Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

VRAA Informācijas sistēmu drošības un veiktspējas auditu veikšanas iepirkums

Kategorija: Iepirkumi

1. Vispārīga informācija par novērtējamām Valsts reģionālās attīstības aģentūras pārziņā esošajām informācijas sistēmām un sadarbības partneru sistēmām:
1) Valsts informācijas sistēmu savietotājs (VISS);
2) Pašvaldību vienotā informācijas sistēma (PVIS);
3) Elektronisko iepirkumu sistēma;
4) Latvijas valsts portāls www.latvija.lv;
6) citas programmatūras un informācijas sistēmas, kas tiks realizētas VRAA 3.2.2.1.1. apakšaktivitātes „Informācijas sistēmu un elektronisko pakalpojumu attīstība” ietvaros.

Sistēmas drošības novērtēšana
Jāveic Sistēmas rezerves kopēšanas un datu atjaunošanas risinājuma novērtēšana.
Jāveic Sistēmas drošības kontroles (datu šifrēšana, sistēmas paroļu politika, aizsardzības mehānismi, loģiskās piekļuves kontroles) novērtēšana.
Jāveic Sistēmas fiziskās drošības (piekļuve datu centram vai serveru telpai) novērtēšana.
Jāveic Sistēmas atbilstības novērtēšana, atbilstoši sekojošiem standartiem un metodikām:
1.2.4.1. LVS ISO/IEC 27001 Informācijas tehnoloģija. Drošības metodika. Prakses kodekss informācijas drošības pārvaldībai
1.2.4.2. LVS ISO/IEC 17799:2002 Informācijas tehnoloģija – Drošības paņēmieni – Prakses kodekss informācijas drošības pārvaldībai; vai jaunākas standarta versijas vai tā starptautiskās versijas ISO-17799
1.2.4.3. LVS ISO/IEC 27002 Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas.
1.2.4.4. OWASP (Open Web Application Security Project) testēšanas vadlīnijas (OWASP Testing Guide).
1.2.4.5. OWASP koda pārskatīšanas vadlīnijas (OWASP Code Review Guide)
1.2.4.6. Atvērtā koda drošības testēšanas metodikas rokasgrāmata OSSTMM (Open Source Security Testing Methodology Manual).
Sistēmas drošības novērtēšanā audita veicējs var izmantot gan manuālās, gan automatizētas metodes; gan standarta automatizētos testēšanas rīkus, gan paša audita veicēja izstrādātus/modificētus drošības testēšanas rīkus

Sistēmu veiktspējas novērtēšana
Sistēmu veiktspējas novērtēšanā jāveic Sistēmas tehnisko resursu veiktspējas testi un novērtējumi. Veiktspējas testiem jāatspoguļo, kāds ir maksimālo sesiju (lietotāju) skaits, ko Sistēma vienlaicīgi spēj nodrošināt, kā arī Sistēmas tehnisko resursu noslodze atkarībā no vienlaicīgo sesiju (lietotāju) skaita. Veiktspējas testu laikā atsevišķi ir jātestē Sistēmas publiskā daļa, kā arī tā daļa, kas nav publiski pieejama.

Neba maksimālo sesiju skaits dod veiktspējas novērtējumu. Cik bezjēdzīgs novērtēšanas kritērijs, tik bezjēdzīgi droši vien būs arī rezultāti.

Sistēmas drošības politikas un drošības procedūru novērtējums
Jāveic Sistēmas drošības politikas un drošības procedūru novērtējums, novērtējumā ietverot vismaz šādus aspektus:
2.1.1. Informācijas sistēmas drošības noteikumi, to esamība un izpilde;
2.1.2. Informācijas drošības organizācija;
2.1.3. Trešo pušu piekļuves drošība;
2.1.4. Informācijas klasifikācijas jautājumi;
2.1.5. Ar personālu saistītie drošības jautājumi, atbilstība, pienākumi, incidentu un problēmu vadība un darba kārtība;
2.1.6. Fiziska drošība;
2.1.7. Kapacitātes un konfigurācijas pārvaldība;
2.1.8. Aizsardzība pret neatļautām un ļaunprātīgām datorprogrammām;
2.1.9. Informācijas rezervēšana;
2.1.10. Tīkla drošības vadība;
2.1.11. Datu nesēju lietošana un drošība;
2.1.12. Piekļuves kontrole;
2.1.13. Procedūras sistēmu izstrādei, ieviešanai un izmaiņu vadībai;
2.1.14. Kriptogrāfijas lietošana;
2.1.15. Sistēmu datu drošība un konfigurācijas vadība;
2.1.16. Nepārtrauktības pārvaldība;
2.1.17. Atbilstība likumdošanai un iekšējām prasībām;
2.1.18. Palīdzības dienesta eksistence;
2.1.19. Pakalpojumu līmeņa vadība.

Minimālais IS drošības testēšanas pārskats
Pārliecināties, ka aplikācijas darbojas korekti, kad tiek pārslogota ar lielu daudzumu pieprasījumiem, transakcijām un/vai tīkla plūsmu.

Cik ir “liels daudzums”?

Pārliecināties, ka aplikācija neļauj uzbrucējam bloķēt lietotājus.
Pārliecināties, ka lietotāja konts tiek bloķēts uz kādu laiku, kad nepareiza parole ir ievadīta vairāk nekā noteiktu skaitu reižu (parasti 5).

Izklausās pēc konfliktējošām prasībām.

Pārliecināties, ka speciālie meta simboli nevar tikt izmantoti parolēs.

Izrādās, ka meta simbolu atļaušana parolēs ir ļaunuma sakne, nevis paroles vērtības nekorekta ievietošana SQL vaicājumos.

Pamēģināt noskaidrot vai vietne ir virtuāli hostēta.

Kāds varētu paskaidrot šī testa mērķi.

2.2.2. Speciālās prasības:
2.2.2.1.  Pretendentam uz piedāvājumu atvēršanas brīdi jābūt pieredzei informācijas un komunikācijas tehnoloģiju konsultāciju pakalpojumu sniegšanā pēdējo 3 gadu laikā, veicot vismaz 6 pasūtītāja informācijas sistēmu testēšanu (drošības, ātrdarbības un veiktspējas testi), kur vismaz 1 informācijas sistēmai uz piedāvājuma iesniegšanas dienu ir valsts informācijas sistēmas statuss un tās izstrādes cena ir vismaz 100 000 LVL. Šīs sistēmas darbojas uz piedāvājuma iesniegšanas brīdi.

2.2.2.2. Pretendenta piedāvātajā darba grupā jābūt speciālistiem ar šādu kvalifikāciju:
2.2.2.2.1. vismaz 1 sertificēts informācijas sistēmu / datu drošības (drošības pārvaldības) speciālists (CISM; CISSP vai analogs, vai ir augstākā izglītība informācijas sistēmu drošības jomā);
2.2.2.2.2. vismaz 1 sertificēts informācijas sistēmu auditors (CISA vai analogs sertifikāts,  vai ir augstākā izglītība informācijas sistēmu drošības jomā), kuram ir pieredze audita veikšanā, izmantojot piedāvāto metodoloģiju pēdējo trīs gadu laikā;
2.2.2.2.3. vismaz 1 Pretendenta izmantojamā sistēmu veiktspējas testēšanas programmatūras ražotāja sertificēts speciālists. Gadījumā, ja tiek piedāvāts atvērtā pirmkoda produkts, speciālistam jābūt ar dokumentētu pieredzi vismaz 2 veiktspējas testēšanu veikšanā trešās personas pasūtījumā, izmantojot piedāvāto produktu pēdējo 3 gadu laikā;
2.2.2.2.4. vismaz 1 drošības speciālists ar ētiskā hakera sertifikātu (CEH2 vai analogu);
2.2.2.2.5. vismaz 1 speciālists ar pieredzi lietojumprogrammatūru izstrādē, izmantojot Oracle datu bāzes vadības sistēmu;
2.2.2.2.6. vismaz 1 speciālists ar pieredzi pēdējo trīs gadu laikā lietojumprogrammatūru izstrādē, izmantojot Microsoft SQL datu bāzes vadības sistēmu;
2.2.2.2.7. vismaz 1 speciālists ar pieredzi pēdējo trīs gadu laikā lietojumprogrammatūru izstrādē, izmantojot JAVA izstrādes vidi;
2.2.2.2.8. vismaz 1 speciālists ar pieredzi pēdējo trīs gadu laikā lietojumprogrammatūru izstrādē, izmantojot Microsoft.Net izstrādes vidi.
2.2.2.3.  Pretendentam jāpiedāvā darba grupa, kura sastāv no vismaz 4 speciālistiem. Darba grupas speciālistu izglītībai, kvalifikācijai un pieredzei jāatbilst 2.2.punktā norādītajām prasībām.
2.2.2.4.  viena speciālista kvalifikācija var atbilst vairākām punktos 2.2.punkta apakšpunktos norādītajām prasībām, tomēr katrs Pretendenta piedāvātais speciālists nedrīkst piedalīties projektā vairāk kā 2 lomās.
2.2.2.5. Prasība attiecībā uz Pretendenta saimniecisko un finansiālo stāvokli:
Pretendenta gada kopējais finanšu vidējais apgrozījums pēdējos 3 gados pārsniedz 300 000 LVL. Pretendenta, kas dibināts vēlāk par 2008.gadu, gada kopējais finanšu vidējais apgrozījums nostrādātajā periodā pārsniedz 300 000 LVL.

Nav daudz pretendentu Latvijā, kas atbilstu šīm prasībām. Uzvarētājam tiks nodrošināts darbs un iztika uz veselu gadu.

1.2. Puses vienojas, ka Darba izpildes rezultāts ir:
1.2.1. Nodevums

11.13.3. Ja IZPILDĪTĀJI pārkāpj VIENOŠANĀS noteiktās Konfidencialitātes saistības, tad attiecīgais IZPILDĪTĀJS maksā PASŪTĪTĀJAM vienreizēju līgumsodu Ls 1000 LVL par katru atsevišķu pārkāpuma gadījumu.

IV.2. Saņemto piedāvājumu skaits: 6
IV.4. Uzvarējušā pretendenta nosaukums, reģistrācijas numurs (fiziskai personai – vārds, uzvārds), adrese
Pilns nosaukums/vārds, uzvārds, reģistrācijas numurs: Personu grupa SIA “AA Projekts” un SIA “KleinTech Services”, 40003572522
Pasta adrese: Dzirnavu iela 72-2
Pilsēta/Novads: Rīga
Pasta indekss: LV – 1050
Valsts: Latvija

Pilns nosaukums/vārds, uzvārds, reģistrācijas numurs: Piegādātāju apvienība SIA “Agile & CO” un SIA “PROOF IT”, 40003939574
Pasta adrese: Citadeles iela 12
Pilsēta/Novads: Rīga
Pasta indekss: LV – 1010
Valsts: Latvija

Pilns nosaukums/vārds, uzvārds, reģistrācijas numurs: SIA “Corporate Solutions”, 40003861875
Pasta adrese: Pērnavas iela 43A-9
Pilsēta/Novads: Rīga
Pasta indekss: LV- 1009
Valsts: Latvija

IV.5. Informācija par līgumcenu (tikai cipariem)
Paredzamā līgumcena: 960000 LVL (Bez PVN)
Piedāvātā līgumcena: 360000 LVL (Bez PVN)

Avoti:
VRAA: http://www.vraa.gov.lv/lv/about/iepirkumi/article.php?id=23572 [pielikums] [pielikums] [pielikums] [pielikums]
IUB: https://www.iub.gov.lv/pvs/show/197236
IUB: https://www.iub.gov.lv/pvs/show/206282

2011-08-12  »  edgars

Re: VRAA Informācijas sistēmu drošības un veiktspējas auditu veikšanas iepirkums







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>