Valsts kases informācijas sistēmu drošības audita iepirkums

Kategorija: Iepirkumi

1. Iepirkuma priekšmets
Valsts kases informācijas sistēmu (Elektronisko norēķinu sistēmas eKase, Valsts budžeta un pašvaldību budžeta pārskatu sistēmas VBPBP, t. sk. finansēšanas plānu apstrādes moduļa, Vienotās valsts budžeta plānošanas un izpildes sistēmas portāla, Centrālās resursu vadības sistēmas Horizon web moduļa) drošības audits.

4. Paredzamā līgumcena
Līdz  LVL 19 999,00 (bez PVN).

8.1.2. Projekta vadītājam – augstākā izglītība IT jomā, pieredze drošības auditu projektu vadīšanā pēdējo triju gadu laikā. Jāiesniedz CV, kā arī jānorāda vismaz divi IT infrastruktūras audita projekti, kas veikti pēdējo triju gadu laikā. Jānorāda veiktā projekta saturs, konkrētā speciālista loma projektā, projekta pasūtītāja kontaktpersona un tās koordinātes;
8.1.3. Auditoram – augstākā izglītība IT jomā, CISA vai ekvivalents sertifikāts, CISSP vai ekvivalents sertifikāts, sertifikāti, kas apliecina auditora zināšanas auditu veikšanai atbilstoši ISO 27001 standartam un OSSTMM (Open Source Security Testing Methodology Manual) metodikai, Certified Ethical Hacker vai ekvivalents sertifikāts. Jāiesniedz CV, kā arī jānorāda vismaz divi IT infrastruktūras audita projekti, kas veikti pēdējo triju gadu laikā. Jānorāda veiktā projekta saturs, konkrētā speciālista loma projektā, projekta pasūtītāja kontaktpersona un tās koordinātes;
8.1.4. Testētājam – augstākā izglītība IT jomā, CISA vai ekvivalents sertifikāts, sertifikāti, kas apliecina auditora zināšanas auditu veikšanai atbilstoši ISO 27001 standartam un OSSTMM (Open Source Security Testing Methodology Manual) metodikai, Certified Ethical Hacker vai ekvivalents sertifikāts. Jāiesniedz CV, kā arī piedāvājumā jānorāda vismaz trīs „ielaušanās” testēšanas (angļu val. ‘penetration’) projekti, kas veikti pēdējo triju gadu laikā. Jānorāda veiktā projekta saturs, konkrētā speciālista loma projektā, projekta pasūtītāja kontaktpersona un tās koordinātes.

10. Tehniskā specifikācija
10.1. Visaptveroša VBPBP risinājuma drošības testēšana (penentration test), koncentrējoties uz šādiem riskiem:
10.1.1. neautorizēta pieslēgšanās sistēmai;
10.1.2. neautorizēta pieslēgšanās un datu izmainīšana Oracle datubāzē;
10.1.3. riski, kas saistīti ar https sesijas nodibināšanu atsevišķajā klienta modulī;;
10.1.4. PHP izmantošanas riski un veidi to mazināšanai;
10.1.5. neautorizēta pārskatu akceptēšana (parakstīšana) no sistēmas interneta pārlūka saskarnes;
10.1.6. neautorizēta pārskatu statusu mainīšana no sistēmas desktop saskarnes;
10.1.7. neautorizēta paziņojumu ievietošana sistēmas informatīvajā logā;
10.1.8. neautorizēta veidlapu definēšanas rīka izmantošana;
10.1.9. neautorizēta organizāciju struktūras modificēšana;
10.1.10. konfidencialitātes un integritātes aspektu ievērošana datu nodošanas un saņemšanas laikā;
10.1.11. sistēmas pieejamības riskiem;
10.1.12. lietotāja pieejas tiesību pilnvaru palielināšana;
10.1.13. VBPBP risinājuma drošības izvērtējums (arhitektūra, autentifikācijas risinājumi, uzkrātie pierādījumi utt.), salīdzinot ar citiem uz Internetu bāzētiem risinājumiem;
10.1.14. Citiem riskiem, ko piegādātājs identificē un uzskata par būtiskiem sistēmas pilnvērtīgā testēšanā;
10.2. Visaptveroša SAP Portal risinājuma drošības testēšana (penentration test), koncentrējoties uz šādiem riskiem:
10.2.1. neautorizēta pieslēgšanās sistēmai;
10.2.2. neautorizēta datu izmainīšana SAP;
10.2.3. konfidencialitātes un integritātes aspektu ievērošana datu nodošanas un saņemšanas laikā;
10.2.4. sistēmas pieejamības riskiem;
10.2.5. lietotāja pieejas tiesību pilnvaru palielināšana;
10.2.6. SAP risinājuma drošības izvērtējums (arhitektūra, autentifikācijas risinājumi, uzkrātie pierādījumi utt.);
10.2.7. Citiem riskiem, ko piegādātājs identificē un uzskata par būtiskiem sistēmas pilnvērtīgā testēšanā;
10.3. Visaptveroša FPAIS risinājuma drošības testēšana (penentration test), koncentrējoties uz šādiem riskiem:
10.3.1. neautorizēta pieslēgšanās sistēmai;
10.3.2. riski, kas saistīti ar https sesijas nodibināšanu atsevišķajā klienta modulī;
10.3.3. PHP izmantošanas riski un veidi to mazināšanai;
10.3.4. neautorizēta finansēšanas plānu iesniegšana (parakstīšana) no sistēmas saskarnes;
10.3.5. neautorizēta pieslēgšanās un datu izmainīšana oracle datubāzē;
10.3.6. neautorizēta organizāciju struktūras modificēšana;
10.3.7. konfidencialitātes un integritātes aspektu ievērošana datu nodošanas un saņemšanas laikā;
10.3.8. sistēmas pieejamības riskiem;
10.3.9. lietotāja pieejas tiesību pilnvaru palielināšana;
10.3.10. FPAIS risinājuma drošības izvērtējums (arhitektūra, autentifikācijas risinājumi, uzkrātie pierādījumi utt.), salīdzinot ar citiem uz Internetu bāzētiem risinājumiem;
10.3.11. Citiem riskiem, ko piegādātājs identificē un uzskata par būtiskiem sistēmas pilnvērtīgā testēšanā;
10.4. Visaptveroša HORIZON risinājuma drošības testēšana (penentration test), koncentrējoties uz šādiem riskiem:
10.4.1. neautorizēta pieslēgšanās sistēmai izmantojot WEB moduli;
10.4.2. neautorizēta pieslēgšanās un datu izmainīšana oracle datubāzē;
10.4.3. neautorizēta datu modificēšana no sistēmas WEB moduļa;
10.4.4. neautorizēta paziņojumu ievietošana sistēmas WEB modulī;
10.4.5. konfidencialitātes un integritātes aspektu ievērošana datu nodošanas un saņemšanas laikā;
10.4.6. sistēmas pieejamības riskiem;
10.4.7. lietotāja pieejas tiesību pilnvaru palielināšana;
10.4.8. HORIZON risinājuma drošības izvērtējums (arhitektūra, autentifikācijas risinājumi, uzkrātie pierādījumi utt.), salīdzinot ar citiem uz Internetu bāzētiem risinājumiem;
10.4.9. Citiem riskiem, ko piegādātājs identificē un uzskata par būtiskiem sistēmas pilnvērtīgā testēšanā;
10.5. Visaptveroša Ekase risinājuma, tai skaitā OAM drošības testēšana (penentration test), koncentrējoties uz šādiem riskiem:
10.5.1. autentifikācijas mehānisma apiešana;
10.5.2. pakalpojumatteices (Denial of Service) uzbrukuma iespējamība;
10.5.3. nepilnīga ievades parametru validācija pieļauj Cross-site scripting tipa uzbrukumus;
10.5.4. iespējamība saglabāt vai apstiprināt maksājumu bez atbilstošām paraksta tiesībām vai tiesībām piekļūt maksātāja kontam;
10.5.5. iespējamība  nosūtīt neautorizētu maksājumu vai veikt citu  neautorizētu darbību (Cross site request forgery);
10.5.6.  neautorizētas piekļuves iespējamība citu organizāciju maksājumiem, failiem, vēstulēm u.c.;
10.5.7. nepilnīga maksājuma rekvizītu pareizības pārbaude;
10.5.8. maksājumu datu integritātes ietekmēšana;
10.5.9. izpildāma koda faila augšupielāde;
10.5.10. nepietiekama piekļuves tiesību pārbaude, kas ļauj modificēt citu organizāciju informāciju;
10.5.11. neautorizētas pieejas iespējamība citu organizāciju pārskatiem;
10.5.12. maksājuma rīkojuma izveidošana/apstiprināšana bez atbilstošām pilnvarām;
10.5.13. maksājuma datu modifikācija bez atbilstošām pilnvarām;
10.5.14. lietotāja pieejas tiesību pilnvaru palielināšana;
10.5.15. Sistēmas risinājuma drošības izvērtējums (arhitektūra, autentifikācijas risinājumi, uzkrātie pierādījumi utt.), salīdzinot ar citiem līdzīgiem risinājumiem – maksājumu pakalpojumus sniedzēju interneta norēķinu sistēmām;
10.5.16. Citiem riskiem, ko piegādātājs identificē un uzskata par būtiskiem sistēmas pilnvērtīgā testēšanā;

IV.2. Saņemto piedāvājumu skaits: 1
IV.3)INFORMĀCIJA PAR UZVARĒTĀJU
Pilns nosaukums, reģistrācijas numurs vai fiziskai personai – vārds, uzvārds: SIA “IT Centrs”, 40003481064
Pasta adrese: Skolas iela 27-37, Jūrmala, LV – 2016
Pilsēta/Novads: Jūrmala
Pasta indekss: LV – 2016
Valsts: Latvija
Tālruņa numurs: 67609740
Vispārējā interneta adrese (URL): birojs@itcentrs.lv
Faksa numurs: 67609741

IV.4. Informācija par līgumcenu (tikai cipariem)
Piedāvātā līgumcena (bez PVN): 18900 LVL
Kopējā līgumcena par kuru noslēgts līgums (bez PVN): 18900 LVL

Avoti:
Valsts kase: http://kase.gov.lv/?object_id=7381 [pielikums]
IUB: https://www.iub.gov.lv/pvs/show/200881
IUB: https://www.iub.gov.lv/pvs/show/205976

Follow defenselv

2011-09-14  »  edgars