Usługa audytu dotyczącego weryfikacji podjętych działań przez
Transkrypt
Usługa audytu dotyczącego weryfikacji podjętych działań przez
Załącznik 1 do umowy Usługa audytu dotyczącego weryfikacji podjętych działań przez NFOŚiGW wynikających z poprzednich zaleceń audytu związanego z przelewami bankowymi BGK. Opis przedmiotu umowy Usługa audytu dotyczącego weryfikacji podjętych działań przez NFOŚiGW wynikających z poprzednich zaleceń audytu związanego z przelewami bankowymi BGK. Audyt bezpieczeństwa dotyczyć ma takich obszarów jak : oprogramowanie, sprzęt informatyczny i telekomunikacyjny, infrastrukturę telekomunikacyjną, świadomość użytkowników, stosowane procedury. Obejmować będzie analizę zagadnień i weryfikację podjętych działań NFOŚiGW związanych ze zmniejszeniem poziomu ryzyka, które były wskazane przez firmę audytorską w ramach przeprowadzonego audytu dotyczącego ochrony bezpieczeństwa realizacji przelewów bankowych BGK. Wskazane ryzyka przedstawia poniższa tabela: Lp. Nazwa ryzyka Skutki 1 Zaszyfrowany malware Naruszenie bezpieczeństwa 2 Brak możliwości ustalenia kto (jaki użytkownik w sieci NF), kiedy i z jakiej stacji logował się i wykorzystywał system BGK. Naruszenie bezpieczeństwa Zainstalowanie szkodliwego oprogramowania 3 Brak zabezpieczenia stacji roboczych Naruszenie bezpieczeństwa 4 Nieautoryzowany dostęp do systemu, nieautoryzowany przelew. Naruszenie bezpieczeństwa 5 Nieaktualne oprogramowanie Naruszenie bezpieczeństwa 6 Naruszenie poufności danych związanych z przelewami Naruszenie bezpieczeństwa 7 Naruszenie integralności danych do przelewów Naruszenie bezpieczeństwa 8 Nieautoryzowany przelew Naruszenie bezpieczeństwa 9 Wykorzystanie istniejących w BGK@24BIZNES, a nie używanych kont do nieautoryzowanej realizacji przelewów Naruszenie bezpieczeństwa 10 Zalogowanie się do fałszywej strony BGK Naruszenie bezpieczeństwa Strona 1 z 3 Lp. 11 Nazwa ryzyka Możliwość zmiany haseł na wcześniej używane Skutki Naruszenie bezpieczeństwa Naruszenie bezpieczeństwa Naruszenie bezpieczeństwa 12 Brak monitorowania uprawnień lub jego niepoprawne wykonywanie 13 Brak szyfrowania dysków na komputerach Utrudnienia w dochodzeniu odpowiedzialności za szkody wynikłe z naruszenia bezpieczeństwa Nieautoryzowany dostęp do BGK@24BIZNES, nieautoryzowana realizacja przelewów Naruszenie poufności danych w przypadku kradzieży komputera Utrudnienia w dochodzeniu prawidłowości nadania uprawnień 14 Nadanie uprawnień w nieprawidłowy sposób. Utrudnienia w dochodzeniu prawidłowości nadania uprawnień Utrudnienia w dochodzeniu prawidłowości nadania uprawnień 15 Brak prawidłowej realizacji procesu blokowania certyfikatów, których dotyczy naruszenie bezpieczeństwa Naruszenie bezpieczeństwa 16 Udostępnienie usług DNS Naruszenie bezpieczeństwa 17 Złamanie hasła/PIN Naruszenie bezpieczeństwa 18 Zmiana nr konta bankowego bez wiedzy pracownika przy wykorzystaniu kopiuj/wklej Naruszenie bezpieczeństwa Podatność na ataki typu Phishing Naruszenie bezpieczeństwa Kontrole dotyczące nr rachunku bankowego Naruszenie bezpieczeństwa 21 Nieautoryzowany dostęp do BGK@24BIZNES z zewnętrznego komputera. Możliwość realizacji przelewów z komputerów spoza sieci NFOŚiGW Naruszenie bezpieczeństwa 22 Brak rejestracji zgłoszeń Brak możliwości analizy i podnoszenia efektywności procesów IT 23 Porozumienie między 2 pracownikami w celu wykonania nieautoryzowanego przelewu Naruszenie bezpieczeństwa 24 Utworzenie konta w BGK@24BIZNES poprzez sfałszowanie wniosku o nadanie uprawnień i przekazanie go do BGK Naruszenie bezpieczeństwa 25 Wykorzystanie konta pracownika przebywającego na dłuższej nieobecności do realizacji nieautoryzowanego przelewu Naruszenie bezpieczeństwa 19 20 1) W ramach usługi Wykonawca: Strona 2 z 3 a) Dokona analizy i weryfikacji czy wskazane przez firmę audytorską ryzyka zostały przez NFOŚiGW wyeliminowane lub zmniejszone. b) Wyspecyfikuje i oszacuje prawdopodobieństwo wystąpienia ryzyk. c) Przygotuje zalecenia i rekomendacje (na bazie dobrych praktyk), które posłużą do podniesienia bezpieczeństwa realizacji przelewów bankowych BGK lub ograniczą możliwość wystąpienia ryzyk oraz ograniczą zakres wystąpienia szkód. 2) Wszelkie produkty powstałe w związku z realizacją umowy są niejawne i mogą zostać udostępnione jedynie osobom wyznaczonym przez Zamawiającego. 3) Przed przystąpieniem do realizacji usług, osoby realizujące audyt, ze strony Wykonawcy, muszą zostać zgłoszone Zamawiającemu. 4) Zamawiający nie udostępni Wykonawcy połączenia VPN do zasobów sieci wewnętrznej, w związku z tym Wykonawca zrealizuje wymagającą tego część usługi w siedzibie Zamawiającego. 5) Prace audytowe w siedzibie Zamawiającego będą prowadzone w dni robocze w godzinach 8.00 – 15.00, chyba że Strony uzgodnią inaczej. 6) Opis wewnętrznych procesów i procedur realizacji przelewów zostanie przekazany Wykonawcy po zawarciu umowy. 7) Szczegółowy raport z przeprowadzonego audytu w ramach bezpieczeństwa realizacji przelewów bankowych BGK zostanie przekazany Wykonawcy po zawarciu umowy. 8) Po przeprowadzeniu audytu Wykonawca przygotuje protokół z przeprowadzonego audytu. Protokół musi zawierać wszystkie informacje, o których mowa w niniejszym opisie przedmiotu zamówienia, w tym: a) Wnioski z przeprowadzonego audytu. b) Opis i prawdopodobieństwo wystąpienia ryzyk. c) Zalecenia i rekomendacje. Strona 3 z 3