Проект

83,8 млн рублей выделит правительство Москвы на поиск уязвимостей портала госуслуг

Заказчики: Департамент города Москвы по конкурентной политике

Москва; Государственные и социальные структуры



Дата проекта: 2021/09
Бюджет проекта: 83 800 000 руб.

2021: Тендер на выполнение работ по развитию государственных информационных систем Москвы

11 октября 2021 года стало известно о том, что Департамент столицы по конкурентной политике разместил информацию на сайте госзакупок о проведении тендера на выполнение работ по развитию государственных информационных систем города Москвы, задействованных в предоставлении государственных услуг, в части модернизации системы защиты информации. Начальная стоимость госконтракта составляет 83,8 млн рублей. Заявки конкурсная комиссия будет принимать до 29 октября 2021 года.

Исполнитель должен регулярно проводить анализ защищенности информационных систем, выявлять уязвимости и модернизировать сервисы защиты. В документации указано, что при анализе уязвимостей необходимо, в том числе, использовать информацию, полученную из любых «общедоступных источников».

В техзадании указано, что при анализе уязвимостей информационной системы необходимо проверить:

  • отсутствие известных уязвимостей СЗИ ИС, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников,
  • правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.

Должен быть произведен анализ архитектуры ИС, составлена индивидуальная политика сканирования ИС, проведено инструментальное сканирование ИС, проведено дополнительное инструментальное сканирование (узкоспециализированными средствами) по каждому сегменту ИС, проведено выявление ложных уязвимостей экспертным методом в неавтоматизированном режиме.Догнать и перегнать: Российские ВКС прирастают новыми функциями 9.1 т

Анализ защищенности должен проводиться по разработанной и согласованной с заказчиком методике проведения анализа защищенности ИС.

На основе полученной информации Подрядчик должен определить приоритетные уязвимости, устранение которых приведет к предотвращению наиболее опасных атак, разработать рекомендации по устранению выявленных уязвимостей, составить отчет о проведении анализа защищенности ИС.

Отчет о проведении анализа защищенности ИС должен содержать:

  • перечень и описание обнаруженных уязвимостей и ошибок (недостатков) конфигурирования информационных ресурсов;
  • комплексную оценку защищенности информационных ресурсов и анализируемой информационной системы;
  • конкретные практические рекомендации по устранению обнаруженных уязвимостей и ошибок (недостатков) конфигурирования информационных ресурсов;
  • компенсирующие меры, которые сделают невозможным (или существенно снизят вероятность до приемлемого уровня) использование злоумышленниками выявленных уязвимостей с целью нанесения ущерба информационным ресурсам в случае невозможности устранения выявленной уязвимости;
  • конкретные практические рекомендации по реализации дополнительных или настройке существующих механизмов защиты информационных ресурсов.

Представленные в Отчете о проведении анализа защищенности ИС рекомендации должны быть направлены на:

  • предотвращение или существенное уменьшение вероятности реализации угроз безопасности, связанных с обнаруженными уязвимостями и ошибками конфигурирования информационных ресурсов;
  • нейтрализацию выявленных уязвимостей и ошибок (недостатков) конфигурирования информационных ресурсов;
  • предотвращение появления возможных уязвимостей и ошибок (недостатков) конфигурирования информационных ресурсов;
  • повышение общего уровня защищенности информационных ресурсов и информационной безопасности в целом.

В случае выявления уязвимостей ИС, приводящих к возникновению дополнительных угроз безопасности информации, должен быть актуализирован документ «Модель угроз безопасности информации» и при необходимости приняты дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

По результатам анализа защищенности должно быть разработано ЧТЗ на модернизацию ППО ИС, которое, в том числе, должно содержать в себе требования к встроенным функциям безопасности ППО. ЧТЗ на модернизацию ППО ИС должно быть предоставлено заказчику не менее чем за 30 календарных дней до окончания соответствующего этапа и подлежит согласованию с заказчиком.

В результате работ должна быть проведена модернизация встроенного функционала ППО ИС в соответствии с требованиями к встроенному функционалу, определенными в ЧТЗ на модернизацию ППО ИС[1].

Примечания

  1. 83,8 млн рублей выделит правительство Москвы на поиск уязвимостей портала госуслуг
Источник — «https://energo.tadviser.ru/index.php/%D0%9F%D1%80%D0%BE%D0%B5%D0%BA%D1%82:%D0%94%D0%B5%D0%BF%D0%B0%D1%80%D1%82%D0%B0%D0%BC%D0%B5%D0%BD%D1%82_%D0%B3%D0%BE%D1%80%D0%BE%D0%B4%D0%B0_%D0%9C%D0%BE%D1%81%D0%BA%D0%B2%D1%8B_%D0%BF%D0%BE_%D0%BA%D0%BE%D0%BD%D0%BA%D1%83%D1%80%D0%B5%D0%BD%D1%82%D0%BD%D0%BE%D0%B9_%D0%BF%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B5_(%D0%9C%D0%BE%D0%B4%D0%B5%D1%80%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F_%D0%BF%D0%BE%D1%80%D1%82%D0%B0%D0%BB%D0%B0_%D1%81%D1%82%D0%BE%D0%BB%D0%B8%D1%87%D0%BD%D1%8B%D1%85_%D0%B3%D0%BE%D1%81%D1%83%D1%81%D0%BB%D1%83%D0%B3)»

Править
В России запускается нацпроект «Новые технологии сбережения здоровья» для разработки медизделий
Американский медхолдинг Change Healthcare выплатил $22 млн хакерам-вымогателям, чтобы не допустить утечку данных пациентов
Nestle добавляет «нездоровый» объем сахара в продукты, чтобы подсаживать детей на сладкое
Минздрав РФ за 486 млн рублей закупает серверы для Центра обработки медицинских данных
Конференция «ИТ в ритейле» состоится 28 мая в рамках Tadviser SummIT
Суд приговорил экс-главу Merlion к 22 годам лишения свободы
Серверное оборудование стандарта OCP от OpenYard: опыт ИТ-гигантов для российского рынка
Как команда технического пресейла помогает клиентам получать лучший результат за свой бюджет. Опыт 65apps
Конференция «Информационная безопасность 2024» состоится 28 мая
Конференция «ИТ в банках 2024» состоится 28 мая
Конференция «ИТ в промышленности 2024» состоится 28 мая
«Группа Астра» разрослась до двух десятков компаний. Ключевые активы экосистемы
TATLIN.BACKUP: российская СХД для резервного копирования
Как исключить незапланированные расходы при выборе и внедрении BI-системы
Евгений Титов, «Фитконсалтинг»: Мы идем решать проблемы розничного бизнеса в сегменте СМБ, однозначно понимая их
AUXO: Решение F.A.C.C.T. Attack Surface Management особенно актуально для Enterprise-компаний
Зачем бизнес переводит кибербез в облака
Антон Балагаев, Arenadata: Нужно освоиться и использовать облака тогда, когда это оправдано
Искусственный интеллект для служб поддержки от AutoFAQ
Быстрее, больше, мощнее: построение высоконагруженных систем на базе «Форсайт. Аналитическая платформа»
Александр Егоркин, Газпромбанк: Если мы немедленно проведем импортозамещение, бизнес-процессы встанут
Рынок заказной разработки ПО в России: особенности, перспективы, крупнейшие участники. Обзор TAdviser
Российский рынок видеоконференцсвязи: оценки, драйверы, крупнейшие участники. Обзор TAdviser
28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT
Российский рынок BI-систем: оценки, перспективы, крупнейшие вендоры и интеграторы. Обзор TAdviser
Российский рынок СЭД/ECM борется с демпингом и рассчитывает на возможности искусственного интеллекта. Обзор и рейтинг TAdviser