| Predmet tendera: | Usluge penetracijskog testiranja (PEN TEST) - Ponovljeni postupak | ||||
| Partije (lotovi): | Usluge penetracijskog testiranja (PEN TEST) - Ponovljeni postupak | ||||
| Mesto: | Crna Gora, Podgorica | ||||
| Datum objave: | 04.12.2025 | ||||
| Rok: | 15.12.2025 - (rok je istekao) - Pogledajte slične aktuelne nabavke | ||||
| Oblast: | Racunari. Birooprema. Fotokopir aparati. Telefonija. Potrosacka elektronika. Software. Informacioni sistemi. Web dizajn. Informaticke usluge. | ||||
| Naručilac: | AGENCIJA ZA NADZOR OSIGURANJA | ||||
| Tekst javne nabavke - tendera: | PODACI O NARUČIOCU Naziv: AGENCIJA ZA NADZOR OSIGURANJA PIB: 02669579 E-mail: agencija@ano.co.me Telefon: 020/513-502 Fax: 020/513-503 Internet adresa: https://www.ano.me Adresa: Moskovska 17A Grad: Podgorica Poštanski broj: 81000 ------------------------------------------------------------- OSNOVNI PODACI Opis predmeta javne nabavke Usluge penetracijskog testiranja (PEN TEST) - Ponovljeni postupak TEHNIČKA SPECIFIKACIJA PREDMETA NABAVKE 1. Usluga penetracijskog testiranja (PEN TEST) | Testiranje je potrebno sprovesti primjenom standardizovanih metoda i najboljih praksi u oblasti sajber bezbjednosti, u skladu sa važećim međunarodnim i domaćim propisima. Ugovor podrazumijeva angažovanje tehničkog tima sa validiranim sertifikatima (GPEN, ECC-CEH Master, CompTIA Network Vulnerability Assessment Professional, CompTIA pentest, CWL CRTA ili CRTO, CompTIA Security+...). Penetraciono testiranje treba da obuhvati: •Penetraciono testiranje dvije aplikacije •Penetraciono testiranje eksterne mreže •Penetraciono testiranje interne mreže •Ponovno testiranje (Retesting) Penetraciono testiranje dvije aplikacije: Metodologija: Gray-box pristup, uz korišćenje testnih naloga koje dostavlja Klijent. Pristup testiranju aplikativnih interfejsa i veb servisa treba da se zasniva na priznatim svjetskim standardima i smjernicama za bezbjednost, pri čemu su preporuke i čekliste koje nudi OWASP (Open Web Application Security Project) ključne za kvalitetnu provjeru. Primjena ovih smjernica treba da obuhvati sve aspekte interakcije između korisničkog okruženja i pozadinskih servisa, uključujući validaciju ulaznih podataka, bezbjedno upravljanje sesijama, zaštitu od injektovanja zlonamjernog koda i pravilnu kontrolu pristupa. Provjera bezbjednosti treba da uključi i detaljnu analizu API krajnjih tačaka, sa posebnim akcentom na autentikaciju i autorizaciju, kao i zaštitu osjetljivih podataka koji se razmjenjuju s klijentskim okruženjem. Korišćenjem OWASP referentnih materijala, kao što su OWASP Web Security Testing Guide i OWASP Top 10 API Security, omogućava se sistematičan i sveobuhvatan pristup identifikaciji ranjivosti, što rezultira preciznijim nalazima i efikasnim prijedlozima za unaprjeđenje. Ovakav pristup obezbjeđuje da se, pored standardnih provjera, uoče i potencijalni propusti u poslovnoj logici, te procijeni postojanje alternativnih puteva koje bi napadači mogli iskoristiti. Penetraciono testiranje eksterne mreže Metodologija: Black-box pristup, radi identifikacije ranjivosti iz ugla potencijalnog spoljnjeg napadača. Cilj testiranja bezbjednosti eksterne mrežne infrastrukture je da se identifikuju potencijalne ranjivosti i provjere zaštitni mehanizmi postavljeni na svim nivoima mrežnog saobraćaja. Poseban akcenat stavlja se na segmentaciju mreže, konfiguraciju pristupnih tačaka i kontrolu protoka informacija. Analiza uključuje testiranje mrežnih servisa, aktivnih uređaja i komunikacionih protokola, sa ciljem otkrivanja otvorenih portova i servisa izloženih neovlašćenoj upotrebi. Proces uključuje simulaciju potencijalnih napada i analizu puteva lateralnog kretanja unutar mreže, uz ko rišćenje savremenih alata i tehnika koji se redovno ažuriraju. Na osnovu dobijenih rezultata donose se zaključci o trenutnom nivou bezbjednosti i predlažu tehničke i organizacione mjere za njegovo poboljšanje. Penetraciono testiranje interne mreže: white box pristup White-box pristup pentestu interne mreže podrazumijeva da testeri imaju kompletne informacije, mrežne dijagrame, konfiguracije, kredencijale i arhitekturu. Takav pristup treba da omogući dublju, bržu i ciljaniju analizu ranjivosti, uključujući greške u konfiguraciji i privilegije koje bi napadač mogao iskoristiti. Izvršilac treba pripremiti i dostaviti završni izvještaj o realizovanom penetracijskom testu koji treba da uključi rezultate sa oba testa: eksternog penetracijskog testa i internog penetracijskog testa. Na osnovu rezultata ovog testiranja, pored izvještaja, Izvršilac treba da dostavi predlog plana konkretnih korektivnih mjera koje se trebaju preduzeti radi uspješnog otklanjanja identifikovanih ranjivosti i unapređenje sigurnosnih mehanizama. Izvršilac je takođe dužan da izvrši validaciju sanacije svih kritičnih i visoko rizičnih ranjivosti nakon obavještenja od strane naručioca da su korektivne mjere sprovedene. | 1 test Vrsta predmeta: Usluge CPV: 72222300 - Usluge vezane za informacione tehnologije Vrsta postupka: Jednostavna nabavka Službenik za javne nabavke: Sanda Abdić Kontakt: sanda.abdic@ano.co.me Datum objave: 2025-12-04 12:30:00 Napomena Agencija za nadzor osiguranja ima potrebu za sprovođenjem penetracionog testiranja dvije aplikacije i eksterne i interne mreže. Cilj ovog testiranja je provjera sigurnosti i otpornosti aplikacije i eksterne i interne mreže ANO na potencijalne bezbjednosne prijetnje, kao i identifikacija eventualnih ranjivosti koje bi mogle ugroziti integritet, dostupnost i povjerljivost sistema. ------------------------------------------------------------- Procijenjena vrijednost nabavke: 10000 EUR ------------------------------------------------------------- ROKOVI Početak podnošenja: 04.12.2025 12:30 Kraj podnošenja: 15.12.2025 09:00 Datum otvaranja: 15.12.2025 09:00 Rok za donošenje odluke: 15.02.2026 12:00 | ||||
| DOKUMENTACIJA: |
| ||||
tel. + 381 11 2833-829