Servicii de audit de securitate a rețelelor sistemelor informatice
SEAPIDStare
DA36855621
Data05 Noiembrie 2024
Valoare29.500 RON
Oferta acceptata
Autoritatea contractantaLocalitateArad, Arad
FurnizorTipul contractuluiServicii
Cod CPVDescriere:Cu raportare la oferta înaintată si acceptată, urmare a invitatiei de participare
Achizitii29.500 RON
Cantitate: 1
Unitate masura: bucata
Servicii de audit de securitate al retelelor si sistemelor informatice
Ofertă pentru realizarea serviciilor de audit de securitate a retelelor sistemelor informatice, servicii clasificate confom CPV (Rev. 2): 72810000-1 Servicii de audit informatic, 72800000-8 Servicii de audit informatic si de testäri informatice.
I. Descrierea generala a serviciului oferit Obiectul serviciului ofertat se referă la verificarea de către CERTINSPECT REGISTER SRL în calitate de auditor atestat, în cadrul OSE/FSD (Beneficiarul) a implementării „Normelor tehnice privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale”, aprobate prin Ordinul nr. 1323/2020. Verificarea, care constă într-un audit la fața locului cât și de la distanță, se realizează de către auditorii atestați de către CERT-RO (DNSC) ai CERTINSPECT REGISTER SRL. Este de așteptat ca la momentul prestării serviciilor din prezenta Ofertă, cerințele legale să fie implementate de către Beneficiar, aceasta fiind o condiție prealabilă pentru desfășurarea auditului.
I.1. Analiza inițială de securitate cibernetică Activitățile din această etapă vor consta în:
a) Analiza serviciilor esențiale și a infrastructurii OSE/FSD necesare pentru prestarea acestor servicii;
b) Analiza politicilor, procedurilor și a măsurilor tehnice și organizatorice implementate de către OSE/FSD.
I.2. Activitățile de audit tehnic de securitate cibernetică
În funcție de solicitarea OSE/FSD din documentul „Chestionar în vederea ofertării serviciului de audit pentru verificarea respectării cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice, conform Ordinului nr. 1323/2020 și prevederilor Legii nr. 362/2018 (“Legea NIS”)” sau a altui document pe baza caruia a fost elaborata prezenta oferta, auditul tehnic de securitate cibernetică poate consta în următoarele servicii:
a) auditul arhitecturii [AS1] - constă în verificarea conformității măsurilor de securitate legate de alegerea, poziționarea și implementarea dispozitivelor hardware/software în rețelele și sistemele informatice, cerințele minime de securitate și politicile interne ale OSE/FSD. Auditul poate fi extins la interconectările cu rețele terțe, inclusiv internetul;
b) auditul de configurare [AS2] - constă în verificarea implementării măsurilor de securitate în conformitate cu stadiul tehnicii, cerințele minime de securitate și politicile de securitate în ceea ce privește configurația dispozitivelor hardware/software componente ale rețelelor și sistemelor informatice. Aceste dispozitive pot fi în special echipamente de rețea, sisteme de operare (server sau stație de lucru), aplicații sau produse de securitate;
c) auditul codului sursă [AS3] - constă în analiza totală sau parțială a codului sursă sau a condițiilor de compilare ale unei aplicații pentru a descoperi vulnerabilitățile legate de practicile de programare neadecvate sau erorile logice care ar putea avea un impact asupra securității rețelelor și sistemelor informatice;
d) auditul de penetrare sau testarea de penetrare [AS4] - constă în identificarea vulnerabilităților din rețelele și sistemele informatice și verificarea posibilităților de exploatare a acestora, precum și a impactului exploatării acestora asupra rețelei, în condițiile reale ale unui atac cibernetic asupra rețelelor și sistemelor informatice. Activitatea de audit poate fi desfășurată fie din afara rețelei (în special din internet sau din rețeaua interconectată a unei terțe părți), fie din interiorul rețelei și reprezintă o activitate care trebuie efectuată în complementaritate cu alte activități de audit pentru a le îmbunătăți eficacitatea sau pentru a demonstra fezabilitatea exploatării vulnerabilităților descoperite;
e) auditul securității organizației [AS5] - constă în auditul organizației cu privire la securitatea logică și fizică și urmărește să se asigure că politicile și procedurile de securitate definite de OSE/FSD:
• sunt conforme cu nevoile de securitate ale OSE/FSD auditat, nivelul tehnologic și standardele în vigoare;
• completează corect măsurile tehnice implementate;
• sunt puse efectiv în practică.
Auditorul de securitate cibernetică se va asigura că aspectele fizice ale securității rețelelor și sistemelor informatice sunt acoperite corespunzător. Această activitate va fi efectuată în complementaritate cu alte activități de audit pentru a le îmbunătăți f) auditul sistemelor de control industrial [AS6] - constă în evaluarea nivelului de securitate al unui sistem de control industrial și a dispozitivelor de control asociate.
I.2.2. Testele de penetrare - Evaluarea securității infrastructurii IT va fi completată, în această ultimă etapă, prin efectuarea de teste de penetrare, doar pentru aplicațiile critice expuse la internet, care se bazează pe încercarea unor scheme cunoscute de penetrare a sistemelor de calcul prin intermediul exploatării vulnerabilităților de securitate identificate.