Robust elektronisk kommunikation - vägledning för användare vid anskaffning - PTS-ER-2011:16 (uppdaterad 110823)

2011-06-23

Syftet med vägledningen är att ge stöd vid anskaffning av extern elektronisk kommunikation, exempelvis internetanslutning och telefoni.

Målet är att tjänster och information som baseras på elektronisk kommunikation ska kunna tillhandahållas på ett robust och tillförlitligt sätt. Den primära målgruppen för vägledningen är personer på företag, myndigheter och organisationer som anskaffar och/eller förvaltar system och tjänster som är beroende av extern elektronisk kommunikation.

Det finns ett brett utbud av anslutningsformer att välja mellan med ett flertal trådbundna och trådlösa tekniker för extern anslutning. Avgörande för att kunna välja lämplig accessform och att kunna ställa adekvata krav vid anskaffningen, är att en risk- och sårbarhetsanalys genomförs för varje funktion som identifierats som kritisk för verksamheten. Viktiga frågor i riskanalysen är exempelvis: vilka är hoten, hur stor är sannolikheten för ett avbrott, vilka är konsekvenserna av ett avbrott för verksamheten, hur långa avbrott tål verksamheten, vilka kostnader skulle det medföra att minska konsekvensen av ett avbrott, vilka tjänster ska prioriteras i en katastrofsituation, etc.

Baserat på de krav som verksamheten ställer, exempelvis uttryckt i acceptabla avbrottstider, kan tillgängligheten definieras i avtal med olika servicenivåer. I vissa fall kan det vara relevant att teckna avtal med villkor för högre robusthet och tillförlitlighet än vad leverantörernas standardavtal erbjuder. Ett sådant avtal utgör, tillsammans med tillförlitligheten i egen berörd utrustning, grunden för tillgänglighet till extern elektronisk kommunikation. Förutom avtal om krav på tillgänglighet och åtgärdstid etc. bör även avtalet omfatta krav på information från operatörer vid störningar och avbrott.

Vid användning av molntjänster är det bland annat viktigt att ta reda på hur prestanda och tillgänglighet för förbindelsen till molntjänstleverantörens datacenter garanteras samt beakta hur konfidentiell och hemlig information skyddas.

För hantering av IT-angrepp av olika slag, kan det vara tillrådligt att i förväg ha etablerat ett samarbete med en organisation för incidenthantering.