RFI - Sikkerhetsovervåkning

Spk ønsker å styrke sikkerhetsovervåkingen, og gjennomfører i første fase en konseptutredning på alternativer til dagens sikkerhetsovervåking. Utredningen skal gi anbefaling om valg av løsningskonsept. Etter å ha vurdert en rekke operasjonsmodeller, vurderer spk å outsource et delsett av våre sikkerhetsoperasjoner til en managed security services provider (mssp). Det valgte delsettet av outsourcede tjenester relaterer seg til security operations center (soc) -tjenester. i en eventuell fremtidig anbudskonkurranse om en anskaffelse av dette fra en "security operation center leverandør", vil vi i tilfelle kreve følgende grunnleggende tjenester: overvåking og monitorering - leverandøren må tilby muligheten til å motta hendelser generert av kundens infrastruktur, applikasjoner og sikkerhetsverktøy, og av de skytjenester som kunden ønsker overvåket. Disse hendelsene må behandles for å samle, berike og kontekstualisere. Trusseloppdagelse - leverandøren må ha kapabiliteter til å oppdage trusler, flagge sikkerhetshendelser (incidents) og varsle dem. sårbarhetsdeteksjon - leverandøren må ha kapabiliteter til å identifisere sårbarheter fra evalueringen av programvare og it -infrastrukturkonfigurasjon. sårbarhetsstyring - leverandøren må gi muligheten til å bruke score og kontekstuelle berikelser på innsamlede sårbarhetsdata, prioritere identifiserte sårbarheter, spore trender og gi varsler om høyrisiko sårbarheter på kritiske eiendeler/assets. Incident response management - leverandøren må tilby hendelseshåndteringsfunksjoner som gjør at hendelsesrespons kan drives i samarbeid med spk, eller ved behov med spks samarbeidspartnere og leverandører. Analyse - leverandøren må kunne levere analyser av hendelser og skadevare, og i tillegg tilby analysemuligheter for taktiske undersøkelser av hendelser og skadevare til spk. i tillegg må den valgte leverandøren tilby muligheten for datavisualisering og hendelsesanalyse til spk. Trusseletterretning (threat intelligence) - leverandøren må ha kapabiliteter for innsamling av relevant trusselinformasjon, trusselanalyse og -håndtering, og for trusselmodellering. i tillegg vil det være nødvendig for leverandøren å kunne konsumere trusseletterretninger levert av spk. Samarbeid med andre - leverandøren må samarbeide med eller være en del av et nettverk av andre soc, cert, csirt eller liknende, slik at spk direkte eller indirekte kan dra nytte av et slikt samarbeid. rådgiving - leverandøren må kunne levere rådgivingstjenester knyttet til beste praksis for sikkerhetsovervåking og hendelseshåndtering. rådgivingstjenestene skal ikke være en del av selve hendelseshåndteringen, men være knyttet til videreutvikling av sikkerhetsoperasjonene i spk. Kurs og kompetanseheving - leverandøren må kunne levere kurs og kompetanseheving knyttet til beste praksis for sikkerhetsovervåking og hendelseshåndtering. Drift og administrasjon - spk forventer at leverandøren administrerer og drifter alle sine egne teknologier og løsninger som de anvender for å levere managed soc -tjenestene. Drift og administrasjon av løsninger, verktøy og agenter i spks infrastruktur som benyttes til logginnsamling avtales nærmere ved avtaleinngåelse. Andre integrasjoner - spk har i dag en rekke logg-kilder og sikkerhetssystemer som kan brukes til sikkerhetsovervåking. Spk ønsker at disse løsningene integreres med soc-infrastrukturen som leverandøren bruker til å levere tjenesten, så langt det er hensiktsmessig og sikkerhetsmessig forsvarlig.