„IBF támogatás és sérülékenység vizsgálat szolgáltatás” részletei

1. kérdés:
Tisztelt Ajánlatkérő! A „IBF támogatás és sérülékenység vizsgálat” tárgyú felhívás műszaki követelményeinek áttekintése után szeretnénk néhány pontosító kérdést feltenni annak érdekében, hogy ajánlatunk szakmailag megfelelő, összehasonlítható és a tényleges igényeket tükröző legyen. A sérülékenységvizsgálati szolgáltatások szakmai és költségvonzata rendkívül széles skálán mozoghat, ezért fontosnak tartjuk, hogy a vizsgálat kiterjedése, mélysége, gyakorisága és elvárt eredménye egyértelműen meghatározásra kerüljön. Az alábbi kérdésekkel szeretnénk a pontos scope-ot és a feladat tényleges tartalmát tisztázni. 1. A vizsgálat terjedelme (scope) 1.1. Pontosan mely rendszerekre kell kiterjednie a vizsgálatnak? Külső webszolgáltatások / domain-ek Belső hálózat Szerverek (darabszám, típus) Végpontok (PC-k, laptopok) Mobil eszközök Hálózati eszközök (router/switch/firewall) Felhőszolgáltatások (Microsoft 365, tárhely, CRM, ERP, stb.) Egyéb rendszerek (pl. OT, alkalmazások, API-k) 1.2. Összesen hány vizsgálandó eszközzel / IP-címmel / alkalmazással számoljunk? 1.3. A vizsgálat kizárólag technikai jellegű legyen, vagy folyamatelemzés / jogosultsági rendszer átvilágítása is szükséges? 2. A vizsgálat mélysége és módszertana 2.1. Milyen típusú vizsgálatot várnak el? Automatizált sérülékenységvizsgálat (scanning) Manuális etikus hacker tesztelés (penetration testing) Kód- vagy konfigurációelemzés Social engineering elem Belső hálózati támadási szimuláció 2.2. Milyen módszertan szerint készüljön a vizsgálat? Black-box (csak minimális információval) Grey-box (részleges hozzáféréssel) White-box (részletes információk, admin-hozzáférés) 2.3. Elvárás-e, hogy a szolgáltató: kizárólag a hibákat tárja fel, vagy azok exploitálhatóságát is igazolja, esetleg teljes támadási útvonalat demonstráljon? 3. Gyakoriság és ütemezés 3.1. A vizsgálat egyszeri, vagy rendszeres (éves / negyedéves / havi) jellegű? 3.2. Ha rendszeres, akkor minden alkalommal teljes körű vizsgálatot várnak el, vagy csökkentett scope-ot? 3.3. Szükséges-e reteszting (javítások ellenőrzése)? 4. Jelentés, eredménykövetelmények 4.1. Milyen részletességű jelentést várnak el? Teljes technikai leírás a hibákról Executive summary vezetőknek Kockázati osztályozás a 7/2024. MK rendszeréhez igazítva Javítási javaslatok Prioritási mátrix 4.2. Kell-e, hogy a szolgáltató közreműködjön a hibák kijavításában? 4.3. Kell-e prezentáció vagy szakmai egyeztető ülés? 5. Árazási modell és szakmai elvárások 5.1. Van-e meghatározott költségkeret, amelyen belül kell maradni? 5.2. A szolgáltatást fix díjjal, vagy eszközönként / vizsgálatonként / munkaórában határozzuk meg? 5.3. Elvárás-e bármilyen minősítés: OSCP, CEH, CREST, ISO 27001 auditor, vagy egyéb? 6. Piaci árbecslés – tájékoztató jelleggel A nemzetközi és hazai benchmarkok alapján a sérülékenységvizsgálatok díjazása a következő sávokban mozog: Vizsgálat típusa Jellemző tartalom Piaci átlagár (tájékoztató) Alap automatizált sérülékenységvizsgálat Külső/belső IP tartomány szkennelése 300 000 – 600 000 Ft Közepes mélységű vizsgálat (scannelés + manuális ellenőrzések) Konfigurációs hibák, CVE-k, jogosultságok 800 000 – 1 500 000 Ft Manuális penetrációs teszt (webalkalmazás vagy hálózat) OWASP / PTES szerinti kézi teszt 1 500 000 – 3 500 000 Ft Komplex teszt (több rendszer + exploit validálás) Több alrendszer, grey/white box 3 500 000 – 7 000 000 Ft Éves rendszeres vizsgálat csomagban Negyedéves vagy éves ciklus 2 500 000 – 10 000 000 Ft / év Megjegyzés: A tényleges árakat leginkább a vizsgált eszközök száma és a módszertan (automatizált vs. manuális) befolyásolja. A pontosítások nélkül a vizsgálat idő-, szakember- és eszközigénye nem becsülhető meg pontosan, így felelős ajánlatot sem lehet adni. Ezért kérjük az Ajánlatkérőt, hogy a fenti kérdésekben szíveskedjen tájékoztatást adni, hogy az ajánlatunk valós, releváns és összehasonlítható legyen a piacon elérhető szolgáltatásokkal.

Válasz:
Még nem érkezett válasz a kérdésre.