Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór



Podobne dokumenty
Audytowane obszary IT

Szczegółowy opis przedmiotu zamówienia:

Szablon Planu Testów Akceptacyjnych

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Usługa: Audyt kodu źródłowego

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Warszawa, 25 lipca 2014 r.

The OWASP Foundation Session Management. Sławomir Rozbicki.

Opis przedmiotu zamówienia

Bezpieczeostwo aplikacyjne

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

ZAPROSZENIE DO SKŁADANIA OFERT

Informację sporządzoną według poniższego wzoru należy przesłać do dnia 27 czerwca 2014 r. do godz na adres

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Portal Security - ModSec Enterprise

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Opis Przedmiotu Zamówienia

FORMULARZ OFERTOWY. 8. Społeczeństwo informacyjne zwiększanie innowacyjności gospodarki

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Opis Przedmiotu Zamówienia

PRZEDMIOT ZAMÓWIENIA 1. Przedmiotem zamówienia jest budowa, dostawa, konfiguracja, wdrożenie i uruchomienie zintegrowanego systemu zarządzania

Fuzzing OWASP The OWASP Foundation Piotr Łaskawiec J2EE Developer/Pentester

Usługa: Testowanie wydajności oprogramowania

Win Admin Replikator Instrukcja Obsługi

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Win Admin Replikator Instrukcja Obsługi

Pytania i wyjaśnienia treści Specyfikacji Istotnych Warunków Zamówienia

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Projektowani Systemów Inf.

WYMAGANIA OFERTOWE. Przetarg nr FZ-Z/P234/15. dotyczący: Testy penetracyjne Warszawa, dn r. ...

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Opis Przedmiotu Zamówienia

Instrukcja instalacji serwera bazy danych Microsoft SQL Server Express 2014

III ZAPYTANIE OFERTOWE

Wymagana dokumentacja Systemów dziedzinowych i EOD

IO - Plan wdrożenia. M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak. 5 czerwca 2006

Deduplikacja danych. Zarządzanie jakością danych podstawowych

Specyfikacja wymagań dla serwisu Internetowego Fundacja Aktywni Społecznie

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Win Admin Monitor Instrukcja Obsługi

URZĄD MIASTA EŁKU Ełk, dnia r. PYTANIE I ODPOWIEDŹ I MODYFIKACJA SIWZ

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

7. zainstalowane oprogramowanie zarządzane stacje robocze

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

Plan testów. Robert Dyczkowski, Piotr Findeisen, Filip Grzdkowski. 4 czerwca 2006

Agenda. Quo vadis, security? Artur Maj, Prevenity

KARTA PRZEDMIOTU. Programowanie aplikacji internetowych

ROZEZNANIE RYNKU. dotyczące opracowania i utworzenia strony internetowej Instytutu Włókiennictwa

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Wdrozėnie systemu B2B wprowadzaja cego automatyzacje procesów biznesowych w zakresie Systemu Nadzoru Projektowego

Szczegółowy opis przedmiotu zamówienia

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA

Tom 6 Opis oprogramowania Część 8 Narzędzie do kontroli danych elementarnych, danych wynikowych oraz kontroli obmiaru do celów fakturowania

FORMULARZ ZAPYTANIA OFERTOWEGO o wartości zamówienia poniżej euro

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia r.

Tablica ogłoszeń. Urząd Miejski w Radomiu Biuro Zamówień Publicznych. Radom, dn. 22 września 2009r. BZP.PS /09

System Kontroli Bazy Danych Topograficznych (SKBDT) zawód kartografa?

WZÓR UMOWY. Zawarta w Białymstoku, w dniu.. pomiędzy:

Opis przedmiotu zamówienia (zwany dalej OPZ )

Załącznik nr 2 do wzoru umowy protokół odbioru. 1. Infrastruktura wspólna dla serwerów blade szt.

Zakład Ubezpieczeń Społecznych Departament Zamówień Publicznych ul. Szamocka 3, 5, Warszawa

Zapytanie ofertowe. Niespełnienie któregokolwiek wymagania może skutkować odrzuceniem oferty bez jej rozpatrzenia

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

WYKONAWCY. Dotyczy: przetargu nieograniczonego na budowę wortalu i systemu poczty elektronicznej PIP

WYJAŚNIENIA NR 2 TREŚCI SIWZ

Win Admin Replikator Instrukcja Obsługi

Plan. Raport. Tworzenie raportu z kreatora (1/3)

Vulnerability Management. Vulnerability Assessment. Greenbone GSM

Referat pracy dyplomowej

Wymagania dotyczące systemu analizy bezpieczeństwa sieci -

1. Zakres modernizacji Active Directory

Zagadnienia egzaminacyjne INFORMATYKA. Stacjonarne. I-go stopnia. (INT) Inżynieria internetowa STOPIEŃ STUDIÓW TYP STUDIÓW SPECJALNOŚĆ

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ),

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

DOTACJE NA INNOWACJE

OPIS PRZEDMIOTU ZAMÓWIENIA

ZAPYTANIE OFERTOWE. e-match B2S - Zintegrowana platforma kompleksowych usług dla firm startup

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

Sieciowa instalacja Sekafi 3 SQL

Załącznik Nr 6 do siwz. UMOWA (projekt)

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

dziennik Instrukcja obsługi

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W CSIZS

Transkrypt:

S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca wykonawca systemu wspomagania nadzoru archiwalnego e-nadzór. 2. System system wspomagania nadzoru archiwalnego e-nadzór (aplikacja Web). 3. Wykonawca wyłoniony w ramach postępowania o udzielenie zamówienia publicznego poniżej 30000 euro wykonawca zamówienia przedmiotem którego jest przeprowadzenie testów bezpieczeństwa Systemu e-nadzór. 4. Zamawiający Naczelna Dyrekcja Archiwów Państwowych. 5. Fuzz testing (fuzzing) automatyczna lub półautomatyczna metoda testowania oprogramowania lub znajdowania w nim błędów. II. Kontekst zamówienia. 1. Ogólne informacje o zakładanej funkcjonalności Systemu. System wspomagania nadzoru archiwalnego ma umożliwiać wprowadzanie, przechowywanie, edytowanie oraz analizę danych dotyczących stanu przechowywania materiałów archiwalnych w jednostkach organizacyjnych ustalonych jako wytwarzających materiały archiwalne. 2. Ogólne informacje o systemie. System będzie zbudowany z wykorzystaniem oprogramowania bazującego na otwartych standardach i bezpłatnych licencjach (technologia WAMP/LAMP). System w swym ogólnym założeniu będzie aplikacją web opartą na języku PHP i bazie danych MySQL. Oprogramowanie powinno pozwolić na jednoczesną pracę 50 użytkowników. Szacowany maksymalny rozmiar pamięci dyskowej zajmowanej przez dane nie powinien przekroczyć 2 GB, a w początkowym okresie eksploatacji nie powinien być większy niż 300 MB. III. Przedmiot zamówienia. 1. Przedmiotem zamówienia jest przeprowadzenie przez Wykonawcę na rzecz Zamawiającego testów bezpieczeństwa opracowywanego systemu wspomagania nadzoru archiwalnego e-nadzór. 2. Wykonawcą testów bezpieczeństwa nie powinien być Dostawca Systemu lub podmiot zależny od Dostawcy Systemu.

S t r o n a ǀ 2 z 5 3. Testy bezpieczeństwa wykonane zostaną w ramach sprawdzenia działania Systemu w zakresie zgodności z postawionymi Dostawcy wymaganiami i przeprowadzone zostaną w dwu etapach: a. Etap pierwszy testy przeprowadzone przed odbiorem oprogramowania Systemu (w ramach testowania funkcjonalności systemu testów działania), które stanowić mają praktyczną ocenę stanu bezpieczeństwa wykonanego Systemu. Oprogramowanie zostanie przetestowane na serwerze Dostawcy. b. Etap drugi testy zostaną przeprowadzone w ramach testów powdrożeniowych przed odbiorem wdrożonego Systemu, zainstalowanego na serwerze Zamawiającego i traktowane będą jako ostatnie sprawdzenie stanu bezpieczeństwa i poprawności funkcjonowania Systemu. IV. Założenia realizacyjne. 1. Wykonawca dostarczy Zamawiającemu kompletny model zagrożeń uwzględniający wszystkie role w testowanym Systemie oraz technologie, na których oparto testowany System (w terminie określonym w ppkt. V 1a). Model będzie wykonany według ogólnie przyjętej metodyki. 2. Na podstawie modelu Wykonawca opracuje i przekaże Zamawiającemu do akceptacji szczegółowy plan testów penetracyjnych opisanych w pkt. IV i VI (w terminie określonym w ppkt. V 1b). 3. Po zakończeniu testów przeprowadzonych w ramach wykonania pierwszej części przedmiotu umowy, w przypadku wykrycia nieprawidłowości Wykonawca nawiąże kontakt z przedstawicielami Dostawcy systemu, w celu wypracowania właściwych metod usunięcia wykrytych podatności. Po wprowadzeniu przez Dostawcę poprawek rekomendowanych przez Wykonawcę, Wykonawca przeprowadzi retest Systemu. Retest należy wykonać niezależnie od stopnia ryzyka wykrytych podatności (klasyfikacji ryzyka - krytyczne, średnie, niskie). W ramach retestu Wykonawca powinien min.: a) zweryfikować, czy wykryte podczas testów podatności i problemy z bezpieczeństwem zostały poprawnie rozwiązane, b) powtórzyć test penetracyjny typu white-box interfejsów dostępnych z Internetu, c) powtórzyć wewnętrzny test penetracyjny typu white-box interfejsów dostępnych w poszczególnych strefach DMZ, d) powtórzyć wewnętrzny test penetracyjny typu white-box styku interfejsów systemu i księgi głównej, 4. Na podstawie przeprowadzonych testów opisanych powyżej Wykonawca opracuje i przekaże Zamawiającemu (w terminie określonym w ppkt. V 1c), raport z przeprowadzonych testów. Raport powinien obejmować min.: a) streszczenie dla Kierownictwa Zamawiającego, b) opis wszystkich wykrytych podatności wraz z informacją o zastosowanej metodzie ich usunięcia, c) opinię o stanie bezpieczeństwa systemu, d) pozostałe rekomendacje. 5. Po zakończeniu testów przeprowadzonych w ramach wykonania drugiej części przedmiotu umowy, w przypadku wykrycia nieprawidłowości Wykonawca nawiąże kontakt z przedstawicielami Dostawcy systemu, w celu wypracowania właściwych

S t r o n a ǀ 3 z 5 metod usunięcia wykrytych podatności. Po wprowadzeniu przez Dostawcę poprawek rekomendowanych przez Wykonawcę, Wykonawca przeprowadzi retest Systemu. 6. Po zakończeniu testów opisanych powyżej, Wykonawca opracuje i przekaże Zamawiającemu (w terminie określonym w ppkt. V 1f), raport końcowy, opisujący aktualny poziom bezpieczeństwa i zawierający streszczenie dla Kierownictwa oraz opinię o stanie bezpieczeństwa Systemu i finalne rekomendacje zmierzające do dalszego podnoszenia poziomu jego bezpieczeństwa. Raport końcowy powinien również zawierać: a) definicje fuzzerów użytych do testowania aplikacji - materiał ten będzie stanowił część raportu końcowego jako załącznik, b) wynik automatycznego skanu kodu źródłowego jako załącznik do raportu końcowego. V. Harmonogram realizacji zamówienia. 1. Wykonawca zobowiązuje się w szczególności do wykonania wszystkich prac opisanych w opisie przedmiotu zamówienia, zgodnie z następującym harmonogramem prac: a) Wykonanie i dostarczenie (na informatycznym nośniku danych i w wersji papierowej) Zamawiającemu kompletnego modelu zagrożeń (opisanego w pkt. IV 1) w terminie do 29 września 2015 r. b) Wykonanie i dostarczenie (na informatycznym nośniku danych i w wersji papierowej) Zamawiającemu planu testów penetracyjnych (opisanych w pkt. IV, VI i VII) w terminie do 29 września 2015 r. c) przeprowadzenie testów penetracyjnych Systemu (opisanych w pkt. IV, VI i VII OPZ), w ramach testów działania w terminie do 29 września 2015 r., d) Wykonanie i dostarczenie (na informatycznym nośniku danych i w wersji papierowej) Zamawiającemu raportu z przeprowadzonych testów (opisanego w pkt. IV 4), w terminie do 29 września 2015 r. e) przeprowadzenie testów penetracyjnych Systemu (opisanych w pkt. IV, VI i VII OPZ),w ramach testów powdrożeniowych, w terminie do 12 listopada 2015 r. f) Wykonanie i dostarczenie (na informatycznym nośniku danych i w wersji papierowej) Zamawiającemu raportu końcowego z przeprowadzonych testów (opisanego w pkt. IV 6), w terminie do 12 listopada 2015 r. VI. Rodzaje przeprowadzonych testów penetracyjnych. 1. Testy penetracyjne przy założeniu zerowej wiedzy na temat badanego Systemu prowadzone z Internetu - typu black-box, (adres strony www na której będzie dostępny system zostanie podany Wykonawcy po podpisaniu umowy); a) analiza podatności Systemu pod kątem występowania błędów bezpieczeństwa, obejmująca co najmniej: - Configuration Management Testing, - Authorization and Authentication Testing, - Session Management Testing, - Data Validation Testing,

S t r o n a ǀ 4 z 5 - Testing for Denial of Service, - Web Service Testing, 2. Testy penetracyjne przy założeniu dysponowania standardowymi kontami w badanym systemie, mające na celu analizę podatności aplikacji na nieautoryzowane działania uprawnionych użytkowników (typu grey-box ); 3. Testy penetracyjne z dostępem testującego do kodu źródłowego i konfiguracji testowanej aplikacji oraz jej środowiska wykonania (typu white-box ). Wykonawca otrzyma także dokumentację projektową aplikacji przed rozpoczęciem testu; a) testy penetracyjne typu white-box interfejsów dostępnych z Internetu, b) testy penetracyjne wewnętrzne typu white-box interfejsów dostępnych w poszczególnych strefach DMZ, c) testy penetracyjne wewnętrzne typu white-box styku interfejsów systemu i księgi głównej, d) przegląd krytycznych fragmentów kodu (autoryzacja, uwierzytelnienie, filtrowanie danych, dostęp do bazy danych), e) raportowanie wykrytych podatności w trybie on-line, uznanych przez Wykonawcę jako krytyczne, natychmiast po ich wykryciu, do Zamawiającego, f) każda wykryta podatność musi zawierać opis oraz sugerowaną metodę jej wykorzystania, a także analizę skutków dla Zamawiającego możliwości jej wykorzystania. Na przykład w przypadku podatności typu przepełnienie bufora lub sterty należy podać adres powrotu oraz sugerowany sposób uruchomienia sheilcode u z uwzględnieniem wykorzystanych w docelowym systemie zabezpieczeń. W przypadku podatności w aplikacji webowej należy zademonstrować działający adres URL lub gotowy skrypt pozwalający na wykorzystanie podatności. 4. Testy wydajnościowe systemu w celu identyfikacji tzw. wąskich gardeł i błędów w implementacji na poziomie architektury sieciowej oraz samej aplikacji; 5. Testy wydajnościowe modułów raportujących; 6. Testy wydajnościowe krytycznych formularzy; 7. Testy wydajnościowe określające maksymalną liczbę użytkowników obsługiwanych równolegle; 8. Strategia usunięcia podatności; VII. Minimalne wymagania wobec testów penetracyjnych. 1. Test penetracyjny typu white-box interfejsu webowego: a) test wszystkich klas podatności z aktualnej listy OWASP Top 10, a w szczególności Injection (Al) i XSS (A2), b) testy bezpieczeństwa implementacji i konfiguracji protokołu SSL (A3, A6, A9), c) analiza bezpieczeństwa modelu i procesu uwierzytelnienia i autoryzacji, zgodnie z założeniami projektowymi oraz pod kątem bezpieczeństwa (A3), d) analiza bezpieczeństwa mechanizmu zarządzania sesją włącznie z jej kończeniem (A3), e) analiza walidacji danych wejściowych, f) analiza walidacji danych wyjściowych, g) zarządzanie plikami tymczasowymi, h) zarządzanie prawami dostępu do struktur katalogów na serwerach www (A8),

S t r o n a ǀ 5 z 5 i) fuzzing wszystkich pól formularzy, j) fuzzing wszystkich pól ciasteczek, k) fuzzing wszystkich pól protokołu aplikacyjnego, l) fuzzing wiadomości zapisywanych do dziennika zdarzeń (A7), m) ocena zgodności z ustawą o ochronie danych osobowych, n) przegląd wybranych przez Wykonawcę fragmentów kodu aplikacji: - przegląd za pomocą automatycznego skanera, - manualny przegląd kodu. 2. Testy penetracyjne typu white-box pozostałych interfejsów: a) skanowanie w poszukiwaniu podatności, b) fuzzing dostępnych protokołów sieciowych, c) test słabych haseł i domyślnych kont, d) testy procedur składowych baz danych. 3. Testy penetracyjne typu white-box komponentów Systemu: a) skanowanie pełnego zakresu portów TCP, b) skanowanie pełnego zakresu portów UDP; 4. Zakres zadań przeprowadzonych w ramach w/w testów obejmuje również min: a) próby enumeracji i wykorzystania znanych podatności w celu uzyskania nieautoryzowanego dostępu, b) próby podszywania się pod użytkownika/administratora i uzyskania nieautoryzowanego dostępu do systemu, c) próby zablokowania/umożliwienia dostępu do Systemu wszystkim lub wybranym jej użytkownikom, d) próby uzyskania nieautoryzowanego dostępu do danych przetwarzanych w systemie, e) próby uzyskania nieautoryzowanego dostępu do klientów zewnętrznych (np. poprzez podsłuch ruchu). f) próby dokonania nieautoryzowanych modyfikacji/usunięcia informacji w systemie, g) testy bezpieczeństwa aplikacji pod kątem typowych zagrożeń: - ataki semantyczne na adres URL, - ataki związane z ładowaniem plików, - ataki typu Cross-Site Scripting, - ataki typu CSRF, - podrabianie zarządzania formularza, - sfałszowanie żądania http, - ujawnienie uwierzytelnień dostępu, - wstrzykiwanie kodu SQL lub innych języków programowania, - ujawnienie danych przechowywanych w bazie, - kradzież cookies, - przechwytywanie sesji, - trawersowanie katalogów, - wstrzykiwanie poleceń systemowych.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres