Paquete unico



Yüklə 76,81 Kb.
tarix29.11.2017
ölçüsü76,81 Kb.

Anexo técnico Servicio de logogobbcnuevopeque

Auditoria de Vulnerabilidades de Seguridad de TI



PAQUETE UNICO

PARTIDA 1

CONTRATACIÓN DEL SERVICIO PARA EL ANÁLISIS DE VULNERABILIDADES.



ESPECIFICACIONES TÉCNICAS.
  1. Descripción técnica del servicio solicitado.


  • El Licitante se basará y deberá tener pleno conocimiento y experiencia con clientes en la implementación de mejores prácticas como CobIT1 y estándares como ISO-270012.

Para lograr lo anterior, la propuesta deberá considerar por lo menos lo siguiente:

  1. Análisis de Vulnerabilidades.

A través del Servicio de Análisis de Vulnerabilidades, El Licitante apoyará a la Subsecretaria de Innovación y Modernización Gubernamental de la Secretaria de Planeación y Finanzas en la definición de la estrategia, el manejo y administración de la seguridad de la información organizacional; para lo cual El Licitante auditará la administración y la parte técnica de la Infraestructura de la red de datos del Gobierno del Estado de Baja California en lo que compete a los controles generales de Tecnologías de Información. El objetivo será identificar las principales vulnerabilidades tecnológicas en el área de Tecnologías de la Información y su clasificación de acuerdo al riesgo que representa, así mismo El Licitante entregará un documento con una serie de recomendaciones y la manera de corregirlas para mitigar el riesgo y elevar el nivel de seguridad de la Información desde el ámbito tecnológico.
El resultante de este servicio será:

  • Detectar las principales vulnerabilidades de la Infraestructura donde intervienen la Tecnología de Información clasificadas de acuerdo al riesgo que representa.

  • Conseguir la evidencia de vulnerabilidades encontradas.

  • Emitir un documento con las recomendaciones y la manera de corregirlas para mitigar o eliminar los riesgos encontrados, esto con base en los estándares y las mejores prácticas.

  • Entregar un documento con una lista de herramientas gratuitas y comerciales así como su descripción de cada una de ellas, las cuales podrán ser utilizadas por la Subsecretaria de Innovación y Modernización Gubernamental para la remediación de las vulnerabilidades encontradas.

ALCANCE DE LOS SERVICIOS.

De acuerdo con el alcance del Análisis de Vulnerabilidades, El Licitante deberá:

Documentar los resultados obtenidos de las pruebas y proporcionar al Gobierno de Baja California un documento con las recomendaciones para resolver o mitigar los riesgos encontrados durante el análisis, con base en los controles generales de Tecnología de la Información de acuerdo con el estándar ISO-27001.


  1. SEGURIDAD DE LA INFORMACION

  1. REVISIÓN DE PRIVACIDAD


Objetivo

La revisión de privacidad es el punto de vista legal y ético del almacenamiento, transmisión y control de los datos basados en la privacidad de terceros externos (Ciudadanos, contribuyentes, proveedores, etc.) y del empleado.

En esta fase se analiza toda la información que se recolecta de los usuarios de sus sistemas públicos mediante el uso de las técnicas de programación disponibles para ello (cookies, java, applets, formas, etc.).
Resultados esperados


  • Lista de cualquier revelación de información.

  • Lista de las fallas de conformidad entre la política pública y la práctica actual

  • Lista de los sistemas involucrados en la recolección de datos.

  • Lista de las técnicas de obtención de datos.

  • Lista de los datos obtenidos.



  1. RECOLECCIÓN DE DOCUMENTOS

Objetivo.


Verificación de la información encontrada en el sitio y contrastar dicha información con información encontrada en Internet (personal, información que pueda llevar a otros sitios como web personales, información en sitios P2P, etc.).

Resultados esperados:




  • Un perfil de los empleados.

  • Un perfil de la red de la organización.

  • Un perfil de las tecnologías de la organización.

  • Un perfil de los socios, alianzas y estrategias de la organización.



  1. SEGURIDAD EN LAS TECNOLOGIAS DE INTERNET




  1. LOGÍSTICA Y CONTROLES

Objetivo
Verificar y afinar las herramientas utilizadas en el Análisis para evitar falsos positivos y negativos debido al ruteo y ancho de banda disponible para el análisis


Resultados esperados:


  • Discrepancias por el Ancho de Banda usado en las pruebas

  • Paquetes TCP perdidos.

  • Paquetes UDP perdidos (si es aplicable).

  • Paquetes ICMP perdidos (si es aplicable).

  • Problemas de enrutamiento.

  • Trafico de Enrutamiento del ISP y Vendedores de Tráfico.



  1. SONDEO DE RED

Objetivo


Recolección de información obtenida de Internet de acuerdo al alcance definido en la auditoria.
Resultados esperados:


  • Nombres de Dominio.

  • Nombres de Servidores.

  • Direcciones IP.

  • Mapa de Red.

  • Información ISP / ASP.

  • Propietarios del Sistema y del Servicio.

  • Posibles limitaciones del test.



  1. IDENTIFICACIÓN DE LOS SERVICIOS DE LOS SISTEMAS

Objetivo


El escaneo de puertos es la prueba invasiva de los puertos del sistema en los niveles de transporte y red.
También se incluye aquí la validación de la recepción del sistema a protocolos tunelizados, encapsulados o de enrutamiento. En este módulo se deben enumerar los servicios de Internet activos o accesibles así como traspasar el firewall con el objetivo de encontrar más máquinas activas. Las pruebas de diferentes protocolos dependerán del tipo de sistema y servicios que ofrecen los sistemas.
Resultados esperados:


  • Puertos abiertos, cerrados y filtrados.

  • Direcciones IP de los sistemas activos.

  • Direccionamiento de los sistemas de la red interna.

  • Lista de los protocolos descubiertos de tunelizado y encapsulado.

  • Lista de los protocolos descubiertos de enrutamiento soportados.

  • Servicios activos.

  • Tipos de Servicios.

  • Tipo y nivel de parcheado de las Aplicaciones de los Servicios.

  • Tipo de Sistema Operativo.

  • Nivel de parcheado.

  • Tipo de Aplicación.

  • Lista de sistemas activos.

  • Mapa de la red.




  1. BÚSQUEDA Y VERIFICACIÓN DE VULNERABILIDADES

Objetivo


La finalidad de este módulo es la identificación, comprensión y verificación de debilidades, errores de configuración y vulnerabilidades en un servidor o en una red.
Resultados esperados:


  • Tipo de aplicación o servicio por vulnerabilidad.

  • Niveles de parches de los sistemas.

  • Listado de posibles vulnerabilidades de denegación de servicio.

  • Listado de áreas aseguradas a través de ocultación o acceso visible.

  • Listado de vulnerabilidades actuales eliminando falsos positivos.

  • Listado de sistemas internos o en la DMZ.

  • Mapa de red.

5. VERIFICACIÓN DE APLICACIONES DE INTERNET


Objetivo
El test de Aplicaciones de Internet empleara diferentes Técnicas de prueba de software para encontrar “fallos de seguridad” en aplicaciones cliente/servidor de un sistema desde Internet. En este módulo, nos referimos a aplicaciones cliente/servidor que sean desarrolladas por los programadores de sistemas con propósitos específicos de la organización y que estén disponibles desde Internet y programadas con cualquier tecnología y lenguaje de programación.
Resultados esperados:

  • Tipo de aplicación o servicio por vulnerabilidad.

  • Niveles de parches de los sistemas y aplicaciones.

  • Listado de posibles vulnerabilidades de denegación de servicio.

  • Listado de áreas aseguradas a través de ocultación o acceso visible.

  • Listado de vulnerabilidades actuales eliminando falsos positivos.

  • Listado de sistemas internos o en la DMZ.

  • Listado de convenciones para direcciones de e-mail, nombres de servidores, etc.

  • Mapa de red.


ALCANCE DE LOS SERVICIOS
Validar y documentar la efectividad de la Seguridad de la Información en la infraestructura tecnológica de la Subsecretaría de Innovación y Modernización de la Secretaría de Planeación y Finanzas de Baja California:
La auditoría EXTERNA contemplará los siguientes elementos:
Infraestructura
Revisión de los datos proporcionados hacia internet.

Revisión de 10 dominios de Gobierno

Revisión de la configuración del firewall.

Revisión de la configuración de los routers perimetrales.

Revisión de los puertos disponibles desde internet hacia los servidores disponibles directamente en internet.

Revisión de infraestructura DNS.


Aplicaciones
Escaneo de puertos abiertos hacia internet de un segmento de red homologado

25 Servidores Críticos de forma externa de un total de 180.

10 Aplicaciones críticas y de Web (búsqueda automática y manual de vulnerabilidades)
En las auditorías INTERNAS se revisarán los siguientes elementos:
Infraestructura
2 Switches.

2 Routers internos.

3 Firewalls internos.

1 IPS
Dispositivos conectados a redes tales como:

Switches y Access points.

Cámaras.


Impresoras.

Se revisarán 4 Segmentos de red con servidores routeadores



Aplicaciones y Servicios en red.
50 servidores críticos a revisar (10 de ellos revisados en forma manual, el resto con cuando menos 2 aplicaciones de análisis de vulnerabilidades diferentes).

30 equipos de los 1800 usuarios (revisión manual de 30 equipos de usuario y revisión por herramientas de 800 equipos en las redes más cercanas al nodo central (ping de máximo 500 milisegundos).

4 bases de datos críticas

2 redes wireless locales

Revisión de arquitectura de seguridad (diseño de red interna de acuerdo a parámetros de seguridad).
Usuarios.

Revisión de las cuentas de dominio.



Revisión de la fortaleza de las contraseñas.

El Licitante será responsable, de la información que se le proporcione para el desarrollo de este servicio, quedando en completa confidencialidad.

  1. ENTREGABLES Y FECHA DE ENTREGA.

El Análisis de Vulnerabilidades deberá concluir a más tardar en 20 días hábiles a partir del inicio de la misma. Al finalizar El Licitante entregará documentación ejecutiva y completa que contenga por lo menos:


  • Definición y validación del alcance del Análisis de Vulnerabilidades.

  • Resultado del Análisis de Vulnerabilidades encontradas.

  • Evidencias de Vulnerabilidades encontradas.

  • Recomendaciones para eliminar o mitigar los riesgos encontrados y elevar el nivel de seguridad de la Información desde el ámbito tecnológico de acuerdo a los estándares internacionales, como por ejemplo el ISO 27001:2005.

  • Metodología utilizada durante la realización del análisis de vulnerabilidades.

  • Reporte ejecutivo de los resultados del Análisis de Vulnerabilidades

  • Presentación ejecutiva y técnica sobre los resultados encontrados

  • Reporte con información relacionada con las vulnerabilidades que coadyuve a conocer a detalle la vulnerabilidad y sus posibles soluciones.

  • Lista de actividades requeridas para remediar las vulnerabilidades encontradas.




  1. CERTIFICADOS SOLICITADOS.


El Licitante presentará y entregará en su propuesta copia fiel de los siguientes certificados vigentes:


  1. Certificación de la empresa bajo el estándar ISO/IEC 27001:2005 (vigente) avalando su compromiso en el tratamiento de la información de sus clientes con la confidencialidad, integridad y disponibilidad requerida para este proyecto




    1. Certificado de Auditor/Auditor Líder BS 7799-2:20023 o ISO/IEC 27001:2005 de por lo menos 1 de los Auditores Especialistas en el Análisis de Vulnerabilidades




    1. Certificado CISA4 (Certified Information Systems Auditor) de por lo menos 1 de los

Auditores Especialistas en el Análisis de Vulnerabilidades


    1. Certificado CRISC5 (Certified in Risk and Information Systems Control) de por lo menos 1 de los Auditores Especialistas en el Análisis de Vulnerabilidades.




    1. CEH6 (Certified Ethical Hacker) de por lo menos 1 de los Auditores Especialistas en el Análisis de Vulnerabilidades.




    1. Certificado PMP7 (Professional Management Project) de por lo menos 1 de los Auditores Especialistas en el Análisis de Vulnerabilidades.




    1. Certificado en Cobit Foundation8 de por lo menos 1 de los Auditores Especialistas en el Análisis de Vulnerabilidades


  1. REQUISITOS SOLICITADOS AL LICITANTE.

Todos los requerimientos descritos en este capítulo son considerados como críticos, por lo tanto cualquier oferta técnica presentada por los licitantes, que no cumpla con todos y cada uno de los requerimientos mínimos aquí descritos, será calificada como NO CUMPLE, con el conocimiento de que la falta de cualquiera de éstos, ocasionará que su propuesta no sea evaluada.




    1. Copia de los certificados solicitados en el punto anterior.




    1. Comprobar con carta de referencia de al menos tres empresas o dependencias de gobierno donde se indique que ha participado en proyectos de Auditoría de Vulnerabilidades dentro del territorio nacional. Los datos deberán incluir el nombre, número telefónico, correo electrónico y contacto vigentes. La convocante podrá revisar la veracidad de la información proporcionada.




    1. Carta en papel membretado y firmada por representante legal, en la que se compromete a emplear el personal que cuente con las certificaciones solicitadas en el punto anterior en el servicio del Análisis de Vulnerabilidades.




    1. Carta en papel membretado y firmada por el representante legal de El Licitante donde acepta que en caso de que decida cambiar a un recurso del personal asignado al proyecto, deberá contar con la aprobación previa por escrito de la convocante para tal efecto.



    1. Estructura organizacional y miembros del equipo de trabajo propuesto, incluyendo curriculum y nombre del rol de cada uno de ellos.


UBICACIÓN Y HORARIO DE TRABAJO.

En el caso de la auditoría interna, deberá realizar con auditores en sitio, en la siguiente dirección:



Edificio del Poder Ejecutivo, Sótano

Calzada Independencia No. 994

Col Centro Cívico Mexicali, BC. C.P. 21000

Y en el siguiente horario:

LOS DIAS: DE LUNES A VIERNES, EXCEPTO DIAS FERIADOS.

EN EL HORARIO: DE 8:00 A 20:00 HORAS.

El Licitante se sujetará al horario de actividades del Gobierno de Baja California y en caso de necesitar acceso a las instalaciones y personal, fuera del horario de labores de éste, deberá de solicitárselo con cuando menos tres días hábiles de anticipación, motivando debidamente dicha petición.
En el caso de la auditoría externa, de acuerdo a la naturaleza de las actividades estas podrán realizarse de forma remota, previa revisión de un plan de actividades.

Los trabajos serán vigilados y administrados por la Subsecretaria de Innovación y Modernización Gubernamental- Jefe del Departamento de Arquitectura Tecnológica.


El Gobierno de Baja California proporcionará a El Licitante los requisitos de espacio físico, conexión a la red de datos y salida a Internet para que el equipo de trabajo pueda desempeñar sus funciones de manera adecuada.

  1. ADMINISTRACION DEL PERSONAL.

Todo empleado o representante de El Licitante portará gafete e identificación con fotografía y logotipo del licitante ganador, conteniendo su nombre y puesto, durante todo el tiempo de estancia en las instalaciones del Gobierno de Baja California.


El personal asignado por El Licitante debe apegarse a las reglas, lineamientos y disposiciones vigentes en el Gobierno de Baja California.
Todo problema laboral que corresponda a los empleados de El Licitante, quedará fuera de las instancias del Gobierno de Baja California, estos compromisos no deberán repercutir en los procesos de atención en los servicios.



  1. CONFIDENCIALIDAD DE LA INFORMACIÓN.

El Licitante firmara una carta de confidencialidad en la que se obliga a no dar a conocer la información obtenida por la convocante durante y después del servicio, que en caso de detectar una fuga de información refutable a El Licitante se hará responsable de identificar la causa y apegarse a los procesos necesarios para deslindar responsabilidades.

  1. GARANTÍA.

El Licitante presentará una carta compromiso en la que indique que la garantía de satisfacción del servicio proporcionado, será de por lo menos tres meses después de haber concluido el servicio contratado y haber recibido la totalidad de la documentación correspondiente, así mismo corroborando que la información que se le haya proporcionado para este servicio no será utilizada para su beneficio.


1 COBIT es un marco de referencia de gobernabilidad de las Tecnologías de la Información y un conjunto de herramientas de soporte que permite a los responsables reducir la brecha entre los requerimientos de control, los temas técnicos y los riesgos del negocio. COBIT permite el desarrollo de una política clara y una buena práctica para el control TI en las organizaciones.

2 El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).

3 Norma BS 7799-2:2002 desarrollada por la entidad de normalización británica, la British Standards Institution (BSI), que es una multinacional cuyo fin se basa en la creación de normas para la estandarización de procesos. BSI es un organismo colaborador de ISO y proveedor de estas normas, son destacables la ISO 9001, ISO 14001 e ISO 27001. Entre sus actividades principales se incluyen la certificación, auditoría y formación en las normas.

4 Certified Information Systems Auditor (CISA) es una certificación para auditores respaldada por la Asociación ISACA (Information Systems Audit and Control Association).

5 Certified in Risk and Information Systems Control (CRISC) es una certificación para auditores respaldada por la Asociación ISACA (Information Systems Audit and Control Association).


6 Certified Ethical Hacker es una certificación profesional promovida por el Consorcio Internacional de Consultas de Comercio Electrónico

7 Project Management Professional (PMP) es una certificación ofrecida por el Project Management Institute (PMI)

8 Certificado COBIT es un marco de referencia de gobernabilidad de las Tecnologías de la Información y un conjunto de herramientas de soporte que permite a los responsables reducir la brecha entre los requerimientos de control, los temas técnicos y los riesgos del negocio.

Página de



Yüklə 76,81 Kb.

Dostları ilə paylaş:




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2020
rəhbərliyinə müraciət

    Ana səhifə