Bezpečnostní testy modulů Statistického... | Elektronické tržiště Gemin

Domů / Zadávací řízení / Bezpečnostní testy modulů…

Výpis systémových zpráv

Bezpečnostní testy modulů Statistického informačního systému dostupných z internetu a autorizačního modulu

Systémové číslo:	T002/15/V00024515
Zadavatel:	ČESKÝ STATISTICKÝ ÚŘAD
VZ:	Uzamčena

Akce se zakázkou

Specifikace základních údajů o VZ

Základní informace

Druh plnění	Služby
Jedná se o službu uvedenou v příloze č.1 k ZVZ v kategorii 5, jejíž klasifikace podle přímo použitelného předpisu ES odpovídá referenčním číslům 7524, 7525 a 7526, a v kategorii 8 či uvedenou v příloze č.2 k ZVZ	Ne

Kontaktní osoby	Zobrazit seznam
VZ zadávaná na základě rámcové smlouvy	Ne
Výsledkem zadávacího řízení bude	Uzavření jednorázové smlouvy

Předmět zakázky

Stručný popis	Předmětem plnění je: 1) vnější penetrační test (včetně DDoS) webové aplikace požadavky-vykazy.czso.cz 2) vnější penetrační test (včetně DDoS) webové aplikace danteweb.czso.cz 3) vnější penetrační test (včetně DDoS) webové aplikace vdb.czso.cz 4) vnitřní penetrační test autorizačního modulu Security Manager Vnější penetrační testy webových aplikací budou zaměřeny na identifikaci bezpečnostních slabin minimálně v rozsahu metodiky OWASP Testing Guide v.4. Součástí testování bude prověření bezpečnosti aplikací jak z pohledu anonymního uživatele, tak se znalostí autentizačních údajů. Vnitřní penetrační test autorizačního modulu bude probíhat v síti Zadavatele (PC připojeným fyzicky do vnitřní sítě nebo připojením přes VPN). Bude zaměřeno na identifikaci bezpečnostních slabin aplikace potenciálně zneužitelných útočníkem z vnitřní sítě ČSÚ. Opět se bude jednat o ověření bez i se znalostí autentizačních údajů. V případě testování se znalostí bude prověřena náchylnost na eskalaci uživatelských oprávnění v rámci testované aplikace. Minimálním rozsahem testování je rozsah metodiky OWASP Testing Guide v.4. Testy webových aplikací (DDoS) proběhnou takovým způsobem nebo v takových časech, aby negativně neovlivnily běžný provoz sítě zadavatele. Požadovány jsou minimálně testy odolnosti proti SYN flood (se sílou alespoň 1500 pps) a Slow HTTP POST nebo Slowloris. Veškeré testy budou provedeny bez destruktivních zásahů, tj. nebudou se provádět žádné změny, které by poškodily testovaný systém. Jako součást výstupů se požaduje zpracování závěrečného zhodnocení bezpečnosti testovaných aplikací, které bude obsahovat popis rizika vyplývajícího z jednotlivých nalezených zranitelností, konkrétní návrhy na odstranění těchto zranitelností a nedostatků, případně návrhy na zvýšení bezpečnosti testovaných částí. Výstupy budou také obsahovat popisy jednotlivých provedených testů. Každá nalezená zranitelnost bude kategorizována z pohledu její závažnosti, pravděpodobnosti zneužití a náročnosti odstranění. Každá klasifikace bude obsahovat minimálně 3 kategorie (např. vysoká/střední/nízká pravděpodobnost zneužití). Jedním z výstupů bude také manažerské shrnutí průběhu testování s přehledem nalezených zranitelností a nedostatků.
Položky předmětu VZ	Zobrazit seznam

Stručný popis

Předmětem plnění je:
1) vnější penetrační test (včetně DDoS) webové aplikace požadavky-vykazy.czso.cz
2) vnější penetrační test (včetně DDoS) webové aplikace danteweb.czso.cz
3) vnější penetrační test (včetně DDoS) webové aplikace vdb.czso.cz
4) vnitřní penetrační test autorizačního modulu Security Manager
Vnější penetrační testy webových aplikací budou zaměřeny na identifikaci bezpečnostních slabin minimálně v rozsahu metodiky OWASP Testing Guide v.4. Součástí testování bude prověření bezpečnosti aplikací jak z pohledu anonymního uživatele, tak se znalostí autentizačních údajů.
Vnitřní penetrační test autorizačního modulu bude probíhat v síti Zadavatele (PC připojeným fyzicky do vnitřní sítě nebo připojením přes VPN). Bude zaměřeno na identifikaci bezpečnostních slabin aplikace potenciálně zneužitelných útočníkem z vnitřní sítě ČSÚ. Opět se bude jednat o ověření bez i se znalostí autentizačních údajů. V případě testování se znalostí bude prověřena náchylnost na eskalaci uživatelských oprávnění v rámci testované aplikace. Minimálním rozsahem testování je rozsah metodiky OWASP Testing Guide v.4.
Testy webových aplikací (DDoS) proběhnou takovým způsobem nebo v takových časech, aby negativně neovlivnily běžný provoz sítě zadavatele. Požadovány jsou minimálně testy odolnosti proti SYN flood (se sílou alespoň 1500 pps) a Slow HTTP POST nebo Slowloris.
Veškeré testy budou provedeny bez destruktivních zásahů, tj. nebudou se provádět žádné změny, které by poškodily testovaný systém.
Jako součást výstupů se požaduje zpracování závěrečného zhodnocení bezpečnosti testovaných aplikací, které bude obsahovat popis rizika vyplývajícího z jednotlivých nalezených zranitelností, konkrétní návrhy na odstranění těchto zranitelností a nedostatků, případně návrhy na zvýšení bezpečnosti testovaných částí. Výstupy budou také obsahovat popisy jednotlivých provedených testů. Každá nalezená zranitelnost bude kategorizována z pohledu její závažnosti, pravděpodobnosti zneužití a náročnosti odstranění. Každá klasifikace bude obsahovat minimálně 3 kategorie (např. vysoká/střední/nízká pravděpodobnost zneužití). Jedním z výstupů bude také manažerské shrnutí průběhu testování s přehledem nalezených zranitelností a nedostatků.

Položky předmětu VZ

Zobrazit seznam

Předpokládaná hodnota

Předpokládaná hodnota	350 000,00 bez DPH
Určit předpokládanou hodnotu ke každé položce zvlášť	Ne
Měna	koruna česká
Nezveřejňovat předpokládanou hodnotu	Ne

Výběr postupu zadání

Postup zadání	VZMR: Otevřená výzva

metodická nápověda

Navigace

Informace o uživateli