Säkerhetsspecialist säkerhetstestning till Pensionsmyndigheten – Offert skickad till kund

By 16 mars, 2022 maj 24th, 2022 Data/IT
Roll IT-säkerhet
 Kompetensområde Data/IT
 Startdatum 2022-05-02
 Slutdatum 2023-11-30
 Omfattning 50%
 Ort Stockholm
Land Sweden
 Sista svarsdatum 2022-03-21 (Offerter kommer att behandlas löpande)
 Kontaktperson Mats Mårtensson (cv@keyman.se | 070-644 38 88)
 Referens nr 3763780
Övergripande uppdragsbeskrivning

Vi söker nu Säkerhetsspecialist säkerhetstestning till Pensionsmyndigheten (enskild konsult eller team).

Uppdraget omfattar:
Interaktiva Applikationssäkerhetstestning (IAST) vilket innefattar Statisk och Dynamiska Applikationssäkerhetstestning (SAST, DAST och Penetrationstestning).
Penetrationstestning av IT-miljö (IT-infrastruktur, klienter mm).

Uppdraget kan levereras som en enskild konsult eller som ett konsultteam.

Konsulter som skall redovisas med CV:
• Ur den samlade leveransförmågan skall minst tre [3] konsulter redovisas med CV, som tillsammans har dokumenterade erfarenheter av att kunna leverera lösningar i samtliga redovisade ska-krav under punkterna nedan.
• Om den samlade leveransförmågan kan uppvisa dokumenterade erfarenheter av att kunna leverera lösningar i samtliga redovisade bör-krav under punkterna ovan så är det till fördel.
• Av konsulterna skall minst en [1] vara på nivå fem [5], minst två [2] vara på nivå fyra [4].
• I konsultteamet skall finnas minst en [1] certifierade konsult med certifieringen OSCP (Offensive Security Certified Professional) eller motsvarande.

Presentation om Leverantören / företaget:
• Leverantören ska presentera företaget och deras verksamhet
• Leverantören bör ha en hög leveranskapacitet, redogör för antalet penetrationstestkonsulter

Omfattning: Deltid, 1000 timmar fördelade över avtalstiden i överenskommelse med uppdragsgivaren, timmar kan komma att tillkomma under avtalstiden enligt överenskommelse.
Penetrationstester ska även kunna erbjudas som fastpris för uppdraget.

Skallkrav

Nivå 5: Förutom de baskrav som gäller enligt konsultnivå fem [5] så ska konsulten: – vara huvudkontaktperson och huvudutförare av uppdraget. – kunna ta stöd av konsultnivå 3 eller 4 för mindre krävande uppdrag i överenskommelse med uppdragsgivaren
Nivå 5: minst 3 års dokumenterad erfarenhet inom säkerhetsverifieringar, säkerhetsgranskningar, tredjepartsleverantörer, skanningar, penetrationstester
Nivå 5: minst 2 års dokumenterad erfarenhet inom frontend-webbutvecklings-ramverk Java och .NET, JavaScript, http, HTTPS och HTML
Nivå 4: Förutom de baskrav som gäller enligt konsultnivå fyra [4] så ska konsulten ha: – minst 2 års dokumenterad erfarenhet inom säkerhetsverifieringar, säkerhetsgranskningar, tredjepartsleverantörer, skanningar och penetrationstester – minst 1 års dokumenterad erfarenhet inom frontend-webbutvecklings-ramverk Java och .NET, JavaScript, http, HTTPS och HTML
Samtliga konsulter ska vara Ethical Hacker CEHv9 certifierade eller motsvarande
Utförande: Interaktiva Applikationssäkerhetstestning (IAST) med fokus på de områden/scenarion vi har identifierat i vår hot-modellering. – White box SAST, med fokus på de områden/scenarion vi har identifierat i vår hot-modellering.
– Black box DAST (dvs både manuella och med hjälp av verktygstester samt utan tillgång till information).  Samtliga av pensionsmyndighetens exponerade webbtjänster och delar av infrastrukturen. o Penetrationstester av it-miljön i syfte att finna brister och sårbarheter i infrastrukturen
DoD/Leverabler: – Digital lista som ska överföras med hög överenskommen säkerhet till Pensionsmyndigheten över funna sårbarheter, svagheter, buggar, felkonfigureringar etc. listade i allvarlighetsgrad. – Sårbarheterna skall bedömas enligt CVSSv3
Sårbarheterna, svagheter, buggar, felkonfigureringar skall ha en förklarande text om trolig/vanlig orsak de uppstår och rekommenderad åtgärd. o Dokumentation på vilka tester/scenarion som har testats men inte givit något att anmärka

Börkrav

Erfarenhet i säkerhetstestning av: – Rancher Containerplattform – IdP med OpenID-Connect och OAuth2.0
– Kerberosplattform – IdP med BankID (både på kort/fil och mobilt). SAML V2 IdP som implementerar WebSSO-flödet enligt DIGG:s Tekniska ramverk (docs.swedenconnect.se) – API-gateway med stöd för olika APIer såsom RESTful och WEBSOCKET
PKI-plattform – Microservices – It-infrastruktur (brandväggar, AD, klienter, nätverk mm) – It-infrastruktur (brandväggar, AD, klienter, nätverk mm)
IdP med BankID (både på kort/fil och mobilt). SAML V2 IdP som implementerar WebSSO-flödet enligt DIGG:s Tekniska ramverk (docs.swedenconnect.se)
API-gateway med stöd för olika APIer såsom RESTful och WEBSOCKET – PKI-plattform
– Microservices – It-infrastruktur (brandväggar, AD, klienter, nätverk mm)
Stor erfarenhet i rollen som Enterprisearkitekt, lösningsarkitekt och/eller rådgivare inom IT- och Informations-säkerhetsarkitektur
CISSP-certifierad, CISSP-ISSAP-certifierad, Certifierad Informationssäkerhetsarkitekt enligt Dataföreningen eller motsvarande

Övriga krav

Offert för detta uppdrag måste skickas in via KeySourcingTool. Svar via mail kommer att få begränsad feedback
Bifoga CV på SVENSKA i Wordformat under fliken Dokument. CV:t är en viktig del i utvärderingen av konsulten. Det ska tydligt visa att konsulten har den kompetens och erfarenhet som efterfrågas för det aktuella uppdraget
Beskriv gärna i ”Kommentar” vid de olika kraven hur konsulten uppfyller de olika kraven

Personliga egenskaper

Mycket god förmåga att i god tid planera inför uppdrag och kommunicera med uppdragsgivarens personal.
Mycket god förmåga inom kunskapsöverföring till uppdragsgivarens personal
Mycket god förmåga att kunna dokumentera och kommunicera svåra tekniska problem och lösningar till personer utan teknisk kunskap
Mycket god förmåga att kunna föreslå lösningsförslag samt förbättringar

Övrig information

Option på förlängning längst t.o.m. 1 november 2024

Uppdragsavtalet ska utan undantag, och oavsett bolagsstruktur, tecknas mellan KeyMan AB och det bolag där konsulten som utför/offereras/levereras till uppdraget har sin anställning. Detta är ett krav från Pensionsmyndigheten p.g.a. registerkontrollen (SUA).

För information om kapitel 13 och 14 LOU se bifogat dokument.

I bilaga “Allmänna villkor konsultavtal KeyMan AB Rev. C” utgår punkten “Kundbearbetning”. Den punkten gäller inte för detta uppdrag.

För eventuella frågor kontakta Mats Mårtensson, mobilnummer 070- 644 38 88.

 


 

Att offerera på detta uppdrag

OFFERERA PÅ DETTA UPPDRAG VIA KEYSOURCINGTOOL (Prioriterad)

Mailofferter ska innehålla följande information

  1. Konsultens CV bifogat (helst i Wordformat)
  2. En kortfattad summering (ska beskriva konsultens kompetens jämfört med uppdragets krav och behov)
  3. Konsultens timarvode (SEK exkl moms)
  4. Konsultens tillgänglighet (Startdatum och omfattning)
  5. Bekräftelse på att ni accepterar, GDPR och “KeyMans allmänna villkor”

OFFERERA PÅ DETTA UPPDRAG VIA E-POST
OBS! Begränsad återkoppling erhålls för offerter som kommer via e-post.


 

Tillbaka till aktuella uppdrag