Ministerstwo Spraw Wewnętrznych i Administracji podpisało z PBSG umowę na przeprowadzenie Audytu

 

2011-08-16

Ministerstwo
Spraw Wewnętrznych i Administracji podpisało z PBSG umowę na
przeprowadzenie Audytu systemu zarządzania bezpieczeństwem informacji w
systemie ePUAP

Przedmiotem
zamówienia jest przeprowadzenie przez PBSG audytu systemu zarządzania
bezpieczeństwem informacji w systemie ePUAP na zgodność z wymaganiami normy
PN-ISO/IEC 27001 oraz przekazanie raportu poaudytowego wraz z wydaniem
świadectwa stosowania Systemu Zarządzania Bezpieczeństwem Informacji. Raport
poaudytowy ma w szczególności wyjaśniać:

1. Czy
system zapewnia odpowiedni poziom bezpieczeństwa i nie zawiera podatności
umożliwiających przeprowadzenie następujących grup ataków:

• Unvalidated
  input polegających na manipulowaniu zapytaniami http
  (np. url, nagłówek, Cookies) w celu ominięcia zabezpieczeń serwera.

• Broken
  access control polagących na niezgodnym z przeznaczeniem wykorzystaniem
  identyfikatorów użytkowników.

• Broken
  authentication and session management polegających na niezgodnym
  z przeznaczeniem wykorzystaniem danych uwierzytelniających wykorzystaniem
  błędów związanych z implementacją sesji.

• Cross-site
  scripting (XSS) attacks polegających na wykonywaniu skryptów międzyserwisowych.

• Buffer
  overflows polegających na wpisaniu do bufora aplikacji kodu umożliwiającego
  wykonanie złośliwego kodu w systemie.

• Injection
  flaws, np. SQL injection polegającym na wstrzyknięciu dodatkowej treści
  w zapytaniu SQL lub XML Injection polegającym na przekazaniu złośliwych danych
  wejściowych z pomocą dokumentów XML.

• Improper
  error handling polegających na wykorzystaniu informacji o błędach wewnętrznych
  oraz niewłaściwym obsługiwaniu wyjątków.

• Insecure
  storage polegających na wykorzystaniu niewłaściwie zabezpieczonych wrażliwych
  danych np. haseł.

• Denial
  of service powodujących niedostępność aplikacji.

• Insecure
  configuration management wykorzystującą błędną konfigurację usług
  z których korzysta aplikacja.

• Inne,
  typowe dla środowiska implementacyjnego

2. Czy
system wykorzystuje standardy oraz czy wykorzystuje je w sposób zgodny z
przeznaczeniem
i zakładanym zakresem.

3. Czy
system zapewnia wymaganą wydajność

4. Czy
system zapewnia zgodność z zaleceniami producentów poszczególnych komponentów
„z półki" oraz dobrymi praktykami  

5. Że
wytwórca kodu nie zamieścił świadomie złośliwego kodu umożliwiającego
nadużycie 

6. Wykorzystane
zostały odpowiednie platformy programistyczne (framework'i), dzięki którym w
najlepszy  sposób można osiągnąć funkcjonalności systemu.

7. Zapewniona
została przejrzystość i jakość struktur kodu

8. Czy
aplikacje wykorzystują kod zgodnie z zapisami posiadanych licencji.

9. Jaki
jest poziom rozwiązania Planu awaryjnego – DRP (Disaster Recovery Plan).

 
Zgodnie z podpisaną
umową projekt powienien zakończyć do listopada 2011r.