SEBUT HARGA : JH (SH) 80/2017

SEBUT HARGA BAGI PERKHIDMATAN

SECURITY POSTURE ASSESSMENT

(SPA) BAGI JABATAN PERHUTANAN

SEMENANJUNG MALAYSIA

Bil Spesifikasi Keperluan Mandatori

(M)

Pematuhan (Ya/Tidak)

Tawaran oleh Syarikat

(Syarikat perlu menyatakan spesifikasi tawaran satu per satu dengan jelas terhadap spesifikasi yang ditetapkan oleh Jabatan Perhutanan Semenanjung Malaysia)*

1.0

PENILAIAN TAHAP KESELAMATAN

RANGKAIAN & SISTEM ICT (SECURITY POSTURE ASSESSMENT)

1.1 Ujian Penembusan Secara Luaran (External Penetration Testing

a. Penyebut harga hendaklah mengenal pasti kelemahan komponen rangkaian dan mengeksploitasi kelemahan untuk mendapat akses ke dalam komponen rangkaian.

b. Penyebut harga hendaklah mengenal pasti sebarang kelemahan aplikasi atau

konfigurasi dan mengekploitasi kelemahan untuk mendapat akses ke dalam aplikasi dalam pelayan JPSM c. Penyebut harga hendaklah membuat ujian

penembusan secara luaran dari Internet terhadap semua infrastruktur JPSM. Penyebut harga juga hendaklah melakukan simulasi serangan secara capaian remote.

d. Melibatkan enam belas (16) Public IP Address seperti di LAMPIRAN 1.

e. Mengenalpasti vulnerable ports dan services.

f. Menjalankan simulasi serangan dengan meniru proses yang digunakan oleh penggodam dan 'crackers' untuk mendapatkan akses kepada maklumat dan sistem / laman web JPSM.

Penetration Testing

a. Penyebut harga hendaklah melakukan ujian ke atas tahap keselamatan rangkaian dalaman

b. Penyebut harga hendaklah membuat ujian penembusan dalaman ke atas pelayan JPSM yang terletak di Pusat Data JPSM. c. Penyebut harga hendaklah melakukan

penilaian kelemahan (vulnerability Assessment) ke atas semua pelayan dan aplikasi JPSM.

d. Penyebut harga hendaklah menamatkan sebarang aktiviti penembusan setelah berjaya memasuki sistem ICT bagi mengelakkan sebarang perubahan ke atas maklumat atau data sedia ada. e. Kelemahan (Vulnerabilities) yang mesti

i. Backdoors ii. Browsers iii. CGI-bin iv. Daemons

v. DNS vi. Brute force vii. SMTP viii. FTP

ix. Proxy

x. SQL Injections.

f. Penyebut harga hendaklah mengemukakan hasil penemuan penembusan dalaman dan luaran yang merangkumi:

i. Dokumentasi mengenai proses pencerobohan, tarikh, masa, nama pelayan, keterangan aktiviti dan juga

keputusan.

ii. Cadangan langkah-langkah tindakan dan pembetulan yang boleh menghalang dari pencerobohan berlaku.

1.3 Ujian Penilaian Rekabentuk Rangkaian (Network Architecture Review)

a. Penyebutharga hendaklah mengkaji, mengesyorkan reka bentuk Rangkaian yang selamat (Secured Network) yang menggariskan pertahanan perimeter, pengasingan LAN, WAN, Remote Access Mechanism, NAS, SAN dan lain-lain b. Penyebutharga hendaklah mencadangkan

sistem keselamatan seperti firewall, intrusion detection system, Intrusion Prevention system, antivirus dan lain lain 1.4 Penilaian Keselamatan Aplikasi Portal JPSM

Assessment)

a. Penyebut harga hendaklah membuat penilaian dan audit ke atas setup aplikasi web yang merangkumi port/services, protokol yang digunakan, connection setting, session dan lain-lain untuk semua pelayan Portal JPSM dan 17 Aplikasi JPSM seperti dalam LAMPIRAN 2.

b. Penyebut harga hendaklah membuat penilaian dan membuat capaian ke atas mod capaian semasa bagi menentukan keselamatan kata laluan dan juga ID pengguna. Ia termasuklah kajian semula kawalan capaian untuk pengguna, pentadbiran sistem dan log masuk, kaedah pengesahan dan pengurusan kata laluan.

c. Penyebut harga hendaklah membuat kajian semula ke atas pengurusan session

yang meliputi tetapi tidak terhad kepada session variables, session expiration dan user profile yang dikaitkan (mapping) dengan setiap permintaan aplikasi (application request).

d. Penyebut harga hendaklah mengendalikan analisa kod pada kod aplikasi web yang telah diketahui kelemahan dan vulnerabilities yang termasuk dan tidak terhad kepada URL leakage, kod sumber HTML dan cookies. e. Penyebut harga hendaklah menyediakan

laporan keselamatan yang menerangkan secara terperinci mengenai penemuan kekuatan dan kelemahan serta cadangan dan langkah-langkah yang perlu dilaksanakan bagi mengatasi sebarang kelemahan keselamatan.

a. Mengkaji dokumen DKICT supaya mematuhi semua dokumen polisi, prosedur dan standard operating procedure JPSM dan pekeliling kerajaan yang berkaitan dengan Teknologi Maklumat, Pembangunan Aplikasi, Keselamatan IT.

b. Pengumpulan maklumat dengan menemu bual kakitangan JPSM dan menyemak dokumentasi sekuriti berkaitan dan prosedur-prosedur operasi.

1.6 Ujian Penembusan Tanpa Wayar (Wireless Penetration Testing)

Penyebut harga hendaklah melakukan Ujian Penembusan terhadap wireless Access Point (AP) di Ibu Pejabat JPSM. Jumlah AP yang dikenalpasti adalah, tetapi TIDAK TERHAD, sebanyak 11 unit. Penyebutharga juga perlu

mengesan AP yang tidak sah semasa tempoh pengujian

1.7 Ujian Penilaian Keselamatan Fizikal (Physical Assessment)

a. Membuat penilaian sistem kawalan keselamatan fizikal sedia ada di Pusat Data JPSM

b. Membuat penilaian ancaman keselamatan fizikal yang merangkumi:

i. Memeriksa pelan tindakan jika berlaku bencana seperti kebakaran dan banjir;

ii. Persekitaran bagi mengelakkan kecurian atau pencerobohan;

iii. Semua peralatan disimpan dalam bilik yang berkunci; dan

iv. Lain-lain skop yang terlibat (nyatakan sekiranya ada)

c. Memeriksa dan membuat penilaian Buku Daftar Masuk/Keluar ke Pusat Data

d. Lain-lain aktiviti dalam skop kerja Audit Keselamatan Fizikal yang perlu dilaksanakan bagi memastikan aktiviti ini berjaya.

2.0 Sijil Digital SSL SERVER CERTIFICATE (WILDCARD SSL)

2.1 Perolehan Digital SSL Server Certificate (Wildcard SSL)

a. Sijil Wildcard SSL (1 Tahun, sambungan dari Sijil Sedia ada)

b. Wildcard certificate for unlimited subdomains

c. Entrust CA

d. 128 up to 256 bits encryption e. 2048 bit keys

f. SHA2 signing algorithm

2.2 Pemasangan Digital SSL Server Certificate (Wildcard SSL)

a. Pemasangan Sijil Digital SSL SERVER CERTIFICATE (WILDCARD SSL) di pelayan yang akan ditentukan oleh JPSM b. Penyebutharga perlu memasang Sijil

Digital SSL di pelayan yang ditentukan JPSM dengan betul.

c. Ujian sebelum pemasangan juga perlu dilaksanakan untuk memastikan aplikasi dan server berfungsi dengan betul

d. Penyebutharga perlu memastikan isu-isu vulnerability seperti berikut diselesaikan di Pelayan

tersebut:-i. OpenSSL AES-NI Padding Oracle MitM Information Disclosure

ii. SSL 64-bit Block Size Cipher Suites Supported (SWEET32)

iii. SSL Certificate Cannot Be Trusted iv. SSL Certificate Signed Using Weak

Hashing Algorithm

v. SSL Medium Strength Cipher Suites Supported

vi. SSL RC4 Cipher Suites Supported (Bar Mitzvah)

vii. SSL Self-Signed Certificate

viii. SSL Version 2 and 3 Protocol Detection

ix. SSL Weak Cipher Suites Supported x. SSLv3 Padding Oracle On

Downgraded Legacy Encryption Vulnerability (POODLE)

e. Sila kemukakan contoh senarai semak pemasangan Sijil SSL untuk Web Application Server: Apache dan Web Application Server.

3.0 DOKUMENTASI

3.1 Penyebut harga mestilah menyediakan laporan yang komprehensif bagi semua penemuan penilaian dan cadangan langkah-langkah pengukuhan keselamatan ICT berdasarkan amalan-amalan terbaik untuk meminimumkan tahap risiko. Ianya merangkumi tetapi tidak terhad kepada perkara berikut:

i. Cadangan langkah-langkah pengukuhan sistem pengoperasian dan sistem aplikasi;

ii. Cadangan pengukuhan keselamatan

sistem pengoperasian, sistem aplikasi dan konfigurasi peralatan rangkaian ICT ; iii. Cadangan langkah-langkah penyelesaian

jangka masa pendek dan jangka masa panjang;

iv. Analisa dan perbandingan data untuk mengenalpasti persamaan dan konflik dalam data yang dikumpulkan; dan

v. Ancaman, risiko dan vulnerabilities yang dikenalpasti.

3.2 Penyebut harga mestilah menyediakan 2 jenis laporan dan taklimat iaitu:

i. Laporan Pengurusan bagi Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT JPSM.

ii. Laporan Teknikal bagi semua aktiviti Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT JPSM

3.3 Penyebutharga hendaklah memastikan laporan penemuan-penemuan adalah jelas dan senang untuk difahami bagi melaksanakan aktiviti

mitigation.

3.4 Semua dokumentasi yang dikemukakan perlu dikemukakan dalam sama ada Bahasa Melayu ataupun Bahasa Inggeris.

M 3.5 Menyediakan set lengkap laporan dokumentasi

penilaian dalam tiga (3) salinan dalam bentuk hardcopy dan media CD untuk perkhidmatan di atas. Senarai dokumen hendaklah diberi kawalan versi dan dikemukakan kepada JPSM untuk kelulusan.

M

4.0 LAIN LAIN

4.1 Penyebutharga dikehendaki menyediakan cadangan projek/ pelan pelaksanaan (write up) dan pasukan projek yang komprehensif bagi melaksanakan projek ini

4.2 Penyebutharga dikehendaki menyenaraikan staf-staf yang terlibat dengan projek ini seperti di LAMPIRAN 3. Staf-staf Penyebut harga yang terlibat dengan projek ini bersama hendaklah tertakluk kepada Akta Keselamatan Negara, polisi

dan prosedur keselamatan JPSM. Pembekal perlu menandatangani Non-disclosure Agreement (NDA).

4.3 Penyebut harga MESTI mempunyai pengalaman dalam perkhidmatan keselamatan ICT sekurang-kurangnya tiga (3) tahun ke belakang (Tahun 2015 – 2017).

4.4 Penyebut harga mestilah menyenaraikan pengalaman kerja yang berkaitan dengan projek ini atau seumpamanya iaitu pengalaman syarikat dalam mengendalikan projek-projek Penilaian Tahap Keselamatan dan pengauditan ICT sebelum ini dengan mengemukakan latar belakang projek, nama syarikat atau agensi yang terlibat untuk tiga (3) tahun ke belakang (tahun 2015 -2017) seperti di LAMPIRAN 4.

4.5 Penyebut harga mempunyai konsultan keselamatan ICT dalaman yang professional dan bertauliah. Sertakan salinan sijil seperti Certified Information Security Services Professional (CISSP), SANS GIAC GPEN (Network Penetration Testing), SANS GIAC GMOB (Mobile Device Security Analyst), SANS GIAC GCIH

(Certified Incident Handler), Certified Ethical Hacker (CEH), ISO27001 Lead Auditor, ITIL Certification dan sebagainya.

4.6 Pasukan kerja mestilah mematuhi prosedur dan peraturan dalaman JPSM yang merangkumi dan berkaitan dengan kesihatan, keselamatan dan kerahsiaan.

Nota

Malaysia)* d. Penyebutharga perlu memastikan isu-isu

vulnerability seperti berikut diselesaikan di Pelayan

tersebut:-i. OpenSSL AES-NI Padding Oracle MitM Information Disclosure

ii. SSL 64-bit Block Size Cipher Suites Supported (SWEET32)

iii. SSL Certificate Cannot Be Trusted iv. SSL Certificate Signed Using Weak

Hashing Algorithm

v. SSL Medium Strength Cipher Suites Supported

vi. SSL RC4 Cipher Suites Supported (Bar Mitzvah)

vii. SSL Self-Signed Certificate

viii. SSL Version 2 and 3 Protocol Detection

Malaysia)* ix. SSL Weak Cipher Suites Supported

x. SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE)

e. Sila kemukakan contoh senarai semak pemasangan Sijil SSL untuk Web Application Server: Apache dan Web Application Server.

3.0 DOKUMENTASI

3.1 Penyebut harga mestilah menyediakan laporan yang komprehensif bagi semua penemuan penilaian dan cadangan langkah-langkah pengukuhan keselamatan ICT berdasarkan amalan-amalan terbaik untuk meminimumkan tahap risiko. Ianya merangkumi tetapi tidak terhad kepada perkara berikut:

i. Cadangan langkah-langkah pengukuhan sistem pengoperasian dan sistem aplikasi;

ii. Cadangan pengukuhan keselamatan

Malaysia)*

sistem pengoperasian, sistem aplikasi dan konfigurasi peralatan rangkaian ICT ; iii. Cadangan langkah-langkah penyelesaian

jangka masa pendek dan jangka masa panjang;

iv. Analisa dan perbandingan data untuk mengenalpasti persamaan dan konflik dalam data yang dikumpulkan; dan

v. Ancaman, risiko dan vulnerabilities yang dikenalpasti.

3.2 Penyebut harga mestilah menyediakan 2 jenis laporan dan taklimat iaitu:

i. Laporan Pengurusan bagi Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT JPSM.

ii. Laporan Teknikal bagi semua aktiviti Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT JPSM

3.3 Penyebutharga hendaklah memastikan laporan penemuan-penemuan adalah jelas dan senang untuk difahami bagi melaksanakan aktiviti

Malaysia)* mitigation.

3.4 Semua dokumentasi yang dikemukakan perlu dikemukakan dalam sama ada Bahasa Melayu ataupun Bahasa Inggeris.

M

3.5 Menyediakan set lengkap laporan dokumentasi penilaian dalam tiga (3) salinan dalam bentuk

hardcopy dan media CD untuk perkhidmatan di atas. Senarai dokumen hendaklah diberi kawalan versi dan dikemukakan kepada JPSM untuk kelulusan.

M

4.0 LAIN LAIN

4.1 Penyebutharga dikehendaki menyediakan cadangan projek/ pelan pelaksanaan (write up) dan pasukan projek yang komprehensif bagi melaksanakan projek ini

4.2 Penyebutharga dikehendaki menyenaraikan staf-staf yang terlibat dengan projek ini seperti di

LAMPIRAN 3. Staf-staf Penyebut harga yang terlibat dengan projek ini bersama hendaklah tertakluk kepada Akta Keselamatan Negara, polisi

Malaysia)*

dan prosedur keselamatan JPSM. Pembekal

perlu menandatangani Non-disclosure

Agreement (NDA).

4.3 Penyebut harga MESTI mempunyai pengalaman dalam perkhidmatan keselamatan ICT sekurang-kurangnya tiga (3) tahun ke belakang (Tahun 2015 – 2017).

4.4 Penyebut harga mestilah menyenaraikan pengalaman kerja yang berkaitan dengan projek ini atau seumpamanya iaitu pengalaman syarikat dalam mengendalikan projek-projek Penilaian Tahap Keselamatan dan pengauditan ICT sebelum ini dengan mengemukakan latar belakang projek, nama syarikat atau agensi yang terlibat untuk tiga (3) tahun ke belakang (tahun 2015 -2017) seperti di LAMPIRAN 4.

4.5 Penyebut harga mempunyai konsultan

keselamatan ICT dalaman yang professional dan bertauliah. Sertakan salinan sijil seperti Certified Information Security Services Professional (CISSP), SANS GIAC GPEN (Network Penetration Testing), SANS GIAC GMOB (Mobile Device Security Analyst), SANS GIAC GCIH

Malaysia)*

(Certified Incident Handler), Certified Ethical Hacker (CEH), ISO27001 Lead Auditor, ITIL Certification dan sebagainya.

4.6 Pasukan kerja mestilah mematuhi prosedur dan peraturan dalaman JPSM yang merangkumi dan berkaitan dengan kesihatan, keselamatan dan kerahsiaan.

Nota