ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1
Załącznik Nr 3 do Część II SIWZ Wymagania bezpieczeństwa dla systemów IT wyciąg SPIS TREŚCI 1 KONTROLA DOSTĘPU... 3 2 KRYPTOGRAFIA... 4 3 SIEĆ... 5 4 SERWERY... 6 5 STACJE ROBOCZE... 8 6 OCHRONA ANTYWIRUSOWA... 9 7 KOPIE ZAPASOWE... 10 8 MONITOROWANIE... 11 9 AUDYTY I TESTY BEZPIECZEŃSTWA INFORMATYCZNEGO... 12 10 ZASADY ROZWOJU I WDRAŻANIA OPROGRAMOWANIA... 13 2
1 KONTROLA DOSTĘPU 1. Uzyskanie dostępu do systemów informatycznych musi być poprzedzone pomyślnym przejściem identyfikacji i uwierzytelniania. 2. Każdy użytkownik musi posiadać indywidualne konto, pozwalające go jednoznacznie zidentyfikować i rozliczyć z wykonanych działań. 3. Muszą być stosowane hasła dostępowe statyczne, zmieniane raz na miesiąc. 4. Musi istnieć możliwość założenia konta awaryjnego z prawami administratora. 5. Uwzględniona musi być zasada przyznawania minimalnych uprawnień. 6. Musi istnieć możliwość zaszyfrowania zasobów zawierających dane podlegające podwyższonej ochronie (Tajemnica PSE S.A.). 7. Wymagania odnośnie haseł: a) minimalna długość hasła wynosi osiem (8) znaków, b) hasło musi składać się z dużej i małej litery oraz cyfry lub znaku specjalnego, c) hasło musi być zmieniane nie rzadziej niż co 30 dni, d) hasło nie może być banalne i łatwe do odgadnięcia oraz być hasłem słownikowym, e) to samo hasło nie może być użyte w dziesięciu (10) kolejnych zmianach hasła, f) hasła nie mogą być włączone do skryptów login (zapisywanych na twardych dyskach) lub w aplikacjach, g) hasła muszą być przechowywane w formacie zaszyfrowanym. 8. Istnieje możliwość blokowania kont po nieudanych próbach zalogowania z możliwością dostosowania tych ustawień. 3
2 KRYPTOGRAFIA 1. System (aplikacja) musi umożliwiać zaszyfrowania informacji przesyłanych przez sieci publiczne, gwarantującej ich poufność i integralność. 2. Kryptograficzna ochrona informacji musi mieć zastosowanie w następujących przypadkach: a) zdalnego dostępu administracyjnego do serwerów i urządzeń sieciowych, b) transmisji informacji stanowiących tajemnicę firmy lub danych wymagających potwierdzenia integralności pomiędzy lokalizacjami, c) dostępu użytkowników do zasobów informacyjnych udostępnianych przez system (aplikację) poprzez sieci publiczne. 3. Zabezpieczenia, które są dopuszczone do stosowania w systemie i połączeniach do niego: Protokół AES wykorzystujący klucz o długości 256 bitów. Protokół 3DES o Dopuszczalny warunkowo: AES o długości klucza 192 lub 128 bitów. Funkcje skrótu: SHA-512, SHA-265 o Dopuszczalne warunkowo: SHA1, MD5. Dla protokołu SSL dopuszczana wersja to 3.0 lub wyższa (w przyszłości), TLS 1.0 lub wyższa. W PKI długość klucza prywatnego i publicznego o długości minimum 1024 bitów. 4
3 SIEĆ 1. Zdalny dostęp użytkowników PSE S.A. do wewnętrznych zasobów systemu (aplikacji) za pośrednictwem sieci publicznych będzie możliwy wyłącznie z wykorzystaniem protokołów zapewniających bezpieczną identyfikację, uwierzytelnianie oraz poufność i integralność przesyłanych danych z wykorzystaniem technologii szyfrowania transmisji danych. 5
4 SERWERY 1. Serwery nie będą udostępniać innych usług i zasobów, które nie są zgodne z ich przeznaczeniem. 2. Zdalny dostęp administracyjny do serwerów zawierających dane wrażliwe musi odbywać się wyłącznie z wykorzystaniem mechanizmów kontroli dostępu oraz technologii szyfrowania. 3. Jeżeli system operacyjny serwera dysponuje możliwością wyświetlania banera informacyjnego, przed rozpoczęciem procesu identyfikacji i weryfikacji tożsamości użytkownika, mechanizm ten będzie stosowany. 4. Konfiguracje wszystkich serwerów musi przejść utwardzanie (hardening) na podstawie zaleceń producentów wykorzystywanego oprogramowania oraz ogólnie uznanych za poprawne zasad i standardów bezpieczeństwa. W szczególności hardening powinien obejmować: a) instalację wyłącznie niezbędnych pakietów oprogramowania (lub usunięcie zbędnych), b) określenie polityki haseł i polityki blokowania kont użytkowników, c) instalację i uruchamianie wyłącznie niezbędnych usług sieciowych (lub wyłączenie zbędnych), d) ustalenie restrykcyjnych praw dostępu do wszystkich krytycznych obiektów w systemie, e) ustalenie parametrów jądra systemu oraz stosu protokołów sieciowych (rejestry systemowe), f) parametry udostępnionych usług sieciowych. 5. Wszystkie serwery o podwyższonym poziomie bezpieczeństwa, powinny posiadać zaimplementowane narzędzia sprawdzające integralność systemu plików, pozwalające wykryć próby nieautoryzowanych zmian (w plikach konfiguracyjnych systemu operacyjnego, aplikacjach i danych). 6. Informacje limitowane i niejawne, przechowywane przez użytkowników na serwerach muszą być zabezpieczone mechanizmami kontroli dostępu wbudowanymi w system plików gwarantującymi ich poufność i dostępność wyłącznie dla ich właściciela, dane limitowane dodatkowo metodami kryptograficznymi. Wspomniane mechanizmy powinny też umożliwiać właścicielowi zabezpieczanych danych określenie innych użytkowników, którzy będą mieli do nich dostęp, oraz zapewnić ich odtworzenie w przypadku utraty hasła do danych. 7. Systemy operacyjne przechowujące limitowane i niejawne informacje powinny posiadać włączone mechanizmy śledzenia zdarzeń i rozliczalności (audyt i accounting) pozwalające jednoznacznie zidentyfikować użytkownika lub proces, który wykonał określone działania lub zmiany w systemie. 8. Systemy operacyjne serwerów muszą rejestrować wszystkie istotne z punktu widzenia bezpieczeństwa zdarzenia, w szczególności: udane i nieudane próby logowania użytkowników, zmiany haseł, próby przekraczania uprawnień. 9. Systemy operacyjne oraz aplikacje produkcyjne będą umożliwiać instalację poprawek, a szczególnie dotyczących bezpieczeństwa. Powinny też zapewniać możliwość wykonywania kopii bezpieczeństwa danych należących do programów systemowych i aplikacji produkcyjnych. 6
10. W celu zapewnienia odpowiedniego poziomu niezawodności oraz wydajności serwerów, będą stosowane odpowiednie rozwiązania sprzętowe i programowe (macierze dyskowe, klastry). 7
5 STACJE ROBOCZE 1. Aplikacje klienckie na stacjach roboczych będą umożliwiać pracę z systemem dopiero po właściwym uwierzytelnieniu użytkownika (może być zintegrowane z mechanizmami systemowymi, domenowymi itp.). 8
6 OCHRONA ANTYWIRUSOWA 1. Na poziomie serwerów ochrona antywirusowa musi obejmować wszystkie ich zasoby, tj. pliki systemowe, uruchomione aplikacje oraz przetwarzane w nich dane. Dodatkowo muszą być uwzględnione specyficzne funkcje spełniane przez serwer. 2. Oprogramowanie antywirusowe musi być zainstalowane na wszystkich serwerach, lub jeśli nie jest to możliwe należy wyselekcjonować serwery, które zostaną objęte ochroną antywirusową. 3. Serwery będą umożliwiać aktualizację sygnatur programów antywirusowych. 9
7 KOPIE ZAPASOWE 1. Serwery muszą umożliwiać wykonywanie kopii zapasowej: systemu, zainstalowanego oprogramowania użytkowego oraz przetwarzanych danych. 10
8 MONITOROWANIE 1. Wszystkie systemy muszą posiadać włączone mechanizmy rejestrowania zdarzeń w zakresie wykrywania naruszeń bezpieczeństwa i awarii. 2. Wszystkie systemy informatyczne, w których rejestruje się zdarzenia muszą umożliwiać synchronizację czasu w domenie AD lub do serwera NTP. 3. Systemy oraz aplikacje informatyczne muszą posiadać możliwość przesyłania logów do zewnętrznego serwera syslog. 4. Systemy i aplikacje muszą umożliwiać przechowywanie logów przez okres co najmniej dwóch lat. 5. Do systemów, w których przetwarzane są dzienniki zdarzeń lub ich archiwa, mogą mieć dostęp wyłącznie osoby uprawnione. Systemy powinny zapewniać integralność dzienników zdarzeń. 11
9 AUDYTY I TESTY BEZPIECZEŃSTWA INFORMATYCZNEGO 1. System informatyczny musi pomyślnie przejść wewnętrzny audyt bezpieczeństwa, w oparciu o opracowane założenia bezpieczeństwa. 2. Audyty bezpieczeństwa nowych systemów informatycznych muszą być elementem odbioru i akceptacji prac świadczonych przez firmy zewnętrzne. 12
10 ZASADY ROZWOJU I WDRAŻANIA OPROGRAMOWANIA 1. Systemy informatyczne o podwyższonym poziomie bezpieczeństwa muszą zapewniać mechanizmy bezpiecznej identyfikacji i weryfikacji tożsamości użytkowników. Domyślną metodą weryfikacji tożsamości w systemach informatycznych jest zastosowanie haseł dostępowych. Wymaganie zastosowania innej lub dodatkowej metody weryfikacji musi być określone na poziomie założeń bezpieczeństwa dla poszczególnych systemów informatycznych. 2. Dostęp użytkowników do wrażliwych funkcji oraz limitowanych i niejawnych informacji przetwarzanych w systemach informatycznych musi być kontrolowany i ograniczany z wykorzystaniem mechanizmów sterowania dostępem i gradacji uprawnień. 3. Dane wejściowe systemów informatycznych przetwarzających limitowane i niejawne informacje muszą podlegać potwierdzaniu ważności, kontroli i filtracji tak, aby zapewnić, że są poprawne i właściwe. Sprawdzanie wprowadzanych danych musi obejmować minimalnie wykrywanie następujących błędów: a) wartości spoza dopuszczalnego zakresu, b) niewłaściwe znaki w polach danych, c) brakujące lub niekompletne dane, d) przekraczanie górnych i dolnych ograniczeń wielkości danych, e) nieuprawnione lub niespójne dane kontrolne. 4. Systemy informatyczne przetwarzające wrażliwe informacje powinny posiadać włączony mechanizm szczegółowego audytu zdarzeń pozwalający jednoznacznie zidentyfikować użytkownika i administratora, który dokonał zmian w systemie lub danych. 5. Powinna powstać dokumentacja powykonawcza opisująca wszystkie zastosowane mechanizmy bezpieczeństwa. Pozytywna ocena udokumentowanych mechanizmów bezpieczeństwa będzie jednym z warunków odbioru. 13