Beskrivelse av oppdraget/bistandenOppdragsgiver ønsker å anskaffe sikkerhetstesting av to systemer som oppdragsgiver selv drifter. Formålet er å identifisere sårbarheter, svakheter og sikkerhetsrisiko som kan utnyttes av eksterne eller interne aktører, samt å motta anbefalinger og tiltak for risikoreduserende forbedringer.Oppdragsgiver ønsker tilbud på flere nivåer av sikkerhetstesting, da endelig omfang ikke er besluttet. Leverandøren bes derfor levere pris og beskrivelse for tre definerte.Oppdraget omfatter systemer og informasjon som kan være underlagt sikkerhetsloven og/eller innebære skjermingsverdige forhold. Oppdragsgiver vil derfor ikke inkludere systemspesifikke sikkerhetsopplysninger i dette konkurransegrunnlaget. Nærmere teknisk scope vil bli delt til aktuelle leverandører. Formålet med oppdraget er å gjennomføre sikkerhetstesting som:Identifiserer sårbarheter, svakheter og risiko i systemeneVurderer utnyttbarhet og konsekvensGir konkrete, prioriterte tiltak for risikoreduseringKan gi et realistisk bilde av deteksjons- og beredskapsevne der dette er relevant.Det er ikke avgjort omfanget/hvilket nivå av sikkerhetstesting som faktisk trengs. Leverandøren skal derfor levere tilbud med pris og beskrivelse på hver av de 4 følgende sikkerhetstesting nivåene: Basis sikkerhetstestingFormål: Rask kartlegging av eksponering og sårbarheter med verifisering av sentrale funn.Minimum innhold:Oppstartsmøte og planleggingRekognosering og overordnet kartleggingAutomatisert sårbarhetsskanning (ekstern og/eller autentisert der relevant)Verifisering av funn (falske positiver fjernes)Rapport med funn, risikovurdering og anbefalte tiltakKort muntlig gjennomgang Utvidet penetrasjonstestFormål: Manuell testing for å avdekke sårbarheter og svakheter som ikke fanges av scanning.Minimum innhold: Alt i basis sikkerhetstesting, samt:Penetrasjonstest av applikasjon og relevante grensesnitt/APITest av autentisering/autorisasjon (inkl. tilgangsstyring/rollemodeller)Testing mot relevante deler av OWASP Top 10 / OWASP ASVS (eller tilsvarende metodikk)Prioritert tiltaksplan (quick wins + strukturelle tiltak)Gjennomgang av resultater med relevante fagressurserDette skal kunne gjennomføres som uvarslet test overfor drift/operasjonsmiljø. Avansert sikkerhetstesting (uvarslet/“realistisk aktør”)Formål: Realistisk simulering av angriper/aktør, med fokus på kjedede angrep, modenhet og evne til deteksjon/håndtering.Minimum innhold: Alt i utvidet penetrasjonstest, samt:Risiko- og scenariobasert tilnærming (abuse cases)Test av kjedede angrep (der det er relevant)Verifisering av sikkerhetskontroller (f.eks. logging/deteksjon/varsling der relevant)Leveranse som inkluderer anbefalinger for styrking av sikkerhetsmodenhet og videre program Uvarslet testUvarslet test gjennomføres overfor relevante drifts- og operasjonsmiljøer. Det innebærer at personell som til daglig drifter systemene i utgangspunktet ikke skal informeres om tidspunkt og metode.Kontrollgruppe (“White Cell”) og kontaktpunktOppdragsgiver etablerer en begrenset kontrollgruppe (“White Cell”) som er informert om testen og autorisert til å:Godkjenne testgrenser og testvindu,Håndtere eskalering,Stoppe testingen ved behov.Leverandøren skal forholde seg til White Cell som eneste kontaktpunkt under testperioden. Leverandøren skal før oppstart utarbeide et Rules of Engagement (RoE)-dokument som minimum omfatter:Testomfang og avgrensningerTestvindu, varighet og tidsbegrensningerForbudte handlinger (minst: DoS/DDoS, datadestruksjon, endring i produksjonsdata, masseeksfiltrasjon)Eskaleringsrutiner og stop-mekanisme (“kill switch”)Håndtering av funn med umiddelbar kritikalitetLogging og dokumentasjon av testaktivitetRoE skal godkjennes skriftlig av White Cell før gjennomføring.Dersom testaktiviteten utløser sikkerhetsalarmer eller hendelseshåndtering, skal leverandøren umiddelbart varsle White Cell. White Cell er ansvarlig for intern håndtering og avklaringer. BegrensningerOppdraget er systemorientert. Aktiviteter som innebærer målretting eller testing av enkeltansatte, herunder sosial manipulering, phishing, spear phishing eller tilsvarende, inngår ikke, med mindre dette bestilles særskilt og reguleres i egne vilkår.Leverandøren skal ikke samle inn eller behandle personopplysninger utover det som er nødvendig for sikkerhetstesting, og rapportering skal som hovedregel ikke utformes slik at den gir grunnlag for vurdering av enkeltansattes prestasjoner. Forventet leveranseRapport per system med:· Scope og forutsetninger· Metode og testtilnærming· Funn med alvorlighet/risiko (faglig vurdering)· Anbefalte tiltak og prioriteringTiltaksplan (tabellformat: funn → tiltak → prioritet → estimert innsats)· Executive summary egnet for ledelse· Muntlig gjennomgang Varighet: Tentativt fra mars (Q1/Q2). Oppstart og lengde vil avtales nærmere i dialog med leverandør ut ifra omfanget på oppdraget.Arbeidssted: Oslo/omegn Intern søknadsfrist: 6 februar