Открытый конкурс на выполнение работ по проведению независимого анализа защищенности государственных информационных систем (поиск уязвимостей периметра, проведение тестирования на проникновение), включая мобильные приложения, объявлен Минцифры в среду.
Начальная максимальная цена контракта составляет 337,37 миллиона рублей.
Как сказано в техзадании, работы будут выполняться на территории исполнителя контракта и объектах федеральных органов исполнительной власти Российской Федерации, а также их подведомственных организаций, расположенных на территории РФ, в которых будет предоставлен доступ к ГИС. Сроки выполнения работ – с даты заключения государственного контракта до 1 июля 2023 года.
Победителю конкурса предстоит решить следующие задачи:
- выявление и консолидация стратегических рисков информационной безопасности ГИС;
- сбор информации о системах защиты информации ГИС;
- совершенствование и актуализация методики проведения анализа защищённости ГИС;
- выявление существующих недостатков в инфраструктурных, архитектурных и организационных решениях анализируемых ГИС, влияющих на их информационную безопасность;
- выявление уязвимостей в ГИС, которые могут быть использованы внешними и внутренними нарушителями для осуществления несанкционированных действий, направленных на нарушение свойств конфиденциальности, целостности, доступности обрабатываемой в ГИС информации, а также на нарушение штатного функционирования технических средств обработки информации, входящих в состав ГИС;
- выявление недостатков применяемых средств защиты информации и программного обеспечения ГИС, а также оценка возможности их использования нарушителем;
- проверка практической возможности использования уязвимостей (на примере наиболее критических);
- получение оценки текущего уровня защищённости ГИС на основе объективных свидетельств;
- получения оценки возможности недопустимых событий для процессов ГИС;
- разработка рекомендаций по повышению уровня информационной безопасности ГИС по результатам выполненных работ;
- разработка рекомендаций по устранению выявленных уязвимостей и недостатков защищённости ГИС;
- разработка рекомендаций по использованию дополнительных защитных механизмов и программных средств по установке необходимых обновлений для используемого программного обеспечения;
- разработка рекомендаций по устранению возможности эксплуатации критически опасных уязвимостей.
Подобный закрытый конкурс стоимостью почти 150 миллионов уже был проводился Минцифры в прошлом году, его результаты на сайте госзакупок не опубликованы, но указано, что «определение поставщика завершено».
Напомним, что в мае начался эксперимент по повышению уровня защищённости ГИС ФОИВ. Эксперимент проводится в период с 16 мая 2022 года по 30 марта 2023 года.