2008-09-05


Polski Komitet Normalizacyjny podpisał z PBSG umowę na
doradztwo w zakresie opracowania systemu bezpieczeństwa informacji zgodnego z
normą ISO 27001.

Przedmiotem
umowy jest budowa Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z
normą PN-IS/IEC 27001 realizowanego w ramach projektu "Polityka
Bezpieczeństwa – wdrożenie infrastruktury technicznej i procedur" w PKN.  PBSG została wybrana na podstawie oferty złożonej w ogłoszonym
postępowaniu przetargowym. Zamówienie jest realizowane w na rzecz Projektu
"Portal e-Norma w Polskim Komitecie Normalizacyjnym – część I" .

Projekt jest dofinansowany ze środków Unii Europejskiej w
ramach Sektorowego Programu Operacyjnego Wzrost Konkurencyjności
Przedsiębiorstw, działanie 1.5

W  ramach projektu
PBSG wykona doradztwo obejmujące:

  • Przeprowadzenie audytu istniejącej w PKN
    Polityki Bezpieczeństwa Informacji oraz opracowania raportu dotyczącego jej
    zgodności z najlepszymi praktykami międzynarodowymi (w szczególności z normą
    PN-ISO/IEC 27001:20071) w tym w szczególności:
    – opracowanie wniosków dla każdego z obszarów
    bezpieczeństwa,
    – opracowanie wniosków szczegółowych odnoszące
    się do poszczególnych wymagań normy,
    – dokona oceny zastosowanych procedur do
    zapewnienia efektywnego planowania i eksploatacji mechanizmów bezpieczeństwa.
  • Przygotowanie propozycji aktualizacji
    Polityki Bezpieczeństwa Informacji w PKN uwzględniającej wnioski wynikające z
    powyższego audytu,
  • Opracowanie Systemu Zarządzania
    Bezpieczeństwem Informacji zgodnego z normą PN-ISO/IEC 27001:2007 w tym:
    – zasad klasyfikacji informacji,
    – metodyki zarządzania ryzykiem, dostosowanej
    do wielkości i potrzeb organizacji oraz uwzględniającej integrację z
    mechanizmami zarządzania usługami IT,
    – planu postępowania z ryzykiem,
  • Opracowanie dokumentacji systemu
    bezpieczeństwa (polityki, procedury, instrukcje) oraz jego integracja z
    funkcjonującym w PKN systemem zgodnym z normą PN-EN ISO 9001:2001 – w
    szczególności dokumentacji związanej z:
    – organizacją systemu bezpieczeństwa w PKN,
    – bezpieczeństwem osobowym,
    – bezpieczeństwem fizycznym,
    – bezpieczeństwem informatycznym,
  • Przygotowanie i przeprowadzenie instruktażu wdrożeniowego
    oraz dostarczenie szkoleń e-learningowych z zakresu bezpieczeństwa informacji
    dla pracowników
  • Przygotowanie systemu do certyfikacji na
    zgodność z normą PN-ISO/IEC 27001:2007 (w tym przypadku Zamawiający nie
    dopuszcza innych

Projekt będzie
przeprowadzony z wykorzystaniem dostarczonego w ramach zamówienia
oprogramowania wspierającego funkcjonowanie Polityki Bezpieczeństwa Informacji
w następującym obszarze:

  • wykrywania i analizy podatności sieci i
    systemów (wykrywanie podatności wraz z zarządzaniem poprawkami),
  • analizy dzienników zdarzeń z wybranych
    serwerów (Event Log) oraz aktywnych urządzeń sieci (firewall),
  • zarządzania współdzielonymi hasłami
    administracyjnymi.

Dostarczone oprogramowanie pozwoli na:

  • wykrywanie otwartych portów i podatności w dla
    wybranych systemów operacyjnych Windows 2000/XP/Vista, Windows Server
    2000/2003, Linux Debian, Red Hat, CentOS,
  • udostępnianiu
    wbudowanej bazy wiedzy o lukach w zabezpieczeniach oraz poprawkach do
    systemów, aktualizowaną automatycznie poprzez sieć Internet,
  • automatyczną instalację poprawek i
    servicepack'ów na wybranych komputerach w sieci,
  • przeprowadzenie zdalnego audytu oraz
    instalacji poprawek dla wybranych komputerów zlokalizowanych poza siecią IP przedsiębiorstwa
    (t.j. przyłączonych do sieci Internet),
  • automatyczne wykrywania środowiska,
    umożliwiające zbieranie informacji o skanowanych komputerach: nazwa komputera,
    typ systemu operacyjnego,
  • generowanie graficznych raportów wykonanych
    audytów, w tym raporty otwartych portów, brakujących poprawek i service pack, znalezionych
    luk w zabezpieczeniach systemów oraz raportów porównawczych audytów dokonanych
    na pojedynczym systemie,
  • monitorowanie zmian w katalogach, plikach i
    kluczach rejestru w systemach Windows oraz zapisywanie zmian w trybie rejestrowania
    zmian w stosunku do zastanych informacji,
  • zdefiniowanie harmonogramu instalacji poprawek
    i servicepack'ów w systemach informatycznych.

Projekt w Polskim Komitecie Normalizacyjnym zakłada, że doradztwo PBSG w zakresie PBI  pozwoli na zintegrowanie działań z funkcjonującym w organizacji
systemem zarządzania jakością zgodnie z normą PN-EN ISO 9001:2001 oraz systemem
zarządzania usługami IT zgodnie z normą PN-ISO/IEC 20000-1:2007 (więcej nt
projektu ISO 20000 w PKN..>> ).