ZAKRES ZAMÓWIENIA AUDYT TELEINFORMATYCZNY Dokonanie
Transkrypt
ZAKRES ZAMÓWIENIA AUDYT TELEINFORMATYCZNY Dokonanie
ZAKRES ZAMÓWIENIA AUDYT TELEINFORMATYCZNY Dokonanie analizy systemów IT pod kątem bezpieczeństwa dostępu do danych przechowywanych w formie elektronicznej i opracowania raportu wraz z zaleceniami dotyczącymi procedur ochrony informacji elektronicznej w oparciu o: zalecenia normy PN ISO/IEC 17799:2007, Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Ustawę o ochronie danych osobowych z dnia 29 sierpnia 1997r. (tekst jednolity z 2002r. Dz. U. nr 101, poz. 926 z późniejszymi zmianami), Ustawę o informatyzacji działalności podmiotów realizujących zadania publiczne z 17 lutego 2005r. (Dz. U. 2005 nr 64, poz. 565 z późniejszymi zmianami) Rozporządzenie Rady Ministrów w sprawie minimalnych wymagań teleinformatycznych z dnia 11 października 2005r. (Dz. U. 2005 nr 212 poz. 1766). dla systemów Cel: Wykrycie potencjalnych zagrożeń związanych z utratą informacji w systemach informatycznych. Audytem mają zostaćobjęte następujące aspekty mające wpływ na bezpieczeństwo systemu informatycznego: Bezpieczeństwo organizacyjne Polityka bezpieczeństwa – dokumentacja Polityka bezpieczeństwa – system zarządzania bezpieczeństwem informacji Zaangażowanie Kierownictwa Organizacji – Komitet Sterujący Bezpieczeństwem Umowy o zachowaniu poufności Zewnętrzny audyt bezpieczeństwa Współpraca z podmiotami trzecimi Zasady wymiany informacji z klientami Inwentaryzacja aktywów, przypisanie aktywów i ich właścicieli, dopuszczenie do wykorzystania aktywów. Klasyfikacja informacji Bezpieczeństwo zasobów ludzkich – role i zakresy odpowiedzialności Szkolenia i podnoszenie świadomości Sposoby rozwiązywania problemów związanych z odpowiedzialnością za incydenty dotyczące bezpieczeństwa Rozliczanie pracowników odchodzących z Organizacji – odpowiedzialność Zwrot aktywów Odebranie praw dostępu Bezpieczeństwo dokumentacji systemu bezpieczeństwa Baza wiedzy Organizacji - reakcje na incydenty i błędy w działaniu systemu Plan ciągłości działania Bezpieczeństwo fizyczne 1 Wyznaczone strefy bezpieczeństwa Mechanizmy ograniczenia dostępu do stref bezpieczeństwa Bezpieczeństwo w biurach i pomieszczeniach użytkowych Analiza zagrożeń środowiskowych – praca w obszarach przetwarzania Awarie zasilania - zakłócenia z systemów wspomagających pracę Organizacji Bezpieczeństwo okablowania / Bezpieczeństwo mediów transmisyjnych Konserwacja sprzętu / przeglądy Bezpieczeństwo sprzętu poza siedzibą Mechanizmy utylizacji i zbywania sprzętu Bezpieczeństwo serwerów Uprawnienia do konfiguracji środowiska Podział obowiązków administracyjnych - uprawnienia do zarządzania systemem Środowisko testowe dla nowych wersji aplikacji i systemów Monitorowanie wydajności systemu Archiwizacja informacji Bezpieczeństwo usług serwerowych Logowanie zdarzeń z Systemu Informatycznego. Spójność zegarów systemowych Polityka haseł do systemu Bezpieczeństwo systemów operacyjnych (możliwość instalacji nieautoryzowanego oprogramowania, dostęp do plików systemowych, dostęp do kodu źródłowego) Podatność środowiska na opublikowane wady oprogramowania Bezpieczeństwo sieci Topologia połączeń Segmentacja sieci Dostęp do sieci Warstwa fizyczna Warstwa łącza danych, sieciowa Konfiguracja ściany ogniowej Publicznie udostępnione usługi wewnętrzne (PAT) Bezpieczeństwo stacji roboczych Bezpieczeństwo struktury Fizyczny dostęp do stacji roboczych Konta użytkowników Zewnętrzne nośniki z danymi Ochrona antywirusowa Zarządzanie aktualizacją oprogramowania Po przeprowadzonym audycie wykonawca pomoże w sposób poprawny i bezpieczny skonfigurować wykorzystywane w urzędzie elementy infrastruktury teleinformatycznej. 2