Servicii de audit securitate cibernetica, Leagea NIS

    SEAP
    ID
    DA36016493
    Data
    26 Iunie 2024
    Valoare
    17.000 RON
    Stare
    Oferta acceptata
    Autoritatea contractanta
    4122205 - SPITALUL JUDETEAN DE URGENTA PITESTI
    Localitate
    Pitesti, Arges
    Furnizor
    37991905 - S.C. CERTINSPECT REGISTER S.R.L.
    Tipul contractului
    Servicii
    Cod CPV
    72810000-1 - Servicii de audit informatic (Rev.2)
    Descriere:
    Ofertă pentru realizarea serviciilor de audit informatic in conformitate cu Legea nr. 362/2018 (“Legea NIS”) I. Descrierea generala a serviciului oferit Obiectul serviciului ofertat se referă la verificarea de către CERTINSPECT REGISTER SRL în calitate de auditor atestat, în cadrul OSE/FSD (Beneficiarul) a implementării „Normelor tehnice privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale”, aprobate prin Ordinul nr. 1323/2020. Verificarea, care constă într-un audit la fața locului cât și de la distanță, se realizează de către auditorii atestați de către CERT-RO (DNSC) ai CERTINSPECT REGISTER SRL. Este de așteptat ca la momentul prestării serviciilor din prezenta Ofertă, cerințele legale să fie implementate de către Beneficiar, aceasta fiind o condiție prealabilă pentru desfășurarea auditului. pt STATISTICA si BIROU INFORMATIC
    Achizitii
    17.000 RON
    Cantitate: 1
    Unitate masura: bucata
    Servicii de audit securitate cibernetica, Leagea NIS
    Ofertă pentru realizarea serviciilor de audit informatic in conformitate cu Legea nr. 362/2018 (“Legea NIS”) I. Descrierea generala a serviciului oferit Obiectul serviciului ofertat se referă la verificarea de către CERTINSPECT REGISTER SRL în calitate de auditor atestat, în cadrul OSE/FSD (Beneficiarul) a implementării „Normelor tehnice privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale”, aprobate prin Ordinul nr. 1323/2020. Verificarea, care constă într-un audit la fața locului cât și de la distanță, se realizează de către auditorii atestați de către CERT-RO (DNSC) ai CERTINSPECT REGISTER SRL. Este de așteptat ca la momentul prestării serviciilor din prezenta Ofertă, cerințele legale să fie implementate de către Beneficiar, aceasta fiind o condiție prealabilă pentru desfășurarea auditului. I.1. Analiza inițială de securitate cibernetică Activitățile din această etapă vor consta în: a) Analiza serviciilor esențiale și a infrastructurii Spitalului Judetean de Urgenta Pitesti, necesare pentru prestarea acestor servicii; b) Activitatile de audit realizate, vor determina daca Spitalul Judetean de Urgenta Pitesti, indeplineste sau trebuie sa implementeze masuri tehnice si organizatorice, aliniate la standardele nationale si internationale si vor viza cel putin:  managementul drepturilor de acces;  conștientizarea și instruirea utilizatorilor;  jurnalizarea și asigurarea trasabilității activităților în cadrul rețelelor și sistemelor informatice;  testarea și evaluarea securității rețelelor și sistemelor informatice;  managementul configurațiilor rețelelor și sistemelor informatice;  asigurarea disponibilității serviciului esențial și a funcționării rețelelor și sistemelor informatice;  managementul continuității funcționării serviciului esențial;  managementul identificării și autentificării utilizatorilor;  răspunsul la incidente;  mentenanța rețelelor și sistemelor informatice;  managementul suporturilor de memorie externa;  asigurarea protecției fizice a rețelelor și sistemelor informatice;  realizarea planurilor de securitate;  asigurarea securității personalului;  analizarea și evaluarea riscurilor de securitate;  asigurarea protecției produselor și serviciilor aferente rețelelor și sistemelor informatice;  managementul vulnerabilităților și alertelor de securitate. c) Identificarea procesului de comunicare cu CERT-RO (DNSC), a responsabilităților și atribuțiilor Responsabilului NIS în cadrul OSE/FSD. d) Gestionarea schimbărilor la nivelul serviciilor esențiale furnizate. I.2. Activitățile de audit tehnic de securitate cibernetică Activitatile de audit de securitate necesare conformitatii cu Legea 362/2018 respectand cerintele Ordinului nr. 1323/2020 pentru aprobarea normelor tehnice privind cerintele minime de asigurare a securitatii retelelor si sistemelor informatice aplicabile operatorilor de servicii esentiale si care se vor realiza pentru Spitalul Judetean de Urgenta, Pitesti, sunt: a) Auditul arhitecturii [CAS1] - constă în verificarea conformității măsurilor de securitate legate de alegerea, poziționarea și implementarea dispozitivelor hardware/software în rețelele și sistemele informatice, cerințele minime de securitate și politicile interne ale Spitalului Judetean de Urgenta Pitesti. Auditul poate fi extins la interconectările cu rețele terțe, inclusiv internetul; b) Auditul de configurare [CAS2] - constă în verificarea implementării măsurilor de securitate în conformitate cu stadiul tehnicii, cerințele minime de securitate și politicile de securitate în ceea ce privește configurația dispozitivelor hardware/software componente ale rețelelor și sistemelor informatice. Aceste dispozitive pot fi în special echipamente de rețea, sisteme de operare (server sau stație de lucru), aplicații sau produse de securitate; c) Servicii de audit informatic de tip penetration testing pentru identificarea si evaluarea vulnerabilitatilor si riscurilor informatice [CAS4] – consta in efectuarea de teste specifice in conformitate cu standardele de securitate relevante, adica activitati realizate pentru testele de penetrare la nivelul retelei. d) auditul securității organizației [CAS5] - constă în auditul organizației cu privire la securitatea logică și fizică și urmărește să se asigure că politicile și procedurile de securitate definite de Spitalul Judetean de Urgenta Pitesti: • sunt conforme cu nevoile de securitate ale spitalului auditat, nivelul tehnologic și standardele în vigoare; • completează corect măsurile tehnice implementate; • sunt puse efectiv în practică. Auditorul de securitate cibernetică se va asigura că aspectele fizice ale securității rețelelor și sistemelor informatice sunt acoperite corespunzător. Auditul se va desfasura si in conformitate cu cerintele Regulamentului pentru atestarea si verificarea auditorilor de securitate cibernetica din 22 martie 2021. I.2.1 Metode posibile in cazul auditului tehnic Daca in urma actiunii de identificare a sistemelor informatice va interveni necesitatea organizarii si desfasurarii si a altor activitati de audit pentru identificarea si evaluarea vulnerabilitatilor, acestea se vor baza pe cele mai bune practici din domeniu: • Legea nr. 362 din 28.12.2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice; • Regulamentul pentru atestarea si verificarea auditorilor de securitate cibernetica din 22 martie 2021 • Ordinul nr. 1323/2020 pentru aprobarea normelor tehnice privind cerintele minime de aisgurare a securitatii retelelor si sistemelor informatice aplicabile operatorilor de servicii esentiale; • Information Systems Audit and Control Association – ISACA; • Penetration Testing Framework; • Penetration Testing Execution Standard; • OWASP I.2.2. Evaluarea securității infrastructurii IT va fi completată, în această ultimă etapă, prin efectuarea de teste de penetrare.