TEKNİK ŞARTNAME

TEKNİK ŞARTNAME


İşin çeşidi : Bilgi Güvenliği Güvenlik Danışmanlık Hizmeti Alımı

İşin niteliği : Bilgi Güvenliği çalışmaları kapsamında BT Sistemleri Güvenlik, Sızma ve Doğrulama Testi Hizmeti Alınması

Alınması planlanan ürünler:

BT Sistemleri Güvenlik, Sızma ve Doğrulama Testi Hizmeti – 2 Set

Şartnamede;

İstanbul Bilgi Üniversitesi – BİLGİ, ,

Bilişim Teknolojileri Departmanı – BT Dept.

Teklif veren kuruluş, (FİRMA),

Satın alınması yapılacak donanım/yazılım/hizmet ÜRÜN

olarak anılacaktır.


ÖN KOŞULLAR


  • İşbu şartname, BİLGİ'nin kendi lokasyonunda konuşlandırdığı, hizmet aldığı firmalarda barındırdığı sistemler ile veri iletişim ağları üzerinde, Güvenlik, Sızma ve Doğrulama Testi hizmetinin konusunda bilgi birikimine sahip olan FİRMA’ dan yapılmasını kapsamaktadır.

  • Bu kapsamda BİLGİ'nin BT sistemlerine mümkün olabilecek her yolun denenerek sızılmanın test edilmesi, güvenlik açıklıklarının bulunması ile birlikte açıklığın değerlendirilip sistemlere erişimlerin test edilmesi, hizmet durdurmaya yönelik testlerin yapılarak zafiyetlerin belirlenmesi, test sonuçlarına göre yapıan iyileştirmelerin doğrulanması için “2 set” halinde hizmet alımı yapılacaktır.

  • HİZMET’in alım yeri, BİLGİ’nin Santral Kampusu – BT Dept.dır.

  • HİZMET ifa süresi, sözleşmenin imzalandığı tarihten itibaren 1 (bir) yıldır. Ancak kanunlarda belirtilen mücbir sebeplerden dolayı ifa süresinin uzaması durumunda taraflar yeni tarih belirleyecektir. Mücbir sebep halleri dışındaki gecikmeler, cezaya tabidir.

  • FİRMA, detayları ve koşulları işbu şartnamede belirtilen “BT Sistemleri Güvenlik Sızma ve Doğrulama Testi Hizmeti” ni sağlamakla yükümlüdür.

  • HİZMET kapsamında sözleşme süresi içinde 2 (iki) kez “BT Sistemleri Güvenlik, Sızma ve Doğrulama Testi” hizmeti sunacaktır. Testlerin uygulanma tarihleri BİLGİ tarafından belirlenecektir. 2. test, 1. testten en az 6 ay sonra, yine BİLGİ’nin onaylayacağı tarih/saat aralığında yapılacaktır.

  • HİZMET’in belirtilen sürede ifa edilememesi veya teklif edilen ve onaylanan HİZMET’ ten farklı sunulması durumunda, oluşacak zarardan dolayı BİLGİ’nin uğrayacağı maddi ve manevi tazminatlar FİRMA tarafından kayıtsız şartsız kabul edilecektir.


GENEL İSTEK ve ÖZELLİKLER

  • HİZMET, FİRMA’nın bordrolu ve şartnamede belirtilen yetkinliklere sahip personeli tarafından sağlanacaktır.

  • Sızma testini yapacak FİRMA’nın bu sözleşme kapsamında istihdam edeceği personel, konusunda uzman, benzer projelerde bulunmuş, bu konularda en az 2 yıl tecrübe kazanmış olmalıdır.

  • Sızma testini yapacak FİRMA’ nın %100 Yerli ve Türk Sermayesi ile kurulu olması tercih edilmektedir.

  • Sızma testini yapacak FİRMA gerçekleştirecek olduğu Sızma Testi hizmetinde herbir testin manuel veya otomatik olacağını belirtmeli, test aşamasında BİLGİ den uygunluğu ile ilgili onay almalıdır.

  • Sızma testini yapacak FİRMA bu özelliklere sahip personellerinin sözleşme aşamasında çalıştığını gösteren SGK bildirgelerini, özgeçmişini, sertifikalarını ve diplomalarını sözleşme aşamasında BİLGİ’ye sunacaktır.

  • FİRMA'nın sektörde en az 3 (üç) yıldır faaliyet gösteriyor olmalıdır.

  • FİRMA, sunacağı hizmete benzer olarak Türkiye'de gerçekleştirdiği en az üç (3) adet referans projeyi (işlem hacmi, IP sayısı marka değeri vb. kriterlere göre BİLGİ ölçeğinde) sunacaktır. FİRMA tarafından bu referans projelere ilişkin kontak kişi ve iletişim bilgileri teklif ekinde sunulacaktır.

  • Sızma testini yapacak FİRMA, bu sözleşme kapsamında görevlendirilen teknik personelinden memnun kalınmaması durumunda, BİLGİ’den gelecek değişiklik talebini en az aynı vasıfta başka bir personel istihdam ederek karşılayacaktır.


TEKNİK KOŞULLAR


  1. TANIMLAR


  • Zafiyet: Bir sistemde sistemin olası saldırılara karşı dayanma gücünü en aza indirecek hastalıklı/zayıf nokta, açık kapı.


  • Uyumluluk Testleri: PCI-DSS ya da ISO 27001 standartlarına uygunluğun ölçüldüğü testlerdir.


  • DDoS Testleri (Distributed Denial of Service): Sistemin, uygulamanın, network ekipmanlarının ya da network hattının kapasitesinin doldurularak hizmet dışı kalması amacıyla yapılan saldırıların kontrollü şekilde simule edilmesi ile yapılan testlerdir.


  • PCI-DSS (Payment Card lndustry Data Security Standard): Kartlı ödeme sistemlerinde veri güvenliğini sağlamak amacıyla, American Express, Mastercard Worldwide, Visa Inc., JCB lnternational, Discover Financial Services gibi uluslararası ödeme markaları tarafından desteklenen PCI Güvenlik Standartları Kurulu (PCI Security Standards Council) tarafından oluşturulan PCI-DSS olarak bilinen Ödeme Kartı Sektörü Veri Güvenliği standardıdır.


  • Penetrasyon (Sızma) Testi: Kontrollü şekilde yapılan 'hacking' saldırı simülasyonudur.


  • Exploit: Programların zayıflık veya hatalarını kullanan programcıklar, sistemlerin zafiyetlerini kullanabilen özel scriptler ya da programlardır.


  • Test: Uyumluluk testleri ve penetrasyon (sızma) testleri için işbu şartnamede kullanılan genel ifade.


  1. AMAÇ

  • Gerçek bir saldırganın kullandığı yöntemlerin ve bakış açısının kullanılması ve bu sayede rutin kontrollerde tespit edilemeyen güvenlik zafiyetlerinin belirlenmesi ve teknoloji bağımsız çözümler tavsiye edilmesi hedeflenmektedir.

  • Ayrıca PCI-DSS standardının 11.3 maddesinde belirtilen altyapı ve uygulamalardaki değişikliklerden sonra penetrasyon testi (bilgi güvenliği zafiyet testi) yapılmasının karşılanması hedeflenmektedir.


  1. GENEL KAPSAM


BİLGİ tarafından, talep edilecek her bir çalışmanın öncesinde bildirilecek sistemler ya da uygulamalar için iş bu şartnamenin “Teknik Kapsam" bölümünde belirtilen işlerin tamamı kapsamda olacaktır.

    1. Değerlendirme

  • FİRMA işbu şartnamede belirtilen hususlara madde sırasını belirterek, ayrı ayrı cevap verecektir. Şartname maddelerinde istenilen şartların sağlanıp sağlanmadığı hiçbir yoruma olanak vermeyecek şekilde belirtilecektir. Cevaplanmayan maddeler 'anlaşılmış ve kabul edilmiş' olarak değerlendirilecektir.

  • BİLGİ tarafından aşağıda belirtilen değerlendirme kriterlerine göre teknik değerlendirme yapılacaktır.

  • Hizmeti teklif eden FİRMA'nın ilgili konuda gerçekleştirdiği projeler (ölçek ve miktar yazılı olarak beyan edilecektir, FİRMA bilgileri istenildiğinde sözlü olarak iletilecektir.)

  • Madde 5.1’de belirtilen asgari yeterlilik kriterlerinin sağlanma seviyesi (ilave yeterlilikler artı puan olarak değerlendirilecektir)

  • Madde 5.2’de belirtilen asgari yeterlilik kriterlerinin sağlanma seviyesi (ilave yeterlilikler artı puan olarak değerlendirilecektir).

    1. Proje Planı:

  • İşbu şartnamede belirtilen tüm işlemler FİRMA tarafından gerekli hallerde BİLGİ lokasyonunda, BİLGİ yetkili personeli ile birlikte gerçekleştirilecektir. İşin gereği zorunlu olarak farklı bir lokasyonda yapılması gereken çalışma yine BİLGİ yetkili personeli ile iletişim kurularak gerçekleştirilecektir.

  • İşbu şartnamede belirtilen hükümlerin yorumlanmasında BİLGİ'nin görüşü esas kabul edilecektir.

  • Hizmetin ifası esnasında FİRMA ve BİLGİ arasında hizmetin şekli, yapılışı, usul ve esasları, teknikleri vb. dair olabilecek anlaşmazlıklarda BİLGİ'nin görüşü esas kabul edilecektir.

  • FİRMA belirtilen tüm işlemleri bizzat gerçekleştirecektir. BİLGİ yalnızca ihtiyaç duyulacak koordinasyonu sağlamaktan sorumlu olacaktır.

    1. Teklif Değerlendirme Kriterleri:

FİRMA iş bu şartnamede belirtilen hizmet kalemleri için talep edilen hizmetlerin toplamı bazında fiyat teklifi iletecektir.

    1. Proje Süresi:

  • FİRMA işbu şartnamede tariflenen hizmetleri gerçekleştirmeye, BİLGİ'nin talep ettiği süreden itibaren en fazla 15 (onbeş) gün içerisinde başlayabilir durumda olmalıdır.

  • Şartname kapsamında yapılan testler Penetration Testi (Pentest) ve Doğrulama Testi olmak üzere iki aşamadan oluşan 1 set şeklinde olacaktır. Penetration Testi için hizmetin öğrenme, denetim ve test aşaması 30 iş gününü geçmeyecektir. Bu süre net olmamakla birlikte, BİLGİ tarafından verilecek çalışma desteğine bağlı olarak artabilir.

  • FİRMA, Pentest hizmetini ifasından sonra üreteceği raporunu en geç hizmetin tamamlanmasını takip eden 15 iş günü içerisinde BİLGİ'ye teslim etmelidir.

  • BİLGİ, Xxxxxxx raporunu inceledikten sonra raporda belirtilen açıklara karşı tedbirlerini gerek görürse FİRMA danışmanlığında alacak ve FİRMA’ya geribildirim verecektir.

  • BİLGİ geribildirim yaptıktan sonra, FİRMA en geç 10 iş günü içinde raporda belirtilen tüm konularda denetim ve test işlemlerini kontrol amaçlı tekrarlayacaktır (Doğrulama Testi). Ayrıca, BİLGİ gerek görürse alınan tedbirler nedeniyle etkilenen sistemler için FİRMA'dan ek denetim ve test talep edebilecektir.

  • FİRMA, Doğrulama raporunu, BİLGİ’nin kontrolleri ve gerekli iyileştirmeleri yaptığını bildirmesinden sonraki 15 iş günü içerisinde BİLGİ'ye teslim etmelidir.


  1. TEKNİK KAPSAM:


    1. Penetrasyon (Sızma) Testi:

      1. Kapsam ve Genel Hükümler:

  • FİRMA, aşağıda tariflenen tüm hizmetler için vereceği teklifini, toplamda 2 set Penetration Testi ve Doğrulama Testi hizmetlerini sağlayacak şekilde düzenleyecektir.

  • Penetration testi BİLGİ'nin talebine göre internet ortamından ve BİLGİ kurumsal networkünden gerçekleştirilecektir.

  • Test kapsamına dahil olacak cihazlar, uygulamalar, IP numaraları, uygulanacak testler, internet ya da BİLGİ networkünden yapılacağı gibi bilgiler her bir test talebinde BİLGİ tarafından FİRMA'ya bildirilecektir.

  • FİRMA her bir test talebi için BİLGİ ile kullanacağı insan kaynağı ve zaman bilgisinin de yer aldığı test planlarını yazılı olarak paylaşacak ve BİLGİ'nin yazılı onayı ile mutabık kalınan plana uygun şekilde testlere başlayacaktır.

  • FİRMA, BİLGİ sistemlerinde hizmet kesintisine ya da zarara neden olabilecek test türleri için BİLGİ'ye özellikle bildirimde bulunacak ve onay alacaktır.

  • FİRMA, test planında mutabık kalınan zaman planına azami ölçüde uyacak, istisnai durumlarda detaylı bilgilendirme ile birlikte BİLGİ’den onay alacaktır. FİRMA kaynaklı gecikmelerin sorumluluğu FİRMA'da olacak, bunlar için ek bedel ödenmeyecektir.

  • FİRMA, onaylı plana göre gerçekleştirdiği test hizmeti sonucunda, ödeme planına uygun şekilde hizmetini faturalandıracaktır.

  • FİRMA test işlemleri için 7x24 esası ile çalışabilecektir.

  • FİRMA testleri en az senior yetkinlik seviyesindeki personeli ile (işbu şartnamenin 5.1 maddesinde belirtilmiştir) gerçekleştirecektir.

  • FİRMA testlerde kullanacağı ve referans alacağı metodolojiyi (OSSTMM (Open Source Security Testing Methodology Manual), OWASP (Open Web Application Security Project) ve NIST 800-42 (National lnstitute of Standards and Technology - Guideline on Network Security Testing)) gibi açık bir şekilde tarifleyen dokümanlarını teklifi ile iletecektir.

  • BİLGİ, testlerin belirli IP’lerden yapılması ile ilgili Penetration Testi aşamasında IP sınırlaması getirmeyecektir. FİRMA test uyguladığı IP’leri raporunda belirtecektir. BİLGİ, gerektiğinde Doğrulama Testi aşamasında bizzat test edilmesini istediği IP’leri FİRMA ile paylaşacaktır.

  • Test kapsamında yapılan çalışmaları, hazırlanan raporları, tespit edilen açıkları ve bu açıkları giderme yöntemlerini görüşmek üzere yapılacak tüm toplantılara BİLGİ talep etmesi halinde FİRMA katılım sağlayacaktır. FİRMA bu işler için ayrıca ücret talep etmeyecektir.

  • FİRMA kullanacağı tüm araçları temin etmekten, bu araçlara ait yasal sorumluluklarından ve olası maliyetlerinden bizzat sorumludur.

  • Penetration Testi ve Doğrulama Testi ile ilgili raporlama ve tüm kayıtlar, FİRMA tarafından, her bir test hizmeti süresi sonunda, BİLGİ'ye teslimini müteakip geri döndürülemez şekilde yok edilecek, herhangi bir kopyası tutulmayacak ve BİLGİ'ye bu işlemin tamamlandığına dair bildirimde bulunacaktır.

  • FİRMA, gerçekleştirdiği bu hizmete dair BİLGİ'nin yazılı izni olmadan kurumsal ismini, logosunu yazılı ya da sözlü hiçbir şekilde kullanmayacaktır.

  • Test kapsamında FİRMA tarafından yapılacak işlerin tamamı ya da bir kısmında BİLGİ'nin belirleyeceği BİLGİ personeli/personelleri gözlemci olarak bulunabileceklerdir. FİRMA gözlemciye işbaşı eğitimi vermekle ve bilgilerini paylaşmakla yükümlüdür.

      1. Hizmet:

  • Penetration Testi temel olarak keşif, açık bulma, açıklık testi, raporlama, doğrulama aşamalarından oluşmalıdır.

  • Penetration Testi en az aşağıdaki konuları içermelidir:

BİLGİ’ye ait verilerin toplanması, keşif;

  • Servis sağlayıcı bilgilerinin belirlenmesi

  • Kullanılan IP adreslerinin ve etki alanlarının belirlenmesi

  • BİLGİ’ye ait veri detaylarının ve ilgili kişilerin doğruluğunun kontrol edilmesi

  • Tanımlanmış DNS bilgileri ve BİLGİ internet sunucularının hakkında bilgi alınması

  • Benzer alan adları ile kaydedilmiş, yanıltıcı olabilecek alan adlarının belirlenmesi

  • Erişilebilirlik süresi ve oranlarının belirlenmesi

  • Yerel IP adreslerinin belirlenmesi

  • Yapıda var olan güvenlik cihazları ve güvenlik uygulamalarının belirlenmesi

  • BİLGİ internet sunucuları ve Tanımlanmış DNS bilgileri hakkında bilgi alınması. DNS sunucularının konfigürasyon ve uygunluk kontrolünün yapılması

  • DNS Poisoning, Recursive DNS Query vb. karşı güvenlik kontrollerinin ve sızma testlerinin yapılması

  • Ağdaki farklı erişim tipleri, güvenli bölge ve sunucuların yerlerinin, hassas verilerin akış şemasının belirlenmesi

  • DMZ bölgeleri, extranet, portal, web uygulamaları, yönetim arabirimlerini vb. içeren ağ topolojisinin belirlenmesi

  • IP yönlendirme testleri

  • Port taramaları

  • Güvenlik duvarı ardında kalan tüm aktif IP adreslerinin, bu adresleri kullanan sistemlerin marka/model, işletim sistemi markaları ve sürümlerinin belirlenmesi

Internet yönlendiricisinin (Router) kontrolleri;

  • BİLGİ’nin internet yönlendiricisinden alınabilecek yönlendirme ve ağ bilgilerinin belirlenmesi, yönlendirmeye ilişkin güvenlik sorunlarının kontrol edilmesi

  • Paket filtreleme güvenlik kontrolünün yapılması

  • Yönlendirici üzerindeki servislerin belirlenmesi ve güvenlik kontrolleri

Güvenlik duvarı(firewall) kontrolleri;

  • Servis yetki kontrollerinin yapılması

  • Yönlendirmeye ilişkin güvenlik sorunlarının kontrol edilmesi

  • Paket filtrelemeye ilişkin güvenlik sorunlarının kontrol edilmesi

  • İşletim sistemine ilişkin güvenlik sorunlarının kontrol edilmesi

  • Firewall güvenlik kurallarının kontrol edilmesi, sorunların ve zayıflıkların belirlenmesi, tasarım, ek bileşen ve güvenlik sıkılaştırması için önerilerde bulunulması

  • NAT kuralları tablosunun gözden geçirilmesi ve tasarım sorunlarının belirlenmesi, önerilerde bulunulması

  • VPN ayar kontrolleri

  • Güvenlik duvarı konfigürasyon kontrolleri

  • Zayıflık ve sızma testleri

  • Ön tanımlı parola, kullanıcı, grup vb. belirlenmesi

  • Uygulama seviyesi geçitlerin kullanımı ve kurallarındaki problemlerin belirlenmesi

  • Firewall üzerinden yoğun/çok fazla paket gönderilmesine karşılık loglama mekanizmasının test edilmesi



Sunucu kontrolleri;

  • Sunucuların üzerindeki erişilebilir servislerin belirlenmesi ve güvenlik açıklarının kontrol edilmesi

  • Sunucuların kernel, yama, sürüm bilgilerinin elde edilmesi

  • İşletim sistemine ilişkin güvenlik sorunlarının ve ağ zayıflıklarının kontrol edilmesi

  • Kullanıcı tahmini ve parola kırma testleri

  • Kullanıcı ve servislerde uygunsuz/aşırı yetkilendirmelerin ve zayıflığa yol açabilecek yapılandırmaların belirlenmesi

  • Yapılandırma problemlerinin belirlenmesi

  • Paket filtreleme kurallarına ilişkin problemlerin belirlenmesi

  • Sunucu yazılımlarının güncelliğinin kontrolü

  • Sunucu yazılım yapılandırma ve yetkilendirmelerinin kontrolü

  • Uygulamalara yönelik güvenlik sorunlarının kontrol edilmesi

  • SMTP, FTP, HTIP, HTIPS, TELN ET, ICMP, HPC, NETBIOS, SNMP vb. yaygın kullanılan servisler üzerinden gerçekleştirilebilecek sızmalara karşı detaylı kontroller yapılması, sorunların belirlenmesi

Web Uygulamaları Denetimi;

  • Mevcut uygulamalara sıradan bir kullanıcı gibi giriş yapılarak, yazılım açıklarının kötü kullanıma açıklığının kontrol edilmesi

    • Oturum yönetimi testleri

    • Girdi doğrulama testleri

    • Kimlik doğrulama testleri

    • Uygulama artığı testleri

    • Girdi/çıktı yönetimi testleri

    • Diğer sistemler le iletişim ve veri aktarımı güvenliği testleri

    • Brute-force parola testi

    • Yetkilendirme mekanizmasını devre dışı bırakma testleri

    • Erişime açık olmayan bilgilerin ve dokümanları erişilebilirlik kontrolü

    • Debug mode denetimleri

    • Veritabanı servisleri denetimi

    • Veritabanı yetkisiz erişim denetimleri

    • Uygulama sunucusu servisleri denetimi

    • Kullanıcı ve sistem yönetici hakları ayrımı


  • Web uygulamalarının otomatik zayıflık testleri

    • Web sunucu konfigürasyonu

    • HTIP header manipülasyonu

    • HTIP form manipülasyonu

    • XXX manipülasyonu, cross-site scripting testleri

    • Command injection (OS, SSI, LDAP, XPATH vb. komutları) testleri

    • SQL sokuşturma (SQL-Injection)

    • Blind lnjection

    • Back-end memory, session hijacking, buffer overflow kontrolleri

    • Çerez (cookie) manipülasyonu

    • Oturum (session) bilgilerinin manipülasyonu

    • Cross-frame scripting, cross-site request forgery, CGI script

    • Xxxxxx xxxx ve yetkilendirme kontrolleri (authorization & authentication)

    • Hataların ele alınmaması (error handling)

    • İstisnaların ele alınmaması (exception handling)

    • Siteler arası kod çalıştırma (cross-site scripting)

    • XXX bazlı veri girdisi (XXX validation)

    • Uygunsuz SSL kullanımı (improper use of SSL certificates)

    • Zayıf şifre yapıları (weak passwords)

    • Uygunsuz dosya erişimi (veri kaybı) (improper use of access control)

    • Diğer uygulama zayıflık testleri

  • FİRMA, internet üzerinden erişilebilen sistemlerde tarama yapacaktır. Asgari olarak yapılacak tarama tipleri aşağıdaki gibidir;

  • Çalışan sistem taraması (Live System Scanning)

  • Açık port taraması (Open port scanning)

  • Güvenlik açıklıkları taraması (Vulnerability Scanning)


  • FİRMA, ilgili sistemlere atak yapacaktır. Yapılacak atak tipleri en az aşağıdaki gibidir;

  • İşletim sistemi seviyesi (Operating System level attacks)

  • Uygulama seviyesi (Application level attacks)

  • Sunucu konfigürasyon hatalarına yönelik ataklar (Misconfiguration attacks)

  • Yetki seviyesinin yükseltilmesi (Elevating of privileges)

  • Yukarıda listelenen işlemlerin dışında herhangi bir güvenlik açığı bulunup bulunmadığına dair kontrol işlemler yapılmalıdır.

  • Testlerin yalnızca otomatik araçlarla gerçekleştirilmesi yeterli kabul edilmeyecektir. Ek olarak ağ cihazlarının/sunucuların ve özellikle uygulamaların manuel olarak test edilmesi gerekmektedir.

  • Penetration testi raporlarının BİLGİ'ye sunulmasını müteakip güvenlik açıkları BİLGİ tarafından giderildikten sonra, FİRMA bu açıkların giderilip giderilemediğini doğrulama testi ile kontrol edecek ve raporlayacaktır.

      1. Raporlama:

  • Penetration testi raporunda sistemde belirlenen güvenlik açıkları, bu açıkların taşıdıkları riskler itibariyle öncelikleri ve giderilmesi için yapılması gereken işlemler detaylı ve anlaşılır bir şekilde tarif edilmelidir.

  • Test sonucunda hazırlanacak olan ilgili raporlarda;

  • İncelenen sistemlere ilişkin tespit edilen işletim sistemi/çalışan servis ve sürümleri gibi bilgileri

  • Tespit edilen güvenlik zafiyetleri, ekran çıktıları ve/veya video görüntüleri

  • Bu zafiyetlerin sebep olabileceği zararlar/sonuçları ve zafiyete ilişkin referans bilgileri

  • Güvenlik zafiyetlerini gidermek için yapılması gerekenler

  • Her bir test adımında uygulanan yöntemler ve kullanılan araçlar, detaylı şekilde açıklanacaktır.

  • Test sonucunda oluşturulan tüm raporların içeriği sistematik olarak oluşturulmalı ve her raporda, rapor içeriğine kolay erişilebilirliği sağlamak amacı ile indeks yapısı bulunmalıdır.

  • Test sonucunda hazırlanan penetrasyon testi raporunda, tespit edilen güvenlik zafiyetleri kritiklik seviyelerine (kritik, yüksek, orta, düşük) göre gruplandırılacak ve sınıflandırmanın nasıl yapıldığı ilgili raporda açıklanacaktır.

  • Test sonucunda hazırlanan penetration testi raporunda, tespit edilen bir güvenlik zafiyeti, söz konusu zafiyeti bulunduran sistemler bazında gruplandırılmalıdır.

  • Test sonucunda hazırlanan penetration testi raporunda, tespit edilen her güvenlik zafiyeti için alınması gereken alternatifli önlem/önlemler FİRMA tarafından belirlenmeli ve raporlanmalıdır.

  • Test sonucunda hazırlanan penetration testi raporunda, herhangi bir güvenlik zafiyeti başka bir güvenlik zafiyeti veya zafiyetlerinden faydalanılarak tespit edildiyse, bu zafiyet belirlenmelidir.

  • Test sonucunda oluşturulan raporlar, elektronik ortamda Microsoft Word ve Adobe PDF formatında şifreli olarak BİLGİ'ye sunulacaktır. Ek olarak, her iş sonucunda oluşan raporun bir özeti Microsoft PowerPoint sunusu halinde FİRMA tarafından verilecektir.

  • Test sonucunda üretilmiş olan raporlar BİLGİ logolu olarak ve FİRMA onaylı formatta sunulacaktır.

  • Hizmete ait raporlamalar, ayrıntılı teknik içerikten oluşan "Teknik Rapor" ve istatistiksel özet niteliği taşıyan "Yönetimsel Rapor" şeklinde oluşturulacak ve iletilecektir.

  • FİRMA oluşturacağı raporda, zafiyetlerin giderilmesi ve olası zafiyetlerin tekrarlanmaması için genel tasarım ve altyapısal iyileştirmelere tavsiye niteliğinde yer verecektir.

    1. DDoS (Hizmeti Durdurma) Testi:

      1. Kapsam ve Genel Hükümler:

  • DDoS testi BİLGİ'nin talebine göre internet ortamından gerçekleştirilecektir.

  • Test kapsamına dahil olacak cihazlar, uygulamalar, IP numaraları, uygulanacak testler, internet ya da BİLGİ networkünden yapılacağı gibi bilgiler her bir test talebinde BİLGİ tarafından FİRMA'ya bildirilecektir. BİLGİ gerek görürse hiçbir IP, sistem adı, adres bilgisi paylaşmadan direkt test talep edebilecektir.

  • FİRMA her bir test talebi için BİLGİ ile kullanacağı insan kaynağı ve zaman bilgisinin de yer aldığı test planlarını yazılı olarak paylaşacak ve BİLGİ'nin yazılı onayı ile mutabık kalınan plana uygun şekilde testlere başlayacaktır.

  • FİRMA, BİLGİ sistemlerinde hizmet kesintisine ya da zarara neden olabilecek test türleri için BİLGİ'ye özellikle bildirimde bulunacak ve onay alacaktır.

  • FİRMA test planında mutabık kalınan zaman planına azami ölçüde uyacak, istisnai durumlarda detaylı bilgilendirme ile birlikte BİLGİ’den onay alacaktır. FİRMA kaynaklı gecikmelerin sorumluluğu FİRMA'da olacak, bunlar için ek bedel ödenmeyecektir.

  • FİRMA onaylı plana göre gerçekleştirdiği test hizmeti sonucunda, şartname bedeli üzerinden hizmetini faturalandıracaktır.

  • FİRMA test işlemleri için 7x24 esası ile çalışabilecektir.

  • FİRMA testleri en az senior seviyesindeki personeli ile (işbu şartnamenin 5.1 maddesinde belirtilmiştir.) gerçekleştirecektir.

  • FİRMA testlerde kullanacağı ve referans alacağı metodolojiyi (OSSTMM (Open Source Security Testing Methodology Manual), OWASP (Open Web Application Security Project) ve NIST 800-42 (National lnstitute of Standards and Technology - Guideline on Network Security Testing) gibi) açık bir şekilde tarifleyen dokümanlarını teklifi ile iletecektir.

  • FİRMA testleri belirli IP’lerden yapacak ve bu IP’leri test planında belirtecektir.

  • İnternet ortamından gerçekleştirilecek DDoS testleri, farklı coğrafi bölgelerden ve farklı IP adresinden yapılmalıdır.

  • Test kapsamında yapılan çalışmaları, hazırlanan raporları, tespit edilen açıkları ve bu açıkları giderme yöntemlerini görüşmek üzere yapılacak tüm toplantılara BİLGİ talep etmesi halinde FİRMA katılım sağlayacaktır. FİRMA bu işler için ayrıca ücret talep etmeyecektir.

  • FİRMA kullanacağı tüm araçları temin etmekten, bu araçlara ait yasal sorumluluklarından ve olası maliyetlerinden bizzat sorumludur.

  • DDoS Testi ile ilgili raporlama ve tüm kayıtlar, FİRMA tarafından, her bir test hizmeti süresi sonunda, BİLGİ'ye teslimini müteakip geri şekilde yok edilecek, herhangi bir kopyası tutulmayacak ve BİLGİ'ye bu işlemin tamamlandığına dair bildirimde bulunacaktır.

  • FİRMA, gerçekleştirdiği bu hizmete dair BİLGİ'nin yazılı izni olmadan BİLGİ’nin ismini yazılı ya da sözlü hiçbir şekilde kullanmayacaktır.

      1. Hizmet:

  • DDoS Testi en az aşağıdaki senaryoları içermelidir:

  • Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği TCP SYN paketlerinin gönderilmesi

  • Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği UDP paketlerinin gönderilmesi

  • Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği ICMP paketlerinin gönderilmesi

  • Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği TCP SYN + ACK paketlerinin gönderilmesi

  • Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği TCP FIN + ACK paketlerinin gönderilmesi

  • Fragment biti layer-3 IP başlığında set edilmiş, spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği paketlerinin gönderilmesi

  • Fragment biti layer-3 IP başlığında set edilmiş, spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği UDP (protokol 17) paketlerinin gönderilmesi

  • Fragment biti layer-3 IP başlığında set edilmiş, spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği ICMP (protokol 1) paketlerinin gönderilmesi

  • Herhangi bir TCP veya UDP portuna atak yapılması

  • Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği TCP SYN + UDP + ICMP paketlerinin eşzamanlı gönderilmesi

  • Gerçek kaynak IP'lerin kullanılacağı TCP SYN + ACK paketlerinin gönderilmesi

  • Gerçek kaynak IP'lerin kullanılacağı, gönderilen paketlerin zaman aşımı süresinin hedefin bağlantı zaman aşımı süresine küçük-eşit olacağı TCP SYN paketlerinin gönderilmesi

  • Gerçek kaynak IP'lerin kullanılacağı TCP SYN + FIN paketlerinin gönderilmesi

  • Gerçek kaynak IP'lerin kullanılacağı TCP ACK paketlerinin gönderilmesi

  • Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği TCP ACK paketlerinin gönderilmesi

  • Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği, hedef portu 80 olan TCP SYN paketlerinin gönderilmesi

  • Gerçek IP'lerin kullanılacağı ve hedef portu belirli ve sabit bir port olan UDP paketlerinin gönderilmesi

  • Gerçek IP'lerin kullanılacağı, ONS protokolüne uygun olarak oluşturulmuş, hedef portu 53 olan UDP paketlerinin gönderilmesi (normal DNS paketleri)

  • Gerçek IP’lerin kullanılacağı, ICMP protokolüne uygun olarak oluşturulmuş paketlerin gönderilmesi (normal ICMP paketleri)

  • Gerçek IP'lerin kullanılacağı, herhangi bir bayrağı işaretlenmemiş TCP paketlerinin gönderilmesi

  • Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği, herhangi bir bayrağı işaretlenmemiş TCP paketlerinin gönderilmesi

  • Gerçek IP'lerin kullanılacağı, bayrak değerleri rastgele kombinasyonlarla ve sürekli değişen TCP paketlerinin gönderilmesi

  • Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği, bayrak değerleri rastgele kombinasyonlarla ve sürekli değişen TCP paketlerinin gönderilmesi

  • Gerçek IP'lerin kullanıldığı, rastgele "sequence" veya "acknowledgement" numara değerlerine sahip TCP paketlerinin gönderilmesi

  • Gerçek IP'lerin kullanıldığı, rastgele "window size" değerlerine sahip TCP paketlerinin gönderilmesi

  • Gerçek IP'lerin kullanıldığı, rastgele kombinasyonlarla "option" değerine sahip TCP paketlerinin gönderilmesi

  • Gerçek IP'lerin kullanıldığı, rastgele "data length" değerlerinde paketlerin gönderilmesi

  • Hatalı checksum değerlerine sahip paketlerin gönderilmesi

  • Rastgele değişen IP-ID değerli (IP-Identification) paketlerinin gönderilmesi

  • Çeşitli “Fragment flag” ve “offset” değerlerinde paketlerin gönderilmesi

  • Rastgele TTL değerlerinde paketlerin gönderilmesi

  • Rastgele protokol değerlerinde (diğer kısımlar benzer) paketlerin gönderilmesi

  • Hatalı checksum değerlerinde UDP paketlerinin gönderilmesi

  • Gerçek IP’lerle “ICMP echo reply” paketlerinin gönderilmesi

  • Spoof edilmiş kaynak IP’lerin kullanılacağı, “ICMP echo reply” paketlerinin gönderilmesi

  • Gerçek IP’lerle, rastgele değişen kombinasyonlarda “ICMP type/code” sahip ICMP paketlerinin gönderilmesi

  • Spoof edilmiş kaynak IP’lerin kullanılacağı, rastgele değişen kombinasyonlarda “ICMP type/code” sahip ICMP paketlerinin gönderilmesi

  • IPv4 ve IPv6 dışında çeşitli protokol paketlerinin gönderilmesi

  • Uygulama seviyesinde DDoS test senaryoları, BİLGİ'nin talep edeceği her bir uygulama için hazırlanarak FİRMA tarafından gerçekleştirilecektir.

  • Herhangi bir güvenlik açığı bulunup bulunmadığına dair kontrol işlemleri yapılmalıdır.

  • Testlerin yalnızca otomatik araçlarla gerçekleştirilmesi yeterli kabul edilmeyecektir.

  • DDoS test raporlarının BİLGİ'ye sunulmasını müteakip güvenlik açıkları BİLGİ tarafından giderildikten sonra, FİRMA bu açıkların giderilip giderilemediğini doğrulama testi ile kontrol edecektir.

  • DDoS testi raporlarına istinaden güvenlik açıkları BİLGİ tarafından giderildikten sonra, FİRMA bu açıkların giderilip giderilemediğini yeni bir test ile kontrol edecektir. Açıkların tamamen giderilmesine kadar bu döngü devam edebilecektir.

      1. Raporlama:

  • DDoS test raporunda sistemde belirlenen güvenlik açıkları, bu açıkların taşıdıkları riskler itibariyle öncelikleri ve giderilmesi için yapılması gereken işlemler detaylı ve anlaşılır bir şekilde tarif edilmelidir.

  • Test sonucunda hazırlanacak olan ilgili raporlarda;

  • Tespit edilen güvenlik zafiyetleri, ekran çıktıları ve/veya video görüntüleri,

  • Bu zafiyetlerin sebep olabileceği zararlar/sonuçları ve zafiyete ilişkin referans bilgileri,

  • Güvenlik zafiyetlerini gidermek için yapılması gerekenler,

  • Her bir test adımında uygulanan yöntemler ve kullanılan araçlar, detaylı şekilde açıklanacaktır.

  • Test sonucunda oluşturulan tüm raporların içeriği sistematik olarak oluşturulmalı ve her raporda rapor içeriğine kolay erişilebilirliği sağlamak amacı ile indeks yapısı bulunmalıdır.

  • Test sonucunda hazırlanan DDoS testi raporunda, tespit edilen güvenlik zafiyetleri kritiklik seviyelerine (kritik, yüksek, orta, düşük ) göre gruplandırılacak ve sınıflandırmanın nasıl yapıldığı ilgili raporda açıklanacaktır.

  • Test sonucunda hazırlanan DDoS testi raporunda, tespit edilen her güvenlik zafiyeti için alınması gereken alternatifli önlem/önlemler FİRMA tarafından belirlenmeli ve raporlanmalıdır.

  • Test sonucunda hazırlanan DDoS testi raporunda, herhangi bir güvenlik zafiyeti başka bir güvenlik zafiyeti veya zafiyetlerinden faydalanılarak tespit edildiyse, bu zafiyet belirtilmelidir.

  • Test sonucunda oluşturulan raporlar, elektronik ortamda Microsoft Word ve Adobe PDF formatında şifreli olarak BİLGİ'ye sunulacaktır. Ek olarak her iş sonucunda oluşan raporun bir özeti Microsoft PowerPoint sunusu olarak verilecektir.

  • Test sonucunda üretilmiş olan raporlar BİLGİ logolu olarak ve FİRMA onaylı formatta sunulacaktır.

  • Hizmete ait raporlamalar, ayrıntılı teknik içerik ten oluşan "Teknik Rapor" ve istatistiksel özet niteliği taşıyan "Yönetimsel Rapor" şeklinde oluşturulacak ve iletilecektir.

  • FİRMA oluşturacağı raporda, zafiyetlerin giderilmesi ve olası zafiyetlerin tekrarlanmaması için genel tasarım ve altyapısal iyileştirmelere tavsiye niteliğinde yer verecektir.


  1. YETERLİLİKLER:


    1. Test Ekibi Yeterlilikleri:

  • FİRMA, teklifinde bu hizmeti gerçekleştireceği personellerini açık kimlikleriyle birlikte tanıtmalı ve bununla ilgili belgeleri (sigorta evrakları, bordro vb.) teklif dosyasına eklemelidir.

  • FİRMA bildirdiği ve BİLGİ tarafından kabul edilen personeli dışında hizmetin ifasında başkaca hiçbir personeli BİLGİ'nin özel izni olmadan kullanamaz.

  • FİRMA test ekibindeki personel, bu şartnamenin hükümleri saklı kalmak kaydı ile BİLGİ gizlilik sözleşmesini okuyup anladığına ve hükümlerine uyacağına dair, FİRMA ise müteselsil kefil olarak imzalayacaktır. FİRMA imzalanan gizlilik sözleşmelerini, ihaleyi kazanması durumunda yapılacak iş sözleşmesinin imzası ile birlikte teslim edecektir.

  • Test ekibi asgari aşağıdaki şartlara sahip olmalı, ekip üyelerinin özgeçmişleri ve ilgili sertifikalarının 'aslı gibidir' onaylı fotokopileri teklif dosyasına eklenmelidir.

  • FİRMA'nın test ekibi üyeleri bilgi güvenliğiyle ilgili projelerde en az 3 yıl tecrübeli olmalıdır.

  • Test ekibi üyelerinin DDoS konusunda özel eğitim almış olmaları(belgelendirilmesi zorunludur) ve test ekibi üyelerinin en az birinin 3 DDoS testi projesinde görev almış olması tercih nedenidir.


    1. FİRMA Yetkinlikleri:

  • Sızma testini yapacak FİRMA güncel ISO27001 sertifikasına sahip olmalıdır.

  • Sızma testini yapacak FİRMA’nın ihale konusu hizmet kapsamında görevlendireceği en az bir personeli, uluslararası sertifikalarından (OSCP, OSCE, CISSP, CISA, CEH) en az birine sahip olmalıdır.



TEST KAPSAMINDAKİ SİSTEMLER-ALTYAPILAR:


  • Internet üzerinden tarama için;

  • Üniversite IP Bloğu (1xx.xxx.xxx.0/24)(Sözleşmenin imzalanmasından sonra bildirilecektir.)

  • Internetten ulaşılabilen xxxxx.xxx.xx uzantılı siteler.(~200 adet site için yüzesel tarama, 20 adet site için derin tarama)

  • Lokal tarama için;

  • DMZ ve sunucuların lokal IP blokları verilerek, yerel ağa dahil olan bir client ve test tarayıcı sistemi üzerinden atak denemeleri yapılması zafiyetlerin araştırılması(~200 sanal sunucu) (Sunuculara erişim, güvenlik açıklarının tespiti gibi..)






KURUM FİRMA

İSTANBUL BİLGİ ÜNİVERSİTESİ

14

Document Metadata

Filed: February 17th, 2023