Заказчики: Департамент города Москвы по конкурентной политике Москва; Государственные и социальные структуры Дата проекта: 2021/09
Бюджет проекта: 83 800 000 руб.
|
2021: Тендер на выполнение работ по развитию государственных информационных систем Москвы
11 октября 2021 года стало известно о том, что Департамент столицы по конкурентной политике разместил информацию на сайте госзакупок о проведении тендера на выполнение работ по развитию государственных информационных систем города Москвы, задействованных в предоставлении государственных услуг, в части модернизации системы защиты информации. Начальная стоимость госконтракта составляет 83,8 млн рублей. Заявки конкурсная комиссия будет принимать до 29 октября 2021 года.
Исполнитель должен регулярно проводить анализ защищенности информационных систем, выявлять уязвимости и модернизировать сервисы защиты. В документации указано, что при анализе уязвимостей необходимо, в том числе, использовать информацию, полученную из любых «общедоступных источников».
В техзадании указано, что при анализе уязвимостей информационной системы необходимо проверить:
- отсутствие известных уязвимостей СЗИ ИС, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников,
- правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.
Должен быть произведен анализ архитектуры ИС, составлена индивидуальная политика сканирования ИС, проведено инструментальное сканирование ИС, проведено дополнительное инструментальное сканирование (узкоспециализированными средствами) по каждому сегменту ИС, проведено выявление ложных уязвимостей экспертным методом в неавтоматизированном режиме.TAdviser Security 100: Крупнейшие ИБ-компании в России
Анализ защищенности должен проводиться по разработанной и согласованной с заказчиком методике проведения анализа защищенности ИС.
На основе полученной информации Подрядчик должен определить приоритетные уязвимости, устранение которых приведет к предотвращению наиболее опасных атак, разработать рекомендации по устранению выявленных уязвимостей, составить отчет о проведении анализа защищенности ИС.
Отчет о проведении анализа защищенности ИС должен содержать:
- перечень и описание обнаруженных уязвимостей и ошибок (недостатков) конфигурирования информационных ресурсов;
- комплексную оценку защищенности информационных ресурсов и анализируемой информационной системы;
- конкретные практические рекомендации по устранению обнаруженных уязвимостей и ошибок (недостатков) конфигурирования информационных ресурсов;
- компенсирующие меры, которые сделают невозможным (или существенно снизят вероятность до приемлемого уровня) использование злоумышленниками выявленных уязвимостей с целью нанесения ущерба информационным ресурсам в случае невозможности устранения выявленной уязвимости;
- конкретные практические рекомендации по реализации дополнительных или настройке существующих механизмов защиты информационных ресурсов.
Представленные в Отчете о проведении анализа защищенности ИС рекомендации должны быть направлены на:
- предотвращение или существенное уменьшение вероятности реализации угроз безопасности, связанных с обнаруженными уязвимостями и ошибками конфигурирования информационных ресурсов;
- нейтрализацию выявленных уязвимостей и ошибок (недостатков) конфигурирования информационных ресурсов;
- предотвращение появления возможных уязвимостей и ошибок (недостатков) конфигурирования информационных ресурсов;
- повышение общего уровня защищенности информационных ресурсов и информационной безопасности в целом.
В случае выявления уязвимостей ИС, приводящих к возникновению дополнительных угроз безопасности информации, должен быть актуализирован документ «Модель угроз безопасности информации» и при необходимости приняты дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.
По результатам анализа защищенности должно быть разработано ЧТЗ на модернизацию ППО ИС, которое, в том числе, должно содержать в себе требования к встроенным функциям безопасности ППО. ЧТЗ на модернизацию ППО ИС должно быть предоставлено заказчику не менее чем за 30 календарных дней до окончания соответствующего этапа и подлежит согласованию с заказчиком.
В результате работ должна быть проведена модернизация встроенного функционала ППО ИС в соответствии с требованиями к встроенному функционалу, определенными в ЧТЗ на модернизацию ППО ИС[1].