Audit conform prevederilor Legii 362/2018
SEAPIDStare
DA33037634
Data18 Aprilie 2023
Valoare47.500 RON
Oferta acceptata
Autoritatea contractantaLocalitateConstanta, Constanta
FurnizorTipul contractuluiServicii
Cod CPVDescriere:Audit conform prevederilor Legii 362/2018
Achizitii47.500 RON
Cantitate: 1
Unitate masura: bucata
Audit conform prevederilor Legii 362/2018
3.1.1. Aria de aplicabilitate
Aria de aplicabilitate a activitatii noastre va cuprinde:
Zonele de audit [AS1]-[AS6] au semnificația acordată de art.5 din Regulamentul pentru atestarea şi verificarea auditorilor de securitate cibernetică aprobat prin OSGG nr.559/2021
Un audit de securitate a sistemelor informaționale este o examinare independentă înregistrărilor sistemului, a activităților și a documentelor conexe cu scopul determinarii riscurilor de securitate la care expusa organizatia. Aceste pre-audituri sunt menite să îmbunătățească nivelul de securitate a informațiilor, să evite proiectarea necorespunzătoare a securității informațiilor și să optimizeze eficiența măsurilor de securitate și a proceselor de securitate.
Conform articolelor 14, 15 și 16 din Directiva NIS, obiectivele principale ale unui audit de securitate includ:
• evaluarea riscurilor, identificarea și clasificarea sistemelor de informații și / sau a activelor organizației;
• evaluarea generală a eficacității controalelor operaționale ale organizației în toate straturile, procedurale și sistemice;
• conformitatea tuturor sistemelor și proceselor organizației cu:
o cadrul de reglementare existent ( legislația europeană și națională); și
o politicile și standardele legate de IT.
• Auditul de securitate al organizatiei include observatiile, riscurile si recomandarile formulate in urma efectuarii testelor de penetrare.
3.2. Metodologia serviciului de audit general (activități comune si activitati mixte)
Serviciile de audit informatic reprezintă în esenţă un cumul de evaluări complexe, menite să ajute orice companie în identificarea riscurilor de securitate, tinand cont de modul de proiectare și implementare a infrastucturii IT, precum și a măsurii în care această infrastructură răspunde necesităţilor directe ale angajaţilor și ale companiei. Prin astfel de evaluări, putem analiza obiectiv nivelul de securitate al companiei, și putem emite ulterior un plan de securitate , prin identificarea minusurilor și recomandarea unor soluţii de reducere a riscurilor identificate si crestere a nivelului de securitate.
Scopul acestui serviciu este de a determina riscurile de securitate şi conformitatea cu cerinţele minime de securitate impuse de legislatia nationala si europeana, cat si de standardele de securitate in domeniu.
Etapa de planificare:
Informațiile necesare pentru executarea evaluării securității sunt colectate în această fază (de exemplu, activele care urmează să fie evaluate, principalele amenințări împotriva activelor, controalele de securitate care trebuie utilizate pentru a atenua aceste amenințări etc.). Evaluarea securității este alcătuită dintr-un plan de management al proiectului, obiective generale și obiective specifice, sfera de aplicare, cerințe, roluri și responsabilități ale echipei, limitări, ipoteze, provocări, interval de timp necesitat, etc. Toate cele de mai sus trebuie să fie convenite în timpul fazei de planificare.
Etapa de audit efectiv / executie:
Faza de execuție este faza principală de audit, în timpul căreia trebuie implementată metodologia și tehnica de evaluare aplicabila. La finalizarea fazei de execuție, evaluatorii vor identifica vulnerabilitățile sistemului, rețelei și proceselor organizaționale.
Etapa post-execuție:
Următoarele sarcini au loc în această fază:
• analiza vulnerabilităților identificate;
• se realizează identificarea cauzei principale (root cause) a aparitiei vulnerabilitatilor;
• recomandări pentru măsuri de reducere a riscului; și
• redactarea raportului final.
Activitati esentiale:
Inţelegerea organizaţiei - strângerea de informaţii relevante despre client pentru utilizarea în cadrul etapelor următoare; Aceste informaţii includ: detalii despre organizarea internă, detalii despre organizarea IT, despre tehnologii şi sistemele folosite, modul de funcţionare al sistemelor din cadrul domeniului de audit.
În mod normal, auditorul programează interviuri cu persoanele responsabile desemnate de către client, sau, dupa caz, utilizează chestionare pentru fiecare secţiune în parte. Tot în această etapă se va realiza o listă cu rolurile şi responsabilităţile personalului clientului în administrarea şi operarea sistemelor ţintă.
Analiza documentaţiei relevantă - evaluarea conformităţii documentaţiei clientului cu cerinţele specificate de standardele în domeniu;
Analiza de risc – definirea expunerii pe care o au sistemul şi informaţiile gestionate la riscuri privind securitatea informaţiilor;
3.3. Metodologia serviciului de audit special
Conform ordinului SGG 559/2021, Articolul 3, auditul de penetrare sau testarea de penetrare [AS4] - constă în identificarea vulnerabilităților din rețelele și sistemele informatice și verificarea posibilităților de exploatare a acestora, precum și a impactului exploatării acestora asupra rețelei, în condițiile reale ale unui atac cibernetic asupra rețelelor și sistemelor informatice. Activitatea de audit poate fi desfășurată fie din afara rețelei (în special din internet sau din rețeaua interconectată a unei terțe părți), fie din interiorul rețelei și reprezintă o activitate care trebuie efectuată în complementaritate cu alte activități de audit pentru a le îmbunătăți eficacitatea sau pentru a demonstra fezabilitatea exploatării vulnerabilității.
Detalierea activitatilor tehnice se regaseste in Brosura Oferta Audit NIS 04.04.2023 SD.pdf, care este semnata calificat.