servicii de audit NIS conf. Ordinului nr. 1323/2020 și prevederilor Legii nr. 362/2018

    SEAP
    ID
    DA34707526
    Data
    14 Decembrie 2023
    Valoare
    29.090 RON
    Stare
    Oferta acceptata
    Autoritatea contractanta
    20415711 - APAREGIO GORJ S.A.
    Localitate
    Targu Jiu, Gorj
    Furnizor
    37991905 - S.C. CERTINSPECT REGISTER S.R.L.
    Tipul contractului
    Servicii
    Cod CPV
    72800000-8 - Servicii de audit informatic si de testari informatice (Rev.2)
    Descriere:
    Servicii de audit securitate cibernetica, conform Legii 362/2018-Realizarea serviciilor de audit calificat pentru verificarea respectării cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice, conform Ordinului nr. 1323/2020 și prevederilor Legii nr. 362/2018 (“Legea NIS”) I. Descrierea generala a serviciului oferit Obiectul serviciului ofertat se referă la verificarea de către CERTINSPECT REGISTER SRL în calitate de auditor atestat, în cadrul OSE/FSD (Beneficiarul) a implementării „Normelor tehnice privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale”, aprobate prin Ordinul nr. 1323/2020. Verificarea, care constă într-un audit la fața locului cât și de la distanță, se realizează de către auditorii atestați de către CERT-RO (DNSC) ai CERTINSPECT REGISTER SRL. Este de așteptat ca la momentul prestării serviciilor din prezenta Ofertă, cerințele legale să fie implementate de către Beneficiar, aceasta fiind o condiție prealabilă pentru desfășurarea auditului. I.1. Analiza inițială de securitate cibernetică Activitățile din această etapă vor consta în: a) Analiza serviciilor esențiale și a infrastructurii OSE/FSD necesare pentru prestarea acestor servicii; b) Analiza politicilor, procedurilor și a măsurilor tehnice și organizatorice implementate de către OSE/FSD: c) Identificarea procesului de comunicare cu CERT-RO (DNSC),
    Achizitii
    29.090 RON
    Cantitate: 1
    Unitate masura: bucata
    Ofertă servicii de audit NIS conf. Ordinului nr. 1323/2020 și prevederilor Legii nr. 362/2018
    Ofertă pentru realizarea serviciilor de audit calificat pentru verificarea respectării cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice, conform Ordinului nr. 1323/2020 și prevederilor Legii nr. 362/2018 (“Legea NIS”) I. Descrierea generala a serviciului oferit Obiectul serviciului ofertat se referă la verificarea de către CERTINSPECT REGISTER SRL în calitate de auditor atestat, în cadrul OSE/FSD (Beneficiarul) a implementării „Normelor tehnice privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale”, aprobate prin Ordinul nr. 1323/2020. Verificarea, care constă într-un audit la fața locului cât și de la distanță, se realizează de către auditorii atestați de către CERT-RO (DNSC) ai CERTINSPECT REGISTER SRL. Este de așteptat ca la momentul prestării serviciilor din prezenta Ofertă, cerințele legale să fie implementate de către Beneficiar, aceasta fiind o condiție prealabilă pentru desfășurarea auditului. I.1. Analiza inițială de securitate cibernetică Activitățile din această etapă vor consta în: a) Analiza serviciilor esențiale și a infrastructurii OSE/FSD necesare pentru prestarea acestor servicii; b) Analiza politicilor, procedurilor și a măsurilor tehnice și organizatorice implementate de către OSE/FSD: c) Identificarea procesului de comunicare cu CERT-RO (DNSC), a responsabilităților și atribuțiilor Responsabilului NIS în cadrul OSE/FSD. d) Gestionarea schimbărilor la nivelul serviciilor esențiale furnizate. I.2. Activitățile de audit tehnic de securitate cibernetică În funcție de solicitarea OSE/FSD din documentul „Chestionar în vederea ofertării serviciului de audit pentru verificarea respectării cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice, conform Ordinului nr. 1323/2020 și prevederilor Legii nr. 362/2018 (“Legea NIS”)” sau a altui document pe baza caruia a fost elaborata prezenta oferta, auditul tehnic de securitate cibernetică poate consta în următoarele servicii: a) auditul arhitecturii [AS1] - constă în verificarea conformității măsurilor de securitate legate de alegerea, poziționarea și implementarea dispozitivelor hardware/software în rețelele și sistemele informatice, cerințele minime de securitate și politicile interne ale OSE/FSD. Auditul poate fi extins la interconectările cu rețele terțe, inclusiv internetul; b) auditul de configurare [AS2] - constă în verificarea implementării măsurilor de securitate în conformitate cu stadiul tehnicii, cerințele minime de securitate și politicile de securitate în ceea ce privește configurația dispozitivelor hardware/software componente ale rețelelor și sistemelor informatice. Aceste dispozitive pot fi în special echipamente de rețea, sisteme de operare (server sau stație de lucru), aplicații sau produse de securitate; c) auditul codului sursă [AS3] - constă în analiza totală sau parțială a codului sursă sau a condițiilor de compilare ale unei aplicații pentru a descoperi vulnerabilitățile legate de practicile de programare neadecvate sau erorile logice care ar putea avea un impact asupra securității rețelelor și sistemelor informatice; d) auditul de penetrare sau testarea de penetrare [AS4] - constă în identificarea vulnerabilităților din rețelele și sistemele informatice și verificarea posibilităților de exploatare a acestora, precum și a impactului exploatării acestora asupra rețelei, în condițiile reale ale unui atac cibernetic asupra rețelelor și sistemelor informatice. Activitatea de audit poate fi desfășurată fie din afara rețelei (în special din internet sau din rețeaua interconectată a unei terțe părți), fie din interiorul rețelei și reprezintă o activitate care trebuie efectuată în complementaritate cu alte activități de audit pentru a le îmbunătăți eficacitatea sau pentru a demonstra fezabilitatea exploatării vulnerabilităților descoperite; e) auditul securității organizației [AS5] - constă în auditul organizației cu privire la securitatea logică și fizică și urmărește să se asigure că politicile și procedurile de securitate definite de OSE/FSD: • sunt conforme cu nevoile de securitate ale OSE/FSD auditat, nivelul tehnologic și standardele în vigoare; • completează corect măsurile tehnice implementate; • sunt puse efectiv în practică. Auditorul de securitate cibernetică se va asigura că aspectele fizice ale securității rețelelor și sistemelor informatice sunt acoperite corespunzător. Această activitate va fi efectuată în complementaritate cu alte activități de audit pentru a le îmbunătăți eficacitatea; f) auditul sistemelor de control industrial [AS6] - constă în evaluarea nivelului de securitate al unui sistem de control industrial și a dispozitivelor de control asociate. I.2.2. Testele de penetrare Evaluarea securității infrastructurii IT va fi completată, în această ultimă etapă, prin efectuarea de teste de penetrare, doar pentru aplicațiile critice expuse la internet, care se bazează pe încercarea unor scheme cunoscute de penetrare a sistemelor de calcul prin intermediul exploatării vulnerabilităților de securitate identificate. Anumite testări, ce vor fi agreate cu Beneficiarul, se vor realiza în afara programului de lucru, pentru prevenirea întreruperilor activităților. Tarif: 29090 RON + TVA Note: * La tariful mentionat în prezenta ofertă se adaugă TVA și sunt incluse cheltuielile de transport și cazare ale echipei de audit. *Prețurile vor fi modificate în funcție de solicitările Beneficiarului cu privire la domeniile auditate (nr. de stații de lucru, servere, aplicații). În cazul în care se doresc a fi contractate servicii opționale, se va elabora o ofertă separată.