Opis Przedmiotu Zamówienia



Podobne dokumenty
Audytowane obszary IT

Do wszystkich Wykonawców uczestniczących w postępowaniu

Szczegółowy opis przedmiotu zamówienia:

1. Zakres modernizacji Active Directory

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Usługa: Audyt kodu źródłowego

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

7. zainstalowane oprogramowanie zarządzane stacje robocze

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

PLAN ZARZĄDZANIA KONFIGURACJĄ OPROGRAMOWANIA PROJEKT <NAZWA PROJEKTU> WERSJA <NUMER WERSJI DOKUMENTU>

Usługa: Testowanie wydajności oprogramowania

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

udokumentowanych poprzez publikacje naukowe lub raporty, z zakresu baz danych

Opis przedmiotu zamówienia

Szczegółowy opis przedmiotu zamówienia

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Opis przedmiotu zamówienia

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Księgarnia PWN: Kevin Kenan - Kryptografia w bazach danych. Spis treści. Podziękowania O autorze Wprowadzenie... 15

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Win Admin Replikator Instrukcja Obsługi

Opis przedmiotu zamówienia

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Szablon Planu Testów Akceptacyjnych

ZAPROSZENIE DO SKŁADANIA OFERT

POLITYKA E-BEZPIECZEŃSTWA

Metody uwierzytelniania klientów WLAN

Zarządzanie testowaniem wspierane narzędziem HP Quality Center

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W CSIZS

Opis Kompetencji Portfel Interim Menedżerowie i Eksperci

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

SZCZEGÓŁOWY HARMONOGRAM KURSU

1. System powinien pozwalać na bezpieczne korzystanie z aplikacji firmowych poza centralą jak i wewnątrz sieci Zamawiającego.

Zarządzanie i realizacja projektów systemu Microsoft SharePoint 2010

Agenda. Quo vadis, security? Artur Maj, Prevenity

Opis wymagań i program szkoleń dla użytkowników i administratorów

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

OGŁOSZENIE DODATKOWYCH INFORMACJI, INFORMACJE O NIEKOMPLETNEJ PROCEDURZE LUB SPROSTOWANIE

Międzyplatformowy interfejs systemu FOLANessus wykonany przy użyciu biblioteki Qt4

Administratora CSIZS - OTM

Opis przedmiotu zamówienia

Pytania i wyjaśnienia treści Specyfikacji Istotnych Warunków Zamówienia

Data utworzenia Numer aktu 1. Akt prawa miejscowego NIE

CASE STUDIES TEST FACTORY

Win Admin Replikator Instrukcja Obsługi

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Zakres prac implementacja VPLEX i ViPR dla środowiska macierzy VNX 5800

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

Kompleksowe Przygotowanie do Egzaminu CISMP

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Sieciowa instalacja Sekafi 3 SQL

Referat pracy dyplomowej

Część I - Załącznik nr 7 do SIWZ. Warszawa. 2011r. (dane Wykonawcy) WYKAZ OSÓB, KTÓRYMI BĘDZIE DYSPONOWAŁ WYKONAWCA DO REALIZACJI ZAMÓWIENIA

IO - Plan wdrożenia. M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak. 5 czerwca 2006

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Opis Przedmiotu Zamówienia

Niniejszy załącznik składa się z 5 ponumerowanych stron

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Opis Przedmiotu Zamówienia

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2018 ZASADY OCENIANIA

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Pytania w ramach opublikowania postępowania znak postępowania: WORD/D/23/144/W/2015.

Szkolenie otwarte 2016 r.

REKOMENDACJE DOTYCZĄCE PLATFORMY ZARZĄDZANIA KOMPETENCJAMI

AM 331/TOPKATIT Wsparcie techniczne użytkowników i aplikacji w Windows 7

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

Nowy system notujący - harmonogram testów z CG. Artur Wrotek Z-ca Dyrektora IT ds. Rozwoju Aplikacji

osobowe pracowników laboratorium SecLab EMAG w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów oraz inne osoby i instytucje mające dostęp

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. Strona 1 z 5

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia r.

4 WEBINARIA tematyczne, gdzie każde przedstawia co innego związanego z naszym oprogramowaniem.

Załącznik nr 2 do wzoru umowy protokół odbioru. 1. Infrastruktura wspólna dla serwerów blade szt.

Projekt: Microsoft i CISCO dla Zachodniopomorskich MŚP

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Sieci bezprzewodowe WiFi

Metodyka Sure Step. Agenda:

Deklaracja stosowania

Szczególne problemy projektowania aplikacji internetowych. Jarosław Kuchta Projektowanie Aplikacji Internetowych

Transkrypt:

Załącznik nr 1 do SIWZ Opis Przedmiotu Zamówienia Świadczenie usługi audytu w ramach Projektu Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (P1) oraz Platforma udostępniania on-line przedsiębiorcom usług i zasobów cyfrowych rejestrów medycznych (P2) 1/14

1. ZAKRES PRAC (SPIS TREŚCI) a) Zapewnienie jakości w projekcie a. Wsparcie zarządzania wdrożeniem b. Zapewnienie narzędzia wsparcia testów c. Zarządzanie wytwarzaniem oprogramowania d. Wsparcie w zakresie zarządzania bezpieczeństwem e. Kontrola jakości wykonania testów wykonywanych po stronie dostawcy oprogramowania f. Wsparcie odbioru środowiska testowego g. Przeprowadzenie audytu powdrożeniowego b) Testy oprogramowania a. Wsparcie zarządzania testami oprogramowania b. Testy systemowe c. Testy migracji danych d. Testy integracyjne e. Testy wydajnościowe f. Testy akceptacyjne g. Testy utrzymaniowe c) Audyt Bezpieczeństwa a. Audyt bezpieczeństwa sieci LAN b. Audyt bezpieczeństwa urządzeń sieciowych c. Audyt bezpieczeństwa VPN(IPsec) d. Audyt bezpieczeństwa sieci WiFi e. Audyt bezpieczeństwa systemów operacyjnych f. Audyt bezpieczeństwa baz danych g. Audyt bezpieczeństwa aplikacji h. Audyt bezpieczeństwa procedur IT d) Wielkość zamówienia 2/14

2. ZAPEWNIENIE JAKOŚCI W PROJEKCIE 2.1. Zadania wykonawcy w zakresie wsparcia zarządzania wdrożeniem 2.1.1. Weryfikacja i uzupełnienie procedur: 2.1.1.1. zarządzania zmianą zakresu projektu, 2.1.1.2. zarządzania środowiskami testowymi, 2.1.1.3. zarządzania wydaniami i konfiguracją, 2.1.1.4. zarządzania defektami. 2.1.2. Wsparcie w przygotowaniu wskaźników sukcesu wdrożenia (KPI) w tym: 2.1.2.1. wsparcie w zakresie szacowania poziomów KPI określających sukces wdrożenia, 2.1.2.2. Wsparcie w opracowaniu procedur monitorowania wskaźników. 2.1.3. Wsparcie zamawiającego w zakresie uczestnictwa w spotkaniach z wykonawcą w szczególności: Przygotowywanie analiz ułatwiających rozstrzygnięcia w kwestiach wymagających doprecyzowania i interpretacji zapisów SIWZ (P1/P2). 2.2. Zadania wykonawcy związane z narzędziami wsparcia testów 2.2.1. Wdrożenie i konfiguracja narzędzia wspierającego zarządzanie testami, 2.2.2. Zapewnienie zgodności konfiguracji narzędzia wsparcia testów z ustanowionymi procedurami testowymi, 2.2.3. Przygotowanie instrukcji użytkownika narzędzia wsparcia testów (instrukcja ewidencji wymagań, instrukcja projektowania przypadków testowych, instrukcja wykonywania testów, instrukcja zgłaszania defektów), 2.2.4. Przeprowadzenie szkolenia dla zespołu projektowego w zakresie wykorzystania narzędzia wsparcia testów, 2.2.5. Wsparcie przy definiowaniu wymagań i zakresu funkcjonalnego dla narzędzi służących do ewidencji i monitorowania błędów. 2.3. Zadania wykonawcy w zakresie wsparcia zarządzania wytwarzaniem oprogramowania 2.3.1. Wsparcie w cyklu zarządzania wytwarzaniem oprogramowania, 2.3.2. Wsparcie zespołu Zamawiającego w obszarze szczegółowego definiowania wymagań dla wytwarzanego oprogramowania, 3/14

2.3.3. Bieżący monitoring dokumentacji projektowej (w szczególności Projekt Techniczny i Plan testów) pod kątem jej kompletności, spójności i zgodności z wymaganiami funkcjonalnymi i technicznymi zdefiniowanymi w SIWZ oraz późniejszymi ustaleniami projektowymi, 2.3.4. Wsparcie w kontroli terminowości i kompletności dostarczania produktów projektu, w szczególności dokumentacji analitycznej i projektowej. 2.4. Zadania wykonawcy w zakresie wsparcia zarządzania bezpieczeństwem 2.4.1. Weryfikacja wymagań bezpieczeństwa wynikających z przepisów prawa. 2.4.2. Weryfikacja wymagań bezpieczeństwa z wymaganiami zdefiniowanymi w SIWZ (P1/P2) 2.4.3. Weryfikacja wymagań ciągłości działania i odtwarzania po awariach z wymaganiami zdefiniowanymi w SIWZ (P1/P2) 2.4.4. Weryfikacja wymagań bezpieczeństwa systemu pod względem zgodności wymagań bezpieczeństwa i systemu zarządzania bezpieczeństwem informacji zamawiającego. 2.4.5. Weryfikacja wymagań systemu zarzadzania ciągłością działania i planów ciągłości działania dla systemu z nadrzędnymi systemami tego typu pracującymi u zamawiającego. 2.4.6. Weryfikacja wymagań systemu zarzadzania bezpieczeństwem informacji z międzynarodowymi normami opisującymi systemy zarzadzania bezpieczeństwem informacji (np. ISO/IEC 27001). 2.4.7. Weryfikacja wymagań systemu zarzadzania ciągłością działania z międzynarodowymi normami opisującymi systemy zarzadzania ciągłością działania informacji (np. BS 25999). 2.4.8. Przeprowadzenie testów penetracyjnych systemu z punktu widzenia anonimowego użytkownika Internetu, użytkownika systemu, pracownika zamawiającego (w tym pracowników firm trzecich jeśli związane są w jakikolwiek sposób z funkcjonowaniem systemu). 2.4.9. Przeprowadzenie audytu bezpieczeństwa systemu w tym architektury sieci, konfiguracji urządzeń sieciowych, konfiguracji systemów operacyjnych, konfiguracji systemów bazodanowych. 2.4.10. Przeprowadzenie analizy kodu zgodnie z powszechnie uznaną metodyką (np. OWASP). 4/14

2.4.11. Przeprowadzenie audytu powdrożeniowego w zakresie bezpieczeństwa w tym 2.4.11.1. Przeprowadzenie raportu z audytu obejmującego Analizę ryzyka 2.4.11.2. Rekomendacje dotyczące systemu (w oparciu o analizę ryzyka) 2.4.12. Wsparcie w zakresie utrzymania i aktualizacji informacji o wdrożonych usługach (katalogu usług) 2.5. Zadania wykonawcy w zakresie kontroli jakości testów wykonanych po stronie dostawcy oprogramowania 2.5.1. Weryfikacja i uzupełnienie planu testów dostawcy, 2.5.2. Przeprowadzenie weryfikacji i uzupełnienie przygotowanych przez dostawcę oprogramowania przypadków testowych w poszczególnych obszarach, 2.5.3. Wykonanie przeglądu ewidencji wykonania przypadków testowych celem weryfikacji jakości procesu testowego po stronie dostawcy. 2.6. Zadania wykonawcy w zakresie odbioru środowiska testowego 2.6.1. Zaplanowanie i wykonanie testów dymnych środowiska testowego. 2.7. Zadania wykonawcy w zakresie przeprowadzenia audytu powdrożeniowego 2.7.1. Przeprowadzenie analizy zmian stanu prawnego 2.7.2. Przeanalizowanie wartości i trendów dla wskaźników KPI w celu analizy osiągnięcia zakładanych dla KPI wyników 2.7.3. Przygotowanie rekomendacji dotyczących usprawnień procesów 2.7.4. Przygotowanie raportu z audytu 3. TESTY OPROGRAMOWANIA 3.1. Zadania wykonawcy w zakresie zarządzania testami oprogramowania 3.1.1. Audyt dokumentacji projektowej (w szczególności Projektu Technicznego) pod kątem jej kompletności, spójności i zgodności z wymaganiami funkcjonalnymi i technicznymi zdefiniowanymi w SIWZ (P1/P2), 3.1.2. Zdefiniowanie strategii testów 3.1.3. Zdefiniowanie wymagań na środowisko i dane testowe 3.1.4. Zapewnienie pokrycia testami wymagań funkcjonalnych, technicznych i prawnych zdefiniowanych w SIWZ dla testowanych obszarów 5/14

3.1.5. Weryfikacja i ustanowienie szablonów i procedur projektowania i wykonywania przypadków testowych. 3.1.6. Wsparcie przy tworzeniu i analizie dokumentacji wyników przeprowadzonych testów. 3.1.7. Monitorowanie i nadzór procesu planowania i realizacji testów. 3.1.8. Bieżące i cykliczne raportowanie postępu testów. 3.1.9. Wsparcie procesu ewidencji i kategoryzacji defektów oraz identyfikacja krytycznych problemów testowych. 3.1.10. Wsparcie w komunikacji problemów testowych dostawcy, w szczególności w zakresie uzgodnień dla dostarczania obejść dla defektów i ich priorytetyzacji z uwagi na cele testów. 3.2. Zadania wykonawcy w zakresie testów systemowych 3.2.1. Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: 3.2.1.1. zaprojektowanie przypadków testowych, 3.2.1.2. utworzenie do nich kroków testowych z wartościami oczekiwanymi, 3.2.1.3. określenie danych testowych. 3.2.2. Wykonanie scenariuszy testowych. 3.2.3. Zgłoszenie defektów. 3.2.4. Wykonanie testów poprawek do zgłoszonych defektów. 3.3. Zadania wykonawcy w zakresie testów migracji danych (dotyczy przejęcia zasobów informacyjnych połączonych prototypów) 3.3.1. Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: 3.3.1.1. zaprojektowanie przypadków testowych, 3.3.1.2. utworzenie do nich kroków testowych z wartościami oczekiwanymi, 3.3.1.3. określenie danych testowych. 3.3.2. Wykonanie scenariuszy testowych. 3.3.3. Zgłoszenie defektów. 6/14

3.3.4. Wykonanie testów poprawek do zgłoszonych defektów. 3.4. Zadania wykonawcy w zakresie testów integracyjnych 3.4.1. Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: 3.4.1.1. zaprojektowanie przypadków testowych, 3.4.1.2. utworzenie do nich kroków testowych z wartościami oczekiwanymi, 3.4.1.3. określenie danych testowych. 3.4.2. Wykonanie scenariuszy testowych. 3.4.3. Zgłoszenie defektów. 3.4.4. Wykonanie testów poprawek do zgłoszonych defektów. 3.5. Zadania wykonawcy w zakresie testów wydajnościowych 3.5.1. Analiza wymagań wydajnościowych dla rozwiązania i weryfikacja celu testów wydajnościowych opisanego w planie testów, 3.5.2. Określenie sposobu pomiaru i potwierdzenie kryteriów akceptacji, 3.5.3. Przygotowanie testów: 3.5.3.1. Zdefiniowanie charakterystyk obciążenia i monitorowanych parametrów, 3.5.3.2. Zdefiniowanie transakcji i profili ruchu, 3.5.3.3. Przygotowanie środowiska uruchomieniowego, 3.5.3.4. Implementacja skryptów testowych, 3.5.4. Wykonanie cyklu testów: 3.5.4.1. Uruchomienie skryptów testowych, 3.5.4.2. Zebranie statystyk z przebiegu testów, 3.5.5. Przeanalizowanie wyników i przedstawienie wniosków i rekomendacji, 3.5.6. Wykonanie dodatkowego cyklu potwierdzającego poprawność działania zaimplementowanych poprawek. 3.6. Zadania wykonawcy w zakresie testów akceptacyjnych 7/14

3.6.1. Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: 3.6.1.1. zaprojektowanie przypadków testowych, 3.6.1.2. utworzenie do nich kroków testowych z wartościami oczekiwanymi, 3.6.1.3. określenie danych testowych. 3.6.2. Wykonanie scenariuszy testowych. 3.6.3. Zgłoszenie defektów 3.6.4. Wykonanie testów poprawek do zgłoszonych defektów. 3.7. Zadania wykonawcy w zakresie testów utrzymaniowych 3.7.1. Przygotowanie scenariuszy testowych w oparciu o opis problemu produkcyjnego: 3.7.1.1. zaprojektowanie przypadków testowych, 3.7.1.2. utworzenie do nich kroków testowych z wartościami oczekiwanymi, 3.7.1.3. określenie danych testowych. 3.7.2. Wykonanie scenariuszy testowych. 3.7.3. Zgłoszenie defektów. 3.7.4. Wykonanie testów poprawek do zgłoszonych defektów. 4. AUDYT BEZPIECZEŃSTWA 4.1. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa sieci LAN 4.1.1. Wskazanie miejsc, które mogą być bezpośrednio zaatakowane w LAN (włamania do wewnętrznych systemów). 4.1.2. Oszacowanie jakości obecnie stosowanych zabezpieczeń w warstwie sieciowej (w tym odporność na ataki techniczne komponentów sieciowych). 4.1.3. Weryfikacja skuteczności procedur zarządzania hasłami (odporność na częste ataki związane z wykorzystaniem domyślnych haseł administracyjnych do urządzeń/usług sieciowych). 4.1.4. Wskazanie ewentualnych dodatkowych metod ochrony. 4.1.5. Wskazanie sposobu naprawy znalezionych luk bezpieczeństwa. 8/14

4.1.6. Ogólna Analiza topologii sieci. 4.1.7. Weryfikacja podziału LAN na strefy sieciowe (w tym wykorzystanie firewalli oraz VLAN). 4.1.8. Określenie usług działających w LAN. 4.1.9. Manualne próby uzyskania dostępu do urządzeń dzięki domyślnych hasłom administracyjnym do urządzeń / serwerów. 4.1.10. Poszukiwanie podatności w kilku wybranych podsieciach (przykładowo: detekcja nieaktualnego oprogramowania, możliwość dostępu do wybranych usług z domyślnym hasłem / bez hasła). 4.1.11. Weryfikacja dostępnych mechanizmów uwierzytelniania dostępnych w sieci. 4.1.12. Weryfikacja mechanizmów ochronnych w warstwie 2 i 3 modelu OSI. 4.1.13. Weryfikacja kilku podstawowych zasad bezpieczeństwa na wybranych kilku stacjach roboczych (udostępnione usługi, poziom dostępu zapewniany dla użytkowników, dostępność oprogramowania klasy antywirus/antymalware sposoby aktualizacji systemu, itp.) 4.1.14. Weryfikacja dostępu do Internetu z LAN. 4.1.15. Wskazanie potencjalnych, dodatkowych metod ochrony sieci. 4.2. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla urządzeń sieciowych. 4.2.1. Zbadanie odporności urządzeń na ataki z poziomu Internetu 4.2.2. Wskazanie potencjalnych skutków ataku dla znalezionych luk i określenie ich krytyczności 4.2.3. Wskazanie potencjalnych, dodatkowych metod ochrony sieci. 4.2.4. Analiza podatności na ataki 4.2.5. Skanowanie portów TCP / UDP (kilka typów - prostych oraz zaawansowanych). 4.2.6. Skanowanie hostów aktywnych w danej podsieci. 4.2.7. Określenie ścieżki sieciowej do urządzenia (wykorzystanie traceroute). 4.2.8. Próba detekcji typu oraz wersji usług sieciowych działających w systemie. 9/14

4.2.9. Próba detekcji wersji oraz typu oprogramowania systemowego zainstalowanego na urządzeniu. 4.2.10. Po udanej detekcji wersji oprogramowania systemowego / usług - próba lokalizacji znanych podatności w danych wersjach oprogramowania. 4.2.11. Próba komunikacji w obrębie protokołu ICMP (kilka wybranych parametrów type/code). 4.2.12. Próba generacji pakietów o dużym rozmiarze (np. powiększonych pakietów ICMP echo). 4.3. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla VPN (IPsec) 4.3.1. Zbadanie poziomu bezpieczeństwa ofertowanego przez system klasy VPN. 4.3.2. Weryfikacja możliwości użycia systemów klasy VPN jako punkt pośredni ataku na infrastrukturę IT. 4.3.3. Określenie realnego zabezpieczenia komunikacji sieciowej oferowanej przez wdrożoną u Zamawiającego implementację VPN. 4.3.4. Próba wykrycia aktywności serwera VPN. 4.3.5. Próba wykrycia rodzaju wykorzystywanego rozwiązania VPN (dostawcy sprzętu). 4.3.6. Próby inicjowania tunelu z różnymi algorytmami kryptograficznymi (szyfry symetryczne, funkcje skrótu, metoda uwierzytelniania, grupa DH). 4.3.7. Skanowanie portów oraz podatności na koncentratorze VPN. 4.3.8. Weryfikacja wykorzystanych trybów połączenia (transport, tunnel, ESP, AH). 4.3.9. Weryfikacja przyjętych metod uwierzytelniania (np. PKI, hasła jednorazowe). 4.3.10. Weryfikacja przyjętych polityk bezpieczeństwa dla urządzeń klienckich korzystających z VPN (pod względem możliwości ataku na infrastrukturę VPN - inicjowanych z urządzeń klienckich). 4.3.11. Podstawowa analiza architektury sieci - pod względem rozmieszczenia komponentów 4.4. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla sieci WiFi 4.4.1. Określenie szczelności sieci bezprzewodowej. 10/14

4.4.2. Określenie aktualnie stosowanych mechanizmów kryptograficznych zapewniających ochronę w warstwie sieciowej. 4.4.3. Określenie odporności sieci bezprzewodowej na ataki. 4.4.4. Określenie skalowalności sieci pod względem bezpieczeństwa przy wzroście aktywnych klientów (w zakresie bezpieczeństwa i dystrybucji dostępu). 4.4.5. Wykrycie sieci bezprzewodowych(802.11a, 802.11b,802.11g, 802.11n) w kilku wybranych miejscach. 4.4.6. Określenie skalowalności przyjętych rozwiązań (m.in. w zakresie wykorzystania rozwiązań klasy WPA Enterprise) 4.4.7. Określenie typu zabezpieczeń wykrytych sieci (Open System, WEP, WPA, WPA2). 4.4.8. W przypadku wykrycia sieci klasy Open - próba podłączenia się do Access point. 4.4.9. W przypadku wykrycia sieci z zabezpieczeniami WEP - próba złamania klucza szyfrującego i uzyskania dostępu do sieci. 4.4.10. Weryfikacja trybu ogłaszania SSID oraz wartości SSID. 4.4.11. Próba wykrycia producenta urządzenia Access Point. 4.4.12. Określenie wykorzystanych mechanizmów uwierzytelniania stron (na podstawie przekazanych przez Klienta danych dostępowych). 4.4.13. Sprawdzenie wykorzystania mechanizmów uwierzytelniania oferowanych przez standard 802.1X. 4.4.14. Weryfikacja wykorzystanej klasy protokołu EAP (LEAP, EAP-TLS, PEAP, itd.). 4.5. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla Systemów operacyjnych 4.5.1. Wskazanie zaleceń hardeningowych dla systemu operacyjnego - zwiększających jego bezpieczeństwo 4.5.2. Sprawdzenie udostępnionych usług sieciowych. 4.5.3. Sprawdzenie podziału przestrzeni dyskowej na odpowiednie strefy. 11/14

4.5.4. Sprawdzenie wdrożenia dodatkowych metod ochrony (np.: dodatkowe mechanizmy ochronne zaimplementowane na poziomie kernela, system antywirusowy, itp). 4.5.5. Sprawdzenie przynależności użytkowników do grupy administratorzy. 4.5.6. Sprawdzenie uprawnień do najistotniejszych zasobów. 4.5.7. Sprawdzenie wdrożonego mechanizmu instalacji aktualizacji. 4.5.8. Sprawdzenie wdrożonego mechanizmu kopii zapasowych. 4.5.9. Sprawdzenie wdrożonego systemu logowania zdarzeń. 4.5.10. Sprawdzenie zabezpieczenia systemu w fazie boot. 4.5.11. Sprawdzenie wykorzystywanego sposobu zarządzania systemem. 4.6. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla Baz danych. 4.6.1. Wskazanie metod zmniejszających ryzyko wycieku danych z bazy danych 4.6.2. Sprawdzenie wdrożenia podstawowych zasad hardeningowych bazy (np.: dostępność domyślnych użytkowników guest, partycjonowanie bazy, składowanie logów, logowanie nietypowych zdarzeń, dostępność wybranych niebezpiecznych procedur /funkcji składowanych). 4.6.3. Sprawdzenie komunikacji z klientem bazodanowym - wykorzystanie mechanizmów kryptograficznych (logowanie się klienta oraz transfer danych). 4.6.4. Ogólna recenzja architektury bazy (wykorzystane mechanizmy autoryzacji oraz uwierzytelniania; segmentacja uprawnień, wykorzystanie widoków; wykorzystanie procedur składowanych). 4.6.5. Weryfikacja sposobu wykonywania kopii zapasowych. 4.6.6. Analiza sposobu udostępnienia RDBMS na poziomie sieciowym. 4.7. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa aplikacji 4.7.1. Wskazanie ewidentnych słabych punktów w systemie IT - w komponentach aplikacyjnych (np. otwarte hasła dostępowe w plikach konfiguracyjnych po stronie klienckiej) 4.7.2. Weryfikacja procedur stosowanych przy uruchamianiu nowych aplikacji 4.7.3. Weryfikacja mechanizmów uwierzytelniania / autoryzacji 4.7.4. Ogólna analiza plików tekstowych zwartych w katalogi instalacyjnym aplikacji 12/14

4.7.5. Weryfikacja sposobu instalacji aplikacji 4.7.6. Wstępna recenzja poziomu bezpieczeństwa oferowanego przez aplikację 4.7.7. Testy penetracyjne aplikacji polegające na kontrolowanej próbie penetracji systemu z zewnątrz w celu wykrycia podatności. 4.8. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa procedur IT 4.8.1. Wykrycie słabości w bezpieczeństwie procedur, związanych z tworzeniem oraz obsługą systemu IT 4.8.2. Wsparcie przy aktualizacji obecnych procedur o aktualne standardy obowiązujące trend w dziedzinie bezpieczeństwa informacji. 4.8.3. W ramach prac sprawdzane będą takie elementy jak: 4.8.3.1. procedury utrzymaniowe, reagowanie na incydenty bezpieczeństwa, sposoby przygotowywania / składowania kopii zapasowych, 4.8.3.2. proceduralna ochrona przed atakami z wewnątrz - np. wykonanego przez administratora systemu, 4.8.3.3. procedury aktualizacji systemu, 4.8.3.4. procedury dostępu fizycznego do serwerów, procedury dokumentowania zmian. 5. WIELKOŚĆ ZAMÓWIENIA Niniejsza tabela zawiera prognozowane zapotrzebowanie na usługi świadczone w ramach poszczególnych ról: Maksymalna przewidywana liczba godzin pracy w projekcie Maksymalna przewidywana liczba Maksymalna przewidywana godzin pracy w liczba godzin pracy Rola w projekcie projekcie w projekcie Zamówienie podstawowe Zamówienie opcjonalne Ekspert ds. zarządzania projektem 4 400 1 100 5 500 Analityk 4 000 1 000 5 000 Ekspert ds. zarządzania 4 800 1 200 6 000 wymaganiami Architekt 4 000 1 000 5 000 Ekspert ds. jakości 7 600 1 900 9 500 13/14

Maksymalna Maksymalna Maksymalna przewidywana liczba przewidywana przewidywana godzin pracy w liczba godzin pracy liczba godzin Rola w projekcie projekcie w projekcie pracy w projekcie Zamówienie Zamówienie podstawowe opcjonalne Ekspert ds. bezpieczeństwa 4 800 1 200 6 000 Ekspert ds. wytwarzania 6 400 1 600 8 000 oprogramowania Ekspert ds. testowania 3 200 800 4 000 oprogramowania Specjalista ds. testowania 7 200 1 800 9 000 oprogramowania Ekspert ds. wdrożeń i utrzymania 4 800 1 200 6 000 systemów Liczba godzin 51 200 12 800 64 000 14/14

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres