ŞARTNAME
ŞARTNAME
İşin çeşidi : BT Güvenlik Danışmanlık Hizmeti Alımı
İşin niteliği : BT Sistemleri Güvenlik, Sızma ve Doğrulama Testi Hizmeti
İşin başlama ve bitiş tarihleri :
Alınması Planlanan Destek Hizmetleriyle İlgili Ürünler
BT Sistemleri Güvenlik, Sızma ve Doğrulama Testi Hizmeti – 2 kez
Şartnamede;
İstanbul Bilgi Üniversitesi – KURUM, BİLGİ
İstanbul Bilgi Üniversitesi -Bilişim Teknolojileri Departmanı – BT Dept.
Teklif veren kuruluş, (FİRMA),
Satın alınacak Donanım / Yazılım / Hizmet ÜRÜN olarak anılacaktır.
ÖN KOŞULLAR
İşbu şartname, BİLGİ'nin kendi lokasyonunda konuşlandırdığı yukarıda belirtilen konu ile ilgili konusunda bilgi birikimine sahip olan FİRMA’ dan danışmanlık hizmeti alımını kapsamaktadır.
Hizmet alım merkezi, BİLGİ’ nin Santral Kampusu – BT Departmanı, hizmet noktaları, BİLGİ kullanıldığı tüm lokasyonlarıdır.
FİRMA, şartnamede belirttiği uzmanlıklara sahip personeli görevlendirecektir. FİRMA personeli tarafından yapılan çalışma sırasında arıza veya taleple ilgili olmayan farklı bir zarar oluştuğu taktirde, zarardan dolayı BİLGİ’ nin uğrayacağı maddi ve manevi tazminatları FİRMA kayıtsız şartsız kabul edecektir.
Tazmin edilecek toplam tutar hizmet bedelinin %50(YüzdeElli)sini geçmeyecektir.
Mücbir sebep halleri dışında servis süresinde gecikme olduğu takdirde BİLGİ, sözleşmeyi kısmen veya tamamen tek taraflı olarak iptal etme, sözleşme bedelinin tamamını FİRMA dan iade alma ve cezai işlemleri başlatma hakkına sahiptir. Gecikmenin BİLGİ’ den kaynaklı olması durumunda FİRMA’nın sorumluluğu yoktur.
FİRMA, tekliflerini ve faturalarını Türk Lirası cinsinden düzenleyecektir.
KDV genel tebliğ gereği, BİLGİ kamu kuruluşu sayıldığından aldığı belli başlı hizmetlere yönelik, hizmet sağlayıcılara ödenecek KDV tutarları kanunda belirtilen oranlarda tevkifat (kesinti) uygulamasına tabi tutulmaktadır. Düzenlenecek faturalarda, yürürlükte olan tebliğe uygun KDV tevkifatı yapılacaktır.
Ödeme; iki kez alınacak hizmet için her hizmet alımının BİLGİ tarafından onaylanmasından sonra düzenlenecek fatura tarihinden itibaren 45 (KırkBeş) gün sonraki ilk tedarikçi ödeme gününde yapılacaktır.
TEKNİK KOŞULLAR:
KONU :
BİLGİ (BİLGİ)'nin bilişim sistemlerine mümkün olabilecek her yolun denenerek sızılmanın test edilmesi, güvenlik açıklıklarının bulunması ile birlikte açıklığın değerlendirilip sistemlere erişimlerin test edilmesi, hizmet durdurmaya yönelik testlerin yapılarak zafiyetlerin belirlenmesi için “2 set” hizmet alımı.
TANIMLAR:
Zafiyet: Bir sistemde sistemin olası saldırılara karşı dayanma gücünü en aza indirecek hastalıklı/zayıf nokta, açık kapı.
Uyumluluk Testleri: PCI-DSS ya da ISO 27001 standartlarına uygunluğun ölçüldüğü testlerdir.
DDoS Testleri (Distributed Denial of Service): Sistemin, uygulamanın, network ekipmanlarının ya da network hattının kapasitesinin doldurularak hizmet dışı kalması amacıyla yapılan saldırıların kontrollü şekilde simule edilmesi ile yapılan testlerdir.
PCI-DSS (Payment Card lndustry Data Security Standard): Kartlı ödeme sistemlerinde veri güvenliğini sağlamak amacıyla, American Express, Mastercard Worldwide, Visa Inc., JCB lnternational, Discover Financial Services gibi uluslararası ödeme markaları tarafından desteklenen PCI Güvenlik Standartları Kurulu (PCI Security Standards Council) tarafından oluşturulan PCI-DSS olarak bilinen Ödeme Kartı Sektörü Veri Güvenliği standardıdır.
Penetrasyon (Sızma) Testi: Kontrollü şekilde yapılan 'hacking' saldırı simülasyonudur.
Exploit: Programların zayıflık veya hatalarını kullanan programcıklar, sistemlerin zafiyetlerini kullanabilen özel scriptler ya da programlardır.
Test: Uyumluluk testleri ve penetrasyon (sızma) testleri için işbu şartnamede kullanılan genel ifade.
AMAÇ
Gerçek bir saldırganın kullandığı yöntemlerin ve bakış açısının kullanılması ve bu sayede rutin kontrollerde tespit edilemeyen güvenlik zafiyetlerinin belirlenmesi ve teknoloji bağımsız çözümler tavsiye edilmesi hedeflenmektedir.
Ayrıca PCI-DSS standardının 11.3 maddesinde belirtilen altyapı ve uygulamalardaki değişikliklerden sonra penetrasyon testi (bilgi güvenliği zafiyet testi) yapılmasının karşılanması hedeflenmektedir.
GENEL KAPSAM
BİLGİ tarafından, talep edilecek her bir çalışmanın öncesinde bildirilecek sistemler ya da uygulamalar için iş bu şartnamenin "(4) Şartnamenin Teknik Kapsamı" bölümünde belirtilen işlerin tamamı kapsamda olacaktır.
Değerlendirme:
FİRMA işbu şartnamede belirtilen hususlara madde sırasını belirterek, ayrı ayrı cevap verecektir. Şartname maddelerinde istenilen şartların sağlanıp sağlanmadığı hiçbir yoruma olanak vermeyecek şekilde belirtilecektir. Cevaplanmayan maddeler 'anlaşılmış ve kabul edilmiş' olarak değerlendirilecektir.
BİLGİ tarafından aşağıda belirtilen değerlendirme kriterlerine göre teknik değerlendirme yapılacaktır.
Hizmeti teklif eden FİRMA'nın ilgili konuda gerçekleştirdiği projeler (ölçek ve miktar yazılı olarak beyan edilecektir, FİRMA bilgileri istenildiğinde sözlü olarak iletilecektir.)
Madde 4.1’de belirtilen asgari yeterlilik kriterlerinin sağlanma seviyesi (ilave yeterlilikler artı puan olarak değerlendirilecektir)
Madde 4.2’de belirtilen asgari yeterlilik kriterlerinin sağlanma seviyesi (ilave yeterlilikler artı puan olarak değerlendirilecektir)
Proje Planı:
İşbu şartnamede belirtilen tüm işlemler FİRMA tarafından gerekli hallerde BİLGİ lokasyonunda, BİLGİ yetkili personeli ile birlikte gerçekleştirilecektir. İşin gereği zorunlu olarak farklı bir lokasyonda yapılması gereken çalışma yine BİLGİ yetkili personeli ile iletişim kurularak gerçekleştirilecektir.
İşbu şartnamede belirtilen hükümlerin yorumlanmasında BİLGİ'nin görüşü esas kabul edilecektir.
Hizmetin ifası esnasında FİRMA ve BİLGİ arasında hizmetin şekli, yapılışı, usul ve esasları, teknikleri vb. dair olabilecek anlaşmazlıklarda BİLGİ'nin görüşü esas kabul edilecektir.
FİRMA belirtilen tüm işlemleri bizzat gerçekleştirecektir. BİLGİ yalnızca ihtiyaç duyulacak koordinasyonu sağlamaktan sorumlu olacaktır.
Teklif Değerlendirme Kriterleri:
FİRMA iş bu şartnamede belirtilen hizmet kalemleri için talep edilen hizmetlerin toplamı bazında fiyat teklifinde bulunacaktır.
Proje Süresi:
FİRMA işbu şartnamede tariflenen hizmetleri gerçekleştirmeye, BİLGİ'nin talep ettiği süreden itibaren en fazla 7 gün içerisinde başlayabilir durumda olmalıdır.
FİRMA sözleşme imzasından itibaren işbu şartnamede tariflenen hizmetleri belirtilen şartlarla sağlayacaktır.
Şartname kapsamında yapılan testler Penetration Testi (Pentest) ve Doğrulama Testi olmak üzere iki aşamadan oluşan 1 set şeklinde olacaktır. Penetration Testi için hizmetin öğrenme, denetim ve test aşaması 30 iş gününü geçmeyecektir.
FİRMA, Pentest hizmetini ifasından sonra üreteceği raporunu en geç hizmetin tamamlanmasını takip eden 15 iş günü içerisinde BİLGİ'ye teslim etmelidir.
BİLGİ, Xxxxxxx raporunu inceledikten sonra raporda belirtilen açıklara karşı tedbirlerini gerek görürse FİRMA danışmanlığında alacak ve FİRMA’ya geribildirim verecektir.
BİLGİ geribildirim yaptıktan sonra, FİRMA en geç 10 iş günü içinde raporda belirtilen tüm konularda denetim ve test işlemlerini kontrol amaçlı tekrarlayacaktır (Doğrulama Testi). Ayrıca, BİLGİ gerek görürse alınan tedbirler nedeniyle etkilenen sistemler için FİRMA'dan ek denetim ve test talep edebilecektir.
FİRMA, Pentest kontrol hizmetini ifasından sonra üreteceği ikinci raporunu (Doğrulama raporu) en geç hizmetin tamamlanmasını takip eden 15 iş günü içerisinde BİLGİ'ye teslim etmelidir.
TEKNİK KAPSAM:
Penetrasyon (Sızma) Testi:
Kapsam ve Genel Hükümler:
FİRMA, aşağıda tariflenen tüm hizmetler için vereceği teklifini, toplamda 2 set söz konusu Penetration Testi ve Doğrulama Testi hizmetlerini sağlayacak şekilde düzenleyecektir.
Penetration testi BİLGİ'nin talebine göre internet ortamından ve BİLGİ kurumsal networkünden gerçekleştirilecektir.
Test kapsamına dahil olacak cihazlar, uygulamalar, IP numaraları, uygulanacak testler, internet ya da kurum networkünden yapılacağı gibi bilgiler her bir test talebinde BİLGİ tarafından FİRMA'ya bildirilecektir.
FİRMA her bir test talebi için BİLGİ ile kullanacağı insan kaynağı ve zaman bilgisinin de yer aldığı test planlarını yazılı olarak paylaşacak ve BİLGİ'nin yazılı onayı ile mutabık kalınan plana uygun şekilde testlere başlayacaktır.
FİRMA, BİLGİ sistemlerinde hizmet kesintisine ya da zarara neden olabilecek test türleri için BİLGİ'ye özellikle bildirimde bulunacak ve onay alacaktır.
FİRMA, test planında mutabık kalınan zaman planına azami ölçüde uyacak, istisnai durumlarda detaylı bilgilendirme ile birlikte BİLGİ’den onay alacaktır. FİRMA kaynaklı gecikmelerin sorumluluğu FİRMA'da olacak, bunlar için ek bedel ödenmeyecektir.
FİRMA onaylı plana göre gerçekleştirdiği test hizmeti sonucunda, şartname bedeli üzerinden hizmetini faturalandıracaktır.
FİRMA test işlemleri için 7x24 esası ile çalışabilecektir.
FİRMA testleri en az senior seviyesindeki personeli ile (işbu şartnamenin 5.1 maddesinde belirtilmiştir) gerçekleştirecektir.
FİRMA testlerde kullanacağı ve referans alacağı metodolojiyi (OSSTMM (Open Source Security Testing Methodology Manual), OWASP (Open Web Application Security Project) ve NIST 800-42 (National lnstitute of Standards and Technology - Guideline on Network Security Testing)) gibi açık bir şekilde tarifleyen dokümanlarını teklifi ile iletecektir.
BİLGİ, testlerin belirli IP’lerden yapılması ile ilgili Penetration Testi aşamasında IP sınırlaması getirmeyecektir. FİRMA test uyguladığı IP’leri raporunda belirtecektir. BİLGİ, gerektiğinde Doğrulama Testi aşamasında bizzat test edilmesini istediği IP’leri FİRMA ile paylaşacaktır.
Test kapsamında yapılan çalışmaları, hazırlanan raporları, tespit edilen açıkları ve bu açıkları giderme yöntemlerini görüşmek üzere yapılacak tüm toplantılara BİLGİ talep etmesi halinde FİRMA katılım sağlayacaktır. FİRMA bu işler için ayrıca ücret talep etmeyecektir.
FİRMA kullanacağı tüm araçları temin etmekten, bu araçlara ait yasal sorumluluklarından ve olası maliyetlerinden bizzat sorumludur.
Penetration Testi ve Doğrulama Testi ile ilgili raporlama ve tüm kayıtlar, FİRMA tarafından, her bir test hizmeti süresi sonunda, BİLGİ'ye teslimini müteakip geri döndürülemez şekilde yok edilecek, herhangi bir kopyası tutulmayacak ve BİLGİ'ye bu işlemin tamamlandığına dair bildirimde bulunacaktır.
FİRMA, gerçekleştirdiği bu hizmete dair BİLGİ'nin yazılı izni olmadan kurumun ismini yazılı ya da sözlü hiçbir şekilde kullanmayacaktır.
Test kapsamında FİRMA tarafından yapılacak işlerin tamamı ya da bir kısmında BİLGİ'nin belirleyeceği BİLGİ personeli/personelleri gözlemci olarak bulunabileceklerdir. FİRMA gözlemciye işbaşı eğitimi vermekle ve bilgilerini paylaşmakla yükümlüdür.
Hizmet:
Penetration Testi temel olarak keşif, açık bulma, açıklık testi, raporlama, doğrulama aşamalarından oluşmalıdır.
Penetration Testi (4.1.1.2’de belirtildiği gibi her bir test hizmeti için ayrıca belirlenecek olsa da) en az aşağıdaki konuları içermelidir:
Kuruma ait bilgilerin toplanması, keşif
Servis sağlayıcı bilgilerinin belirlenmesi
Kullanılan IP adreslerinin ve etki alanlarının belirlenmesi
Kurum detaylarının ve ilgili kişilerin doğruluğunun kontrol edilmesi
Tanımlanmış DNS bilgileri ve kurum internet sunucularının hakkında bilgi alınması
Benzer alan adları ile kaydedilmiş, yanıltıcı olabilecek alan adlarının belirlenmesi
Erişilebilirlik süresi ve oranlarının belirlenmesi
Yerel IP adreslerinin belirlenmesi
Yapıda var olan güvenlik cihazları ve güvenlik uygulamalarının belirlenmesi
Tanımlanmış DNS bilgileri ve kurum internet sunucularının hakkında bilgi alınması. DNS sunucularının konfigürasyon ve uygunluk kontrolünün yapılması
DNS Poisoning, Recursive DNS Query vb. karşı güvenlik kontrollerinin ve sızma testlerinin yapılması
Ağdaki farklı erişim tipleri, güvenli bölge ve sunucuların yerlerinin, hassas verilerin akış şemasının belirlenmesi
DMZ bölgeleri, extranet, portal, web uygulamaları, yönetim arabirimlerini vb. içeren ağ topolojisinin belirlenmesi
IP yönlendirme testleri
Port taramaları
Güvenlik duvarı ardında kalan tüm aktif IP adreslerinin, bu adresleri kullanan sistemlerin marka/model, işletim sistemi markaları ve sürümlerinin belirlenmesi
Internet yönlendiricisinin (Router) kontrolleri
Kurumun internet yönlendiricisinden alınabilecek yönlendirme ve ağ bilgilerinin belirlenmesi, yönlendirmeye ilişkin güvenlik sorunlarının kontrol edilmesi
Paket filtreleme güvenlik kontrolünün yapılması
Yönlendirici üzerindeki servislerin belirlenmesi ve güvenlik kontrolleri
Güvenlik duvarı(firewall) kontrolleri
Servis yetki kontrollerinin yapılması
Yönlendirmeye ilişkin güvenlik sorunlarının kontrol edilmesi
Paket filtrelemeye ilişkin güvenlik sorunlarının kontrol edilmesi
İşletim sistemine ilişkin güvenlik sorunlarının kontrol edilmesi
Firewall güvenlik kurallarının kontrol edilmesi, sorunların ve zayıflıkların belirlenmesi, tasarım, ek bileşen ve güvenlik sıkılaştırması için önerilerde bulunulması
NAT kuralları tablosunun gözden geçirilmesi ve tasarım sorunlarının belirlenmesi, önerilerde bulunulması
VPN ayar kontrolleri
Güvenlik duvarı konfigürasyon kontrolleri
Zayıflık ve sızma testleri
Ön tanımlı parola, kullanıcı, grup vb. belirlenmesi
Uygulama seviyesi geçitlerin kullanımı ve kurallarındaki problemlerin belirlenmesi
Firewall üzerinden yoğun/çok fazla paket gönderilmesine karşılık loglama mekanizmasının test edilmesi
Sunucu kontrolleri
Sunucuların üzerindeki erişilebilir servislerin belirlenmesi ve güvenlik açıklarının kontrol edilmesi
Sunucuların kernel, yama, sürüm bilgilerinin elde edilmesi
İşletim sistemine ilişkin güvenlik sorunlarının ve ağ zayıflıklarının kontrol edilmesi
Kullanıcı tahmini ve parola kırma testleri
Kullanıcı ve servislerde uygunsuz/aşırı yetkilendirmelerin ve zayıflığa yol açabilecek yapılandırmaların belirlenmesi
Yapılandırma problemlerinin belirlenmesi
Paket filtreleme kurallarına ilişkin problemlerin belirlenmesi
Sunucu yazılımlarının güncelliğinin kontrolü
Sunucu yazılım yapılandırma ve yetkilendirmelerinin kontrolü
Uygulamalara yönelik güvenlik sorunlarının kontrol edilmesi
SMTP, FTP, HTIP, HTIPS, TELN ET, ICMP, HPC, NETBIOS, SNMP vb. yaygın kullanılan servisler üzerinden gerçekleştirilebilecek sızmalara karşı detaylı kontroller yapılması, sorunların belirlenmesi
Web Uygulamaları Denetimi
Mevcut uygulamalara sıradan bir kullanıcı gibi giriş yapılarak, yazılım açıklarının kötü kullanıma açıklığının kontrol edilmesi
Oturum yönetimi testleri
Girdi doğrulama testleri
Kimlik doğrulama testleri
Uygulama artığı testleri
Girdi/çıktı yönetimi testleri
Diğer sistemler le iletişim ve veri aktarımı güvenliği testleri
Brute-force parola testi
Yetkilendirme mekanizmasını devre dışı bırakma testleri
Erişime açık olmayan bilgilerin ve dokümanları erişilebilirlik kontrolü
Debug mode denetimleri
Veritabanı servisleri denetimi
Veritabanı yetkisiz erişim denetimleri
Uygulama sunucusu servisleri denetimi
Kullanıcı ve sistem yönetici hakları ayrımı
Web uygulamalarının otomatik zayıflık testleri
Web sunucu konfigürasyonu
HTIP header manipülasyonu
HTIP form manipülasyonu
XXX manipülasyonu, cross-site scripting testleri
Command injection (OS, SSI, LDAP, XPATH vb. komutları) testleri
SQL sokuşturma (SQL-Injection)
Blind lnjection
Back-end memory, session hijacking, buffer overflow kontrolleri
Çerez (cookie) manipülasyonu
Oturum (session) bilgilerinin manipülasyonu
Cross-frame scripting, cross-site request forgery, CGI script
Xxxxxx xxxx ve yetkilendirme kontrolleri (authorization & authentication)
Hataların ele alınmaması (error handling)
İstisnaların ele alınmaması (exception handling)
Siteler arası kod çalıştırma (cross-site scripting)
XXX bazlı veri girdisi (XXX validation)
Uygunsuz SSL kullanımı (improper use of SSL certificates)
Zayıf şifre yapıları (weak passwords)
Uygunsuz dosya erişimi (veri kaybı) (improper use of access control)
Diğer uygulama zayıflık testleri
FİRMA, internet üzerinden erişilebilen sistemlerde tarama yapacaktır. Asgari olarak yapılacak tarama tipleri aşağıdaki gibidir;
Çalışan sistem taraması (Live System Scanning)
Açık port taraması (Open port scanning)
Güvenlik açıklıkları taraması (Vulnerability Scanning)
FİRMA, ilgili sistemlere atak yapacaktır. Yapılacak atak tipleri en az aşağıdaki gibidir;
İşletim sistemi seviyesi (Operating System level attacks)
Uygulama seviyesi (Application level attacks)
Sunucu konfigürasyon hatalarına yönelik ataklar (Misconfiguration attacks)
Yetki seviyesinin yükseltilmesi (Elevating of privileges)
“4.1.2.2” maddesinde listelenen işlemlerin dışında herhangi bir güvenlik açığı bulunup bulunmadığına dair kontrol işlemler yapılmalıdır.
Testlerin yalnızca otomatik araçlarla gerçekleştirilmesi yeterli kabul edilmeyecektir. Ek olarak ağ cihazlarının/sunucuların ve özellikle uygulamaların manuel olarak test edilmesi gerekmektedir.
Penetration testi raporlarının BİLGİ'ye sunulmasını müteakip güvenlik açıkları kurum tarafından giderildikten sonra, FİRMA bu açıkların giderilip giderilemediğini doğrulama testi ile kontrol edecektir.
Penetration doğrulama testi raporlarına istinaden güvenlik açıkları kurum tarafından giderildikten sonra, FİRMA bu açıkların giderilip giderilemediğini yeni bir doğrulama testi ile kontrol edecektir. Açıkların tamamen giderilmesine kadar veya BİLGİ özel durumlarda giderilmemesini onaylayıncaya kadar bu döngü devam edebilecektir.
Raporlama:
Penetration testi raporunda sistemde belirlenen güvenlik açıkları, bu açıkların taşıdıkları riskler itibariyle öncelikleri ve giderilmesi için yapılması gereken işlemler detaylı ve anlaşılır bir şekilde tarif edilmelidir.
Test sonucunda hazırlanacak olan ilgili raporlarda;
İncelenen sistemlere ilişkin tespit edilen işletim sistemi/çalışan servis ve sürümleri gibi bilgileri
Tespit edilen güvenlik zafiyetleri, ekran çıktıları ve/veya video görüntüleri
Bu zafiyetlerin sebep olabileceği zararlar/sonuçları ve zafiyete ilişkin referans bilgileri
Güvenlik zafiyetlerini gidermek için yapılması gerekenler
Her bir test adımında uygulanan yöntemler ve kullanılan araçlar, detaylı şekilde açıklanacaktır.
Test sonucunda oluşturulan tüm raporların içeriği sistematik olarak oluşturulmalı ve her raporda, rapor içeriğine kolay erişilebilirliği sağlamak amacı ile indeks yapısı bulunmalıdır.
Test sonucunda hazırlanan penetrasyon testi raporunda, tespit edilen güvenlik zafiyetleri kritiklik seviyelerine (kritik, yüksek, orta, düşük) göre gruplandırılacak ve sınıflandırmanın nasıl yapıldığı ilgili raporda açıklanacaktır.
Test sonucunda hazırlanan penetration testi raporunda, tespit edilen bir güvenlik zafiyeti, söz konusu zafiyeti bulunduran sistemler bazında gruplandırılmalıdır.
Test sonucunda hazırlanan penetration testi raporunda, tespit edilen her güvenlik zafiyeti için alınması gereken alternatifli önlem/önlemler FİRMA tarafından belirlenmeli ve raporlanmalıdır.
Test sonucunda hazırlanan penetration testi raporunda, herhangi bir güvenlik zafiyeti başka bir güvenlik zafiyeti veya zafiyetlerinden faydalanılarak tespit edildiyse, bu zafiyet belirlenmelidir.
Test sonucunda oluşturulan raporlar, elektronik ortamda Microsoft Word ve Adobe PDF formatında şifreli olarak BİLGİ'ye sunulacaktır. Ek olarak, her iş sonucunda oluşan raporun bir özeti Microsoft PowerPoint sunusu halinde FİRMA tarafından verilecektir.
Test sonucunda üretilmiş olan raporlar BİLGİ logolu olarak ve FİRMA onaylı formatta sunulacaktır.
Hizmete ait raporlamalar, ayrıntılı teknik içerikten oluşan "Teknik Rapor" ve istatistiksel özet niteliği taşıyan "Yönetimsel Rapor" şeklinde oluşturulacak ve iletilecektir.
FİRMA oluşturacağı raporda, zafiyetlerin giderilmesi ve olası zafiyetlerin tekrarlanmaması için genel tasarım ve altyapısal iyileştirmelere tavsiye niteliğinde yer verecektir.
DDoS (Hizmeti Durdurma) Testi:
Kapsam ve Genel Hükümler:
DDoS testi BİLGİ'nin talebine göre internet ortamından gerçekleştirilecektir.
Test kapsamına dahil olacak cihazlar, uygulamalar, IP numaraları, uygulanacak testler, internet ya da kurum networkünden yapılacağı gibi bilgiler her bir test talebinde BİLGİ tarafından FİRMA'ya bildirilecektir. BİLGİ gerek görürse hiçbir IP, sistem adı, adres bilgisi paylaşmadan direkt test talep edebilecektir.
FİRMA her bir test talebi için BİLGİ ile kullanacağı insan kaynağı ve zaman bilgisinin de yer aldığı test planlarını yazılı olarak paylaşacak ve BİLGİ'nin yazılı onayı ile mutabık kalınan plana uygun şekilde testlere başlayacaktır.
FİRMA, BİLGİ sistemlerinde hizmet kesintisine ya da zarara neden olabilecek test türleri için BİLGİ'ye özellikle bildirimde bulunacak ve onay alacaktır.
FİRMA test planında mutabık kalınan zaman planına azami ölçüde uyacak, istisnai durumlarda detaylı bilgilendirme ile birlikte BİLGİ’den onay alacaktır. FİRMA kaynaklı gecikmelerin sorumluluğu FİRMA'da olacak, bunlar için ek bedel ödenmeyecektir.
FİRMA onaylı plana göre gerçekleştirdiği test hizmeti sonucunda, şartname bedeli üzerinden hizmetini faturalandıracaktır.
FİRMA test işlemleri için 7x24 esası ile çalışabilecektir.
FİRMA testleri en az senior seviyesindeki personeli ile (işbu şartnamenin 5.1 maddesinde belirtilmiştir.) gerçekleştirecektir.
FİRMA testlerde kullanacağı ve referans alacağı metodolojiyi (OSSTMM (Open Source Security Testing Methodology Manual), OWASP (Open Web Application Security Project) ve NIST 800-42 (National lnstitute of Standards and Technology - Guideline on Network Security Testing) gibi) açık bir şekilde tarifleyen dokümanlarını teklifi ile iletecektir.
FİRMA testleri belirli IP’lerden yapacak ve bu IP’leri test planında belirtecektir.
İnternet ortamından gerçekleştirilecek DDoS testleri, farklı coğrafi bölgelerden ve farklı IP adresinden yapılmalıdır.
Test kapsamında yapılan çalışmaları, hazırlanan raporları, tespit edilen açıkları ve bu açıkları giderme yöntemlerini görüşmek üzere yapılacak tüm toplantılara BİLGİ talep etmesi halinde FİRMA katılım sağlayacaktır. FİRMA bu işler için ayrıca ücret talep etmeyecektir.
FİRMA kullanacağı tüm araçları temin etmekten, bu araçlara ait yasal sorumluluklarından ve olası maliyetlerinden bizzat sorumludur.
DDoS Testi ile ilgili raporlama ve tüm kayıtlar, FİRMA tarafından, her bir test hizmeti süresi sonunda, BİLGİ'ye teslimini müteakip geri şekilde yok edilecek, herhangi bir kopyası tutulmayacak ve BİLGİ'ye bu işlemin tamamlandığına dair bildirimde bulunacaktır.
FİRMA, gerçekleştirdiği bu hizmete dair BİLGİ'nin yazılı izni olmadan kurumun ismini yazılı ya da sözlü hiçbir şekilde kullanmayacaktır.
Test kapsamında FİRMA tarafından yapılacak işlerin tamamı ya da bir kısmında BİLGİ'nin belirleyeceği BİLGİ personeli/personelleri gözlemci olarak bulunabileceklerdir. FİRMA gözlemciye işbaşı eğitimi vermekle ve bilgilerini paylaşmakla yükümlüdür.
Hizmet:
DDoS Testi (4.2.1.2’de belirtildiği gibi her bir test hizmeti için ayrıca belirlenecek olsa da) en az aşağıdaki senaryoları içermelidir:
Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği TCP SYN paketlerinin gönderilmesi
Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği UDP paketlerinin gönderilmesi
Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği ICMP paketlerinin gönderilmesi
Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği TCP SYN + ACK paketlerinin gönderilmesi
Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği TCP FIN + ACK paketlerinin gönderilmesi
Fragment biti layer-3 IP başlığında set edilmiş, spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği paketlerinin gönderilmesi
Fragment biti layer-3 IP başlığında set edilmiş, spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği UDP (protokol 17) paketlerinin gönderilmesi
Fragment biti layer-3 IP başlığında set edilmiş, spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği ICMP (protokol 1) paketlerinin gönderilmesi
Herhangi bir TCP veya UDP portuna atak yapılması
Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği TCP SYN + UDP + ICMP paketlerinin eşzamanlı gönderilmesi
Gerçek kaynak IP'lerin kullanılacağı TCP SYN + ACK paketlerinin gönderilmesi
Gerçek kaynak IP'lerin kullanılacağı, gönderilen paketlerin zaman aşımı süresinin hedefin bağlantı zaman aşımı süresine küçük-eşit olacağı TCP SYN paketlerinin gönderilmesi
Gerçek kaynak IP'lerin kullanılacağı TCP SYN + FIN paketlerinin gönderilmesi
Gerçek kaynak IP'lerin kullanılacağı TCP ACK paketlerinin gönderilmesi
Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği TCP ACK paketlerinin gönderilmesi
Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği, hedef portu 80 olan TCP SYN paketlerinin gönderilmesi
Gerçek IP'lerin kullanılacağı ve hedef portu belirli ve sabit bir port olan UDP paketlerinin gönderilmesi
Gerçek IP'lerin kullanılacağı, ONS protokolüne uygun olarak oluşturulmuş, hedef portu 53 olan UDP paketlerinin gönderilmesi (normal DNS paketleri)
Gerçek IP’lerin kullanılacağı, ICMP protokolüne uygun olarak oluşturulmuş paketlerin gönderilmesi (normal ICMP paketleri)
Gerçek IP'lerin kullanılacağı, herhangi bir bayrağı işaretlenmemiş TCP paketlerinin gönderilmesi
Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği, herhangi bir bayrağı işaretlenmemiş TCP paketlerinin gönderilmesi
Gerçek IP'lerin kullanılacağı, bayrak değerleri rastgele kombinasyonlarla ve sürekli değişen TCP paketlerinin gönderilmesi
Spoof edilmiş kaynak IP'lerin kullanılacağı ve bu IP'lerin sürekli değişeceği, bayrak değerleri rastgele kombinasyonlarla ve sürekli değişen TCP paketlerinin gönderilmesi
Gerçek IP'lerin kullanıldığı, rastgele "sequence" veya "acknowledgement" numara değerlerine sahip TCP paketlerinin gönderilmesi
Gerçek IP'lerin kullanıldığı, rastgele "window size" değerlerine sahip TCP paketlerinin gönderilmesi
Gerçek IP'lerin kullanıldığı, rastgele kombinasyonlarla "option" değerine sahip TCP paketlerinin gönderilmesi
Gerçek IP'lerin kullanıldığı, rastgele "data length" değerlerinde paketlerin gönderilmesi
Hatalı checksum değerlerine sahip paketlerin gönderilmesi
Rastgele değişen IP-ID değerli (IP-Identification) paketlerinin gönderilmesi
Çeşitli “Fragment flag” ve “offset” değerlerinde paketlerin gönderilmesi
Rastgele TTL değerlerinde paketlerin gönderilmesi
Rastgele protokol değerlerinde (diğer kısımlar benzer) paketlerin gönderilmesi
Hatalı checksum değerlerinde UDP paketlerinin gönderilmesi
Gerçek IP’lerle “ICMP echo reply” paketlerinin gönderilmesi
Spoof edilmiş kaynak IP’lerin kullanılacağı, “ICMP echo reply” paketlerinin gönderilmesi
Gerçek IP’lerle, rastgele değişen kombinasyonlarda “ICMP type/code” sahip ICMP paketlerinin gönderilmesi
Spoof edilmiş kaynak IP’lerin kullanılacağı, rastgele değişen kombinasyonlarda “ICMP type/code” sahip ICMP paketlerinin gönderilmesi
IPv4 ve IPv6 dışında çeşitli protokol paketlerinin gönderilmesi
Uygulama seviyesinde DDoS test senaryoları, BİLGİ'nin talep edeceği her bir uygulama için hazırlanarak FİRMA tarafından gerçekleştirilecektir.
“3.2.2.1” maddesinde listelenen senaryolar dışında herhangi bir güvenlik açığı bulunup bulunmadığına dair kontrol işlemleri yapılmalıdır.
Testlerin yalnızca otomatik araçlarla gerçekleştirilmesi yeterli kabul edilmeyecektir.
DDoS test raporlarının BİLGİ'ye sunulmasını müteakip güvenlik açıkları kurum tarafından giderildikten sonra, FİRMA bu açıkların giderilip giderilemediğini doğrulama testi ile kontrol edecektir.
DDoS testi raporlarına istinaden güvenlik açıkları Xxxxx tarafından giderildikten sonra, FİRMA bu açıkların giderilip giderilemediğini yeni bir test ile kontrol edecektir. Açıkların tamamen giderilmesine kadar bu döngü devam edebilecektir.
Raporlama:
DDoS test raporunda sistemde belirlenen güvenlik açıkları, bu açıkların taşıdıkları riskler itibariyle öncelikleri ve giderilmesi için yapılması gereken işlemler detaylı ve anlaşılır bir şekilde tarif edilmelidir.
Test sonucunda hazırlanacak olan ilgili raporlarda;
Tespit edilen güvenlik zafiyetleri, ekran çıktıları ve/veya video görüntüleri,
Bu zafiyetlerin sebep olabileceği zararlar/sonuçları ve zafiyete ilişkin referans bilgileri,
Güvenlik zafiyetlerini gidermek için yapılması gerekenler,
Her bir test adımında uygulanan yöntemler ve kullanılan araçlar, detaylı şekilde açıklanacaktır.
Test sonucunda oluşturulan tüm raporların içeriği sistematik olarak oluşturulmalı ve her raporda rapor içeriğine kolay erişilebilirliği sağlamak amacı ile indeks yapısı bulunmalıdır.
Test sonucunda hazırlanan DDoS testi raporunda, tespit edilen güvenlik zafiyetleri kritiklik seviyelerine (kritik, yüksek, orta, düşük ) göre gruplandırılacak ve sınıflandırmanın nasıl yapıldığı ilgili raporda açıklanacaktır.
Test sonucunda hazırlanan DDoS testi raporunda, tespit edilen her güvenlik zafiyeti için alınması gereken alternatifli önlem/önlemler FİRMA tarafından belirlenmeli ve raporlanmalıdır.
Test sonucunda hazırlanan DDoS testi raporunda, herhangi bir güvenlik zafiyeti başka bir güvenlik zafiyeti veya zafiyetlerinden faydalanılarak tespit edildiyse, bu zafiyet belirtilmelidir.
Test sonucunda oluşturulan raporlar, elektronik ortamda Microsoft Word ve Adobe PDF formatında şifreli olarak BİLGİ'ye sunulacaktır. Ek olarak her iş sonucunda oluşan raporun bir özeti Microsoft PowerPoint sunusu olarak verilecektir.
Test sonucunda üretilmiş olan raporlar BİLGİ logolu olarak ve FİRMA onaylı formatta sunulacaktır.
Hizmete ait raporlamalar, ayrıntılı teknik içerik ten oluşan "Teknik Rapor" ve istatistiksel özet niteliği taşıyan "Yönetimsel Rapor" şeklinde oluşturulacak ve iletilecektir.
FİRMA oluşturacağı raporda, zafiyetlerin giderilmesi ve olası zafiyetlerin tekrarlanmaması için genel tasarım ve altyapısal iyileştirmelere tavsiye niteliğinde yer verecektir.
YETERLİLİKLER:
Test Ekibi Yeterlilikleri:
FİRMA'nın bu şartnamede tanımlanan hizmetler için görevlendireceği ekibi kendi personeli olmalıdır.
FİRMA, teklifinde bu hizmeti gerçekleştireceği personellerini açık kimlikleriyle birlikte tanıtmalı ve bununla ilgili belgeleri (sigorta evrakları, bordro vb.) teklif dosyasına eklemelidir.
FİRMA eğer sözleşmeli personel istihdam edecekse BİLGİ ile arasındaki şartname süresince geçerli olacak personel sözleşme belgesini teklif dosyasına eklemelidir.
FİRMA bildirdiği ve BİLGİ tarafından kabul edilen personeli dışında hizmetin ifasında başkaca hiçbir personeli BİLGİ'nin özel izni olmadan kullanamaz.
FİRMA test ekibindeki personel, bu şartnamenin hükümleri saklı kalmak kaydı ile BİLGİ gizlilik sözleşmesini okuyup anladığına ve hükümlerine uyacağına dair, FİRMA ise müteselsil kefil olarak imzalayacaktır. FİRMA imzalanan gizlilik sözleşmelerini, ihaleyi kazanması durumunda yapılacak iş sözleşmesinin imzası ile birlikte teslim edecektir.
Test ekibi asgari aşağıdaki şartlara sahip olmalı, ekip üyelerinin özgeçmişleri ve ilgili sertifikalarının 'aslı gibidir' onaylı fotokopileri teklif dosyasına eklenmelidir.
FİRMA'nın test ekibi üyeleri bilgi güvenliğiyle ilgili projelerde en az 3 yıl tecrübeli olmalıdır.
Test ekibi üyelerinin DDoS konusunda özel eğitim almış olmaları FİRMA için tercih nedeni olacaktır. Test ekibi üyeleri en az 5 DDoS testi projesinde görev almış olmalıdır. Eğitim ve görev alınan proje bilgileri teklif dosyasında belirtilmelidir.
Test ekibi üyelerinin aşağıdaki sertifikalardan (ya da muadillerinden) en az ikisine sahip olmaları FİRMA için tercih nedeni olacaktır ve FİRMA bu durumu teklifinde belgelendirmelidir.
FİRMA Yeterlilikleri:
FİRMA'nın sektörde çalışma süresi (3) yıl olacaktır.
FİRMA'nın söz konusu hizmetlerin sağlanmasında görev yapabilecek en az iki (iki) farklı uzmanı bulunmalıdır. Bu uzmanlar en az işbu şartnamenin “5.1” bölümünde tanımlanan kriterlere sahip olmalıdır.
FİRMA'nın sunacağı hizmete benzer olarak Türkiye'de gerçekleştirdiği en az üç (3) adet referans proje (işlem hacmi, IP sayısı marka değeri vb. kriterlere göre BİLGİ ölçeğinde) sunması gerekmektedir. FİRMA tarafından bu referans projelere ilişkin kontak kişi ve iletişim bilgileri teklif ekinde sunulacaktır.
HÜKÜMLER:
Aşağıda bahsi geçen hükümler ihaleyi kazanan FİRMA ile yapılacak olan sözleşme kapsamında ele alınacak olup, teklif verecek olan firmalar tarafından idari şartname hükümlerinin kabul edilmesi ve bağlayıcılığı teklif verme yeterlilikleri açısından bir ön koşuldur.
İLAVE HÜKÜM VE ÖN KOŞULLAR:
Bu şartnamenin içerdiği taahhütlerden herhangi birisinin yerine getirilmesi;
Doğal afetler
Salgın hastalıklar ve karantina uygulaması
İşlerin durdurulmasını gerektiren hükümet kararları
Genel, kısmi seferberlik ve savaş hali nedeni ile aksarsa;
FİRMA herhangi bir kayba ve sorumluluğa maruz bırakılmayacaktır.
FİRMA' nın taahhütlerini yerine getirmesi için yukarıda belirtilen mücbir sebep hallerini doğrulayan yetkili makamlarca verilmiş bir belgenin mücbir sebep durumunu açıklayan bir yazılı bildirim ile BİLGİ' ye FİRMA tarafından olayın meydana gelmesi tarihinden itibaren en geç 7 (yedi) gün içinde sunulması şartıyla BİLGİ, FİRMA' ya uygun bir süre verebilir veya mücbir sebep niteliğine göre sözleşmeyi herhangi bir tazminat ödemeksizin feshedebilir.
DİĞER HUSUSLAR:
Sızma testini yapacak FİRMA’ nın %100 Yerli ve Türk Sermayesi ile kurulu olması gerekmektedir.
Sızma testini yapacak FİRMA’ nın güncel ISO27001 sertifikasına sahip olması gerekmektedir
Sızma testini yapacak FİRMA’nın iş kapsamında kullanacağı en az bir personelinin, OSCP ve OSCE sertifikasına sahip olması gerekmektedir. Bunlara ilave olarak CISSP, CISA, CEH sertifikaları da tercih nedeni olacaktır.
Sızma testini yapacak FİRMA test sonrası 5 günlük ücretsiz Sızma Testi eğitimi verecektir.
Sızma testini yapacak FİRMA gerçekleştirecek olduğu Sızma Testi hizmetinde testin manuel yapılacağını taahhüt etmeli ve aksi ispatlanması durumunda ceza-i yaptırımları kabul etmelidir.
Sızma testini yapacak FİRMA’nın bu sözleşme kapsamında istihdam edeceği personel konusunda uzman, benzer projelerde bulunmuş, bu konularda en az 2 yıl tecrübe kazanmış olmalıdır.
Sızma testini yapacak FİRMA bu özelliklere sahip personellerinin sözleşme aşamasında çalıştığını gösteren SGK bildirgelerini, özgeçmişini, sertifikalarını ve diplomalarını sözleşme aşamasında kuruma sunacaktır.
Sızma testini yapacak FİRMA iş kapsamında benzer iş bitirme hizmeti sunmak zorundadır.
Sızma testini yapacak FİRMA, bu sözleşme kapsamında görevlendirilen teknik personelinden memnun kalınmaması durumunda, KURUM’dan gelecek değişiklik talebini en az aynı vasıfta başka bir personel istihdam ederek karşılayacaktır.
TEST KAPSAMINDAKİ SİSTEMLER-ALTYAPILAR:
Internet üzerinden tarama için;
Üniversite IP Bloğu (194.27.149.0/24)
Internetten ulaşılabilen xxxxx.xxx.xx uzantılı siteler.(~200 adet)
Lokal tarama için;
DMZ ve sunucuların lokal IP blokları verilerek, yerel ağa dahil olan bir client ve test tarayıcı sistemi üzerinden atak denemeleri yapılması zafiyetlerin araştırılması(~200 sanal sunucu) (Sunuculara erişim, güvenlik açıklarının tespiti gibi..)
KURUM FİRMA
İSTANBUL BİLGİ ÜNİVERSİTESİ
Xxxxxx XXXX
BT Daire Başkanı
14