ZAKRES ZAMÓWIENIA AUDYT TELEINFORMATYCZNY Dokonanie

ZAKRES ZAMÓWIENIA
AUDYT TELEINFORMATYCZNY
Dokonanie analizy systemów IT pod kątem bezpieczeństwa dostępu do danych przechowywanych w formie
elektronicznej i opracowania raportu wraz z zaleceniami dotyczącymi procedur ochrony informacji
elektronicznej w oparciu o:
zalecenia normy PN ISO/IEC 17799:2007,
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiada urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
Ustawę o ochronie danych osobowych z dnia 29 sierpnia 1997r. (tekst jednolity z 2002r. Dz. U. nr
101, poz. 926 z późniejszymi zmianami),
Ustawę o informatyzacji działalności podmiotów realizujących zadania publiczne z 17 lutego 2005r.
(Dz. U. 2005 nr 64, poz. 565 z późniejszymi zmianami)
Rozporządzenie Rady Ministrów w sprawie minimalnych wymagań
teleinformatycznych z dnia 11 października 2005r. (Dz. U. 2005 nr 212 poz. 1766).
dla
systemów
Cel: Wykrycie potencjalnych zagrożeń związanych z utratą informacji w systemach informatycznych.
Audytem mają zostaćobjęte następujące aspekty mające wpływ na bezpieczeństwo systemu
informatycznego:
Bezpieczeństwo organizacyjne
Polityka bezpieczeństwa – dokumentacja
Polityka bezpieczeństwa – system zarządzania bezpieczeństwem informacji
Zaangażowanie Kierownictwa Organizacji – Komitet Sterujący Bezpieczeństwem
Umowy o zachowaniu poufności
Zewnętrzny audyt bezpieczeństwa
Współpraca z podmiotami trzecimi
Zasady wymiany informacji z klientami
Inwentaryzacja aktywów, przypisanie aktywów i ich właścicieli, dopuszczenie do wykorzystania
aktywów.
Klasyfikacja informacji
Bezpieczeństwo zasobów ludzkich – role i zakresy odpowiedzialności
Szkolenia i podnoszenie świadomości
Sposoby rozwiązywania problemów związanych z odpowiedzialnością za incydenty dotyczące
bezpieczeństwa
Rozliczanie pracowników odchodzących z Organizacji – odpowiedzialność
Zwrot aktywów
Odebranie praw dostępu
Bezpieczeństwo dokumentacji systemu bezpieczeństwa
Baza wiedzy Organizacji - reakcje na incydenty i błędy w działaniu systemu
Plan ciągłości działania
Bezpieczeństwo fizyczne
1
Wyznaczone strefy bezpieczeństwa
Mechanizmy ograniczenia dostępu do stref bezpieczeństwa
Bezpieczeństwo w biurach i pomieszczeniach użytkowych
Analiza zagrożeń środowiskowych – praca w obszarach przetwarzania
Awarie zasilania - zakłócenia z systemów wspomagających pracę Organizacji
Bezpieczeństwo okablowania / Bezpieczeństwo mediów transmisyjnych
Konserwacja sprzętu / przeglądy
Bezpieczeństwo sprzętu poza siedzibą
Mechanizmy utylizacji i zbywania sprzętu
Bezpieczeństwo serwerów
Uprawnienia do konfiguracji środowiska
Podział obowiązków administracyjnych - uprawnienia do zarządzania systemem
Środowisko testowe dla nowych wersji aplikacji i systemów
Monitorowanie wydajności systemu
Archiwizacja informacji
Bezpieczeństwo usług serwerowych
Logowanie zdarzeń z Systemu Informatycznego.
Spójność zegarów systemowych
Polityka haseł do systemu
Bezpieczeństwo systemów operacyjnych (możliwość instalacji nieautoryzowanego oprogramowania,
dostęp do plików systemowych, dostęp do kodu źródłowego)
Podatność środowiska na opublikowane wady oprogramowania
Bezpieczeństwo sieci
Topologia połączeń
Segmentacja sieci
Dostęp do sieci
Warstwa fizyczna
Warstwa łącza danych, sieciowa
Konfiguracja ściany ogniowej
Publicznie udostępnione usługi wewnętrzne (PAT)
Bezpieczeństwo stacji roboczych
Bezpieczeństwo struktury
Fizyczny dostęp do stacji roboczych
Konta użytkowników
Zewnętrzne nośniki z danymi
Ochrona antywirusowa
Zarządzanie aktualizacją oprogramowania
Po przeprowadzonym audycie wykonawca pomoże w sposób poprawny i bezpieczny skonfigurować
wykorzystywane w urzędzie elementy infrastruktury teleinformatycznej.
2