Servicii de audit tehnic si de securitate in cadrul proiectului SIECATI
SEAPIDStare
DA33848945
Data21 August 2023
Valoare85.675 RON
Oferta acceptata
Autoritatea contractantaLocalitateBucuresti, Bucuresti
FurnizorTipul contractuluiServicii
Cod CPVDescriere:Servicii de audit tehnic si de securitate in cadrul proiectului „Sistem Informatic pentru Evidenta Clinica a secțiilor A.T.I. (S.I.E.C.-A.T.I.)”, POC Cod SMIS 131065
Achizitii85.675 RON
Cantitate: 1
Unitate masura: bucata
Audit tehnic si de securitate
Auditul tenic si de securitate presupune realizarea unui audit intermediar si unui audit final.
In urma auditului intermediar se vor face recomandarile necesare impreuna cu beneficiarul si furnizorul solutiei, iar implementarea acestora va fi verificata prin auditul final, la implementarea cu succes a proiectului.
Echipa de audit include un Exert IT si un Expert Securitate IT, astfel:
- Expert IT:
o Diploma de licență – Academia de Studii Economice București / Facultatea de Cibernetică
o Diploma TUV IT “Implementation and Auditing of Information Systems according to ISO 17799 / BS 7799-
o Certificare PECB – GDPR: PECB Certified Data Protection Officer
Expert securitate IT:
o Certificarea - Certified Information Systems Security Professional (CISSP)
o Certficarea - Offensive Security Certified Professional (OSCP)
o Certficarea - GIAC Strategic Planning, Policy and Leadership (GSTRT)
Auditul include:
Audit al arhitecturii IT
a. Auditul instalatiilor IT care va include aspecte precum securitatea fizica, controalele mediului de lucru, sistemele de management si echipamentele IT, asa cum sunt definite in proiect.
b. Auditul documentatiei prin verificarea documentatiei elaborate de furnizorul solutiei pentru a putea prezenta puncte de vedere aferente livrabilelor proiectului.
Audit tehnic de securitate-Analiza tehnică a securității sistemului informatic va fi efectuată prin derularea de teste de securitate, efectuate din perspectiva unui atacator (intern/extern) prin care vor fi identificate eventualele breșe de securitate, cât și riscurile la care este supusă rețeaua informatică prin prisma acestora.
Auditul tehnic de securitate va include:
a. Identificarea vulnerabilitatilor sistemului - Prin testarea securității sistemului informatic, va fi asigurată identificarea posibilelor vulnerabilități existente la nivelul sistemelor hardware, bazelor de date și aplicațiilor software încorporate, furnizând echipelor care asigură operarea, întreținerea și dezvoltarea acestora recomandări/informații destinate remedierii vulnerabilităților identificate
b. Analiza Penetration Testing - Expertul de testare securitate propus, va efectua testele de penetrare “pentest” prin evaluarea securității sistemului informatic prin simularea de atacuri informatice, prin exploatarea vulnerabilităților existente și cunoscute. Procesul va implica o analiză activă a sistemului informatic pentru orice vulnerabilități existente, care ar putea rezulta din configurația inadecvată și din breșe cunoscute sau necunoscute, hardware și software. Testele de penetrare (pentest) vor avea ca rezultat o analiză complexă a securității sistemului informatic, testând eficacitatea măsurilor de securitate implementate prin simularea unor atacuri informatice.
Livrabilele pe fiecare vector in parte vor mentiona elementele descoperite in urma activitatilor de audit precum si recomandarile pentru remedierea situatiilor respective.
AUDITUL INTERMEDIAR
Se vor realiza urmatoarele activitati:
1. Crearea listei de auditare – se va elabora o lista de verificare ce va include activitatile enumerate mai sus, in contextul proiectului.
2. Realizarea actiunilor de audit intermediar – acestea vor analiza actiunile si activitatile realizate pana la momentul auditului (instalare infrastructura, analiza, proiectare, dezvoltare) precum si lista livrabilelor aferente fiecarei actiuni si respectarea termenelor acestora. Se va verifica si conformitatea implementarii cu cerintele exprimate prin Contractul de Finantare.
3. Se va realiza un Audit de securitate al retelei informatice in scopul identificarii vulnerabilitatilor informatice si a metodelor de exploatare a acestora, impreună cu analiza si depistarea virusilor/malware-ului deja prezent în rețeaua interna.
Auditul presupune utilizarea atat a metodelor manuale de investigare cat si a instrumentelor software automante de scanare a componentelor retelei, pentru documentarea status-ului din punct de vedere al securitații informatice.
Rezultatele auditului evidențiază exact cauzele care permit succesul unui atac informatic, furnizează o imagine a daunelor provocate, împreună cu recomandări privind măsurile ce trebuiesc implementate pentru identificarea timpurie, evitarea și contracararea pe viitor a atacurilor informatice
Se realizeaza analiza detaliata a vulnerabiliatilor statiilor, serverelor si echipamentelor din retea, identificand bresele de securitate. Acest proces presupune testarea atat a cailor de comunicatii cat si a componentelor hardware si software de infrastructura pentru evidentierea verigilor slabe. Etape:
- Definire scenarii testare in etapa de preanaliza
- Rularea testelor in etapa de testare – inclusiv test penetrare
- Raportare si intelegerea rezultatelor
TESTE DE PENETRARE
Testele de penetrare (pentest) vor fi realizate atat din postura unui atacator fara credentiale - black box cat si a unui posibil atacator intern sistemului, care dispune de acces si credentiale legitime (fie client/tert, fie angajat) – white box. Functie de filtrele active configurate de ISP, de configuratia firewall-ului companiei precum si a sistemului propriu de protectie impotriva intruziunilor (atat la nivel de server cat si la nivel de retea), rezultatele acestor teste releva oportunitatile pe care un atacator mediu experimentat le poate fructifica in defavoarea companiei dvs.
Livrabil: Raport de audit intermediar - se va furniza un raport intermediar ce include urmatoarele aspecte:
- Evaluarea gradului in care proiectul corespunde din punct de vedere tehnic cu datele inscrise in proiectul tehnic aferent cererii de finantare.
AUDITUL FINAL
Livrabil final: Raport de audit final ce include urmatoarele aspecte:
a. Evaluarea implementarii recomandarilor identificate prin Auditul Intermediar.
b. Confirmarea situatiei actuale, daca proiectul corespunde cu datele inscrise in Cererea de Finantare si Oferta tehnica