Oferta servicii audit NIS, conform Ordinului nr. 1323/2020 și prevederilor Legii nr. 362/2018
SEAPIDStare
DA35485567
Data11 Aprilie 2024
Valoare17.900 RON
Oferta acceptata
Autoritatea contractantaLocalitateGiurgiu, Giurgiu
FurnizorTipul contractuluiServicii
Cod CPVDescriere:Ofertă pentru realizarea serviciilor de audit calificat pentru verificarea respectării cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice, conform Ordinului nr. 1323/2020 și prevederilor Legii nr. 362/2018 (“Legea NIS”) Certinspect Register este printre primele companii atestate să efectueze audituri de securitate cibernetică în baza legii NIS (atestat seria CLE nr. 7024/25.08.2021). In timpul auditurilor sunt verificate aspecte precum managementul securității cibernetice, protecția rețelelor și sistemelor informatice, apărarea cibernetică si reziliența serviciilor esențiale. I. Descrierea generala a serviciului oferit * Obiectul serviciului ofertat se referă la verificarea de către CERTINSPECT REGISTER SRL în calitate de auditor atestat, în cadrul OSE/FSD (Beneficiarul) a implementării „Normelor tehnice privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale”, aprobate prin Ordinul nr. 1323/2020. Verificarea, care constă într-un audit la fața locului cât și de la distanță, se realizează de către auditorii atestați de către CERT-RO (DNSC) ai CERTINSPECT REGISTER SRL. Este de așteptat ca la momentul prestării serviciilor din prezenta Ofertă, cerințele legale să fie implementate de către Beneficiar, aceasta fiind o condiție prealabilă pentru desfășurarea auditului. I.1. Analiza inițială de securitate cibernetică * Activitățile din această etapă vor consta în: a) Analiza s
Achizitii17.900 RON
Cantitate: 1
Unitate masura: bucata
Oferta servicii audit NIS, conform Ordinului nr. 1323/2020 și prevederilor Legii nr. 362/2018
Ofertă pentru realizarea serviciilor de audit calificat pentru verificarea respectării cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice, conform Ordinului nr. 1323/2020 și prevederilor Legii nr. 362/2018 (“Legea NIS”)
Certinspect Register este printre primele companii atestate să efectueze audituri de securitate cibernetică în baza legii NIS (atestat seria CLE nr. 7024/25.08.2021). In timpul auditurilor sunt verificate aspecte precum managementul securității cibernetice, protecția rețelelor și sistemelor informatice, apărarea cibernetică si reziliența serviciilor esențiale.
I. Descrierea generala a serviciului oferit * Obiectul serviciului ofertat se referă la verificarea de către CERTINSPECT REGISTER SRL în calitate de auditor atestat, în cadrul OSE/FSD (Beneficiarul) a implementării „Normelor tehnice privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale”, aprobate prin Ordinul nr. 1323/2020. Verificarea, care constă într-un audit la fața locului cât și de la distanță, se realizează de către auditorii atestați de către CERT-RO (DNSC) ai CERTINSPECT REGISTER SRL. Este de așteptat ca la momentul prestării serviciilor din prezenta Ofertă, cerințele legale să fie implementate de către Beneficiar, aceasta fiind o condiție prealabilă pentru desfășurarea auditului.
I.1. Analiza inițială de securitate cibernetică * Activitățile din această etapă vor consta în:
a) Analiza serviciilor esențiale și a infrastructurii OSE/FSD necesare pentru prestarea acestor servicii;
b) Analiza politicilor, procedurilor și a măsurilor tehnice și organizatorice implementate de către OSE/FSD:
c) Identificarea procesului de comunicare cu CERT-RO (DNSC), a responsabilităților și atribuțiilor Responsabilului NIS în cadrul OSE/FSD.
d) Gestionarea schimbărilor la nivelul serviciilor esențiale furnizate.
I.2. Activitățile de audit tehnic de securitate cibernetică * În funcție de solicitarea OSE/FSD din documentul „Chestionar în vederea ofertării serviciului de audit pentru verificarea respectării cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice, conform Ordinului nr. 1323/2020 și prevederilor Legii nr. 362/2018 (“Legea NIS”)” sau a altui document pe baza caruia a fost elaborata prezenta oferta.
I.2.1 Metode posibile in cazul auditului tehnic:
Scanarea vulnerabilităților (ex: Nessus, OpenVAS);
Testarea activă a exploatării vulnerabilităților identificate;
Verificarea sistemelor de autentificare și acțiuni limitate de brute-force;
Exploatarea vulnerabilității (Metasploit, Exploituri publice);
Tehnici post-exploition (accesarea datelor și a sistemelor private).
Procesul de identificare al vulnerabilităților implică scanarea infrastructurii IT a Beneficiarului în scopul identificării vulnerabilităților acesteia și a identificării unor soluții de remediere ulterioare.
Obiectivele vizate in cadrul procesului de identificare a vulnerabilităților sunt următoarele:
a. Descoperire infrastructura – identificare servere și alte dispozitive din rețea, folosind soluții standard in industrie.
b. Detectare servicii – identificarea porturilor deschise si serviciilor disponibile pe fiecare sistem descoperit, cum ar fi: servicii de email, aplicații Web, servicii de partajare fișiere.
c. Identificare vulnerabilități – efectuarea analizei bazate pe sistemul de operare, servicii, configurări și informații culese in fazele anterioare.
d. Clasificare vulnerabilități – clasificarea vulnerabilităților descoperite și folosirea standardelor existente (CVE) pentru calcularea impactului riscurilor în funcție de vulnerabilitate.
e. Raportare – centralizarea concluziilor, prioritizarea și organizarea în funcție de cerințele Beneficiarului.
f. Managementul vulnerabilităților – sortarea și prioritizarea vulnerabilităților se va realiza în funcție de gradul de risc și numărul de echipamente afectate. Soluțiile se vor oferi pentru vulnerabilitățile “Critice” si “Înalte” descoperite.
I.2.2. Testele de penetrare * Evaluarea securității infrastructurii IT va fi completată, în această ultimă etapă, prin efectuarea de teste de penetrare, doar pentru aplicațiile critice expuse la internet, care se bazează pe încercarea unor scheme cunoscute de penetrare a sistemelor de calcul prin intermediul exploatării vulnerabilităților de securitate identificate. Anumite testări, ce vor fi agreate cu Beneficiarul, se vor realiza în afara programului de lucru, pentru prevenirea întreruperilor activităților.
Un audit de penetrare cibernetică sau, mai scurt, pentest, reprezintă o activitate de testare a sistemelor de securitate prezente în infrastructura clientului în scopul reducerii riscului de securitate IT.
Testele de penetrare evaluează sistemele de control procedurale și operaționale, precum și cele tehnologice, imită comportamentul malițios al unui atacator extern și nu este necesară cunoașterea detaliilor de acces ale echipamentelor (parole).