Να διασφαλίσει από κακόβουλες ενέργειες – κυβερνοεπιθέσεις του σύνολο του Δημοσίου Τομέα και την διασύνδεση περισσοτέρων από 34.000 κτιρίων επιχειρεί η Κοινωνία της Πληροφορίας με ένα έργο που ξεπερνά τα 2 εκατ. ευρώ.
Ειδικότερα η ΚτΠ προκήρυξε το έργο «Επόπτης Ασφάλειας και Ανάπτυξη Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) του Δικτύου Δημόσιου Τομέα – ΣΥΖΕΥΞΙΣ ΙΙ» με στόχο να εντοπίζει τις αδυναμίες του δικτύου και να παρεμβαίνει διορθώνοντας τις … «τρύπες ασφάλειας» οχυρώνοντας το Δημόσιο ώστε να μην είναι ευάλωτο σε κανενός είδους κακόβουλη επίθεση.
Ειδικότερα ο Ανάδοχος θα εκπονήσει Μελέτη Ασφάλειας του ΣΥΖΕΥΞΙΣ ΙΙ από εξωτερικά δίκτυα, προκειμένου να διασφαλιστεί ο έλεγχος ροής των δεδομένων μεταξύ των δικτύων αυτών και να προστατευτεί από κακόβουλες εξωγενείς ενέργειες. Παράλληλα θα εκπονήσει Μελέτη Αντιμετώπισης Κρίσεων και Διαχείρισης Περιστατικών Ασφάλειας που ενδεχομένως διαπιστωθούν στο ΣΥΖΕΥΞΙΣ ΙΙ αλλά και Μελέτη Εσωτερικού Ελέγχου για την ασφάλεια και την ακεραιότητα των δικτύων, των πληροφοριακών συστημάτων και των δεδομένων του ΣΥΖΕΥΞΙΣ ΙΙ, προκειμένου να διασφαλιστεί η εφαρμογή της πολιτικής ασφάλειας.
Το αντικείμενο του έργου
Το αντικείμενο του παρόντος έργου περιλαμβάνει:
(α) την «από-άκρη-σε-άκρη» διαμόρφωση και εφαρμογή μιας πολιτικής ασφάλειας για το υπό υλοποίηση δίκτυο παροχής τηλεπικοινωνιακών υπηρεσιών του Δημόσιου Τομέα «ΣΥΖΕΥΞΙΣ ΙΙ», σύμφωνα με διεθνή πρότυπα και βέλτιστες πρακτικές,
(β) τον συνεχή έλεγχο της ασφάλειας του συνόλου των αγαθών του δικτύου αυτού,
(γ) την ολοκληρωμένη υποστήριξη της Αναθέτουσας Αρχής και του Φορέα Λειτουργίας του ΣΥΖΕΥΞΙΣ, στη διαχείριση και στον έλεγχο της ασφάλειας του παραπάνω δικτύου καθώς και
(δ) τη διάθεση και λειτουργία ενός ολοκληρωμένου πληροφοριακού συστήματος, το οποίο θα προσφερθεί ως υπηρεσία στην Αναθέτουσα Αρχή και μέσω αυτού θα καταστούν δυνατά η διαχείριση και ο έλεγχος της ασφάλειας του ΣΥΖΕΥΞΙΣ ΙΙ.
Μέσα από το έργο αυτό, ο Ανάδοχος θα αποτελέσει τον Ανεξάρτητο Ελεγκτή και Σύμβουλο Ασφάλειας του ΣΥΖΕΥΞΙΣ ΙΙ, με τις ακόλουθες αρμοδιότητες. Αρχικά, θα σχεδιάσει και υλοποιήσει ένα Σύστημα Διαχείρισης της Ασφάλειας Πληροφοριών (ΣΔΑΠ) για το ΣΥΖΕΥΞΙΣ ΙΙ, το οποίο θα είναι σύμφωνο με διεθνή πρότυπα (π.χ. ISO27001, ISO27002). Το σύστημα αυτό θα πρέπει να είναι ολοκληρωμένο, ώστε να δίνει τη δυνατότητα αντιμετώπισης προβλημάτων ασφάλειας όλων των υποκείμενων υποδομών, πληροφοριακών συστημάτων και πληροφοριών, που συνιστούν το ΣΥΖΕΥΞΙΣ ΙΙ από όλες τις συνιστώσες κινδύνων που μπορεί να προκύψουν.
Επιπροσθέτως, θα πρέπει να είναι ευρέως αποδεκτό υπό την έννοια ότι έχει εφαρμοστεί και συνεχίζει να εφαρμόζεται με επιτυχία σε παρόμοια συστήματα του Δημόσιου Τομέα τόσο στην Ελλάδα όσο και σε άλλες χώρες. Επιπροσθέτως, θα πρέπει να είναι ρεαλιστικό και εφαρμόσιμο στην Ελληνική πραγματικότητα.
Στο πλαίσιο αυτό, ο Ανάδοχος του παρόντος έργου θα αναλύσει την τρέχουσα κατάσταση των υφιστάμενων δικτύων καθώς και το ευρύτερο περιβάλλον δραστηριοποίησης (όσον αφορά τις υποκείμενες τεχνολογίες, τις οργανωτικές διαδικασίες, το θεσμικό / κανονιστικό πλαίσιο, κλπ), θα προσδιορίσει και αναλύσει τους ενδεχόμενους κινδύνους, θα προσδιορίσει τις ενδεχόμενες απειλές για κάθε κατηγορία κινδύνου, θα προσδιορίσει τις ευπάθειες του δικτύου και στη συνέχεια θα προτείνει συγκεκριμένα μέτρα αντιμετώπισης αυτών, τα οποία θα περιλαμβάνονται στην πολιτική ασφάλειας που θα προταθεί, ως τμήμα του ΣΔΑΠ.
Στη συνέχεια και καθ’ όλη τη διάρκεια του έργου, θα εφαρμόσει το προαναφερθέν υιοθετημένο ΣΔΑΠ, θα παρακολουθήσει την επιτυχία του καθώς και τις ενδεχόμενες αδυναμίες που ενδεχομένως θα προκύψουν και θα προβεί στη βελτίωση του όπου χρειαστεί.
Παράλληλα, και καθ’ όλη τη διάρκεια λειτουργίας του ΣΥΖΕΥΞΙΣ ΙΙ, ο Ανάδοχος του έργου – όντας ο Ανεξάρτητος Ελεγκτής Ασφάλειας - θα παρακολουθεί σε συνεχή βάση την ασφάλεια για όλα τα υποέργα του ΣΥΖΕΥΞΙΣ ΙΙ ή τα υποστηρικτικά αυτού, προσφέροντας ένα πακέτο ολοκληρωμένων υπηρεσιών “Security Operation Center” (SOC).
Για την παρακολούθηση της ασφάλειας του ΣΥΖΕΥΞΙΣ ΙΙ, ο Ανάδοχος θα διενεργεί τακτικούς και έκτακτους ελέγχους ασφάλειας σε όλα τα συστήματα τηλεπικοινωνιών του ΣΥΖΕΥΞΙΣ ΙΙ. Για την πραγματοποίηση των ενεργειών αυτών, ο Ανάδοχος θα αντλήσει στοιχεία για τις υπηρεσίες που παρέχονται από τους Φορείς που συμμετέχουν στο ΣΥΖΕΥΞΙΣ ΙΙ και στη συνέχεια θα διενεργήσει ελέγχους ασφάλειας στο τελικώς υλοποιημένο δίκτυο ΣΥΖΕΥΞΙΣ ΙΙ, μεριμνώντας για την απρόσκοπτη παροχή των παραπάνω υπηρεσιών.
Στο πλαίσιο αυτό, ο Ανάδοχος θα ελέγχει σε συνεχή βάση εάν οι ανάδοχοι όλων των υποέργων ή έργων που συνιστούν το ΣΥΖΕΥΞΙΣ ΙΙ (και ιδιαίτερα του Υποέργου 3 της ασφάλειας) ικανοποιούν τις προβλεπόμενες προδιαγραφές ασφάλειας και εφαρμόζουν σωστά το υιοθετημένο ΣΔΑΠ, και σε περίπτωση που τα παραπάνω δεν πληρούνται θα εισηγείται μέτρα αντιμετώπισης καθώς και σχετικές ρήτρες.
Για την υποστήριξη των απαιτούμενων υπηρεσιών, αλλά και για την αποτελεσματικότερη διαχείριση και έλεγχο της ασφάλειας του ΣΥΖΕΥΞΙΣ ΙΙ, ο Ανάδοχος θα προσφέρει ως υπηρεσία ένα Ολοκληρωμένο Πληροφοριακό Σύστημα Διαχείρισης και Ελέγχου της Ασφάλειας του ΣΥΖΕΥΞΙΣ («ΟΠΣ-ΔΕΑΣ»), το οποίο θα υποστηρίξει την πραγματοποίηση του συνόλου των εργασιών που απαιτούνται από τον Ανάδοχο, συμπεριλαμβανομένης και της συνεχούς παρακολούθησης του δικτύου, έτσι ώστε να καταστεί όσο το δυνατό πιο εύκολη και πιο αυτοματοποιημένη η διαχείριση και ο έλεγχος της ασφάλειας του ΣΥΖΕΥΞΙΣ ΙΙ, καθ’ όλη τη διάρκεια λειτουργίας του ΣΥΖΕΥΞΙΣ ΙΙ.
Παράλληλα, ο Ανάδοχος - όντας επίσης ο κύριος και διαρκής σύμβουλος της Αναθέτουσας Αρχής για την ασφάλεια του ΣΥΖΕΥΞΙΣ - θα προσφέρει υπηρεσίες συμβουλής και υποστήριξης της Αναθέτουσας Αρχής και του Φορέα Λειτουργίας σε θέματα που άπτονται της ασφάλειας του ΣΥΖΕΥΞΙΣ ΙΙ, όπως υποβολή προτάσεων (οργανωτικού ή τεχνο-επιχειρησιακού χαρακτήρα) για την πρόληψη και αντιμετώπιση κακόβουλων επιθέσεων, για τη διαχείριση κρίσεων, κλπ, υποβολή εμπειρογνωμοσυνών επί των ενεργειών και παραδοτέων των αναδόχων του ΣΥΖΕΥΞΙΣ ΙΙ, που άπτονται της ασφάλειας αυτού, προετοιμασία για την πιστοποίηση του ΣΥΖΕΥΞΙΣ, σύμφωνα με διεθνή πρότυπα ασφάλειας, καθώς και ανάληψη δράσεων για την εφαρμογή των παραπάνω προτάσεων.
Καθ’ όλη τη διάρκεια του έργου, ο Ανάδοχος θα είναι υπεύθυνος για τη δομημένη και τεκμηριωμένη μεταφορά στην Αναθέτουσα Αρχή της απαραίτητης τεχνογνωσίας και εμπειρίας που θα προκύψουν από την παροχή των προαναφερθέντων υπηρεσιών. Στο πλαίσιο αυτό, ο Ανάδοχος θα πρέπει να καταγράψει, κωδικοποιήσει και καταχωρήσει στο ΟΠΣ-ΔΕΑΣ τις ενέργειες, τα συμβάντα και τις βλάβες που πιθανά θα παρουσιάζονται στο νέο δίκτυο ΣΥΖΕΥΞΙΣ ΙΙ και των φορέων, τα οποία σχετίζονται με περιστατικά ασφάλειας.
Η εκτιμώμενη αξία της σύμβασης ανέρχεται στο ποσό του €1.680.250 μη περιλαμβανομένου ΦΠΑ 24%.