Warszawa, dnia 1 lipca 2011 r. BAF-VI /11

Transkrypt

1 Warszawa, dnia 1 lipca 2011 r. MINISTERSTWO SPRAW WEWNĘTRZNYCH i ADMINISTRACJI BIURO ADMINISTRACYJNO FINANSOWE Warszawa, ul. Stefana Batorego 5 BAF-VI /11 Wykonawcy ubiegający się o udzielenie zamówienia publicznego nr 36/BAF-VI/PN/11 na audyt systemu zarządzania bezpieczeństwem informacji w systemie epuap Na podstawie art. 38 ust. 2 ustawy z dnia 29 stycznia 2004 roku Prawo zamówień publicznych (Dz. U. z 2010 roku Nr 113, poz. 759 z późn. zm.), Zamawiający przekazuje poniżej treść pytań dotyczącego Specyfikacji Istotnych Warunków Zamówienia (SIWZ) wraz z udzielonymi wyjaśnieniami. Pytanie nr 1. Czy Zamawiający oczekuje, że Wykonawca w ramach raportu poaudytowego przeprowadzi weryfikację procesów i procedur zarządzania bezpieczeństwem informacji, w wyniku której określi czy wymienione w 1 ust. 1 Załącznika nr 2 do SIWZ elementy bezpieczeństwa i wydajności kodu systemu epuap zostały poprawnie zastosowane? Odpowiedź na pytanie nr 1. Zamawiający nie oczekuje ramach raportu poaudytowego, weryfikacji procesów i procedur zarządzania bezpieczeństwem informacji. Pytanie nr 2. Czy Zamawiający oczekuje faktycznego wykonania badania bezpieczeństwa i jakości kodu epuap zgodnie z zakresem wskazanym w pkt 1 Załącznika nr 1 do SIWZ, w tym: 1) Przeprowadzenia testów odporności sytemu epuap na rodzaje ataków wskazanych w 1 pkt 1 podpunkt 1) Załącznika nr 2 do SIWZ? 2) Weryfikacji zastosowanych platform programistycznych w kontekście optymalizacji uzyskania funkcjonalności systemu epuap? 3) Przegląd kodu systemu epuap pod kątem: obecności złośliwego oprogramowania? przejrzystości i jakości struktur kodu epuap? Odpowiedź na pytanie 2.1) Tak Odpowiedź na pytanie 2.2) Tak ale tylko w kontekście stabilnej pracy systemu oraz bezpieczeństwa. Odpowiedź na pytanie 2.3) Tak, ale tylko w miejscach newralgicznych, zidentyfikowanych przez audytora z możliwością obecności podczas przeprowadzania testów przedstawiciela zamawiającego.

2 Pytanie nr 3. Pytania związane z zakresem raportu poaudytowego wskazanym w pkt. 1 Załącznika nr 1 do SIWZ: a) Z jakich funkcjonalnie odrębnych komponentów składa się system epuap (Jaka jest lista usług, z których korzysta aplikacja- prosimy o wymienienie, z podaniem nazwy, wszystkich komponentów/usług, np. oprócz warstwy prezentacji także: serwer aplikacji, serwer bazy danych, serwer WWW, interpreter języka stron, oprogramowanie typu Content Management System, inne)? b) W jakich technologiach wykonana jest warstwa prezentacyjna systemu epuap? (Jakie elementy wchodzą w skład środowiska implementacyjnego, o którym mowa w pkt 1 Załącznika nr 1 do SIWZ - ostatni podpunkt)? c) Czy Wykonawca, w celu prowadzenia badań wymaganych raportem poaudytowym, a wykonywanych przy pomocy metodologii testów penetracyjnych, otrzyma dostęp do zwierciadlanego środowiska testowego, czy też działać będzie na środowisku produkcyjnym? d) Jeżeli (w zakresie objętym poprzednim pytaniem) Wykonawca działać będzie na środowisku produkcyjnym, jakie są ograniczenia czasowe prowadzenia testów inwazyjnych mogących naruszyć działanie usług (np. ataki Denial of Service) np. testy w godzinach nocnych, w dni wolne od pracy itd., inne? e) Czy możliwe będzie uzyskanie kanału zdalnego dostępu do środowiska testowanego przy pomocy metodologii testów penetracyjnych lub dla celów przeglądu konfiguracji usług, z których korzysta aplikacja? f) Czy Wykonawca, w celu prowadzenia badań wymaganych raportem poaudytowym, a wykonywanych przy pomocy metodologii statycznej analizy kodu źródłowego (np. prace, o których mowa w pkt. 5 oraz 7 Załącznika nr 1 do SIWZ), otrzyma do wglądu całość kodu źródłowego systemu epuap (przynajmniej w tej części, która ma podlegać badaniu)? g) Czy Wykonawca będzie mógł prowadzić analizę tego kodu zdalnie? h) Jaka jest wielkość kodu źródłowego, który podlegać ma audytowi (prosimy o wyrażenie wielkości kodu jako rzędu wielkości liczby linii aktywnego kodu- np. 10 tys. linii kodu/100 tys. linii kodu, ewentualnie sumarycznej wielkości plików źródłowych warstwy prezentacyjnej systemu epuap)? i) Jaki jest zbiór standardów, których wykorzystanie zakłada system epuap, a o których mowa w pkt. 2 Załącznika nr 1 do SIWZ? j) Jaka jest lista licencji, o których mowa w pkt. 8 Załącznika nr 1 do SIWZ? k) Czy wymagane jest od Wykonawcy przeprowadzenie rzeczywistych testów obciążenia systemu epuap maksymalnym zakładanym wolumenem ruchu, w ramach prac o których mowa w pkt. 3 Załącznika nr 1 do SIWZ? Jeżeli tak jakie są wartości wymaganych do spełnienia parametrów (np. liczba równoczesnych żądań, ilość danych przesłanych w jednostce czasu)? Odpowiedź na pytanie 3.a) Interfejs użytkownika: WebSphere Portal i WebSphere Application Server i działające na nich,orbeon/icefaces/jsp/livecycle,webserwisy: WAS, Apache Tomcat (Koordynator), baza: DB2. Odpowiedź na pytanie 3.b) Strony JSP oraz strony w technologii IceFaces Nie wiem o jaki załącznik do którego SIWZ chodzi: zasadnicze środowisko programistyczne to Eclipse z narzędziami wspomagającymi np. RAD. Odpowiedź na pytanie 3.c) Wykonawca otrzyma dostęp do środowiska testowego.

3 Odpowiedź na pytanie 3.d) Testy będą prowadzone tylko w środowisku testowym epuap, a w przypadku wykrycia w epuap podatności, będą tworzone odrębne scenariusze uzgodnione pomiędzy audytorem i zamawiającym w celu przeprowadzenia testów w środowisku produkcyjnym. Odpowiedź na pytanie 3.e) Zamawiający nie wyklucza zdalnego dostępu do środowiska testowanego w celu przeprowadzenia testów penetracyjnych. Odpowiedź na pytanie 3.f) Patrz punkt g) Odpowiedź na pytanie 3.g) Audytor otrzyma kod źródłowy w formie płyty CD. Zamawiający nie wyklucza zdalnego dostępu do badania kodu źródłowego tylko w środowisku testowym. Odpowiedź na pytanie 3.h) Całość kodu źródłowego zajmuje 1 płytę CD o pojemności 750 Mb. Około. 370 kilo linii kodu. Odpowiedź na pytanie 3.i) Przede wszystkim XML i cały XML-owy "ekosystem": XML, XSD, XSLT, XPath, XQuery, XForms, XML-Dsig/XAdES, XHTML 1.0 Transitional. Także technologie XML-owe też "X" w nazwie: SOAP (i WS-Security), SAML (też XML). Do tego dochodzi kryptosystem oparty o certyfikaty X.509, WCAG 1.0, W3C, ISO Odpowiedź na pytanie 3.j) Spis licencji: 1 D60PTLL Licencja ratl performance tester extension for soa float usr lic+sw maint 12 mo 2 D60NHLL Licencja ratl tester for soa quality floating user lic+sw maint 12 mo 3 D54LTLL Licencja ratl performance tester floating user lic+sw maint 12 mo 4 D54LALL Licencja ratl software architect floating user lic+sw maint 12 mo 5 D532ELL Licencja ratl team unifying platform floatuser lic+sw maint 12 mo 6 D530RLL Licencja ratl perf test pak 1k virt testrs floatusr lic+sw maint 12 mo 7 D530BLL Licencja ratl functional tester floatinguser lic+sw 8 D593TLL Licencja db2 purexml ftr workgroup svr ed value unit lic+sw maint 12 mo 9 D562GLL Licencja ibm tivoli monitoring for databases 10 value units lic+sw maint 12 mo 10 D57UMLL Licencja tivoli comp app mgr basic websphere 10 value units lic+sw maint 12 mo 11 D572ZLL Licencja websphere process server multiplatform value unit lic+sw maint 12 mo 12 D570BLL Licencja tivoli composite app manager f/soa value unit lic+sw maint 12 mo 13 D56PNLL Licencja ibm tivoli omegamon xe for messaging value unit lic+sw maint 12 mo 14 D56P3LL Licencja websphere message broker value unit lic+sw maint 12 mo 15 D56KQLL Licencja ibm websphere business monitor value unit lic+sw maint 12 mo 16 D56FULL Licencja ibm tivoli storage manager 10 value units lic+sw maint 12 mo 17 D56FPLL Licencja ibm tivoli stor mgr for stor area nw 10 value units lic+sw maint 12 mo 18 D562GLL Licencja ibm tivoli monitoring for databases 10 value units lic+sw maint 12 mo 19 D55W8LL Licencja websphere app svr value unit lic+sw maint 12 mo 20 D55UCLL Licencja websphere portal enable value unit lic+sw maint 12 mo

4 21 D55TWLL Licencja ibm db2 workgroup server ed value unit lic+sw maint 12 mo 22 D55TWLL Licencja ibm db2 workgroup server ed value unit lic+sw maint 12 mo 23 D5571LL Licencja websphere integration developer authorized user lic+sw maint 12 mo 24 E03NDLL ratl performance tester extension for soa float usr annual sw s&s rnwl, opieka produktowa 25 E03MNLL ratl tester for soa quality floating user annual sw s&s rnwl, opieka produktowa 26 E02UJLL db2 purexml ftr workgroup svr ed value unit annual sw s&s rnwl, opieka produktowa 27 E02HHLL tivoli monitoring universal agent 10 value units annual sw s&s rnwl, opieka produktowa 28 E02GZLL tivoli comp app mgr basic websphere 10 value units annual sw s&s rnwl, opieka produktowa 29 E02ECLL websphere process server multiplatform value unit annual sw s&s rnwl, opieka produktowa 30 E02DFLL tivoli composite app manager f/soa value unit annual sw s&s rnwl, opieka produktowa 31 E02AZLL ibm tivoli omegamon xe for messaging value unit annual sw s&s rnwl, opieka produktowa 32 E02AULL websphere message broker value unit annual sw s&s rnwl, opieka produktowa 33 E029TLL ibm websphere business monitor value unit annual sw s&s rnwl, opieka produktowa 34 ibm tivoli storage manager 10 value units annual sw s&s rnwl, opieka produktowa 35 ibm tivoli stor mgr for stor area nw 10 value units annual sw s&s rnwl, opieka produktowa 36 ibm tivoli monitoring for databases 10 value units annual sw s&s rnwl, opieka produktowa 37 websphere app svr value unit annual sw s&s rnwl, opieka produktowa 38 websphere portal enable value unit annual sw s&s rnwl, opieka produktowa 39 ibm db2 workgroup server ed value unit annual sw s&s rnwl, opieka produktowa 40 ibm db2 workgroup server ed value unit annual sw s&s rnwl, opieka produktowa 41 websphere integration developer authorized user annual sw s&s rnwl, opieka produktowa 42 ratl performance tester floating user annual sw s&s rnwl, opieka produktowa 43 ratl software architect floating user annual sw s&s rnwl, opieka produktowa 44 ratl team unifying platform floatuser annual sw s&s rnwl, opieka produktowa 45 ratl perf test pak 1k virt testrs floatusr annual sw s&s rnwl, opieka produktowa 46 ratl functional tester floatinguser annual sw s&s rnwl, opieka produktowa 47 tivoli netcool/webtop concurrent user lic + sw s&s 12 mo, licencja 48 tivoli nc/omnibus gateway tier 1 per connection lic + sw s&s 12 mo, licencja 49 tivoli nc/omnibus gateway tier 1 3rdpty connection lic + sw s&s 12 mo, licencja 50 tiv nc/omnibus tier 3 3rd pty a resource val unit lic + sw s&s 12 mo, licencja 51 tivoli netcool/omnibus tier 1 resource value unit lic + sw s&s 12 mo, licencja 52 tivoli netcool/omnibus base per install lic + sw s&s 12 mo, licencja 53 tivoli netcool/webtop per install lic + sw s&s 12 mo, licencja 54 db2 purexml ftr workgroup svr ed value unit lic + sw s&s 12 mo, licencja 55 ibm tivoli monitoring 10 value units lic + sw s&s 12 mo, licencja 56 ibm tivoli netview 10 value units lic + sw s&s 12 mo, licencja 57 websphere app svr value unit lic + sw s&s 12 mo, licencja 58 websphere portal enable value unit lic + sw s&s 12 mo, licencja 59 D5826LL IBM Tivoli Monitoring Uniiversal Agent 10 VU License + SW Maintenance 12 Month D044QLL - IBM Tivoli Composite Application Manager For Applications 3 Agent Pack Processor Value Unit (PVU)

5 License + SW Subscription & Support 12 Months D55UCLL IBM WebSphere Portal Enable Processor Value Unit (PVU) License + SW Subscription & Support 12 Months D55W8LL IBM WebSphere Application Server Processor Value Unit (PVU) License + SW Subscription & Support 12 Months 64 D561YLL - IBM Tivoli Monitoring 10 Processor Value Units (PVUs) License + SW Subscription & Support 12 Months D56FPLL - IBM TIVOLI STORAGE MANAGER STORAGE AREA NETWORKS 10 PROCESSOR VALUE UNITS (PVUS) LICENSE + SW SUBSCRIPTION & SUPPORT 12 MONTHS D56FULL - IBM TIVOLI STORAGE MANAGER 10 PROCESSOR VALUE UNITS (PVUS) LICENSE + SW SUBSCRIPTION & SUPPORT 12 MONTHS 67 D570BLL IBM ITCAM for SOA License + SW Subscription & Support 12 Months 68 D570XLL IBM ITCAM for Websphere License + SW Subscription & Support 12 Months D572ZLL IBM WEBSPHERE PROCESS SERVER FOR MULTIPLATFORMS PROCESSOR LICENSE + SW SUBSCRIPTION & SUPPORT 12 MONTHS D044QLL - IBM Tivoli Composite Application Manager For Applications 3 Agent Pack Processor Value Unit (PVU) SW Subscription & Support Renewal D044QLL - IBM Tivoli Composite Application Manager For Applications 3 Agent Pack Processor Value Unit (PVU) License + SW Subscription & Support 12 Months 72 Adobe designer 8.1 WIN AOO License IE 73 Reader Extension Svr 8.0 ALP Aoo License IE TIER 1 74 Red Hat Enterprise Linux5 Basic, licencja na wsparcie w okresie 3 lat 75 COMARCH Security Access Manager (DRACO) 76 COMARCH Sopel 77 COMARCH Security Access Manager (DRACO) 78 COMARCH Sopel Odpowiedź na pytanie 3.k) Tak. Czasy odpowiedzi różnych stron przy różnej ilości sesji (od 200 do 1000) dla użytkowników robiących różne działania w systemie w podziale będącym reprezentatywnym dla faktycznego wykorzystywania epuap. Za poprawne uznawane były czasy do 5 sec (przy czym poprawne dla stron jedynie z treścią do 2 sec) za wyjątkowe ale akceptowalne do 10 sec (jako pozwalające jeszcze nie zatracić fokusu użytkownika) jako nieakceptowane czasy powyżej 10 sec. Pytanie nr 4. Co Zamawiający rozumie poprzez świadectwo stosowania Systemu Zarządzania Bezpieczeństwem Informacji? Odpowiedź na pytanie nr 4. Zarządzanie Bezpieczeństwem Informacji w zgodzie z zapisami ustawy o ochronie danych osobowych, rozporządzenia Ministra SWiA w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników oraz rozporządzenia Ministra SWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

6 Pytanie nr 5. Czy Zamawiający wymaga przeprowadzenia audytu kodu pod kątem bezpieczeństwa? Odpowiedź na pytanie nr 5. Tak, ale tylko w miejscach newralgicznych, zidentyfikowanych przez audytora z możliwością obecności podczas przeprowadzania testów przedstawiciela zamawiającego Pytanie nr 6. Jeżeli Zamawiający wymaga przeprowadzenia audytu kodu pod kątem bezpieczeństwa prosimy o podanie następujących informacji: a. Opis funkcjonalny aplikacji. b. Technologie, języki programowania, które zostały wykorzystane do opracowania aplikacji. c. Liczba linii kodu składających się na aplikację. d. W jaki sposób zostanie udostępniony kod do audytu? Odpowiedź na pytanie nr 6. Strony JSP oraz strony w technologii IceFaces Środowisko programistyczne to Eclipse z narzędziami wspomagającymi np. RAD. Interfejs użytkownika: WebSphere Portal i WebSphere Application Server i działające na nich,orbeon/icefaces/jsp/livecycle,webserwisy: WAS, Apache Tomcat (Koordynator),baza: DB2. Całość kodu źródłowego zajmuje 1 płytę CD o pojemności 750 Mb. Około. 370 kilo linii kodu. Audytor otrzyma kod źródłowy w formie płyty CD. Zamawiający nie wyklucza zdalnego dostępu do badania kodu źródłowego tylko w środowisku testowym. Pytanie nr 7. Czy testy dotyczące podatności mają dotyczyć tylko warstwy aplikacyjnej, czy też warstwy infrastruktury? Odpowiedź na pytanie nr 7. Również warstwy infrastruktury. Pytanie nr 8. Jeżeli testy mają dotyczyć również warstwy infrastruktury prosimy o podanie liczby adresów IP, liczby serwerów które mają podlegać testom. Odpowiedź na pytanie nr 8. 8 adresów IP. Dwa ośrodki podstawowy oraz zapasowy. Pytanie nr 9. Czy możliwe jest zdalne przeprowadzenie testów podatności? Odpowiedź na pytanie nr 9. Zamawiający nie wyklucza zdalnego dostępu do środowiska testowanego w celu przeprowadzenia testów penetracyjnych. Pytanie nr 10. W jakim środowisku będą prowadzone testy podatności? Testowym, przedprodukcyjnym, produkcyjnym, innym?

7 Odpowiedź na pytanie nr 10. Testy będą prowadzone tylko w środowisku testowym epuap, a w przypadku wykrycia w epuap podatności, będą tworzone odrębne scenariusze uzgodnione pomiędzy audytorem i zamawiającym w celu przeprowadzenia testów w środowisku produkcyjnym. Pytanie nr 11. Prosimy o przesłanie wymagań Zamawiającego dotyczących wymaganej wydajności jakie mają być spełnione przez aplikację. Odpowiedź na pytanie nr 11. Czasy odpowiedzi różnych stron przy różnej ilości sesji (od 200 do 1000) dla użytkowników robiących różne działania w systemie w podziale będącym reprezentatywnym dla faktycznego wykorzystywania epuap. Za poprawne uznawane były czasy do 5 sec (przy czym poprawne dla stron jedynie z treścią do 2 sec) za wyjątkowe ale akceptowalne do 10 sec (jako pozwalające jeszcze nie zatracić fokusu użytkownika) jako nieakceptowane czasy powyżej 10 sec. Pytanie nr 12. Prosimy o informację o nazwach producentów poszczególnych komponentów z półki. Odpowiedź na pytanie nr 12. IBM, Microsoft, Linux, Comarch Pytanie nr 13. Co Zamawiający rozumie przez wyjaśnienie poziomu rozwiązania Planu awaryjnego DRP (Disaster Recovery Plan)? (pkt. 9 OPZ). Odpowiedź na pytanie nr 13. Dotyczy to ciągłości działania danego przedsiębiorstwa lub instytucji. Częścią przedsiębiorstwa lub instytucji jest oczywiście IT. Rozwiązania Disaster Recovery skupiają się na przywróceniu przetwarzania po awarii uniemożliwiającej pracę w Ośrodku Podstawowym. Ośrodek Podstawowy rozumiany jest jako infrastruktura informatyczna (pomieszczenia, zasilanie, serwery, sieć, obsługa itp.) używana w czasie normalnej pracy przedsiębiorstwa lub instytucji. Technologicznie, DR wspomagane jest przede wszystkim: lustrzanymi kopiami zdalnymi i błyskawicznymi kopiami lokalnymi. Pytanie nr 14. Czy Zamawiający oprócz wymagań określonych w Załączniku nr 1 oczekuje objęcia audytem innych obszarów bezpieczeństwa z normy ISO 27001, w szczególności: a. Polityk, procedur i instrukcji bezpieczeństwa, w tym dokumentów i zapisów wymaganych przez normę ISO b. Organizacji bezpieczeństwa u Zamawiającego. c. Procesów bezpieczeństwa u zamawiającego i ich stosowania w praktyce, w tym procesów wymaganych przez normę ISO (np. przegląd zarządzania). d. Spełnienia zabezpieczeń zdefiniowanych z Załączniku A normy ISO 27001? Odpowiedź na pytanie nr 14. Zamawiający nie wymaga poddaniu audytem zakresów w pkt: a,b,c. W zakresie pkt d zamawiający wymaga przeprowadzenia audytu.

8 Pytanie nr 15. Co Zamawiający rozumie poprzez stwierdzenie Czy system epuap wykorzystuje standardy oraz czy wykorzystuje je w sposób zgodny z przeznaczeniem i zakładanym zakresem?? (par. 1, ust. 2, pkt 2) Umowy). Odpowiedź na pytanie nr 15. Zamawiający oczekuje stwierdzenia czy użyte standardy są wykorzystywane zgodnie z ich przeznaczeniem i dobrymi praktykami. Pytanie nr 16. Czy wszystkie prace związane z realizacją umowy będą wykonywane w Warszawie, czy też z jakichś powodów konieczne będzie wykonanie prac poza Warszawą? Jeżeli tak to jaki zakres prac będzie wykonywany poza Warszawą i w jakich miejscowościach? Odpowiedź na pytanie nr 16. Wszystkie prace będą wykonywane w Warszawie. Zamawiający nie przewiduje konieczności wykonywania prac poza Warszawą.