1
Perioada de actualizare
de la 03.11.2022 11:14
până la 09.11.2022 12:00
2
Propunerea ofertelor
de la 09.11.2022 12:00
până la 16.11.2022 12:00
3
Licitaţie
de la 17.11.2022 14:00
până la 17.11.2022 14:09
4
Evaluare
5
Ofertele au fost evaluate
Statut Ofertele au fost evaluate
Valoarea estimată fără TVA 350 000 MDL
Perioada clarificărilor: 3 nov 2022, 11:14 - 9 nov 2022, 12:00
Perioada de depunere a ofertelor: 9 nov 2022, 12:00 - 16 nov 2022, 12:00
Începutul licitației: 17 nov 2022, 14:00

Suport Tehnic pentru furnizori:

(+373) 79999801

Cerințe pentru servicii de testare informatica pentru identificarea și evaluarea vulnerabilităților a infrastructurii IT externe al CNAS.

1. Scopul și aria de acoperire a serviciilor de pentest:
1.1.Testarea securității a CNAS se va realiza din extern la nivel de site oficial al organizației, sistemele informaționale publice, are ca scop obținerea unei perspective asupra daunelor potențiale și a riscului de bussines-procesele pe care vulnerabilitățile existente le-ar putea provoca.
1.2.Resursele care sunt expuse testelor de penetrare sunt:
1.2.1. 43 IP adrese externe, oficiile teritoriale.
1.2.2. 8 aplicațiilor web.

1.3. Testele de penetrare externe presupun scopul evaluarea securității a perimetrul extern (expus în Internet) al CNAS, în special pentru sistemele critice conectate la Internet sau accesibile din exteriorul infrastructuri a organizației. În cadrul acestor teste vom evalua orice tip de acces unic din exterior la infrastructura privată al CNAS, inclusiv serviciile care au acces limitat la adrese IP externe individuale.
1.4.Testele de penetrare vor include in mod minimal:
a. Obținerea informațiilor din domeniul public
b. Scanarea sistemelor din scop
c. Tehnici de enumerare
- Identificarea sistemelor de operare
- Identificarea patch-urilor de securitate lipsa pe un anumit sistem de operare.
- Determinarea vulnerabilităților cunoscute la nivelul sistemelor de operare
- Identificarea tuturor porturilor deschise
- Identificarea serviciilor care rulează pe un anumit port
- Determinarea vulnerabilităților cunoscute la nivelul serverelor de aplicații
- Determinarea vulnerabilităților cunoscute pentru bazele de date
- Determinarea vulnerabilităților cunoscute la nivelul serviciilor active identificate
- Identificarea problemelor de configurare
- Exploatarea vulnerabilităților identificate
d. Obținerea accesului neautorizat prin exploatarea vulnerabilităților respectiv a problemelor de configurație
e. Consolidarea accesului
1.5.Metodologia de testare elaborata si folosita de către ofertant va fi în conformitate cu bunele practici internaţionale precum: (OWASP, OSSTMM, ISSAF, NIST, ISACA, etc).
1.6.In realizarea testelor de penetrare, ofertantul va realiza următorii pași:
a. Construirea unui model al amenințărilor. Investigarea arhitecturii infrastructurii si a tehnologiei. Identificarea specificațiilor cheie de securitate și a amenințărilor. Crearea unui model al amenințărilor care documentează activele care trebuie protejate, potențialele amenințări la adresa acestor active, atacuri care ar putea fi realizate, precum si condițiile care ar duce la atacuri de succes.
b. Construirea unui plan de evaluare și acțiune. Convertirea amenințărilor posibile în atacuri care vor fi realizate de ingineri de securitate. Condițiile unui atac, descrise in modelarea amenințărilor, sunt testate.
c. Executarea evaluării. Executarea atacurilor, așa cum sunt descrise în planul de acțiune. Descoperirea vulnerabilităților și a variațiilor acestora.
d. Raportarea rezultatelor. Documentarea problemelor identificate și prezentarea unor recomandări pentru remediere.
1.7.Cerințe fața de testele de penetrare pentru aplicațiile web. Testarea de securitate la nivelul aplicațiilor web este realizata în concordanță cu metodologia OWASP, certificata la nivel mondial. Atacurile din planul de testare vizează în principal următoarele aspecte:
a. Testarea mecanismelor de păstrare a confidențialității si integrității datelor
b. Testarea procesului de Management al Identitarii
c. Testarea mecanismelor de Management al configurațiilor
d. Testarea mecanismelor de Autentificare
e. Testarea mecanismelor de Autorizare
f. Testarea mecanismelor de Management al Sesiunilor
g. Testarea mecanismelor de Validare a Datelor
h. Testarea mecanismelor de management al Excepțiilor (erorilor)
i. Testarea mecanismelor Criptografice
j. Testarea problemelor de Logica de Business.
1.8.Cerințe fata de descrierea vulnerabilităților identificate. Partea executiva va conține descrierea pe scurt a problemelor si vulnerabilităților identificate si va utiliza metode grafice (cel puțin diagrame, grafice sau harți). Partea tehnica va detalia din punct de vedere tehnic problemele și vulnerabilitățile identificate. Raportul va conține cel puțin următoarele capitole:
a. Sumar executiv;
b. Obiectivele și scopul evaluării;
c. Prezentare succinta a metodologiei utilizate in cadrul testării;
d. Descrierea contextului în care s-a desfășurat testarea;
e. Prezentarea individuala a vulnerabilităților descoperite, după cum urmează:
- Descrierea vulnerabilității;
- Catalogarea vulnerabilității;
- Descrierea tehnica;
- Analiza severității si probabilității;
- Calcularea riscului;
- Contramăsuri recomandate pentru remediere.
e. Alte detalii si recomandări;
f. Anexa cu lista testelor de securitate efectuate.
1.9.Cerințe fata de analiza de risc. In vederea realizării acestei analize de risc, se realizează următoarele:
a. Identificarea elementelor analizate: sisteme, aplicații, procese, oameni
b. Identificarea vulnerabilităților și a amenințărilor;
c. Cuantificarea și măsurarea scenariilor de risc;
d. Identificarea controalelor aplicabile;
e. Stabilirea registrului de riscuri și identificarea riscurilor reziduale sau a scenariilor necontrolate.
1.10. Cerințe fața de raportul de prezentare și follow-up. Raportul are ca scop prezentarea concluziilor primare și a analizelor rezultate din datele culese în procesul de testare. În urma finalizării activităților de testare, în cadrul unei ședințe de închidere tip workshop, ofertantul va prezenta concluziile activității de testare și va realiza agrearea cu observațiile beneficiarul testării pe principalele domenii funcționale. De asemenea, în cadrul ședinței va fi prezentat, în forma draft, “Raportul de testare”, raport care va fi îmbunătățit pe baza rezultatelor dezbaterilor. Raportul de testare va include:
a. Limitări privind divulgarea și utilizarea raportului de testare a vulnerabilităților;
b. Introducere (rezumat al serviciilor prestate, aria de acoperire și perioada);
c. Sumar executiv:
- Obiectivele și scopul testului de scanare a vulnerabilităților;
- Descrierea contextului în care s-a desfășurat testul de penetrare;
d. Prezentarea individuala a vulnerabilităților descoperite, după cum urmează:
- Descrierea vulnerabilității;
- Catalogarea vulnerabilității;
- Descrierea tehnica;
- Analiza severității si probabilității;
- Calcularea riscului;
- Contramăsuri recomandate pentru remediere.
- Alte detalii si recomandări;
e. Identificarea vulnerabilităților precum:
- Generale;
- Clasificate pe categorie;
- Clasificate pe risc;
- Raport al vulnerabilităților în detaliu care va conține: un sumar, scoring-ul de risc, descrierea riscului, descrierea tehnică.
f. Anexa cu lista testelor de securitate efectuate.
1.11. După confirmarea remedierii vulnerabilităților identificate de către beneficiar, ofertantul va realiza o retestare pentru a confirma închiderea vulnerabilităților identificate.

2. Cerințe față de membrii echipei de proiect:
2.1. Compania care va presta serviciile de penetrare trebuie să prezinte dovezi că poate pune la dispoziție un număr minim de experți-cheie precum:
a. Manager de proiect – responsabil de coordonarea echipei de experți și managementului proiectului în sine.
1. Experiență de cel puțin 3 ani în proiecte similare ca și complexitate și arie. Se va/vor prezenta CV-ul acestuia.
b. Expert Securitate sisteme informaționale – responsabil de coordonarea echipei de experți în realizarea testelor de penetrare:
1. Experiență de cel puțin 3 ani în proiecte similare ca și complexitate și arie. Experiența va fi dovedită prin certificat internațional acreditat în calitate de auditor intern securitate informațională ISO 27001, (CISA) sau echivalentul. Se va/vor prezenta CV-ul acestuia/ora.
c. Expert testare securitate infrastructură rețea – responsabil de testarea de penetrare a infrastructurii de rețea:
1. Experiență de cel puțin 3 ani în proiecte similare ca și complexitate și arie.
2. Cunoștințe privind testarea de securitate a infrastructurilor de rețea din punct de vedere a securității informaționale dovedite prin diplome sau certificate precum: Offensive Security Certified Professional (OSCP) sau echivalentul. Se va/vor prezenta CV-ul acestuia/ora.
d. Expert testare securitate sisteme informatice – responsabil de testarea de penetrare a aplicațiilor web:
1. Experiență de cel puțin 3 ani în proiecte similare ca și complexitate și arie.
2. Cunoștințe privind testarea de securitate a sistemelor informatice din punct de vedere a securității informaționale dovedite prin diplome sau certificate precum: Licensed Penetration Tester (LPT) sau echivalentul, GIAC Cloud Penetration Tester (GCPN) sau echivalentul. Se va/vor prezenta CV-ul acestuia/ora.
3. Cunoștințe avansate privind sisteme de operare, baze de date, sisteme de virtualizare dovedite prin diplome sau experiența – CV.

3. Alte cerințe minim obligatorii față de ofertant:
3.1. Compania ce va presta serviciile de penetrare trebuie să posede o experiență specifică în prestarea serviciilor similar de cel puțin 3 ani în domeniu și minim 3 recomandări (sau 3 contractare similare) pe piața locala din R. Moldova în ultimii 3 ani.
3.2. Compania ce va presta serviciile de penetrare trebuie să dețină competență în domeniul de activitate în servicii privind asigurarea securității informației, teste de penetrare și auditarea sistemelor informatice.
3.3. Semnarea acordului de confidențialitate ((NDA) Non-Disclosure Agreement) cu compania și echipa de implementarea serviciilor.
Informaţia despre solicitant
Codul fiscal/IDNO
Adresa
2028, MOLDOVA, mun.Chişinău, locality, str.Gheorghe Tudor,3
Web site
---
Persoana de contact
Nume Prenume
Donici Serghei
Telefonul de contact
+37322257681
Datele achizitiei
Data publicării
Data ultimilor modificări
3 nov 2022, 14:52
Valoarea estimată (fără TVA)
350 000 MDL
Pasul minim de micşorare a ratei de licitaţie
3 500 MDL
Achizitii.md ID
21066649
Tipul procedurii
Cererea ofertelor de prețuri (servicii)
Criteriu de atribuire
Preţul cel mai scăzut
Adresa de livrare
2028, MOLDOVA, mun.Chişinău, mun.Chişinău, Conform cerințelor din Documentația de atragere a ofertelor
Durata contractului
21 nov 2022 02:00 - 31 dec 2022 02:00
Lista pozițiilor
1)
Denumirea
Serviciile de testare informatica pentru identificarea și evaluarea vulnerabilităților a infrastructurii IT externe al CNAS pentru anul 2022 CPV: 79400000-8 - Consultanţă în afaceri şi în management şi servicii conexe
Cantitatea: 1.0
Unități de măsură: Bucata
Documentele procedurii de achiziție
CAIET DE SARCINI Test de penetrare 2022.semnat
Specificaţie tehnică
Caietul de sarcini
3.11.22 11:14
DUAE Test de penetrare SI CNAS 2022 .semnat
Specificaţie tehnică
DUAE
3.11.22 11:14
Anunț de participare COP Test de vulinerabilitate.semnat (1)
Specificaţie tehnică
Anunț de participare
3.11.22 11:14
ds_servicii_omf_115_15_09_Test de penetrare CNAS 2022
Specificaţie tehnică
Documentația Standard în Word
3.11.22 11:14
DUAE Test de penetrare SI CNAS 2022
Specificaţie tehnică
DUAE în Word
3.11.22 11:14
ds_servicii_omf_115_15_09_Test de penetrare CNAS 2022.semnat
Specificaţie tehnică
Documentația Standard
3.11.22 11:14

Mai jos sunt ofertele participanților, documentele la oferte le puteți vedea făcând clic pe simbolul mapei.

Pe baza deciziei grupului de lucru pentru selectare învingătorului este necesar să:

1) Selectați învingătorul dînd clic pe butonul recunoaște învingător.

2) Trimiteți în termen de 3 zile la adresa de e-mail AAP bap@tender.gov.md forma scanată a deciziei grupului de lucru.

3) După selectarea învingătorului, faceți clic pe butonul: “Confirmă decizia”.

Calificarea participanţilor
Denumirea participantului
Preţul ofertei
Statut
1
Denumirea participantului:

LogicalPoint

Preţul ofertei: 240 000 MDL
Statut: Învingător
Motivul: conform Deciziei grupului de lucru
Documentele de calificare
Documentele depuse cu oferta
2
Denumirea participantului:

DAAC System Integrator SRL

Preţul ofertei: 250 000 MDL
Statut: în aşteptare

Documentele de tipul "documente de calificare", "propunere financiară" și "ilustrare" vor fi vizibile doar atunci cînd oferta va obține statutul "în considerare".

Motivul: Nu este indicat
Documentele de calificare
Nu sunt documente de calificare
Documentele depuse cu oferta
Istoria licitației
Vezi licitația
Cu părere de rău întrebările se pun doar în perioada "Activ".
Clarificări