პატივისცემით,
დიმიტრი ჩხეიძე
სოციალური მომსახურების სააგენტოს
ინფორმაციული ტექნოლოგიების დეპარტამენტის
უფროსის მოადგილე
მობ.: +995 595 99 44 67
www.ssa.gov.ge
-----Original Message-----
From: "Irakli Tabatadze"
To: Dchkheidze@ssa.gov.ge
Date: Mon, 10 Jul 2017 18:41:12 +0400
Subject: Fwd: სახელმწიფო აუდიტის სამსახური - მოწყვლადობის ტესტირება
პატივისცემით
ირაკლი ტაბატაძე
სსიპ "სოციალური
მომსახურების სააგენტო"
ინფორმაციული
ტექნოლოგიების
დეპარტამენტის
უფროსი
ტელ.+995 591 99 47 48
-----Original Message-----
From: David Shavgulidze
To: "tabazadze@ssa.gov.ge"
Cc: Irakli Tabatadze ,
Dimitri Chkheidze ,
Girshel Chokhonelidze
, Mariam Magradze
, "vaniko@moh.gov.ge"
Date: Wed, 5 Jul 2017 12:25:49 +0000
Subject: სახელმწიფო აუდიტის
სამსახური -
მოწყვლადობის ტესტირება
ბატონო თენგო,
შეთანხმებისამებრ,
გიგზავნით მიმდინარე
აუდიტის ფარგლებში
დაგეგმილი მოწყვლადობის
ტესტირების აღწერას.
საჭირო ინფორმაცია:
ტესტის ჩატარებისათვის
სააგენტოს მიერ მოწოდებული
იქნა შემდეგი ინფორმაცია:
· SAESA - ს სერვერის
ოპერაციული სისტემისთვის
გამოყოფილი რესურსები (CPU, RAM,
Network);
· აღნიშნული სერვერის
საშუალო დატვირთვა ბოლო
ერთი თვის განმავლობაში;
· სერვერზე არსებულ
მონაცემთა ბაზის მართვის
სისტემაში განთავსებული
მონაცემთა ბაზების აღწერა;
აუდიტორული პროცედურები
ასევე მოითხოვს შემდეგი
ინფორმაციის
გათვალისწინებას:
· არსებული გეგმური
დავალებების (Jobs) დეტალური
აღწერა;
· მოწყვლადობების
ანალიზის ჩასატარებლად
ოპტიმალური დრო (კონკრეტული
საათების მითითებით);
ტესტირების პროცედურები:
გამომდინარე იქიდან, რომ
სამინისტრო ვერ
უზრუნველყოფს სატესტო
გარემოს შექმნას
სისტემების მოწყვლადობებზე
ტესტების (Vulnerability Assessment)
ჩასატარებლად, შეფასება
მოხდება რეალურ გარემოში
არსებულ მონაცემთა ბაზის
მართვის სისტემასა და SAESA - ს
სერვერზე. პროცედურას უნდა
ესწრებოდეს სახელმწიფო
აუდიტის სამსახურის
არანაკლებ 2 აუდიტორი,
სამინისტროს სისტემური
ადმინისტრატორი (ან
შესაბამისი პიროვნება) და
სააგენტოს მონაცემთა ბაზის
ადმინისტრატორი (ან
შესაბამისი პიროვნება).
1. მონაცემთა ბაზის
მართვის სისტემის შეფასება:
მოწყვლადობების
შეფასებისთვის
გამოყენებული იქნება IMPERVA Scuba
3.0.2 ხელსაწყო. ხელსაწყოს
გაშვება მოხდება იგივე
ოპერაციულ სისტემაზე,
რომელზეც არის
განთავსებული რეალურ
გარემოში მოქმედი DBMS.
ავტორიზაციას,
მომხმარებლით, რომელსაც
გააჩნია წვდომა სისტემაში
არსებულ ყველა მონაცემთა
ბაზაზე, გაივლის სააგენტოს
ბაზის ადმინისტრატორი, ან
შესაბამისი პიროვნება
(ავტორიზაციის
პარამეტრების
აუდიტორისთვის გადაცემის
გარეშე). პროცედურის ბოლოს
უნდა მოხდეს გენერირებული
რეპორტის დაარქივება (.zip
გაფართოებაში) და სააგენტოს
თანამშრომლის მიერ
ელექტრონული ფოსტით
(სამსახურეობრივი ელ. ფოსტა)
გადაგზავნა დამსწრე
აუდიტორის ელექტრონულ
ფოსტაზე (სამსახურეობრივი
ელ. ფოსტა).
2. სერვერის შეფასება:
მოწყვლადობებზე შეფასება
მოხდება TENABLE Nessus vulnerability scanner
- ის
საშუალებით, რომელიც
ინსტალირებული იქნება
სახელმწიფო აუდიტის
სამსახურის მობილურ
სამუშაო სადგურზე (Mobile Workstation).
მობილური სამუშაო სადგურის
ქსელთან მიერთება უნდა
მოხდეს იმავე ქვექსელში,
რომელშიც განთავსებულია SAESA -
ს ვირტუალური სერვერი, FIREWALL -
ისა და სხვა მესამე დონის (layer 3
) მოწყობილობების გავლის
გარეშე. გენერირებული
რეპორტის ერთი ასლის
გადაცემა მოხდება
სააგენტოს
წარმომადგენლისთვის, ხოლო
მეორე ასლი დარჩება
აღნიშნულ მობილურ სამუშაო
სადგურში შემდგომი
ანალიზისთვის.
გთხოვთ, მოგვაწოდოთ
ზემოხსენებული ინფორმაცია,
რომელიც საჭიროა
ტესტირების დროის ზუსტად
განსაზღვრისათვის, და ასევე,
იმ პირების სია ვინც თქვენი
მხრიდან დაესწრება
ტესტირებას.
მადლობას გიხდით
თანამშრომლობისთვის.
პატივისცემით,
დავით შავგულიძე
ინფორმაციული
ტექნოლოგიების აუდიტის
სამსახურის უფროსი
სახელმწიფო ბიუჯეტის
ანალიზისა და სტრატეგიული
დაგეგმვის დეპარტამენტი
სახელმწიფო აუდიტის
სამსახური
ქეთევან წამებულის გამზ. N96,
თბილისი, 0144
ტელ: +995 032 243 84 38 (197)
მობ: +995 5 99 858092
ელ-ფოსტა:
dshavgulidze@sao.ge
www.sao.ge
[Description: logo]
Ministry of Labour, Health and Social affairs of Georgia
Social Service Agency
Ministry of Labour, Health and Social affairs of Georgia
Social Service Agency