ტენდერის აღწერილობა:

შპს „მეტრო სერვის +“, ს/კ 205150352 აცხადებს ელექტრონულ ტენდერს აპლიკაციების შეღწევადობის ტესტირებაზე.

შესყიდვის ობიექტი:

მიზანი: შეღწევადობის ტესტირების ძირითადი მიზანია არსებული სისუსტეების იდენტიფიცირება, ექსპლუატაციის შესაძლებლობების განსაზღვრა, არსებული რისკების შეფასება და შესაბამისი რეკომენდაციების გაცემა.

ე.წ. “შავი ყუთის“ შეღწევადობის ტესტირების დროს განისაზღვრება/მოწმდება სისტემაში არალეგიტიმური შესვლის შემთხვევა.

Black Box- ის მთავარი მიზანია, დაადგინოს, შეესაბამება თუ არა პროგრამული უზრუნველყოფა მომხმარებლის მოლოდინს. ტესტირება უნდა მოიცავდეს შემდეგ ნაბიჯებს:

• დაზვერვა - სამიზნე სისტემის შესახებ წინასწარი ინფორმაციის შეგროვების პროცესი.
• სკანირება და აღრიცხვა - ქსელში სისტემების აღმოჩენა და მუშა აპლიკაციებისკენ გახსნილიპორტების აღმოჩენა;
• დაუცველობის აღმოჩენა - პოტენციური სისუსტეების და უსაფრთხოებისხარვეზებისიდენტიფიცირება, რომლებიც არსებობს სამიზნე სისტემების ქსელში ან/დააპლიკაციებში;
• ექსპლუატაცია - სისტემაზე წვდომის დამყარება არსებული უსაფრთხოების შეზღუდვების გვერდისავლით და სისუსტეების გამოყენებით;
• პრივილეგიების ესკალაცია - რესურსებზე „მაღალი დაშვების“ წვდომის მოპოვების მცდელობა, რომელიც ჩეულებრივ დაცულია აპლიკაციისა და მომხმარებლისაგან. 

რეპორტინგის მოთხოვნები

საბოლოო რეპორტი

სრული რეპორტი უნდა იყოს ინგლისურ ენაზე და მინიმუმ უნდა შეიცავდეს შემდეგ ინფორმაციას:

• შეჯამება;
• რისკის ანალიზი;
• რეკომენდაციები;
• განხორციელებული ქმედებებისა და მიღებული შედეგების დეტალური აღწერა

შეღწევადობის ტესტირების მეთოდოლოგია და სტანდარტი

მომოწოდებელმა, მოთხოვნის შესაბამისად, უნდა უზრუნველყოს ავტომატური, მექანიკური ან ჰიბრიდული წესით შესრულებული შეღწევადობის ტესტირების შედეგების წარდგენა. მომწოდებელმა აღნიშნული ტესტირება უნდა განახორციელოს ფართოდ გავრცელებული მეთოდოლოგიისა და სტანდარტების შესაბამისად:

• Payment Card Industry Data Security Standard (PCI DSS)
• National Institute of Standards and Technology (“NIST”) SP 800-115 
• Open Web Application Security Project (“OWASP TOP 10”) 
• Massachusetts Institute of Technology Research and Engineering (MITRE ATT&CK)

მომწოდებელმა გამოვლენილი სისუსტეების შესაფასებლად უნდა გამოიყენოს CVSS (Common Vulnerability Scoring System) საერთო დაუცველობის შეფასების სისტემა. ასევე ვალდებულია უახლესი სტანდარტებისა და მეთოდოლოგიების გამოყენებით შეასრულოს აღნიშნული ტესტირება.

შეღწევადობის ტესტირების სერვისების ზოგადი მოთხოვნები

მნიშვნელოვანია, ქვემოთ მოყვანილი მოთხოვნები სრულად შესრულდეს:

• მომსახურების დაწყებამდე, ტესტირების გეგმის წერილობით ფორმაზე უნდა არსებობდეს კლიენტის თანხმობა. 
• კლიენტის თანხმობის გარეშე, ვენდორმა მომსახურების შესასრულებლად არ შეიძლება გამოიყენოს ქვეკონტრაქტორი. ტესტირების განხორციელებლამდე კლიენტი მაქსიმალურად უნდა იყოს ჩართული ლოგისტიკურ შეთანხმებაში და ყველა ნაბიჯი უნდა ხორციელდებოდეს იმ მიზნის მისაღწევად, რომელიც სურს კლიენტს.
• უნდა მოხდეს კლიენტის ინფორმირება და მისგან თანხმობის მიღება ტესტირების იმ მოდულზე, რომლის გამოყენებითაც იგეგმება ტესტირება.
• უნდა არსებობდეს ტესტირების დროს შესაძლო ინციდენტებისა და ესკალაციების მართვის პროცესი.
• უნდა მოხდეს კლიენტის მიერ მოსაწოდებელი ინფორმაციის იდენტიფიცირება, თუ რასახის რეპორტის წარდგენა სურს მას ტესტირების შემდგომ. 
• განმეორებითი ტესტირების უზრუნველყოფა გამოვლენილი მაღალი და კრიტიკული სისუსტეების გამოსწორების შემდგომ.
• მომწოდებელი უნდა დარწმუნდეს, რომ ტესტირების შედეგად კლიენტის სისტემა არდაზარალდება (მაგალითად: ტესტირება საფრთხეს შეუქმნის სისტემის სტაბილურობას), გარდა იმ შემთხვევებისა, როდესაც აღნიშნულის შესახებ არსებობს კლიენტის წერილობითი დასტური.

შეღწევადობის ტესტირების შემდგომი ნაბიჯები

მომწოდებელმა ტესტირების შემდგომ უნდა უზრუნველყოს სისტემის გარემოს ისე მოწესრიგება, რომ დარწმუნდეს გარემოს საფრთხე არ შექმნია, აღნიშნულისათვის განსახორციელებელი მინიმალური ნაბიჯებია:

• ტესტირების დროს დამატებული ან შეცვლილი სატესტო ანგარიშების განახლება ან/დაწაშლა;
• ტესტირების დროს დამატებული ან შეცვლილი მონაცემთა ბაზაში ჩანაწერების განახლებაან/და წაშლა;
• სატესტო ხელსაწყოების ან სხვა არტეფაქტების დეინსტალაცია საჭიროების შესაბამისად;
• უსაფრთხოების კონტროლების იმ დონემდე აღდგენა, რაც ტესტირებისთვის შეიცვალა;
• კლინეტის ინფორმირება/ინსტრუქციის მიწოდება იმის შესამოწმებლად, რომ გარემო აღდგენილია; 
• კლიენტისათვის დადასტურება, რომ გარემო გაწმენდილი და აღდგენილია. 

თუკი ტესტირების დამთავრების შემდგომ კლიენტი თვლის, რომ გარკვეული საკითხები კვლავ მოსაგვარებელია, მომწოდებელი ვალდებულია აღნიშნული მოაგვაროს დამატებითი საზღაურის გარეშე.  

ლოგები

მომწოდებელმა უნდა ჩაიწეროს და დააკვირდეს თითოეულ აქტივობას, რომელიც მასსა დაკლიენტის გარემოს შორის მიიღება, აღნიშნული ლოგები კლიენტის მოთხოვნის შემთხვევაში მისთვის სასურველი ფორმატით მიეწოდება კლიენტს.

შეღწევადობის ტესტირების სერვისების რეპორტი და პრეზენტაცია

მომწოდებელი ვალდებულია მიაწოდოს კლიენტს ანგარიში თითოეული დასრულებულიმომსახურების შესახებ, ანგარიში მინიმუმ უნდა შეიცავდეს შემდეგ ინფორმაციას:

• შეჯამება;
• მომსახურების სფერო;
• კრიტიკული კომპონენტების იდენტიფიცირება და იმის ახსნა, თუ რატომ მოხდა ამ კომპონენტების ტესტირება;
• ტესტირების ჩასატარებლად გამოყენებული მეთოდები და ინსტრუმენტები;
• ნებისმიერი შეზღუდვა, რამაც გავლენა მოახდინა ტესტირებაზე (მაგ: სპეციფიკური ტესტირების საათები, გამტარუნარიანობა, სპეციალური მოთხოვნები);
• ტესტის მიმდინარეობისას და ტესტირების დროს წარმოქმნილი საკითხების აღწერა ვადების მიხედვით;
• ტესტირების შედეგები დეტალურად (მაგ: ექსპლუატაცია, სიმძიმე);
• დაზარალებული სამიზნე კატეგორია კლიენტის გარემოში;
• დეტალური რეკომენდაციები რემედიაციის შესახებ. 

დროდადრო კლიენტმა შესაძლოა მოითხოვოს პირადი, სატელეკონფერენციო ან/და ვებინარის საშუალებით შეხვედრები მომწოდებელთან, რათა წარმოადგინოს ანგარიში ტესტირების შედეგების შესახებ. მომწოდებელმა უნდა უზრუნველყოს კლიენტის ამ მოთხოვნის მხარდაჭერა.

კრიტერიუმის არჩევა

სავალდებულოა წარმოდგენილი დოკუმენტაცია იყოს წერილობით ან/და ონლაინ ფორმით დამოიცავდე შემდეგს:

• გამოყენებული მეთოდოლოგიის აღწერა;
• გამოცდილება შეღწევადობის ტესტირების კუთხით:
• კანდიდატს (ქვეკონტრაქტორს) უნდა ჰქონდეს ამ სფეროში სანდო სასერთიფიკაციო ორგაონების მიერ გაცემული სერთიფიკატები, როგორიცაა (OSCP, GWAPT, CPT, CEH). მინიმუმ 3 წლიანი გამოცდილება შესაბამის სფეროში და უნდა უზრუნველყოს განხორციელებული შეღწევადობის ტესტირების პროექტების მოკლე აღწერა, მასშტაბი და რაოდენობა.
• მინიმუმ 1 სარეკომენდაციო წერილი წარმატებით განხორციელებული მსგავსი პროექტის შესახებ (ჩაითვლება უპირატესობად).
• პროექტის ვადები და დასრულების თარიღი;
• სრული პროექტის ღირებულება;
• ჩაშლილი ღირებულება სკოუპების მიხედვით

მომსახურების მიღების ვადა: 2025 წლის 8 სექტემბრამდე

ანაზღაურება: მომსახურების მიღებიდან და მიღება-ჩაბარების აქტის გაფორმებიდან 5 დღის ვადაში.

სატენდერო პირობები 

ტენდერში მონაწილეობის მისაღებად პრეტენდენტმა საჭიროა სისტემაში ატვირთოსუფლებამოსილი პირის მიერ ხელმოწერილი და ბეჭდით დადასტურებული შემდეგი დოკუმენტაცია(PDF ფორმატის ფაილები):

• დანართი N1- კომპანიის რეკვიზიტები;
• დანართი N2- ფასების ცხრილი
  - ფასები დაფიქსირებული უნდა იყოს ლარში, დღგ-ს და კანონმდებლობითგათვალისწინებული გადასახადების ჩათვლით;
  - ღირებულებაში გათვალისწინებული უნდა იყოს პროდუქციის ადგილზე მოწოდება;
• დანართი N3- განხორციელებული პროექტების და შესრულებული სამუშაოების ჩამონათვალი;

შემოთავაზების მიღების ბოლო ვადაა 15/07/2025 15:00 საათი

ტენდერში გამარჯვების კრიტერიუმია-ღირებულება და ხარისხი;

განფასებაში შეცდომის არსებობის შემთხვევაში უპირატესობა მიენიჭება ერთეულის ფასს;

სატენდერო შემოთავაზებაში და ელექტრონულად დაფიქსირებულ ფასთა ცდომილების (სხვაობის) შემთხვევაში უპირატესობა მიენიჭება ელექტრონულად დაფიქსირებულ ფასს;

გამარჯვებულად მიიჩნევა და ხელშეკრულება დაიდება იმ მონაწილესთან, რომელიც წარმოადგენსუკეთეს ფასს და დააკმაყოფილებს სატენდერო ტექნიკურ მოთხოვნებს;

ავანსის მოთხოვნის შემთხვევაში დამკვეთი უფლებამოსილია მოითხოვოს საბანკო გარანტიაავანსად გასაცემი თანხის ოდენობით, ასევე შემოსავლების სამსახურიდან გაცემული შედარებისაქტი, რომელშიც არ უნდა ისახებოდეს დავალიანება.

მომწოდებლის მხრიდან შესაძლებელია მოხდეს დასაბუთებული პრეტენზიის წარდგენა 3 დღისვადაში. ვადის ათვლა ხორციელდება მომწოდებლისთვის იმ ინფორმაციის მიწოდების დღიდან, რომელსაც შეეხება პრეტენზია.

დამკვეთის მიერ შესაძლებელია შეწყდეს ტენდერი, შესაბამისი მიზეზების არსებობისშემთხვევაში, რაზეც აუცილებლად ინფორმირებული იქნება ყველა მონაწილე; ასევე დამკვეთი იტოვებს უფლებას ტენდერი სცნოს ანულირებულად თუ ტენდერში მონაწილეობას მიიღებს მხოლოდ ერთი კომპანია;

სხვა დანარჩენი პირობები, შემდგომში გამყიდველსა და მყიდველს შორის გათვალისწინებულიქნება ნასყიდობის შესახებ ხელშეკრულებაშა

ინფორმაცია ელექტრონულ ტენდერში მონაწილეთათვის:

• შემოთავაზება უნდა აიტვირთოს ელექტრონული შესყიდვების ვებ-გვერდზე: www.tenders.ge
• ნებისმიერი შეკითხვა ტენდერის მიმდინარეობის პროცესში უნდა იყოს წერილობითი დაგამოყენებულ უნდა იქნას www.tenders.ge-ს პორტალის ონლაინ კითხვა-პასუხის რეჟიმი
• სატენდერო წინადადების წარმოდგენის ბოლო ვადა: 2025 წლის 15 ივლისი, 15:00 საათი
• შეთავაზების ვალუტა: ლარი
• ვაჭრობის ტიპი: ვაჭრობის გარეშე
• ელექტრონულ ტენდერში მონაწილეობის მიღების დეტალური ინსტრუქცია გთხოვთ იხილოთთანდართულ ფაილში

ტენდერის მსვლელობის დროს ტექნიკურ და ტენდერის პროცესთან დაკავშირებით კითხვებზედაუკავშირდით:

ლელა ტყეშელაშვილი 
ტელ: +995 599 27 87 97
ltkeshelashvili@msplus.ge

ტენდერის კატეგორია:

• 48200000 ქსელების, ინტერნეტისა და ინტრანეტის პროგრამული პაკეტები
• 72200000 პროგრამული უზრუნველყოფის შემუშავება და საკონსულტაციო მომსახურებები