Corporate Consulting

Informācijas sistēmu drošības un veiktspējas audits


Nozare: Valsts un pašvaldības


Valsts ieņēmumu dienesta informācijas sistēmu drošības un veiktspējas testēšana

Klients: 
Valsts ieņēmumu dienests

Uzdevums

Projekta ietvaros tika veikta VID informācijas sistēmu drošības un veiktspējas novērtēšana un dokumentācijas izstrāde. 

Sistēmu drošības novērtēšanai veicām pārbaudāmo sistēmu novērtēšanu atbilstoši šādiem standartiem un metodikām:

  • LVS ISO/IEC 27001 „Informācijas tehnoloģija. Drošības metodika. Prakses kodekss informācijas drošības pārvaldībai”;

  • LVS ISO/IEC 17799:2002 „Informācijas tehnoloģija – Drošības paņēmieni – Prakses kodekss informācijas drošības pārvaldībai; vai jaunākas standarta versijas vai tā starptautiskās versijas ISO-17799”;

  • LVS ISO/IEC 27002 „Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas”;

  • LVS ISO/IEC 15408:2005 „Informācijas tehnoloģija. Drošības metodika. IT drošības izvērtēšanas kritēriji”;

  • OWASP (Open Web Application Security Project) testēšanas vadlīnijas (OWASP Testing Guide);

  • OWASP koda pārskatīšanas vadlīnijas (OWASP Code Review Guide);

  • Atvērtā koda drošības testēšanas metodikas rokasgrāmata OSSTMM (Open Source Security Testing Methodology Manual).

 

Sistēmu veiktspējas un pieejamības novērtēšanai veicām analīzi šādos aspektos:

  • Reālo sistēmas lietojumu atbildes laiku noteikšana:
    • ietilpības testa maksimālais lietotāju skaits;
    • serveru un tīkla infrastruktūras darbības parametri, sasniedzot maksimālo lietotāju skaitu;
    • testa plānā definēto transakciju izpildes ātruma izmaiņas;
    • testa plānā definēto lietojuma reakcijas laika izmaiņas.
  • Serveru noslodzes līmeņu noteikšana šādos sistēmas lietošanas režīmos:
    • ikdienas datu apstrādes laikā;
    • atskaišu veidošanas laikā;
    • datu analīzes laikā.
  • Identificējām sistēmas problēmu vietas (bottle-neck),  piemēram: lietotāju darbstacijas, datortīkls, aplikāciju serveri, datu bāzu serveri, vairākos sistēmas lietošanas režīmos (ikdienas datu apstrādes laikā, atskaišu veidošanas laikā, datu analīzes laikā).

Rezultāts

Projekta gaitā nodrošinājām VID informācijas sistēmu regulāru, neatkarīgu drošības pārvaldības, infrastruktūras drošības, informācijas sistēmu ievainojamības un veiktspējas novērtējumu.

Apkopojot testu laikā iegūtos rezultātus, sniedzām izvērtēto informācijas sistēmu vispārējo novērtējumu – izvērtējuma kopsavilkumu (t.sk. informācijas sistēmas arhitektūras, izstrādes, darbināšanas vides izvērtējumu). Detalizēti aprakstījām atklātās kļūdas, trūkumus un nepilnības (apkopojot protokolos detalizētu informāciju) – katram norādot:

  • Riska definīciju un trūkuma izmantošanas iespēju aprakstu;
  • Riska pakāpes novērtējumu;
  • Rekomendācijas situācijas uzlabošanai šādās jomās:
    • sistēmas arhitektūra;
    • izmantotās tehnoloģijas un programmatūra (t.sk. versijas un funkcionalitāte);
    • procesi (uzturēšanas, izstrādes, pārvaldības utt.);
    • cilvēkresursi (papildus resursu iesaistīšanas nepieciešamība, pienākumu nodalīšana utt.).

Papildus sniedzām vispārīgas rekomendācijas informācijas sistēmas drošības un veiktspējas līmeņa paaugstināšanai - t.sk. informācijas sistēmas arhitektūrā, izstrādē un darbināšanā pielietoto tehnoloģiju jomā.


Sniegtie pakalpojumi

36 mēneši

Projekta realizācijas laiks