Návrh výzkumné potřeby státní správy pro zadání veřejné zakázky A. Předkladatel garant výzkumné potřeby Název organizace Ministerstvo vnitra Adresa Milady Horákové 133/ Kontaktní osoba Ing. Jaroslav Scheuba Telefon Fax E-mail B. Odborný gestor výzkumné potřeby Název útvaru MV ČR, Odbor egovernmentu Adresa / Kontaktní osoba RNDr. Renáta Horáková Telefon 974816631 Fax E-mail renata.horakova@mvcr.cz Výzkumná potřeba (budoucí výzkumný projekt) 1. Název Webové stránky veřejné správy - minimalizace jejich zranitelnosti a podpora bezpečnostních prvků Hlavní obor výzkumné potřeby: IN Vedlejší obor výzkumné potřeby: JC Další vedlejší obor výzkumné potřeby: BD 2. Stručný popis výzkumné potřeby, která se má řešit STRANA 1 (CELKEM 6)
Informační systémy dnes představují nezbytnou podmínku pro fungování veřejné správy. Webové stránky jsou hlavní vstupní branou pro komunikaci a poskytování aktuálních informací občanům a mohou sloužit i k informování v době havarijních a krizových stavů v daném území. Narůstající množství informací i jejich význam však klade stále větší význam na zabezpečení webových stránek tak, aby se nemohly stát snadným cílem hackerů a byly následně pozměněny např. tak, že by občanům poskytovaly nepravdivé informace. Zejména na úrovni územní samosprávy (především malých měst a obcí) jsou webové stránky vytvářeny bez provedení základních bezpečnostních testů odhalujících slabá místa. Důvodem absence těchto testů je jejich jak odborná, tak finanční náročnost (zejm. s ohledem na cenu vytvoření a správu stránek). Dobře zabezpečené webové stránky však zajišťují i ochranu vnitřní sítě úřadu a uložených dat a jejich případného zneužití. Výkon veřejné správy v České republice zajišťuje 6254 obcí, 13 krajů a 29 ústředních orgánů státní správy (dále ÚSU). Z těchto základních skupin je nutné vybrat vhodný vzorek webových stránek, které budou podrobeny analýze jejich zabezpečení. Dle předběžného odhadu je vhodné vybrat 3 subjekty z ÚSU, 2 subjekty z krajů, 4 subjekty typu obce s rozšířenou působností, 8 obcí s pověřeným úřadem. 10 obcí s počtem obyvatel do 2000, 10 obcí s počtem obyvatel od 1000 do 2000 a 30 obcí (nejpočetnější skupina) s počtem do 1000 obyvatel. Celkem bude podrobeno analýze 67 webových prezentací orgánů veřejné správy, což činí cca 1% z celkového počtu. Vy výběru analytického vzorku je nezbytné dbát na výběr webových stránek, které jsou realizovány různými dodavateli. Cílem výzkumného projektu je vytvoření metodiky bezpečného provozování internetových stránek a vytvoření souhrnu doporučení v podobě tzv. best practices. 3. Kategorie činnosti (aplikovaný výzkum, experimentální vývoj) Aplikovaný výzkum 4. Vazba na hlavní cíl programu BETA V souladu s hlavním cílem programu BETA se výzkumný projekt zaměřuje především na aplikaci bezpečnostních prvků webových prezentací korespondující se stávající celosvětovou metodikou a zároveň s legislativou v oblasti kybernetické bezpečnosti. Realizací tohoto projektu bude podpořena a zároveň i inovována stávající praxe tvorby webových prezentací v oblasti veřejné správy. 5. Vazba na jeden ze specifických cílů programu BETA Projekt plně odpovídá potřebě Ministerstva vnitra v oblasti odborného, legislativního a právního rozvoje informačních systémů veřejné správy 6. Cíl(e) Cílem výzkumného projektu je vytvoření metodiky bezpečného provozování internetových stránek jak z hlediska obsahu samotných bezpečnostních prvků na webové stránce (front-end), ale také z hlediska správného nastavení dílčích parametrů webového serveru (back-end) včetně doporučení vhodné architektury. Metodika bude také obsahovat technická doporučení a pracovní postupy k zajišťování průběžných bezpečnostních testů, tzv. best practices. V souladu se specifickým cílem MV programu Beta je navrhováno řešení následujícího projektu, který se zaměří na: identifikaci nejčastějších bezpečnostních rizik a návrh možností na jejich odstranění. V této souvislosti by měl projekt zahrnout jak již známé zranitelnosti, jako je např. room-0 či Heartbleed (Krvácející srdce), ale rovněž případné nové zranitelnosti, které se vyskytnout v průběhu řešení STRANA 2 (CELKEM 6)
projektu specifikaci minimálních požadavků na tvorbu nových webových stránek a integrování nových bezpečnostních prvků a nástrojů do stávajících webových stránek orgánů veřejné správy návrh na zvýšení zabezpečení webových prezentací a portálových řešení orgánů a souvisejících systémů (včetně DNS) orgánů veřejné správy návrh na zabezpečení vnitřních sítí orgánů veřejné správy s cílem identifikovat zejména slabá místa s ohledem na připojení těchto sítí (systémů) ke klíčovým projektům egovernmentu návrh doporučující architektury kompletního řešení pro publikaci webových stránek s důrazem na bezpečnost vnitřní sítě úřadu 7. Potřebnost Potřebnost projektu vyplývá především z rostoucího významu Internetu, množství informací zveřejňovaných na webových stránkách a význam, který těmto informacím uživatelé přikládají. Ruku v ruce s rozšiřování Internetu a jeho využívání však jde bohužel rovněž počítačová kriminalita, kdy existují skupiny útočníků (hackerů) vyhledávajících snadno odhalitelné bezpečnostní chyby a následně webové stránky napadnou a např. pozmění jejich obsah nebo využijí těchto stránek k šíření malwaru do počítačů návštěvníků zákazníků veřejné správy. Evropská strategie Digitální agenda pro Evropu v jednom ze svých klíčových opatření upozorňuje na problém počítačové kriminality a nízké důvěry v sítě, která následně vede k nižšímu využívání služeb egovernmentu. Vedle přímých škod, které mohou způsobit útočníci napadením stránek, pak vznikají i nepřímé škody způsobené tím, že dané stránky (služby) někteří uživatelé nevyužívají. Výsledky projektu budou využity především k posílení bezpečnosti (a tím i důvěryhodnosti) webových stránek veřejné správy a posílení tak role egovernmentu v ČR. 8. Požadované výsledky a předpokládané výstupy Požadovaným výsledkem bude jednak písemně zpracovaná zpráva z výzkumné činnosti, která bude syntetizovaně popisovat analýzu současného stavu náhodně vybraných subjektů v odpovídajícím počtu z definovaných kategorií (3 subjekty z ÚSU, 2 subjekty z krajů, 4 subjekty typu obce s rozšířenou působností, 8 obcí s pověřeným úřadem. 10 obcí s počtem obyvatel do 2000, 10 obcí s počtem obyvatel od 1000 do 2000 a 30 obcí s počtem do 1000 obyvatel.) V rámci projektu dodavatel po analýze každé webové prezentace / portálu posuzovaného subjektu zpracuje zprávu o provedené analýze včetně návrhů doporučení na konkrétní úpravy, které povedou ke zlepšení bezpečnosti analyzovaných webových stránek subjektu. Vznikne tak 67 samostatných dokumentů. Výstupem projektu pak bude Nmet certifikovaná metodika Certifikovaná metodika jako "best practices" pro veřejnou správu v oblasti bezpečnosti webových stránek a minimalizace útoků do vnitřní sítě úřadu, která doporučí územně samosprávným celkům vhodnou formou realizovat a případně upravit a zabezpečit jejich stávající připojení do internetové sítě a dále doporučí vhodné formy bezpečnostních prvků jejich webových prezentací, tak aby byly minimalizovány případné hackerské útoky ze zneužití webových stránek pro podvodné aktivity. Metodika by měla být napsána pupolarizační formou, aby byla čitelná i pro laika, který na základě tohoto materiálu bude schopen dostatečně erudovaně požadovat po subjektu, který zabezpečuje STRANA 3 (CELKEM 6)
chod webových stránek a připojení do Internetu, realizaci doporučených opatření. Metodika kromě základního popisu technického řešení musí obsahovat i věcné a personálně organizační doporučení a technická doporučení a pracovní postupy k zajišťování průběžných bezpečnostních testů, které si budou moci realizovat samotní kompetentní zaměstnanci úřadů / správci webových prezentací. 9. Způsob využití výsledků v praxi Výsledky výzkumného projektu budou ve formě zpracované metodiky distribuovány na všechny územně samosprávné celky a další orgány veřejné správy. Dále bude dostupné v zabezpečeném prostředí na portálu veřejné správy, kde si budou moci zástupci orgánů veřejné správy metodiku kdykoliv stáhnout k vlastnímu použití. Dále výsledky budou průběžně promítány do zvýšení bezpečnosti webových stránek veřejné správy v rámci provádění interních kontrol. Výstupy budou také sloužit jako podklad pro novelizaci legislativních a nelegislativních dokumentů, které jsou v gesci Ministerstva vnitra. 10. Očekávaný přínos Projekt s danou specifickou tématikou nebyl v České republice dosud realizován. Přínosem projektu bude především zvýšení zabezpečení webových stránek veřejné správy a tím i jejich důvěryhodnosti, kdy projekt si klade za cíl odhalit bezpečnostní chyby dříve, než je odhalí potencionální útočníci a zároveň analýzou nejčastějších chyb a tvorbou následných doporučení formou osvěty přispět k vyšší bezpečnosti webových stránek. Nezanedbatelným přínosem pak bude rovněž eliminace finančních ztrát vzniklých potencionálními útoky. Díky soubornému dokumentu koncipovaného do metodiky si budou moci i méně zdatní úředníci v oblasti bezpečnosti webových prezentací ověřit, případně po dodavateli webových stránek, požadovat naplnění ochranných prvků a nastavení webového serveru tak, aby splňoval bezpečnostní kritéria. 11. Uživatel výsledků, další uživatelé výsledků územně samosprávné celky, veřejná správa, ministerstvo vnitra 12. Předpokládaná doba řešení 12 13. Předpokládaná cena 1 485 000 Kč 14. Vysvětlení předpokládané ceny Celkem bude podrobeno analýze 67 webových prezentací orgánů veřejné správy. Na základě předcházejících zkušeností a zároveň dle informací z informačního systému MPSV v oblasti regionální statistiky ceny práce - Hlavní město Praha pro specialisty (analytiky) v oblasti informačních systémů v nepodnikatelské sféře ve 4. kvartálu roku 2014, jejichž průměrná denní odměna je vypočítána na 1.485,- Kč (MD) odhadujeme průměrnou délku zpracování analýzy webových stránek jednoho subjektu na 10 MD, tedy v průměru za 14.850,-, zaokrouhleno na 15.000,- Kč. V součtu je na analytickou část požadována částka 1.005.000,- Kč. Na syntézu výsledků z provedených analýz a zpracování metodiky s uvedením požadovaných doporučení reflektující stávající trendy v bezpečnosti informačních systémů a připojení do internetu, včetně nákladů na konzultace a vypracování jednotlivých doporučení pro analyzované webové stránky subjektů, je cena odhadována opět dle vlastních zkušeností a na základě informací z informačního systému MPSV, kde průměrná denní odměna pro řídícího pracovníka v oblasti STRANA 4 (CELKEM 6)
informačních a komunikačních technologií v nepodnikatelské sféře ve 4. kvartálu roku 2014 je vypočítána na 2.384,- Kč (MD) zaokrouhleno na 2.400,- Kč. Na zpracování veškerých požadovaných výstupů odhadujeme zpracování v délce 200 MD, tedy celkově 480.000,- Kč. Ceny jsou uvedeny jako konečné, tedy s DPH. 15. Kvalifikační předpoklady TECHNICKÉ KVALIFIKAČNÍ PŘEDPOKLADY Požadujeme, aby dodavatel prokázal níže uvedenou odbornou kvalifikaci u min. 3 osob, které se budou podílet na realizace dodávky: 1 člen dodavatelského týmu má vysokoškolské vzdělání se zaměřením na informační systémy a technologie minimálně v magisterském studijním programu, s prokazatelnou zkušeností se zajišťováním služeb obdobných předmětu plnění této veřejné zakázky po dobu 3 let. Další člen dodavatelského týmu má vysokoškolské vzdělání se zaměřením na informační systémy a technologie minimálně v magisterském studijním programu v oblasti bezpečnost informačních a telekomunikačních systémů, s prokazatelnou zkušeností se zajišťováním služeb obdobných předmětu plnění této veřejné zakázky po dobu 3 let. Další člen dodavatelského týmu má vysokoškolské vzdělání se zaměřením na informační systémy a technologie minimálně v bakalářském studijním programu v oblasti webového inženýrství, s prokazatelnou zkušeností se zajišťováním služeb obdobných předmětu plnění této veřejné zakázky po dobu 3 let. Způsob prokázání splnění tohoto kvalifikačního předpokladu: Dodavatel prokáže splnění tohoto kvalifikačního předpokladu předložením strukturovaných profesních životopisů, kopií dokladů o vzdělání osob, které se budou podílet na plnění předmětu veřejné zakázky bez ohledu na to, zda jde o zaměstnance dodavatele nebo osoby v jiném vztahu k dodavateli (týká se i subdodavatelů), z nichž bude vyplývat, že osoby splňují výše uvedené požadavky zadavatele a že se budou podílet na realizaci veřejné zakázky, dle vymezené úrovně tohoto kvalifikačního předpokladu. Strukturovaný profesní životopis musí obsahovat u každé osoby: jméno a příjmení, nejvyšší dosažené vzdělání, dosavadní praxi v oboru předmětu veřejné zakázky. V případě předložení dokladů o vzdělání v latině nebo v anglickém jazyce není vyžadován úřední překlad do českého jazyka. Součástí kvalifikačních předpokladů požadujeme předložit od dodavatele seznam min. 30 služeb realizovaných v oblasti testování zranitelnosti webových stránek veřejné správy v posledních 3 letech. 16. Doplňující informace Datum: Klepněte sem a zadejte datum. STRANA 5 (CELKEM 6)
Kontaktní osoba předkladatele Klepněte sem a zadejte text. Odpovědná osoba předkladatele Klepněte sem a zadejte text. Podpis kontaktní osoby předkladatele Podpis odpovědné osoba předkladatele STRANA 6 (CELKEM 6)