Załącznik nr 1 do zaproszenia Opis przedmiotu zamówienia AUDYT

Załącznik nr 1 do zaproszenia Opis przedmiotu zamówienia AUDYT

Załącznik nr 1 do zaproszenia
Opis przedmiotu zamówienia
AUDYT BEZPIECZEŃSTWA PRZETWARZANIA INFORMACJI, AUDYT BEZPIECZEŃSTWA
TELEINFORMATYCZNEGO, AUDYT LEGALNOŚCI OPROGRAMOWANIA W POWIATOWYM
URZĘDZIE PRACY W ZĄBKOWICACH ŚLĄSKICH ORAZ FILII URZĘDU W ZIĘBICACH.
I.
Audyt bezpieczeństwa przetwarzania informacji, ze szczególnym uwzględnieniem
przewarzania danych osobowych oraz aktualizacja i wdrożenie polityki bezpieczeństwa
informacji.
1.
Zakres usługi:
Przedmiotem zamówienia jest kompleksowa usługa z zakresu bezpieczeństwa informacji
składająca się z:
I.
Audytu bezpieczeństwa przetwarzania informacji wraz z aktualizacją i wdrożeniem
Polityki Bezpieczeństwa Informacji.
II.
Audytu systemów teleinformatycznych.
III.
Audyt legalności oprogramowania.
IV.
Szkoleń z zakresu bezpieczeństwa przetwarzania informacji dla pracowników urzędu.
2.
Cel przeprowadzenia audytu:
Audyt ma na celu ustalenie aktualnego stanu bezpieczeństwa przetwarzania danych, ze
szczególnym uwzględnieniem przetwarzania danych osobowych, u Zamawiającego oraz jego
zgodności z niżej wymienionymi aktami prawnymi i dokumentami:
• Ustawą z dnia 29 sierpnia 1997 r . o ochronie danych osobowych (Dz. U. z 2002 r . Nr
101, poz. 926 z późn. zm).
• Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004
roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
• Wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa
opublikowanymi przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
3.
Zakres usługi:
1) Rozpoznanie wszystkich obszarów przetwarzania danych.
2) Rozpoznanie wszystkich przetwarzanych zbiorów danych.
3) Rozpoznanie wszystkich systemów przetwarzających dane i ich konfiguracji.
4) Przeprowadzenie analizy ochrony punktów krytycznych w obszarach przetwarzania
danych.
5) Przeprowadzenie testów socjotechnicznych, w celu ustalenia poziomu świadomości
pracowników Zamawiającego z zakresu możliwości utraty informacji na skutek
manipulacji i/lub celowego, złośliwego działania osób trzecich.
Ze względu na wiarygodność i wrażliwość tego testu jego szczegóły zostaną uzgodnione
bezpośrednio między Wykonawcą a upoważnionym przedstawicielem Zamawiającego tuż przed
jego wykonaniem. Zamawiający rezerwuje sobie prawo do niewyrażenia zgody na proponowane
przez Wykonawcę, w ramach testu, działania oraz do wskazania obszaru i rodzaju działania,
który będzie objęty proponowanym przez Wykonawcę testem. Wynik testu nie będzie miał
żadnego wpływu na politykę kadrową Zamawiającego oraz nie może upoważniać Wykonawcy
do żadnych wniosków w tym zakresie.
1) Analiza bezpieczeństwa fizycznego:
2) Kontrola zabezpieczeń obszaru przetwarzania danych osobowych.
3) Kontrola zabezpieczeń pomieszczeń.
4) Kontrola zabezpieczeń zbiorów tradycyjnych.
5) Kontrola zabezpieczeń zbiorów archiwalnych.
6) Kontrola ochrony przed zdarzeniami losowymi.
7) Kontrola bezpieczeństwa okablowania strukturalnego.
8) Kontrola systemów wspomagających.
9) Kontrola ochrony sprzętu przed kradzieżą.
10) Kontrola działania polityki czystego biurka i czystego ekranu.
11) Weryfikacja dokumentów wewnętrznych Zamawiającego regulujących przetwarzanie
danych osobowych.
12) Przeprowadzenie analizy wytycznych w zakresie dostępu osób upoważnionych do
przetwarzania danych osobowych.
13) Weryfikacja ewidencji osób upoważnionych do przetwarzania danych osobowych.
14) Przeprowadzenie analizy możliwości dostępu do danych przez osoby nieupoważnione.
15) Weryfikacja pracy użytkowników w obszarach, w których przetwarzane są dane
osobowe.
16) Weryfikacja sposobu przetwarzania danych osobowych.
17) Weryfikacja kontroli nad przepływem danych osobowych.
18) Weryfikacja przechowywania danych osobowych.
19) Weryfikacja poufności, dostępności i udostępniania danych osobowych.
20) Identyfikacja zagrożeń, słabych stron i oszacowanie ryzyka przetwarzania danych
osobowych.
21) Weryfikacja dostępu osób nieupoważnionych do miejsc, gdzie przetwarzane są dane
osobowe.
22) Weryfikacja poprawności magazynowania i bieżącej pracy z dokumentacją papierową.
4.
5.
II
6.
7.
Wymagane rezultaty audytu
Sporządzenie przez Wykonawcę raportu pokontrolnego zawierającego:
1) Opis aktualnego stanu bezpieczeństwa danych, ze szczególnym uwzględnieniem
danych osobowych.
2) Wskazanie stwierdzonych uchybień i zagrożeń.
3) Zalecenia dotyczących sposobów, metod i środków usunięcia stwierdzonych uchybień i
zagrożeń związanych z bezpieczeństwem przetwarzania danych, ze szczególnym
uwzględnieniem danych osobowych, dla osiągnięcia zgodności z wymienionymi wyżej
aktami prawnymi i dokumentami.
4) Sporządzeniem przez Wykonawcę dokumentu zawierającego sugerowaną Politykę
Bezpieczeństwa Informacji, zgodną z wymienionymi wyżej aktami prawnymi, na którą
składać się będą:
• Polityka ochrony danych osobowych.
• Instrukcja zarządzania systemem informatycznym
• Sporządzenie instrukcji użytkowania sytemu informatycznego.
• Przygotowanie przez Wykonawcę informacji o zbiorach danych osobowych
niezbędnych
do zarejestrowania zbiorów w rejestrze zbiorów danych osobowych
prowadzonym przez GIODO lub do wprowadzenia zmian dotyczących zbiorów
zarejestrowanych w rejestrze.
Dokumenty te Wykonawca sporządzi w porozumieniu z Zamawiającym, uwzględniając
specyfikę działania i organizację pracy Zamawiającego.
Wszystkie dokumenty związane z przeprowadzonym audytem Wykonawca dostarczy
Zamawiającemu w postaci wydruku w dwóch egzemplarzach i w postaci elektronicznej.
Wykonawca pisemnie zobowiąże się, że dokumenty te będzie traktował jako poufne i nie
przekaże ani nie udostępni ich nikomu bez pisemnej zgody Zamawiającego, z wyłączeniem
organów występujących o to z mocy prawa po uprzednim powiadomieniu o tym wystąpieniu
Zamawiającego.
AUDYT BEZPIECZEŃSTWA TELEINFORMATYCZNEGO
Cel audytu:
Audyt bezpieczeństwa teleinformatycznego, którego celem jest wykrycie potencjalnych
zagrożeń związanych z utratą informacji w systemach informatycznych, powinien być
przeprowadzony najnowocześniejszymi narzędziami i zgodnie z metodologią, które gwarantują
rzetelność oceny bieżącego stanu bezpieczeństwa systemów informatycznych organizacji.
Weryfikacja lub opracowanie procedur w zakresach:
1) Procedury zarządzania systemami teleinformatycznymi.
2) Procedury planowania aktualizacji systemów teleinformatycznych.
3) Ochrona przed oprogramowaniem szkodliwym, w tym weryfikacja zabezpieczeń przed
możliwością nieautoryzowanych instalacji oprogramowania.
4) Procedury zarządzania kopiami zapasowymi.
5) Procedury zabezpieczania nośników.
6) Polityki kontroli dostępu do systemów.
7) Zasady odpowiedzialności użytkowników.
8) Procedury dostępu do systemów operacyjnych.
9) Procedury dostępu i kontroli do usług internetowych.
10) Zasady zarządzania hasłami.
11) Weryfikacja zabezpieczeń kryptograficznych.
12) Weryfikacja kontroli eksploatowanego oprogramowania.
13) Procedury kontroli zabezpieczeń komputerów przenośnych.
14) Bezpieczeństwo sieci LAN, WAN, WiFi.
15) Zasady użytkowania Internetu.
16) Procedury rejestracji błędów.
17) Weryfikacja metod autoryzacji na stacjach roboczych.
18) Analiza stopnia zabezpieczenia stacji roboczych i nośników danych w szczególności
tych, na których przetwarzane są dane osobowe.
19) Kontrola postępowania z urządzeniami przenośnymi w szczególności tymi, na których
przetwarzane są dane osobowe.
20) Kontrola wytycznych związanych z użytkowaniem sprzętu poza siedzibą.
21) Bezpieczne przekazywanie sprzętu.
22) Niszczenie niepotrzebnych nośników.
23) Weryfikacja poprawności składowania danych elektronicznych.
24) Analiza konfiguracji aplikacji i serwerów – powinna obejmować m.in.:
• Techniczną ocenę rozwiązania.
• Politykę zarządzania.
• Proces i metody autoryzacji.
• Zarządzanie uprawnieniami i logowanie zdarzeń.
• Zarządzanie zmianami konfiguracyjnymi i aktualizacjami.
• Dostępność i ciągłość działania.
• Analizę systemu zarządzania kopiami zapasowymi.
• Analizę bezpieczeństwa funkcji i protokołów specyficznych dla aplikacji /serwera.
25) Analizę konfiguracji urządzeń sieciowych (routerów, firewall), powinna obejmować m.in.:
• Ogólną ocenę rozwiązania.
• Politykę zarządzania.
• Ocenę mechanizmów bezpieczeństwa (firewall).
• Analizę dostępów do urządzenia.
• Routing.
• Analizę i filtrowanie połączeń.
8.
Testy penetracyjne:
1) Przeprowadzenie testów penetracyjnych przeprowadzonych ze stacji roboczej
podłączonej do systemu informatycznego z zewnątrz (poprzez urządzenie łączące
system informatyczny urzędu z Internetem) mających na celu zidentyfikowanie
możliwości przeprowadzenia włamania z zewnątrz.
2) Przeprowadzenie testów penetracyjnych przeprowadzonych ze stacji roboczej
podłączonej do systemu informatycznego z wewnątrz w celu zidentyfikowania
możliwości przeprowadzenia włamania z wewnątrz urzędu.
Testy powinny obejmować m.in.:
1) Badanie luk systemów informatycznych (aplikacji).
2) Badanie luk urządzeń sieciowych.
3) Badanie luk baz danych.
4) Badanie luk komputerów i notebooków.
5) Badanie luk serwerów.
Przeprowadzone testy powinny umożliwiać m.in.:
1) Inwentaryzację otwartych portów.
2) Analizę bezpieczeństwa stosowanych protokołów.
3) Identyfikację podatności systemów i sieci na ataki typu: DoS, DDoS, SQL, Injection,
Sniffing, Spoffing, XSS, Hijacking, Backdoor, Flooding, Password, Guessing i inne.
9.
Rezultaty audytu:
1) Wykryte zostaną podatności i błędy w konfiguracji systemów będących w posiadaniu
urzędu,
z uwzględnieniem poziomu ważności ze względu na bezpieczeństwo.
2) W celu wykrycia luk w systemach, nie będą przeprowadzane ataki destrukcyjne, które
zakłócą pracę systemów.
3) Wykonane zostanie skanowanie z autentykacją w celu potwierdzenia podatności
systemu operacyjnego oraz oprogramowania pakietów biurowych i systemu poczty
elektronicznej.
4) W procesie skanowania luk wykorzystywane będą najnowsze bazy podatności
publikowane w serwisach CVE, Bagtraq oraz producentów sprzętu i systemów
operacyjnych.
5) Skanowanie podatności na komputerach i serwerach powinno się odbyć bez instalacji
jakiegokolwiek oprogramowania na urządzeniach badanych.
6) Po przeskanowaniu sieci zostaną sporządzone szczegółowe raporty dotyczące
wykrytych podatności.
7) Do wszystkich wykrytych podatności lub błędnych konfiguracji zostanie przygotowana
lista poprawek do zainstalowania lub instrukcje w jaki sposób je wyeliminować.
Lista poprawek lub instrukcji będzie sporządzona w postaci przejrzystego raportu, w którym
urządzenia będą podzielone na grupy zasobów, w zależności od: lokalizacji, przynależności do
komórki organizacyjnej lub rodzaju systemu operacyjnego.
Zostanie przygotowany raport poprawek, które należy zaaplikować do poszczególnych
systemów, z linkami do stron producentów w celu ich pobrania oraz informacją kiedy dana
poprawka powstała; dla każdej z poprawek wylistowane zostaną podatności, które powinny być
załatane po jej aplikacji.
Zostanie przygotowana lista urządzeń posiadających przestarzałe oprogramowanie z linkami do
stron producentów.
Dla wybranych serwerów i stacji roboczych, zostanie zweryfikowana zgodność na poziomie
technologicznym konfiguracji systemów operacyjnych z wytycznymi wynikającymi z polityki
bezpieczeństwa.
Dla poszczególnych grup badanych urządzeń zostanie przeprowadzona analiza ryzyka
systemów IT na poziomie technologicznym.
Dla publicznych adresów IP po skanowaniu audytowym odbędą się jeszcze 3 skanowania
kontrolne w odstępie 3 miesięcy, a po ich wykonaniu zostanie sporządzony raport trendu
podatności i poziomu ryzyka systemów.
10.
Opis zakresu przeprowadzonych prac audytowych zawierać będzie:
1) Analizę informacji zebranych podczas audytów.
2) Wnioski i zalecenia audytora.
3) Ocenę poziomu bezpieczeństwa danych osobowych i systemu informatycznego.
4) Analizę wyników testów penetracyjnych pod kątem oceny zagrożenia integralności
systemu oraz możliwości dostępu do danych przez osoby nieupoważnione.
5) Informacje na temat wykrytych luk w mechanizmach bezpieczeństwa oraz sposobu ich
załatania lub obejścia.
6) Zalecenia dotyczące zabezpieczenia systemu informatycznego i wyznaczenie kierunków
dalszego rozwoju systemów zabezpieczających.
Raport z audytu zgodny będzie z:
• Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr
101, poz. 926 z późn. zm).
• Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004
roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
• Wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa
opublikowanymi przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Raport z audytu opracowany zostanie na podstawie praktyk ISO 27001 oraz ISO 20000.
III
AUDYT LEGALNOŚCI OPROGRAMOWANIA
11.
Usługa audytu legalności oprogramowania powinna się składać z następujących
czynności:
1) Audyt legalności oprogramowania.
2) Pełna inwentaryzacja zainstalowanego oprogramowania (skanowanie wszystkich
komputerów i serwerów).
Inwentaryzacja dokumentacji licencyjnej.
Kontrola antypiracka licencji na oprogramowanie.
Weryfikacja zgodności zainstalowanego oprogramowania z posiadanymi licencjami.
Przygotowanie i przekazanie poufnego raportu audytowego o stanie legalności
oprogramowania po pierwszym skanowaniu w formie dokumentu oraz w wersji
elektronicznej na nośniku CD zawierającego informacje o zainstalowanym
oprogramowaniu i innych plikach (mp3, gry, filmy itp. – kontrola antypiracka)
znajdujących się na poszczególnych stacjach roboczych.
7) Wykaz zainstalowanego w Urzędzie oprogramowania, sporządzenie zestawień braków i
nadmiarów w liczbie oprogramowania.
8) Omówienie rozbieżności między zainstalowanym na komputerach oprogramowaniem, a
posiadanymi licencjami, wykazanie ewentualnych braków w dokumentacji licencyjnej
oraz wskazanie sposobów ich eliminacji.
9) Wskazanie najkorzystniejszych możliwości uzupełnienia brakujących licencji.
10) Opracowanie właściwych zasad zarządzania oprogramowaniem (wzory dokumentów –
porozumienie z pracownikami, tworzenie metryk komputerowych, zarządzenie).
3)
4)
5)
6)
12.
Wdrożenie programu naprawczego
1) Usunięcie z dysków twardych użytkowników zbędnego oprogramowania.
2) Usunięcie z dysków twardych użytkowników zbędnych plików multimedialnych.
3) Propozycja standaryzacji oprogramowania.
4) Propozycja wprowadzenia mechanizmów zabezpieczeń.
5) Certyfikacja.
6) Ponowne skanowanie komputerów, weryfikacja dokumentacji i wdrożonych zasad
zarządzania oprogramowaniem (jeżeli zaistnieje taka konieczność).
7) Opracowanie i przekazanie końcowego raportu audytowego.
8) Wydanie certyfikatu Software Assets Management dla Powiatowego Urzędu Pracy w
Ząbkowicach Śląskich.
9) Wydanie certyfikatu legalności firmy audytującej.
10) Wydanie certyfikatu firmy Adobe.
11) Wydanie certyfikatu firmy Autodesk.
12) Wsparcie i pomoc merytoryczna w okresie ważności certyfikatów (12 miesięcy) w
zakresie przedmiotu zamówienia.
IV
SZKOLENIA Z ZAKRESU BEZPIECZEŃSTWA PRZETWARZANIA INFORMACJI
13.
14.
Po zakończeniu audytów i przygotowaniu Polityki Bezpieczeństwa informacji Wykonawca:
1) Przeprowadzi szkolenie Administratora Bezpieczeństwa Informacji z zakresu
zarządzania dokumentacją "Polityki bezpieczeństwa informacji", zakończone
uzyskaniem stosownego dokumentu poświadczającego ukończenie tego szkolenia.
2) Przeprowadzi szkolenie Administratora Systemu Informatycznego z zakresu zarządzania
dokumentami: "Instrukcja zarządzania systemem informatycznym" i "Instrukcja
użytkowania sytemu informatycznego", zakończone uzyskaniem stosownego dokumentu
poświadczającego ukończenie tego szkolenia.
3) Przeprowadzi szkolenie pracowników z zakresu bezpieczeństwa przetwarzania
informacji, zakończone uzyskaniem stosownego dokumentu poświadczającego
ukończenie tego szkolenia.
4) Zapewni wsparcie poprzez konsultacje podczas wdrażania zmienionej polityki
bezpieczeństwa informacji, w okresie do 3 miesięcy po zakończeniu audytu.
5) W terminie między 2 a 3 miesiącem od zakończenia audytu przeprowadzi kontrolę
powdrożeniową, obejmującą zagadnienia wskazane jako uchybienia i zagrożenia w
raporcie pokontrolnym.
6) W terminie między 2 a 3 miesiącem od zakończenia audytu przeprowadzi szkolenie
pracowników z zakresu wdrożonej Polityki Bezpieczeństwa Informacji.
7) W terminie 12 miesięcy od zakończenia audytu przeprowadzi kontrolny audyt
teletechniczny wraz z weryfikacją i aktualizacją Polityki Bezpieczeństwa Informacji.
Ilość jednostek komputerowych objętych audytem
Stacje robocze stacjonarne: 66
Stacje robocze mobilne (komputery przenośne): 5
Serwery: 5
Lokalizacje:
• Powiatowy Urząd Pracy w Ząbkowicach Śl. ul. Powstańców Warszawy 7,
57-200 Ząbkowice Śl.
• Filia Powiatowego Urzędu Pracy, ul. Wojska Polskiego 3a, 57-220 Ziębice.