Opis Przedmiotu Zamówienia

Transkrypt

1 Załącznik nr 1 do SIWZ Opis Przedmiotu Zamówienia Świadczenie usługi audytu w ramach Projektu Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (P1) oraz Platforma udostępniania on-line przedsiębiorcom usług i zasobów cyfrowych rejestrów medycznych (P2) 1/14

2 1. ZAKRES PRAC (SPIS TREŚCI) a) Zapewnienie jakości w projekcie a. Wsparcie zarządzania wdrożeniem b. Zapewnienie narzędzia wsparcia testów c. Zarządzanie wytwarzaniem oprogramowania d. Wsparcie w zakresie zarządzania bezpieczeństwem e. Kontrola jakości wykonania testów wykonywanych po stronie dostawcy oprogramowania f. Wsparcie odbioru środowiska testowego g. Przeprowadzenie audytu powdrożeniowego b) Testy oprogramowania a. Wsparcie zarządzania testami oprogramowania b. Testy systemowe c. Testy migracji danych d. Testy integracyjne e. Testy wydajnościowe f. Testy akceptacyjne g. Testy utrzymaniowe c) Audyt Bezpieczeństwa a. Audyt bezpieczeństwa sieci LAN b. Audyt bezpieczeństwa urządzeń sieciowych c. Audyt bezpieczeństwa VPN(IPsec) d. Audyt bezpieczeństwa sieci WiFi e. Audyt bezpieczeństwa systemów operacyjnych f. Audyt bezpieczeństwa baz danych g. Audyt bezpieczeństwa aplikacji h. Audyt bezpieczeństwa procedur IT d) Wielkość zamówienia 2/14

3 2. ZAPEWNIENIE JAKOŚCI W PROJEKCIE 2.1. Zadania wykonawcy w zakresie wsparcia zarządzania wdrożeniem Weryfikacja i uzupełnienie procedur: zarządzania zmianą zakresu projektu, zarządzania środowiskami testowymi, zarządzania wydaniami i konfiguracją, zarządzania defektami Wsparcie w przygotowaniu wskaźników sukcesu wdrożenia (KPI) w tym: wsparcie w zakresie szacowania poziomów KPI określających sukces wdrożenia, Wsparcie w opracowaniu procedur monitorowania wskaźników Wsparcie zamawiającego w zakresie uczestnictwa w spotkaniach z wykonawcą w szczególności: Przygotowywanie analiz ułatwiających rozstrzygnięcia w kwestiach wymagających doprecyzowania i interpretacji zapisów SIWZ (P1/P2) Zadania wykonawcy związane z narzędziami wsparcia testów Wdrożenie i konfiguracja narzędzia wspierającego zarządzanie testami, Zapewnienie zgodności konfiguracji narzędzia wsparcia testów z ustanowionymi procedurami testowymi, Przygotowanie instrukcji użytkownika narzędzia wsparcia testów (instrukcja ewidencji wymagań, instrukcja projektowania przypadków testowych, instrukcja wykonywania testów, instrukcja zgłaszania defektów), Przeprowadzenie szkolenia dla zespołu projektowego w zakresie wykorzystania narzędzia wsparcia testów, Wsparcie przy definiowaniu wymagań i zakresu funkcjonalnego dla narzędzi służących do ewidencji i monitorowania błędów Zadania wykonawcy w zakresie wsparcia zarządzania wytwarzaniem oprogramowania Wsparcie w cyklu zarządzania wytwarzaniem oprogramowania, Wsparcie zespołu Zamawiającego w obszarze szczegółowego definiowania wymagań dla wytwarzanego oprogramowania, 3/14

4 Bieżący monitoring dokumentacji projektowej (w szczególności Projekt Techniczny i Plan testów) pod kątem jej kompletności, spójności i zgodności z wymaganiami funkcjonalnymi i technicznymi zdefiniowanymi w SIWZ oraz późniejszymi ustaleniami projektowymi, Wsparcie w kontroli terminowości i kompletności dostarczania produktów projektu, w szczególności dokumentacji analitycznej i projektowej Zadania wykonawcy w zakresie wsparcia zarządzania bezpieczeństwem Weryfikacja wymagań bezpieczeństwa wynikających z przepisów prawa Weryfikacja wymagań bezpieczeństwa z wymaganiami zdefiniowanymi w SIWZ (P1/P2) Weryfikacja wymagań ciągłości działania i odtwarzania po awariach z wymaganiami zdefiniowanymi w SIWZ (P1/P2) Weryfikacja wymagań bezpieczeństwa systemu pod względem zgodności wymagań bezpieczeństwa i systemu zarządzania bezpieczeństwem informacji zamawiającego Weryfikacja wymagań systemu zarzadzania ciągłością działania i planów ciągłości działania dla systemu z nadrzędnymi systemami tego typu pracującymi u zamawiającego Weryfikacja wymagań systemu zarzadzania bezpieczeństwem informacji z międzynarodowymi normami opisującymi systemy zarzadzania bezpieczeństwem informacji (np. ISO/IEC 27001) Weryfikacja wymagań systemu zarzadzania ciągłością działania z międzynarodowymi normami opisującymi systemy zarzadzania ciągłością działania informacji (np. BS 25999) Przeprowadzenie testów penetracyjnych systemu z punktu widzenia anonimowego użytkownika Internetu, użytkownika systemu, pracownika zamawiającego (w tym pracowników firm trzecich jeśli związane są w jakikolwiek sposób z funkcjonowaniem systemu) Przeprowadzenie audytu bezpieczeństwa systemu w tym architektury sieci, konfiguracji urządzeń sieciowych, konfiguracji systemów operacyjnych, konfiguracji systemów bazodanowych Przeprowadzenie analizy kodu zgodnie z powszechnie uznaną metodyką (np. OWASP). 4/14

5 Przeprowadzenie audytu powdrożeniowego w zakresie bezpieczeństwa w tym Przeprowadzenie raportu z audytu obejmującego Analizę ryzyka Rekomendacje dotyczące systemu (w oparciu o analizę ryzyka) Wsparcie w zakresie utrzymania i aktualizacji informacji o wdrożonych usługach (katalogu usług) 2.5. Zadania wykonawcy w zakresie kontroli jakości testów wykonanych po stronie dostawcy oprogramowania Weryfikacja i uzupełnienie planu testów dostawcy, Przeprowadzenie weryfikacji i uzupełnienie przygotowanych przez dostawcę oprogramowania przypadków testowych w poszczególnych obszarach, Wykonanie przeglądu ewidencji wykonania przypadków testowych celem weryfikacji jakości procesu testowego po stronie dostawcy Zadania wykonawcy w zakresie odbioru środowiska testowego Zaplanowanie i wykonanie testów dymnych środowiska testowego Zadania wykonawcy w zakresie przeprowadzenia audytu powdrożeniowego Przeprowadzenie analizy zmian stanu prawnego Przeanalizowanie wartości i trendów dla wskaźników KPI w celu analizy osiągnięcia zakładanych dla KPI wyników Przygotowanie rekomendacji dotyczących usprawnień procesów Przygotowanie raportu z audytu 3. TESTY OPROGRAMOWANIA 3.1. Zadania wykonawcy w zakresie zarządzania testami oprogramowania Audyt dokumentacji projektowej (w szczególności Projektu Technicznego) pod kątem jej kompletności, spójności i zgodności z wymaganiami funkcjonalnymi i technicznymi zdefiniowanymi w SIWZ (P1/P2), Zdefiniowanie strategii testów Zdefiniowanie wymagań na środowisko i dane testowe Zapewnienie pokrycia testami wymagań funkcjonalnych, technicznych i prawnych zdefiniowanych w SIWZ dla testowanych obszarów 5/14

6 Weryfikacja i ustanowienie szablonów i procedur projektowania i wykonywania przypadków testowych Wsparcie przy tworzeniu i analizie dokumentacji wyników przeprowadzonych testów Monitorowanie i nadzór procesu planowania i realizacji testów Bieżące i cykliczne raportowanie postępu testów Wsparcie procesu ewidencji i kategoryzacji defektów oraz identyfikacja krytycznych problemów testowych Wsparcie w komunikacji problemów testowych dostawcy, w szczególności w zakresie uzgodnień dla dostarczania obejść dla defektów i ich priorytetyzacji z uwagi na cele testów Zadania wykonawcy w zakresie testów systemowych Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: zaprojektowanie przypadków testowych, utworzenie do nich kroków testowych z wartościami oczekiwanymi, określenie danych testowych Wykonanie scenariuszy testowych Zgłoszenie defektów Wykonanie testów poprawek do zgłoszonych defektów Zadania wykonawcy w zakresie testów migracji danych (dotyczy przejęcia zasobów informacyjnych połączonych prototypów) Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: zaprojektowanie przypadków testowych, utworzenie do nich kroków testowych z wartościami oczekiwanymi, określenie danych testowych Wykonanie scenariuszy testowych Zgłoszenie defektów. 6/14

7 Wykonanie testów poprawek do zgłoszonych defektów Zadania wykonawcy w zakresie testów integracyjnych Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: zaprojektowanie przypadków testowych, utworzenie do nich kroków testowych z wartościami oczekiwanymi, określenie danych testowych Wykonanie scenariuszy testowych Zgłoszenie defektów Wykonanie testów poprawek do zgłoszonych defektów Zadania wykonawcy w zakresie testów wydajnościowych Analiza wymagań wydajnościowych dla rozwiązania i weryfikacja celu testów wydajnościowych opisanego w planie testów, Określenie sposobu pomiaru i potwierdzenie kryteriów akceptacji, Przygotowanie testów: Zdefiniowanie charakterystyk obciążenia i monitorowanych parametrów, Zdefiniowanie transakcji i profili ruchu, Przygotowanie środowiska uruchomieniowego, Implementacja skryptów testowych, Wykonanie cyklu testów: Uruchomienie skryptów testowych, Zebranie statystyk z przebiegu testów, Przeanalizowanie wyników i przedstawienie wniosków i rekomendacji, Wykonanie dodatkowego cyklu potwierdzającego poprawność działania zaimplementowanych poprawek Zadania wykonawcy w zakresie testów akceptacyjnych 7/14

8 Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: zaprojektowanie przypadków testowych, utworzenie do nich kroków testowych z wartościami oczekiwanymi, określenie danych testowych Wykonanie scenariuszy testowych Zgłoszenie defektów Wykonanie testów poprawek do zgłoszonych defektów Zadania wykonawcy w zakresie testów utrzymaniowych Przygotowanie scenariuszy testowych w oparciu o opis problemu produkcyjnego: zaprojektowanie przypadków testowych, utworzenie do nich kroków testowych z wartościami oczekiwanymi, określenie danych testowych Wykonanie scenariuszy testowych Zgłoszenie defektów Wykonanie testów poprawek do zgłoszonych defektów. 4. AUDYT BEZPIECZEŃSTWA 4.1. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa sieci LAN Wskazanie miejsc, które mogą być bezpośrednio zaatakowane w LAN (włamania do wewnętrznych systemów) Oszacowanie jakości obecnie stosowanych zabezpieczeń w warstwie sieciowej (w tym odporność na ataki techniczne komponentów sieciowych) Weryfikacja skuteczności procedur zarządzania hasłami (odporność na częste ataki związane z wykorzystaniem domyślnych haseł administracyjnych do urządzeń/usług sieciowych) Wskazanie ewentualnych dodatkowych metod ochrony Wskazanie sposobu naprawy znalezionych luk bezpieczeństwa. 8/14

9 Ogólna Analiza topologii sieci Weryfikacja podziału LAN na strefy sieciowe (w tym wykorzystanie firewalli oraz VLAN) Określenie usług działających w LAN Manualne próby uzyskania dostępu do urządzeń dzięki domyślnych hasłom administracyjnym do urządzeń / serwerów Poszukiwanie podatności w kilku wybranych podsieciach (przykładowo: detekcja nieaktualnego oprogramowania, możliwość dostępu do wybranych usług z domyślnym hasłem / bez hasła) Weryfikacja dostępnych mechanizmów uwierzytelniania dostępnych w sieci Weryfikacja mechanizmów ochronnych w warstwie 2 i 3 modelu OSI Weryfikacja kilku podstawowych zasad bezpieczeństwa na wybranych kilku stacjach roboczych (udostępnione usługi, poziom dostępu zapewniany dla użytkowników, dostępność oprogramowania klasy antywirus/antymalware sposoby aktualizacji systemu, itp.) Weryfikacja dostępu do Internetu z LAN Wskazanie potencjalnych, dodatkowych metod ochrony sieci Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla urządzeń sieciowych Zbadanie odporności urządzeń na ataki z poziomu Internetu Wskazanie potencjalnych skutków ataku dla znalezionych luk i określenie ich krytyczności Wskazanie potencjalnych, dodatkowych metod ochrony sieci Analiza podatności na ataki Skanowanie portów TCP / UDP (kilka typów - prostych oraz zaawansowanych) Skanowanie hostów aktywnych w danej podsieci Określenie ścieżki sieciowej do urządzenia (wykorzystanie traceroute) Próba detekcji typu oraz wersji usług sieciowych działających w systemie. 9/14

10 Próba detekcji wersji oraz typu oprogramowania systemowego zainstalowanego na urządzeniu Po udanej detekcji wersji oprogramowania systemowego / usług - próba lokalizacji znanych podatności w danych wersjach oprogramowania Próba komunikacji w obrębie protokołu ICMP (kilka wybranych parametrów type/code) Próba generacji pakietów o dużym rozmiarze (np. powiększonych pakietów ICMP echo) Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla VPN (IPsec) Zbadanie poziomu bezpieczeństwa ofertowanego przez system klasy VPN Weryfikacja możliwości użycia systemów klasy VPN jako punkt pośredni ataku na infrastrukturę IT Określenie realnego zabezpieczenia komunikacji sieciowej oferowanej przez wdrożoną u Zamawiającego implementację VPN Próba wykrycia aktywności serwera VPN Próba wykrycia rodzaju wykorzystywanego rozwiązania VPN (dostawcy sprzętu) Próby inicjowania tunelu z różnymi algorytmami kryptograficznymi (szyfry symetryczne, funkcje skrótu, metoda uwierzytelniania, grupa DH) Skanowanie portów oraz podatności na koncentratorze VPN Weryfikacja wykorzystanych trybów połączenia (transport, tunnel, ESP, AH) Weryfikacja przyjętych metod uwierzytelniania (np. PKI, hasła jednorazowe) Weryfikacja przyjętych polityk bezpieczeństwa dla urządzeń klienckich korzystających z VPN (pod względem możliwości ataku na infrastrukturę VPN - inicjowanych z urządzeń klienckich) Podstawowa analiza architektury sieci - pod względem rozmieszczenia komponentów 4.4. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla sieci WiFi Określenie szczelności sieci bezprzewodowej. 10/14

11 Określenie aktualnie stosowanych mechanizmów kryptograficznych zapewniających ochronę w warstwie sieciowej Określenie odporności sieci bezprzewodowej na ataki Określenie skalowalności sieci pod względem bezpieczeństwa przy wzroście aktywnych klientów (w zakresie bezpieczeństwa i dystrybucji dostępu) Wykrycie sieci bezprzewodowych(802.11a, b,802.11g, n) w kilku wybranych miejscach Określenie skalowalności przyjętych rozwiązań (m.in. w zakresie wykorzystania rozwiązań klasy WPA Enterprise) Określenie typu zabezpieczeń wykrytych sieci (Open System, WEP, WPA, WPA2) W przypadku wykrycia sieci klasy Open - próba podłączenia się do Access point W przypadku wykrycia sieci z zabezpieczeniami WEP - próba złamania klucza szyfrującego i uzyskania dostępu do sieci Weryfikacja trybu ogłaszania SSID oraz wartości SSID Próba wykrycia producenta urządzenia Access Point Określenie wykorzystanych mechanizmów uwierzytelniania stron (na podstawie przekazanych przez Klienta danych dostępowych) Sprawdzenie wykorzystania mechanizmów uwierzytelniania oferowanych przez standard 802.1X Weryfikacja wykorzystanej klasy protokołu EAP (LEAP, EAP-TLS, PEAP, itd.) Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla Systemów operacyjnych Wskazanie zaleceń hardeningowych dla systemu operacyjnego - zwiększających jego bezpieczeństwo Sprawdzenie udostępnionych usług sieciowych Sprawdzenie podziału przestrzeni dyskowej na odpowiednie strefy. 11/14

12 Sprawdzenie wdrożenia dodatkowych metod ochrony (np.: dodatkowe mechanizmy ochronne zaimplementowane na poziomie kernela, system antywirusowy, itp) Sprawdzenie przynależności użytkowników do grupy administratorzy Sprawdzenie uprawnień do najistotniejszych zasobów Sprawdzenie wdrożonego mechanizmu instalacji aktualizacji Sprawdzenie wdrożonego mechanizmu kopii zapasowych Sprawdzenie wdrożonego systemu logowania zdarzeń Sprawdzenie zabezpieczenia systemu w fazie boot Sprawdzenie wykorzystywanego sposobu zarządzania systemem Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla Baz danych Wskazanie metod zmniejszających ryzyko wycieku danych z bazy danych Sprawdzenie wdrożenia podstawowych zasad hardeningowych bazy (np.: dostępność domyślnych użytkowników guest, partycjonowanie bazy, składowanie logów, logowanie nietypowych zdarzeń, dostępność wybranych niebezpiecznych procedur /funkcji składowanych) Sprawdzenie komunikacji z klientem bazodanowym - wykorzystanie mechanizmów kryptograficznych (logowanie się klienta oraz transfer danych) Ogólna recenzja architektury bazy (wykorzystane mechanizmy autoryzacji oraz uwierzytelniania; segmentacja uprawnień, wykorzystanie widoków; wykorzystanie procedur składowanych) Weryfikacja sposobu wykonywania kopii zapasowych Analiza sposobu udostępnienia RDBMS na poziomie sieciowym Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa aplikacji Wskazanie ewidentnych słabych punktów w systemie IT - w komponentach aplikacyjnych (np. otwarte hasła dostępowe w plikach konfiguracyjnych po stronie klienckiej) Weryfikacja procedur stosowanych przy uruchamianiu nowych aplikacji Weryfikacja mechanizmów uwierzytelniania / autoryzacji Ogólna analiza plików tekstowych zwartych w katalogi instalacyjnym aplikacji 12/14

13 Weryfikacja sposobu instalacji aplikacji Wstępna recenzja poziomu bezpieczeństwa oferowanego przez aplikację Testy penetracyjne aplikacji polegające na kontrolowanej próbie penetracji systemu z zewnątrz w celu wykrycia podatności Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa procedur IT Wykrycie słabości w bezpieczeństwie procedur, związanych z tworzeniem oraz obsługą systemu IT Wsparcie przy aktualizacji obecnych procedur o aktualne standardy obowiązujące trend w dziedzinie bezpieczeństwa informacji W ramach prac sprawdzane będą takie elementy jak: procedury utrzymaniowe, reagowanie na incydenty bezpieczeństwa, sposoby przygotowywania / składowania kopii zapasowych, proceduralna ochrona przed atakami z wewnątrz - np. wykonanego przez administratora systemu, procedury aktualizacji systemu, procedury dostępu fizycznego do serwerów, procedury dokumentowania zmian. 5. WIELKOŚĆ ZAMÓWIENIA Niniejsza tabela zawiera prognozowane zapotrzebowanie na usługi świadczone w ramach poszczególnych ról: Maksymalna przewidywana liczba godzin pracy w projekcie Maksymalna przewidywana liczba Maksymalna przewidywana godzin pracy w liczba godzin pracy Rola w projekcie projekcie w projekcie Zamówienie podstawowe Zamówienie opcjonalne Ekspert ds. zarządzania projektem Analityk Ekspert ds. zarządzania wymaganiami Architekt Ekspert ds. jakości /14

14 Maksymalna Maksymalna Maksymalna przewidywana liczba przewidywana przewidywana godzin pracy w liczba godzin pracy liczba godzin Rola w projekcie projekcie w projekcie pracy w projekcie Zamówienie Zamówienie podstawowe opcjonalne Ekspert ds. bezpieczeństwa Ekspert ds. wytwarzania oprogramowania Ekspert ds. testowania oprogramowania Specjalista ds. testowania oprogramowania Ekspert ds. wdrożeń i utrzymania systemów Liczba godzin /14