zal_nr_1_do_siwz_opz_56654eff42823
Transkrypt
zal_nr_1_do_siwz_opz_56654eff42823
CSIOZ-WZP.6151.35.2012 Załącznik nr 1 do SIWZ Opis Przedmiotu Zamówienia Świadczenie usługi audytu w ramach Projektu Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (P1) oraz Platforma udostępniania on-line przedsiębiorcom usług i zasobów cyfrowych rejestrów medycznych (P2) Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 1/14 CSIOZ-WZP.6151.35.2012 1. ZAKRES PRAC (SPIS TREŚCI) a) Zapewnienie jakości w projekcie a. Wsparcie zarządzania wdrożeniem b. Zapewnienie narzędzia wsparcia testów c. Zarządzanie wytwarzaniem oprogramowania d. Wsparcie w zakresie zarządzania bezpieczeństwem e. Kontrola jakości wykonania testów wykonywanych po stronie dostawcy oprogramowania f. Wsparcie odbioru środowiska testowego g. Przeprowadzenie audytu powdrożeniowego b) Testy oprogramowania a. Wsparcie zarządzania testami oprogramowania b. Testy systemowe c. Testy migracji danych d. Testy integracyjne e. Testy wydajnościowe f. Testy akceptacyjne g. Testy utrzymaniowe c) Audyt Bezpieczeństwa a. Audyt bezpieczeństwa sieci LAN b. Audyt bezpieczeństwa urządzeń sieciowych c. Audyt bezpieczeństwa VPN(IPsec) d. Audyt bezpieczeństwa sieci WiFi e. Audyt bezpieczeństwa systemów operacyjnych f. Audyt bezpieczeństwa baz danych g. Audyt bezpieczeństwa aplikacji h. Audyt bezpieczeństwa procedur IT d) Wielkość zamówienia Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 2/14 CSIOZ-WZP.6151.35.2012 2. ZAPEWNIENIE JAKOŚCI W PROJEKCIE 2.1. Zadania wykonawcy w zakresie wsparcia zarządzania wdrożeniem 2.1.1. Weryfikacja i uzupełnienie procedur: 2.1.1.1. zarządzania zmianą zakresu projektu, 2.1.1.2. zarządzania środowiskami testowymi, 2.1.1.3. zarządzania wydaniami i konfiguracją, 2.1.1.4. zarządzania defektami. 2.1.2. Wsparcie w przygotowaniu wskaźników sukcesu wdrożenia (KPI) w tym: 2.1.2.1. wsparcie w zakresie szacowania poziomów KPI określających sukces wdrożenia, 2.1.2.2. Wsparcie w opracowaniu procedur monitorowania wskaźników. 2.1.3. Wsparcie zamawiającego w zakresie uczestnictwa w spotkaniach z wykonawcą w szczególności: Przygotowywanie analiz ułatwiających rozstrzygnięcia w kwestiach wymagających doprecyzowania i interpretacji zapisów SIWZ (P1/P2). 2.2. Zadania wykonawcy związane z narzędziami wsparcia testów 2.2.1. Wdrożenie i konfiguracja narzędzia wspierającego zarządzanie testami, 2.2.2. Zapewnienie zgodności konfiguracji ustanowionymi procedurami testowymi, narzędzia wsparcia testów z 2.2.3. Przygotowanie instrukcji użytkownika narzędzia wsparcia testów (instrukcja ewidencji wymagań, instrukcja projektowania przypadków testowych, instrukcja wykonywania testów, instrukcja zgłaszania defektów), 2.2.4. Przeprowadzenie szkolenia dla zespołu wykorzystania narzędzia wsparcia testów, projektowego w zakresie 2.2.5. Wsparcie przy definiowaniu wymagań i zakresu funkcjonalnego dla narzędzi służących do ewidencji i monitorowania błędów. 2.3. Zadania wykonawcy w zakresie wsparcia zarządzania wytwarzaniem oprogramowania 2.3.1. Wsparcie w cyklu zarządzania wytwarzaniem oprogramowania, 2.3.2. Wsparcie zespołu Zamawiającego w obszarze szczegółowego definiowania wymagań dla wytwarzanego oprogramowania, Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 3/14 CSIOZ-WZP.6151.35.2012 2.3.3. Bieżący monitoring dokumentacji projektowej (w szczególności Projekt Techniczny i Plan testów) pod kątem jej kompletności, spójności i zgodności z wymaganiami funkcjonalnymi i technicznymi zdefiniowanymi w SIWZ oraz późniejszymi ustaleniami projektowymi, 2.3.4. Wsparcie w kontroli terminowości i kompletności dostarczania produktów projektu, w szczególności dokumentacji analitycznej i projektowej. 2.4. Zadania wykonawcy w zakresie wsparcia zarządzania bezpieczeństwem 2.4.1. Weryfikacja wymagań bezpieczeństwa wynikających z przepisów prawa. 2.4.2. Weryfikacja wymagań bezpieczeństwa z wymaganiami zdefiniowanymi w SIWZ (P1/P2) 2.4.3. Weryfikacja wymagań ciągłości działania i odtwarzania po awariach z wymaganiami zdefiniowanymi w SIWZ (P1/P2) 2.4.4. Weryfikacja wymagań bezpieczeństwa systemu pod względem zgodności wymagań bezpieczeństwa i systemu zarządzania bezpieczeństwem informacji zamawiającego. 2.4.5. Weryfikacja wymagań systemu zarzadzania ciągłością działania i planów ciągłości działania dla systemu z nadrzędnymi systemami tego typu pracującymi u zamawiającego. 2.4.6. Weryfikacja wymagań systemu zarzadzania bezpieczeństwem informacji z międzynarodowymi normami opisującymi systemy zarzadzania bezpieczeństwem informacji (np. ISO/IEC 27001). 2.4.7. Weryfikacja wymagań systemu zarzadzania ciągłością działania z międzynarodowymi normami opisującymi systemy zarzadzania ciągłością działania informacji (np. BS 25999). 2.4.8. Przeprowadzenie testów penetracyjnych systemu z punktu widzenia anonimowego użytkownika Internetu, użytkownika systemu, pracownika zamawiającego (w tym pracowników firm trzecich jeśli związane są w jakikolwiek sposób z funkcjonowaniem systemu). 2.4.9. Przeprowadzenie audytu bezpieczeństwa systemu w tym architektury sieci, konfiguracji urządzeń sieciowych, konfiguracji systemów operacyjnych, konfiguracji systemów bazodanowych. 2.4.10. Przeprowadzenie analizy kodu zgodnie z powszechnie uznaną metodyką (np. OWASP). Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 4/14 CSIOZ-WZP.6151.35.2012 2.4.11. Przeprowadzenie audytu powdrożeniowego w zakresie bezpieczeństwa w tym 2.4.11.1. Przeprowadzenie raportu z audytu obejmującego Analizę ryzyka 2.4.11.2. Rekomendacje dotyczące systemu (w oparciu o analizę ryzyka) 2.4.12. Wsparcie w zakresie utrzymania i aktualizacji informacji o wdrożonych usługach (katalogu usług) 2.5. Zadania wykonawcy w zakresie kontroli jakości testów wykonanych po stronie dostawcy oprogramowania 2.5.1. Weryfikacja i uzupełnienie planu testów dostawcy, 2.5.2. Przeprowadzenie weryfikacji i uzupełnienie przygotowanych przez dostawcę oprogramowania przypadków testowych w poszczególnych obszarach, 2.5.3. Wykonanie przeglądu ewidencji wykonania przypadków testowych celem weryfikacji jakości procesu testowego po stronie dostawcy. 2.6. Zadania wykonawcy w zakresie odbioru środowiska testowego 2.6.1. Zaplanowanie i wykonanie testów dymnych środowiska testowego. 2.7. Zadania wykonawcy w zakresie przeprowadzenia audytu powdrożeniowego 2.7.1. Przeprowadzenie analizy zmian stanu prawnego 2.7.2. Przeanalizowanie wartości i trendów dla wskaźników KPI w celu analizy osiągnięcia zakładanych dla KPI wyników 2.7.3. Przygotowanie rekomendacji dotyczących usprawnień procesów 2.7.4. Przygotowanie raportu z audytu 3. TESTY OPROGRAMOWANIA 3.1. Zadania wykonawcy w zakresie zarządzania testami oprogramowania 3.1.1. Audyt dokumentacji projektowej (w szczególności Projektu Technicznego) pod kątem jej kompletności, spójności i zgodności z wymaganiami funkcjonalnymi i technicznymi zdefiniowanymi w SIWZ (P1/P2), 3.1.2. Zdefiniowanie strategii testów 3.1.3. Zdefiniowanie wymagań na środowisko i dane testowe 3.1.4. Zapewnienie pokrycia testami wymagań funkcjonalnych, technicznych i prawnych zdefiniowanych w SIWZ dla testowanych obszarów Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 5/14 CSIOZ-WZP.6151.35.2012 3.1.5. Weryfikacja i ustanowienie szablonów wykonywania przypadków testowych. i procedur projektowania i 3.1.6. Wsparcie przy tworzeniu i analizie dokumentacji wyników przeprowadzonych testów. 3.1.7. Monitorowanie i nadzór procesu planowania i realizacji testów. 3.1.8. Bieżące i cykliczne raportowanie postępu testów. 3.1.9. Wsparcie procesu ewidencji i kategoryzacji defektów oraz identyfikacja krytycznych problemów testowych. 3.1.10. Wsparcie w komunikacji problemów testowych dostawcy, w szczególności w zakresie uzgodnień dla dostarczania obejść dla defektów i ich priorytetyzacji z uwagi na cele testów. 3.2. Zadania wykonawcy w zakresie testów systemowych 3.2.1. Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: 3.2.1.1. zaprojektowanie przypadków testowych, 3.2.1.2. utworzenie do nich kroków testowych z wartościami oczekiwanymi, 3.2.1.3. określenie danych testowych. 3.2.2. Wykonanie scenariuszy testowych. 3.2.3. Zgłoszenie defektów. 3.2.4. Wykonanie testów poprawek do zgłoszonych defektów. 3.3. Zadania wykonawcy w zakresie testów migracji danych (dotyczy przejęcia zasobów informacyjnych połączonych prototypów) 3.3.1. Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: 3.3.1.1. zaprojektowanie przypadków testowych, 3.3.1.2. utworzenie do nich kroków testowych z wartościami oczekiwanymi, 3.3.1.3. określenie danych testowych. 3.3.2. Wykonanie scenariuszy testowych. 3.3.3. Zgłoszenie defektów. Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 6/14 CSIOZ-WZP.6151.35.2012 3.3.4. Wykonanie testów poprawek do zgłoszonych defektów. 3.4. Zadania wykonawcy w zakresie testów integracyjnych 3.4.1. Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: 3.4.1.1. zaprojektowanie przypadków testowych, 3.4.1.2. utworzenie do nich kroków testowych z wartościami oczekiwanymi, 3.4.1.3. określenie danych testowych. 3.4.2. Wykonanie scenariuszy testowych. 3.4.3. Zgłoszenie defektów. 3.4.4. Wykonanie testów poprawek do zgłoszonych defektów. 3.5. Zadania wykonawcy w zakresie testów wydajnościowych 3.5.1. Analiza wymagań wydajnościowych dla rozwiązania i weryfikacja celu testów wydajnościowych opisanego w planie testów, 3.5.2. Określenie sposobu pomiaru i potwierdzenie kryteriów akceptacji, 3.5.3. Przygotowanie testów: 3.5.3.1. Zdefiniowanie parametrów, charakterystyk obciążenia 3.5.3.2. Zdefiniowanie transakcji i profili ruchu, 3.5.3.3. Przygotowanie środowiska uruchomieniowego, 3.5.3.4. Implementacja skryptów testowych, i monitorowanych 3.5.4. Wykonanie cyklu testów: 3.5.4.1. Uruchomienie skryptów testowych, 3.5.4.2. Zebranie statystyk z przebiegu testów, 3.5.5. Przeanalizowanie wyników i przedstawienie wniosków i rekomendacji, 3.5.6. Wykonanie dodatkowego cyklu potwierdzającego poprawność działania zaimplementowanych poprawek. 3.6. Zadania wykonawcy w zakresie testów akceptacyjnych Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 7/14 CSIOZ-WZP.6151.35.2012 3.6.1. Przygotowanie scenariuszy testowych zgodnie z zakresem zawartym w planie testów: 3.6.1.1. zaprojektowanie przypadków testowych, 3.6.1.2. utworzenie do nich kroków testowych z wartościami oczekiwanymi, 3.6.1.3. określenie danych testowych. 3.6.2. Wykonanie scenariuszy testowych. 3.6.3. Zgłoszenie defektów 3.6.4. Wykonanie testów poprawek do zgłoszonych defektów. 3.7. Zadania wykonawcy w zakresie testów utrzymaniowych 3.7.1. Przygotowanie produkcyjnego: scenariuszy testowych w oparciu o opis problemu 3.7.1.1. zaprojektowanie przypadków testowych, 3.7.1.2. utworzenie do nich kroków testowych z wartościami oczekiwanymi, 3.7.1.3. określenie danych testowych. 3.7.2. Wykonanie scenariuszy testowych. 3.7.3. Zgłoszenie defektów. 3.7.4. Wykonanie testów poprawek do zgłoszonych defektów. 4. AUDYT BEZPIECZEŃSTWA 4.1. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa sieci LAN 4.1.1. Wskazanie miejsc, które mogą być bezpośrednio zaatakowane w LAN (włamania do wewnętrznych systemów). 4.1.2. Oszacowanie jakości obecnie stosowanych zabezpieczeń w warstwie sieciowej (w tym odporność na ataki techniczne komponentów sieciowych). 4.1.3. Weryfikacja skuteczności procedur zarządzania hasłami (odporność na częste ataki związane z wykorzystaniem domyślnych haseł administracyjnych do urządzeń/usług sieciowych). 4.1.4. Wskazanie ewentualnych dodatkowych metod ochrony. 4.1.5. Wskazanie sposobu naprawy znalezionych luk bezpieczeństwa. Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 8/14 CSIOZ-WZP.6151.35.2012 4.1.6. Ogólna Analiza topologii sieci. 4.1.7. Weryfikacja podziału LAN na strefy sieciowe (w tym wykorzystanie firewalli oraz VLAN). 4.1.8. Określenie usług działających w LAN. 4.1.9. Manualne próby uzyskania dostępu do urządzeń dzięki domyślnych hasłom administracyjnym do urządzeń / serwerów. 4.1.10. Poszukiwanie podatności w kilku wybranych podsieciach (przykładowo: detekcja nieaktualnego oprogramowania, możliwość dostępu do wybranych usług z domyślnym hasłem / bez hasła). 4.1.11. Weryfikacja dostępnych mechanizmów uwierzytelniania dostępnych w sieci. 4.1.12. Weryfikacja mechanizmów ochronnych w warstwie 2 i 3 modelu OSI. 4.1.13. Weryfikacja kilku podstawowych zasad bezpieczeństwa na wybranych kilku stacjach roboczych (udostępnione usługi, poziom dostępu zapewniany dla użytkowników, dostępność oprogramowania klasy antywirus/antymalware sposoby aktualizacji systemu, itp.) 4.1.14. Weryfikacja dostępu do Internetu z LAN. 4.1.15. Wskazanie potencjalnych, dodatkowych metod ochrony sieci. 4.2. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla urządzeń sieciowych. 4.2.1. Zbadanie odporności urządzeń na ataki z poziomu Internetu 4.2.2. Wskazanie potencjalnych skutków ataku dla znalezionych luk i określenie ich krytyczności 4.2.3. Wskazanie potencjalnych, dodatkowych metod ochrony sieci. 4.2.4. Analiza podatności na ataki 4.2.5. Skanowanie portów zaawansowanych). TCP / UDP (kilka typów - prostych oraz 4.2.6. Skanowanie hostów aktywnych w danej podsieci. 4.2.7. Określenie ścieżki sieciowej do urządzenia (wykorzystanie traceroute). 4.2.8. Próba detekcji typu oraz wersji usług sieciowych działających w systemie. Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 9/14 CSIOZ-WZP.6151.35.2012 4.2.9. Próba detekcji wersji oraz zainstalowanego na urządzeniu. typu oprogramowania systemowego 4.2.10. Po udanej detekcji wersji oprogramowania systemowego / usług - próba lokalizacji znanych podatności w danych wersjach oprogramowania. 4.2.11. Próba komunikacji w obrębie protokołu ICMP (kilka wybranych parametrów type/code). 4.2.12. Próba generacji pakietów o dużym rozmiarze (np. powiększonych pakietów ICMP echo). 4.3. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla VPN (IPsec) 4.3.1. Zbadanie poziomu bezpieczeństwa ofertowanego przez system klasy VPN. 4.3.2. Weryfikacja możliwości użycia systemów klasy VPN jako punkt pośredni ataku na infrastrukturę IT. 4.3.3. Określenie realnego zabezpieczenia komunikacji sieciowej oferowanej przez wdrożoną u Zamawiającego implementację VPN. 4.3.4. Próba wykrycia aktywności serwera VPN. 4.3.5. Próba wykrycia rodzaju wykorzystywanego rozwiązania VPN (dostawcy sprzętu). 4.3.6. Próby inicjowania tunelu z różnymi algorytmami kryptograficznymi (szyfry symetryczne, funkcje skrótu, metoda uwierzytelniania, grupa DH). 4.3.7. Skanowanie portów oraz podatności na koncentratorze VPN. 4.3.8. Weryfikacja wykorzystanych trybów połączenia (transport, tunnel, ESP, AH). 4.3.9. Weryfikacja przyjętych metod uwierzytelniania (np. PKI, hasła jednorazowe). 4.3.10. Weryfikacja przyjętych polityk bezpieczeństwa dla urządzeń klienckich korzystających z VPN (pod względem możliwości ataku na infrastrukturę VPN inicjowanych z urządzeń klienckich). 4.3.11. Podstawowa analiza architektury sieci - pod względem rozmieszczenia komponentów 4.4. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla sieci WiFi 4.4.1. Określenie szczelności sieci bezprzewodowej. Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 10/14 CSIOZ-WZP.6151.35.2012 4.4.2. Określenie aktualnie stosowanych mechanizmów zapewniających ochronę w warstwie sieciowej. kryptograficznych 4.4.3. Określenie odporności sieci bezprzewodowej na ataki. 4.4.4. Określenie skalowalności sieci pod względem bezpieczeństwa przy wzroście aktywnych klientów (w zakresie bezpieczeństwa i dystrybucji dostępu). 4.4.5. Wykrycie sieci bezprzewodowych(802.11a, 802.11b,802.11g, 802.11n) w kilku wybranych miejscach. 4.4.6. Określenie skalowalności przyjętych rozwiązań wykorzystania rozwiązań klasy WPA Enterprise) (m.in. w zakresie 4.4.7. Określenie typu zabezpieczeń wykrytych sieci (Open System, WEP, WPA, WPA2). 4.4.8. W przypadku wykrycia sieci klasy Open - próba podłączenia się do Access point. 4.4.9. W przypadku wykrycia sieci z zabezpieczeniami WEP - próba złamania klucza szyfrującego i uzyskania dostępu do sieci. 4.4.10. Weryfikacja trybu ogłaszania SSID oraz wartości SSID. 4.4.11. Próba wykrycia producenta urządzenia Access Point. 4.4.12. Określenie wykorzystanych mechanizmów uwierzytelniania podstawie przekazanych przez Klienta danych dostępowych). stron (na 4.4.13. Sprawdzenie wykorzystania mechanizmów uwierzytelniania oferowanych przez standard 802.1X. 4.4.14. Weryfikacja wykorzystanej klasy protokołu EAP (LEAP, EAP-TLS, PEAP, itd.). 4.5. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla Systemów operacyjnych 4.5.1. Wskazanie zaleceń hardeningowych zwiększających jego bezpieczeństwo dla systemu operacyjnego - 4.5.2. Sprawdzenie udostępnionych usług sieciowych. 4.5.3. Sprawdzenie podziału przestrzeni dyskowej na odpowiednie strefy. Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 11/14 CSIOZ-WZP.6151.35.2012 4.5.4. Sprawdzenie wdrożenia dodatkowych metod ochrony (np.: dodatkowe mechanizmy ochronne zaimplementowane na poziomie kernela, system antywirusowy, itp). 4.5.5. Sprawdzenie przynależności użytkowników do grupy administratorzy. 4.5.6. Sprawdzenie uprawnień do najistotniejszych zasobów. 4.5.7. Sprawdzenie wdrożonego mechanizmu instalacji aktualizacji. 4.5.8. Sprawdzenie wdrożonego mechanizmu kopii zapasowych. 4.5.9. Sprawdzenie wdrożonego systemu logowania zdarzeń. 4.5.10. Sprawdzenie zabezpieczenia systemu w fazie boot. 4.5.11. Sprawdzenie wykorzystywanego sposobu zarządzania systemem. 4.6. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa dla Baz danych. 4.6.1. Wskazanie metod zmniejszających ryzyko wycieku danych z bazy danych 4.6.2. Sprawdzenie wdrożenia podstawowych zasad hardeningowych bazy (np.: dostępność domyślnych użytkowników guest, partycjonowanie bazy, składowanie logów, logowanie nietypowych zdarzeń, dostępność wybranych niebezpiecznych procedur /funkcji składowanych). 4.6.3. Sprawdzenie komunikacji z klientem bazodanowym - wykorzystanie mechanizmów kryptograficznych (logowanie się klienta oraz transfer danych). 4.6.4. Ogólna recenzja architektury bazy (wykorzystane mechanizmy autoryzacji oraz uwierzytelniania; segmentacja uprawnień, wykorzystanie widoków; wykorzystanie procedur składowanych). 4.6.5. Weryfikacja sposobu wykonywania kopii zapasowych. 4.6.6. Analiza sposobu udostępnienia RDBMS na poziomie sieciowym. 4.7. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa aplikacji 4.7.1. Wskazanie ewidentnych słabych punktów w systemie IT - w komponentach aplikacyjnych (np. otwarte hasła dostępowe w plikach konfiguracyjnych po stronie klienckiej) 4.7.2. Weryfikacja procedur stosowanych przy uruchamianiu nowych aplikacji 4.7.3. Weryfikacja mechanizmów uwierzytelniania / autoryzacji 4.7.4. Ogólna analiza plików tekstowych zwartych w katalogi instalacyjnym aplikacji Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 12/14 CSIOZ-WZP.6151.35.2012 4.7.5. Weryfikacja sposobu instalacji aplikacji 4.7.6. Wstępna recenzja poziomu bezpieczeństwa oferowanego przez aplikację 4.7.7. Testy penetracyjne aplikacji polegające na kontrolowanej próbie penetracji systemu z „zewnątrz” w celu wykrycia podatności. 4.8. Zadania wykonawcy w zakresie wykonania Audytu bezpieczeństwa procedur IT 4.8.1. Wykrycie słabości w bezpieczeństwie procedur, związanych z tworzeniem oraz obsługą systemu IT 4.8.2. Wsparcie przy aktualizacji obecnych procedur o aktualne standardy obowiązujące trend w dziedzinie bezpieczeństwa informacji. 4.8.3. W ramach prac sprawdzane będą takie elementy jak: 4.8.3.1. procedury utrzymaniowe, reagowanie na incydenty bezpieczeństwa, sposoby przygotowywania / składowania kopii zapasowych, 4.8.3.2. proceduralna ochrona przed atakami z wewnątrz - np. wykonanego przez administratora systemu, 4.8.3.3. procedury aktualizacji systemu, 4.8.3.4. procedury dostępu dokumentowania zmian. fizycznego do serwerów, procedury 5. WIELKOŚĆ ZAMÓWIENIA Niniejsza tabela zawiera prognozowane zapotrzebowanie na usługi świadczone w ramach poszczególnych ról: Rola w projekcie Maksymalna przewidywana liczba godzin pracy w projekcie Zamówienie podstawowe Maksymalna przewidywana liczba godzin pracy w projekcie Zamówienie opcjonalne Maksymalna przewidywana liczba godzin pracy w projekcie Ekspert ds. zarządzania projektem 4 400 1 100 5 500 Analityk 4 000 1 000 5 000 Ekspert ds. zarządzania wymaganiami Architekt 4 800 1 200 6 000 4 000 1 000 5 000 Ekspert ds. jakości 7 600 1 900 9 500 Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 13/14 CSIOZ-WZP.6151.35.2012 Maksymalna przewidywana liczba godzin pracy w projekcie Zamówienie podstawowe Maksymalna przewidywana liczba godzin pracy w projekcie Zamówienie opcjonalne Maksymalna przewidywana liczba godzin pracy w projekcie Ekspert ds. bezpieczeństwa 4 800 1 200 6 000 Ekspert ds. wytwarzania oprogramowania Ekspert ds. testowania oprogramowania Specjalista ds. testowania oprogramowania Ekspert ds. wdrożeń i utrzymania systemów Liczba godzin 6 400 1 600 8 000 3 200 800 4 000 7 200 1 800 9 000 4 800 1 200 6 000 51 200 12 800 64 000 Rola w projekcie Zamówienie współfinansowane przez Unię Europejską ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Innowacyjna Gospodarka 2007 - 2013. Priorytet VII Społeczeństwo Informacyjne - Budowa elektronicznej administracji "Dotacje na Innowacje" - "Inwestujemy w Waszą przyszłość". 14/14