Leping
| Dokumendiregister | Tervise- ja heaolu infosüsteemide keskus |
| Viit | 3-9/3179-4 |
| Registreeritud | 19.09.2022 |
| Sünkroonitud | 13.06.2024 |
| Liik | Tellimuskiri |
| Funktsioon | 3 Finantsarvestus ja asutuse varade haldus |
| Sari | 3-9 Riigihankelepingud |
| Toimik | 3-9/2022 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Bret Rand (TEHIK, E-teenuste juhtimise osakond) |
| Originaal | Ava uues aknas |
Failid
Digiallkirjad
Digiallkirjad
Pakkumus
Tervise ja Heaolu Infosüsteemide Keskus (TEHIK)
MSA (Meditsiiniseadmete ja abivahendite infosüsteem) turvatestimine
Riigihanke (viitenumber 246996) raamlepingu nr 4.2-3/2266-1 alusel
Pakkuja: Clarified Security OÜ Registrikood: 12164540 Aadress: Lõõtsa 12, 11415 Tallinn Telefon: +372 6036644 E-post: [email protected]
Kontaktisik: Mehis Hakkaja Ametinimetus: Juhatuse esimees (sh lepingu allkirjastaja ning kontaktisik / meeskonna juht) E-post: [email protected]
Tallinn 13 september 2022
1/3
Vastavalt RIA ja ühishankijate (RMIT, TEHIK, EIS) raamlepingu (nr 4.2-3/2266-1) tingimustele ja TEHIK 07.09.2022 tellimiskirja lisades Tehniline kirjeldus, Arhitektuur ja Kasutusjuhend välja toodule, koos 12.09.2022 täpsustustega, pakume:
Manuaalset läbistustestimist OWASP ASVS v4.0.3 (või uuema) standardi Tase 2 verifikatsiioninõuete põhjal ning „white box” meetodil.
[MSA turvatestimine]
Eeldused: Dokumentatsiooni olemasolu, ligipääsud infosüsteemidele (sh admin ja sisuhalduse testkontod), ligipääs rakenduse koodile, ligipääs logidele ja konfiguratsioonile.
Tööde ulatus: OWASP ASVS tase 2 alusel manuaalne turvatestimine MSA (Meditsiiniseadmete ja abivahendite infosüsteemile) vastavalt 12.09.2022 täiendatud tehnilisele kirjeldusele.
Logide ja turvalogimise tesimine ei ole otseselt skoobis, aga juurdepääs rakenduste ja veebiteenuste logidele on soovitav turvatestimist abistaval eesmärgil.
Tulemid: Korrektses eesti keeles vormistatud raport rakenduse puudustest ja vigadest ning ettepanekud nende puuduste ja vigade parendamiseks.
Töödes osalevad: (T) turvatestijad: Silvia Väli, Andres Liiver, Anti Räis, Mihkel Raba, Mait Peekma, Elar Lang, Marko Belzetski, Rasmus Moorats; üle vaatab: Mehis Hakkaja
Viited:
Tööde algus ja tähtajad:
Põhitestide kestvus 4 nädalat tööde algamise kuupäevast.
Tellija soovi korral turvaparanduste ületestid 2 kuu jooksul peale põhiteste ja paranduste teostamist.
Tööde üleandmise tähtaeg:
Turvastestimise tööde soovitud tähtaeg on 30.12.2022.
Märkused:
Tööde mahud Töö nimetuste (iteratsioonide), teostajate ja rollide lõikes.
Töö nimetus Teostaja Roll Tundide arv Maksumus Põhitestid (T) turvatestija 150 18 000 eur Turvaparanduste ületestid (vastavalt vajadusele)
(T) turvatestija 16 1 920 eur
Kokku käibemaksuta 166 19 920 eur Kokku koos käibemaksuga 166 23 904 eur
2/3
Kordustestid / turvaparanduste ületestid – Kui tellija avaldab selleks soovi, siis põhitestidest tulenevate leidude turvaparanduste ületestimine tellija poolt määratud ulatuses ning raamlepingu tunnihinna alusel (120 eur/h +km).
Kinnitame, et: Pakkumuse jõusoleku tähtaeg on 3 kuud esitamise tähtajast. Antud Pakkumus ei sisalda ärisaladust.
/ allkirjastatud digitaalselt / Mehis Hakkaja, Clarified Security OÜ juhatuse esimees
3/3
From: Mehis Hakkaja <[email protected]>
Sent: Tue, 13 Sep 2022 18:11:46 +0000
To: Bret Rand <[email protected]>
Subject: Re: MSA turvatestimise tellimine
|
Tähelepanu! Tegemist on väljastpoolt asutust saabunud kirjaga. Tundmatu saatja korral palume linke ja faile mitte avada. |
Clarified Security OÜ - "We break security to bring clarity"
CEO/Owner/Founder
[email protected]
Tere!
Täiendasin vastavalt Teie küsimustele tehnilist kirjeldust. Testkeskkonnas ligipääse tellime, siis kui on tellimus/leping sõlmitud.
Tervitades
Bret Rand
Usume, et meie töö suudab säästa inimeste aega, et nemad saaksid keskenduda olulisele
From: Mehis Hakkaja <[email protected]>
Sent: kolmapäev, 7. september 2022 20:42
To: Bret Rand <[email protected]>
Subject: Re: MSA turvatestimise tellimine
Tähelepanu! Tegemist on väljastpoolt asutust saabunud kirjaga. Tundmatu saatja korral palume linke ja faile mitte avada.
Tere Bret,
Püüan MSA kontekstis aru saada, mis need "kõik vaated" on antud kontekstis?:
"2.5 Turvatestimine on vaja läbi viia terve teenuse ulatuses ning seda kõikides vaadetes."
2.2 MSA (https://msa.sm.ee/ ) koosneb:
1) Terviseameti (TA) ametnikurakendusest (< MSA testimiseks juurdepääs puudub ja pole testimise skoobis olev liides?)
2) sotsiaalkindlustusameti (SKA) ametnikurakendusest (< MSA testimiseks juurdepääs puudub ja pole testimise skoobis olev liides?)
3) Maksu- ja Tolliameti (EMTA) ametniku rakendusest (< MSA testimise kontekstis ilmselt juurdepääs puudub?)
4) ettevõtjale suunatud iseteenindusest.
Arhitektuuripildi järgi on näha brauseriga kasutamsieks kasutajaliides ja avaandmete liides, mis ilmselt on kõik skoobis.
EUDAMED sisendit/väljundit on MSA mõistes võimelik näha/manipuleerida mis liidese kaudu ja mis kasutajate poolt?
Kasutusjuhendis on ametnike poolelt mainitud aga MSO/SKA/EHK kasutajaid/menetlejaid.
Kas need menetlejad kasutavad sama MSA veebiliidest nagu ettevõtjadki või ainult oma vastavate ametnikerakenduste kaudu (kuhu me ligi ei pääse ja TEHIK tekitab ise vajalikud andmed ning läbib vajadusel menetluste tegevuste vood)?
Kasutusjuhendis pole mainitud MTA kasutajaid. Kas seetõttu, et pole ajakohastatud või kuna EMTA otseselt ei menetle MSA kontekstis midagi?
Ühesõnaga suures plaanis on mu küsimus, et mis liidesed/vaated on testimise skoobis ja mis menetlejatest/ametnikest kasutajad, mis liideste kaudu sisse saavad logida (eelkõige skoobis olevate liideste kaudu)?Parimat,
Mehis Hakkaja
Clarified Security OÜ - "We break security to bring clarity"
CEO/Owner/Founder
[email protected]mobile: (+372) 56244264
phone: (+372) 603 66 44
Lõõtsa 12, Tallinn 11415, Estonia
On Wed, Sep 7, 2022 at 1:54 PM Bret Rand <[email protected]> wrote:
Tere!
Oleme tellimas MSA rakendusele turvatestimist. Täpsema info saab dokumentidest Lisa 1 – Tehniline kirjeldus.docx, TK Lisa 1 - MSA arhitektuur-2022.pdf ja TK Lisa 2 – Meditsiiniseadmete ja abivahendite andmekogu kasutusjuhend.pdf.
Oodatava pakkumuse eeldatav maksumus on 20 000 eur km-ta.
Tellime raamlepingu Infosüsteemide turvalisuse testimine II DHS 4.2-3/2266-1 ja RHR 246996 alusel.
Tervitades
Bret Rand
Usume, et meie töö suudab säästa inimeste aega, et nemad saaksid keskenduda olulisele
Digiallkirjad
Pakkumus
Tervise ja Heaolu Infosüsteemide Keskus (TEHIK)
MSA (Meditsiiniseadmete ja abivahendite infosüsteem) turvatestimine
Riigihanke (viitenumber 246996) raamlepingu nr 4.2-3/2266-1 alusel
Pakkuja: Clarified Security OÜ Registrikood: 12164540 Aadress: Lõõtsa 12, 11415 Tallinn Telefon: +372 6036644 E-post: [email protected]
Kontaktisik: Mehis Hakkaja Ametinimetus: Juhatuse esimees (sh lepingu allkirjastaja ning kontaktisik / meeskonna juht) E-post: [email protected]
Tallinn 13 september 2022
1/3
Vastavalt RIA ja ühishankijate (RMIT, TEHIK, EIS) raamlepingu (nr 4.2-3/2266-1) tingimustele ja TEHIK 07.09.2022 tellimiskirja lisades Tehniline kirjeldus, Arhitektuur ja Kasutusjuhend välja toodule, koos 12.09.2022 täpsustustega, pakume:
Manuaalset läbistustestimist OWASP ASVS v4.0.3 (või uuema) standardi Tase 2 verifikatsiioninõuete põhjal ning „white box” meetodil.
[MSA turvatestimine]
Eeldused: Dokumentatsiooni olemasolu, ligipääsud infosüsteemidele (sh admin ja sisuhalduse testkontod), ligipääs rakenduse koodile, ligipääs logidele ja konfiguratsioonile.
Tööde ulatus: OWASP ASVS tase 2 alusel manuaalne turvatestimine MSA (Meditsiiniseadmete ja abivahendite infosüsteemile) vastavalt 12.09.2022 täiendatud tehnilisele kirjeldusele.
Logide ja turvalogimise tesimine ei ole otseselt skoobis, aga juurdepääs rakenduste ja veebiteenuste logidele on soovitav turvatestimist abistaval eesmärgil.
Tulemid: Korrektses eesti keeles vormistatud raport rakenduse puudustest ja vigadest ning ettepanekud nende puuduste ja vigade parendamiseks.
Töödes osalevad: (T) turvatestijad: Silvia Väli, Andres Liiver, Anti Räis, Mihkel Raba, Mait Peekma, Elar Lang, Marko Belzetski, Rasmus Moorats; üle vaatab: Mehis Hakkaja
Viited:
Tööde algus ja tähtajad:
Põhitestide kestvus 4 nädalat tööde algamise kuupäevast.
Tellija soovi korral turvaparanduste ületestid 2 kuu jooksul peale põhiteste ja paranduste teostamist.
Tööde üleandmise tähtaeg:
Turvastestimise tööde soovitud tähtaeg on 30.12.2022.
Märkused:
Tööde mahud Töö nimetuste (iteratsioonide), teostajate ja rollide lõikes.
Töö nimetus Teostaja Roll Tundide arv Maksumus Põhitestid (T) turvatestija 150 18 000 eur Turvaparanduste ületestid (vastavalt vajadusele)
(T) turvatestija 16 1 920 eur
Kokku käibemaksuta 166 19 920 eur Kokku koos käibemaksuga 166 23 904 eur
2/3
Kordustestid / turvaparanduste ületestid – Kui tellija avaldab selleks soovi, siis põhitestidest tulenevate leidude turvaparanduste ületestimine tellija poolt määratud ulatuses ning raamlepingu tunnihinna alusel (120 eur/h +km).
Kinnitame, et: Pakkumuse jõusoleku tähtaeg on 3 kuud esitamise tähtajast. Antud Pakkumus ei sisalda ärisaladust.
/ allkirjastatud digitaalselt / Mehis Hakkaja, Clarified Security OÜ juhatuse esimees
3/3
Seosed
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Leping | 22.10.2024 | 3 | 3-9/3179-51 | Riigihankeleping | tehik | |
| Leping | 10.06.2024 | 3 | 3-9/3179-47 | Riigihankeleping | tehik | |
| Leping | 22.05.2024 | 22 | 3-9/3179-46 | Riigihankeleping | tehik | |
| Leping | 06.11.2023 | 220 | 3-9/3179-36 | Riigihankeleping | tehik | |
| Leping | 13.10.2023 | 244 | 3-9/3179-34 🔒 | Muu leping | tehik | |
| Leping | 10.08.2023 | 308 | 3-9/3179-30 | Tellimuskiri | tehik | |
| Leping | 30.06.2023 | 349 | 3-9/3179-27 | Riigihankeleping | tehik | |
| Leping | 30.06.2023 | 349 | 3-9/3179-28 | Riigihankeleping | tehik | |
| Leping | 29.06.2023 | 350 | 3-9/3179-25 | Tellimuskiri | tehik | |
| Leping | 29.06.2023 | 350 | 3-9/3179-26 | Tellimuskiri | tehik | |
| Leping | 01.06.2023 | 378 | 3-9/3179-24 | Tellimuskiri | tehik | |
| Leping | 22.05.2023 | 388 | 3-9/3179-23 | Tellimuskiri | tehik | |
| Leping | 12.05.2023 | 398 | 3-9/3179-22 | Tellimuskiri | tehik | |
| TEHIK pakkumine INNA turvatestimiseks | 19.04.2023 | 421 | 3-9/3179-21 | Tellimuskiri | tehik | |
| Leping | 15.02.2023 | 484 | 3-9/3179-20 | Riigihankeleping | tehik | |
| Leping | 10.02.2023 | 489 | 3-9/3179-18 | Tellimuskiri | tehik | |
| Leping | 10.02.2023 | 489 | 3-9/3179-19 | Tellimuskiri | tehik | |
| Leping | 02.02.2023 | 497 | 3-9/3179-17 | Tellimuskiri | tehik | |
| Leping | 31.01.2023 | 499 | 3-9/3179-16 | Riigihankeleping | tehik | |
| Leping | 18.01.2023 | 512 | 3-9/3179-15 | Tellimuskiri | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-12 | Tellimuskiri | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-13 | Riigihankeleping | tehik | |
| Leping | 28.11.2022 | 563 | 3-9/3179-14 | Riigihankeleping | tehik | |
| Leping | 21.11.2022 | 570 | 3-9/3179-10 | Muu leping | tehik | |
| Leping | 21.11.2022 | 570 | 3-9/3179-11 | Muu leping | tehik | |
| Leping | 27.10.2022 | 595 | 3-9/3179-9 | Tellimuskiri | tehik | |
| Leping | 19.10.2022 | 603 | 3-9/3179-8 | Tellimuskiri | tehik | |
| Leping | 18.10.2022 | 604 | 3-9/3179-7 | Tellimuskiri | tehik | |
| Leping | 05.10.2022 | 617 | 3-9/3179-6 | Tellimuskiri | tehik | |
| Leping | 23.09.2022 | 629 | 3-9/3179-5 | Muu leping | tehik | |
| Leping | 07.09.2022 | 645 | 3-9/3179-3 | Tellimuskiri | tehik | |
| Leping | 10.08.2022 | 673 | 3-9/3179-2 | Tellimuskiri | tehik | |
| Leping | 21.06.2022 | 723 | 3-9/3179-1 🔒 | Riigihankeleping | tehik |