Audytowane obszary IT

Podobne dokumenty
Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

Opis Przedmiotu Zamówienia

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Opis przedmiotu zamówienia

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

7. zainstalowane oprogramowanie zarządzane stacje robocze

Szczegółowy opis przedmiotu zamówienia:

Dotacje na innowacje Inwestujemy w waszą przyszłość

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Win Admin Replikator Instrukcja Obsługi

SZCZEGÓŁOWY HARMONOGRAM KURSU

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

1. Instalacja jednostanowiskowa Instalacja sieciowa Instalacja w środowisku rozproszonym Dodatkowe zalecenia...

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Sieciowa instalacja Sekafi 3 SQL

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Spis treści. Wstęp Rozdział 1. Zasady pracy z komputerem Rozdział 2. Budowa komputera... 20

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Audyt oprogramowania. Artur Sierszeń

Liczba godzin 1,2 Organizacja zajęć Omówienie programu nauczania 2. Tematyka zajęć

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Win Admin Replikator Instrukcja Obsługi

Spis Treści. Dotacje na innowacje Inwestujemy w waszą przyszłość

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Opis przedmiotu zamówienia (zwany dalej OPZ )

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Poradnik administratora Korporacyjne rozwiązania G Data

Cena powinna zawierać koszt użytkowania niezbędnego oprogramowania serwera i bazy danych na okres obowiązywania umowy.

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W CSIZS

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

1. Zakres modernizacji Active Directory

Opis Przedmiotu Zamówienia

AE/ZP-27-16/14. Załącznik nr Z2

Załącznik nr 2 do wzoru umowy protokół odbioru. 1. Infrastruktura wspólna dla serwerów blade szt.

Program kadrowo płacowy - wersja wielodostępna z bazą danych Oracle SQL Server 8 lub 9

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Opis Przedmiotu Zamówienia

KROK 1. KONFIGURACJA URZĄDZEŃ KOŃCOWYCH (SERWERÓW)

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Opis przedmiotu zamówienia

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Oferta konsultacyjnowdrożeniowa

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Systemy i sieci komputerowe. Podręcznik do nauki zawodu technik informatyk

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Umowa dotycząca przeprowadzenia audytu bezpieczeństwa informatycznego

ZAPROSZENIE DO SKŁADANIA OFERT

Informację sporządzoną według poniższego wzoru należy przesłać do dnia 27 czerwca 2014 r. do godz na adres

Szczegółowy opis przedmiotu zamówienia

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

SLA ORAZ ZASADY ŚWIADCZENIA WSPARCIA I HELPDESK. Wykonawca zobowiązuje się do świadczenia Usług Wsparcia i Helpdesk w odniesieniu do Systemu.

Znak sprawy: KZp

POLITYKA E-BEZPIECZEŃSTWA

Projekt umowy 1 PRZEDMIOT UMOWY

Szczegółowy harmonogram rzeczowy realizacji prac systemu B2B

Firma Informatyczna ASDER. Prezentacja. Serwer danych lokalnych. Przemysław Kroczak ASDER

Zarządzanie Infrastrukturą IT

Państwowa Wyższa Szkoła Zawodowa w Gorzowie Wlkp. Laboratorium architektury komputerów

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Zakres prac implementacja VPLEX i ViPR dla środowiska macierzy VNX 5800

Doskonalenie podstaw programowych kluczem do modernizacji kształcenia zawodowego

Przykłady wybranych fragmentów prac egzaminacyjnych z komentarzami Technik informatyk 312[01] Zadanie 2

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Umowa o przeniesienie praw autorskich nr.

WZÓR UMOWY. Zawarta w Białymstoku, w dniu.. pomiędzy:

A. Definicje: 1. Testy odtworzeniowe

CENNIK OPROGRAMOWANIE MEDIATOR/TERMINAL/TERMINAL GUI

Zdalne logowanie do serwerów

oprogramowania F-Secure

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. CZĘŚĆ NR 1: Dostawa oprogramowania

Produkty. MKS Produkty

Wykaz zmian w programie SysLoger

Serock warsztaty epuap 28 październik 2009 r. Sławomir Chyliński Andrzej Nowicki WOI-TBD Szczecin

Kontekst prawny zarządzania własnością intelektualną

Umowa nr.. zawarta r. w Warszawie pomiędzy: Ministerstwem Kultury i Dziedzictwa Narodowego reprezentowanym przez MKiDN, zwanego dalej

UMOWA WARUNKOWA NA REALIZACJĘ AUDYTU WZORNICZEGO - wzór. Zawarta w... w dniu..., pomiędzy:... zwanym dalej: Zamawiającym a... NIP:, REGON:., nr KRS.

Załącznik II UMOWA ZLECENIA

Załącznik nr 1 Istotne dla Zamawiającego postanowienia, które zostaną wprowadzone w treści umowy. UMOWA. zawarta w dniu w Rybniku pomiędzy:

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

System multimedialny Muzeum Górnośląski Park Etnograficzny.

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

Transkrypt:

Załącznik nr 1 do OPZ Zakres audytu wewnętrznego Audytowane obszary IT Audyt bezpieczeństwa wewnętrznego odbywać się będzie w 5 głównych obszarach 1) Audyt konfiguracji systemów operacyjnych na wybranych stacjach oraz domeny Windows odbywać się będzie w oparciu o metodę whitebox, czyli audytor zna konfigurację i uwarunkowania zamawiającego w danym obszarze. Celem przeprowadzonych prac jest wykazanie skuteczności stosowanego herdeningu ( utwardzenia) systemu operacyjnego. W ramach zadania nastąpi : a) Sprawdzenie udostępnionych usług sieciowych. b) Sprawdzenie działających w systemie procesów. c) Sprawdzenie podziału przestrzeni dyskowej na odpowiednie strefy. d) Sprawdzenie wdrożenia metod ochrony e) Sprawdzenie uprawnień do najistotniejszych zasobów. f) Sprawdzenie wdrożonego mechanizmu instalacji aktualizacji. g) Sprawdzenie wdrożonego mechanizmu kopii zapasowych. h) Sprawdzenie wdrożonego systemu logowania zdarzeń. i) Sprawdzenie zabezpieczenia systemu w fazie boot. j) Sprawdzenie wykorzystywanego sposobu zarządzania systemem. k) Sprawdzenia systemów: Windows Server, Linux. l) Inwentaryzacja otwartych portów oraz ich wpływ na potencjalne zagrożenia. 2) Audyt bazy danych SQL prowadzony będzie metodą whitebox i obejmować będzie analizę aktualnej konfiguracji. W ramach prowadzonych prac zostanie wykonane : a) Sprawdzenie wdrożenia podstawowych zasad utwardzenia (hardening) bazy (np.: dostępność domyślnych użytkowników tzw. guest, partycjonowanie bazy, składowanie logów, logowanie nietypowych zdarzeń, dostępność wybranych niebezpiecznych procedur i funkcji składowanych). b) Sprawdzenie komunikacji z klientem bazodanowym - wykorzystanie mechanizmów kryptograficznych (logowanie się klienta oraz transfer danych).

c) Recenzja architektury bazy (wykorzystane mechanizmy autoryzacji oraz uwierzytelniania; segmentacja uprawnień, wykorzystanie widoków; wykorzystanie procedur składowanych). d) Weryfikacja sposobu wykonywania kopii zapasowych. e) Analiza sposobu udostępnienia RDBMS na poziomie sieciowym. f) Analiz baz: SQL Server, Oracle, MySQL, PostgreSQL 3) Audyt sieci LAN ma na celu przeprowadzenie badań i weryfikację obecnie stosowanych zabezpieczeń sieci lokalnej wraz z wykazaniem słabych punktów i sposobem uszczelnienia. W zakresie badania sieci lokalnej wykonane zostaną następujące czynności : a) Analiza topologii sieci b) Weryfikacja podziału LAN na strefy sieciowe (w tym wykorzystanie firewalli oraz VLAN/PVLAN) c) Wykazanie podatności w wybranych podsieciach d) Weryfikacja dostępnych mechanizmów uwierzytelniania dostępnych sieci e) Weryfikacja mechanizmów ochronnych w warstwie 2 i 3 modelu OSI f) Weryfikacja dostępu do Internetu z LAN g) Weryfikacja zasad utrzymania sieci 4) Audyt styku sieci lokalnej z Internetem powadzony będzie metodą blackbox ( Wykonawca nie zna architektury i zabezpieczeń Zamawiającego). W zakres audytu wchodzić będą : a) Weryfikacja zasad utrzymania sieci b) Próba wybranych ataków typu DoS c) Analiza topologii brzegu sieci d) Testy szczelności systemów firewall 5) Audyt urządzeń sieciowych prowadzony będzie metodą blackbox. Test obejmować musi skanowanie dowolnych urządzeń sieciowych jak switch, serwer, firewall z poziomu sieci Internet. W skład prowadzonych działań wchodzić będzie : a) Skanowanie aktywnych hostów w wybranej podsieci b) Skanowanie portów TCP/UDP c) Próba ominięcia firewall z wykorzystaniem min. fragmentacji IP d) Określenie ścieżki sieciowej do urządzeń e) Próba detekcji typu oraz wersji usług sieciowych f) Próba detekcji typu i wersji oprogramowania g) Określenie i zlokalizowanie znanych podatności w oprogramowaniu

h) Próba komunikacji w obrębie protokołu ICMP wraz z generowaniem pakietów o dużym rozmiarze. Harmonogram realizacji audytu Obszar Audyt konfiguracji systemów operacyjnych Audyt bazy danych SQL Audyt sieci LAN Audyt styku sieci lokalnej z Internetem Audyt urządzeń sieciowych Zadania Sprawdzenie udostępnionych usług sieciowych. Sprawdzenie działających w systemie procesów. Sprawdzenie podziału przestrzeni dyskowej na odpowiednie strefy. Sprawdzenie wdrożenia metod ochrony Sprawdzenie uprawnień do najistotniejszych zasobów. Sprawdzenie wdrożonego mechanizmu instalacji aktualizacji. Sprawdzenie wdrożonego mechanizmu kopii zapasowych. Sprawdzenie wdrożonego systemu logowania zdarzeń. Sprawdzenie zabezpieczenia systemu w fazie boot. Sprawdzenie wykorzystywanego sposobu zarządzania systemem. Sprawdzenia systemów: Windows Server, Linux. Inwentaryzacja otwartych portów oraz ich wpływ na potencjalne zagrożenia. Sprawdzenie wdrożenia podstawowych zasad utwardzenia (hardening) bazy (np.: dostępność domyślnych użytkowników tzw. guest, partycjonowanie bazy, składowanie logów, logowanie nietypowych zdarzeń, dostępność wybranych niebezpiecznych procedur i funkcji składowanych). Sprawdzenie komunikacji z klientem bazodanowym - wykorzystanie mechanizmów kryptograficznych (logowanie się klienta oraz transfer danych). Recenzja architektury bazy (wykorzystane mechanizmy autoryzacji oraz uwierzytelniania; segmentacja uprawnień, wykorzystanie widoków; wykorzystanie procedur składowanych). Weryfikacja sposobu wykonywania kopii zapasowych. Analiza sposobu udostępnienia RDBMS na poziomie sieciowym. Analiz baz: SQL Server, Oracle, MySQL, PostgreSQL Analiza topologii sieci Weryfikacja podziału LAN na strefy sieciowe (w tym wykorzystanie firewalli oraz VLAN/PVLAN) Wykazanie podatności w wybranych podsieciach Weryfikacja dostępnych mechanizmów uwierzytelniania dostępnych sieci Weryfikacja mechanizmów ochronnych w warstwie 2 i 3 modelu OSI Weryfikacja dostępu do Internetu z LAN Weryfikacja zasad utrzymania sieci Weryfikacja zasad utrzymania sieci Próba wybranych ataków typu DoS Analiza topologii brzegu sieci Testy szczelności systemów firewall Skanowanie aktywnych hostów w wybranej podsieci Skanowanie portów TCP/UDP Próba ominięcia firewall z wykorzystaniem min. fragmentacji IP Określenie ścieżki sieciowej do urządzeń Próba detekcji typu oraz wersji usług sieciowych Próba detekcji typu i wersji oprogramowania Określenie i zlokalizowanie znanych podatności w oprogramowaniu Próba komunikacji w obrębie protokołu ICMP wraz z generowaniem pakietów o dużym rozmiarze. Termin realizacji obszaru (OD - DO) Dodatkowe wytyczne

W ramach pracy Wykonawca opracuje wnioski audytowe oraz rekomendacje dalszych działań i koniecznych zmian odnoszących się do zapewnienia zgodności działania zbudowanych aplikacji z wymaganiami normy PN-ISO/IEC 27001:2014 i najlepszymi praktykami w dziedzinie zarządzania np. ITIL. Wnioski te będą stanowiły część końcowego raportu z audytu. Skanowanie podatności na komputerach i serwerach powinno odbywać się bez instalacji jakiegokolwiek oprogramowania na urządzeniach badanych. Przeprowadzenie testów nie może zaburzyć bieżącej działalności pracy ZTM w Poznaniu (ataki destrukcyjne). Wykonawca zobowiązany będzie do przedstawienia szczegółowego raportu z wykonanych prac. Raport zawierać musi informacje o przebiegu badania, znalezionych błędach oraz zalecenia po audytowe. Raporty końcowe zawierające podsumowanie wykonanych prac, dostarczane są Zamawiającemu po zakończeniu każdego audytu każdego obszaru. Raporty obejmować muszą przynajmniej informacje wymienione poniżej: a) poziom krytyczności błędu według zaproponowanej przez Wykonawcą i uzgodnionej z Zamawiającym klasyfikacją, b) prawdopodobieństwo znalezienia/wykorzystania podatności przez atakującego tzw. Likehood, probability, c) wpływ na system (lub inne systemy) tzw. impact, d) szczegółowy sposób wykrycia i charakterystyka ataku (z uwzględnieniem zasad powtarzalności dla każdego przypadku). Informacje powinny być na tyle szczegółowe, aby była możliwa reprodukcja danego błędu, e) możliwości zabezpieczenia się przed podatnością i uwagi prowadzące do uniknięcia tego typu problemów w przyszłości, f) załączniki dokumentujące wystąpienie błędu (np. zrzuty ekranu, przykładowe pakiety atakujące lub świadczące o podatności, pliki zawierające zapis ruchu sieciowego w formacie libpcap itp.). Wykonawca jest zobligowany do opracowania następujących definicji: a) kryterium wpływu na systemu (impact), b) prawdopodobieństwo wykorzystania podatności przez atakującego (likelihood), c) poziom krytyczności oraz przedstawienia Zamawiającemu do akceptacji sposobu prezentacji wyników audytu. Zamawiający oczekuje, że dla wykrytych błędów o wpływie na system: średni lub krytyczny i równoczesnym prawdopodobieństwie: średni lub wysoki zostaną opracowane przez Wykonawcę szczegółowe rekomendacje zmian. Struktura raportu powinna odpowiadać merytorycznemu podziałowi prac na obszary i aplikacje.

Wykonawca, z dniem podpisania protokołu odbioru raportu, przenosi na Zamawiającego autorskie prawa majątkowe do raportu na polach eksploatacji, obejmujących: a) odtwarzanie, b) utrwalanie i trwałe zwielokrotnianie całości lub części utworu, wszystkimi znanymi w chwili zawierania Umowy technikami, w tym techniką drukarską, reprograficzną, zapisu magnetycznego oraz techniką cyfrową, c) przekazywanie, d) przechowywanie, e) wyświetlanie, f) wprowadzanie do pamięci komputera wraz z prawem do dokonywania modyfikacji, g) tłumaczenie, h) przystosowywanie, i) zmiany układu lub jakiekolwiek inne zmiany,

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres