Zajištění služby penetračního testování informačního systému II

Předmět zakázky

V průběhu služby je požadováno provedení následujících typových penetračních testů v periodě a termínech definovaných zadavatelem vždy na základě dílčí objednávky. Jedná se o následující penetrační testy: 1. Penetrační test vnějšího perimetru s edukativním modulem pro správce IS (max. 5 osob) v aréně. • Pod tímto typem penetračního testu si zadavatel představuje provedení plného ověření vnějšího perimetru hackerem nebo skupinou hackerů s cílem zjištění možné procentuální úspešnosti proniknutí do perimetru sítě případně do nastavení firewallu. • Součástí tohoto penetračního testu je též test zátěže a služeb poskytovaných providerem. • Nedílnou součástí tohoto penetračního testu je proškolení zaměstnanců zadavatele o průběhu testu a jednotlivých krocích (kybernetická bezpečnostní aréna) • Výstupem penetračního testu je závěrečná zpráva shrnující hrozby a zranitelnosti aktuálního nastavení k tzv „zero day“ 2. Penetrační test vnějšího perimetru. • Pod tímto typem penetračního testu si zadavatel představuje standardní sken rozhraní a DMZ. • Jedná se o méně náročný test spojený se zátěžovým testem systémů v DMZ, případně internetu umístěného u externího provozovatele. • Výstupem penetračního testu je závěrečná zpráva shrnující hrozby a zranitelnosti aktuálního nastavení k tzv „zero day“ 3. Penetrační zátěžový test vnějšího perimetru. • Pod tímto typem penetračního testu si zadavatel představuje ověření výkonnosti systému a ochrany proti DDoS (DoS) útokům. • Výstupem penetračního testu je závěrečná zpráva shrnující hrozby a zranitelnosti aktuálního nastavení k tzv „zero day“ 4. Penetrační test vnitřního subsystému organizace (ruční zjištění zranitelností) • Pod tímto typem penetračního testu si zadavatel představuje provedení testu zranitelností vnitřního systému tak, jako kdyby útočil uživatel tohoto systému zevnitř • Výstupem penetračního testu je závěrečná zpráva shrnující hrozby a zranitelnosti aktuálního nastavení k tzv „zero day“ 5. Penetrační test uživatelské stanice a notebooku • Pod tímto typem penetračního testu si zadavatel představuje provedení bezpečnostního scanu uživatelské stanice nebo notebooku s cílem zjištění možných zranitelností v nastavení systémus cílem identifikace možného způsobu zneužití. • Výstupem penetračního testu je závěrečná zpráva shrnující hrozby a zranitelnosti aktuálního nastavení k tzv „zero day“ 6. Penetrační test uživatelů systému (Sociotechnika, nástrahová zařízení) • Pod tímto typem penetračního testu si zadavatel představuje pokus o proniknutí do informačního systému s využitém chyb zaměstnanců, správců nebo uživatelů ve vazbě na konkrétní nastavení pracovní stanice. • Výstupem penetračního testu je závěrečná zpráva shrnující hrozby a zranitelnosti aktuálního nastavení k tzv „zero day“ 7. Penetrační test aplikací • Pod tímto typem penetračního testu si zadavatel představuje prověření bezpečnosti aplikací a jejich systémové odolnosti. • Výstupem penetračního testu je závěrečná zpráva shrnující hrozby a zranitelnosti aktuálního nastavení k tzv „zero day“ 8. Ověření uživatelských účtů proti databázi uniklých přihlašovacích údajů. • Pod tímto typem testu si zadavatel představuje provedení pravidelných ověření uživatelských účtů domény @psp.cz oproti databázi kompromitovaných uživatelských účtů. • Výstupem je přehled jednotlivých uživatelských účtů a míry jejich kompromitace. S vybraným dodavatelem bude uzavřena rámcová dohoda (dále též „Smlouva“ či „Dohoda“, jejíž návrh je přílohou č. 3 Výzvy k podání nabídek).