Leping
| Dokumendiregister | Tervise- ja heaolu infosüsteemide keskus |
| Viit | 3-9/3179-24 |
| Registreeritud | 01.06.2023 |
| Sünkroonitud | 13.06.2024 |
| Liik | Tellimuskiri |
| Funktsioon | 3 Finantsarvestus ja asutuse varade haldus |
| Sari | 3-9 Riigihankelepingud |
| Toimik | 3-9/2022 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Karoliina Asujõe (TEHIK, E-teenuste juhtimise osakond) |
| Originaal | Ava uues aknas |
Failid
Digiallkirjad
Pakkumus
Tervise ja Heaolu Infosüsteemide Keskus (TEHIK)
SKAIS2: RFK põhise hindamisinfo kasutusele võtmise arenduse 1 etapi (RFK projekt) turvatestimine
Riigihanke (viitenumber 246996) raamlepingu nr 4.2-3/2266-1 alusel
Pakkuja: Clarified Security OÜ Registrikood: 12164540 Aadress: Lõõtsa 12, 11415 Tallinn Telefon: +372 6036644 E-post: [email protected]
Kontaktisik: Mehis Hakkaja Ametinimetus: Juhatuse esimees (sh lepingu allkirjastaja ning kontaktisik / meeskonna juht) E-post: [email protected]
Tallinn 30 mai 2023
1/3
Vastavalt RIA ja ühishankijate (RMIT, TEHIK, EIS) raamlepingu (nr 4.2-3/2266-1) tingimustele ja TEHIK 26.05.2023 tellimiskirja lisades ( Lisa 1 - Tehniline kirjeldus; TK lisa 1 – RFK_Arhitektuuri_ülevaade_v2 ) välja toodule, koos 29.05.2023 tehtud ajakava täpsustustega, pakume:
Manuaalset läbistustestimist OWASP ASVS v4.0.3 (või uuema) standardi Tase 2 verifikatsiooninõuete põhjal ning „white box” meetodil.
[SKAIS2 RFK koodide turvatestimine]
Eeldused: Dokumentatsiooni olemasolu, ligipääsud infosüsteemidele (sh admin ja sisuhalduse testkontod), ligipääs rakenduse koodile, ligipääs logidele ja konfiguratsioonile.
Tööde ulatus: OWASP ASVS tase 2 alusel manuaalne turvatestimine SKAIS2: RFK põhise hindamisinfo kasutusele võtmise arenduse 1 etapi (RFK projekt) funktsionaalsusele
Logide ja turvalogimise tesimine ei ole otseselt skoobis, aga juurdepääs rakenduste ja veebiteenuste logidele on soovitav turvatestimist abistaval eesmärgil.
Tulemid: Korrektses eesti keeles vormistatud raport rakenduse puudustest ja vigadest ning ettepanekud nende puuduste ja vigade parendamiseks.
Töödes osalevad: (T) turvatestijad: Silvia Väli, Andres Liiver, Anti Räis, Elar Lang, Marko Belzetski, Rasmus Moorats; üle vaatab: Mehis Hakkaja
Viited:
Tööde algus ja tähtajad:
Põhitestide kestvus 4 nädalat tööde algamise kuupäevast, tellija poolt soovitud perioodil 12.06.2023 – 07.07.2023.
Tööde üleandmise tähtaeg:
Põhitestide soovitud tähtaeg on hiljemalt 07.072023; Tellija soovil turvaparanduste ületestid hiljemalt 30.08.2023.
Märkused:
Tööde mahud Töö nimetuste (iteratsioonide), teostajate ja rollide lõikes.
Töö nimetus Teostaja Roll Tundide arv Maksumus Põhitestid (T) turvatestija 150 18 000 eur Turvaparanduste ületestid (vastavalt vajadusele)
(T) turvatestija 16 1 920 eur
Kokku käibemaksuta 166 19 920 eur Kokku koos käibemaksuga 166 23 904 eur
Kordustestid / turvaparanduste ületestid – Kui tellija avaldab selleks soovi, siis põhitestidest tulenevate leidude turvaparanduste ületestimine tellija poolt määratud ulatuses ning raamlepingu tunnihinna alusel (120 eur/h +km).
2/3
Kinnitame, et: Pakkumuse jõusoleku tähtaeg on 3 kuud esitamise tähtajast. Antud Pakkumus ei sisalda ärisaladust.
/ allkirjastatud digitaalselt / Mehis Hakkaja, Clarified Security OÜ juhatuse esimees
3/3
From: Mehis Hakkaja <[email protected]>
Sent: Thu, 29 Jun 2023 13:57:43 +0000
To: Bret Rand <[email protected]>
Subject: Re: RFK koodide turvatestimise tellimuse muudatus
|
Tähelepanu! Tegemist on väljastpoolt asutust saabunud kirjaga. Tundmatu saatja korral palume linke ja faile mitte avada. |
Clarified Security OÜ - "We break security to bring clarity"
CEO/Owner/Founder
[email protected]
Tere!
Tellimuse „SKAIS2 RFK koodide turvatestimise tellimuskiri, 01.06.2023“ nr 3-9/3179-24 Lisa 1 Tehnilises kirjelduses punktis 4.5.2 on väljatoodud: Turvatestimise (põhitestid, mille tulemuseks on lõplik raport) periood 12.06.2023 – 07.07.2023 (4 nädalat), misjärel akteeritakse tehtud töö.
Vajadus on muuta Lisa 1 Tehnilises kirjelduses punkti 4.5.2, et Turvatestimise (põhitestid, mille tulemuseks on lõplik raport) periood 12.06.2023 – 31.07.2023 (7 nädalat).
Muudatus on kooskõlas RHS § 123 ls 1 p 7.
Palun kinnitage, et muudatus sobib.
Tervitades
Bret Rand
Testimise valdkonna juht
+372 7943 900
Usume, et meie töö suudab säästa inimeste aega, et nemad saaksid keskenduda olulisele
From: Mehis Hakkaja <[email protected]>
Sent: Tue, 30 May 2023 17:13:00 +0000
To: Karoliina Asujõe <[email protected]>
Cc: Bret Rand <[email protected]>
Subject: Re: SKAIS2 RFK koodide turvatestimise tellimus
|
Tähelepanu! Tegemist on väljastpoolt asutust saabunud kirjaga. Tundmatu saatja korral palume linke ja faile mitte avada. |
Clarified Security OÜ - "We break security to bring clarity"
CEO/Owner/Founder
[email protected]
Tere Mehis!
Rääkisin Bretiga üle ja muutsin punktis 4.5.2 perioodi 12.06.2023 - 07.07.2023. Punkt 4.5.3 on õige.
Täiendasin ka tehnilist kirjeldust selles osas, muu peaks õigesti olema.
Tervitades
Karoliina
Saatja: Mehis Hakkaja <[email protected]>
Saatmisaeg: esmaspäev, 29. mai 2023 11:19
Adressaat: Bret Rand <[email protected]>
Koopia: Karoliina Asujõe <[email protected]>
Teema: Re: SKAIS2 RFK koodide turvatestimise tellimus
Tähelepanu! Tegemist on väljastpoolt asutust saabunud kirjaga. Tundmatu saatja korral palume linke ja faile mitte avada.
Tere Bret ja Karoliina.
Tellimuses on kuupäevad natuke sassis.
Palun vaadake üle põhitestide algus ning periood ja kas kordustestide periood alates 03 august on ka õigesti saanud:
4.5.2 Turvatestimise (põhitestid, mille tulemuseks on lõplik raport) periood 12.06.2023 – 31.08.2023 (4 nädalat), misjärel akteeritakse tehtud töö.
(<-- 4 nädalat alates 12.06, teeb pigem 10 või 11 juulini kui jaanipäeva ka arvestada) Või on siin mõldud põhitestide max võimaliku perioodina kuni 03.08.2023 (mitte kuni 31.08?) juhul kui algus on hiljem kui 12 juuni?
4.5.3 Turvatestimisele järgneb tuvastatud vigade paranduste teostamise tellija poolt. Seejärel peab täitja (tellija soovi korral) teostama parandusele üle testimise (kordustesti) perioodil 03.08.2023 – 31.08.2023 (4 nädalat), misjärel akteeritakse tehtud töö.
Parimat,
Mehis Hakkaja
Clarified Security OÜ - "We break security to bring clarity"
CEO/Owner/Founder
[email protected]mobile: (+372) 56244264
phone: (+372) 603 66 44
Lõõtsa 12, Tallinn 11415, Estonia
On Fri, May 26, 2023 at 3:15 PM Bret Rand <[email protected]> wrote:
Tere!
Oleme tellimas SKAIS2 RFK koodide turvatestimist. Täpsema info saab dokumentidest Lisa 1 – Tehniline kirjeldus.docx ja TK Lisa 1 – RFK_Arhitektuuri_ülevaade_v2.docx.
Oodatava pakkumuse eeldatav maksumus on 20 000 eur km-ta.
Tellime raamlepingu Infosüsteemide turvalisuse testimine II DHS 4.2-3/2266-1 ja RHR 246996 alusel.
Tervitades
Testimise valdkonna juht
+372 7943 900
Usume, et meie töö suudab säästa inimeste aega, et nemad saaksid keskenduda olulisele
Digiallkirjad
Pakkumus
Tervise ja Heaolu Infosüsteemide Keskus (TEHIK)
SKAIS2: RFK põhise hindamisinfo kasutusele võtmise arenduse 1 etapi (RFK projekt) turvatestimine
Riigihanke (viitenumber 246996) raamlepingu nr 4.2-3/2266-1 alusel
Pakkuja: Clarified Security OÜ Registrikood: 12164540 Aadress: Lõõtsa 12, 11415 Tallinn Telefon: +372 6036644 E-post: [email protected]
Kontaktisik: Mehis Hakkaja Ametinimetus: Juhatuse esimees (sh lepingu allkirjastaja ning kontaktisik / meeskonna juht) E-post: [email protected]
Tallinn 30 mai 2023
1/3
Vastavalt RIA ja ühishankijate (RMIT, TEHIK, EIS) raamlepingu (nr 4.2-3/2266-1) tingimustele ja TEHIK 26.05.2023 tellimiskirja lisades ( Lisa 1 - Tehniline kirjeldus; TK lisa 1 – RFK_Arhitektuuri_ülevaade_v2 ) välja toodule, koos 29.05.2023 tehtud ajakava täpsustustega, pakume:
Manuaalset läbistustestimist OWASP ASVS v4.0.3 (või uuema) standardi Tase 2 verifikatsiooninõuete põhjal ning „white box” meetodil.
[SKAIS2 RFK koodide turvatestimine]
Eeldused: Dokumentatsiooni olemasolu, ligipääsud infosüsteemidele (sh admin ja sisuhalduse testkontod), ligipääs rakenduse koodile, ligipääs logidele ja konfiguratsioonile.
Tööde ulatus: OWASP ASVS tase 2 alusel manuaalne turvatestimine SKAIS2: RFK põhise hindamisinfo kasutusele võtmise arenduse 1 etapi (RFK projekt) funktsionaalsusele
Logide ja turvalogimise tesimine ei ole otseselt skoobis, aga juurdepääs rakenduste ja veebiteenuste logidele on soovitav turvatestimist abistaval eesmärgil.
Tulemid: Korrektses eesti keeles vormistatud raport rakenduse puudustest ja vigadest ning ettepanekud nende puuduste ja vigade parendamiseks.
Töödes osalevad: (T) turvatestijad: Silvia Väli, Andres Liiver, Anti Räis, Elar Lang, Marko Belzetski, Rasmus Moorats; üle vaatab: Mehis Hakkaja
Viited:
Tööde algus ja tähtajad:
Põhitestide kestvus 4 nädalat tööde algamise kuupäevast, tellija poolt soovitud perioodil 12.06.2023 – 07.07.2023.
Tööde üleandmise tähtaeg:
Põhitestide soovitud tähtaeg on hiljemalt 07.072023; Tellija soovil turvaparanduste ületestid hiljemalt 30.08.2023.
Märkused:
Tööde mahud Töö nimetuste (iteratsioonide), teostajate ja rollide lõikes.
Töö nimetus Teostaja Roll Tundide arv Maksumus Põhitestid (T) turvatestija 150 18 000 eur Turvaparanduste ületestid (vastavalt vajadusele)
(T) turvatestija 16 1 920 eur
Kokku käibemaksuta 166 19 920 eur Kokku koos käibemaksuga 166 23 904 eur
Kordustestid / turvaparanduste ületestid – Kui tellija avaldab selleks soovi, siis põhitestidest tulenevate leidude turvaparanduste ületestimine tellija poolt määratud ulatuses ning raamlepingu tunnihinna alusel (120 eur/h +km).
2/3
Kinnitame, et: Pakkumuse jõusoleku tähtaeg on 3 kuud esitamise tähtajast. Antud Pakkumus ei sisalda ärisaladust.
/ allkirjastatud digitaalselt / Mehis Hakkaja, Clarified Security OÜ juhatuse esimees
3/3
Seosed
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Leping | 22.10.2024 | 3 | 3-9/3179-51 | Riigihankeleping | tehik | |
| Leping | 10.06.2024 | 3 | 3-9/3179-47 | Riigihankeleping | tehik | |
| Leping | 22.05.2024 | 22 | 3-9/3179-46 | Riigihankeleping | tehik | |
| Leping | 06.11.2023 | 220 | 3-9/3179-36 | Riigihankeleping | tehik | |
| Leping | 13.10.2023 | 244 | 3-9/3179-34 🔒 | Muu leping | tehik | |
| Leping | 10.08.2023 | 308 | 3-9/3179-30 | Tellimuskiri | tehik | |
| Leping | 30.06.2023 | 349 | 3-9/3179-27 | Riigihankeleping | tehik | |
| Leping | 30.06.2023 | 349 | 3-9/3179-28 | Riigihankeleping | tehik | |
| Leping | 29.06.2023 | 350 | 3-9/3179-25 | Tellimuskiri | tehik | |
| Leping | 29.06.2023 | 350 | 3-9/3179-26 | Tellimuskiri | tehik | |
| Leping | 22.05.2023 | 388 | 3-9/3179-23 | Tellimuskiri | tehik | |
| Leping | 12.05.2023 | 398 | 3-9/3179-22 | Tellimuskiri | tehik | |
| TEHIK pakkumine INNA turvatestimiseks | 19.04.2023 | 421 | 3-9/3179-21 | Tellimuskiri | tehik | |
| Leping | 15.02.2023 | 484 | 3-9/3179-20 | Riigihankeleping | tehik | |
| Leping | 10.02.2023 | 489 | 3-9/3179-18 | Tellimuskiri | tehik | |
| Leping | 10.02.2023 | 489 | 3-9/3179-19 | Tellimuskiri | tehik | |
| Leping | 02.02.2023 | 497 | 3-9/3179-17 | Tellimuskiri | tehik | |
| Leping | 31.01.2023 | 499 | 3-9/3179-16 | Riigihankeleping | tehik | |
| Leping | 18.01.2023 | 512 | 3-9/3179-15 | Tellimuskiri | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-12 | Tellimuskiri | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-13 | Riigihankeleping | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-14 | Riigihankeleping | tehik | |
| Leping | 21.11.2022 | 570 | 3-9/3179-10 | Muu leping | tehik | |
| Leping | 21.11.2022 | 570 | 3-9/3179-11 | Muu leping | tehik | |
| Leping | 27.10.2022 | 595 | 3-9/3179-9 | Tellimuskiri | tehik | |
| Leping | 19.10.2022 | 603 | 3-9/3179-8 | Tellimuskiri | tehik | |
| Leping | 18.10.2022 | 604 | 3-9/3179-7 | Tellimuskiri | tehik | |
| Leping | 05.10.2022 | 617 | 3-9/3179-6 | Tellimuskiri | tehik | |
| Leping | 23.09.2022 | 629 | 3-9/3179-5 | Muu leping | tehik | |
| Leping | 19.09.2022 | 633 | 3-9/3179-4 | Tellimuskiri | tehik | |
| Leping | 07.09.2022 | 645 | 3-9/3179-3 | Tellimuskiri | tehik | |
| Leping | 10.08.2022 | 673 | 3-9/3179-2 | Tellimuskiri | tehik | |
| Leping | 21.06.2022 | 723 | 3-9/3179-1 🔒 | Riigihankeleping | tehik |