Grįžti į sąrašą

Aplinkos informacijos valdymo integruotos kompiuterinės sistemos (AIVIKS) įsilaužimų testavimo paslaugos

Išanalizuota

Lietuvos Respublikos aplinkos ministerijos Aplinkos projektų valdymo agentūra

41 322,31
Atviras konkursasCPV: 72254100 - Sistemų tikrinimo paslaugos
ID: 67456192026-03-02 11:24
Atidaryti CVP IS

Aprašymas

Aplinkos apsaugos agentūra perka Aplinkos informacijos valdymo integruotos kompiuterinės sistemos (AIVIKS) įsilaužimų testavimo paslaugas. Šios paslaugos apima informacinės saugos bei duomenų perdavimo tinklo infrastruktūros ir informacinių sistemų saugumo auditą, siekiant įvertinti modernizuojamos AIVIKS sistemos atsparumą įsilaužimams. Testavimas bus vykdomas keliais etapais, apimant išorinio ir vidinio tinklo patikrinimus bei WEB aplikacijų ir API paslaugų saugumo vertinimą.

Kvalifikaciniai reikalavimai

  • 1Tiekėjas per paskutinius 3 (trejus) metus iki pasiūlymo pateikimo termino pabaigos pagal vieną ar daugiau sutarčių yra suteikęs paslaugų, susijusių su informacinės sistemos informacijos saugos kontrolės vertinimu ir technologinio pažeidžiamumo patikrinimu. Bendra įvykdytų sutarčių vertė turi būti ne mažesnė kaip 9 296,00 Eur be PVM.
  • 2Informacinių sistemų technologinio pažeidžiamumo patikrinimo ekspertas turi turėti informacinių sistemų technologinio pažeidžiamumo patikrinimo specialisto kvalifikaciją.
  • 3Informacinių sistemų technologinio pažeidžiamumo patikrinimo ekspertas turi turėti ne trumpesnę kaip 3 metų praktinio darbo patirtį, susijusią su IS technologinio pažeidžiamumo patikrinimu, pritaikant viešai praktikuojamą teisėto IS įsilaužimo metodiką.
  • 4Informacinių sistemų technologinio pažeidžiamumo patikrinimo ekspertas privalo mokėti lietuvių kalbą (žodžiu ir raštu) ne žemesniu kaip C1 lygiu pagal Bendruosius Europos kalbų metmenis (jei lietuvių kalba nėra gimtoji) arba tiekėjas savo sąskaita, esant poreikiui, privalo užtikrinti vertimo žodžiu ir raštu paslaugas.
  • 5Informacinių sistemų technologinio pažeidžiamumo patikrinimo ekspertas privalo turėti bent vieną iš šių sertifikatų arba kito lygiaverčio dokumento, patvirtinančio informacinių sistemų technologinio pažeidžiamumo patikrinimui / vertinimui reikalingas žinias: CREST Practitioner Security Analyst (CPSA); Offensive Security Certified Professional (OSCP); Certified Ethical Hacker (CEH).
  • 6Tiekėjo siūlomos teikti paslaugos nekelia grėsmės nacionaliniam saugumui – vadovaujantis VPĮ 37 straipsnio 9 dalies 2 punktu, paslaugų teikimas nebus vykdomas iš VPĮ 92 straipsnio 14 dalyje numatytame sąraše nurodytų valstybių ar teritorijų.
  • 7Tiekėjas neturi interesų, galinčių kelti grėsmę nacionaliniam saugumui – vadovaujantis VPĮ 47 straipsnio 9 dalimi, jis pats, jo subtiekėjai ar ūkio subjektai, kurių pajėgumais remiamasi ar juos kontroliuojantys asmenys neatitinka VPĮ 47 straipsnio 9 dalyje nustatytų sąlygų.

Techniniai reikalavimai

Dokumentacijos reikalavimai

  • 1Visa Tiekėjo rengiama dokumentacija turi būti parengta lietuvių kalba ir laikantis bendrinės lietuvių kalbos taisyklių.
  • 2Paslaugų teikimo metu Tiekėjas prieš pradėdamas rengti paslaugų teikimo sutarties vykdymo rezultatus (dokumentus) preliminarų jų turinį ir formą turi suderinti su Pirkėju.
  • 3Dokumentų galutinės versijos turi būti pateiktos dviem formatais: redagavimui tinkamu elektroniniu (.doc, .docx, .odt arba lygiaverčiu formatu) ir atsakingo už sutartį asmens parašu pasirašytu formatu.
  • 4Testavimo ataskaitos minimalus turinys: aprašyti testuoti objektai, testavimo metodai ir eiga; detaliai aprašytos rastos spragos, jų poveikio lygis (rizikos įvertinimai) ir grėsmės lygis; pateikti konkretūs įsilaužimo scenarijai (jei nustatyti); pateiktos aiškios rekomendacijos spragų šalinimui; nurodyta naudota metodika ir testavimo įrankiai.
  • 5Pirkėjui ar kitoms suinteresuotoms šalims pateikus pastabas vertinamai dokumentacijai, Tiekėjas turi atlikti pataisymus atsižvelgdamas į šiuos reikalavimus: iki 50 psl. apimties dokumentai pataisomi ne ilgiau kaip per 5 d. d.; iki 100 psl. apimties dokumentai pataisomi ne ilgiau kaip per 10 d. d.; didesnių nei 100 psl. apimties dokumentai pataisomi pagal susitarimą su Pirkėju.

Paslaugų valdymo reikalavimai

  • 1Tiekėjas turi paskirti asmenį, atsakingą už paslaugų teikimo koordinavimą, ataskaitų teikimą, rizikų stebėseną ir komunikaciją su Pirkėju.
  • 2Tiekėjas turi užtikrinti, kad visa komunikacija Paslaugų teikimo metu vyktų lietuvių kalba. Jei Paslaugas teikiantys specialistai nemoka lietuvių kalbos, Tiekėjas turi pasirūpinti vertimo į lietuvių kalbą paslaugomis.
  • 3Įvykus susitikimams Paslaugų teikimo klausimais tarp Tiekėjo ir Pirkėjo ar kitų suinteresuotų šalių, Tiekėjas turi parengti ir pateikti suderintus susitikimų protokolus.
  • 4Pirkėjas suteiks elektroninį žurnalą incidentams registruoti per internetinę sąsają.
  • 5Paslaugos turi būti teikiamos remiantis inkrementiniu-iteraciniu informacinių sistemų įgyvendinimo būdu (Agile), darbai planuojami vienos-dviejų savaičių iteracijomis.
  • 6Konkretūs susitarimai dėl taikomų inkrementinio-iteracinio įgyvendinimo būdo metodų ir praktikų turi būti suderinti Paslaugų teikimo pradžioje.

Paslaugų teikimo etapai ir terminai

  • 1Paslaugų įgyvendinimas turės būti atliktas per 1 (vieną) mėnesį nuo konkretaus Užsakymo patvirtinimo dienos.
  • 2Visi AIVIKS įsilaužimų testavimo etapai turės būti įgyvendinti iki 2026 m. gruodžio 10 d.
  • 3Paslaugų teikimo terminas gali būti pratęstas 6 mėn. laikotarpiui.
  • 4Etapo atsparumo vertinimas ir įsilaužimo testavimas yra užbaigtas, kai: atliktos visos suplanuotos veiklos ir Pirkėjas patvirtino užsakymo įvykdymą; atnaujinta testavimo ataskaita; pakartotinio testavimo metu nenustatyta naujų trūkumų; suderintas ir pasirašytas paslaugų perdavimo priėmimo aktas.

Programinės įrangos saugumo auditas

  • 1Atliekamas GIT platformos konfigūracijos auditas.
  • 2Atliekamas nuolatinio vystymo ir integravimo sistemų auditas (CI/CD).
  • 3Saityno paslaugų taikomųjų programų išeities (programinio) kodo ir pažeidžiamumo vertinimo metu atliekama išeities kodo ir API analizė automatiniu ir rankiniu būdu.
  • 4API saugumo testavimas turi būti atliktas siekiant nustatyti galimus pažeidžiamumus tarp skirtingų IS integracijų (įvertinti sistemos integracijų modulius).
  • 5Patikrinami rankiniu ir automatiniu būdu programinio išeities kodo pažeidžiamumai (asmens duomenys pateikiami atviru tekstu, autentifikavimo, prieigos prie objektų problemos, nesaugus šifravimas ir kt.).
  • 6Rankiniu būdu turi būti tikrinama tik ta IS programinio kodo ir API dalis, kuri tiesiogiai dalyvauja perduodant ir tvarkant asmens duomenis.
  • 7Testavimo priemonės turi palaikyti technologijas naudojamas Pirkėjo aplinkoje: PHP, HTML, CSS, nginx, JavaScript, TypeScript.
  • 8Naudojamos priemonės turi būti pritaikytos aptikti ir identifikuoti šio tipo pažeidžiamumus išeities kode: CrossSite Scripting, Injection, BufferOverflow, Path Traversal, Denial of Service, Validation.
  • 9Naudojama priemonė turi būti pritaikyta identifikuoti pažeidžiamumus.

Bendrieji paslaugų teikimo reikalavimai

  • 1Paslaugos turi būti teikiamos nuotoliniu būdu, susitikimai organizuojami nuotoliniu būdu ir tik pagal poreikį gyvai.
  • 2Visi dokumentai teikiami tik elektronine forma (popieriniai dokumentai nenaudojami).
  • 3Paslaugos teikiamos Pirkėjo darbo dienomis nuo 08:00 iki 17:00 val., penktadieniais nuo 08:00 iki 15:45 val., išskyrus sutartas ne darbo valandas.
  • 4Paslaugos teikiamos pagal Pirkėjo pateiktą konkrečią užduotį.
  • 5Esamų AIVIKS funkcionalumų įsilaužimų testavimui naudoti iteracinį metodą Agile Scrum, Pirkėjo įgyvendintoje „Atlassian“ programinės įrangos „Jira“ priemonėmis.
  • 6Paslaugų etapas Nr. 2 gali būti atliekamas pasitelkiant automatinius įsilaužimų testavimo įrankius. Automatizuoti testai atlikti pripažintais saugumo skeneriais (OWASP rekomenduotais įrankiais).
  • 7Naudojami pažeidžiamumo identifikavimo, įsilaužimo testavimo (kibernetinių atakų imitavimo) metodai turi būti naudojami ir kontroliuojami taip, kad nebūtų sukeltas neigiamas poveikis testuojamiems objektams.
  • 8Jeigu dėl Tiekėjo veiksmų įvyks įrangos, sistemos gedimas ar duomenų vientisumo pažeidimas ar praradimas, įrangos, sistemos funkcionalumas ar (ir) duomenys turi būti atstatomi Tiekėjo finansiniais ir kitokiais ištekliais ne vėliau kaip per 8 val. nuo incidento užfiksavimo momento.
  • 9Tiekėjas turi užtikrinti, kad siūlomos Paslaugos atitinka Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše nurodytus reikalavimus.

Vidinio tinklo (LAN) saugos patikrinimas

  • 1Patikrinamas DBVS atnaujinimo lygis ir konfigūracijos saugumas (laisva prieiga, per didelės naudotojų ar programų teisės, galimybė vykdyti sistemines komandas iš DBVS).
  • 2Patikrinamas tarnybinių stočių operacinės sistemos ir jose veikiančios sisteminės programinės įrangos atnaujinimo lygis ir ar jos nėra pažeidžiamos remiantis saugumo spragomis.
  • 3Patikrinamas tarnybinių stočių ir jose veikiančios sisteminės programinės įrangos konfigūracijos saugumas.
  • 4Patikrinamas prisijungimo prie Tarnybinių stočių saugumas, naudojant anoniminį / nesankcionuotą prisijungimą ir / arba turint eilinio vartotojo prisijungimo duomenis.
  • 5Patikrinama, ar vartotojai negali eskaluoti savo teisų sistemoje, atlikti veiksmus ir/arba gauti duomenis, nesusijusius su jų tiesioginių pareigų vykdymu.
  • 6Atliekamas vidinio duomenų perdavimo tinklo saugumo tikrinimas, remiantis surinkta informacija, patikrinimo metu nustatyta realia padėtimi, geriausiąja praktika ir standartais.
  • 7Tikrinamos perduodamų / priimamų duomenų perėmimo galimybės ir manipuliavimas jais.

Išorinio kompiuterinio tinklo testavimas

  • 1Atliekamas išorinio kompiuterinio tinklo perimetro patikrinimas, imituojant potencialaus įsilaužėlio iš interneto veiksmus.
  • 2Nustatomas perimetro tinklo mazgų, pasiekiamų iš interneto.
  • 3Nustatomos perimetro tinklo mazguose veikiančios OS ir tikrinami atitinkami pažeidžiamumai.
  • 4Nustatomos perimetro tinklo mazguose veikiančios tarnybos ir tikrinami atitinkami pažeidžiamumai bei konfigūracijos analizė (informacijos surinkimas per klaidų, sisteminius pranešimus, servisų programinę realizaciją).
  • 5Nustačius pažeidžiamumus, atliekamas įsilaužimo testas.
  • 6Jei aptinkama iš interneto pasiekiamų tarnybų, reikalaujančių vartotojo autentifikacijos, atliekamas išorinės paslaugos slaptažodžių auditas.

Testavimo metodika ir rezultatų pateikimas

  • 1Parengti atsparumo įsilaužimams testavimo metodiką.
  • 2Iki testavimo pradžios parengti ir susiderinti veiksmų gairių/taisyklių (rules of engagement (ROE)) dokumentą.
  • 3Teikiant Paslaugas vadovautis naujausia saugaus projektavimo ir kodavimo praktika ir metodais bei saugumo patikrinimo metodikomis.
  • 4Naudojami vertinimo kriterijai turi būti objektyvūs, išsamūs, tinkami vertinamam objektui, išmatuojami, suprantami, plačiai pripažinti, autoritetingi ir suprantami Pirkėjui.
  • 5Turi būti žinomi atitikties kriterijų pasirinkimo šaltiniai, o patys kriterijai suderinti su Pirkėju.
  • 6Tiekėjas turės suderinti su Pirkėju Paslaugų teikimo metu naudojamus vertinimo būdus, metodus ir priemones prieš pradedant IS saugumo auditą.
  • 7Turi būti parengta ir Pirkėjui pristatyta AIVIKS atsparumo įsilaužimui ataskaita, kurios turinys turi apimti: tikrintų objektų aprašymą, patikrinimo tikslus, eigą, metodus ir identifikuotas problemas.
  • 8Ataskaitoje aprašomos aptiktos spragos, pateikiami įrodymai ir šalinimo rekomendacijos.
  • 9Ataskaitoje pateikiami įsilaužimo scenarijai (detaliai aprašoma veiksmų seka, kaip išnaudoti vieną ar kitą saugumo trūkumą), tik esant technologiniam pažeidžiamumui.
  • 10Ataskaitoje pateikiami siūlymai, kaip pašalinti pažeidžiamumus.
  • 11Kiekvienam aptiktam pažeidžiamumui ar saugumo trūkumui priskiriami rizikos įverčiai (žema, vidutinė, aukšta, kritinė) ir pateikiama metodika, pagal kurią šie įverčiai priskiriami.
  • 12Pateikiamos išvados.
  • 13AIVIKS programavimo paslaugų tiekėjams pašalinus nustatytus pažeidimus turi būti atliktas pakartotinis atsparumo įsilaužimams testavimas ir atnaujinta ataskaita, pateikiant joje informaciją apie nustatytų saugos trūkumų likvidavimą. Tai turi būti atlikta ne vėliau kaip per 2 savaites nuo informavimo apie pašalintus trūkumus.

Duomenų bazių valdymo sistemos patikrinimas

  • 1Tikrinamas DBVS atnaujinimo lygis ir konfigūracijos saugumas (laisva prieiga, per didelės naudotojų ar programų teisės, galimybė vykdyti sistemines komandas iš DBVS).
  • 2Tikrinama, ar naudotojai negali eskaluoti savo teisų IS, atlikti veiksmus ir/arba gauti duomenis, nesusijusius su jų tiesioginių pareigų vykdymu.
  • 3Tikrinama, ar darbuotojams ir IS ar paslaugoms suteikta prieiga prie DBVS atitinka mažiausios privilegijos principą.

WEB aplikacijų ir API paslaugų patikrinimas

  • 1Atliekamas WEB aplikacijų testavimas ir įsilaužimų testai.
  • 2Atliekamas WEB aplikacijų taikomųjų programų ir paslaugų saugumo patikrinimas neturint naudotojo prisijungimo informacijos.
  • 3Surinkta informacija apie sistemas (informacija apie sistemą, periferines / pagalbines sistemas) ir nustatytos testavimo ribos.
  • 4Nustatytos tinklo mazguose veikiančios tarnybos ir tikrinami atitinkami pažeidžiamumai bei konfigūracijos analizė.
  • 5Identifikuojamos naudojamos technologijos (platforma, programavimo metodai ir priemonės).
  • 6Atliekamas tarnybų konfigūracijos patikrinimas.
  • 7Atliekama pažeidžiamumų paieška automatizuotais WEB pažeidžiamumo skeneriais.
  • 8Atliekamas automatizuotos paieškos rezultatų patikrinimas ir klaidingų suveikimų pašalinimas.
  • 9Pateiktų WEB svetainių spragų patikrinimas atliekamas pagal OWASP Top 10 ir OWASP WSTG metodologiją.
  • 10Atliekamas autentifikacijos mechanizmų testavimas (MFA / SSO).
  • 11Atliekamas API tarnybų testavimas.
  • 12Atliekamas rankinis testavimas, ypatingą dėmesį skiriant OWASP TOP 10 pažeidžiamumams.
  • 13Atliktas IS kritinės apkrovos testas. IS tikrinama generuojant užklausas iš bent dešimties (10) nustatytų techninių parametrų tarnybinių stočių ir stebimas atsakymo laikas.
  • 14Atliekama saugos sistemų įvykių žurnalų įrašų analizė, tikrinant ar šių įrašų pakanka įsibrovimo bandymams užfiksuoti, įsibrovėliui ir jo panaudotiems įsibrovimo metodams identifikuoti bei įvykiams atkurti. Tikrinama, ar įrašų saugojimo laikas atitinka minimalų IS reikalaujamą įrašų saugojimo laiką.

Duomenų teikimo technologijų saugumo vertinimas

  • 1Išanalizuoti ir ištestuoti visi būdai, naudojami duomenų teikimui automatiniu būdu pagal duomenų teikimo sutartis.
  • 2Atliktas technologinis duomenų teikimo priemonių ir būdų pažeidžiamumų patikrinimas.
  • 3Atliktas duomenų apsaugos algoritmų vertinimas, identifikuojant ar nėra galimybės panaudoti nepakankamai saugius algoritmus ar šifravimo, autentifikavimo raktų ilgius.
  • 4Atlikti tipiniai įsilaužimo veiksmai, naudojami informacijos perėmimui.
  • 5Patikrinta, ar sutarčių šalys negali eskaluoti savo teisų ar pasiekti daugiau informacijos nei joms priklauso pagal susitarimus.
  • 6Pateiktos ekspertinės saugumo konsultantų išvados ir rekomendacijos saugiam technologiniam duomenų teikimui.

Dokumentai19

  • 2_2 priedas. Techninė specifikacija.pdf
  • 3_3 priedas. Tiekėjų pašalinimo pagrindai.docx
  • 4_4 Priedas. Tiekėjų kvalifikacijos reikalavimai.docx
  • espd-request.xml
  • espd-request.pdf
  • README.txt
  • 6_6 Priedas. Pasiūlymo forma.docx
  • 10_10 Priedas. Viešųjų pirkimų tarnybos nustatytos formos atitikties deklaracija.docx
  • 11_11 priedas. Bendrosios sutarties sąlygos.docx
  • 12_12 priedas. Specialiosios sutarties sąlygos.docx
  • 6745619_National Contract notice or Design Contest notice - general directive, standard regime_0.pdf
  • 7_7 priedas. Pasiūlymo vertinimo kriterijai ir sąlygos.docx
  • 13_AIVIKS įsilaužimų testavimo bendrosios sąlygos.docx
  • 1_1 priedas. Terminai.docx
  • 8_8 priedas. Tiekėjo patirties (suteiktų paslaugų) sąrašas.docx
  • 9_9 Priedas. Specialistų sąrašas kvalifikacijai.docx
  • 14_AIVIKS įsilaužimų testavimo specialiosios sąlygos.docx
  • 15_c4t_6745619_1.xml
  • 1778_6745619.pdf
tendis.lt · Sukurta recodin.lt