Р Е П У Б Л И К А Б Ъ Л Г А Р И Я
ДЪРЖАВНА АГЕНЦИЯ „ЕЛЕКТРОННО УПРАВЛЕНИЕ“
ТЕХНИЧЕСКА СПЕЦИФИКАЦИЯ
КЪМ ОБЯВА ЗА ОБЩЕСТВЕНА ПОРЪЧКА НА СТОЙНОСТ ПО ЧЛ. 20, АЛ. 3 ЗОП С ПРЕДМЕТ:
„Доставка на софтуер за откриване на уязвимости в web сайтове и web приложения, софтуер за управление на уязвимости и софтуер за извличане, сортировка и визуализация на цялата налична информация от работещи или изключени компютри“, обособена в три позиции:
Обособена позиция 1 - „Доставка на софтуерен продукт за откриване на уязвимости в web сайтове и web приложения“;
Обособена позиция 2 - „Доставка на софтуерен продукт за управление на уязвимости“;
Обособена позиция 3 – „Доставка на софтуерен продукт за извличане, сортировка и визуализация на цялата налична информация от работещи или изключени компютри“
2017 г.
Минимални технически изисквания
-
Обособена позиция № 1 „Доставка на софтуерен продукт за откриване на уязвимости в web сайтове и web приложения“
Софтуерният продукт за автоматизирано откриване на уязвимости в web сайтове и web приложения следва да поддържа широка гама от функционалности, част от които са:
-
Да позволява активно тестване на приложения независимо от използваната web технология;
-
Да има DeepScan Technology, като използва технологии като SOAP / WSDL, SOAP / WCF, REST / WADL, XML, JSON, Google уеб Toolkit (GWT) и операции CRUD;
-
Да извършва тестване за SQL Injection и Cross-site Scripting, включително откриване на DOM-базирани Cross-сайт Scripting;
-
Да открива уязвимости от типа Blind XSS, XML External Entity Injection (XXE), Server Side Request Forgery (SSRF), Host Header Attacks, Email Header Injection and Password Reset Poisoning;
-
Да тества страниците за грешка 404 и правилата за презаписа им;
-
Да открива уязвимости в WordPress – да сканира WordPress инсталации за над 1200 известни уязвимости в самото му ядро от теми и плъгини;
-
Да позволява автоматичното сканиране на области, защитени с парола, използващи техники като multi-step, Single Sign-On (SSO), CAPTCHAs, Multi-factor Authentication и OAuth-based уеб сайтове;
-
Да анализира изпълними кодове, като ги стартира;
-
Да може да посочи къде в кода е уязвимостта и да докладва debug информация;
-
Да може да тества за слаби пароли, конфигурацията на уеб сървъра, директории със слаби разрешения (permissions), уязвимости на DNS сървър, тестове за достъп, FTP, зле конфигурирани прокси сървъри, слаби SSL сертификати;
-
Да генерира широка гама от технически доклади и доклади за съответствие с изискванията на стандарти за сигурност на информацията и ръководства за добри практики, насочени към екипите по разработка и експлоатация на web приложения.
-
Лицензът за ползване на софтуера следва да е безсрочен с включена техническа поддръжка и актуализации за срок от 1 година.
-
Срокът на договора за тази обособена позиция е 30 календарни дни.
-
Срокът за доставка на софтуера е максимум 30 календарни дни.
II. Обособена позиция № 2 „Доставка на софтуерен продукт за управление на уязвимости“
Част от функционалностите следва да са:
-
Да сканира системи с публични IP адреси за актуални уязвимости към заплахи от Интернет;
-
Да има капацитет за не по-малко от 200 IP адреса. Да не причинява смущения в работата на мрежата и устройството по време на сканирането;
-
Да има възможност за управление на сканирането;
-
Да идентифицира OS, инсталирания софтуер, активни услуги, състояние на портове, използвани протоколи, конфигурации, зловреден софтуер, експлойти;
-
Да детайлизира информация за инсталирани сертификати;
-
Да дава информация за неактуализирани OS и софтуер;
-
Да идентифицира и приоритизира рискове, произтичащи от откритите уязвимости, включително и Zero-Day;
-
Да предоставя информация за идентификацията по CWE и оценката по CVSS на известните вече уязвимости, открити в системата;
-
Да предлага решения за смекчаване на въздействието на риска и отстраняване на откритите уязвимости;
-
Да изготвя подробни доклади за изброените по-горе изисквания, включително и за използваните проби и получените в резултат отговори;
-
Да гарантира сигурността на данните при събиране, съхранение и пренасяне чрез криптиране и контрол на достъпа.
-
Лицензът за ползване на софтуера следва да е безсрочен или най-малко 12 месеца.
-
Срокът на договора за тази обособена позиция е 12 месеца.
-
Срокът за доставка на софтуера е максимум 30 календарни дни.
III. Обособена позиция № 3 „Доставка на софтуерен продукт за извличане, сортировка и визуализация на цялата налична информация от работещи или изключени компютри“
Софтуерът трябва да има следната функционалност:
-
да е portable;
-
по сигурен и надежден начин да търси, извлича, запазва и визуализира данни по различни критерии, включително ключова дума/и, hash, регулярен израз, големина на файла, дата и час, разширения, път и др. от: целия диск, от волюми, от периферни устройства, от оперативната памет;
-
да извлича и запазва мрежова и системна информация;
-
да запазва извлечените данни на USB устройство, външен твърд диск или на определено място в същата мрежа;
-
да има опции за ръчен режим и автоматичен режим, с предварително конфигуриране на критериите за събиране и запазване на данни;
-
да създава AD1, E01, RAW, или SMART имиджи на събраните данни;
-
да не позволява манипулиране на данните на изследвания компютър;
-
да не позволява манипулиране на данните в процеса на извличане и съхранение.
-
Лицензът за ползване на софтуера следва да е безсрочен.
-
Срокът на договора за тази обособена позиция е 30 календарни дни.
-
Срокът за доставка на софтуера е максимум 30 календарни дни.
Изготвил техническите изисквания за Обособени позиции № 1,2 и 3:
Румянка Димитрова
Началник на отдел МИС, Дирекция МИС
1000 гр. София, ул. "Ген. Й. В. Гурко" № 6,
тел.: (+359 2) 949 20 40 , факс:(+359 2) 949 21 58
www.e-gov.bg, e-mail: mail@e-gov.bg
Сподели с приятели: |