Załącznik nr 1 do zapytania ofertowego z dn. 19.07.2017 r. SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie 1. Dokonanie oceny zgodności funkcjonujących zasad i procedur dotyczących zarządzania bezpieczeństwem informacji, w tym przetwarzania danych osobowych, z obowiązującymi aktami prawnymi, w szczególności: a) 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2016 r. poz. 113 i 1744), b) ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) i wydanymi do niej rozporządzeniami wykonawczymi, c) normami bezpieczeństwa: - Norma PN-ISO/IEC 27001 Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji Wymagania, - Norma PN-ISO/IEC 20000 Technika informatyczna - Zarządzanie usługami, d) wymaganiami technologicznymi w systemach informatycznych zapewniającymi bezpieczeństwo zasobów sprzętowych i informacyjnych; e) wytycznymi Ministerstwa Cyfryzacji oraz Ministerstwa Rodziny, Pracy i Polityki Społecznej dotyczące dokumentacji z zakresu bezpieczeństwa informacji dla Wojewódzkich Urzędów Pracy i Powiatowych Urzędów Pracy. 2. Przeprowadzenie audytu bezpieczeństwa informacji we wszystkich obszarach funkcjonowania Wojewódzkiego Urzędu Pracy w Lublinie, w szczególności w zakresie: a) organizacyjnym, obejmującym m.in.: - regulacje w obszarze zarządzania bezpieczeństwem informacji, - dokumentacje, w tym z zakresu ochrony danych osobowych, - odpowiedzialność za bezpieczeństwo informacji i koordynację prac związanych z zarządzaniem bezpieczeństwem informacji, b) fizycznym i środowiskowym, w tym: - weryfikacja granic obszaru bezpiecznego, - weryfikacja zabezpieczeń wejścia/wyjścia, - weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń, - weryfikacja bezpieczeństwa okablowania strukturalnego, - weryfikacja systemów chłodzenia, - weryfikacja systemów alarmowych; c) teleinformatycznym, z uwzględnieniem: - weryfikacja i analiza bezpieczeństwa dostępu do wewnętrznej infrastruktury sieciowej IT, - weryfikacja i analiza jakościowa odporności infrastruktury IT na bezautoryzacyjne rozpoznanie jego składowych, w tym weryfikacja podatności serwisów DNS, Strona 1 z 8
- weryfikacja systemów oraz protokołów zarządzania i monitorowania infrastruktury IT, - weryfikacja jakościowa ochrony przed oprogramowaniem szkodliwym poprzez próby propagacji testowego oprogramowania szkodliwego (zarówno z zewnątrz jak i od wewnątrz infrastruktury IT), - weryfikacja środków technicznych kontroli dostępu do systemów operacyjnych, w tym zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania, - weryfikacja i analiza danych przetwarzanych przez systemy logowania, - weryfikacja podatności logicznych środków kontroli dostępu wewnątrz infrastruktury IT, - weryfikacja poufności i integralności przetwarzania danych w systemach bazodanowych, w szczególności danych osobowych, - weryfikacja identyfikacji oraz autentykacji stosowanych w mechanizmach autoryzacji dostępu do zasobów IT, - weryfikacja podatności systemów i sieci na ataki takie jak sniffing, spoofing, man-inthe-middle, - weryfikacja na podstawie otwartości portów, podatności związanych z autoryzacją dostępu zdalnego do zasobów IT i ocena związanych z tym ryzyk, - weryfikacja bezautoryzacyjnego dostępu do informacji o rodzaju i wersji wykorzystywanego oprogramowania systemowego i usługowego, - weryfikacja arbitralnego i bezautoryzacyjnego zarządzania cyklem zmian systemów operacyjnych na urządzeniach infrastruktury IT, - rozpoznanie i ocena mechanizmów zarządzania aktualizacjami - w tym obecność systemów automatyzujących propagację poprawek bezpieczeństwa, - weryfikacja podatności na bezautoryzacyjne połączenia systemów VoIP, - weryfikacja podatności hostów na ataki w warstwie systemowej (przy wykorzystaniu exploitów), - weryfikacja podatności hostów na możliwość uzyskania nieautoryzowanego dostępu do zasobów plikowych, - weryfikacja poufności przesyłu danych przetwarzanych na udostępnionych zasobach plikowych, - weryfikacja podatności ustawień hostów na możliwość uzyskania nieautoryzowanego zdalnego dostępu do kontroli treści przesyłanych przez przeglądarki www, - weryfikacja bezautoryzacyjnej dostępności do danych o czasie pracy, krytycznych systemów, - weryfikacja obecności domyślnych kont użytkowników oraz haseł, - weryfikacja bezpieczeństwa informacji zawartych w komunikatach systemów, - weryfikacja obecności podatnych algorytmów szyfrowania, - weryfikacja wycieku danych z plików graficznych, archiwów, plików edytowalnych, - weryfikacja podatności systemów i aplikacji www w wewnętrznej infrastrukturze IT, - weryfikacja poufności przesyłania danych do wydruku, - analiza i ocena dodatkowych systemów bezpieczeństwa tj. dodatkowego oprogramowania antywirusowego, oprogramowania weryfikującego integralność systemów i gwarantującego audytowalność infrastruktury IT, Strona 2 z 8
- weryfikacja podatności systemu sieci wewnętrznej na zakłócenie/zablokowanie dostępności do usług i określenie zasięgu oraz zlokalizowanie fizycznego źródła ataku, - weryfikacja systemów AV na podatność DOS (zasada fail-secure), - weryfikacja poufności i czasu podtrzymania danych autoryzacyjnych aplikacji www. 3. Przeprowadzenie testów penetracyjnych przeprowadzonych ze stacji roboczej podłączonej do systemu informatycznego z zewnątrz (testy black box) mających na celu zidentyfikowanie jego podatności na włamanie oraz kompromitacje, w zakresie: a) zebranie dostępnych wiadomości o obiekcie metodą pasywną poprzez: - wykorzystanie baz danych i narzędzi on-line: whois, dns, robtex,etc., - wykorzystanie serwisu indeksującego Google, Bing, - wyszukiwanie informacji o ostrzeżeniach błędach, - wyszukiwanie informacji o dostępnych zasobach i plikach, - pozyskiwanie danych z pamięci cache serwisu Google (w tym pasywne pozyskiwanie metadanych), b) przeskanowanie wszystkich portów i dostępnych usług na testowanych adresach systemu: - identyfikacja aktywnych hostów i otwartych portów, - podjęcie próby identyfikacji dostępnych usług i ich wersji (weryfikacja wyników skanowania, co najmniej dwoma innymi jeszcze metodami), c) próba identyfikacji testowanego systemu i jego struktury: - próba określenia typu i wersji systemu operacyjnego, - analiza informacji zawartych w banerach usług, - analiza możliwych typów zapytań www, - analiza informacji zawartych w nagłówkach odpowiedzi aplikacji www, - analiza informacji zawartych w odpowiedziach aplikacji www, d) próba wykrycia luk i podatności konfiguracyjnych: - analiza metadanych plików, - próba enumeracji zasobów danych, - próba przeprowadzenia ataku słownikowego na hasła użytkowników, - próba ujawnienia wycieków danych (obecność popularnych plików, analiza, informacje o błędach, niewłaściwe nazewnictwo zasobów, wycieki kodu aplikacji), - próby wywołania błędów aplikacji (manipulacja przesyłanymi danymi, w tym:) o przesyłanie niepoprawnych danych o przesyłanie nadmiarowych danych o manipulacja parametrami oraz danymi nagłówkowymi zapytań e) praktyczne sprawdzenie wykrytych podatności: - próba exploitacji z użyciem bazy posiadanych exploitów, - próba przeprowadzenia ataku DOS, - weryfikacja nieautoryzowanego dostępu do testowanego systemu, - weryfikacja informacji wrażliwych, uzyskanych w odpowiedziach systemu, - weryfikacja reakcji zabezpieczeń testowanego systemu, na przeprowadzane próby ataku, - socjotechnicznych wpływ czynnika ludzkiego, polegającym na: Strona 3 z 8
o sprawdzeniu sposobu przechowywania haseł przez użytkowników, o weryfikacji ochrony powierzonego sprzętu i dokumentacji, o weryfikacji wiedzy pracowników na temat zasad ochrony danych osobowych oraz bezpieczeństwa teleinformatycznego; f) analizy szacowania ryzyka w oparciu o normę PN-ISO/IEC 27005, uwzględniającego: - inwentaryzację aktywów podlegających szacowaniu ryzyka, - określenie zagrożeń dla wyznaczonych aktywów, - określenie podatności dla wyznaczonych aktywów, - określenie prawdopodobieństw dla wyznaczonych aktywów, - oszacowanie ryzyka pod kątem skutków naruszenia bezpieczeństwa informacji; 4. Przygotowanie polityki systemu zarządzania bezpieczeństwem informacji stanowiącej podstawę dalszych działań związanych z wdrożeniem systemu zarządzania bezpieczeństwem informacji Polityka systemu zarządzania bezpieczeństwem informacji zawierać będzie w szczególności: Określenie podstaw dla systemu zarządzania bezpieczeństwem informacji, w tym podstaw prawnych i normatywnych Określenie celu wdrożenia i eksploatacji systemu zarządzania bezpieczeństwem informacji Deklarację kadry zarządzającej Określenie ogólnej odpowiedzialności w obszarze zarządzania bezpieczeństwem informacji Wskazanie ogólnych zasad i metod zarządzania bezpieczeństwem informacji Zapewnienie alokacji zasobów niezbędnych do wdrożenia i eksploatacji systemu zarządzania bezpieczeństwem informacji Zapewnienie realizacji działań w celu optymalizacji systemu zarządzania bezpieczeństwem informacji. 5. Przygotowanie deklaracji stosowania definiującej sposób realizacji zaleceń normy PN-ISO/IEC 27001:2013 w odniesieniu do wymagań Zamawiającego i określającej dalsze prace związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji. Wskazanie zabezpieczeń podlegających wdrożeniu oraz zabezpieczeń wykluczonych z wdrożenia Odniesienie do planu postępowania z ryzykiem Uzasadnienie zabezpieczeń wykluczonych z wdrożenia Wskazanie dokumentów zawierających opis zabezpieczeń podlegających wdrożeniu 6. Opracowanie dokumentacji dotyczącej zarządzania systemem bezpieczeństwa informacji: Określenie i sformalizowanie zasad zarządzania w szczególności poprzez wskazanie osób odpowiedzialnych oraz wskazanie podejścia do zapewnienia zasobów niezbędnych do efektywnego zarządzania bezpieczeństwem i zarządzania usługami. Strona 4 z 8
Opracowanie procedur przeprowadzania audytów, zawierających wskazanie częstotliwości audytów, sposobu przygotowywania i zatwierdzania ich planów, sposobu ich przeprowadzania oraz dokumentowania i raportowania ich wyników. Opracowanie procedury działań korygujących w przypadku niezgodności z wymaganiami systemu zarządzania. Opracowanie procedury wprowadzania działań zapobiegawczych w przypadku wystąpienia sytuacji mogącej prowadzić do niezgodności z wymaganiami systemu zarządzania. Opracowanie procedury przeglądu systemu zarządzania, w szczególności określającej częstotliwość przeglądów, zakres i sposób ich przeprowadzania, materiały źródłowe niezbędne do przeprowadzenia przeglądu, tryb wdrażania wniosków. Opracowanie procedury nadzoru nad dokumentami wchodzącymi w skład systemu zarządzania. W szczególności zostaną określone zasady wersjonowania, zatwierdzania, dystrybucji, przechowywania, archiwizowania i niszczenia dokumentów. Opracowanie procedury nadzoru nad zapisami, określającej zasady przechowywania, archiwizowania oraz niszczenia zapisów. 7. Opracowanie dokumentacji dotyczącej zabezpieczeń systemu zarządzania bezpieczeństwem informacji: Optymalizacja posiadanych przez Zamawiającego dokumentów określających zasady zarządzania bezpieczeństwem informacji, o ile wyniki analizy ryzyka wykażą potrzebę takiej optymalizacji; Opracowanie dokumentów określających zasady zarządzania bezpieczeństwem informacji, których brak stwierdzono po przeprowadzeniu analizy ryzyka. 8. W opracowaniu winny być wzięte pod uwagę następujące zagadnienia: Wymagania w zakresie zabezpieczeń teleinformatycznych, Zasady bezpiecznego przetwarzania informacji przez pracowników Zamawiającego, Stosowanie zasady czystego biura i czystego ekranu, Zabezpieczenie stacji roboczych, Zasady klasyfikacji informacji i postępowania z informacjami klasyfikowanymi, Zasady zarządzania dostępem do informacji, w tym nadawania, modyfikacji, odbierania uprawnień oraz przeglądu uprawnień, Zasady zarządzania dostępem do usług informatycznych, w tym usług sieciowych, Zarządzanie mechanizmami uwierzytelniającymi, w tym hasłami, Zasady publikacji informacji, Zasady wymiany danych z podmiotami zewnętrznymi, Zasady wewnętrznej wymiany danych, Zasady postępowania z nośnikami informacji, w tym składowanie i wymiana nośników oraz niszczenie informacji zapisanych na nośnikach, Zasady wprowadzania zmian w przetwarzaniu informacji, w szczególności z wykorzystaniem systemów informatycznych, z uwzględnieniem testowania bezpieczeństwa wprowadzanych rozwiązań, Strona 5 z 8
Wytyczne w zakresie utrzymania dokumentacji zabezpieczeń i systemów informatycznych, Zasady zgłaszania podatności w mechanizmach przetwarzających informacje, Zasady postępowania w przypadku incydentu naruszenia bezpieczeństwa informacji, Zasady kontroli bezpieczeństwa informacji, Zasady zarządzania oprogramowaniem, Zasady zarządzania kopiami zapasowymi, Zasady zarządzania kopiami archiwalnymi, Zasady konserwacji i serwisu zabezpieczeń technicznych i systemów informatycznych Zasady monitorowania bezpieczeństwa infrastruktury informatycznej, Zasady przygotowania urządzeń IT do ponownego użycia, Zasady wycofywania urządzeń IT z użycia, Zasady bezpiecznego korzystania z urządzeń mobilnych, Zasady bezpiecznej pracy zdalnej, Zasady ochrony przed złośliwym oprogramowaniem, Zasady zarządzania mechanizmami kryptograficznymi, Zasady monitorowania przepisów prawnych związanych z zabezpieczeniem przetwarzanych informacji oraz wprowadzania zmian wynikających z obowiązków prawnych, Wytyczne w zakresie ochrony fizycznej i technicznej, Wytyczne w zakresie monitorowania przepisów prawnych związanych z ochroną informacji, Wytyczne w zakresie bezpiecznej współpracy z podmiotami zewnętrznymi, Wytyczne w zakresie bezpiecznego świadczenia usług związanych z przetwarzaniem informacji, Wytyczne w zakresie bezpieczeństwa osobowego w procesach rekrutacji i zarządzania personelem, Dokumenty w zakresie ciągłości działania: o Strategia ciągłości przetwarzania informacji, o Plan ciągłości działania dla sytuacji uniemożliwienia przetwarzania informacji, o Plan komunikacji kryzysowej na wypadek braku możliwości przetwarzania informacji, o Zasady przeglądu i aktualizacji planu, o Zasady testowania planu ciągłości działania; 9. Opracowanie procedur zarządzania usługami Procedury zarządzania usługami obejmować będą: Projektowania i wdrażania nowych lub zmodyfikowanych usług, Zarządzania poziomem usług, Raportowania usług, Zarządzania dostępnością usług, Zapewnienia ciągłości świadczenia usług, Budżetowania i rozliczania usług, Strona 6 z 8
Zarządzania pojemnością, Zarządzania relacjami, Zarządzania incydentami, Zarządzania problemami, Zarządzania konfiguracją, Zarządzania wydaniami; 10. Sporządzenie i dostarczenie raportu z audytu w wersji elektronicznej edytowalnej oraz 3 egzemplarzy w wersji papierowej; opracowany raport audytu wraz z opisem dowodów, zawierać ma m.in.: a) ocenę stopnia spełnienia wymogów wymienionych w 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2016 r. poz. 113 i 1744), b) ocenę stopnia spełnienia wymogów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) i wydanych do niej rozporządzeń wykonawczych, c) ocenę spełnienia skuteczności stosowanych zabezpieczeń, d) wskazanie obszarów wymagających doskonalenia, e) dowody na obecność wykrytych podatności oraz popierające zawarte w raporcie z audytu teleinformatycznego analizy i stwierdzenia, f) określenie zakresu i priorytetu działań naprawczych. Raport z audytu zostanie omówiony z kadrą kierowniczą Urzędu w dniu podpisania protokołu odbioru zamówienia, lub w innym uzgodnionym terminie poprzedzającym podpisanie protokołu odbioru, nie wcześniej jednak niż przed zakończeniem prac. 11. Opracowanie dokumentacji wymienionej w 1 pkt 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), tj. : a) Polityki Bezpieczeństwa, b) Instrukcji Zarządzania Systemem Informatycznym, - wraz z wymaganymi procedurami i instrukcjami, takimi jak np. Instrukcja alarmowa, stanowiącymi załączniki do dokumentów wymienionych w lit. a) i b), bądź odrębne dokumenty; c) dostosowanie dokumentacji określonej w lit. a) i b) do potrzeb Wojewódzkiego Urzędu Pracy w Lublinie z uwzględnieniem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, 12. Opracowanie dokumentacji dla Wojewódzkiego Urzędu Pracy w Lublinie w związku z wdrożeniem rozporządzenia Parlamentu Europejskiego i Rady (UE) Strona 7 z 8
2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, z uwzględnieniem zwłaszcza: a) działań niezbędnych do płynnego wdrożenia przepisów rozporządzenia, wraz z ich uzasadnieniem, b) nowych dokumentów, które muszą zostać opracowane, c) wskazanie dokumentów, które należy dostosować i zakresu ich dostosowania, d) wskazanie niezbędnych i pożądanych regulacji wewnętrznych, które winny być podjęte, e) sporządzenie harmonogramu wdrożenia nowych przepisów obejmującego okres od 1.09.2017r. do 30.06.2018r.; 13. Szkolenie pracowników z zakresu bezpieczeństwa informacji i ochrony danych osobowych, obejmujące: a) omówienie zasad bezpieczeństwa informacji, wynikających z Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym, b) omówienie zagrożeń bezpieczeństwa informacji, c) zapoznanie ze skutkami naruszeń zasad bezpieczeństwa informacji, d) przedstawienie stosowania środków zapewniających bezpieczeństwo informacji, e) przedstawienie zasad zgłaszania i reagowania na incydenty. 14. Warunki realizacji zamówienia: 1. Szczegółowe parametry zamówienia: ilość pracowników: 217, ilość lokalizacji: 4, ilość serwerów: 14 ilość stacji komputerowych: 330, ilość stacji komputerowych bez dostępu do sieci wewnętrznej urzędu: 27; 2. Zadania opisane w pkt. 1, 2, 5 należy przeprowadzić w siedzibie Zamawiającego. Strona 8 z 8