1. Strona główna
  2. Postępowanie ID 889770
Wadium

Wadium w 2 minuty

Uzyskaj wadium bez dokumentów i odchodzenia od komputera, w 3 krokach:

kliknij podaj dane opłać online

Uzyskaj wadium

Sprawdź, jak to zrobić - Film

Postępowanie ID: 889770 : SSM/4/ZO/2024 Testy socjotechniczne i penetracyjne

Logo Firmy

Wystawiający

Terminy

  • Zamieszczenia
    2024-02-19 09:03:00
  • Składania
    2024-02-28 14:00:00
  • Otwarcie ofert
    -
  • Tryb
    Zapytanie ofertowe
  • Rodzaj
    Usługa

Wymagania i specyfikacja

Szanowni Państwo,


informujemy o postępowaniu prowadzonym przez Zamawiającego w trybie zgodnym z regulaminem wewnętrznym organizacji.

Zapraszamy do złożenia ofert poprzez poniższy formularz elektroniczny.


Zastrzegamy, że postępowanie może zakończyć się brakiem wyboru oferty w przypadku: - niewystarczających środków na realizację zamówienia, - zmianę zapotrzebowania Zamawiającego.



W przypadku pytań: 

- merytorycznych, proszę o kontakt poprzez przycisk "Wyślij wiadomość do zamawiającego" lub pod nr tel +48 534 673 473

- związanych z obsługą platformy, proszę o kontakt z Centrum Wsparcia Klienta platformy zakupowej Open Nexus czynnym od poniedziałku do piątku w dni robocze, w godzinach od  8:00 do 17:00.

  • tel. 22 101 02 02

  • e-mail: cwk@platformazakupowa.pl


Zaznaczamy, że oficjalnym potwierdzeniem chęci realizacji zamówienia przez Zamawiającego jest wysłanie zamówienia lub podpisanie umowy. 

Wiadomości z platformy zakupowej mają charakter informacyjny.

Załączniki do postępowania
Pobierz wszystkie załączniki

Nazwa
Rozszerzenie
Rozmiar (kB)
Data publikacji
Źródło
Pobierz
Opis przedmiotu zamówienia_testy socjotechniczne i penetracyjne.pdf pdf 222.04
2024-02-19 09:03:00
Postępowanie
Klauzula informacyjna RODO do zapytań ofertowych.pdf pdf 105.16
2024-02-19 09:03:00
Postępowanie
ZAPYTANIE_OFERTOWE_1_2024_KSZBI_testy_bezpieczenstwa_załacznik_nr_1_wykaz_osob_(1)_KSZBI_JS.docx docx 20.59
2024-02-22 08:07:50
Postępowanie

Komunikaty Wyślij wiadomość do zamawiającego

2024-02-27 13:20:48
Patrycja Łaski Pytanie skierowane do Zamawiającego dnia 27.02.2024 o godzinie 12:09
Czy Zamawiający uzna osobę posiadającą certyfikat OSCP, jako spełniającą wymagania zapytania? OSCP to certyfikat potwierdzający kompetencje techniczne umożliwiające wykonanie testów penetracyjnych i testów bezpieczeństwa. Celem kursu a później pracy osoby posiadającej certyfikat OSCP jest wykrywanie błędów technicznych i technologicznych w ramach systemów teleinformatycznych. Program kursu oraz przedmiot egzaminu przekrojowo traktują bezpieczeństwo od bezpieczeństwa infrastruktury sieciowej, serwerów, systemów operacyjnych, aplikacji i usług desktopowych oraz aplikacji webowych. Certyfikat dedykowany sensu stricte dla pentesterów o dużym doświadczeniu i praktyce zawodowej, zdobywany w ramach rygorystycznego 24 godzinnego praktycznego egzamin certyfikacyjnego.

Odpowiedź:
Tak, Zamawiający dopuści wymieniony wyżej certyfikat równoważny, o ile Wykonawca, który powołuje się na taki certyfikat jako równoważny wykaże, że wskazywany przez niego certyfikat potwierdza zakres wiedzy i doświadczenia tożsamy z oficjalnym sylabusem egzaminu, którego równoważność jest wskazywana (Rozdział III ust. 1 OPZ). W tym celu Wykonawca powinien dołączyć do oferty przygotowany przez niego dokument, z którego wynika, że równoważny certyfikat spełnia oficjalny sylabus egzaminu, dla certyfikatu/ów oczekiwanych przez Zamawiającego.
2024-02-26 12:02:51
Patrycja Łaski A. Pytania skierowane do Zamawiającego dnia 20.02.2024 o godzinie 8:42 oraz dnia 22.02.2024 o godzinie 08:56

1. Czy dopuszczą Państwo ofertę jeśli wykażemy zaświadczenie CISSO – odpowiednik CISSP, który załączam w niniejszej wiadomości do wglądu? Poza tym pentester mający wskazany dokument posiada również certyfikat audytora wiodącego 27001, Certyfikat MSCE, wykształcenie wyższe informatyczne i podyplomowe z ochrony danych osobowych oraz bogate niemal 10 letnie doświadczenie w przeprowadzaniu realizacji odpowiadających zakresowi Państwa zapytania (na co możemy wykazać dziesiątki referencji).
Odpowiedź:
Tak, Zamawiający dopuści wymieniony wyżej certyfikat równoważny, o ile Wykonawca, który powołuje się na ten certyfikat wykaże, że wskazywany przez niego certyfikat potwierdza zakres wiedzy i doświadczenia tożsamy z oficjalnym sylabusem egzaminu, którego równoważność jest wskazywana. W tym celu Wykonawca powinien dołączyć do oferty przygotowany przez niego dokument, z którego wynika, że równoważny certyfikat spełnia oficjalny sylabus egzaminu, dla CISSP.
2. Ilość lokalizacji organizacji (adresy, info. co znajduje się pod danym adresem – jakie Wydziały, Filie itp.)
Odpowiedź:
Test penetracyjny nie obejmuje obszaru bezpieczeństwa fizycznego i środowiskowego.
3. Ilość pracowników/użytkowników
Odpowiedź:
Do 5 użytkowników.
4. Ilość wszystkich hostów podłączonych do sieci (komputery, urządzenia serwerowe, urządzenia sieciowe jak np. drukarki, routery, przełączniki, Access Pointy, urządzenia VoIP etc.). W tym rozgraniczyć:
a. Ilość komputerów (również przenośnych)
Odpowiedź:
Do 10 komputerów.
b. Ilość serwerów (fizycznych, wirtualnych)
Odpowiedź:
Do 2 serwerów.
c. Ilość pozostałych urządzeń podłączonych do sieci
Odpowiedź:
Do 10 urządzeń.
5. Ilość adresów zewnętrznych/publicznych
Odpowiedź:
Do 10 adresów zewnętrznych/publicznych.
6. Ilość podsieci (jaki zakres maski każdej podsieci?)
Odpowiedź:
Do ustalenia w trybie roboczym.
7. Ilość serwerowni i ich lokalizacja?
Odpowiedź:
Test penetracyjny nie obejmuje obszaru bezpieczeństwa fizycznego i środowiskowego.
8. Na jakiej maksymalnie próbie/ilości pracowników organizacji mają zostać wykonane testy socjotechniczne?
Odpowiedź:
Zamawiający podtrzymuje odpowiedź opublikowaną na platformie zakupowej dnia 2024-02-19 o godzinie 14:59.

B. Pytania skierowane do Zamawiającego dnia 20.02.2024 o godzinie 8:42

W zakresie „TP infra (testy penetracyjne)”
1. Zakres adresacji IP objętych testami.
Odpowiedź:
Do ustalenia w trybie roboczym.
2. Liczba aktywnych IP w ramach adresacji objętej testami.
Odpowiedź:
Do ustalenia w trybie roboczym.
3. Jaka jest wielkość infrastruktury objętej testami:
a. liczba sieci/adresów
Odpowiedź:
Do ustalenia w trybie roboczym.
b. podziały sieci/dc (niezależne wpięcia - np. VPNy lub przepięcia routingów)
Odpowiedź:
Będzie uzależnione od wektora ataku. Do ustalenia w trybie roboczym
4. Szacowana wielkość AD:
a. liczba obiektów
Odpowiedź:
Do 1500 użytkowników AD.

b. Liczba kontrolerów
Odpowiedź:
Kontroler wirtualny.
c. Liczba administratorów domeny
Odpowiedź:
Bezprzedmiotowe.

W zakresie „TS (testy socjotechniczne)”
1. Które z poniższych scenariuszy mają być realizowane:
1) Phishing – emaile z linkiem do fałszywej strony
Odpowiedź:
Tak, jako możliwy wektor ataku przygotowany przez Wykonawcę w ramach scenariusza podlegającego uzgodnieniu z Zamawiającym.
2) Phishing – emaile z załącznikiem ze szkodliwym oprogramowaniem
Odpowiedź:
Tak, jako możliwy wektor ataku przygotowany przez Wykonawcę w ramach scenariusza podlegającego uzgodnieniu z Zamawiającym.
3) Phishing – próba nakłonienia pracownika do pobrania dokumentu ze strony www
Odpowiedź:
Tak, jako możliwy wektor ataku przygotowany przez Wykonawcę w ramach scenariusza podlegającego uzgodnieniu z Zamawiającym.
4) Telefony do pracowników w celu próby pozyskania wrażliwych informacji:
A. Zwykłych użytkowników
B. Użytkowników uprzywilejowanych (np. administratorów, programistów, itp.)
Odpowiedź:
Nie.
5) Scenariusze dotyczące komunikatorów (np. Google Meet, Teams, Zoom, Skype, Slack itp.)
Odpowiedź:
Tak, jako możliwy wektor ataku przygotowany przez Wykonawcę w ramach scenariusza podlegającego uzgodnieniu z Zamawiającym.
6) Postawienie fałszywego WiFi
Odpowiedź:
Nie.
7) Podrzucenie pendrive ze szkodliwym oprogramowaniem
Odpowiedź:
Nie.
8) Próby nieautoryzowanego wejścia na teren firmy
Odpowiedź:
Nie.
9) Inne – prosimy informacje
Odpowiedź:
Tak, jako możliwy wektor ataku przygotowany przez Wykonawcę w ramach scenariusza podlegającego uzgodnieniu z Zamawiającym.
2. W jakim języku mają być prowadzone testy:
A. polskim,
Odpowiedź:
Tak.
B. angielskim
Odpowiedź:
Nie.
3. Czy otrzymamy dane kontaktowe (email służbowy nr telefonu), do pracowników, którzy mają być objęci testami?
Odpowiedź:
Zamawiający przekaże, w ramach dostosowania przygotowanych scenariuszy do specyfiki Zamawiającego (wspólne uzgodnienie z Zamawiającym) potrzebne dane. Zamawiający nie przekaże numerów telefonu, bowiem Zamawiający nie przewiduje w ramach testów komunikacji przez telefon.
4. W jakim języku ma być przygotowany raport?
Odpowiedź:
Język polski.
5. W jakim terminie miałby się odbyć testy?
Odpowiedź:
Testy powinny rozpocząć się do 30 dni od dnia zawarcia Umowy. Z uwagi na charakter testów socjotechnicznych Zamawiający oczekuje, że testy, a w szczególności 3 kampanie antyphishingowe ,zostaną rozciągnięte w czasie, to jest do 5 miesięcy od dnia zawarcia umowy.
Wobec powyższego, Zamawiający zmienia kryteria i warunki formalne w zakresie „3. Termin realizacji” poprzez zastąpienie słów „30 dni od otrzymania zamówienia” słowami „Testy powinny rozpocząć się do 30 dni od dnia zawarcia Umowy i trwać nie dłużej niż do 5 miesięcy od dnia zawarcia Umowy”.

6. Czy dobrze rozumiemy, że celem testów ma być pozyskanie dostępów do skrzynek pocztowych (z których do 5 ma podlegać później analizie)?
Tak. Skuteczne nakłonienie pracownika do użycia linku do fałszywej strony, czy też np. załącznika ze szkodliwym oprogramowaniem, powinno skutkować przejęciem skrzynki pocztowej i dalszą analizą informacji, której zakres będzie określony w trybie roboczym z Zamawiającym.
7. Czy dostęp do skrzynek pocztowych jest możliwy z sieci Internet?
Odpowiedź:
Tak, z uwzględnieniem polityk bezpieczeństwa Zamawiającego.

C. Pytania skierowane do Zamawiającego dnia 20.02.2024 o godzinie 7:08

Czy Zamawiający uzna osobę posiadającą poniższe certyfikaty, jako spełniającą wymagania zapytania:
• HackerU – Cyber Security Red Team
• eJPTv2 – Junior Penetration Tester
• TCM – Practical Ethical Hacking
• eCPPT - Certified Professional Penetration Tester
• eWPTv2 - Web Application Penetration Tester
• Certified AppSec Practitioner (CAP) ?
jako odpowiadające zakresem CompTia Pentest+.
Odpowiedź:
Tak, Zamawiający dopuści wymienione wyżej certyfikaty równoważne, o ile Wykonawca, który powołuje się na certyfikaty równoważne wykaże, że wskazywane przez niego certyfikaty potwierdzają zakres wiedzy i doświadczenia tożsamy z oficjalnym sylabusem egzaminu, którego równoważność jest wskazywana (w tym przypadku CompTia Pentest+). W tym celu Wykonawca powinien dołączyć do oferty przygotowany przez niego dokument, z którego wynika, że równoważne certyfikaty spełniają oficjalny sylabus egzaminu, dla certyfikatu CompTia Pentest+.
2024-02-23 13:07:27
Patrycja Łaski Z uwagi na dużą ilość pytań termin składania ofert zostaje przedłużony do dnia 28.02.2024 roku, do godziny 14.00
2024-02-19 14:59:19
Patrycja Łaski - Zwracam się do Państwa z pytaniem dotyczącym OPZ.
Ile osób z Państwa organizacji powinno zostać objętych testami socjotechnicznymi?

- Zamawiający zatrudnia obecnie 93 pracowników.
Na przeprowadzenie testów socjotechnicznych (wyłudzenie przez Testera poufnych informacji lub uzyskanie nieautoryzowanego dostępu do systemów Zamawiającego) składają się co najmniej 3 zdefiniowane scenariusze ataków dostosowane do specyfiki Zamawiającego (wspólne uzgodnienie z Zamawiającym).

Zamawiający, w uzgodnieniu z Wykonawcą, ustali dla każdego scenariusza liczbę pracowników objętych atakiem. W przypadku skuteczności ataku Wykonawca, zgodnie z Rozdziałem II lit B. pkt 1.4 Zapytania ofertowego, dokona analizy danych i informacji skrzynek pocztowych pracowników celem określenia ich przydatności do dalszej eskalacji ataku.

Zamawiający dodatkowo wyjaśnia, że będzie oczekiwał analizy danych i informacji w ilości nie większej niż 5 skrzynek pocztowych, o ile będzie taka skuteczność ataku. Zamawiający oczekuje, że Wykonawca poinformuje Zamawiającego o przejętych skrzynkach przed ich analizą. Wybór do 5 skrzynek pocztowych leży po stronie Zamawiającego.

Przedmiot zamówienia Importuj dane z XLS

Lp Nazwa Opis i załączniki Ilość
/ Jm		 Cena netto / Jm Vat Cena brutto / Jm Waluta Adres dostawy Dołącz
Plik
1 Przeprowadzenie testów socjotechnicznych Testy mające na celu wyłudzenie poufnych informacji lub uzyskanie nieautoryzowanego dostępu do systemów Zamawiającego poprzez manipulację i wykorzystanie czynnika ludzkiego 1 szt. - 0
2 Przeprowadzenie testów penetrujących Testy z wybranej przez Zamawiającego wewnętrznej infrastruktury teleinformatycznej, przyjmujących postać zasymulowania zachowania realnego atakującego 1 szt. - 0
Kursy walut NBP

Kryteria i warunki formalne

Lp Nazwa Waga kryterium Opis i załączniki Twoja propozycja lub komentarz Dołącz Plik
1 Cena 100% Wartość oferty 0,00 PLN netto
0,00 PLN brutto 		0
2 Warunki płatności - Przelew 14 dni od dostarczenia prawidłowo wystawionej faktury. Proszę potwierdzić wpisując "Akceptuję" 0
3 Termin realizacji - Testy powinny rozpocząć się do 30 dni od dnia zawarcia Umowy i trwać nie dłużej niż do 5 miesięcy od dnia zawarcia Umowy. Proszę potwierdzić wpisując "Akceptuję" 0
4 Dodatkowe koszty - Wszelkie dodatkowe koszty, w tym koszty transportu, po stronie wykonawcy. Proszę potwierdzić wpisując "Akceptuję" 0
Liczba odsłon strony:
1617
Odblokuj formularz