Valsts Nekustāmie Ipašumi – IT drošības audita iepirkums

Kategorija: Iepirkumi

Prasības pretendentam:
1.1. Attiecībā uz pretendentu nepastāv Publisko iepirkumu likuma 8.1panta 5.daļā noteiktie nosacījumi;
1.2. Pretendents ir reģistrēts Komercreģistrā;
1.3. Pretendents iepriekšējos 3 (trīs) gados (2008., 2009., 2010) ir sniedzis vismaz 3 (trīs) šī iepirkuma apjomam (naudas izteiksmē) atbilstošus pakalpojumus (par iepirkuma apjomam atbilstošiem tiks uzskatīti pakalpojumi par summu, kas nav mazāka par Ls 7 500 par vienu projektu) IT infrastruktūras drošības un IT infrastruktūras auditā, datu pārraides tīkla infrastruktūras drošības testēšanā (angļu val. „penetration testing”);
1.4. Pretendents var nodrošināt, ka līguma izpildē piedalās projekta vadītājs, kuram ir augstākā izglītība IT jomā, 3 gadu un vismaz 2 projektu pieredze drošības audita projektu vadīšanā;
1.5. Pretendents var nodrošināt, ka līguma izpildē piedalās auditors, kuram ir augstākā izglītība IT jomā, 3 gadu un vismaz 2 projektu auditora pieredze drošības audita projektos un kuram ir vismaz šādi sertifikāti:
1.5.1. CISA (Certified Information Systems Auditor) vai ekvivalents sertifikāts;
1.5.2. CISSP (Certified Information Systems Security Professional) vai ekvivalents sertifikāts;
1.5.3. sertifikāti, kas apliecina auditora zināšanas auditu veikšanai atbilstoši ISO 27001 standartam un OSSTMM (Open Source Security Testing Methodology Manual) metodikai;
1.5.4. Certified Ethical Hacker vai ekvivalents sertifikāts;
1.6. Pretendents var nodrošināt, ka līguma izpildē piedalās testētājs, kuram ir augstākā izglītība IT jomā, 3 gadu un vismaz 2 projektu testētāja pieredze datu pārraides tīkla testēšanas (angļu val. ‘penetration’) projektos un vismaz sekojoši sertifikāti:
1.6.1. CISA (Certified Information Systems Auditor) vai ekvivalents sertifikāts;
1.6.2. sertifikāti, kas apliecina auditora zināšanas auditu veikšanai atbilstoši ISO 27001 standartam un OSSTMM (Opern Security Testing Methodology Manual) metodikai;
1.6.3. Certified Ethical Hacker vai ekvivalents sertifikāts.

Audita laikā ir nepieciešams veikt sekojošus darbus:
1. VNI informācijas sistēmu drošības audits. Jāveic VNI informācijas sistēmu drošības audits, kam jāiekļauj:
1.1. Atbilstības pārbaude LR un VNI iekšējiem normatīvajiem dokumentiem;
1.2. Darbības risku izvērtēšana, iekļaujot datu rezerves kopēšanas un atjaunošanas pārbaudi, serveru operētājsistēmu risku izvērtēšanu un sistēmu arhitektūras izvērtēšanu attiecībā uz kritiskākajiem riskiem;
1.3. Fiziskās vides risku izvērtēšanu attiecībā uz VNI informācijas sistēmu darbību.
1.4. Loģiskās vides risku izvērtēšanu attiecībā uz VNI informācijas sistēmu darbību.
2. Iekšējā datortīkla un bezvadu tīklu audits. Jāveic VNI iekšējo datortīklu un bezvadu tīklu audits visās struktūrvienībās:
2.1. VNI rīcībā esošās dokumentācijas un procedūru, kuras attiecas uz iekšējo datortīklu un bezvadu tīklu lietošanu, pārbaude;
2.2. Bezvadu tīklu drošības pārbaude;
2.3. Neatļautas piekļuves pārbaude VNI iekštīkla ietvaros, tai skaitā izmantojot bezvadu tīklus;
2.4. Informācijas sistēmu resursu pieejamības ierobežojumu, ja tādi pastāv, pārbaude;
2.5. Citu informācijas sistēmu lietotāju identifikācijas datu pārtveršanas iespēju pārbaude iekšējā tīklā un izmantojot bezvadu tīklus.
3. Informācijas iegūšanas iespējas pārbaude izmantojot sociālās inženierijas metodes. Jāveic informācijas iegūšanas iespējamības pārbaude VNI teritorijā izmantojot sociālās inženierijas metodes:
3.1. Informācijas iegūšana no VNI publiskās mājas lapas;
3.2. Informācijas iegūšana no publiskās informācijas telpas saistībā ar VNI;
3.3. Informācijas iegūšana no VNI darbiniekiem simulējot konsultējoša uzņēmuma darbinieka ierašanos;
3.4. Informācijas iegūšana simulējot VNI datortehnikas izņemšanu un nogādi remontējošā servisā.
4. IS drošības dokumentācijas audits. Tiks veikts IS dokumentācijas audits, kas aptvers informācijas sistēmu drošību kopumā:
4.1. Identificēta visa iekšējā IS dokumentācija un ārēji līgumi, kas ir saistīti ar informācijas sistēmām un to drošību un veikta to atbilstības pārbaude likumdošanai;
4.2. Sagatavoti ieteikumi dokumentācijas uzlabošanai, nepieciešamās dokumentācijas saturs, lai veiktu visu nepieciešamo sistēmu reģistrāciju datu valsts inspekcijā (ja nepieciešams).
5. Ārējie informācijas sistēmu penetrācijas testi 4 (četras) reizes gadā, ar intervālu 3 (trīs) mēneši, 24 (divdesmit četrus) mēnešus.
6. IT Drošības audita nodevumi:
6.1. Audita ziņojums, kas sastāv no:
6.1.1. vadības kopsavilkuma;
6.1.2. atklāto ievainojamību un risku izklāsta;
6.1.3. ieteikumiem;
6.1.4. testēšanas protokoliem.
6.2. Noslēguma prezentācija;
6.3. Ārējie informācijas sistēmu penetrācijas (iekļūšanas) testu rezultāti.

IV.2. Saņemto piedāvājumu skaits: 2
IV.3)INFORMĀCIJA PAR UZVARĒTĀJU
Pilns nosaukums, reģistrācijas numurs vai fiziskai personai – vārds, uzvārds: SIA “IT centrs”, 40003481064
Pasta adrese: Skolas iela 27-37
Pilsēta/Novads: Jūrmala
Pasta indekss: 2016
Valsts: Latvija
E-pasta adrese: birojs@itcentrs.lv
Tālruņa numurs: 67609740
Faksa numurs: 67609741
IV.4. Informācija par līgumcenu (tikai cipariem)
Piedāvātā līgumcena (bez PVN): 11760    Valūta: LVL
Kopējā līgumcena par kuru noslēgts līgums (bez PVN): 11760 Valūta: LVL

Avoti:
IUB: http://www.iub.gov.lv/pvs/show/189026
IUB: https://www.iub.gov.lv/pvs/show/180910
VNI: http://www.vni.lv/images/files/nolikums_IT%20drosibas%20audits_M-8_25032011%20(2).doc [pielikums]

Follow defenselv

2011-03-29  »  edgars