Grįžti į sąrašą

INFORMACINIŲ SISTEMŲ PAŽEIDŽIAMUMŲ VERTINTOJO (SECURITY TESTER) PASLAUGOS

Išanalizuota

VILNIAUS MIESTO SAVIVALDYBĖS ADMINISTRACIJA

105 000
Rinkos konsultacijaCPV: 72225000 - Sistemų kokybės užtikrinimo vertinimo ir peržiūros paslaugos
ID: 70401082026-03-20 15:28
Atidaryti CVP IS

Aprašymas

Perkamos informacinių sistemų pažeidžiamumų vertintojo paslaugos, skirtos Vilniaus miesto savivaldybės administracijos kuriamų, naudojamų ar modernizuojamų informacinių sistemų saugumui užtikrinti. Šių paslaugų tikslas – įvertinti IS atitiktį saugumo reikalavimams ir informacijos saugos rizikas, pasitelkiant specialistus pagal poreikį įvairiuose projektų diegimo etapuose.

Kvalifikaciniai reikalavimai

Kvalifikacinių reikalavimų nerasta

Techniniai reikalavimai

Pirkimo uždaviniai

  • 1Atlikti IS atsparumo įsilaužimams testavimą, išorinio ir vidinio kompiuterinio tinklo atsparumo įsilaužimams testavimą, taip pat programinės įrangos ir informacinių sistemų architektūros įvertinimą saugos požiūriu, naudojant pažeidžiamumų ir įsilaužimų testavimo metodikas.
  • 2Parengti IS atsparumo įsilaužimams testavimo vertinimo ataskaitą ir neatitikimų aprašymus, pateikti rekomendacijas.
  • 3Suderinti testavimo planus su Klientu ir esant poreikiui su IS diegėju (kai diegėjas ne VMSA), bei atlikti testavimų priežiūrą.

API saugumo testavimas

  • 1REST, SOAP ar GraphQL sąsajų testavimas.
  • 2Prieigos kontrolės ir autentifikacijos mechanizmų tikrinimas.
  • 3Token (JWT ar kt.) analizė.
  • 4Duomenų validacijos ir rate limiting testai.

Rankiniai testavimo metodai

  • 1Rankinis pažeidžiamumų išnaudojimas (exploitation).
  • 2Loginės klaidos (business logic) scenarijų analizė.
  • 3Autentifikacijos apeinamumo testavimas.

Užsakymų vykdymo reikalavimai

  • 1Visi programinio kodo pakeitimai turi būti atliekami iš UVS registruotų užduočių.
  • 2Užduotys vykdomos pagal eilę, kaip surikiuota Užduočių valdymo sistemoje.
  • 3Pradėjus vykdyti užduotį, UVS užduoties statusas pakeičiamas į „Vykdoma“, o ją pabaigus – į „Įvykdyta“.
  • 4Užduotis turi būti suskaidyta į sub-užduotis, jei jos planuojamas atlikimo laikas (estimate) yra ilgesnis nei 8 val.
  • 5Sub-užduotis pagrindinei užduočiai atlikti kuria pats programuotojas, o jas atlikus statusas keičiamas į „Uždaryta“.
  • 6Prie užduoties turi būti fiksuojamas praleistas laikas.
  • 7Darbo dienos pabaigoje visi atlikti pakeitimai darbinėje aplinkoje turi būti įkeliami į Gitlab.
  • 8Paslaugų teikėjas privalo detaliai susipažinti su esamais Kliento veiklos procesais ir realizuotais Sistemos funkcionalumais bei integracijomis.
  • 9Jei nepavyksta savarankiškai išsiaiškinti Kliento poreikių ir reikalavimų užduoties įgyvendinimui, Paslaugų teikėjas privalo savo sąnaudomis rengti susitikimus su Kliento specialistais, galinčiais patikslinti užduotyje nurodytus poreikius ir informaciją.
  • 10Esant poreikiui ir suderinus su Paslaugų teikėju, Paslaugų teikėjas pagal Kliento pateiktą konkrečią užduotį turi teikti Paslaugas Kliento patalpose Konstitucijos pr. 3, Vilniuje.

Etinio įsilaužimo ir metodikos

  • 1Testavimas atliekamas vadovaujantis Ethical Hacking principais, teisėtai, tik Kliento nurodytoje aplinkoje ir jo nustatytomis ribomis.
  • 2Taikomos metodikos (arba lygiavertės): OWASP Testing Guide v4 – web aplikacijų ir API testavimui; PTES (Penetration Testing Execution Standard) – penetracinio testavimo planavimui ir vykdymui; NIST SP 800‑115 – techniniam saugumo testavimui ir vertinimui; MITRE ATT&CK – grėsmių technikų ir taktikų modeliavimui (scenarijų sudarymui).

Papildomi testavimo reikalavimai

  • 1Testavimas turi būti suderintas su Klientu per Užsakymų valdymo sistemą (UVS), kur pateikiamas poreikis, tikslai ir papildoma informacija.
  • 2Testavimo metu negali būti sustabdytas IS darbas ar pažeisti duomenys.
  • 3Viešos informacijos rinkimą (IP adresai, domenai, paslaugos).
  • 4Operacinių sistemų ir tarnybinių stočių pažeidžiamumų nustatymą.
  • 5Pažeidžiamumų išnaudojimo bandymus.
  • 6Slaptažodžių auditą.
  • 7Jei Klientas pageidauja - socialinė inžinerija ir darbuotojų budrumo patikrinimas.
  • 8Kitos Kliento pateiktos užduotys susijusios su testuotojo kompetencijomis.

Reikalavimai testavimo ataskaitoms

  • 1Detalizuoti įsilaužimo scenarijai (PoC veiksmų seka).
  • 2Nustatyti pažeidžiamumai, suskirstyti pagal riziką: žema / vidutinė / aukšta / kritinė.
  • 3Pažeidžiamumų klasifikavimas pagal CVSS arba lygiavertę metodiką.
  • 4Pažeidžiamumų atitikimas OWASP TOP 10 (pagal paskutinius 3 metų sąrašus).
  • 5Spragų suskirstymas į: programavimo klaidas / konfigūracijos spragas.
  • 6Aiškios rekomendacijos rizikoms pašalinti ir priemonių planas.
  • 7Papildomai gali būti vykdomas klaidų registravimas UVS arba kitu Kliento nurodytu formatu.
  • 8Ataskaita pateikiama per 5 darbo dienas nuo testavimo pabaigos.

Socialinės inžinerijos testavimas

  • 1Socialinės inžinerijos testavimas atliekamas tik Klientui pageidaujant ir apima: Scenarijų parengimą pagal NIST SP 800‑115 ir MITRE ATT&CK; Darbuotojų ir organizacijos atsparumo manipuliacinėms atakoms vertinimą (esant Kliento poreikiui patikrinti ar darbuotojai ir organizacija geba atpažinti ir atsispirti manipuliacinėms atakoms. Kitaip tariant - ar įmanoma apgauti žmogų ir per jį patekti į sistemas).

Infrastruktūros ir tinklo penetracinis testavimas

  • 1Vidinio ir išorinio tinklo perimetro testavimas.
  • 2Atvirų portų ir paslaugų analizė (operacinių sistemų, tarnybinių stočių, paslaugų saugumo vertinimas).
  • 3Konfigūracijų saugumo vertinimas.
  • 4Privilegijų eskalavimo galimybių tikrinimas.
  • 5Atliekant atsparumo įsilaužimams testavimą, Paslaugų teikėjas turi atsižvelgti į IS naudotojų autentifikavimo mechanizmus (pvz. Active Directory, E. valdžios vartai (VIISP), oAuth2), naudotojų administravimo procesą, prieigą iš skirtingų įrenginių (įskaitant mobiliuosius įrenginius).
  • 6Autorizacijos integracijos patikrinimą (pačių autorizacijos sistemų testuoti nereikia).
  • 7Konfidencialių duomenų šifravimo ir audit logų vertinimas.
  • 8TLS/SSL konfigūracijų vertinimas.
  • 9Sertifikatų analizė.
  • 10Slaptažodžių politikos ir prieigos kontrolės mechanizmų tikrinimas.

Sistemos našumo, apkrovos ir greitaveikos testavimas

  • 1Našumo testavimas: Bendra sistemos sparta. Ar sistema veikia pakankamai greitai kasdienėse situacijose? Tikrinama kiek laiko užtrunka atverti puslapį (pvz., mažiau nei 2 sek.). Kiek trunka išsaugoti įrašą, filtruoti duomenis ir pan.
  • 2Apkrovos testavimas: Darbas esant didelei apkrovai. Ar sistema stabiliai dirba, kai ją apkrauna daug vartotojų? Ar atlaiko dideles „minias“? Tikrinama kaip sistema dirba, kai yra prisijungę daugiau nei 500 vartotojų vienu metu. Ar sistema „neužlūžta“, ar laiko tarpai neišauga.
  • 3Greitaveikos testavimas: Atskirų veiksmų greitis. Kaip greitai atliekamos konkrečios operacijos? Tikrinama kiek laiko trunka puslapio užkrovimas, duomenų paieška, mygtuko paspaudimas, x veiksmo atlikimas, perėjimas tarp laukų ir kt.

Web, API ir mobiliųjų aplikacijų saugumo testavimas

  • 1Atsparumo įsilaužimams testavimas pagal: OWASP Top 10 (Web), OWASP API Top 10 (API), OWASP Mobile Top 10 (Mobiliosioms).
  • 2Autentifikacijos (AuthN) ir autorizacijos (AuthZ) mechanizmų patikra.
  • 3Tipinių pažeidžiamumų identifikavimas: XSS, SQL Injection, CSRF, konfigūracijos klaidos ir kt.
  • 4Verslo logikos (Business Logic) pažeidžiamumų nustatymas.
  • 5Testavimas taikant: Black Box metodą (tik viešai prieinama informacija); White Box metodą (naudojant Kliento pateiktą informaciją).
  • 6Rankinis ir automatizuotas testavimas naudojant: Burp Suite, Nmap, Metasploit, OWASP ZAP ar lygiaverčius įrankius.
  • 7Gebėjimas interpretuoti automatizuotų skenavimo įrankių rezultatus.
  • 8Pažeidžiamumų vertinimas pagal CVSS arba lygiavertę metodiką.
  • 9Rekomendacijų pateikimas nustatytų pažeidžiamumų šalinimui.

Dokumentai3

  • 1010_7040108.pdf
  • 1_TS.docx
  • 2_INFORMACIJA TIEKĖJAMS DĖL PASKELBTOS TECHNINĖS SPECIFIKACIJOS.docx
tendis.lt · Sukurta recodin.lt