Procurement

ΤΕΧΝΙΚΕΣ ΠΡΟΔΙΑΓΡΑΦΕΣ - ΑΠΑΙΤΗΣΕΙΣ ΠΡΟΣ ΥΛΟΠΟΙΗΣΗ

ΓΕΝΙΚΕΣ ΑΠΑΙΤΗΣΕΙΣ ΓΙΑ ΤΟ ΕΡΓΟ

1. Πραγματοποίηση ελέγχου/ων δοκιμής/ων παρείσδυσης, εσωτερικά και εξωτερικά και ανάλυσης κινδύνων του Νοσοκομείου, με στόχο την ανάδειξη ευπαθειών ασφαλείας στις υποδομές πληροφορικής, την περιγραφή των επιπτώσεών τους στην εύρυθμη και ασφαλή λειτουργία του Νοσοκομείου, την πρόταση αντίμετρων για την μείωση του κινδύνου, ώστε να γίνει και συμμόρφωση με το NIS 2.

Κατά το παρόν έργο o ανάδοχος θα πρέπει να αναγνωρίσει και αποτιμήσει τις ευπάθειες των υποδομών πληροφορικής.

2. Security Audit με στόχο την ολοκληρωμένη προσέγγιση της ασφάλειας του δικτύου και με σκοπό να ελεγχθούν συνολικά οι μηχανογραφικές υποδομές, οι επικοινωνίες και οι διαδικασίες της μηχανογράφησης και να υπάρξει συμμόρφωση κατά NIS 2.

3. NIS 2 Gap Analysis. Αναλυτική περιγραφή των υποδομών, των πολιτικών και διαδικασιών που απαιτούνται στο Νοσοκομείο ώστε να συμμορφώνεται με το NIS 2.

4. Υπηρεσία ISMS Implementation (Ανάπτυξη Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών) με στόχο τη διαχείριση και αντιμετώπιση των κινδύνων ασφάλειας που σχετίζονται με την ψηφιακή πληροφορία, ώστε το νοσοκομείο να συμμορφώνεται με την οδηγία NIS 2.

5. Risk Assessment για την εκτίμηση των κινδύνων στην περίπτωση συμβάντος ασφάλειας. Αξιολόγηση των απειλών με βάση την πιθανότητα να εμφανιστεί και του αντικτύπου που θα έχει μια πιθανή εμφάνισή της. Το αποτέλεσμα της διαδικασίας αυτής θα αναδείξει τα σημεία του δικτύου τα οποία χρίζουν επιπλέον αντίμετρα ώστε να μειωθεί το ρίσκο.

6. Υπηρεσία IT  Awareness για την εκπαίδευση του τμήματος μηχανογράφησης στην παρακολούθηση  της τήρησης των πολιτικών ασφάλειας σύμφωνα με το NIS 2

EXTERNAL-INTERNAL PENETRATION TEST

Σκοπός του έργου είναι η πραγματοποίηση ελέγχου/ων δοκιμής/ων παρείσδυσης και ανάλυσης κινδύνων του Νοσοκομείου, με στόχο την ανάδειξη ευπαθειών ασφαλείας στις υποδομές πληροφορικής, την περιγραφή των επιπτώσεών τους στην εύρυθμη και ασφαλή λειτουργία του Νοσοκομείου και την πρόταση αντίμετρων για την μείωση του κινδύνου.

Ο ανάδοχος θα πρέπει να αναγνωρίσει και να αποτιμήσει τις ευπάθειες των υποδομών πληροφορικής και στη συνέχεια να διενεργήσει δοκιμές παρείσδυσης (Penetration Testing).

Για την υλοποίηση του παρόντος έργου ο ανάδοχος θα πρέπει να διενεργήσει τα ακόλουθα βήματα:

1. Αναγνώριση και αποτίμηση ευπαθειών

Χρησιμοποιώντας κατάλληλα, καταξιωμένα διεθνή πρότυπα και δημοφιλή εργαλεία ανίχνευσης ευπαθειών, ο ανάδοχος θα διενεργήσει διαδικασία αναγνώρισης τους. Η διαδικασία αυτή θα αναλυθεί στα ακόλουθα επίπεδα:

α. Σε επίπεδο εφαρμογής χωρίς γνώση (Black Box) (μόνο στην δικτυακή διεύθυνση της εφαρμογής)

β. Σε επίπεδο εφαρμογής με γνώση (White Box) (έχοντας συγκεκριμένα test accounts).

2. Διενέργεια Αρχικών Δοκιμών Παρείσδυσης

Χρησιμοποιώντας κατάλληλα, καταξιωμένα διεθνή πρότυπα και δημοφιλή εργαλεία (όχι open source, τα εργαλεία θα πρέπει να διατίθενται εμπορικά και να είναι διαφορετικά για το network penetration test και για τα web application penetration tests) καθώς και όπου απαιτείται δικό του κώδικα, ο ανάδοχος θα διενεργήσει δοκιμές παρείσδυσης σε πληροφοριακά συστήματα που θα του υποδείξει ο φορέας.

Η διαδικασία αυτή θα αναλυθεί στα ακόλουθα επίπεδα:

α. Σε επίπεδο εφαρμογής χωρίς γνώση (Black Box) (μόνο στην δικτυακή διεύθυνση της εφαρμογής)

β. Σε επίπεδο εφαρμογής με γνώση (White Box) (έχοντας συγκεκριμένα test accounts).

Στην παρούσα φάση υλοποίησης του έργου οι δοκιμές θα πραγματοποιηθούν με συγκεκριμένα δικαιώματα χρήστη και με χρήση διαβαθμισμένων ρόλων, όπως αυτοί θα ορισθούν από τον φορέα. Συγκεκριμένα θα δημιουργηθούν δοκιμαστικοί λογαριασμοί (test accounts), που θα αντιπροσωπεύουν έναν απλό χρήστη των εφαρμογών καθώς και ένα χρήστη με δικαιώματα διαχειριστή.

Οι δοκιμές αυτές σκοπό έχουν να εξασφαλίσουν στον φορέα, καλύτερη κατανόηση των αδυναμιών των κρίσιμων υποδομών του, με κύριο στόχο την προστασία του από ενδεχόμενες επιθέσεις που μπορεί να εκτελεσθούν από το διαδίκτυο.

Οι δοκιμές παρείσδυσης θα γίνουν τόσο εξωτερικά (external systems & network penetration tests), όσο και εσωτερικά (internal systems & network penetration tests).

Επίσης κατ’ ελάχιστο σε 5 Web Applications)

Κατά τη διάρκεια των δοκιμών, ο ανάδοχος θα καλύψει κατ’ ελάχιστον:

• Τα OWASP TOP 10 Vulnerabilities

• Επιθέσεις στο κανάλι σύνδεσης δεδομένων

• Επιθέσεις σε επίπεδο λειτουργικού συστήματος

• Επιθέσεις σε επίπεδο βάσης δεδομένων

• Επιθέσεις άρνησης υπηρεσιών (DoS attacks).

• Έλεγχοι ασφάλειας σε 2 κρίσιμες εφαρμογές.

Ενδεικτικά αναφέρονται:

1.      Πραγματοποίηση δοσοληψίων χωρίς εξουσιοδότηση

2.      Απόκτηση δικαιωμάτων πρόσβασης σε ευαίσθητα δεδομένα χωρίς την κατάλληλη εξουσιοδότηση

3.      Μη εξουσιοδοτημένη αλλαγή ή καταστροφή δεδομένων

4.      Μη εξουσιοδοτημένη τροποποίηση λογισμικού η παρείσφρηση κακόβουλου λογισμικού.

Για την περίπτωση που επιτευχθεί μη εξουσιοδοτημένη αλλαγή ή καταστροφή δεδομένων χωρίς πρόσβαση στη βάση δεδομένων (μέσω ευπάθειας λογισμικών συστημάτων/υποδομών ή εφαρμογής), θα πρέπει να έχει τηρηθεί καταγραφή των δεδομένων πριν την αλλαγή και στη συνέχεια να γίνει αναίρεση των αλλαγών που επιτεύχθηκαν.

Για την εξέταση της δυνατότητας μη-εξουσιοδοτημένης αλλαγής ή καταστροφής δεδομένων με απευθείας πρόσβαση στη βάση δεδομένων ζητείται ο έλεγχος της δυνατότητας δημιουργίας χρήστη στη βάση δεδομένων με προνόμια διαχειριστή, χωρίς να πραγματοποιηθεί η αυτή καθαυτή αλλαγή στη βάση δεδομένων.

Σε ότι αφορά μη-εξουσιοδοτημένη τροποποίηση λογισμικού ή παρείσφρηση κακόβουλου λογισμικού στο λογισμικό συστημάτων/υποδομών και στο λογισμικό της βάσης δεδομένων, ζητείται ο έλεγχος της δυνατότητας να γίνει τροποποίηση, χωρίς να επιτευχθεί η τροποποίηση αυτή καθαυτή.

Ο ανάδοχος έχοντας ολοκληρώσει τους ελέγχους που προβλέπονται στο έργο, θα συντάξει εκθέσεις, στην Ελληνική γλώσσα, από τον έλεγχο ασφαλείας που θα περιλαμβάνει τα πιθανά ευρήματα ασφάλειας, τις επιπτώσεις αυτών καθώς και προτεινόμενες ενέργειες αντιμετώπισής τους, όπως περιγράφεται παρακάτω.

Όλες οι εκθέσεις θα πρέπει να ομαδοποιούν το σύνολο των ευρημάτων, ανάλογα με το ρίσκο, στις ακόλουθες κατηγορίες:

1. Κρίσιμο (Critical) - #αρ. ευρημάτων

2. Υψηλού ρίσκου (High) - #αρ. ευρημάτων

3. Μεσαίου ρίσκου (Medium) - #αρ. ευρημάτων

4. Χαμηλού ρίσκου (Low) - #αρ. ευρημάτων

5. Συστάσεις (Recommendations) - #αρ. ευρημάτων

Παραδοτέα PENETRATION TEST:

i.Μεθοδολογία Αναγνώρισης & αποτίμησης ευπαθειών, Διενέργειας Δοκιμών Παρείσδυσης.

Στα πλαίσια αυτού του παραδοτέου, θα περιγραφούν τα βήματα υλοποίησης των συγκεκριμένων ενεργειών, περιλαμβανομένων των εργαλείων που θα χρησιμοποιηθούν, των ενεργειών για την διασφάλιση της εμπιστευτικότητας του συνόλου των στοιχείων του έργου κ.α.

ii.Έκθεση αποτελεσμάτων της Ανάλυσης και αποτίμησης Ευπαθειών.

iii.Έκθεση αποτελεσμάτων των δοκιμών παρείσδυσης ανά δοκιμή και συστάσεις για την αντιμετώπιση των ευπαθειών.

Οι εκθέσεις αποτελεσμάτων των δοκιμών παρείσδυσης θα περιλαμβάνουν κατ’ ελάχιστον τις ακόλουθες πληροφορίες:

• Περίληψη κυριότερων σημείων.

• Πεδίο εφαρμογής των υπηρεσιών.

• Μεθοδολογίες και εργαλεία που χρησιμοποιήθηκαν για τη διεξαγωγή των ελέγχων.

• Προσδιορισμός των κρίσιμων στοιχείων ελέγχου και επεξήγηση γιατί δοκιμάστηκαν αυτά τα στοιχεία.

• Περιγραφή της εξέλιξης του κύκλου ελέγχων και των προβλημάτων που παρουσιάστηκαν κατά τη διάρκεια εκτέλεσής τους (χρονοδιάγραμμα).

• Για κάθε ευπάθεια/αδυναμία θα δίνονται οι ακόλουθες πληροφορίες:

1. χρόνος και τεχνογνωσία που θα χρειαζόταν ένας επιτιθέμενος για να εντοπίσει την ευπάθεια/αδυναμία.

2. τα ενδεχόμενα σενάρια επίθεσης στα οποία μπορεί να χρησιμοποιηθεί η εν λόγω ευπάθεια/αδυναμία.

3. κρισιμότητα (π.χ. Κρίσιμη, Υψηλή, Μεσαία, Χαμηλή, σύσταση).

4. το επίπεδο έκθεσης σε κίνδυνο, σύμφωνα με τα παρακάτω κριτήρια: η ύπαρξη αυτής της ευπάθειας/αδυναμίας επιτρέπει άμεση διακύβευση της ασφάλειας ή σε συνεργασία με άλλες ευρεθείσες ευπάθειες/αδυναμίες μπορεί να χρησιμοποιηθεί για την πραγματοποίηση επίθεσης.

5. διορθωτικές ενέργειες έκτακτης ανάγκης.

• Καταγραφή των επιτυχημένων ευπαθειών που εκτελέστηκαν στο πλαίσιο των ελέγχων παρείσδυσης

• Αναλυτική περιγραφή των σεναρίων επιθέσεων που υλοποιήθηκαν. Θα περιλαμβάνονται τα σενάρια επίθεσης που σχεδιάστηκαν και ελέγχθηκαν και το κατά πόσο είναι δυνατή η πραγματοποίησή τους. Για κάθε επιτυχές σενάριο επίθεσης θα δίνονται τα παρακάτω:

1. αποδείξεις των επιτυχημένων δοκιμών παρείσδυσης (π.χ. σχετικά screenshots,video).

2. ο χρόνος, η τεχνογνωσία και οι πόροι που θα χρειαζόταν ο επιτιθέμενος για το φέρει επιτυχώς εις πέρας.

3. η επίπτωση που θα είχε στην ασφάλεια της υπό έλεγχο πληροφοριακής υποδομής

4. ο κίνδυνος στον οποίο είναι εκτεθειμένη η υπό έλεγχο πληροφοριακή υποδομή (το επίπεδο κινδύνου ορίζεται ως το γινόμενο της “ευκολίας εκμετάλλευσης μιας ευπάθειας/αδυναμίας” επί την “επίπτωση”).

5. οι εναλλακτικές διορθωτικές ενέργειες για τη μείωση/εξάλειψη του κινδύνου.

• Συγκεκριμένες πρακτικές συστάσεις για την αποκατάσταση των εντοπισμένων ευπαθειών.

SECURITY AUDIT

Το Security Audit ελέγχει την αρχιτεκτονική του δικτύου, συμπεριλαμβανομένων των επιμέρους στοιχείων του, με σκοπό την αναλυτική αποτύπωση του επιπέδου ασφάλειας. Εκτός των ελέγχων επί της παραμετροποίησης των δικτυακών συσκευών, ο ανάδοχος θα ελέγξει και τις διαδικασίες που ακολουθούνται, καθώς και αυτές που συμβάλουν στο υφιστάμενο επίπεδο ασφάλειας. Αφού ελεγχθεί κάθε στοιχείο και διαδικασία του πληροφοριακού συστήματος, τα αποτελέσματα θα αξιολογηθούν και συγκριθούν με διεθνώς αναγνωρισμένα μέτρα προστασίας και πρακτικές.

 Καθώς οι ανάγκες ασφάλειας δεν είναι ίδιες για όλες τις επιχειρήσεις, το IT Security Audit θα κατηγοριοποιήσει  τις απαιτήσεις, ώστε το νοσοκομείο να επιλέξει το επίπεδο προστασίας στο οποίο στοχεύει και παράλληλα να γνωρίζει το επίπεδο ασφάλειας που έχει. To IT Security Audit θα πρέπει να προσφέρει ενδελεχή έλεγχο τουλάχιστο στα Firewall, Ασύρματη υποδομή, VPN, Remote Access Υποδομή, Antivirus, Active Directory, Virtual Infrastructure, Backup Software/Procedure, Storage, Email, ERP εφαρμογή, File Sharing, Servers παραμετροποίηση, Τερματικά παραμετροποίηση, Διαδιακσία logging, Web Server, Switches, διαδικασία patching/updates.

Ολοκλήρωση Ελέγχου

Ο έλεγχος ολοκληρώνεται με τη καταγραφή των προβλημάτων, τη κατηγοριοποίησή τους ανάλογα με τη σοβαρότητά τους, την ανάλυση των κινδύνων κάθε ευρήματος και τέλος με προτάσεις για διορθώσεις και βελτιώσεις, ώστε το νοσοκομείο να αποκτήσει το επιθυμητό επίπεδο ασφάλειας.

Το IT Security Audit θα είναι ειδικά σχεδιασμένο για να:

· Αναγνωριστούν  οι αδυναμίες και τα προβλήματα του δικτύου.

· Κατηγοριοποιηθούν τα προβλήματα ανάλογα με τη σημασία, την ευκολία ή το κόστος αποκατάστασης τους.

· Παρέχει προτάσεις για συνολική ασφάλεια, σε όλες τις παραμέτρους της μηχανογραφικής υποδομής.

Extented IT Security Audit

Στο Extended IT Security Audit, ο έλεγχος θα γίνει βάσει των απαιτήσεων που έχει θέσει ο NIST (National Institute of Standards and Technology), στο Cybersecurity Framework και ελέγχονται τόσο τα υφιστάμενα τεχνικά αντίμετρα, όσο και η ύπαρξη επιμέρους εταιρικών πολιτικών για κρίσιμους τομείς της ασφάλειας.

NIS 2 GAP ANALYSIS

Η οδηγία NIS 2 (Ασφάλεια των Συστημάτων Δικτύου και Πληροφοριών), ενισχύει σημαντικά τους κανονισμούς για την κυβερνοασφάλεια, σε ολόκληρη την Ευρωπαϊκή Ένωση και εφαρμόζεται σε ένα ευρύτερο φάσμα επιχειρήσεων, που δραστηριοποιούνται σε τομείς και υπηρεσίες ζωτικής σημασίας για βασικές κοινωνικές και οικονομικές δραστηριότητες, όπως είναι εταιρείες διαχείρισης λυμάτων, ταχυδρομικές υπηρεσίες, κατασκευαστικές εταιρείες και πάροχοι ψηφιακών υπηρεσιών.

Οι βασικοί στόχοι της οδηγίας είναι να θεσπίσει ένα κοινό κανονιστικό πλαίσιο, επιβάλλοντας μέτρα για την κυβερνοασφάλεια, όπως πρακτικές διαχείρισης κινδύνου, υποχρεώσεις αναφοράς συμβάντων και αξιολογήσεις ασφάλειας της εφοδιαστικής αλυσίδας. Δεύτερον, στοχεύει στη βελτίωση της συνεργασίας των μελών της ΕΕ σε επίπεδο απειλών κυβερνοασφάλειας, καθώς θα υποχρεώνει τις αρμόδιες αρχές, τις αρχές διαχείρισης κρίσεων στον κυβερνοχώρο και τις ομάδες αντιμετώπισης περιστατικών ασφάλειας υπολογιστών (CSIRT), σε κάθε κράτος μέλος, να συνεργάζονται και να ανταλλάσσουν μεταξύ τους πληροφορίες.

To Νοσοκομείο καλείται να επιτύχει, με την βοήθεια της πολιτικής ασφαλείας των πληροφοριακών συστημάτων, τους παρακάτω στόχους:

·                     Συμμόρφωση προς συγκεκριμένους κανόνες προστασίας.

·                     Συμμόρφωση προς συγκεκριμένους κανονισμούς.

·                     Βελτιστοποίηση της χρήσης οικονομικών πόρων και ανθρώπινου δυναμικού.

To Cyber Security Policy Consulting, είναι συμβουλευτικές υπηρεσίες για την διαμόρφωση της Πολιτικής Ψηφιακής Ασφάλειας, που αφορούν την ορθή διαχείριση και αντιμετώπιση κινδύνων ασφαλείας της ψηφιακής πληροφορίας. 

Η Υπηρεσία θα πρέπει να περιλαμβάνει

·         Αποτύπωση αναγκών και υπάρχουσας κατάστασης.

·         Ανάλυση και καταγραφή.

·         Πολιτικές κατά NIS2.

ΑΝΑΠΤΥΞΗ ΠΟΛΙΤΙΚΗΣ ΑΣΦΑΛΕΙΑΣ ΚΑΤΑ  NIS 2

Οι πολιτικές ασφάλειας ISMS (Information Security Management System), αποτελούν το θεμέλιο για τη διαχείριση της ασφάλειας των πληροφοριών σε έναν οργανισμό, καθορίζοντας τις κατευθυντήριες γραμμές και τις διαδικασίες που εξασφαλίζουν την προστασία των δεδομένων και των συστημάτων. Περιλαμβάνουν την καθορισμένη κατανομή ρόλων και ευθυνών για την ασφάλεια, πολιτικές πρόσβασης για τον έλεγχο της πρόσβασης σε ευαίσθητα δεδομένα, διαδικασίες διαχείρισης κινδύνων για την αναγνώριση και αξιολόγηση απειλών, και μέτρα προστασίας για την αποφυγή απωλειών ή ζημιών. Αυτές οι πολιτικές βοηθούν στην εξασφάλιση της συμμόρφωσης με κανονισμούς και πρότυπα ασφαλείας, ενώ παρέχουν έναν οργανωμένο τρόπο για την προστασία των πληροφοριών και τη διαχείριση των σχετικών κινδύνων.

Η πολιτική ασφαλείας των πληροφοριακών συστημάτων, περιγράφει το σύνολο των κανόνων και των πρακτικών, που καθορίζουν τον τρόπο με τον οποίο ένας οργανισμός, πρέπει να διαχειρίζεται και να προστατεύει τους πόρους του, έτσι ώστε να πετύχει την μέγιστη δυνατή ασφάλεια.

Περιλαμβάνει ένα σύνολο πολιτικών και διαδικασιών, που έχουν ως στόχο τη διαχείριση των κινδύνων του πληροφοριακού συστήματος του οργανισμού, από απειλές όπως οι κυβερνοεπιθέσεις, οι παραβιάσεις των συστημάτων, οι διαρροές δεδομένων ή η κλοπή.

Το νοσοκομείο θα επιτύχει, με την βοήθεια της πολιτικής ασφαλείας των πληροφοριακών συστημάτων, τους παρακάτω στόχους:

·                     Συμμόρφωση προς συγκεκριμένους κανόνες προστασίας.

·                     Συμμόρφωση προς συγκεκριμένους κανονισμούς.

·                     Βελτιστοποίηση της χρήσης οικονομικών πόρων και ανθρώπινου δυναμικού.

Η Πολιτική Ψηφιακής Ασφάλειας, αποτελεί κατευθυντήρια γραμμή στη διαχείριση και αντιμετώπιση κινδύνων ασφαλείας, που αφορούν τη ψηφιακή πληροφορία. Καθορίζει τη δέσμευση της Διοίκησης και την προσέγγιση του νοσοκομείου αναφορικά με την ασφάλεια των πληροφοριακών συστημάτων και δικτύων και την προστασία δεδομένων. Στόχος είναι να διασφαλιστεί καλύτερα η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των πληροφοριών μέσω της συνεχούς βελτίωσης του επιπέδου ασφαλείας.

Ο στόχος επιτυγχάνεται θέτοντας τις βασικές αρχές για:

α) τα οργανωτικά μέτρα ασφαλείας αναφορικά με τους ρόλους και τις αρμοδιότητες του προσωπικού, την εκπαίδευση του προσωπικού, τη διαχείριση περιστατικών ασφαλείας, την διαχείριση των εξωτερικών συνεργατών, καθώς και για την καταστροφή δεδομένων.

β) τα τεχνικά μέτρα ασφάλειας αναφορικά με τη διαχείριση των χρηστών του πληροφοριακού συστήματος, την αυθεντικοποίηση των χρηστών, την ασφάλεια των επικοινωνιών, τη λειτουργία των αρχείων καταγραφής του πληροφοριακού συστήματος, την εξαγωγή αντιγράφων ασφαλείας.

γ) τα μέτρα φυσικής ασφάλειας.

Ο ανάδοχος θα αναπτύξει τις πολιτικές ασφαλείας σε συνεργασία με το τμήμα πληροφορικής και τη διοίκηση, για να καλυφθούν όλες οι απαιτήσεις του NIS2.

RISK ASSESSMENT

Το Risk Assessment σκοπεύει στην εκτίμηση των κινδύνων στην περίπτωση συμβάντος ασφάλειας . Εδώ αξιολογείται η κάθε απειλή που μπορεί να συμβεί στο πληροφοριακό σύστημα του νοσοκομείου, βάσει της πιθανότητας να εμφανιστεί και του αντικτύπου που θα έχει μια πιθανή εμφάνισή της. Το αποτέλεσμα της διαδικασίας αυτής, θα αναδείξει τα σημεία του δικτύου τα οποία χρίζουν επιπλέον αντίμετρα, ώστε να μειωθεί το ρίσκο. Τα αντίμετρα είναι τόσο τεχνικής φύσεως, όσο και σε επίπεδο πολιτικών και διαδικασιών.

Θα πραγματοποιηθεί Διενέργεια Άσκησης Αξιολόγησης Κινδύνων Ασφάλειας Πληροφοριών και Κυβερνοασφάλειας, σε όλο το εύρος τoυ νοσοκομείου (Top- down Risk Assessment) και σύμφωνα με τις διεθνείς καλές πρακτικές όπως NIS 2.

Στο πλαίσιο αυτό, θα πρέπει να πραγματοποιηθούν από τον ανάδοχο, κατ’ ελάχιστον τα παρακάτω:

·         Αναγνώριση και καταγραφή απειλών και κινδύνων κυβερνοασφάλειας και ασφάλειας πληροφοριών του νοσοκομείου (Risk Registry).

·          Διενέργεια άσκησης Εκτίμησης Επιχειρησιακού Αντικτύπου (Business Impact Analysis).

·          Υπολογισμός πρωταρχικών κινδύνων (Inherent Risk Rating).

·         Διενέργεια άσκησης αξιολόγησης των δικλείδων ασφάλειας του νοσοκομείου (Maturity Assessment).

·         Υπολογισμός υπολειπόμενου κινδύνου (Residual Risk Rating).

·         Ανάπτυξη πλάνου μετριασμού των εντοπισμένων κινδύνων από την άσκηση αξιολόγησης (Risk Treatment Plan). 

·         Το πλάνο θα περιέχει τα ακόλουθα:

·         Τις προτεινόμενες δικλείδες ασφάλειας και δράσεις για τον μετριασμό των κινδύνων.

·         Τους εκάστοτε ιδιοκτήτες κινδύνων.

·          Τον προτεινόμενο χρόνο υλοποίησης των δράσεων .

·         Δημιουργία λεπτομερούς αναφοράς για τα αποτελέσματα της άσκησης (Detailed Risk Assessment Report).

·         Δημιουργία αναφοράς στην Ανώτερη Διοίκηση για τα αποτελέσματα της άσκησης (Executive Risk Assessment Report).

·         Δημιουργία πίνακα ελέγχου για την παρακολούθηση του προφίλ αναγνωρισμένων κινδύνων, της έκθεσης σε απειλές και της ωριμότητας των δικλίδων ασφαλείας.

·          

IT  Awareness

H υπηρεσία IT Security Awareness στοχεύει στην εκπαίδευση του τμήματος μηχανογράφησης στην παρακολούθηση της τήρησης των πολιτικών ασφάλειας σύμφωνα με το NIS 2

Η υπηρεσία περιλαμβάνει τα ακόλουθα στάδια

•      Ανάλυση της υπάρχουσας συμπεριφοράς των χρηστών και του τρόπου λειτουργίας του Νοσοκομείου

•      Παράδοση υλικού με οδηγίες και συμβουλές.

•      Σεμινάριο εκπαίδευσης του τμήματος μηχανογράφησης διάρκειας κατ’ ελάχιστο 15 ωρών.

•      Ενημέρωση του τμήματος IT ώστε να διενεργούνται περιοδικές εκπαιδεύσεις και παρακολούθηση συμπεριφοράς χρηστών, αναφορικά με την ασφαλή χρήση των εταιρικών πόρων.

Συνοπτικά τα ζητούμενα αποτυπώνονται στον παρακάτω πίνακα

α/α
Υπηρεσία – Περιγραφή
1
Internal Penetration Test 
 
·                 Port Scanning - Vulnerability Assessment – Pen Test

·                 Report ευρημάτων κατηγοριοποίηση και προτάσεις αποκατάστασης
2
External Penetration Test
 
·                 Port Scanning - Vulnerability Assessment – Pen Test

·                 Report ευρημάτων κατηγοριοποίηση και προτάσεις αποκατάστασης

·                 Phishing Campaign (τουλάχιστο 2 ανά έτος)
3
ΙΤ Security Audit –
 
·                 Audit - Καταγραφή ευρημάτων Αναφορά κινδύνων σχετιζόμενων με ευρήματα

·                 Κατηγοριοποίηση ευρημάτων ανά επικινδυνότητα και κόστος αποκατάστασης

·                 2 IT Security Audit ανά έτος
4
Gap Analysis για NIS2
 
·                 Αποτύπωση αναγκών και υπάρχουσας κατάστασης

·                 Ανάλυση και καταγραφή

·                 Πολιτικές κατά NIS2
5
Πολιτικές Ασφάλειας για συμμόρφωση κατά NIS 2
 
Πολιτικές Ασφάλειας Διαχείρισης των κινδύνων του πληροφοριακού συστήματος του οργανισμού από απειλές όπως, οι κυβερνοεπιθέσεις, οι παραβιάσεις των συστημάτων, οι διαρροές δεδομένων ή η κλοπή, συμμορφούμενες κατά NIS 2
6
Risk Assessment
 
·                 Εκτίμηση κινδύνων κατά ISO 27001

·                 Σημεία εφαρμογής αντίμετρων
7
ΙΤ Awareness
 
Ανάλυση της υπάρχουσας συμπεριφοράς των χρηστών και του τρόπου λειτουργίας του Νοσοκομείου
Σχεδιασμός ελέγχων για τη μείωση του κινδύνου.
Παράδοση υλικού με οδηγίες και συμβουλές.
Σεμινάριο εκπαίδευσης του τμήματος μηχανογράφησης διάρκειας κατ’ ελάχιστο 15 ωρών.
·         Ενημέρωση του τμήματος IT ώστε να διενεργούνται περιοδικές εκπαιδεύσεις και παρακολούθηση συμπεριφοράς χρηστών, αναφορικά με την ασφαλή χρήση των εταιρικών πόρων.
 

Σημείωση: Όλα τα παραδοτέα reports θα είναι γραμμένα στα Ελληνικά.

ΠΡΟΫΠΟΘΕΣΕΙΣ ΓΙΑ ΤΟΝ ΑΝΑΔΟΧΟ ΤΟΥ ΕΡΓΟΥ

Οι παραπάνω εργασίες εκτός από τις ετήσιες υπηρεσίες και τους επαναληπτικούς ελέγχους  απαιτείται να ολοκληρωθούν σε περίοδο 3 μηνών.

Ο Ανάδοχος θα πρέπει να είναι πιστοποιημένος κατά ISO 27001.

Η ομάδα έργου θα πρέπει να διαθέτει τουλάχιστον 7 από  τις παρακάτω πιστοποιήσεις:

·         ISO 27001 Lead Auditor

·         OSCP - Offensive Security Certified Professional

·         CISSP - Certified Information Systems Security Professional

·         OSWE - Offensive Security Web Expert

·         CIH - Certified Incident Handler

·         CPTS - Hackthebox Certified Penetration Testing Specialist

·         CCT INF - CREST Certified Tester – Infrastructure

·         CRTO – Certified Red Team Operator

·         ISC2 CCSP - Certified Cloud Security Professional certification from ISC2

Ο Ανάδοχος θα πρέπει να έχει πραγματοποιήσει δοκιμές παρείσδυσης (penetration tests) την τελευταία πενταετία σε τουλάχιστον 2 δημόσιους φορείς/οργανισμούς, εκ των οποίων τουλάχιστο ένας  θα πρέπει να είναι οργανισμός/φορέας υγείας. Επίσης θα πρέπει να έχει αναλάβει ετήσια υπηρεσία Chief Information Security Officeρ (CISO) σε τουλάχιστο ένα φορέα υγείας. H προϋπηρεσία θα πιστοποιείται με προσκόμιση δημοσιευμένης σύμβασης στο ΚΗΜΔΗΣ και βεβαίωση καλής εκτέλεσης από το Φορέα.

Να δηλωθούν τα εργαλεία δοκιμών παρείσδυσης (Vulnerability Assessment) που δεν θα είναι open source, τα εργαλεία θα πρέπει να διατίθενται εμπορικά και να είναι διαφορετικά για το network penetration test και για τα web application penetration tests.

Η ομάδα έργου θα πρέπει να αποτελείται από εργαζόμενους του Αναδόχου με μόνιμη σχέση εργασίας. Όλα τα μέλη της ομάδας έργου θα πρέπει να πραγματοποιήσουν 1 τουλάχιστο φυσική παρουσία στους χώρους του Νοσοκομείου.

Να προσκομισθούν τα βιογραφικά της ομάδας έργου, οι ανωτέρω τουλάχιστον 7 πιστοποιήσεις καθώς και πιστοποίηση της μόνιμης σχέσης εργασίας με τον ανάδοχο.

• (72500000-0): Υπηρεσίες πληροφορικής