Atsparumo įsilaužimui patikrinimo paslauga
Išanalizuota
Lietuvos sveikatos mokslų universiteto ligoninė Kauno klinikos (PV)
Atviras konkursasCPV: 72222100 - Informacijos sistemų arba technologijos strateginės peržiūros paslaugos
ID: 67783552026-03-05 05:02
Atidaryti CVP ISAprašymas
Šis pirkimas skirtas įsigyti informacinių sistemų atsparumo įsilaužimui patikrinimo paslaugas Lietuvos sveikatos mokslų universiteto ligoninės Kauno klinikos reikmėms. Paslaugos apims HIS vidiniame tinkle pasiekiamų WEB aplikacijų ir REST API saugumo pažeidžiamumų, atitikties ir rizikos vertinimą. Tikslas – nustatyti saugumo spragas, pateikti rekomendacijas jų šalinimui ir atlikti pakartotinį testavimą.
Kvalifikaciniai reikalavimai
Kvalifikacinių reikalavimų nerasta
Techniniai reikalavimai
Tinklo testavimas
- 1Ištestuoti ne mažiau kaip 10 (dešimt) IP potinklių vidiniame tinkle.
- 2Kiekviename potinklyje ištestuoti ne mažiau kaip po 10 (dešimt) atsitiktinai parinktų galinių įrenginių.
HIS API testavimas
- 1Ištestuoti ne mažiau kaip 20 API galinių taškų.
- 2Testuoti eilinio neprivilegijuoto naudotojo teisėmis.
HIS WEB aplikacijų testavimas
- 1Ištestuoti ne mažiau kaip 6 (šešias) - HIS WEB aplikacijas.
- 2Atlikti testus dviem autorizacijos scenarijais: autorizuotas naudotojas; neautorizuotas naudotojas.
- 3Į testų apimtį įtraukti ne mažiau kaip 20 (dvidešimt) dinaminių URL.
- 4Į testų apimtį įtraukti ne mažiau kaip 400 (keturis šimtus) unikalių įvesties parametrų.
Ataskaitų teikimo reikalavimai
- 1Pateikti ataskaitą po įsilaužimų testavimo, kurioje turi būti tikrintų objektų aprašymas.
- 2Ataskaitoje nurodyti patikrinimo tikslus, eigą, taikytus metodus ir identifikuotas problemas.
- 3Ataskaitos rezultatai turi apimti aptiktų spragų aprašą, įrodymus ir šalinimo rekomendacijas.
- 4Įsilaužimo scenarijus – detalią veiksmų seką, kaip išnaudoti konkretų technologinį trūkumą (pateikiama, kai nustatomas technologinis pažeidžiamumas).
- 5Pasiūlymai, kaip pašalinti pažeidžiamumus.
- 6Kiekvienam pažeidžiamumui priskirti rizikos įverčiai pagal poveikį ir pasireiškimo tikimybę (žema, vidutinė, aukšta, kritinė) bei metodika, pagal kurią įverčiai priskiriami.
- 7Pažeidžiamumo kritiškumo įvertinimas naudojantis CVSS v3.0 ar lygiaverte metodika.
- 8Ataskaitoje turi būti išvados.
- 9Ataskaitos turi būti pateikiamos redaguojamu formatu.
- 10Ataskaitos turi būti tinkamos pateikti į Nacionalinio kibernetinio saugumo centro administruojamą sistemą.
- 11Organizacijai pašalinus nustatytus pažeidžiamumus ne vėliau kaip prieš 10 darbo dienų iki sutarties galiojimo pabaigos, atlikti pakartotinį kritinių pažeidžiamumų testavimą ir atnaujinti ataskaitą, nurodant informaciją apie identifikuotų saugos trūkumų pašalinimą.
Atitikties ir rizikos vertinimas
- 1Atlikti informacinių technologijų saugos valdymo atitikties vertinimą, vadovaujantis Krašto apsaugos ministro patvirtinta atitikties vertinimo metodika.
- 2Įvertinti, kaip įgyvendinami saugos reikalavimai, keliami Lietuvos teisės aktų reikalavimams.
- 3Patikrinti dokumentaciją, taip pat faktinę atitiktį (techninė ir programinė įranga).
- 4Pateikti suderinimui ataskaitą su rekomendacijomis trūkumų šalinimo priemonėms.
- 5Rizikos vertinimas turi būti atliekamas vadovaujantis Krašto apsaugos ministro rekomendacijomis kasmetiniam rizikų vertinimui.
- 6Rizikos vertinimas turi atsižvelgti į Valstybinės duomenų apsaugos inspekcijos „Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairės duomenų valdytojams ir duomenų tvarkytojams“.
- 7Rizikos vertinimas turi atsižvelgti į ISO 27005 ir ISO 27799 standartų aktualių redakcijų reikalavimus.
- 8Pateikti suderinimui ataskaitą su rizikos įvertinimu, taip pat rizikos valdymo priemonių sąrašą ir rizikų valdymo plano projektą.
Saugumo pažeidžiamumų vertinimas
- 1Pirkimo objektas – HIS vidiniame tinkle pasiekiamų WEB aplikacijų ir REST API saugumo pažeidžiamumų vertinimas (testavimas).
- 2Parengti atsparumo įsilaužimams metodiką ir testavimo planą, suderintą su užsakovu.
- 3Atlikti automatizuotą ir rankinį informacinių sistemų atsparumo įsilaužimams testavimą, naudojant specializuotus programinius įrankius ir ekspertinį vertinimą.
- 4Patikrinti dešimt svarbiausių pažeidžiamumų pagal OWASP (ar lygiavertę) metodiką, vadovaujantis „OWASP Testing Guide“ (ar lygiaverte metodika).
- 5Identifikuoti saugumo trūkumus taikant kryptingas (tikslines) atakas prieš įdiegtus funkcionalumus.
- 6Pateikti rekomendacijas pažeidžiamumų ištaisymui ir rizikų mažinimui.
Bendrieji paslaugų teikimo reikalavimai
- 1Paslaugos, įskaitant ataskaitų parengimą, turi būti suteiktos per mėnesį nuo užsakymo pateikimo dienos.
- 2Paslaugos gali būti teikiamos nuotoliu ir/arba LSMUL KK patalpose.
- 3Į paslaugų kainą turi būti įtrauktos visos kelionių išlaidos lankantis LSMUL KK (Eivenių g. 2, Kaunas).
- 4Tiekėjas privalės užtikrinti, kad visa gauta informacija ir intelektinės nuosavybės teisės bus saugomos ir nebus viešinamos trečiosioms šalims, nebent tiek, kiek tai būtina teikiant paslaugas arba LR teisės aktų numatytais atvejais.
- 5Komunikacija su Tiekėju vykdoma lietuvių kalba.
- 6Tiekėjo visa dokumentacija turi būti parengta lietuvių kalba.
- 7Paslaugų teikėjas įsipareigoja teikti tik kokybiškas ir profesionalias paslaugas pagal geriausius visuotinai pripažįstamus profesinius, techninius standartus ir praktiką, panaudodamas visus reikiamus įgūdžius ir žinias.
- 8Tiekėjas yra atsakingas už visų dokumentų, informacijos, kurią, suteikdamas paslaugas, privalės parengti pagal šią techninę specifikaciją, kokybę.
- 9Tiekėjas privalo atsižvelgti į dokumentų derinimo metu pateikiamas pastabas ir pasiūlymus bei atitinkamai koreguoti derinamus dokumentus.
- 10Tiekėjas privalo užtikrinti, kad testavimo metu nebus pažeistas sistemų veikimo tęstinumas ir duomenų vientisumas.
- 11Prieš aktyvius testus turi būti suderinti laiko langai ir kontaktiniai asmenys organizacijoje.
Dokumentai13
tendis.lt · Sukurta recodin.lt