Om Oppdraget

Helsedirektoratet skal ta i bruk ny arkivløsning. Oppdraget er å gjennomføre en sikkerhetstest av den nye arkivløsningen. 

Arkivløsningen hostes og leveres av Documaster. Sikkerhetstesten må gjennomføres på Documaster sin infrastruktur. 

Helsedirektoratets arkivløsninger står på dedikert maskinvare og har egen nettverksinfrastruktur hos Documaster.

Helsedirektoratet har to arkivløsninger hos Documaster, der den ene arkivløsningen er eksponert mot Internett og den andre arkivløsningen er kun eksponert via sikre linjer til Helsedirektoratets infrastruktur. Det er type opplysninger og krav til konfidensialitet som avgjør hvilken av arkivløsningene som blir benyttet til hvilke formål.

Hver av de to arkivløsningene er inndelt i arkivkjerner. Arkivkjerner og innhold blir satt opp og inndelt etter behov. 

Sikkerhetstest på arkivløsning

Del 1:

• Sikkerhetstesten av lukket løsning skal avdekke om det er mulig å tilegne seg uautorisert tilgang til arkivløsningen og om det er andre svakheter med arkivløsningen som bør utbedres.
•  Sikkerhetstesten skal simulere om en ansatt hos Documaster uten tilgang til arkivløsningen kan få aksess.
• Sikkerhetstesten skal se om det er mulig å tilegne seg uautorisert aksess på tvers av arkivløsninger hos Documaster.
• Sikkerhetstesten skal se om det er mulig å tilegne seg uautorisert aksess på tvers av arkivkjernene i en arkivløsning.
• Sikkerhetstesten skal verifisere at arkivkjernen følger beste praksis for sikkerhet og ikke har noen kjente svakheter.

• Sikkerhetstesten av åpen løsning.
• Sikkerhetstesten skal gjennomføres fra Internett og har som mål å avdekke om det er mulig å tilegne seg uautorisert aksess til arkivkjernen. Eller om det er svakheter ved implementasjon og sikringen som kan utnyttes av trusselaktører.

Documaster må legge inn beskrivelse av løsning, teknologi.

Documaster sin arkivløsning er utviklet med utgangspunkt i Noark5 standarden og leveres normalt som en skytjeneste. Arkivløsningen er en javabasert applikasjon som i stor grad benytter seg av open-source programvare, samt en PostgreSQL database. Arkivløsningen har Ubuntu som operativsystem. De ulike arkivkjernene for Helsedirektoratet kjører på LXD containere, som har et underliggende ZFS filsystem hvor filer lagres. 


For ytterligere informasjon om Documaster sin teknologi-stack, så henvises det til følgende artikkel: https://www.documaster.com/no/blogg/documaster-technology-stack

Administrative forhold

• Underveis i testperioden skal det varsles løpende om det oppdages kritiske eller alvorlige feil som bør utbedres umiddelbart.
• Tilbyder må selv ha nødvendige lisenser, programvare og utstyr som skal benyttes i sikkerhetstesten.
• Konsulenter som skal utføre oppdrag skal ha gode kommunikasjonsegenskaper på norsk og/eller engelsk
• Alle som er medvirkende i sikkerhetstesten må underskrive Helsedirektoratets bruker- og taushetserklæring og Documaster sin NDA/Taushetserklæring. Disse blir sendt ut til leverandør før oppstart av oppdraget.
• Gjennomføring: Oppstart så fort som mulig etter avtale.
• Teknisk koordinering av sikkerhetstesten gjøres av Documaster. En kontaktperson vil bli oppgitt.
• Rapportering og varsling av funn gjøres samlet til Helsedirektoratet og Documaster.

Ved søknad trenger vi spisset CV i Word format, informasjon om tilgjengelighet, pris og 2-3 referanser. Besvarelsesarket er hovedgrunnlag for evaluering og utvalg av konsulent.