Этичные хакеры проверят системы Национальной службы здравоохранения
Национальная служба здравоохранения проверит безопасность своих информационных систем: аудиторы должны будут искать уязвимости, тестировать защиту и оценить, насколько надежно работают системы, через которые проходят данные и расчеты за медицинские услуги.
Национальная служба здравоохранения (NVD) объявила закупку на проведение аудита безопасности системы расчетов за услуги здравоохранения «Система управленческой информации» и других информационных систем, находящихся в ведении службы. Об этом свидетельствует информация на сайте Бюро по надзору за закупками и в положении о закупке.
Предполагаемая договорная цена закупки не превышает 41 990 евро без налога на добавленную стоимость. Предложения можно подать до 25 июня, 10:00.
Цель закупки — обеспечить оценку безопасности и производительности информационных систем, находящихся в ведении NVD. В том числе планируется проверить их соответствие требованиям безопасности информационно-коммуникационных технологий, возможные уязвимости и производительность систем.
Основным объектом проверки указана система расчетов за услуги здравоохранения «Система управленческой информации». Одновременно NVD предусматривает возможность при необходимости включить в аудит и другие информационные системы, компоненты или элементы инфраструктуры, находящиеся в ведении службы.
В рамках аудита планируется провести внешние и внутренние тесты на проникновение, сканирование уязвимостей, проверку конфигурации, аудит прав доступа и пользовательских ролей, тестирование производительности и нагрузки, оценку архитектуры безопасности, проверку создания и хранения резервных копий, а также оценку безопасности механизмов передачи данных.
Исполнитель также должен будет предоставить рекомендации по устранению выявленных недостатков, разработать приоритетный план действий по устранению уязвимостей и по запросу NVD провести повторную проверку критических уязвимостей и уязвимостей высокого риска после их устранения.
В технической спецификации предусмотрено, что проверки должны проводиться в соответствии с минимальными требованиями к кибербезопасности, общими техническими требованиями к информационным системам и лучшей практикой отрасли, включая международно признанные стандарты и методологии.
Претенденты должны обеспечить участие руководителя проекта, этичного хакера, аудитора по кибербезопасности и программиста или тестировщика для тестов производительности. Претендент должен быть зарегистрирован в списке аудиторов кибербезопасности Комитета по надзору за цифровой безопасностью.
Срок действия договора — до 31 декабря этого года или до полного выполнения всех обязательств.
