Usługa audytu dotyczącego weryfikacji podjętych działań przez

Usługa audytu dotyczącego weryfikacji podjętych działań przez

Załącznik 1 do umowy
Usługa audytu dotyczącego weryfikacji podjętych działań przez NFOŚiGW wynikających z poprzednich zaleceń
audytu związanego z przelewami bankowymi BGK.
Opis przedmiotu umowy
Usługa audytu dotyczącego weryfikacji podjętych działań przez
NFOŚiGW wynikających z poprzednich zaleceń audytu związanego z
przelewami bankowymi BGK.
Audyt bezpieczeństwa dotyczyć ma takich obszarów jak : oprogramowanie, sprzęt informatyczny i
telekomunikacyjny, infrastrukturę telekomunikacyjną, świadomość użytkowników, stosowane
procedury. Obejmować będzie analizę zagadnień i weryfikację podjętych działań NFOŚiGW
związanych ze zmniejszeniem poziomu ryzyka, które były wskazane przez firmę audytorską w
ramach przeprowadzonego audytu dotyczącego ochrony bezpieczeństwa realizacji przelewów
bankowych BGK. Wskazane ryzyka przedstawia poniższa tabela:
Lp.
Nazwa ryzyka
Skutki
1
Zaszyfrowany malware
Naruszenie bezpieczeństwa
2
Brak możliwości ustalenia kto (jaki użytkownik w sieci NF), kiedy i z jakiej
stacji logował się i wykorzystywał system BGK.
Naruszenie bezpieczeństwa
Zainstalowanie szkodliwego
oprogramowania
3
Brak zabezpieczenia stacji roboczych
Naruszenie bezpieczeństwa
4
Nieautoryzowany dostęp do systemu, nieautoryzowany przelew.
Naruszenie bezpieczeństwa
5
Nieaktualne oprogramowanie
Naruszenie bezpieczeństwa
6
Naruszenie poufności danych związanych z przelewami
Naruszenie bezpieczeństwa
7
Naruszenie integralności danych do przelewów
Naruszenie bezpieczeństwa
8
Nieautoryzowany przelew
Naruszenie bezpieczeństwa
9
Wykorzystanie istniejących w BGK@24BIZNES, a nie używanych kont do
nieautoryzowanej realizacji przelewów
Naruszenie bezpieczeństwa
10
Zalogowanie się do fałszywej strony BGK
Naruszenie bezpieczeństwa
Strona 1 z 3
Lp.
11
Nazwa ryzyka
Możliwość zmiany haseł na wcześniej używane
Skutki
Naruszenie bezpieczeństwa
Naruszenie bezpieczeństwa
Naruszenie bezpieczeństwa
12
Brak monitorowania uprawnień lub jego niepoprawne wykonywanie
13
Brak szyfrowania dysków na komputerach
Utrudnienia w dochodzeniu
odpowiedzialności za szkody wynikłe z
naruszenia bezpieczeństwa
Nieautoryzowany dostęp do BGK@24BIZNES,
nieautoryzowana realizacja przelewów
Naruszenie poufności danych w przypadku
kradzieży komputera
Utrudnienia w dochodzeniu prawidłowości
nadania uprawnień
14
Nadanie uprawnień w nieprawidłowy sposób.
Utrudnienia w dochodzeniu prawidłowości
nadania uprawnień
Utrudnienia w dochodzeniu prawidłowości
nadania uprawnień
15
Brak prawidłowej realizacji procesu blokowania certyfikatów, których
dotyczy naruszenie bezpieczeństwa
Naruszenie bezpieczeństwa
16
Udostępnienie usług DNS
Naruszenie bezpieczeństwa
17
Złamanie hasła/PIN
Naruszenie bezpieczeństwa
18
Zmiana nr konta bankowego bez wiedzy pracownika przy wykorzystaniu
kopiuj/wklej
Naruszenie bezpieczeństwa
Podatność na ataki typu Phishing
Naruszenie bezpieczeństwa
Kontrole dotyczące nr rachunku bankowego
Naruszenie bezpieczeństwa
21
Nieautoryzowany dostęp do BGK@24BIZNES z zewnętrznego komputera.
Możliwość realizacji przelewów z komputerów spoza sieci NFOŚiGW
Naruszenie bezpieczeństwa
22
Brak rejestracji zgłoszeń
Brak możliwości analizy i podnoszenia
efektywności procesów IT
23
Porozumienie między 2 pracownikami w celu wykonania
nieautoryzowanego przelewu
Naruszenie bezpieczeństwa
24
Utworzenie konta w BGK@24BIZNES poprzez sfałszowanie wniosku o
nadanie uprawnień i przekazanie go do BGK
Naruszenie bezpieczeństwa
25
Wykorzystanie konta pracownika przebywającego na dłuższej nieobecności
do realizacji nieautoryzowanego przelewu
Naruszenie bezpieczeństwa
19
20
1) W ramach usługi Wykonawca:
Strona 2 z 3
a) Dokona analizy i weryfikacji czy wskazane przez firmę audytorską ryzyka zostały przez
NFOŚiGW wyeliminowane lub zmniejszone.
b) Wyspecyfikuje i oszacuje prawdopodobieństwo wystąpienia ryzyk.
c) Przygotuje zalecenia i rekomendacje (na bazie dobrych praktyk), które posłużą do
podniesienia bezpieczeństwa realizacji przelewów bankowych BGK lub ograniczą
możliwość wystąpienia ryzyk oraz ograniczą zakres wystąpienia szkód.
2) Wszelkie produkty powstałe w związku z realizacją umowy są niejawne i mogą zostać
udostępnione jedynie osobom wyznaczonym przez Zamawiającego.
3) Przed przystąpieniem do realizacji usług, osoby realizujące audyt, ze strony Wykonawcy, muszą
zostać zgłoszone Zamawiającemu.
4) Zamawiający nie udostępni Wykonawcy połączenia VPN do zasobów sieci wewnętrznej, w
związku z tym Wykonawca zrealizuje wymagającą tego część usługi w siedzibie
Zamawiającego.
5) Prace audytowe w siedzibie Zamawiającego będą prowadzone w dni robocze w godzinach 8.00
– 15.00, chyba że Strony uzgodnią inaczej.
6) Opis wewnętrznych procesów i procedur realizacji przelewów zostanie przekazany Wykonawcy
po zawarciu umowy.
7) Szczegółowy raport z przeprowadzonego audytu w ramach bezpieczeństwa realizacji
przelewów bankowych BGK zostanie przekazany Wykonawcy po zawarciu umowy.
8) Po przeprowadzeniu audytu Wykonawca przygotuje protokół z przeprowadzonego audytu.
Protokół musi zawierać wszystkie informacje, o których mowa w niniejszym opisie przedmiotu
zamówienia, w tym:
a) Wnioski z przeprowadzonego audytu.
b) Opis i prawdopodobieństwo wystąpienia ryzyk.
c) Zalecenia i rekomendacje.
Strona 3 z 3