Uppdragsbeskrivning

Inledning

Denna uppdragsbeskrivning avser penetrationstest av externa och interna publicerade tjänster. Uppdraget utförs i syfte att kartlägga vilka system som exponeras och om något av dessa innehåller brister i funktion eller konfiguration som gör det möjligt att missbruka dem.

Metod

Testerna utförs enligt en grey box-modell vilket innebär att den utförande leverantören har tillgång till vissa behörigheter i systemen samt viss information om hur underliggande system är konstruerade. Beställaren tillhandahåller interna och externa IP-adresser och fysiskt tillgång till kommunhuset.

Avgränsning

Tester kommer inte att inkludera överbelastnings- eller prestandatester.

Följande tester och metoder ingår heller inte i omfattningen:

• Social manipulation av anställda vid Haninge kommun eller dess samarbetspartners.
• Utnyttjande av identifierade sårbarheter för att signifikant försämra systemets prestanda eller orsaka driftstopp; endast möjligheter och sannolika orsaker kommer att dokumenteras.
• Faktisk manipulation eller radering av information; endast möjligheter och sannolika orsaker kommer att dokumenteras.

Utförande

Arbetet får endast inledas och pågå under överenskommen tidpunkt och tidsspann, totalt 80 timmar att fördelas enligt ök.

• Tester ska göras för att identifiera och exploatera sårbarheter. Haninge tillhandhåller vilka miljöer som ska ingå i testningen.
• Leverantören informeras och Haninge kommun godkänner i förväg vilka dagar testerna genomförs samt vilka IP-adresser som uppdraget kommer genomföras ifrån.
• Allvarliga sårbarheter skall rapporteras direkt till Haninge kommun .
• Utvalda representanter från IT-enheten i Haninge kommun förbinder sig att vara tillgängliga på kort varsel under uppdragets gång

Leverans

Uppdraget levereras i följande form:

• Rapporten ska vara skriven på svenska och ska tydligt beskriva de sårbarheter som identifierats under testerna. För varje sårbarhet ska följande anges: en beskrivning, kategorisering, riskbedömning enligt Common Vulnerability Scoring System (CVSS) version 4.0 eller motsvarande, samt rekommenderade åtgärder.
• Den skriftliga rapporten ska även ge en övergripande beskrivning av hur uppdraget har genomförts, inklusive använda metoder. Den ska sammanfatta identifierade sårbarheter per system och presentera åtgärdsförslag i form av konkreta aktiviteter, prioriterade utifrån allvarlighetsgrad. Eventuella lyckade intrångsförsök och åtkomst till information ska dokumenteras noggrant, tillsammans med förslag på åtgärder, också dessa utformade som prioriterade och konkreta aktiviteter.
• Rapporten får endast överlämnas på ett säkert sätt, exempelvis krypterad eller via Haninge kommuns tjänst ”Säker e-Post”.
• Resultatet ska dessutom presenteras vid ett fysiskt möte med representanter från Haninge kommun.

Sekretess

• All dokumentation kring uppdraget samt dokumenterade resultat av uppdraget skall betraktas och hanteras som mycket känslig information av uppdragstagaren.
• Utföraren av uppdraget förbinder sig att radera all information och dokumentation kring uppdraget när det avslutats (insamlad information, även rådata, arbetsmaterial samt framställd rapport) dock tidigast 6 månader efter slutförandet.

Presentation till kund sker efter sista anbudsdag löpt ut. För att kunna ansöka för detta uppdrag måste du vara en registrerad användare i vår portal som är helt kostnadsfri. Är du ny användare och vill registrera dig eller ditt bolag i Upgrades portal, klicka här: https://portal.upgraded.se