Corporate Consulting

Informācijas sistēmu drošības un veiktspējas audits


Nozare: Valsts un pašvaldības


Projekta direktors

Āris Āriņš

Valsts reģionālās attīstības aģentūras informācijas sistēmu drošības un veiktspējas testēšana

Klients: 
Valsts reģionālā attīstības aģentūra

Uzdevums

Sistēmu drošības novērtēšanas ietvaros tika veikts drošības pārvaldības novērtējums, balstoties uz LVS ISO/IEC 27002:2009 standartā noteiktām rekomendācijām.

Drošības novērtējums iekļāva:

  • Sistēmas drošības politikas un drošības procedūru novērtējumu;
  • Sistēmas uzturēšanā iesaistītā personāla kvalifikācijas, pienākumu un atbildības novērtējumu;
  • Datu centra un serveru telpu fiziskās drošības un vides drošības novērtējumu;
  • Sistēmas  darbības procedūru realizācijas pārbaudes;
  • Ar sistēmas uzturēšanu saistīto procedūru realizācijas pārbaudes - realizācijas atbilstība formalizētām prasībām un labākajai praksei;
  • Lietotāju pārvaldības politikas un tās realizācijas novērtējumu;
  • Lietotāju kontu derīguma laiku atbilstību apstiprinātajā pieteikumā norādītajam;
  • Sistēmas izmaiņu vadības realizācijas novērtējumu;
  • Serveru konfigurācijas pārbaudes, tajā skaitā lietotāju tiesību, palaisto servisu, datu izvietošanas pārbaudes, iekļaujot infrastruktūras lietotāju tiesību pārbaudi;
  • IT infrastruktūras drošības novērtējumu;
  • Lietotņu ievainojamības un koda pārskatīšanas novērtējumu, kas jāveic, balstoties uz OWASP un OSSTMM vadlīnijām.

 Sistēmu veiktspējas un pieejamības novērtēšanas ietvaros tika realizēti šādi testi un sniegts novērtējums:

  • Dati par datu bāzu serveru noslodzi (no aparatūras un operētājsistēmu viedokļa);
  • Dati par aplikāciju serveru noslodzi  (no aparatūras un operētājsistēmu viedokļa);
  • Dati par tīkla iekārtu un tīkla savienojumu noslodzi;
  • Dati par fiksētajiem darbības traucējumiem tīkla iekārtās un savienojumos;
  • Dati par sistēmu lietojumu reālajiem atbildes laikiem (response time) no galalietotāju darbstacijām, veicot testus reālos sistēmu ekspluatācijas apstākļos.

Pēc sistēmas novērtēšanā identificēto trūkumu novēršanas saskaņā ar VRAA pieprasījumu tika veikta atkārtota sistēmas (iesniegtā nodevuma, kurā ietverti novērstie trūkumi) drošības un veiktspējas novērtēšana jeb pēcaudits.

Rezultāts

Projekta ietvaros veikti šādi darbi:

  • Drošības pārvaldības politikas un drošības procedūru novērtējums;
  • Drošības kontroles novērtēšana (datu šifrēšana, sistēmas paroļu politika, aizsardzības mehānismi, loģiskās piekļuves kontroles);
  • Sistēmu drošības novērtēšana (ielaušanās testi);
  • Sistēmu atbilstības pārbaude Latvijas Republikas tiesību aktu prasībām, tostarp arī personas datu apstrādes prasībām un starptautiskajiem standartiem (OSSTMM, OWASP, LV ISO/IEC 27001 un ISO27002);
  • Sistēmu veiktspējas novērtēšana un testēšana.

Projekta ietvaros tika vērtētas šādas informācijas sistēmas – Valsts vienotais ģeotelpiskās informācijas portāls (VVĢIP), Vienotais valsts un pašvaldību pakalpojumu portāls www. latvija.lv, Pašvaldību teritorijas attīstības plānošanas, infrastruktūras un nekustamo īpašumu pārvaldības un uzraudzības informācijas sistēma (TAPIS), Valsts informācijas sistēmas darbam ar Eiropas Savienības dokumentiem un ar dokumentiem līdz drošības līmenim „dienesta vajadzībām” (ESVIS), e-pakalpojuma „Valsts iestāžu e-konsultācijas portālā www.latvija.lv” un Elektronisko iepirkumu sistēma (EIS).


Sniegtie pakalpojumi

36 mēneši

Projekta realizācijas laiks