Тендери

Проведення цифрового безпекового аудиту ГО «СТАН»

Проведення комплексного аудиту цифрової безпеки організації, включно з аудитом Google Workspace / Google Drive, вебсайту організації, домену, поштової інфраструктури, облікових записів, прав доступу, внутрішніх процесів роботи з даними та базових політик інформаційної безпеки.

Технічне завдання на проведення цифрового безпекового аудиту ГО «СТАН»

1. Назва послуги

Важливо, щоб рекомендації були реалістичними до впровадження неприбутковою організацією (в плані бюджету та спроможності).

2. Мета аудиту

Метою аудиту є оцінка поточного стану цифрової безпеки організації, виявлення критичних ризиків, вразливостей і слабких місць у роботі з цифровими інструментами, а також підготовка практичного плану покращення безпеки з чіткою пріоритизацією дій.

Аудит має допомогти організації:

зменшити ризик несанкціонованого доступу до облікових записів, документів, сайту та внутрішніх даних;
захистити персональні, фінансові, програмні, партнерські та чутливі дані;
упорядкувати доступи в Google Drive / Google Workspace;
підвищити безпеку вебсайту та доменної інфраструктури;
перевірити готовність організації до інцидентів: зламу акаунту, втрати доступу, витоку документів, компрометації сайту;
сформувати дорожню карту з реалістичними кроками на 1–3 місяці, 3–6 місяців і 6–12 місяців.

3. Обсяг аудиту

3.1. Аудит Google Workspace / Google Drive

Підрядник має перевірити:

адміністративні облікові записи;
кількість super admin / admin акаунтів;
наявність і коректність двофакторної автентифікації;
ризики спільного використання акаунтів;
налаштування відновлення доступу;
застарілі, неактивні або небезпечні акаунти;
права доступу до Google Drive;
структуру папок і Shared Drives;
наявність файлів, відкритих “для всіх за посиланням”;
доступи зовнішніх користувачів;
доступи колишніх працівників, підрядників, волонтерів, партнерів;
розмежування доступів за ролями;
чи зберігаються робочі документи в особистих дисках замість Shared Drives;
ризики втрати файлів при звільненні працівників;
політики зовнішнього поширення документів;
наявність журналів активності та можливість відстежувати зміни.

Google прямо вказує, що адміністратори можуть керувати Shared Drives, налаштуваннями доступу, зовнішнім поширенням і переглядати активність користувачів; також Admin Console має audit and investigation tool для перегляду активності користувачів і адміністраторів.

Очікуваний результат

Підрядник має підготувати:

карту доступів;
перелік критичних ризиків у Google Drive;
список файлів / папок / дисків із небезпечними правами доступу;
рекомендації щодо структури Shared Drives;
правила надання, перегляду та відкликання доступів;
рекомендації щодо MFA / 2FA (2-факторна і мульти факторна автентифікація);
рекомендації щодо облікових записів адміністраторів.

3.2. Аудит сайту організації

Підрядник має перевірити:

CMS WordPress;
версії CMS, тем, плагінів, модулів;
наявність застарілих або вразливих компонентів;
адміністративні акаунти сайту;
паролі та MFA для адміністраторів, якщо підтримується;
права користувачів сайту;
налаштування резервного копіювання;
наявність SSL/TLS;
безпеку форм на сайті;
ризики SQL injection, XSS, CSRF та інших типових вебвразливостей;
налаштування завантаження файлів;
захист адмін-панелі;
наявність web application firewall, якщо застосовується;
логування входів і змін;
ризики публічного доступу до службових файлів;
наявність політики конфіденційності, cookie notice, форм згоди на обробку даних.

Очікуваний результат

Підрядник має підготувати:

технічний звіт щодо безпеки сайту;
перелік вразливостей із рівнем критичності;
рекомендації для розробника / адміністратора сайту;
список швидких виправлень;
план оновлення CMS, плагінів, тем, доступів;
рекомендації щодо резервного копіювання та відновлення сайту.

3.3. Аудит домену, пошти та DNS

Підрядник має перевірити:

хто має доступ до реєстратора домену;
чи є MFA на акаунті реєстратора;
хто має доступ до DNS;
чи є ризик втрати контролю над доменом;
захист від підміни домену;
ризики фішингу від імені організації;
налаштування поштових акаунтів;
права адміністраторів пошти;
процедуру відновлення доступу до домену та пошти.

Очікуваний результат

Підрядник має підготувати:

оцінку безпеки домену;
рекомендації щодо захисту DNS;
план захисту організації від email spoofing та фішингу;
рекомендації щодо зберігання доступів до домену.

3.4. Аудит облікових записів і доступів

Підрядник має перевірити:

хто має доступ до критичних сервісів організації;
які сервіси використовуються: Google, сайт, хостинг, домен, соцмережі, Meta Business, YouTube, бухгалтерські сервіси, банки, платіжні системи, email-маркетинг, хмарні сховища, месенджери, грантові портали;
чи є єдиний реєстр сервісів і відповідальних осіб;
чи є спільні логіни;
чи є акаунти колишніх працівників;
чи є персональні акаунти замість корпоративних;
чи використовується менеджер паролів;
чи є MFA для критичних акаунтів;
чи є процедура термінового відкликання доступу.

Очікуваний результат

Підрядник має підготувати:

реєстр критичних цифрових сервісів;
матрицю доступів;
перелік ризикових акаунтів;
рекомендації щодо ролей і рівнів доступу;
процедуру надання та відкликання доступів;
чеклист звільнення / завершення співпраці з працівником, підрядником, волонтером.

3.5. Аудит роботи з даними

Підрядник має перевірити:

які типи даних збирає організація;
чи є персональні дані бенефіціарів, партнерів, донорів, працівників;
чи є чутливі дані;
де ці дані зберігаються;
хто має доступ до таких даних;
чи передаються дані третім сторонам;
чи є правила зберігання, видалення та архівування;
чи є ризик надмірного збору даних;
чи є шаблони згоди на обробку персональних даних;
чи є політика конфіденційності;
чи є розділення між публічними, внутрішніми, конфіденційними та чутливими документами.

Очікуваний результат

Підрядник має підготувати:

класифікацію даних організації;
рекомендації щодо зберігання та доступу (реалістичне до впровадження відповідні до спроможності неприбуткової громадської організації);
правила роботи з персональними та чутливими даними;
рекомендації щодо мінімізації збору даних;
шаблон політики зберігання і видалення даних.

3.6. Аудит резервного копіювання та відновлення

Підрядник має перевірити:

чи є резервні копії;
як часто вони створюються;
де вони зберігаються;
хто має доступ до резервних копій;
чи є резервні копії критичних документів;
чи є план відновлення у випадку втрати доступу до Google Drive;
чи є план відновлення у випадку зламу сайту;
чи є план відновлення у випадку втрати домену / пошти.

Очікуваний результат

Підрядник має підготувати:

оцінку наявної системи backup;
рекомендації щодо резервного копіювання;
мінімальний disaster recovery plan;
чеклист відновлення після інциденту.

3.7. Аудит внутрішніх політик і процедур

Підрядник має перевірити наявність або відсутність:

політики інформаційної безпеки;
політики управління доступами;
політики паролів і MFA;
політики використання Google Drive;
політики роботи з персональними даними;
політики використання особистих пристроїв;
процедури реагування на інциденти;
процедури повідомлення про інцидент;
процедури onboarding / offboarding;
інструкції для працівників щодо фішингу;
інструкції щодо безпечної роботи з документами;
інструкції щодо роботи з чутливими даними.

ISO/IEC 27001

Очікуваний результат

Підрядник має підготувати:

перелік відсутніх або слабких політик;
рекомендовану структуру політик;
мінімальний пакет документів для організації;
шаблони ключових процедур;
рекомендації щодо впровадження політик у команді.

4. Пріоритетність завдань

Пріоритет 1. Критично важливі завдання

Це має бути виконано обов’язково.

Напрям	Завдання
Google Workspace	Перевірити admin / super admin акаунти, MFA, неактивні акаунти, права доступу
Google Drive	Виявити публічно доступні файли, ризикові зовнішні доступи, доступи колишніх працівників
Сайт	Перевірити CMS, плагіни, адмін-доступи, SSL, резервні копії, критичні вебвразливості
Домен і DNS	Перевірити доступи до домену, DNS, пошти, SPF / DKIM / DMARC
Акаунти	Скласти реєстр критичних сервісів і відповідальних осіб
Дані	Визначити, де зберігаються персональні / чутливі дані і хто має до них доступ
Інциденти	Підготувати мінімальний план дій у разі зламу акаунту, сайту або витоку документів
Результат	Надати звіт із критичними ризиками та планом виправлень на 30 днів

Пріоритет 2. Дуже важливі завдання

Напрям	Завдання
Google Drive	Розробити рекомендовану структуру Shared Drives
Доступи	Підготувати матрицю ролей і доступів
Політики	Розробити базову політику інформаційної безпеки
Персональні дані	Підготувати правила зберігання, передачі та видалення даних
Команда	Провести коротке навчання для працівників
Фішинг	Підготувати інструкцію з розпізнавання фішингу
Пристрої	Оцінити ризики використання особистих ноутбуків і телефонів
Backup	Підготувати політику резервного копіювання
Результат	Надати дорожню карту покращень на 3–6 місяців

Це бажано включити в основний обсяг, якщо дозволяє бюджет.

5. Очікувані результати роботи підрядника

Підрядник має надати:

Вступний документ із методологією аудиту.
Реєстр цифрових активів організації.
Карту критичних сервісів і відповідальних осіб.
Матрицю доступів до основних сервісів.
Звіт щодо Google Workspace / Google Drive.
Звіт щодо сайту, хостингу, CMS, плагінів і вебризиків.
Звіт щодо домену, DNS і поштової безпеки.
Оцінку роботи з персональними та чутливими даними.
Оцінку резервного копіювання та відновлення.
Risk register — таблицю ризиків із рівнем критичності.
План швидких виправлень на 30 днів.
Дорожню карту покращень на 3–6 місяців.
Дорожню карту розвитку цифрової безпеки на 6–12 місяців.
Мінімальний incident response plan.
Рекомендації щодо політик і процедур.
Коротку презентацію для керівництва.
Практичний чеклист для команди.
Фінальну консультацію / презентацію результатів.