med personopplysningar
  • Arkivverket fører tilsyn med arkiv
  • Fylkesmennene fører tilsyn med kommunane
  • Difi fører tilsyn med universell utforming av IKT

Tilsyna skal vurdere om informasjonen vert behandla på ein forsvarleg måte, og at infrastrukturen er tilfredsstillande sikra.

Viss du har system i eit lokalt servarrom, er det enkelt å gi tilsyna tilgang til å sjekke at alt er i orden. Når systema vert leverte frå, eller køyrer på ei skyteneste, er det meir komplisert.

Revisjon

For tilsyna er det viktig at du kan legge fram dokumentasjon som viser at dei områda det skal førast tilsyn med er i tråd med regelverket. I dei fleste tilfella vil dette dreie seg om fysisk sikring av datasentra, og informasjonssikkerheit og rutinar for databehandling.

Det er ikkje føremålstenleg for ein leverandør av skytenester å gi sektortilsyn frå ei rekke ulike land tilgang til sine datasenter. Derfor er det vanleg å få eit uavhengig revisjonsfirma til å gjennomføre ein ekstern revisjon. Revisjonsrapporten vert så gjort tilgjengeleg for kundane, som igjen kan bruke den som dokumentasjon mot nasjonale sektortilsyn.

Hugs

  • Leverandør skal ha rutinar for å gjennomføre revisjonar
  • Dokumentasjonen av gjennomførte revisjonar skal legjast fram for tilsyna

Sharethis

Hjelp oss å bli bedre

Fant du det du lette etter?

Tilbakemeldinger blir ikke besvart. Gå til siden med kontaktinformasjon hvis du trenger hjelp.

Hjelp oss å bli bedre
*