ISMS Guiden 1.0

Search

SearchSearch

2.1 - Ivareta sikkerhet i anskaffelses- og utviklingsprosesser

May 03, 20243 min read

Målet med prinsippet: Sikkerhet er en integrert del av prosessene for anskaffelse og utvikling og virksomheten minimerer risiko for at nye IKT-produkter og IKT-tjenester innfører konfigurasjonsmessige og arkitekturmessige sårbarheter.

Hvorfor er dette viktig?

IKT-sikkerhet er viktig i alle IKT-produkter og IKT-tjenester, ikke kun ved anskaffelse av rene sikkerhetsprodukter som en brannmur. Dersom en virksomhet anskaffer IKT-produkter og IKT-tjenester som har svak sikkerhet eller som ikke integrerer godt med virksomhetens øvrig sikkerhetsarkitektur og eksisterende IKT-produkter, kan dette øke sårbarheten og redusere sikkerhetsnivået i IKT-systemet.

Dersom virksomheten mangler gode prosesser for utvikling, test, verifisering og implementering vil sannsynligheten være stor for at sårbarhetene ikke blir oppdaget. Kostnaden ved å rette opp i dette i etterkant er ofte høyere enn kostnaden ved gode forberedelser.

Tilhørende tiltak

TiltakISO 27002
Anskaffelse av IKT-produkter
2.1.1 - Integrer sikkerhet i virksomhetens prosess for anskaffelser5.8 5.21 8.30
2.1.2 - Kjøp moderne og oppdatert maskin- og programvare5.21
2.1.3 - Foretrekk IKT-produkter som er sertifiserte og evaluert av en tiltrodd tredjepart5.21
2.1.4 - Reduser risiko for målrettet manipulasjon av IKT-produkter i leverandørkjeden5.19 5.20 5.21 8.4 8.19 8.26
Utvikling og test mht. egen programvareutvikling
2.1.5 - Benytt en metode for sikker utvikling av programvare8.4 8.25 8.26 8.27 8.28 8.31
2.1.6 - Benytt separate miljøer for utvikling, test og produksjon8.31 8.33
2.1.7 - Gjennomfør tilstrekkelig med testing gjennom hele utviklingsprosessen8.29
2.1.8 - Vedlikehold programvarekode som utvikles eller benyttes i virksomheten8.19 8.26 8.28
Tjenesteutsetting – herunder bruk av skytjenester
2.1.9 - Ta ansvar for virksomhetens sikkerhet også ved tjenesteutsetting5.19 5.20 5.21 5.22 5.23 8.21 8.30
2.1.10 - Undersøk sikkerheten hos tjenesteleverandør ved tjenesteutsetting5.19 5.20 5.21 5.22 5.23

Utdypende informasjon

DevOps/DevSecOps er begreper som er blitt stadig mer aktuelt ifm. utvikling av programvare, kanskje spesielt i forbindelse med tjenester. I korthet går det ut på å utføre kodeendringer som påføres et system i produksjon relativt raskt uten tradisjonelle prosesser med adskillelse som nevnt i 2.1.6. Av navnet ser man at det tradisjonelle skillet på utvikling («Development») og drift («Operations») viskes ut, ofte også organisatorisk. Dersom virksomheten benytter DevOps bør man være ekstra påpasselig med at det ikke innføres sårbarheter som kan påvirke forretningsprosesser. Akkurat som utvikling og drift blir mer automatisert, så bør sikkerhetsprosedyrene for å identifisere programvarekode med sårbarheter også i økende grad automatiseres. Som minimum bør man være mer grundig med kode som har spesiell betydning for sikkerheten.

Lenker

  1. NSM – Temarapport om tjenesteutsetting
  2. [Datatilsynet – Programvareutvikling med innebygd personvern](https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/programvareutvikling-med-innebygd-personvern
  3. Fagsider om offentlige anskaffelser
  4. Veileder om ivaretakelse av sikkerhet i offentlige anskaffelser
  5. UK National Cyber Security Center - Secure development and deployment guidance
  6. [UK National Cyber Security Center - Application development](https://www.ncsc.gov.uk/collection/application-development
  7. CIS CSC 18 - Application Software Security
  8. Common Criteria
  9. OWASP Top Ten

Graph View

Backlinks