VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Transkript

1 ANSKAFFELSESNR.: K Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen Leveranseomfang Beskrivelse av grensesnitt/nåsituasjon Absolutte krav til leveransen... 4

2 ANSKAFFELSESNR.: K Rammeavtale informasjonssikkerhet Side 2 av 5 1. Bakgrunn og formål med anskaffelsen Med utgangspunkt i digitalisering og økt på satsing på utnyttelsen av IKT i forretningskritiske prosesser, endringer i lovverk (blant annet sikringsforskriften og personvernforordningen), et mer krevende trusselbilde generelt og som konsekvens av konkurranseutsetting, skal avtalen sikre tilgang på nødvendig spesialistkompetanse og kapasitet til å utføre oppgaver som bidrar til å etablere og vedlikeholde et sikkerhetsnivå med akseptabel risiko i NSB. 2. Leveranseomfang Avtalen skal sikre tilgang til fagressurser med tilstrekkelig kompetanse og erfaring innenfor områdene omtalt under. 2.1 Utførelse av Risikovurderinger, herunder verdivurdering, trusselvurdering og sårbarhetsvurderinger. Tjenesten omfatter utførelse av risikovurderinger, herunder verdivurdering, trusselvurdering og sårbarhetsvurderinger. Leverandøren skal i samarbeid med Kunden ta i bruk Kundens til enhver tid gjeldende metode for risikovurdering. Risikovurderingene som utføres for Kunden skal oppsummeres i en skriftlig rapport. Rapporten skal som minimum beskrive risikoene og anbefalte tiltak. Rapporten skal inneholde en kortfattet oppsummering for ledelsen. Risikovurderingen skal etter avtale inneholde en benchmark i forhold til lovverk evt. ISO eller tilsvarende, evt. en benchmark i forhold til tidligere gjennomførte risikovurderinger på samme området. 2.2 Utførelse av sikkerhetsrevisjoner Tjenesten innebefatter utførelse av sikkerhetsrevisjoner for blant annet å kontrollere at det er gjennomført nødvendige sikkerhetstiltak. verifisere at sikkerhetstiltakene fungerer. kontrollere at lover og regler om informasjonssikkerhet følges. sikre at etablerte prosedyrer for sikkerhet benyttes og fungerer etter hensikten. verifisere at partnere og leverandører driver virksomheten i samsvar med krav som fremgår av kontrakter og avtaler. 2.3 Sikkerhetstesting Test av infrastruktur Tjenesten omfatter sikkerhetstesting av Kundens internettforbindelser for eventuelle sikkerhetsrisikoer. Kunden har en rekke grensesnitt mot ulike samarbeidspartnere, og Leverandøren skal kunne utføre interne og eksterne sikkerhetstester av Kundens grensesnitt. Leverandøren skal kunne teste sikkerhet i Kundens interne infrastruktur, sikkerhetstest av tjenere, rutere og annen infrastruktur i Kundens interne nettverk.

3 ANSKAFFELSESNR.: K Rammeavtale informasjonssikkerhet Side 3 av 5 Leverandøren skal kunne teste sikkerhet i operasjonelle systemer ombord i kjøretøy, nettverkstilkoblinger og tilhørende infrastruktur Test av applikasjoner Kunden har egenutviklede applikasjoner. Tjenesten omfatter gjennomgang av kildekode for å identifisere overordnede sikkerhetsrisikoer og angrepsflater og omfatter sikkerhetstesting av Kundens egenutviklede applikasjoner eksponert mot Internett. Tjenesten omfatter også sikkerhetstester av Kundens egenutviklede applikasjoner som ikke er eksponert mot Internett Rapportering sikkerhetstesting Alle funn fra en sikkerhetstest skal rapporteres. All kommunikasjon skal primært foregå på norsk, og engelsk benyttes dersom Kunden spesifiserer dette. Rapportene skal omfatte varslinger med hvor alvorlig funnene er, oppsummeringsrapporter og evt. møter/presentasjoner. Rapportene skal rangere funn etter alvorlighetsgrad. 2.4 Utarbeidelse av sikkerhetsdokumentasjon Tjenesten omfatter utarbeidelse av dokumentasjon av retningslinjer, standarder, prosedyrer, veiledninger, prosesser etc. innen informasjonssikkerhet. 2.5 Rådgivning Avtalen omfatter generelle rådgivningsoppdrag innen informasjonssikkerhet. Listen under er eksempler på aktuelle oppgaver og er ikke uttømmende: - Vurderinger av, og gi anbefalinger om, nettverks- og sikkerhetsarkitektur. - Kvalitetssikring av kravspesifikasjoner/ designforslag av løsninger for å verifisere at det ikke er sikkerhetshull - Rådgivning rundt operasjonalisering av ISMS (styringssystem for informasjonssikkerhet) - Opplærings- og bevisstgjøringsaktiviteter 3. Beskrivelse av grensesnitt/nåsituasjon NSB har Wipro AS som leverandør av IT-driftstjenester. Leverandøren skal kunne samarbeide med Wipro innenfor de rammer Kunden setter.

4 ANSKAFFELSESNR.: K Rammeavtale informasjonssikkerhet Side 4 av 5 4. Absolutte krav til leveransen Leverandør skal ha et helhetlig ansvar for de tjenestene og ytelsene som er omfattet av rammeavtalen. Absolutte krav til leveransen må være tilfredsstilt før tilbudet kan komme i betraktning. Dersom tilbudet inneholder vesentlige avvik fra disse kravene skal det avvises. Nr Beskrivelse Krav oppfylt ja/nei 4.1 Generelt Leverandøren skal utføre tjenesten i Kundens lokaler i Oslo Leverandør skal i være i stand til å stille personell på oppmøtested utenfor Oslo på bestilling. Reiseutgifter/reisetid godtgjøres i henhold til statens reiseregulativ. Leverandøren skal kunne utøve bistanden ut over normal arbeidstid kl All sikkerhetstesting skal hovedsakelig foregå fysisk i Kundens lokaler, men skal også kunne utføres fra tredjepart eller Leverandørens lokaler. 4.2 Dokumentasjonskrav Leverandøren skal dokumentere alle konsulenttjenester som utføres for Kunden med en skriftlig rapport, samt tilgjengeliggjøre bakgrunnsinformasjon. All kommunikasjon skal primært foregå på norsk. Engelsk benyttes dersom Kunden spesifiserer dette. 4.3 Sikkerhetstesting Sikkerhetstesting skal bestå av automatiserte og manuelle oppgaver. Det skal gå tydelig fram hvilke deler av sikkerhetstestingen som gjennomføres manuelt Leverandøren skal ha et baselining-verktøy eller metode, slik at man over tid kan vise endringer i sikkerhetsnivået. 4.4 Krav til behandling av informasjon

5 ANSKAFFELSESNR.: K Rammeavtale informasjonssikkerhet Side 5 av 5 Nr Beskrivelse Krav oppfylt ja/nei Leverandøren skal sikre at tilbudt personell håndterer personopplysninger, deriblant sensitive personopplysninger, på en tilfredsstillende måte, jf Lov om behandling av personopplysninger med tilhørende forskrift. Databehandleravtale i henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 skal inngås mellom Kunde og Leverandør Leverandøren skal håndtere sensitiv informasjon på en måte som ivaretar krav til konfidensialitet, integritet og tilgjengelighet. Kommunikasjon som inneholder sensitiv informasjon og/eller personopplysninger skal krypteres. Det skal krypteres med den til enhver tid godkjente metode/løsning. Leverandøren skal ha tilfredsstillende sikring av de områder der sensitiv informasjon er fysisk lagret. Områdene skal sikres på en måte som ivaretar kravene som stilles til konfidensialitet, integritet og tilgjengelighet. Leverandøren skal ha tilfredsstillende sikring av de områder der sensitiv informasjon er logisk lagret. Områdene skal sikres på en måte som ivaretar kravene som stilles til konfidensialitet, integritet og tilgjengelighet. Leverandøren skal sikre krav til konfidensialitet, integritet og tilgjengelighet ift øvrig ervervet informasjon som lagres i Leverandørens lokaler og systemer. Informasjon om/fra Kunden som ikke lenger er nødvendig å lagre, skal destrueres på en sikker måte. 4.5 Krav til Leverandørens konsulenter Leverandøren skal sikre at tilbudt personells kompetanse vedlikeholdes og det foretas kompetanseoverføring internt ved utskifting av personale og til Kunden under utførelse av oppdrag Leverandørens personale vil gjennom oppdrag opparbeide seg NSB spesifikk kompetanse. Leverandøren har ansvar for å overføre denne kompetansen til etterfølgende tilbudte konsulenter, samt dekke kostnader for dette Tilbudte personell må kunne sikkerhetsklareres ihht Sikkerhetsloven, men det er ikke krav til at klarering innehas.