IT rendszerek biztonsági ellenőrzése

Description du marché

Közbeszerzés mennyisége: Jelen közbeszerzési eljárás alapján megkötésre kerülő keretszerződés teljesítése során Nyertes ajánlattevőként szerződő fél feladata Ajánlatkérő által kibocsátott egyedi megrendelés alapján Ajánlatkérő kijelölt információs rendszereinek, ill. alkalmazásainak biztonsági ellenőrzése (kritikus rendszereken végzett információbiztonsági vizsgálat), mely ellenőrzés magában foglal automatizált és kézi sérülékenység vizsgálatokat (vulnerability assessment), pentesztet (penetration test), valamint forráskód- és konfigurációelemzést, továbbá tartalmazhat egyedi biztonsági ellenőrzést is, mely a feladat felmerülésekor kerül specifikálásra. A részletes feladatmeghatározást a Műszaki leírás tartalmazza. Az egyes vizsgálat típusok (vizsgálati katalógus) az alábbiak lehetnek, ezek lehívását tervezi AK, a feltüntetett mennyiségek várható értékek. [A] Infrastruktúra vizsgálat • A vizsgálat során Nyertes ajánlattevőként szerződő fél elvégzi a műszaki sebezhetőségek feltárását Tenable Nessus Professional szoftver használatával, melyhez a licencet a MAVIR biztosítja. A vizsgálat egy „általános” vizsgálatot jelent, mely kiterjed az operációs rendszerre, valamint annak konfigurációs elemeire. • Feladat a Nessus konfigurálása, a teszt helyszíni futtatása, valamint a kapott eredmények kiértékelése és dokumentálása. • A vizsgálatokhoz tartozik a kapott eredmények kézi ellenőrzése, ahol ez szükséges az eredmények pontosításához. Mennyiségi egység: A vizsgálandó hostok száma. Várható lehívás a Keretszerződés hatálya alatt: 200 host vizsgálata. [B] Webalkalmazás penteszt • A webalkalmazások vizsgálata a publikusan elérhető MAVIR webalkalmazások esetében távolról történik (ehhez Nyertes ajánlattevőként szerződő félneknek meg kell adnia, hogy milyen publikus IP címekről fogja végezni a vizsgálatot), a nem publikus webes alkalmazások tesztelése pedig elsődlegesen VPN-hozzáféréssel történhet. • Az alkalmazásokat futtató adatbázis és egyéb komponensek vizsgálata eseti elbírálás alapján VPN-hozzáféréssel vagy a helyszínen történhet. • A webalkalmazásokra kiterjedő vizsgálathoz használt szoftverek típusát Ajánlatkérő nem kívánja megkötni. Az ajánlatban szerepeltetni kell a használni kívánt szoftverek típusát és verzióját. Amennyiben a szoftver üzleti célú használata nem ingyenes, Nyertes ajánlattevőként szerződő félnek rendelkeznie kell a felhasználásra kerülő szoftver licencével, illetve használati jogával. • A vizsgálat része a kapott eredmények kiértékelése és dokumentálása az egyes feltárt sérülékenységekre vonatkozó evidenciákkal együtt. A vizsgálathoz tartozik a kapott eredmények kézi ellenőrzése, ahol ez szükséges az eredmények pontosításához. Mennyiségi egység: A vizsgálandó webalkalmazások száma. Várható lehívás a Keretszerződés hatálya alatt: 35 webalkalmazás vizsgálata. [C] Vastagkliens alkalmazás penteszt • A vastagkliens offline tesztelésével kapcsolatban Ajánlatkérő nem tesz megkötéseket. • A vastagkliens és Ajánlatkérő szerverei közötti kommunikáció tesztelése során az általános szabályok az érvényesek. • A vizsgálat része a kapott eredmények kiértékelése és dokumentálása. Mennyiségi egység: A vizsgálandó vastagkliens alkalmazások száma. Várható lehívás a Keretszerződés hatálya alatt: 3 vastagkliens alkalmazás vizsgálata. [D] Konfigurációelemzés/hardening vizsgálat • A feladat a vizsgált EIR (Elektronikus Információs Rendszer) infrastruktúra elemein található konfigurációs adatok kigyűjtése és elemzése automatizált vagy kézi módszerek alkalmazásával, és ezek alapján a biztonsági kockázatokat rejtő konfigurációs elemek azonosítása, továbbá javaslattétel a hiányosságok kiküszöbölésére. • A vizsgálathoz használt eszközöket Nyertes ajánlattevőként szerződő félnek kell biztosítania. • Az adatok gyűjtése kizárólag Ajánlatkérő telephelyén, Ajánlatkérő munkatársai által felügyelt adatgyűjtéssel történhet. Az összegyűjtött adatokat Nyertes ajánlattevőként szerződő fél kiviheti Ajánlatkérő telephelyéről, és az elemzést végezheti a saját telephelyén. Mennyiségi egység: A vizsgálandó hostok száma. Várható lehívás a Keretszerződés hatálya alatt: 200 host vizsgálata. [E] Forráskód biztonsági elemzése • A vizsgálat elsődleges célja a forráskód biztonsági vizsgálata. Elvárás olyan eszköz használata, amely a következő CWE sérülékenység-típus adatbázisok (SANS Top25, OWASP Top10) legalább egyikét használja. Elvárás a használt adatbázis megjelölése. • Automatizált és kézi (statikus) vizsgálatokat egyaránt végezni kell. • Az elemzéshez használt eszközöket Nyertes ajánlattevőként szerződő félnek kell biztosítania. • A forráskód elemzéshez Ajánlatkérő előzetesen megadja a használt szoftver technológiákat és programozási nyelveket. Mivel a forráskód elemzés erőforrás igénye nehezen becsülhető, és nem arányos a kódsorok számával, így egy – a MAVIR-nál átlagosnak és tipikusnak tekinthető – 50.000 soros forráskódra vonatkozóan kérjük megadni az ajánlati árat. Mennyiségi egység: A vizsgálandó alkalmazások száma. Várható lehívás a Keretszerződés hatálya alatt: 38 alkalmazás vizsgálata. A 321/2015. (X. 30.) Korm. rendelet 46. § (3) és (5) bekezdései alapján amennyiben a műszaki leírás meghatározott gyártmányú vagy eredetű dologra, illetve konkrét eljárásra, amely egy adott gazdasági szereplő termékeit vagy az általa nyújtott szolgáltatásokat jellemzi, vagy védjegyre, szabadalomra, tevékenységre, személyre, típusra vagy adott származásra vagy gyártási folyamatra hivatkozik, úgy a megnevezés csak a tárgy jellegének egyértelmű meghatározása érdekében történt, és a megnevezés mellett a „vagy azzal egyenértékű” kifejezést is érteni kell. További részletek a közbeszerzési dokumentumokban.

Pouvoir adjudicateur