Wadium
Wadium w 2 minuty
Uzyskaj wadium bez dokumentów i odchodzenia od komputera, w 3 krokach:
kliknij podaj dane opłać online
Sprawdź, jak to zrobić - Film
Postępowanie: SSM/4/ZO/2024 Testy socjotechniczne i penetracyjne
Termin:
| Zamieszczenia : | 19-02-2024 09:03:00 |
| Składania : | 28-02-2024 14:00:00 |
| Otwarcia : | - |
| Tryb: | Zapytanie ofertowe |
| Rodzaj: | Usługa |
Wymagania i specyfikacja
Szanowni Państwo,
informujemy o postępowaniu prowadzonym przez Zamawiającego w trybie zgodnym z regulaminem wewnętrznym organizacji.
Zapraszamy do złożenia ofert poprzez poniższy formularz elektroniczny.
Zastrzegamy, że postępowanie może zakończyć się brakiem wyboru oferty w przypadku: - niewystarczających środków na realizację zamówienia, - zmianę zapotrzebowania Zamawiającego.
W przypadku pytań:
- merytorycznych, proszę o kontakt poprzez przycisk "Wyślij wiadomość do zamawiającego" lub pod nr tel +48 534 673 473
- związanych z obsługą platformy, proszę o kontakt z Centrum Wsparcia Klienta platformy zakupowej Open Nexus czynnym od poniedziałku do piątku w dni robocze, w godzinach od 8:00 do 17:00.
tel. 22 101 02 02
e-mail: cwk@platformazakupowa.pl
Zaznaczamy, że oficjalnym potwierdzeniem chęci realizacji zamówienia przez Zamawiającego jest wysłanie zamówienia lub podpisanie umowy.
Wiadomości z platformy zakupowej mają charakter informacyjny.
Załączniki do postępowania
| 2024-02-27 13:20 | Patrycja Łaski |
Pytanie
skierowane
do
Zamawiającego
dnia
27.02.2024
o
godzinie
12:09 Czy Zamawiający uzna osobę posiadającą certyfikat OSCP, jako spełniającą wymagania zapytania? OSCP to certyfikat potwierdzający kompetencje techniczne umożliwiające wykonanie testów penetracyjnych i testów bezpieczeństwa. Celem kursu a później pracy osoby posiadającej certyfikat OSCP jest wykrywanie błędów technicznych i technologicznych w ramach systemów teleinformatycznych. Program kursu oraz przedmiot egzaminu przekrojowo traktują bezpieczeństwo od bezpieczeństwa infrastruktury sieciowej, serwerów, systemów operacyjnych, aplikacji i usług desktopowych oraz aplikacji webowych. Certyfikat dedykowany sensu stricte dla pentesterów o dużym doświadczeniu i praktyce zawodowej, zdobywany w ramach rygorystycznego 24 godzinnego praktycznego egzamin certyfikacyjnego. Odpowiedź: Tak, Zamawiający dopuści wymieniony wyżej certyfikat równoważny, o ile Wykonawca, który powołuje się na taki certyfikat jako równoważny wykaże, że wskazywany przez niego certyfikat potwierdza zakres wiedzy i doświadczenia tożsamy z oficjalnym sylabusem egzaminu, którego równoważność jest wskazywana (Rozdział III ust. 1 OPZ). W tym celu Wykonawca powinien dołączyć do oferty przygotowany przez niego dokument, z którego wynika, że równoważny certyfikat spełnia oficjalny sylabus egzaminu, dla certyfikatu/ów oczekiwanych przez Zamawiającego. |
| 2024-02-26 12:02 | Patrycja Łaski |
A. Pytania
skierowane
do
Zamawiającego
dnia
20.02.2024
o
godzinie
8:42
oraz
dnia
22.02.2024
o
godzinie
08:56 1. Czy dopuszczą Państwo ofertę jeśli wykażemy zaświadczenie CISSO – odpowiednik CISSP, który załączam w niniejszej wiadomości do wglądu? Poza tym pentester mający wskazany dokument posiada również certyfikat audytora wiodącego 27001, Certyfikat MSCE, wykształcenie wyższe informatyczne i podyplomowe z ochrony danych osobowych oraz bogate niemal 10 letnie doświadczenie w przeprowadzaniu realizacji odpowiadających zakresowi Państwa zapytania (na co możemy wykazać dziesiątki referencji). Odpowiedź: Tak, Zamawiający dopuści wymieniony wyżej certyfikat równoważny, o ile Wykonawca, który powołuje się na ten certyfikat wykaże, że wskazywany przez niego certyfikat potwierdza zakres wiedzy i doświadczenia tożsamy z oficjalnym sylabusem egzaminu, którego równoważność jest wskazywana. W tym celu Wykonawca powinien dołączyć do oferty przygotowany przez niego dokument, z którego wynika, że równoważny certyfikat spełnia oficjalny sylabus egzaminu, dla CISSP. 2. Ilość lokalizacji organizacji (adresy, info. co znajduje się pod danym adresem – jakie Wydziały, Filie itp.) Odpowiedź: Test penetracyjny nie obejmuje obszaru bezpieczeństwa fizycznego i środowiskowego. 3. Ilość pracowników/użytkowników Odpowiedź: Do 5 użytkowników. 4. Ilość wszystkich hostów podłączonych do sieci (komputery, urządzenia serwerowe, urządzenia sieciowe jak np. drukarki, routery, przełączniki, Access Pointy, urządzenia VoIP etc.). W tym rozgraniczyć: a. Ilość komputerów (również przenośnych) Odpowiedź: Do 10 komputerów. b. Ilość serwerów (fizycznych, wirtualnych) Odpowiedź: Do 2 serwerów. c. Ilość pozostałych urządzeń podłączonych do sieci Odpowiedź: Do 10 urządzeń. 5. Ilość adresów zewnętrznych/publicznych Odpowiedź: Do 10 adresów zewnętrznych/publicznych. 6. Ilość podsieci (jaki zakres maski każdej podsieci?) Odpowiedź: Do ustalenia w trybie roboczym. 7. Ilość serwerowni i ich lokalizacja? Odpowiedź: Test penetracyjny nie obejmuje obszaru bezpieczeństwa fizycznego i środowiskowego. 8. Na jakiej maksymalnie próbie/ilości pracowników organizacji mają zostać wykonane testy socjotechniczne? Odpowiedź: Zamawiający podtrzymuje odpowiedź opublikowaną na platformie zakupowej dnia 2024-02-19 o godzinie 14:59. B. Pytania skierowane do Zamawiającego dnia 20.02.2024 o godzinie 8:42 W zakresie „TP infra (testy penetracyjne)” 1. Zakres adresacji IP objętych testami. Odpowiedź: Do ustalenia w trybie roboczym. 2. Liczba aktywnych IP w ramach adresacji objętej testami. Odpowiedź: Do ustalenia w trybie roboczym. 3. Jaka jest wielkość infrastruktury objętej testami: a. liczba sieci/adresów Odpowiedź: Do ustalenia w trybie roboczym. b. podziały sieci/dc (niezależne wpięcia - np. VPNy lub przepięcia routingów) Odpowiedź: Będzie uzależnione od wektora ataku. Do ustalenia w trybie roboczym 4. Szacowana wielkość AD: a. liczba obiektów Odpowiedź: Do 1500 użytkowników AD. b. Liczba kontrolerów Odpowiedź: Kontroler wirtualny. c. Liczba administratorów domeny Odpowiedź: Bezprzedmiotowe. W zakresie „TS (testy socjotechniczne)” 1. Które z poniższych scenariuszy mają być realizowane: 1) Phishing – emaile z linkiem do fałszywej strony Odpowiedź: Tak, jako możliwy wektor ataku przygotowany przez Wykonawcę w ramach scenariusza podlegającego uzgodnieniu z Zamawiającym. 2) Phishing – emaile z załącznikiem ze szkodliwym oprogramowaniem Odpowiedź: Tak, jako możliwy wektor ataku przygotowany przez Wykonawcę w ramach scenariusza podlegającego uzgodnieniu z Zamawiającym. 3) Phishing – próba nakłonienia pracownika do pobrania dokumentu ze strony www Odpowiedź: Tak, jako możliwy wektor ataku przygotowany przez Wykonawcę w ramach scenariusza podlegającego uzgodnieniu z Zamawiającym. 4) Telefony do pracowników w celu próby pozyskania wrażliwych informacji: A. Zwykłych użytkowników B. Użytkowników uprzywilejowanych (np. administratorów, programistów, itp.) Odpowiedź: Nie. 5) Scenariusze dotyczące komunikatorów (np. Google Meet, Teams, Zoom, Skype, Slack itp.) Odpowiedź: Tak, jako możliwy wektor ataku przygotowany przez Wykonawcę w ramach scenariusza podlegającego uzgodnieniu z Zamawiającym. 6) Postawienie fałszywego WiFi Odpowiedź: Nie. 7) Podrzucenie pendrive ze szkodliwym oprogramowaniem Odpowiedź: Nie. 8) Próby nieautoryzowanego wejścia na teren firmy Odpowiedź: Nie. 9) Inne – prosimy informacje Odpowiedź: Tak, jako możliwy wektor ataku przygotowany przez Wykonawcę w ramach scenariusza podlegającego uzgodnieniu z Zamawiającym. 2. W jakim języku mają być prowadzone testy: A. polskim, Odpowiedź: Tak. B. angielskim Odpowiedź: Nie. 3. Czy otrzymamy dane kontaktowe (email służbowy nr telefonu), do pracowników, którzy mają być objęci testami? Odpowiedź: Zamawiający przekaże, w ramach dostosowania przygotowanych scenariuszy do specyfiki Zamawiającego (wspólne uzgodnienie z Zamawiającym) potrzebne dane. Zamawiający nie przekaże numerów telefonu, bowiem Zamawiający nie przewiduje w ramach testów komunikacji przez telefon. 4. W jakim języku ma być przygotowany raport? Odpowiedź: Język polski. 5. W jakim terminie miałby się odbyć testy? Odpowiedź: Testy powinny rozpocząć się do 30 dni od dnia zawarcia Umowy. Z uwagi na charakter testów socjotechnicznych Zamawiający oczekuje, że testy, a w szczególności 3 kampanie antyphishingowe ,zostaną rozciągnięte w czasie, to jest do 5 miesięcy od dnia zawarcia umowy. Wobec powyższego, Zamawiający zmienia kryteria i warunki formalne w zakresie „3. Termin realizacji” poprzez zastąpienie słów „30 dni od otrzymania zamówienia” słowami „Testy powinny rozpocząć się do 30 dni od dnia zawarcia Umowy i trwać nie dłużej niż do 5 miesięcy od dnia zawarcia Umowy”. 6. Czy dobrze rozumiemy, że celem testów ma być pozyskanie dostępów do skrzynek pocztowych (z których do 5 ma podlegać później analizie)? Tak. Skuteczne nakłonienie pracownika do użycia linku do fałszywej strony, czy też np. załącznika ze szkodliwym oprogramowaniem, powinno skutkować przejęciem skrzynki pocztowej i dalszą analizą informacji, której zakres będzie określony w trybie roboczym z Zamawiającym. 7. Czy dostęp do skrzynek pocztowych jest możliwy z sieci Internet? Odpowiedź: Tak, z uwzględnieniem polityk bezpieczeństwa Zamawiającego. C. Pytania skierowane do Zamawiającego dnia 20.02.2024 o godzinie 7:08 Czy Zamawiający uzna osobę posiadającą poniższe certyfikaty, jako spełniającą wymagania zapytania: • HackerU – Cyber Security Red Team • eJPTv2 – Junior Penetration Tester • TCM – Practical Ethical Hacking • eCPPT - Certified Professional Penetration Tester • eWPTv2 - Web Application Penetration Tester • Certified AppSec Practitioner (CAP) ? jako odpowiadające zakresem CompTia Pentest+. Odpowiedź: Tak, Zamawiający dopuści wymienione wyżej certyfikaty równoważne, o ile Wykonawca, który powołuje się na certyfikaty równoważne wykaże, że wskazywane przez niego certyfikaty potwierdzają zakres wiedzy i doświadczenia tożsamy z oficjalnym sylabusem egzaminu, którego równoważność jest wskazywana (w tym przypadku CompTia Pentest+). W tym celu Wykonawca powinien dołączyć do oferty przygotowany przez niego dokument, z którego wynika, że równoważne certyfikaty spełniają oficjalny sylabus egzaminu, dla certyfikatu CompTia Pentest+. |
| 2024-02-23 13:07 | Patrycja Łaski | Z uwagi na dużą ilość pytań termin składania ofert zostaje przedłużony do dnia 28.02.2024 roku, do godziny 14.00 |
| 2024-02-19 14:59 | Patrycja Łaski |
-
Zwracam
się
do
Państwa
z
pytaniem
dotyczącym
OPZ. Ile osób z Państwa organizacji powinno zostać objętych testami socjotechnicznymi? - Zamawiający zatrudnia obecnie 93 pracowników. Na przeprowadzenie testów socjotechnicznych (wyłudzenie przez Testera poufnych informacji lub uzyskanie nieautoryzowanego dostępu do systemów Zamawiającego) składają się co najmniej 3 zdefiniowane scenariusze ataków dostosowane do specyfiki Zamawiającego (wspólne uzgodnienie z Zamawiającym). Zamawiający, w uzgodnieniu z Wykonawcą, ustali dla każdego scenariusza liczbę pracowników objętych atakiem. W przypadku skuteczności ataku Wykonawca, zgodnie z Rozdziałem II lit B. pkt 1.4 Zapytania ofertowego, dokona analizy danych i informacji skrzynek pocztowych pracowników celem określenia ich przydatności do dalszej eskalacji ataku. Zamawiający dodatkowo wyjaśnia, że będzie oczekiwał analizy danych i informacji w ilości nie większej niż 5 skrzynek pocztowych, o ile będzie taka skuteczność ataku. Zamawiający oczekuje, że Wykonawca poinformuje Zamawiającego o przejętych skrzynkach przed ich analizą. Wybór do 5 skrzynek pocztowych leży po stronie Zamawiającego. |
Komunikaty