Zmluva o dielo č. 2011000091

Transkript

Zmluva o dielo č. 2011000091
uzatvorená podľa § 536 až § 565 Obchodného zákonníka v platnom znení
Zmluvné strany
Objednávateľ :
Národná banka Slovenska
Imricha Karvaša 1
813 25 Bratislava
Zastúpený :
Bankové spojenie :
Číslo účtu :
Národná banka Slovenska, Bratislava
2129/0720
IČO :
DIČ:
IČ DPH :
30844789
2020815654
SK2020815654
(ďalej len „ objednávateľ“ )
a
Zhotoviteľ :
AEC, spol. s r.o.
Holandská 878/2
639 00 Brno
Štatutárny orgán:
IČO :
DIČ:
26236176
CZ26236176
Reg.:
Krajský súd v Brně, oddiel C, vložka 38808
(ďalej len „zhotoviteľ “ )
Imricha Karvaša 1
813 25 Bratislava
Bezpečnostné testovanie aplikácie
Čl. I
1.1
Zhotoviteľ vyhlasuje,
a)
že je právnickou osobou riadne založenou a zapísanou podľa českého právneho poriadku v
obchodnom registri vedenom Krajským súdom v Brne, oddiel C, vložka 38808, alebo fyzickou
osobou oprávnenou podnikať v danej oblasti podľa platných zákonov.
b)
že má plné právo a spôsobilosť uzavrieť túto zmluvu a plniť záväzky v nej obsiahnuté.
Čl. II
2.1
Úvod
Predmet zmluvy
Predmetom plnenia tejto zmluvy je záväzok Zhotoviteľa vykonať bezpečnostné testovanie
aplikácie a vypracovať príslušnú dokumentáciu podľa špecifikácie uvedenej v Prílohe č. 1 tejto
zmluvy.
Čl. III Všeobecné podmienky plnenia
3.1
Zhotoviteľ sa zaväzuje vykonať bezpečnostné testovanie aplikácie, vypracovať a odovzdať
objednávateľovi príslušnú dokumentáciu (v ďalšom aj „realizácia projektu“) podľa špecifikácie v časti
Príloha č.1 tejto zmluvy v termínoch podľa harmonogramu uvedeného v časti Príloha č.2 tejto zmluvy.
3.2
Lehota na realizáciu jednotlivých fáz projektu nesmie prekročiť:
3.2.1
3 kalendárne týždne pre fázu A,
3.2.2
1 kalendárny týždeň pre fázu B.
3.3
Lehoty uvedené v bode 3.2 začínajú plynúť dňom písomného oznámenia objednávateľa (aj e-mailom)
o pripravenosti na vykonanie príslušnej fázy zhotoviteľovi a nezahŕňajú čas potrebný na
pripomienkovanie dokumentácie objednávateľom ani čas potrebný na zapracovanie pripomienok
Zhotoviteľom, v súlade s ostatnými ustanoveniami tejto zmluvy.
3.4
V prípade, že Objednávateľ neoznámi svoju pripravenosť na vykonanie fázy B Zhotoviteľovi do 6
kalendárnych mesiacov od ukončenia (vrátane pripomienkovania dokumentácie a zapracovania
pripomienok) fázy A, predmet plnenia sa považuje za dodaný a Objednávateľ je povinný podpísať
akceptačný protokol bezpečnostného testovania aplikácie.
3.5
Zhotoviteľ sa zaväzuje vyhotoviť požadovanú dokumentáciu v písomnej forme a v elektronickej forme na
vhodnom médiu vo formátoch aplikačných programov Microsoft Word a Microsoft Excel (ďalej
„elektronická forma“) a v slovenskom jazyku.
3.6
Zhotoviteľ je povinný v elektronickej forme písomne odovzdať Objednávateľovi na pripomienkovanie
príslušnú dokumentáciu v deň ukončenia každej fázy realizácie projektu.
3.7
Objednávateľ do 7 kalendárnych dní od odovzdania príslušnej dokumentácie písomne doručí
Zhotoviteľovi zoznam pripomienok.
3.8
Zhotoviteľ do 7 kalendárnych dní od prijatia Objednávateľom doručených pripomienok zapracuje
pripomienky do dokumentácie, vyhotoví popis zapracovania pripomienok a písomne ho odovzdá ho spolu
s upravenou dokumentáciou Objednávateľovi.
3.9
Objednávateľ do 7 dní od prijatia popisu zapracovania pripomienok písomne akceptuje spôsob
zapracovania alebo písomne požiada o nápravu zapracovania pripomienok, ktorú Zhotoviteľ vykoná
podľa bodu 3.8.
3.10
Ak objednávateľ nepožiada v stanovenej lehote o nápravu, má sa za to, že ide o konečnú verziu
príslušnej dokumentácie. Objednávateľ a Zhotoviteľ následne podpíšu Akceptačný protokol
bezpečnostného testovania aplikácie, uvedený v časti Príloha č. 4 tejto zmluvy.
3.11
Objednávateľ má právo použiť výslednú dokumentáciu alebo jej časti pre svoje potreby a pre tieto
potreby ju poskytnúť tretím stranám.
3.12
Objednávateľ poskytne Zhotoviteľovi potrebnú súčinnosť pri realizácii projektu a to najmä poskytnutím
dokumentácie alebo informácií relevantných k bezpečnostnému testovaniu, ako aj vytvorením
technických podmienok pre vykonanie bezpečnostného testovania (pričom aplikácia bude prevádzkovaná
v prostredí NBS).
Bratislava 2011
strana 2/16
Imricha Karvaša 1
813 25 Bratislava
3.13
Zhotoviteľ sa zaväzuje oboznámiť Objednávateľa o technických detailoch plánovaných testov (najmä s
ohľadom na možný dopad na iné IT komponenty Objednávateľa) a následne vykonávať výlučne také
testy, ktoré Objednávateľ schválil a v časoch, ktoré Objednávateľ určil.
3.14
Zhotoviteľ sa zaväzuje, že bezpečnostné testy budú vykonávať výlučne pracovníci Zhotoviteľa uvedení
v časti Príloha č.3 tejto zmluvy.
3.15
Zhotoviteľ sa zaväzuje pri realizácii projektu rešpektovať požiadavky uvedené v časti Príloha č.1 tejto
zmluvy.
3.16
Objednávateľ poskytne dokumentáciu alebo informácie výlučne pracovníkom Zhotoviteľa uvedeným
v časti Príloha č.3 tejto zmluvy.
3.17
Zhotoviteľ sa zaväzuje kontaktovať výlučne zamestnancov Objednávateľa, ktorí sú uvedení v časti
Príloha č.3 tejto zmluvy.
Čl. IV Povinnosť zmluvných strán
Povinnosti Zhotoviteľa
4.1
Zhotoviteľ je povinný najneskôr do 3 pracovných dní od podpísania tejto zmluvy písomne stanoviť
oprávnenú osobu (resp. osoby) na účely konania pri vzájomnom styku zmluvných strán vo veciach podľa
tejto zmluvy. Zmena oprávnenej osoby musí byť zaslaná druhej strane formou doporučeného listu
podpísaného štatutárnym orgánom Zhotoviteľa alebo ním stanovenými osobami na základe osobitnej
plnej moci najneskôr 3 pracovné dni pred vykonaním zmien.
4.2
Zhotoviteľ je povinný zabezpečiť, aby jeho pracovníci pri plnení tejto zmluvy v objektoch Objednávateľa
dodržiavali všetky všeobecne záväzné predpisy, vzťahujúce sa k vykonávaniu činností, hlavne predpisy
súvisiace s bezpečnosťou práce a požiarnou bezpečnosťou, interné predpisy Objednávateľa, najmä
predpisy týkajúce sa vstupu do objektov a bezpečnosti systémov Objednávateľa, s ktorými ich
Objednávateľ zoznámi, a aby sa riadili organizačnými pokynmi oprávnených pracovníkov Objednávateľa.
4.3
Zhotoviteľ je povinný zabezpečiť, aby prístup k dôvernými informáciám a údajom Objednávateľa pri
plnení tejto zmluvy mali výlučne pracovníci uvedení v Prílohe č. 3 tejto zmluvy a to v rozsahu, v akom
tieto informácie a údaje potrebujú k plneniu tejto zmluvy.
4.4
Zhotoviteľ je povinný po skončení projektu odstrániť zo svojich informačných prostriedkov dôverné
informácie Objednávateľa, týkajúce sa predmetu tejto zmluvy.
Povinnosti a práva Objednávateľa
4.5
Objednávateľ je povinný najneskôr do 3 pracovných dní od podpísania tejto zmluvy písomne stanoviť
oprávnenú osobu (resp. osoby) na účely konania pri vzájomnom styku zmluvných strán vo veciach podľa
tejto zmluvy. Zmena oprávnenej osoby musí byť zaslaná druhej strane formou doporučeného listu
podpísaného zástupcom Objednávateľa, ktorý podpísal zmluvu v mene Objednávateľa alebo ním
stanovenými osobami na základe osobitnej plnej moci najneskôr 3 pracovné dni pred vykonaním zmeny.
4.6
Objednávateľ má právo kontrolovať pracovníkov Zhotoviteľa pri činnostiach v rámci plnenia predmetu
zmluvy vykonávaných v priestoroch Objednávateľa.
Čl. V
5.1
Cena predmetu zmluvy
Cena za zhotovenie a dodanie predmetu podľa tejto zmluvy je nemenná.
Cena za realizáciu projektu:
16 500 EUR bez DPH
(slovom šestnásťtisícpäťsto EUR)
5.2
Zhotoviteľ sa zaväzuje počas 12 mesiacov od podpísania akceptačného protokolu bezpečnostného
testovania aplikácie poskytnúť Objednávateľovi na objednávku úhrnom v celých hodinách
15 konzultačných hodín
v jednotkovej cene za jednu konzultačnú hodinu:
62,50 EUR bez DPH
(slovom šesťdesiatdva EUR a 50 centov za jednu celú konzultačnú hodinu)
Bratislava 2011
strana 3/16
Imricha Karvaša 1
813 25 Bratislava
pri realizácii projektov na základe vykonaného bezpečnostného testovania. Konzultácie smú poskytnúť
výlučne pracovníci Zhotoviteľa uvedení v časti Príloha č.3 tejto zmluvy a to do 14 kalendárnych dní od
doručenia písomnej objednávky na konzultáciu zhotoviteľovi. Skutočný počet čerpaných konzultačných
hodín v rámci jednej objednávky, musí byť písomne potvrdený zástupcami oboch zmluvných strán, ktorí
sa konzultácie zúčastnili. Zhotoviteľ bude Objednávateľovi fakturovať na základe objednávky len
skutočne vyčerpaný počet celých konzultačných hodín uvedenou hodinovou sadzbou za jednu
konzultačnú hodinu. Objednávateľ nie je povinný vyčerpať konzultačné hodiny v plnom rozsahu,
prípadne nemusí čerpať konzultačné hodiny vôbec.
Čl. VI Platobné podmienky
6.1
Cenu za realizáciu projektu podľa odseku 5.1 tejto zmluvy bude Zhotoviteľ fakturovať na základe
akceptačného protokolu bezpečnostného testovania aplikácie podpísaného zástupcami obidvoch strán.
Cena je uvedená bez DPH. Zhotoviteľ vyhotoví faktúru a doručí ju Objednávateľovi najneskôr do 7
kalendárnych dní odo dňa podpísania akceptačného protokolu bezpečnostného testovania aplikácie.
Faktúra je splatná do 14 kalendárnych dní od dňa jej doručenia Objednávateľovi bezhotovostným
prevodom na účet Zhotoviteľa. Za deň splnenia peňažného záväzku sa považuje deň odpísania dlžnej
sumy z účtu Objednávateľa v prospech Zhotoviteľa.
6.2
Cenu za poskytnuté konzultačné hodiny podľa odseku 5.2 tejto zmluvy bude Zhotoviteľ fakturovať na
základe objednávky Objednávateľa. Cena je uvedená bez DPH. Zhotoviteľ vyhotoví faktúru a doručí ju
Objednávateľovi najneskôr do 7 kalendárnych dní od konania konzultácie. Faktúra je splatná do 14
kalendárnych dní odo dňa jej doručenia Objednávateľovi bezhotovostným prevodom na účet
Zhotoviteľa. Za deň splnenia peňažného záväzku sa považuje deň odpísania dlžnej sumy z účtu
Objednávateľa v prospech Zhotoviteľa.
6.3
Zmluvné pokuty podľa článku VIII. sa fakturujú zmluvnými stranami priebežne a sú splatné do 14
kalendárnych dní odo dňa doručenia faktúry druhej zmluvnej strane.
6.4
V prípade, že faktúra bude obsahovať nesprávne cenové údaje, Objednávateľ je oprávnený ju vrátiť do
5 pracovných dní Zhotoviteľovi na prepracovanie a nová lehota splatnosti začne plynúť dňom doručenia
doplnenej (prepracovanej) faktúry Objednávateľovi.
Čl. VII Miesto plnenia zmluvy
7.1
Miestom plnenia zmluvy, bezpečnostného testovania aplikácie, dodania príslušnej dokumentácie,
v listinnej aj elektronickej forme, sú priestory Objednávateľa na Ul. Imricha Karvaša č. 1, Bratislava.
Čl. VIII
Zmluvné pokuty a úroky z omeškania
8.1
Ak dôjde k omeškaniu Zhotoviteľa pri realizácii jednotlivých fáz projektu v termínoch dohodnutých podľa
článku III bodu 3.1 a 3.2 tejto zmluvy, je Objednávateľ oprávnený účtovať Zhotoviteľovi zmluvnú
pokutu vo výške 300,00 EUR (tristo EUR), za každý kalendárny deň omeškania.
8.2
Zmluvnú pokutu podľa odseku 8.1 za omeškanie Zhotoviteľa nie je možné účtovať v prípade,
že omeškanie Zhotoviteľa je spôsobené neposkytnutím dostatočnej súčinnosti zo strany Objednávateľa
(napr. nevytvorením časových a technických podmienok pre vykonanie testovania alebo neposkytnutím
relevantných podkladov a dokumentácie) alebo vyššou mocou, čo sú okolnosti nepredvídateľné
a neodvrátiteľné ani jednou zo zmluvných strán (napr. prírodné katastrofy, vojny, plošné výpadky
energie, ktoré môžu mať vplyv na realizáciu projektu).
8.3
V prípade omeškania Objednávateľa s platením faktúry podľa čl. VI bodu 6.1 a 6.2 tejto zmluvy je
Zhotoviteľ oprávnený účtovať Objednávateľovi úroky z omeškania vo výške 0,05% z neuhradenej
čiastky za každý deň omeškania.
8.4
V prípade omeškania Zhotoviteľa s platením faktúr vystavených podľa ods. 8.1 alebo ods. 11.2 tejto
zmluvy je Objednávateľ oprávnený účtovať Zhotoviteľovi úroky z omeškania vo výške 0,05%
z neuhradenej čiastky za každý deň omeškania.
8.5
Zmluvné pokuty a úroky z omeškania podľa tejto zmluvy sa nezapočítavajú na úhradu škôd, ktoré by
stranám vznikli porušením zmluvných povinností.
Čl. IX Odstúpenie od zmluvy
Bratislava 2011
strana 4/16
Imricha Karvaša 1
813 25 Bratislava
9.1
Objednávateľ je oprávnený odstúpiť od zmluvy v súlade s §344 a nasl. Obchodného zákonníka.
9.2
Za podstatné porušenie zmluvy Zhotoviteľom sa považuje, ak nastane ktorýkoľvek z nižšie uvedených
prípadov:
a)
Zhotoviteľ mešká s realizáciou niektorej z fáz projektu o viac ako 4 kalendárne týždne, a túto
skutočnosť nenapraví ani do 5-tich pracovných dní po doručení písomného oznámenia
Objednávateľa Zhotoviteľovi,
b)
Dokumentácia neobsahuje všetky informácie požadované v časti Príloha č.1 tejto zmluvy,
c)
Zhotoviteľ dokumentácii nezapracoval pripomienky Objednávateľa.
pričom jednotlivé prípady porušenia záväzkov uvedených v písm. a) – c) bodu 9.2 sa považujú za
podstatné porušenie zmluvy a za nesplnenie záväzku ako celku.
9.3
Odstúpením od zmluvy zmluva zaniká, keď prejav vôle oprávnenej strany odstúpiť od zmluvy je
doručený druhej strane. Po tejto dobe nemožno účinky odstúpenia od zmluvy odvolať alebo meniť bez
súhlasu druhej strany.
9.4
V prípade nepodstatného porušenia zmluvy môže druhá zmluvná strana odstúpiť od tejto zmluvy, ak
zmluvná strana, ktorá zmluvnú povinnosť porušila ju nesplní ani v dodatočnej písomne dohodnutej
lehote. Odstúpenie od tejto zmluvy je možné výlučne písomnou formou a jeho účinky nastanú dňom
jeho doručenia druhej zmluvnej strane.
Čl. X
10.1
Zodpovednosť za škody
Každá zo strán nesie zodpovednosť za škody v zmysle ustanovení Obchodného zákonníka a v zmysle
príslušných všeobecne záväzných právnych predpisov.
Čl. XI Povinnosť mlčanlivosti
11.1
Dôvernými informáciami a údajmi Objednávateľa sa rozumejú informácie a údaje o infraštruktúre alebo
častiach infraštruktúry IT prostredia NBS, vrátane konfigurácie, zabezpečenia, spôsobu prevádzky
a súvisiacich prevádzkových postupov. Dôvernými informáciami a údajmi Objednávateľa sa ďalej
rozumejú podrobnosti a výsledky vykonaných bezpečnostných testov a analýz pri realizácii projektu,
vrátane súvisiacej dokumentácie.
11.2
Obe zmluvné strany berú na vedomie, že prídu do styku s dôvernými informáciami a údajmi druhej
zmluvnej strany. Týmto sa zaväzujú dodržať utajenie informácií a zamedziť zneužitiu týchto informácií vo
svoj prospech alebo prospech tretích osôb svojím zavinením. Zhotoviteľ sa zaväzuje zabezpečiť, aby v
súvislosti s realizáciou dodávky nedošlo k zneužitiu dát Objednávateľa a rovnako sa zaväzuje k takému
konaniu, ktoré bude minimalizovať kontakt s dátami na mieru čo najnižšiu, avšak postačujúcu k
riadnemu plneniu tejto zmluvy. Povinnosť mlčanlivosti nezaniká ani po ukončení tejto zmluvy, nie je
možné sa jej nijako zbaviť. V prípade porušenia tohto záväzku je Zhotoviteľ povinný uhradiť
Objednávateľovi ním zavinenú preukázateľnú škodu. V prípade, že škodu nie je možné finančne vyjadriť
(napr. § 17, 44 Obchodného zákonníka), je Zhotoviteľ povinný uhradiť Objednávateľovi zmluvnú pokutu
vo výške 20.000,- EUR (slovom dvadsaťtisíc EUR) za každý dokázaný prípad zneužitia interných
informácií a údajov. Táto zmluvná pokuta je splatná do 30 dní od písomného oznámenia Objednávateľa
o zistení porušenia záväzku podľa tohto bodu zhotoviteľovi.
11.3
Týmto záväzkom mlčanlivosti nie je dotknuté zverejnenie tejto zmluvy ako povinne zverejňovanej
zmluvy.
Čl. XII Záverečné ustanovenia
12.1
Vzťahy medzi zmluvnými stranami, ktoré táto zmluva výslovne neupravuje, sa riadia ustanoveniami
Obchodného zákonníka a všeobecne záväznými právnymi predpismi slovenského právneho poriadku.
Prípadné súdne spory vzniknuté z tejto zmluvy bude riešiť príslušný súd Slovenskej republiky, ak sa
zmluvné strany osobitne písomne nedohodnú na riešení sporu v rozhodcovskom konaní.
12.2
Zmluvné strany zhodne vyhlasujú, že táto zmluva nebola uzatvorená v tiesni, ani za nápadne
nevýhodných podmienok pre niektorú zo zmluvných strán, že zmluvná voľnosť zmluvných strán nie je
obmedzená, že sa s touto zmluvou dôkladne oboznámili, rozumejú jej, súhlasia s ňou a prostredníctvom
svojich oprávnených zástupcov túto zmluvu podpísali na znak toho, že zodpovedá ich slobodnej a vážnej
vôli.
Bratislava 2011
strana 5/16
Imricha Karvaša 1
813 25 Bratislava
12.3
Táto zmluva je vyhotovená v šiestich exemplároch vlastnoručne podpísaných zmluvnými stranami, z
ktorých dva exempláre dostane Zhotoviteľ a štyri exempláre dostane Objednávateľ.
12.4
Neoddeliteľnou súčasťou tejto zmluvy sú jej prílohy:
Príloha č.1:
Požiadavky na bezpečnostné testovanie aplikácie.
Príloha č.2:
Rámcový plán bezpečnostného testovania aplikácie.
Príloha č.3:
Kontaktné osoby Objednávateľa a pracovníci Zhotoviteľa podieľajúci sa na realizácii
predmetu plnenia.
Príloha č.4:
Akceptačný protokol bezpečnostného testovania aplikácie.
12.5
Túto zmluvu je možné zrušiť, meniť a dopĺňať len písomnými dodatkami k zmluve na základe dohody
zmluvných strán, podpísanými oboma zmluvnými stranami.
12.6
Táto zmluva je povinne zverejňovaná zmluva podľa ustanovení § 5a zákona o prístupe k informáciám
(zákona č. 211/2000 Z. z. v znení neskorších predpisov) v spojení s ustanoveniami § 271 ods. 2 a § 1
ods. 2 Obchodného zákonníka a s ustanoveniami § 47a Občianskeho zákonníka. Zhotoviteľ súhlasí so
zverejnením tejto zmluvy vrátane jej dodatkov a faktúr zhotoviteľa doručených objednávateľovi a tiež
disponuje písomným súhlasom inej dotknutej osoby (osoby konajúcej za zhotoviteľa) na zverejnenie jej
údajov v tejto zmluve, v jej dodatkoch a faktúrach zhotoviteľa doručených objednávateľovi, a to
zverejnenie objednávateľom počas trvania jeho povinnosti podľa § 5a a § 5b zákona o prístupe k
informáciám. Tento súhlas možno odvolať len po predchádzajúcom písomnom súhlase objednávateľa.
12.7
Táto zmluva nadobúda platnosť a je pre zmluvné strany záväzná odo dňa jej podpisu oprávnenými
zástupcami oboch zmluvných strán; táto zmluva nadobúda účinnosť dňom nasledujúcim po dni jej
zverejnenia na webovom sídle (internetovej stránke) objednávateľa [§ 47a ods. 1 Občianskeho
zákonníka v spojení s § 5a ods. 1 a 5 zákona o prístupe k informáciám].
Za objednávateľa
Za zhotoviteľa:
AEC, spol. s r.o.
Príloha č. 1
k Zmluve o dielo č. E-904.10.1000.00
Fáze A - Testování bezpečnosti aplikace
Kolemplexní testování bezpečnosti aplikace NBS vyhledává slabá místa v zabezpečení, která jsou obsažena již
v technologii testované aplikace nebo vznikla v důsledku špatných nastavení parametrů při implementaci.
Bezpečnostní test aplikace doporučujeme realizovat v následujících krocích:
Posouzení naplnění opatření daných bezpečnostním záměrem.
Penetrační test aplikace zahrnující
o
o
o
Testování zranitelností dle OWASP Testing Guide v3.
Testování nachýlnosti aplikace na útoky typu Denial of Service.
Testování z úrovně anonymního i registrovaného uživatele (s přídělenými právy 11
definovaných rolí).
Bratislava 2011
strana 6/16
Imricha Karvaša 1
813 25 Bratislava
o
Manuální ověření všech identifikovaných zranitelností.
Audit konfigurace serveru s operačním systémem Windows Server 2008 R2 s aplikačním
prostředím WAMP 2.1 (s odpovídajícími verzemi PHP, Apache a MySQL).
Posouzení naplnění bezpečnostního záměru
Součástí testů bezpečnosti aplikace bude i prověření naplnění bezpečnostního záměru. Předmětem této etapy je:
studium dostupné dokumentace (bezpečnostního záměru), v případě potřeby i interview
s odpovědným zástupcem NBS (v rámci auditu konfigurací);
kontrola aktuálnosti bezpečnostního záměru vzhledem k výstupům testů a auditu;
prověření, zda opatření identifikovaná v rámci penetračních testů a auditu konfigurace slouží k
naplnění základních bezpečnostních cílů daných bezpečnosntím záměrem;
prověření, zda okolí testované aplikace a její vztah k možným příčinám narušení odpovídá
výsledkům provedených testů.
Výsledky posouzení budou shrnuty v závěrečném zhodnocení .
Penetrační test webové aplikace
V následujících odstavcích jsou uvedeny obené činnosti, jejichž cílem je získat podklady pro komplexní
hodnocení bezpečnosti aplikace při penetračním testování.
Identifikace cíle
Identifikace aktivních služeb
Identifikace zranitelností
Získání přístupu
Eskalace privilegií a ovládnutí cíle
Reakce na testy
Penetrační testy vyhledávají slabá místa v zabezpečení, která jsou obsažena již v technologii testované aplikace
nebo vznikla v důsledku špatných nastavení parametrů při implementaci. Činnosti prováděné v rámci testů jsou
zaměřeny na vytvoření profilu odolnosti testovaných aplikací vůči možným technikám napadení. Veškeré testy se
provádějí bez destruktivních zásahů (pokud je klient výslovně nepožaduje) tzn., že útok končí kompromitací
systému, neprovádějí se žádné změny, které by poškodily IS.
Součástí testů je také prověření bezpečnosti autentizačních a autorizačních mechanismů a způsobu zacházení
s citlivými informacemi v rámci testovaných aplikací.
Penetrační testy prověří aplikaci z pohledu spolehlivosti, zajištění integrity a důvěrnosti dat. Testy jsou zaměřeny
také na identifikaci bezpečnostních slabin, které se mohou vyskytovat v rámci instalace, konfigurace a procesů
zpracování dat aplikace.
Penetrační testy aplikací zahrnují následující kroky:
kontrola nastavení bezpečné komunikace (např. pomocí https, ssl);
bezpečnost kritických datových toků;
chyby aplikací (výpočty, náhodné chyby, ztráta dat);
možnost zneužití aplikací neautorizovaným způsobem, kontrola hodnot při zadání uživatelem;
stabilita aplikací;
posouzení bezpečnostní úrovně skriptů - nesprávně naprogramované aplikační skripty (cgi, php
nebo asp) mohou představovat bezpečnostní riziko, proto budou vybrané skripty analyzovány z
hlediska bezpečnosti;
pokus o získání přihlašovacích údajů registrovaného uživatele;
náchylnost na aplikační zranitelnosti definované v rámci projektu OWASP;
bezpečnost technologií, na kterých jsou systémy postaveny (operační systémy, webové, aplikační a
databázové servery) a jejich bezpečná integrace do zbývající infrastruktury;
možnosti zneužití dostupných technologií v aplikaci útočníkem a proveditelné útoky na účty/relace
legitimních klientů.
Bratislava 2011
strana 7/16
Imricha Karvaša 1
813 25 Bratislava
Při realizaci penetračních testů vycházíme z metodiky OWASP Testing Guide verze 3.0, a metodiky OSSTMM
přičemž používáme tyto níže uvedené techniky/typy útoků a sběru informací.
Information Gathering
Configuration Management Testing
Authentication Testing
Session Management Testing
Authorization Testing
Business logic Testing
Data Validation Testing
Denial of Service Testing
Web Services Testing
AJAX Testing
Testy budou dle potřeby realizovány v několika úrovních:
Úroveň anonymního uživatele – bez autentizace
Detailní prověření bez znalosti prostředí představuje simulaci napadení internetové aplikace útočníkem, který má
k dispozici pouze veřejně dostupné informace. Cílem testů je detekovat zranitelnosti, které mohou být zneužity k
získání neautorizovaného přístupu k citlivým informacím a systémovým zdrojům.
Součástí testů je ohodnocení možností anonymního útočníka vzhledem k získání neautorizovaného přístupu k
systému – zde budou aplikace testovány na možnosti unesení relace, útoky MITM (Man In The Middle), zcizení
autentizačních údajů a další.
Úroveň autentizovaného/registrovaného uživatele
Cílem testů je simulovat techniky útočníků, při kterých dochází k využití získaných (přidělených) práv k získání
informací nebo dat vlastněných jinou osobou. Například se může jednat o získání dat z cizího účtu po změně
cesty v odkazu, získání dat z databáze při změně ID čísla uživatele, možnosti eskalace práv atd.
Testy budou provedeny z pohledu všech 11 rolí, které aplikace využívá.
Audit konfigurace
Součástí prověrky webové aplikace je i audit konfigurace vybraného systému – serveru s MS Windows 2008
s odpovídajícím aplikačním prostředím.
Ostatní prvky infrasturktury, jež jsou součástí testované aplikace, budou prověřeny formou penetračního testu.
Informace pro kontrolu konfigurace vybraných zařízení jsou získávány na základě rozhovorů a přímým
testováním. Dále využíváme standardních sestav, dostupných ze systémů ve spolupráci s administrátory
zařízení/systému. Cílem je nashromáždit informace o specifické konfiguraci jednotlivých zařízení/systémů a
následně zhodnotit jejich nastavení z hlediska bezpečnosti.
Audity konfigurace serveru (Windows) provádíme ve třech fázích:
1. Interview s fundovaným personálem IT oddělení, kdy jsou zodpovězeny základní otázky týkající se
fyzické bezpečnosti, zálohování, přístupnosti zařízení a aplikací z jiných sítí - DMZ, Internet atd.
2. Audity samotných serverů s právy superuživatele systému. Provádí se analýza pomocí komerčních
nástrojů a vlastních skriptů a nástrojů, mezi jinými Shadow Security Scanner, GFI LanGuard, AEC
ToolKit, MBSA. Provádí se též prohlídka systému a nastavení ze systémové konzole (případně
terminálové relace).
3. Jednotlivé audity budou zaměřeny zejména na prověření správy systémů a systémových služeb,
autentizace a autorizace uživatelů vůči prověřovaným systémům (politiky uživatelských účtů
a přístupových oprávnění, …), úroveň logování atd. Prověrky vybraných aplikací budou provedeny
z pohledu spolehlivosti, zajištění integrity, autentizace a důvěrnosti dat.
Další částí auditu bude prověření bezpečnosti, konfigurace a aktuálnosti serveru a instalovaných
aplikací, kdy budou prověřovány například:
účty (mrtvé a nepoužívané účty, nastavení, …);
sdílení (práva, anonymní dostupnost);
Bratislava 2011
strana 8/16
Imricha Karvaša 1
813 25 Bratislava
záplatování (aktuálnost OS a aplikací);
služby (adekvátnost spuštěných služeb, hardening);
procesy (neznámé, podezřelé služby);
konfigurace Domain Controlleru – je-li testovaný server současně i DC (skripty, tasks…);
základní testy účtů – cracking;
audit služeb - ověření zranitelností služeb a server;
audit vzdáleně dostupných služeb a aplikací s ohledem na bezpečnost skenování portů
a zranitelností.
4. Manuální analýza výstupů nástrojů a skriptů s ohledem na zaměření a funkčnost systémů jsou
detekovány nedostatky a navrženy postupy, jak je napravit.
Audit aplikačního prostředí AMP (Apache, MySQL, PHP)
Předmětem auditu jednotlivých technologií je:
nastavení a práva uživatelů, pod kterými jsou tyto technologie provozovány podle principů Least
Privilege Principle a Segregation of Duties;
aktuálnost verzí a přítomnost bezpečnostně relevantních patchů a updatů;
nastavení auditování a vyhodnocování auditních záznamů;
ochrana před útoky DoS (např. možnosti zahlcení logy);
soulad konfiguračních nastavení s doporučovanými best practises z pohledu bezpečnosti pro
každou ze zmíněných technologií zvlášť, např.:
Apache: využití adresářových direktiv, konfigurace SSL;
PHP: využití potenciálně nebezpečných direktiv (register_globals, magic_quotes_gpc...);
MySQL: použití implicitních účtů, zabezpečení síťového připojení k databázi.
Audit aplikačního prostředí je realizován v následujících krocích:
1. Interview s administrátorem, jehož cílem je pochopení funkcionality a specifik testovaného řešení.
2. Sesbírání konfigurací převážně pomocí automatizovaných skriptů, případně manuálně s využitím
systémových nástrojů.
3. Analýza získaných dat a tvorba závěřečné zprávy.
Fáze B – Oveření odstranění identifikovaných zranitelností
Předmětem této fáze je ověření odstranění identifikovaných zranitelností. Ověření je prováděno stejnou metodou
a postupem jako samotné penetrační testy, avšak se zaměřením na dříve identifikované zranitelnosti.
V případě, že se nepodaří zranitelnost opakovaně identifikovat, je považována za odstraněnou. Při ověřování
odstranění jsou prověřovány i možné vedlejší efekty (v některých případech je při odstraňovaní
chyby/zranitelnosti nebo změně nastavení do aplikace zavlečena chyba nová).
Výstupy projektu
Výstupem projektu jsou:
detailní (technická) zpráva o stavu bezpečnosti prověřované aplikace (výstup fáze A);
zpráva z výsledku testů ověření odstranění identifikovaných zranitelností (výstup fáze B);
závěrečné zhodnocení bezpečnosti aplikace (manažerské shrnutí) včetně zhodnocení naplnění
bezpečnostního záměru.
Výstupy budou dodány v tištěné podobě a ve formátu programů MS Word a Excel na CD/DVD spolu s výstupy
z použitých nástrojů a případnými doplňujícími informacemi k testům (např. screenshoty z průběhu testů).
Detailní zpráva
Obsahem detailní zprávy jsou konkrétní zjištění související s jednotlivými zkoumanými oblastmi. Detailní zpráva
obsahuje následující informace:
Cíl a rozsah projektu.
Bratislava 2011
strana 9/16
Imricha Karvaša 1
813 25 Bratislava
Stanovení stupnice a metodiky hodnocení zranitelností – kategorizace zranitelností a způsob jejich
značení v dokumentu (viz níže).
Detailní postup provedených testů včetně nástrojů a technik použitých v jednotlivých fázích.
Popis zjištění z jednotlivých fází testů.
Popis nalezených zranitelnosti, každá v členění
o
zjištění – identifikace zranitelného místa/nálezu včetně popisu kde a jakým způsobem
byla zranitelnost identifikována;
o
riziko – popis rizik plynoucích z možného zneužití zranitelného místa včetně možných
scénářů zneužití (za jakých podmínek je možné zranitelnost zneužít a jaké jsou možné
dopady tohoto zneužití), posouzení dopadu rizika na produkční prostředí;
o
doporučení – doporučení vedoucí k odstranění nalezených nedostatků, případně
návrhy na zvýšení bezpečnosti stávajících bezpečnostních mechanismů a opatření. Tato
doporučení se mohou týkat procesních změn, konfigurace zařízení (hardening systémů),
návrhu nových bezpečnostních mechanismů pro zvýšení stávající úrovně bezpečnosti,
doporučení pro uživatelská PC atd.
o
přílohy (výstupy z použitých nástrojů, důkazy apod.).
Závěrečné zhodnocení provedeného testu a hodnocení aktuálně dosažené úrovně bezpečnosti
testovaných aplikací.
Hodnocení/kategorizace zranitelnosti:
Veškeré nalezené problémy a zranitelnosti jsou rozděleny do pěti kategorií podle závažnosti:
- kriticky závažná chyba (KRITICKÁ) – CRITICAL
Jako kritické chyby jsou označeny nedostatky, které byly při testech zneužity a vedly (mohou vést)
k přímé kompromitaci testovaného systému.
- závažné chyby (VYSOKÁ) – HIGH
Jako závažné klasifikujeme chyby, které bezprostředně umožňují kompromitaci systému, či jeho
nedostupnost. U těchto chyb existuje velmi vysoká pravděpodobnost zneužití. Jejich okamžitá náprava je
nutná.
- středně závažné chyby (STŘEDNÍ) – MEDIUM
Do této kategorie spadají chyby, jejichž využití k potenciálnímu útoku na IS je technologicky náročnější
na realizaci, nebo které umožňují průnik do systému pouze v případě splnění několika určitých navzájem
souvisejících podmínek. Jejich závažnost nelze podceňovat s ohledem na potenciálně hrozící zneužití.
- méně závažné chyby (NÍZKÁ) – LOW
Tato kategorie zahrnuje méně závažné chyby, které napomáhají napadení systému. Např. poskytují
potenciálnímu útočníkovi informace, jež lze uplatnit v rámci útoku na IS - organizace o svém IS
prozrazuje více, než je nezbytně nutné. Ve většině případů se jedná pouze o konfigurační opomenutí
apod.
- (INFORMATIVNÍ) – INFO
Informativní kategorie označuje vše, co lze zjistit o systémech a sítích, aniž by bylo možné jakýmkoliv
způsobem zabránit úniku těchto informací. Tyto údaje nejsou většinou příliš důležité pro vedení
vlastního útoku, ale mnohdy mohou napomoci útočníkovi při dokreslení či doplnění celkového obrazu o
cíli potenciálního napadení.
Klasifikace dle schopnosti útočníka - skill, neboli schopnosti útočníka, je klasifikace, která popisuje
nároky kladené na schopnosti a znalosti útočníka pro realizaci daného útoku.
Pro identifikaci a případné zneužití zranitelnosti postačují základní znalosti a schopnosti uživatele –
útočníka. Ke zneužití může dojít také neúmyslnou chybou nebo náhodným jednáním.
Bratislava 2011
strana 10/16
Imricha Karvaša 1
813 25 Bratislava
Středně obtížná náročnost s využitím automatizovaných nástrojů. Technicky zdatní útočníci, kteří s větší
mírou využívají manuální metody útoku, případně převzaté skripty.
Velmi znalí a zkušení útočníci, kteří k útokům používají úzce specializované a sofistikované nástroje.
Jedná se o přesně cílené útoky.
Zpráva z ověření odstranění identifikovaných zranitelností
Na základě výstupů z testů bude vytvořena stručná zpráva, která obsahuje postup a výsledky testů, jejímž cílem
je ověřit odstranění zranitelností či nedostatků identifikovaných ve fázi A.
V případě nalezení nových nedostatků budou tyto popsány ve stejné struktuře jako v detailní zprávě (zjištění,
riziko, doporučení, přílohy) včetně hodnocení dle závažnosti a potřebných schopností útočníka.
Závěrečné zhodnocení
Pro účely managementu organizace je vypracována speciální hodnotící zpráva s cílem podchytit a stručně a
srozumitelně popsat zjištěné výsledky testování a analýz.
Cílem manažerského shrnutí je podat stručné informace o průběhu projektu, ohodnotit bezpečnost jak celé
aplikace, tak i jednotlivých zkoumaných oblastí, a popsat nejdůležitější doporučení směřující ke zvýšení
bezpečnosti.
Součástí výstupu je i výsledné hodnocení, zda je prostřednictvím implementovaných opatření naplňován
bezpečnostní záměr banky či nikoli.
Bratislava 2011
strana 11/16
Imricha Karvaša 1
813 25 Bratislava
Príloha č. 2
Rámcový plán pre bezpečnostné testovanie aplikácie
Požadavky na zdroje objednatele pro relizaci testů lze rozdělit do několika oblastí (včetně specifikace informací
potřebných pro fázi A projektu):
•
požadavek jednotné terminologie, přesných názvů;
•
požadavek aktuálnosti poskytovaných informací a dokumentace (bezpečnostní záměr);
•
přesné vymezení rozsahu testovaných systémů – aplikace (IP adresy, identifikace zařízení, které budou
předmětem testů);
•
dostupnost pracovníka znalého procesů spojených se službami poskytovanými testovanou aplikací (pro
úvodní workshop);
•
dostupnost odpovědných technických pracovníků pro interview (správci aplikace a jednotlivých systémů
– operační systém Windows včetně aplikačního prostředí);
•
zajištění testovacích čipových karet, přístupu a příslušných oprávnění (pro potřeby technických testů
z úrovně registrovaných uživatelů);
•
akceptace výstupů – připomínkování výstupů projektu.
Dodávka projektu bude rozdělena do několika fází:
1. Zahájení projektu, stanovení hranic
Z hlediska efektivity a plánování projektu je před zahájením projektu proveden minimálně jeden nebo
v případě potřeby více úvodních workshopů s pracovním týmem na straně NBS. Na základě získaných
informací je stanovena konkrétní strategie penetračních testů tak, aby byly efektivně využity zdroje a
identifikován, resp. prověřen, co nejvyšší objem zranitelností a rizik aplikace.
Součástí workshopu je
detailní vymezení hranic a architektury aplikace;
upřesnění cílů a rozsahu testů;
stanovení technik pro testování (jaké metody, resp. typy útoků, budou použity nebo naopak
vyjmuty z testů);
upřesnění spolupráce a součinnosti se zástupci pracovního týmu NBS;
vazby na současně probíhající projekty NBS;
časové omezení testů (omezení testování na konkrétní dny, hodiny apod.);
opatření proti zabránění negativnímu dopadu testů (nedestruktivní testy, omezení testování v době
špiček, plánování testů atd.).
2. Fáze testování a sběru podkladů – zahrnuje provedení penetračního testu fáze A (viz příloha č. 1
smlouvy).
3. Analýza a vyhodnocení získaných dat:
vyhodnocení fáze testování a sběru podkladů;
vyhodnocení procesu detekce útoku a vhodnosti opatření přijímaných při detekci útoku;
posouzení možnosti zotavení po úspěšném útoku;
mitigace rizik – určení míry rizik a dopadu, návrh na minimalizaci, nápravná opatření, prioritizace
opatření.
4. Tvorba detailní závěrečné zprávy.
5. Akceptace výstupů (fáze A) - výstupy projektu (viz příloha č. 1 Výstupy projektu) jsou předloženy
zadavateli k závěrečnému připomínkování
6. Ověření odstranění identifikovaných zranitelností (po jejich odstranění na straně NBS) – fáze B
specifikovaná v příloze č. 1 smlouvy.
Bratislava 2011
strana 12/16
Imricha Karvaša 1
813 25 Bratislava
7. Tvorba zpráv z ověření odstranění identifikovaných zranitelností a závěrečného zhodnocení.
8. Akceptace výstupů (fáze B) – zprávy z ověření odstranění identifikovaných zranitelností a závěrečné
zhodnocení.
9. Závěr projektu – závěrečný workshop, ukončení projektu.
Název
etapy
Popis
činností
Zahájení
Trvání
(ve
dnech)
Výstupy
Kapacity NBS (čas a
struktura)
Viz bod 1)
Harmonogram,
smlouva, plán
testů
Zápis
z jednání
cca 2 MH na roli, (účast na
workshopu), role: správce
aplikace, osoba znalá
procesů poskytovaných
aplikací
Testování
– Fáze A
Viz bod 2)
Plán testů, zápis
z jednání
Výstupy
z nástrojů
a
manuálních
prověrek
8 -16 MH (předání bezp.
záměru, zřizení přístupů,
interview k auditům), role:
administrátor systému
windows a aplikačního
prostředí, správce aplikace
Analýza
Viz bod 3)
Výstupy
z nástrojů a
manuálních
prověrek
Podklady pro
detailní zprávu
-
Tvorba
výstupů
Viz bod 4)
Podklady pro
detailní zprávu
Detailní
zpráva
-
Akceptace
výstupů
Viz bod 5)
Detailní zpráva
Seznam
připomínek a
způsob jejich
zapracování
dle rozsahu výsledné
zprávy, max. 1 MD na
připomínkovatele
(připomínkovatele si
urcčuje NBS)
Testování
– Fáze B
Viz bod 6)
Finální verze
detailní zprávy
Výstupy
z nástrojů
a
manuálních
prověrek
max 2 MH (obnovení
případného přístupu pro
testování), role: správce
aplikace/administrátor
Tvorba
zpráv
Viz bod 7)
Výstupy
z nástrojů a
manuálních
prověrek
Zpráva
z ověření,
závěrečné
zhodnocení
-
Akceptace
výstupů
Viz bod 8)
Zpráva
z ověření,
závěrečné
zhodnocení
Seznam
připomínek a
způsob jejich
zpracování
Dle rozsahu zprávy, max.
0,8 MD na
připomínkovatele
Závěr
projektu
Viz bod 9)
Finální verze
výstupů
-
cca 2 hod na roli (účast na
workshopu), role:
přítomné na závěrečném
workshopu rovněž definuje
NBS
Viz harmonogram projektu uvedený níže
Vstupy
Kapcity AEC
Pro dodání výše specifikovaného, a za předpokladu poskytnutí příslušné součinnosti ze strany členů realizačního
týmu NBS, uvádíme následující předběžný harmonogram projektu, který splňuje požadavky výběrového řízení na
rozsah testů. Detailní harmonogram a postup bude stanoven a odsouhlasen před zahájením testování.
Bratislava 2011
strana 13/16
Imricha Karvaša 1
813 25 Bratislava
Fáze A
Fáze B (následuje cca 2 až 6 týdnů, maximálně však 6 měsíců, po fázi A)
Bratislava 2011
strana 14/16
Imricha Karvaša 1
813 25 Bratislava
Príloha č. 3
k Zmluve o dielo E-904.10.1000.00
Kontaktné osoby objednávateľa a pracovníci zhotoviteľa podieľajúci sa na realizácii
bezpečnostného testovania aplikácie
Za objednávateľa
Za zhotoviteľa:
AEC, spol. s r.o.
Bratislava 2011
strana 15/16
Imricha Karvaša 1
813 25 Bratislava
Príloha č. 4
Akceptačný protokol bezpečnostného testovania aplikácie
Objednávateľ :
Imricha Karvaša 1
813 25 Bratislava
Zastúpený :
....................................
....................................
Zhotoviteľ :
Zastúpený :
....................................
....................................
Objednávateľ potvrdzuje, že zhotoviteľ vykonal bezpečnostné testovanie aplikácie
a odovzdal príslušnú dokumentáciu v požadovanom rozsahu.
V Bratislave dňa ……………………………….
______________________________________
Za zhotoviteľa odovzdal
Bratislava 2011
___________________________________
Za objednávateľa prevzal
strana 16/16

Zmluva o dielo č. 2011000091

Transkript

Podobné dokumenty

Ponu.ka

northco - Equus as

Zobrazit celý článek - JTIE - Journal of Technology and Information

ve formátu PDF

Zápis z jednání výboru BCCCZ – č. 45

cpetracker

Leták CUBE - QuickSeal

případová studie datart international, as