Oppsummering fra NIFS-møte 23.november 2016

NIFS-spøkelse

Tema for NIFS-møtet denne gangen var informasjonssikkerhet i anskaffelse av skytjenester

Publisert: 15. des 2016, Sist endret: 21. aug 2017

Digitaliseringsrundskrivet for 2016 anbefaler at alle offentlige virksomheter skal vurdere skytjenester som et alternativ når de skal anskaffe IKT-tjenester. Som en oppfølging til dette, har regjeringen lagt frem en nasjonal strategi for bruk av skytjenester. Hovedmålet for strategien er å gi offentlige og private virksomheter større handlingsrom når de skal velge IKT-løsninger. Samtidig er det viktig at offentlige virksomheter har sikre IKT-tjenester. Difi har fått i oppdrag av KMD å utarbeide informasjon og veiledning knyttet til skytjenester generelt, til anskaffelse av skytjenester og til gjennomføring av sikkerhets- og risikovurderinger for skytjenester. 

Seksjonssjef Øivind Grinde orienterte om nytt fra Difi siden forrige NIFS-møte. Han fortalte kort om Difis arbeid med ny strategi, arbeid med standarder og referansekatalogen, gjennomføring av sikkerhetsmåneden 2016, sivil nasjonal øvelse 2016 og arbeid med å få informasjonssikkerhet inn i Difis prosjektveiviser.

Seksjonssjef i ANS, Bente Hagelien, orienterte deretter om Difis arbeid med utarbeiding av veiledningstilbud på skytjenester.

IT-sikkerhetsansvarlig i Bærum kommune, Trond Sundby, fortalte om Bærum kommunes erfaring med anskaffelse av skytjenester og hvilke utfordringer de har støtt på. Se vedlagt presentasjon.

Det ble gjennomført en kort Kahoot-undersøkelse på minimum passordlengde og hvor ofte virksomheten krever bytte av passord. Resultatet inkludert en kort analyse er vedlagt.

Det ble gjennomført en workshop om hvilke utfordringer virksomhetene ser ved anskaffelse av skytjenester og hvilket veiledningsbehov de har. Følgende er en kort oppsummering av diskusjonen:

Hvilke skytjenester har dere anskaffet (om noen)?
Eksempler på skytjenester virksomhetene har anskaffet (eller vurderer å anskaffe) er Office365, utsending av nyhetsbrev, digital eksamen og vasking av e-post.

Hvilke områder er utfordringene på?
Det kan være utfordrende å skrive kravspesifikasjoner som er gode nok og å spesifiere hva man gjør ved oppgradering og utvidelse av løsninger. Dersom man har gradert informasjon kan dette være en utfordring. Både det avtaletekniske og det anskaffelsestekniske oppleves som en utfordring. Flere ønsker seg felles avtaler og sentrale føringer.

Er det utfordringer som gjør at dere har latt være å anskaffe tjenester?
En av virksomhetene hadde anskaffelser som hadde stoppet opp fordi de ikke hadde ressurser til å sjekke ut de juridiske kravene og en annen fordi det å gjøre risikovurdering på personvern ville være for ressurskrevende.

Hvilke områder er det behov for veiledning på?
Flere virksomheter ønsket seg eksempler på gode risikovurderinger og å se hva andre hadde gjort på dette området. En bedre oversikt over kostnader ved skytjenester og sammenheng med personvernforordningen var også ønsket. (Datatilsynet vil komme på neste møte for å snakke om forordningen). Det var også ønske om en bedre forklaring av hva skytjenester egentlig er. Difi har noe informasjon om dette.

Hva er de viktigste punktene man trenger veiledning på?

  • Sjekkliste for risikovurderinger
  • Sjekkliste for leverandørkrav
  • Liste over kost/nytte elementer
  • Statlig whitelist og blacklist over leverandører
  • Oppsummering av lover og regler
  • Standardiserte ikke-funksjonelle krav
  • Utvidelse av lagringskapasitet - gir endringer ophav til en ny anskaffelse
  • SLA - liten kunde kontra stor kunde
  • Ferdige vurderinger av de store aktørene i markedet
  • Vurderinger av basic tjenester
  • Konsekvenser ved valg av modell
  • Gode eksempler
  • Krav til informasjonssikkerhet
  • Forvaltning
  • Tekniske krav og begrensinger
  • Ansvar og roller
  • Revisjon av leverandører
  • Sannsynlighet over hendelser, så kan man selv vurdere konsekvensene

Hvilke kanaler/virkemidler er nyttige for denne typen veiledning?
NIFS-samlinger og presentasjoner på nett ble nevnt som de viktigste kanalene.

Hvordan kan din virksomhet bidra?
Dele bidrag fra egne virksomheter.

Neste NIFS-møte

Neste NIFS-møte er 15. februar. Tema vil være informasjonssikkerhet og universell utforming av IKT. Hvis din virksomhet har erfaring med dette, vil vi gjerne høre fra deg i forkant av møtet. Forslag til tema for fremtidige NIFS-møter kan sendes til infosikkerhet@difi.no.

 

Deldette

Kontakt