Przeprowadzenie Audytu systemu zarządzania bezpieczeństwem informacji w systemie ePUAP w Ministerstwie Spraw Wewnętrznych i Administracji

Ministerstwo Spraw Wewnętrznych i Administracji podpisało z PBSG umowę na przeprowadzenie Audytu systemu zarządzania bezpieczeństwem informacji w systemie ePUAP

Przedmiotem zamówienia jest przeprowadzenie przez PBSG audytu systemu zarządzania bezpieczeństwem informacji w systemie ePUAP na zgodność z wymaganiami normy PN-ISO/IEC 27001 oraz przekazanie raportu poaudytowego wraz z wydaniem świadectwa stosowania Systemu Zarządzania Bezpieczeństwem Informacji. Raport poaudytowy ma w szczególności wyjaśniać:

  1. Czy system zapewnia odpowiedni poziom bezpieczeństwa i nie zawiera podatności umożliwiających przeprowadzenie następujących grup ataków:
    1. Unvalidated input polegających na manipulowaniu zapytaniami http (np. url, nagłówek, Cookies) w celu ominięcia zabezpieczeń serwera.
    2. Broken access control polagących na niezgodnym z przeznaczeniem wykorzystaniem identyfikatorów użytkowników.
    3. Broken authentication and session management polegających na niezgodnym z przeznaczeniem wykorzystaniem danych uwierzytelniających wykorzystaniem błędów związanych z implementacją sesji.
    4. Cross-site scripting (XSS) attacks polegających na wykonywaniu skryptów międzyserwisowych.
    5. Buffer overflows polegających na wpisaniu do bufora aplikacji kodu umożliwiającego wykonanie złośliwego kodu w systemie.
    6. Injection flaws, np. SQL injection polegającym na wstrzyknięciu dodatkowej treści w zapytaniu SQL lub XML Injection polegającym na przekazaniu złośliwych danych wejściowych z pomocą dokumentów XML.
    7. Improper error handling polegających na wykorzystaniu informacji o błędach wewnętrznych oraz niewłaściwym obsługiwaniu wyjątków.
    8. Insecure storage polegających na wykorzystaniu niewłaściwie zabezpieczonych wrażliwych danych np. haseł.
    9. Denial of service powodujących niedostępność aplikacji.
    10. Insecure configuration management wykorzystującą błędną konfigurację usług z których korzysta aplikacja.
    11. Inne, typowe dla środowiska implementacyjnego
  2. Czy system wykorzystuje standardy oraz czy wykorzystuje je w sposób zgodny z przeznaczeniem i zakładanym zakresem.
  3. Czy system zapewnia wymaganą wydajność
  4. Czy system zapewnia zgodność z zaleceniami producentów poszczególnych komponentów „z półki” oraz dobrymi praktykami
  5. Że wytwórca kodu nie zamieścił świadomie złośliwego kodu umożliwiającego nadużycie
  6. Wykorzystane zostały odpowiednie platformy programistyczne (framework’i), dzięki którym w najlepszy  sposób można osiągnąć funkcjonalności systemu.
  7. Zapewniona została przejrzystość i jakość struktur kodu
  8. Czy aplikacje wykorzystują kod zgodnie z zapisami posiadanych licencji.
  9. Jaki jest poziom rozwiązania Planu awaryjnego – DRP (Disaster Recovery Plan).

Zgodnie z podpisaną umową projekt powinien zakończyć do listopada 2011r.