Zamawiający – Gmina Stalowa Wola, zaprasza do złożenia oferty dla zamówienia publicznego o wartości mniejszej niż wyrażona w złotych równowartość kwoty 30 000 euro, zgodnie z art. 4 pkt 8 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (t.j. Dz.U z 2013 r., poz. 907 z późn. zm.) dla zadania pn. "Audyt bezpieczeństwa informacji".
Opis przedmiotu zamówienia:
Zakres prac obejmować będzie siedem wzajemnie uzupełniające się działań.
- Przygotowanie harmonogramu w zakresie realizacji planowanych działań.
- Fizyczna realizacja audytu.
- Przeprowadzenie testów penetracyjnych audytowanego systemu.
- Analiza przetwarzania pod katem zgodności z obowiązującymi przepisami prawa.
- Przedstawienie wyników audytu i ewentualne zaproponowanie działań naprawczych.
- Wdrożenie platformy informatycznej do samodzielnego prowadzenia audytu wstępnego.
- Szkolenia pracowników przygotowane zgodnie z wynikami audytu.
Działanie 1 – przygotowanie harmonogramu w zakresie realizacji planowanych działań.
Działanie 2 – fizyczna realizacja audytu.
Zespół audytorów, na miejscu w urzędzie wykonywał będzie prace mające na celu szczegółowe określenie poziomu bezpieczeństwa informacji we wszystkich obszarach jej funkcjonowania.
W obszarze audytu organizacyjnego wykonywane będą działania, których celem weryfikacja procedur organizacyjnych funkcjonujących w Urzędzie Miasta Stalowa Wola, których celem jest zapewnienie bezpieczeństwa gromadzonej i przetwarzanej informacji.
Będą to m. in.:
- Analiza wykorzystania rozporządzeń w obszarze zarządzania bezpieczeństwem informacji;
- Badanie ustalonych zakresów odpowiedzialności za bezpieczeństwo informacji;
- Analiza procedur zatrudniania i zwalniania pracowników mających dostęp do zasobów informacyjnych;
- Analiza koordynacji działań związanych z zarządzaniem bezpieczeństwem informacji;
- Sprawdzenie ochrony danych osobowych, w tym prowadzonej dokumentacji;
- Badanie sformalizowanymi metodami poziomu świadomości pracowników w obszarze bezpieczeństwa informacji;
- Przygotowania raportu pokontrolnego w obszarze audytu organizacyjnego.
W obszarze audytu fizycznego i środowiskowego wykonane zostaną działania mające na celu określenie poziomu bezpieczeństwa fizycznych urządzeń przetwarzających. W szczególności będą to prace związane z kontrolą:
- Kontrolą granic bezpiecznego obszaru chronionego ze szczególnym uwzględnieniem systemu kontroli wejścia;
- Kontrolą jakości systemów zabezpieczeń wykorzystywanych do ochrony pomieszczeń i kluczowych urządzeń;
- Kontroli infrastruktury (systemów zaopatrzenia w energię elektryczną, okablowania strukturalnego, systemów wentylacji i chłodzenia, systemów alarmowych, bezpieczeństwa fizycznego urządzeń);
Prace wykonywane będą bezpośrednio w organizacji przez audytora, na ich podstawie przygotowany zostanie raport pokontrolny.
Audyt teleinformatyczny obejmował będzie prace związane z analizą zagrożeń bezpieczeństwa informacji, wnoszonych w trakcie gromadzenia, przetwarzania i udostępniania informacji elektronicznej. W szczególności wykonywane będą następujące działania:
- Analiza procedur zarządzania bezpieczeństwem teleinformatycznym;
- Badanie procedur archiwizacji i zarządzania kopiami archiwalnymi;
- Badanie procedur związanych z rejestracją i przetwarzaniem błędów funkcjonowania oprogramowania i sprzętu;
- Analiza procedur ochrony przed oprogramowaniem szkodliwym, w szczególności jego instalacji i aktualizacji;
- Weryfikacja zabezpieczeń wybranych stacji roboczych i nośników informacji, w szczególności tych, na których przetwarzane, udostępniane lub przechowywane są informacje wrażliwe.
- Analiza polityki zarządzania hasłami, licencjami, aktualizacjami i wykorzystaniem urządzeń mobilnych;
- Zaproponowanie korekt istniejącej dokumentacji zarzadzania bezpieczeństwem ( Polityki bezpieczeństwa, Instrukcji zarządzania systemami informatycznymi)
Prace wykonywane będą bezpośrednio w organizacji przez audytora, na ich podstawie przygotowany zostanie raport pokontrolny.
W obszarze audytu ochrony danych osobowych analizowana będzie zgodność wykorzystywanych rozwiązań z obowiązującymi aktami prawnymi oraz ich skuteczność. Prowadzone dziania będą obejmować m. in.:
- Formalno-prawną analizę metod i środków przetwarzania danych osobowych;
- Analizę wewnętrznych przepisów dotyczących bezpieczeństwa przetwarzania danych osobowych;
- Identyfikacja zbiorów potencjalnie podlegających rejestracji.
Prace wykonywane będą bezpośrednio w organizacji przez audytora, na ich podstawie przygotowany zostanie raport pokontrolny.
Działanie 3 – przeprowadzenie testów penetracyjnych audytowanego systemu.
W ramach działania prowadzone będą zewnętrzne i wewnętrzne testy penetracyjne. Testy zewnętrzne będą dotyczyć odporności styku badanej sieci lokalnej z Internetem, przeprowadzane ze stacji roboczej podłączonej do sieci Internet i obejmować będą m. in.:
- Analizę architektury dołączenia sieci lokalnej do Internetu;
- Badanie skuteczności zastosowanych mechanizmów ochronnych na ataki różnych typów, w tym: Wykrycie i przejęcie usług sieciowych dostarczanych przez sieć lokalną; Wykrycie i ewentualne wykorzystanie luk w wykorzystywanym oprogramowaniu systemowym, narzędziowym i aplikacyjnym;
- Analityczne przedstawienie zaleceń mających na celu usunięcie wykrytych luk.
Testy wewnętrzne będą dotyczyć odporności samej sieci na ataki, przeprowadzone zostaną ze stacji roboczej podłączonej do sieci lokalnej i obejmować będą podobny zakres jak testy zewnętrzne. Działanie 3 powinno być wykonywane jako uzupełnienie audytu fizycznego, szczególnie w przypadku kiedy nie przyniósł on satysfakcjonujących wyników. Testy mogłyby być prowadzone zdanie przez pracowników Centrum badania bezpieczeństwa.
Działanie 4 – analiza przetwarzania pod kątem zgodności z obowiązującymi przepisami prawa.
Analiza powinna oparta w szczególności o ustawę o ochronie danych osobowych, rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Działanie będzie polegać na stworzenie platformy wspomagającej analizę poziomu bezpieczeństwa jednostek władzy publicznej. Będzie ona zwierać narzędzia informatyczne wspomagające realizację opisanego powyżej Działania 2 oraz Działania 3. W pierwszym przypadku oferowany zestaw ankiet oceniających poziom bezpieczeństwa informacji i na bazie metod sztucznej inteligencji generujący zalecenia pokontrolne. Mogą być one podstawą do wszczęcia procedury audytu fizycznego. W obszarze zgodnym z działaniem 3 oferowany będzie zestaw metod i środków do samodzielnej realizacji testów penetracyjnych oraz interpretacji ich wyników.
Działanie 5 - przedstawienie wyników audytu i ewentualne zaproponowanie działań naprawczych.
Działanie 6 - wdrożenie platformy informatycznej do samodzielnego prowadzenia audytu wstępnego.
Działanie 7 – szkolenia pracowników przygotowane zgodnie z wynikami audytu.
Na podstawie wyników audytu (fizycznego lub opartego na Platformie) z zastosowaniem metod sztucznej inteligencji dobierany jest zestaw przygotowywanych na bieżąco szkoleń przygotowujących do poprawy jakości zarządzania bezpieczeństwem informacji wraz z kompletem materiałów szkoleniowych w wersji elektronicznej.
Inne istotne warunki zamówienia:
Posiadania wiedzy i doświadczenia - Warunek zostanie uznany za spełniony, jeżeli wykonawca wykaże, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy w tym okresie, wykonał co najmniej:
dwa zamówienia polegające na przeprowadzeniu audytu bezpieczeństwa informacji.
jedno zamówienie obejmowało swoim zakresem obszar zagrożeń bezpieczeństwa informacji, wnoszonych w trakcie gromadzenia, przetwarzania i udostępniania informacji elektronicznej.
jedno zamówienie obejmowało swoim zakresem przeprowadzenie zewnętrznych i wewnętrznych testów penetracyjnych bezpieczeństwa sieci.
Dysponowania osobami zdolnymi do wykonania zamówienia - Wykonawca winien wykazać, że dysponuje lub będzie dysponował przy realizacji zamówienia osobą lub osobami przewidzianym do realizacji przedmiotowego zamówienia, posiadającym kwalifikacje niezbędne do wykonania zamówienia.
Na potwierdzenie powyższych warunków wykonawca składa:
Oświadczenie o przeprowadzeniu audytu bezpieczeństwa informacji wraz z wykazem zmówień o których mowa w pkt. 5 zapytania ofertowego.
Oświadczenie o dysponowaniu osobami zdolnymi do wykonania zamówienia posiadającymi niezbędne kwalifikacje.
Miejsce oraz termin złożenia i otwarcia ofert:
Ofertę należy złożyć do godziny 12.00 dnia 10 lipca 2017 roku w siedzibie Zamawiającego -
Urząd Miasta Stalowej Woli, ul. Wolności 7, 37 – 450 Stalowa Wola, pokój nr 11
Oferty zostaną otwarte o godz. 12.00 dnia 10 lipca 2017 roku w siedzibie Zamawiającego –
Urząd Miasta Stalowej Woli, ul. Wolności 7, 37-450 Stalowa Wola, pokój nr 11
Sposób przygotowania oferty:
- zaleca się aby ofertę sporządzić na załączonym druku „OFERTA WYKONAWCY”;
- oferta otrzymana przez Zamawiającego po terminie składania ofert zostanie zwrócona Wykonawcy bez otwierania;
- ofertę sporządzić należy w języku polskim, w formie pisemnej;
- cena brutto winna zawierać wszystkie koszty i składniki do wykonania zamówienia;
- oferta winna być podpisana przez osobę upoważnioną;
- ofertę należy złożyć w kopercie z dopiskiem: „ Zapytanie ofertowe dla zadania pn. Audyt bezpieczeństwa informacji Nie otwierać do dnia 10 lipca 2017 ”
- Osobami ze strony Zamawiającego upoważnione do kontaktowania się z wykonawcami są: Jerzy Darski, email: jdarski@stalowawola.pl, tel. 15-643-35-92
Kryteria oceny ofert: cena usługi.
Zamawiający dokona wyboru oferty, która okaże się najkorzystniejsza w oparciu o przyjęte kryterium oceny ofert.
W celu uniknięcia konfliktu interesów, zamówienie nie może być udzielone podmiotom powiązanym osobowo lub kapitałowo z zamawiającym. Przez powiązania kapitałowe lub osobowe rozumie się wzajemne powiązania między zamawiającym lub osobami upoważnionymi do zaciągania zobowiązań w imieniu zamawiającego lub osobami wykonującymi w imieniu zamawiającego czynności związane z przygotowaniem i przeprowadzeniem procedury wyboru wykonawcy a wykonawcą, polegające w szczególności na:
- uczestniczeniu w spółce jako wspólnik spółki cywilnej lub spółki osobowej,
- posiadaniu co najmniej 10% udziałów lub akcji,
- pełnieniu funkcji członka organu nadzorczego lub zarządzającego, prokurenta, pełnomocnika,
- pozostawaniu w związku małżeńskim, w stosunku pokrewieństwa lub powinowactwa w linii prostej, pokrewieństwa drugiego stopnia lub powinowactwa drugiego stopnia w linii bocznej lub w stosunku przysposobienia, opieki lub kurateli.