ტენდერის აღწერილობა:

შპს „მეტრო სერვის +“ ს/კ 205150352 აცხადებს ელექტრონულ ტენდერს აპლიკაციების შეღწევადობის ტესტირებაზე.

დაინტერესებულმა პირებმა წინადადება უნდა წარმოადგინონ შესყიდვების ელექტრონული სისტემის- www.tenders.ge საშუალებით

ტენდერი ჩატარდება ვაჭრობის გარეშე.

შესყიდვის ობიექტი:

მიზანი:

შეღწევადობის ტესტირების ძირითადი მიზანია არსებული სისუსტეების იდენტიფიცირება, ექსპლუატაციის შესაძლებლობების განსაზღვრა, არსებული რისკების შეფასება და შესაბამისი რეკომენდაციების გაცემა.

ზოგადი: 

• ე.წ. “შავი ყუთის“ შეღწევადობის ტესტირების დროს განისაზღვრება/მოწმდება სისტემაში არალეგიტიმური შესვლის შემთხვევა.
• Black Box- ის მთავარი მიზანია დაადგინოს, შეესაბამება თუ არა პროგრამული უზრუნველყოფა მომხმარებლის მოლოდინს. ტესტირება უნდა მოიცავდეს შემდეგ ნაბიჯებს:
• დაზვერვა-სამიზნე სისტემის შესახებ წინასწარი ინფორმაციის შეგროვების პროცესი.
• სკანირება და აღრიცხვა - ქსელში სისტემების აღმოჩენა და მუშა აპლიკაციებისკენ გახსნილი პორტების აღმოჩენა;
•  დაუცველობის აღმოჩენა-პოტენციური სისუსტეების და უსაფრთხოების ხარვეზების იდენტიფიცირება, რომლებიც არსებობს სამიზნე სისტემების ქსელში ან/და აპლიკაციებში;
• ექსპლუატაცია-სისტემაზე წვდომის დამყარება არსებული უსაფრთხოების შეზღუდვების გვერდის ავლით და სისუსტეების გამოყენებით;
• პრივილეგიების ესკალაცია-რესურსებზე „მაღალი დაშვების“ წვდომის მოპოვების მცდელობა, რომელიც ჩეულებრივ დაცულია აპლიკაციისა და მომხმარებლისაგან.
  

რეპორტინგის მოთხოვნები:

საბოლოო რეპორტი
სრული რეპორტი უნდა იყოს ინგლისურ ენაზე და მინიმუმ უნდა შეიცავდეს შემდეგ ინფორმაციას:

• შეჯამება;
• რისკის ანალიზი;
• რეკომენდაციები;
• განხორციელებული ქმედებებისა და მიღებული შედეგების დეტალური აღწერა.

შეღწევადობის ტესტირების მეთოდოლოგია და სტანდარტი:

მომოწოდებელმა, მოთხოვნის შესაბამისად, უნდა უზრუნველყოს ავტომატური, მექანიკური ან ჰიბრიდული წესით შესრულებული შეღწევადობის ტესტირების შედეგების წარდგენა. მომწოდებელმა აღნიშნული ტესტირება უნდა განახორციელოს ფართოდ გავრცელებული მეთოდოლოგიისა და სტანდარტების შესაბამისად:

• Payment Card Industry Data Security Standard (PCI DSS)
• National Institute of Standards and Technology (“NIST”) SP 800-115 
•  Open Web Application Security Project (“OWASP TOP 10”) 
• Massachusetts Institute of Technology Research and Engineering (MITRE ATT&CK) 

მომწოდებელმა გამოვლენილი სისუსტეების შესაფასებლად უნდა გამოიყენოს CVSS (Common Vulnerability Scoring System) საერთო დაუცველობის შესაფების სისტემა. იგი ასევე ვალდებულია უახლესი სტანდარტებისა და მეთოდოლოგიების გამოყენებით შეასრულოს აღნიშნული  ტესტირება.

შეღწევადობის ტესტირების სერვისების ზოგადი მოთხოვნები:

მნიშვნელოვანია, ქვემოთ მოყვანილი მოთხოვნები სრულად შესრულდეს:

• მომსახურების დაწყებამდე, ტესტირების გეგმის წერილობით ფორმაზე უნდა არსებობდეს კლიენტის თანხმობა.
• კლიენტის თანხმობის გარეშე, ვენდორმა მომსახურების შესასრულებლად არ შეიძლება გამოიყენოს ქვეკონტრაქტორი. ტესტირების განხორციელებლამდე კლიენტი მაქსიმალურად უნდა იყოს ჩართული ლოგისტიკურ შეთანხმებაში და ყველა ნაბიჯი უნდა  ხორციელდებოდეს იმ მიზნის მისაღწევად, რომელიც სურს კლიენტს.
•  უნდა მოხდეს კლიენტის ინფორმირება და მისგან თანხმობის მიღება  ტესტირების იმ მოდულზე, რომლის გამოყენებითაც იგეგმება ტესტირება.
•  უნდა არსებობდეს ტესტირების დროს შესაძლო ინციდენტებისა და ესკალაციების მართვის პროცესი.
• უნდა მოხდეს კლიენტის მიერ მოსაწოდებელი ინფორმაციის იდენტიფიცირება, თუ რა სახის რეპორტის წარდგენა სურს მას ტესტირების შემდგომ.
•  განმეორებითი ტესტირების უზრუნველყოფა გამოვლენილი მაღალი და კრიტიკული სისუსტეების გამოსწორების შემდგომ.

მომწოდებელი უნდა დარწმუნდეს, რომ ტესტირების შედეგად კლიენტის სისტემა არ დაზარალდება (მაგალითად: ტესტირება საფრთხეს შეუქმნის სისტემის სტაბილურობას), გარდა იმ შემთხვევებისა, როდესაც აღნიშნულის შესახებ არსებობს კლიენტის წერილობითი დასტური.

შეღწევადობის ტესტირების შემდგომი ნაბიჯები:

მომწოდებელმა ტესტირების შემდგომ უნდა უზრუნველყოს სისტემის გარემოს ისე მოწესრიგება, რომ დარწმუნდეს გარემოს საფრთხე არ შექმნია, აღნიშნულისათვის განსახორციელებელი მინიმალური ნაბიჯებია:

• ტესტირების დროს დამატებული ან შეცვლილი სატესტო ანგარიშების განახლება ან /და წაშლა;
• ტესტირების დროს დამატებული ან შეცვლილი მონაცემთა ბაზაში ჩანაწერების განახლება ან /და წაშლა;
• სატესტო ხელსაწყოების ან სხვა არტეფაქტების დეინსტალაცია საჭიროების შესაბამისად;
•  უსაფრთხოების კონტროლების იმ დონემდე აღდგენა, რაც ტესტირებისთვის შეიცვალა;
• კლინეტის ინფორმირება/ინსტრუქციის მიწოდება იმის შესამოწმებლად, რომ გარემო აღდგენილია;
• კლიენტისათვის დადასტურება, რომ გარემო გაწმენდილი და აღდგენილია.

თუკი ტესტირების დამთავრების შემდგომ, კლიენტი თვლის, რომ გარკვეული საკითხები კვლავ მოსაგვარებელია, მომწოდებელი ვალდებულია აღნიშნული მოაგვაროს დამატებითი საზღაურის გარეშე.

ლოგები: 

მომწოდებელმა უნდა ჩაიწეროს და დააკვირდეს თითოეულ აქტივობას, რომელიც მასსა და კლიენტის გარემოს შორის მიიღება, აღნიშნული ლოგები კლიენტის მოთხოვნის შემთხვევაში მისთვის სასურველი ფორმატით მიეწოდება კლიენტს.

 შეღწევადობის ტესტირების სერვისების რეპორტი და პრეზენტაცია:

მომწოდებელი ვალდებულია მიაწოდოს კლიენტს ანგარიში თითოეული დასრულებული მომსახურების შესახებ, ანგარიში მინიმუმ უნდა შეიცავდეს შემდეგ ინფორმაციას:

• შეჯამება;
• მომსახურების სფერო;
• კრიტიკული კომპონენტების იდენტიფიცირება და იმის ახსნა, თუ რატომ მოხდა ამ კომპონენტების ტესტირება;
•  ტესტირების ჩასატარებლად გამოყენებული მეთოდები და ინსტრუმენტები;
•  ნებისმიერი შეზღუდვა, რამაც გავლენა მოახდინა ტესტირებაზე (მაგ: სპეციფიკური ტესტირების საათები, გამტარუნარიანობა, სპეციალური მოთხოვნები);
• ტესტის მიმდინარეობისას და ტესტირების დროს წარმოქმნილი საკითხების აღწერა ვადების მიხედვით;
• ტესტირების შედეგები დეტალურად (მაგ: ექსპლუატაცია, სიმძიმე);
• დაზარალებული სამიზნე კატეგორია კლიენტის გარემოში;
•  დეტალური რეკომენდაციები რემედიაციის შესახებ.  

დროდადრო კლიენტმა შესაძლოა მოითხოვოს პირადი, სატელეკონფერენციო ან/და ვებინარის საშუალებით შეხვედრები მომწოდებელთან, რათა წარმოადგინოს ანგარიში ტესტირების შედეგების შესახებ. მომწოდებელმა უნდა უზრუნველყოს კლიენტის ამ მოთხოვნის მხარდაჭერა.

კრიტერიუმის არჩევა: 

საბოლოო ვადა: არაუგვიანეს 25.06.2024 წლისა.
სავალდებულია წარმოდგენილი დოკუმენტაცია იყოს წერილობით ან/და ონლაინ ფორმით და მოიცავდე შემდეგს:
გამოყენებული მეთოდოლოგიის აღწერა;
ამოცდილება შეღწევადობის ტესტირების კუთხით:

• კანდიდატს (ქვეკონტრაქტორს) უნდა ჰქონდეს ამ სფეროში სანდო სასერთიფიკაციო ორგაონების მიერ გაცემული სერთიფიკატები, როგორიცაა (OSCP, CEH).  მინიმუმ 5 წლიანი გამოცდილება შესაბამის სფეროში და უნდა უზრუნველყოს განხორციელებული შეღწევადობის ტესტირების პროექტების მოკლე აღწერა, მასშტაბი და რაოდენობა.
• მინიმუმ 1 სარეკომენდაციო წერილი წარმატებით განხორციელებული მსგავსი პროექტის შესახებ (ჩაითვლება უპირატესობად).
• პროექტის ვადები და დასრულების თარიღი;
• სრული პროექტის ღირებულება;
• ჩაშლილი ღირებულება სკოუპების მიხედვით;

მომსახურების მიღების ვადა: 2024 წლის 15 ივლისამდე.

ანაზღაურება: მომსახურების მიღებიდან და მიღება-ჩაბარების აქტის გაფორმებიდან 5 დღის ვადაში.

სატენდერო პირობები:

ტენდერში მონაწილეობის მისაღებად პრეტენდენტმა საჭიროა სისტემაში ატვირთოს უფლებამოსილი პირის მიერ ხელმოწერილი და ბეჭდით დადასტურებული შემდეგი დოკუმენტაცია (PDF ფორმატის ფაილები):

• დანართი N1- კომპანიის რეკვიზიტები;
• დანართი N2- ფასების ცხრილი
   -  ფასები დაფიქსირებული უნდა იყოს ლარში, დღგ-ს და კანონმდებლობით გათვალისწინებული გადასახადების ჩათვლით;
   - ღირებულებაში გათვალისწინებული უნდა იყოს პროდუქციის ადგილზე მოწოდება;
  
•  დანართი N3- განხორციელებული პროექტების და შესრულებული სამუშაოების ჩამონათვალი;

ტენდერში გამარჯვების კრიტერიუმია-ღირებულება და ხარისხი;

განფასებაში შეცდომის არსებობის შემთხვევაში უპირატესობა მიენიჭება ერთეულის ფასს;

სატენდერო შემოთავაზებაში და ელექტრონულად დაფიქსირებულ ფასთა ცდომილების (სხვაობის) შემთხვევაში უპირატესობა მიენიჭება ელექტრონულად დაფიქსირებულ ფასს;

გამარჯვებულად მიიჩნევა და ხელშეკრულება დაიდება იმ მონაწილესთან, რომელიც წარმოადგენს უკეთეს ფასს და დააკმაყოფილებს სატენდერო ტექნიკურ მოთხოვნებს;

ავანსის მოთხოვნის შემთხვევაში დამკვეთი უფლებამოსილია მოითხოვოს საბანკო გარანტია ავანსად გასაცემი თანხის ოდენობით, ასევე შემოსავლების სამსახურიდან გაცემული შედარების აქტი, რომელშიც არ უნდა ისახებოდეს დავალიანება.

მომწოდებლის მხრიდან შესაძლებელია მოხდეს დასაბუთებული პრეტენზიის წარდგენა 3 დღის ვადაში. ვადის ათვლა ხორციელდება მომწოდებლისთვის იმ ინფორმაციის მიწოდების დღიდან, რომელსაც შეეხება პრეტენზია.

დამკვეთის მიერ შესაძლებელია შეწყდეს ტენდერი, შესაბამისი მიზეზების არსებობის შემთხვევაში, რაზეც აუცილებლად ინფორმირებული იქნება ყველა მონაწილე; ასევე დამკვეთი იტოვებს უფლებას ტენდერი სცნოს ანულირებულად თუ ტენდერში მონაწილეობას მიიღებს მხოლოდ ერთი კომპანია;

სხვა დანარჩენი პირობები, შემდგომში გამყიდველსა და მყიდველს შორის გათვალისწინებულ იქნება ნასყიდობის შესახებ ხელშეკრულებაში.

ინფორმაცია ელექტრონულ ტენდერში მონაწილეთათვის:

• შემოთავაზება უნდა აიტვირთოს ელექტრონული შესყიდვების ვებ-გვერდზე: www.tenders.ge;
• ნებისმიერი შეკითხვა ტენდერის მიმდინარეობის პროცესში უნდა იყოს წერილობითი და გამოყენებულ უნდა იქნას www.tenders.ge-ს პორტალის ონლაინ კითხვა-პასუხის რეჟიმი;
  
• სატენდერო წინადადების წარმოდგენის ბოლო ვადა: 2024 წლის 11 ივნისი, 15:00 საათი;
• შეთავაზების ვალუტა: ლარი;
• ვაჭრობის ტიპი: ვაჭრობის გარეშე;
• ელექტრონულ ტენდერში მონაწილეობის მიღების დეტალური ინსტრუქცია გთხოვთ იხილოთ თანდართულ ფაილში;

ტენდერის მსვლელობის დროს ტექნიკურ და ტენდერის პროცესთან დაკავშირებით კითხვებზე დაუკავშირდით:
ლელა ტყეშელაშვილი
ltkeshelashvili@msplus.ge

ტენდერის კატეგორია:

• 48200000 ქსელების, ინტერნეტისა და ინტრანეტის პროგრამული პაკეტები
• 72200000 პროგრამული უზრუნველყოფის შემუშავება და საკონსულტაციო მომსახურებები