Brønnøysundregistrene (BR) har behov for sikkerhetsarkitektbistand i ulike utviklingsprosjekter, samt bistand i forbindelse med gjennomføring av et cybersikkerhetsprogram ved avdeling Informasjonsteknologi. Bistanden vil være en kombinasjon av konkret løsningsarbeid rundt applikasjonssikkerhet og rådgivning på dette, samt at sikkerhetsarkitekten vil inngå i det teamet som skal drive cybersikkerhetsprogrammet. I cybersikkerhetsprogrammet vil det bli igangsatt ulike prosjekter utover 2022 og 2023 som skal heve modenheten til BR rundt operasjonell sikkerhet.

Det er flere aktuelle utviklingsprosjekter ved BR som har behov for sikkerhetsarkitektbistand innen applikasjonssikkerhet. Det er behov for å etablere og videreutvikle sikkerhetsarkitektur i de ulike løsningene, samt bygge felles sikkerhetsarkitektur for BR. I den forbindelse har BR behov for arkitekturkompetanse innen fagområdet IT sikkerhet, som kan bistå med å videreføre arbeid som pågår med å etablere sikkerhetsarkitekturen, finne løsningskonsepter og følge opp implementasjon av sikkerhetsløsninger. Prosjektene jobber etter smidige prosesser, der god kommunikasjon på tvers av fagområder er viktig. Dette vil også være sentralt for å bygge sikkerhetsarkitekturen videre. Prosjektene har allerede tatt i bruk teknologier som vil legge føringer for sikkerhetsarkitekturen og tilhørende løsninger, f.eks applikasjonsplattformen Openshift. Deler av løsningene er over i en drift- og forvaltningsfase. Det er derfor også behov for bistand i utforming av hvordan sikkerhetsmekanismer kvalitetssikres og hvordan sikkerhetstilstanden overvåkes i produksjon.

Aktuelle prosjekter å bistå i:
Ny registerplattform (BRsys), Nytt våpenregister, nytt register over reelle rettighetshavere og prosjektet Brukervennlige registertjenester. Etablering av felles sikkerhetsarkitektur på tvers av de ulike prosjektene og behovene, er en viktig del av oppdraget.

Cybersikkerhetsprogrammet ved avdeling IT vil igangsette ulike prosjekter med det formål å heve den operasjonelle sikkerheten ved BR og utvikle prosesser for å ivareta styring og forvaltning rundt dette. Sikkerhetsarbeidet vil bli organisert rundt de fire kategoriene fra NSM grunnprinsipper for IKT-sikkerhet (identifisere/kartlegge, beskytte/opprettholde, oppdage og håndtere/gjenopprette) og programmet tar også sikte på å etablere et sikkerhetsteam som har ansvar for helhetlig operasjonell sikkerhet.

Bistanden omfatter følgende ytelser (ikke uttømmende):

• Bistå med utforming av sikkerhetskrav
• Ferdigstille forslag til sikkerhetsarkitektur for applikasjoner
• Ferdigstille forslag til løsningskonsept
• Konkretisere løsningskonseptene, herunder:
  • Detaljere beskrivelser som grunnlag for implementasjon
  • Utføre teknologivalg
• Bistå løsningsarkitekter og utviklere ved implementasjon
• Følge opp og sikre at løsninger blir implementert iht. sikkerhetsarkitekturen
• Hjelpe og bistå utviklingsteamene med trusselmodellering basert på løsningsdesign og bistå med å finne løsning for å bygge sikkerhet per design.
• Bistå i testing med spesielt fokus på sikkerhetstester
• Etablere og oppdatere nødvendig dokumentasjon/rutiner/regler innenfor sine fagområder
• Utarbeide forslag til hvordan verifisere og/eller teste om sikkerhetsmekanismer er implementert i henhold til løsning
• Utarbeide forslag til hvordan sikkerhetstilstanden kan overvåkes
• Utarbeide strategi og prosesser for det operasjonelle sikkerhetsarbeidet som sikkerhetsteamet vil ha ansvaret for.
• Bistå med nødvendig kompetanse inn i sikkerhetsteamet ved avdeling Informasjonsteknologi.

Sikkerhetsarkitekt har blant annet ansvaret for:

• At sikkerhetsarkitektur og løsningskonsepter for sikkerhetsarkitekturen følger standarder og beste praksis innen IT sikkerhet
• At sikkerhetsløsninger blir dekkende for det som er behovet
• Overordnet design og kvalitetssikring av design i sikkerhetsløsninger
• At det blir utarbeidet tilstrekkelig med beskrivelser av sikkerhetsarkitekturen og sikkerhetsløsninger slik at utviklere og andre som skal implementere løsninger, har godt nok grunnlag for å utføre dette

Sentrale verktøyer som prosjektet har valgt og som tilbudt personell må kunne benytte:

• Office-produkter
• Clarity
• Jira/Confluence (Atlassianproduktene)
• Sikkerhetsverktøy
• Kommunikasjonsverktøy: Team, Slack

Tilbudt(e) sikkerhetsarkitekt(er) vil delta i et tverrgående arkitekturteam sammen med interne og andre eksterne ressurser. Det forutsettes god evne til å etablere og opprettholde gode relasjoner innad i prosjektet og på BR. Det forventes også at innleid konsulent deler kompetanse med prosjektdeltakerne/teamdeltakerne og at sikkerhetsarkitekten har evne til å drive arbeidet fremover i samarbeid med disse og andre tilknyttede ressurser ved BR.

Konsulenten(e) kan utføre bistanden fra eget arbeidssted, men må regne med inntil 6 reiser pr. år, med varighet på 3 døgn.