מכרז חדש של הדואר: סקר סיכוני אבטחת מידע וסייבר לבחינה כוללת של תהליכים ומערכות מחשוב, תשתיות תקשורת מחשבים, ציוד תקשורת ואבטחה פיזית וכן למתן שירותי מומחה שוטפים ביישום המלצות הסקר לאחר הגשת ממצאי הסקר

חברת דואר ישראל פירסמה מכרז חדש: סקר סיכוני אבטחת מידע וסייבר לבחינה כוללת של תהליכים ומערכות מחשוב, תשתיות תקשורת מחשבים, ציוד תקשורת ואבטחה פיזית וכן למתן שירותי מומחה שוטפים ביישום המלצות הסקר לאחר הגשת ממצאי הסקר (אופציה השמורה לחברת הדואר על פי שיקול דעתה). התאריך האחרון להגשת הצעות הוא 6 בדצמבר 2022.

“המציע אשר הצעתו תקבע כזוכה במכרז זה יחל בביצוע הסקר יחל מיד לאחר קבלת הזמנה חתומה מחברת דואר ישראל ויסיים את ביצוע הסקר בתוך ולא יאוחר מחמישה חודשים מעת תחילת ביצועו. לאחר גמר עריכת הסקר תוארך תקופת ההתקשרות לתקופה של שנה נוספת בכל פעם, עד שלוש תקופות נוספות סך הכול, לצורך מתן שירותי מומחה ליישום המלצות הסקר ותיקון הליקויים (בהיקף מוערך של כ- 1,400 שעות מומחה סך הכל),  אלא אם הודיעה חברת הדואר למומחה על אי רצונה בהארכת תקופת ההתקשרות.

“למען הסר ספק מובהר בזה כי מספר שעות המומחה המפורט הינו בגדר הערכה ואומדן בלבד וכי חברת הדואר תהא רשאית להקטין או להגדיל את מספר שעות המומחה לפי שיקול דעתה המוחלט, בהתאם לצרכיה ואילוצי תקציבה”.

רקע: הדואר (כולל בנק הדואר) מפעילה מערך תקשובי מורכב ומבוזר לצורך אספקת שירותי מחשוב ותקשורת להפעלת הארגון ולמתן שירותיה לציבור. שירותי מחשוב אלו ניתנים לכלל עובדי החברה הפזורים בכל רחבי הארץ וכן ללקוחות חברת הדואר בארץ ובחו”ל.

“מערך התקשוב כולל עשרות מערכות ממוחשבות, הממוקמות ברשת הדואר ובפתרונות ענן ומובייל, וכוללות מידע בעל ערך עסקי, תפעולי ופיננסי, הנוגע ישירות להגנת הפרטיות ולמידע אסטרטגי עבור חברת הדואר. המערך מבוסס על שתי רשתות עיקריות נפרדות (רשת הדואר,  רשת בנק הדואר), כאשר חדר השרתים (DC) הינו חדר משותף עם איזורים נפרדים.

“מערך מחשובי זה תומך בהפעלת כל מערך יחידות הדואר (מטה, בתי דואר, סניפים וסוכנויות) שבמסגרתם ניתנים השירותים הכספיים של בנק הדואר, שירותי סחר מקוון ושירותים נוספים, וכן עבור דוורים, שליחים, וספקים ולקוחות עסקיים נוספים.

“כמו כן ניתנים שירותים ממוחשבים של דואר ישראל לציבור באמצעות פתרונות ענן ומובייל ואתרי אינטרנט, לרבות גישה למידע בתחומים מגוונים בהם פועלת החברה (כגון: שירות דואר אלקטרוני מנוהל, מעקב על פריטי דואר שנמסרו למשלוח, קבלת מידע מרשם החברות, קבלת מידע מלשכות רישום המקרקעין, וכדומה).

“מטרות הסקר:

+ לבחון באופן מקיף בראיית תוקף חיצוני ופנימי, על- פי מגמות תקיפה בעולם ותחום הפעילות של חברת הדואר, את רמת אבטחת המידע, לרבות מערכות המחשוב, פתרונות ענן וקישוריות למערך המחשוב ברשת הדואר, ובכלל זה מערכות תקשורת, תשתיות, מערכות ורכיבי אבטחת מידע, מערכות יישומיות נבחרות, את התהליכים ואת הפעילויות התפעוליות והעסקיות הקשורות בהן;

+ לבחון את מדיניות ונהלי אבטחת המידע, ואת אמצעי אבטחת המידע הקיימים בהיבטים טכנולוגיים ופיזיים, ואת אופן יישומם, תוך התייחסות לתאימות לתקנות חוק ורגולציה;

+ להמליץ על דרכים לתיקון הליקויים, להעלאת רמת אבטחת המידע הכוללת לסטנדרט גבוה כמקובל במערכות עסקיות דומות, תוך שקלול רמות הסיכון ומורכבות הטיפול.

“במסגרת הסקר יבדקו כל רובדי מערכות המחשוב, התשתיות והתקשורת בחברת הדואר ובבנק הדואר, קיום ואפקטיביות האמצעים הנדרשים לאבטחה, אופן השימוש בהם והתאמתם לתהליכי העבודה והסביבה התפעולית וגיבוי האמצעים בהוראות הפעלה ונהלים.

“הסקר יבוצע על סביבת חברת הדואר, ועל סביבת בנק הדואר, ואבטחת הקישור ביניהם. בכל מקרה בו לא מפורט מספר/כמות, הבדיקה תעשה לכל הפחות על מערכת/רכיב אחד בכל סביבה.

“במסגרת הסקר יועברו למומחה כ- 20 דו”חות ביקורת שנערכו בידי מבקר חברת הדואר במהלך שלוש השנים האחרונות, בנושא אבטחת מידע והוא נדרש להתייחס לממצאים אלו במסגרת הסקר (בדיקת סטטוס הממצאים והכללתם בדו”ח הסקר).  במסגרת הסקר ולאחר קבלת דו”ח הטיוטה, יועברו למומחה כ- 200 ממצאים שעלו בסקר הקודם, לצורך בחינה והתייחסות האם טופלו או האם מופיעים גם בסקר זה, תוך ציון מספר הסעיף”.