Informasjonssikkerhet og personvern i gjennomføringfasene

I gjennomføringsfasene må dere følge opp at avtalte tiltak for informasjonssikkerhet og personvern blir implementert i produktene/leveransene, og verifisere at kravene er tilfredsstilt. Dere må også følge opp behov for nye risikovurderinger ved endringer, og sikre overlevering til linjen.

Publisert: 03. Mai 2019, Sist endret: 21. okt 2019

Underveis i gjennomføringsfasen(e) får dere mer innsikt i systemets funksjonalitet. Dere må foreta nye risikovurderinger ved behov, spesielt ved større endringer.

For en utfyllende beskrivelse av hvordan dere går fram for å sikre innebygd personvern i et produkt, se Datatilsynets veileder Programvareutvikling med innebygd personvern.

Informasjonssikkerhet og personvern skal være tema i følgende aktiviteter i gjennomføringsfasen(e):

Fremskaffe fasens produkter

I denne aktiviteten utformes og fremskaffes de planlagte produktene/leveransene og det verifiseres at de tilfredsstiller kravene til informasjonssikkerhet og personvern som ble beskrevet i planleggingsfasen. Testdetaljer og ansvaret for testene avhenger av produktene, utviklingsmetode og om produktene er utviklet internt eller anskaffet. Ved test skal det brukes syntetiske personopplysninger.

Sikkerhetstesting omfatter tester av funksjonelle sikkerhetskrav, risikobaserte sikkerhetskrav, tester som leter etter kjente sårbarheter (sårbarhetstester) og penetrasjonstester som skal finne mangler ved etablerte sikkerhetstiltak eller sårbarheter som ikke er avdekket gjennom sårbarhetstesting. Sikkerhetstesting kan kreve spesielle testdata og oppsett av spesielle testmiljøer. Behovet for sikkerhetskompetanse skal være avdekket i planleggingsfasen.

Bruk gjerne tilgjengelige ressurser på nett som OWASP for å teste for sårbarheter og OpenSAMM eller BSIMM for anbefalte programvaresikkerhetsaktiviteter.
 

Gjennomføre anskaffelser og inngå kontrakter

I planleggingsfasen har dere beskrevet krav til informasjonssikkerhet og personvern. Ved en anskaffelse vil kontrakter og avtaler bli inngått i gjennomføringsfasen(e). Innholdet i kontrakter og avtaler er avhengig av hva som anskaffes; utvikling, ferdig system, drift eller vedlikehold. For eksempel hvis en virksomhet setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter må partene inngå en databehandleravtale.

Hvis en virksomhet skal anskaffe en app, løsning eller system som skal behandle personopplysninger, er virksomheten behandlingsansvarlig etter personopplysningsloven og har plikt til å anskaffe en app, løsning eller system som har innebygd personvern.

Eksempler på informasjonssikkerhetskrav i anskaffelser

Overlevere ferdige produkter til linjen

Eksempel på informasjonssikkerhetsoppgaver i denne aktiviteten:

  • Bekrefte at organisatoriske (roller, ansvar, ressurser) og pedagogiske (kompetanse, kultur) sikkerhetstiltak er på plass i linjeorganisasjonen.
  • Bekrefte at nødvendige sikkerhetsrelaterte prosedyrer er på plass (for eksempel prosess for sikkerhetsoppdateringer og driftsovervåking).
  • Etablere en plan for å håndtere hendelser relatert til produktene og leveransene. Dersom hendelsen omfatter informasjonssikkerhetsbrudd relatert til personopplysninger skal virksomheten varsle Datatilsynet innen 72 timer og den registrerte skal varsles umiddelbart.
  • Er det utestående arbeid (teknisk gjeld) for å oppfylle sikkerhetskravene? Må det etableres midlertidige prosedyrer for å oppnå tilstrekkelig sikkerhet? Finnes det en plan for å håndtere utestående arbeid?

Henvisninger

Statens kompetansemiljø for informasjonssikkerhet i Difi gir råd og veiledninger på informasjonssikkerhetsområdet.

Alle offentlige virksomheter skal ha internkontroll på informasjonssikkerhetsområdet, les mer på Difis sider om Internkontroll i praksis – informasjonssikkerhet.

Datatilsynet gir råd og veiledninger for personvern.

Difis fagsider om offentlige anskaffelser gir veiledning om anskaffelser av IT generelt og skytjenester spesielt.

Deldette