Oppdraget

Statsbygg har valgt en sourcingmodell som er tuftet på «sky først» tankegang, og det er behov for en felles helhetstenkning rundt sikkerheten for alle Statsbygg sine miljøer. Det er tatt i bruk flere multisky løsninger og «on-premise» løsninger og vi ser at flere slike løsninger vil bli tatt i bruk i tiden fremover. Statsbygg har et behov for å etablere en sikkerhetsarkitektur som går på tvers av alle våre initiativ, slik at vi får en systematisk og helhetlig oversikt over hvordan sikringstiltak understøtter virksomhetens mål.

Statsbygg har en rekke eiendommer rundt om i Norge som er knyttet sammen i et felles nett, heretter kalt «eiendomsnett». Det er viktig at sikkerhetsarkitekturen tar hensyn til eiendomsnettet og bidrar til å sikre våre eiendommer.

En helhetlig sikkerhetsarkitektur skal sørge for at sikkerhetsarbeidet forankres i virksomhetens strategiske mål og behov, og at ikke-tekniske aspekter blir identifisert og integrert i planlegging og utvikling av en sikkerhetsarkitektur. Sikkerhetsarkitektur skal være konsistent på tvers av Statsbygg, og samtidig sørge for at informasjonsinfrastrukturen som helhet kan operere innenfor et akseptabelt risikonivå. For å få til dette har Statsbygg behov for et rammeverk knyttet til sikkerhetsarkitektur som sikrer strategisk sikkerhetsstyring i form av styrende dokumenter, organisering og oppfølging, slik at leveransekvaliteten blir tilfredsstillende. Rammeverket som velges må kunne bygges ut etter behov. Det er viktig å ha et blikk på det som kan gå galt, samt hvilke konsekvenser dette kan gi brukerne som benytter tjenestene slik at det kan tas riktige valg framover. Målet er å standardisere så mye som mulig, og ha god kontroll på det man har uten økt kompleksitet.

Vi ser at det framover kan bli mer aktuelt med multisky løsninger for å kunne dra nytte av flere tjenester fra flere sky-leverandører. Løsninger som etableres i skyen framover bør i stor grad unngå å representere en «lock-in» hos en leverandør, men heller åpne opp for at løsningene raskt kan flyttes fra en skyløsning til en annen avhengig av blant annet prismekanismer i markedet. Vi ser også at dette kan fungere som en fallback løsning dersom stabilitet skulle være en utfordring, og at det åpner opp for å kunne velge den beste løsningen for hver enkelt oppgave. 

Videre er det behov for å få trukket opp et forslag til et sikkerhetsdesign som viser hvordan ulike komponenter henger sammen samt hvilke krav de utløser. Målet må være å ikke øke kompleksiteten, men å ha god kontroll på det man har. Standardisering og forenkling som opprettholder tilstrekkelig sikkerhet vil være viktig for Statsbygg. 

Stikkord

• TOGAF Enterprise Security Architecture, SABSA 
• ArchiMate
• Virksomhetsarkitektur 

Oppdraget består av følgende leveranser:

• Kartlegging og risikovurdering av dagens situasjon 
• Rammeverk for sikkerhetsarkitektur med henvisning til aktuelle standarder
• Forslag til sikkerhetsdesign
• Overføring av kompetanse til sikkerhetsarkitekt som skal videreføre arkitekturen