Warszawa, dnia 1 lipca 2011 r. BAF-VI-2374-1-32/11



Podobne dokumenty
Doposażenie techniczne Zintegrowanego Systemu Obiegu Dokumentów Elektronicznych (ZSODE) dla potrzeb realizacji projektu e-usługi - 36-CPI-WA-2244/09

Załącznik nr 1 do OPZ WYKAZ SPRZĘTU I LICENCJI

KONCEPCJA DOCELOWEJ INFRASTRUKTURY TECHNICZNEJ

Ministerstwo Sprawiedliwości [dalej: Zamawiający ] Al. Ujazdowskie Warszawa

Zakład Ubezpieczeń Społecznych Departament Zamówień Publicznych ul. Szamocka 3, 5, Warszawa

Warszawa, dniaq).o6.2o11 r. Dolwzy. postępowania IU/31 4/VII-53/ZO/PN/AE/DOS/K1201 1

WYJAŚNIENIA NR 2 TREŚCI SIWZ

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

Dobre praktyki w doborze technologii rozwiązań informatycznych realizujących usługi publiczne

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Szczegółowy opis przedmiotu zamówienia:

ZAPYTANIE CENOWE dotyczące Opracowania Projektu i Wdrożenie Systemu Zarządzania Zasobami Infrastruktury Techniczno-Systemowej

Przedłużenie o 12-miesięcy wsparcia technicznego na oprogramowanie Oracle Database Standard Edition One

Usługa: Audyt kodu źródłowego

OPIS PRZEDMIOTU ZAMÓWIENIA w postępowaniu pn.:

Opis przedmiotu zamówienia

Wykonanie systemu informatycznego epuap Elektroniczna Platforma Usług Administracji Publicznej

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

Do wszystkich Wykonawców uczestniczących w postępowaniu

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

JBoss: MetaMatrix, Mobicents, Seam, Rools, ESB

Opis przedmiotu zamówienia

SAM-Insights ADVANCED CENTRAL DATA COLLECTOR (ACDC) Dane licencyjne nie mierzone przez skanowanie. Nowy moduł ACDC o unikalnej funkcjonalności

Ekspert MS SQL Server Oferta nr 00/08

Szczegółowy opis przedmiotu zamówienia

Typy przetwarzania. Przetwarzanie zcentralizowane. Przetwarzanie rozproszone

FORMULARZ TECHNICZNY. 3.1 Dostawa oprogramowania standardowego (licencje bezterminowe):

Wybierz właściwą edycję desktopową Windows 10. Wybierz sposób wdrażania nowych funkcjonalności. Wybierz najlepszą ofertę licencjonowania grupowego

Zapytanie ofertowe nr OR

Win Admin Replikator Instrukcja Obsługi

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Plan testów do Internetowego Serwisu Oferowania i Wyszukiwania Usług Transportowych

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Zakład Ubezpieczeń Społecznych Departament Zamówień Publicznych ul. Szamocka 3, 5, Warszawa

Instytut Pamięci Narodowej Komisja Ścigania Zbrodni przeciwko Narodowi Polskiemu

Wdrożenie technologii procesowej IBM BPM w EFL

Jak zaoszczędzić na kosztach licencji?

Szczegółowy opis przedmiotu zamówienia (SOPZ)

Specyfikacja usług. 1. Zakup usług informatycznych dla realizacji dostępu do systemu dla obsługi relacji B2B.

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

RBL - 6. Warszawa, dnia r. ZMIANA TREŚCI SPECYFIKACJI ISTOTNYCH WARUNKÓW ZAMÓWIENIA. Dotyczy: numer postępowania: D/185/2016

Sekcja I: Instytucja zamawiająca/podmiot zamawiający

Strona znajduje się w archiwum.

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

7. zainstalowane oprogramowanie zarządzane stacje robocze

Zakup oprogramowania SAS CIS-10/2014 ZAŁĄCZNIK NR 1 DO SIWZ. str. 1. Załącznik nr 1 do SIWZ

Zakup oprogramowania SAS

GŁÓWNY INSPEKTORAT OCHRONY ŚRODOWISKA

Opis przedmiotu zamówienia

Nasz znak: 14DFZZ236 Warszawa, r. SPECYFIKACJA USŁUGI. modernizacji infrastruktury telekomunikacyjnej MX-ONE w PGNiG Termika SA

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. Opis oferowanego przedmiotu zamówienia

Międzyplatformowy interfejs systemu FOLANessus wykonany przy użyciu biblioteki Qt4

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

Odpowiedź II wyjaśnienie na zapytania do Specyfikacji Istotnych Warunków Zamówienia.

Do wszystkich Wykonawców uczestniczących w postępowaniu

Testowanie oprogramowania w środowisku IBM Rational Software Architect

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

CZĘŚĆ II SIWZ SPECYFIKACJA PRZEDMIOTU ZAMÓWIENIA

ZAPROSZENIE DO SKŁADANIA OFERT

Win Admin Replikator Instrukcja Obsługi

Część I - Załącznik nr 7 do SIWZ. Warszawa. 2011r. (dane Wykonawcy) WYKAZ OSÓB, KTÓRYMI BĘDZIE DYSPONOWAŁ WYKONAWCA DO REALIZACJI ZAMÓWIENIA

Strona 1 z 6. Warszawa, dnia 8 września 2010 r.

WYJAŚNIENIA TREŚCI SIWZ

DYREKTOR GENERALNY URZĘDU ZAMÓWIEŃ PUBLICZNYCH

BDG.V PC Warszawa, dnia r.

EMC Storage Resource Management Suite

Załącznik Dotyczy: połączeń SAN

Audytowane obszary IT

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

IBM MAXIMO ASSET MANAGEMENT AUTHORIZED USER LICENSE + SW SUBSCRIPTION & SUPPORT 12 MONTHS

P13 Wytyczne dla dostawców aplikacji

Załącznik Nr 1 do SIWZ Załącznik nr 3 do Umowy Szczegółowy Opis Przedmiotu Zamówienia

Produkty Tivoli dla każdego Wybrane przykłady wdrożeń

Raport z przeglądu systemu epuap. Warszawa, dn r.

Niniejszy załącznik składa się z 5 ponumerowanych stron

OGŁOSZENIE O ZAMÓWIENIU SEKCJA I: INSTYTUCJA ZAMAWIAJĄCA

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Informacja o wyniku kontroli doraźnej w zakresie legalności wyboru trybu zamówienia z wolnej ręki

SEKCJA I: ZAMAWIAJĄCY SEKCJA II: PRZEDMIOT ZAMÓWIENIA. Zamieszczanie ogłoszenia: obowiązkowe. Ogłoszenie dotyczy: zamówienia publicznego.

Sekcja I: Instytucja zamawiająca/podmiot zamawiający

Opis Przedmiotu Zamówienia

Referat pracy dyplomowej

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

I. 2) RODZAJ ZAMAWIAJĄCEGO: Inny: Państwowy Instytut Badawczy.

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Zdalne monitorowanie i zarządzanie urządzeniami sieciowymi

Pytania i wyjaśnienia treści Specyfikacji Istotnych Warunków Zamówienia

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Leszek Dziubiński Damian Joniec Elżbieta Gęborek. Computer Plus Kraków S.A.

Administracja środowiskiem informatycznym projektu ZSZ

Rozwiązanie Compuware Data Center - Real User Monitoring

Small Business Server. Serwer HP + zestaw NOWS

(pieczęć adresowa firmy oferenta) Jednostka Wojskowa Nr 3964 ul. Bystra Warszawa fax

Programowanie w języku Java. Wykład 13: Java Platform, Enterprise Edition (Java EE)

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W CSIZS

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Visual VM, Java Management extension i inne ciekawostki

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Transkrypt:

Warszawa, dnia 1 lipca 2011 r. MINISTERSTWO SPRAW WEWNĘTRZNYCH i ADMINISTRACJI BIURO ADMINISTRACYJNO FINANSOWE 02-591 Warszawa, ul. Stefana Batorego 5 BAF-VI-2374-1-32/11 Wykonawcy ubiegający się o udzielenie zamówienia publicznego nr 36/BAF-VI/PN/11 na audyt systemu zarządzania bezpieczeństwem informacji w systemie epuap Na podstawie art. 38 ust. 2 ustawy z dnia 29 stycznia 2004 roku Prawo zamówień publicznych (Dz. U. z 2010 roku Nr 113, poz. 759 z późn. zm.), Zamawiający przekazuje poniżej treść pytań dotyczącego Specyfikacji Istotnych Warunków Zamówienia (SIWZ) wraz z udzielonymi wyjaśnieniami. Pytanie nr 1. Czy Zamawiający oczekuje, że Wykonawca w ramach raportu poaudytowego przeprowadzi weryfikację procesów i procedur zarządzania bezpieczeństwem informacji, w wyniku której określi czy wymienione w 1 ust. 1 Załącznika nr 2 do SIWZ elementy bezpieczeństwa i wydajności kodu systemu epuap zostały poprawnie zastosowane? Odpowiedź na pytanie nr 1. Zamawiający nie oczekuje ramach raportu poaudytowego, weryfikacji procesów i procedur zarządzania bezpieczeństwem informacji. Pytanie nr 2. Czy Zamawiający oczekuje faktycznego wykonania badania bezpieczeństwa i jakości kodu epuap zgodnie z zakresem wskazanym w pkt 1 Załącznika nr 1 do SIWZ, w tym: 1) Przeprowadzenia testów odporności sytemu epuap na rodzaje ataków wskazanych w 1 pkt 1 podpunkt 1) Załącznika nr 2 do SIWZ? 2) Weryfikacji zastosowanych platform programistycznych w kontekście optymalizacji uzyskania funkcjonalności systemu epuap? 3) Przegląd kodu systemu epuap pod kątem: obecności złośliwego oprogramowania? przejrzystości i jakości struktur kodu epuap? Odpowiedź na pytanie 2.1) Tak Odpowiedź na pytanie 2.2) Tak ale tylko w kontekście stabilnej pracy systemu oraz bezpieczeństwa. Odpowiedź na pytanie 2.3) Tak, ale tylko w miejscach newralgicznych, zidentyfikowanych przez audytora z możliwością obecności podczas przeprowadzania testów przedstawiciela zamawiającego.

Pytanie nr 3. Pytania związane z zakresem raportu poaudytowego wskazanym w pkt. 1 Załącznika nr 1 do SIWZ: a) Z jakich funkcjonalnie odrębnych komponentów składa się system epuap (Jaka jest lista usług, z których korzysta aplikacja- prosimy o wymienienie, z podaniem nazwy, wszystkich komponentów/usług, np. oprócz warstwy prezentacji także: serwer aplikacji, serwer bazy danych, serwer WWW, interpreter języka stron, oprogramowanie typu Content Management System, inne)? b) W jakich technologiach wykonana jest warstwa prezentacyjna systemu epuap? (Jakie elementy wchodzą w skład środowiska implementacyjnego, o którym mowa w pkt 1 Załącznika nr 1 do SIWZ - ostatni podpunkt)? c) Czy Wykonawca, w celu prowadzenia badań wymaganych raportem poaudytowym, a wykonywanych przy pomocy metodologii testów penetracyjnych, otrzyma dostęp do zwierciadlanego środowiska testowego, czy też działać będzie na środowisku produkcyjnym? d) Jeżeli (w zakresie objętym poprzednim pytaniem) Wykonawca działać będzie na środowisku produkcyjnym, jakie są ograniczenia czasowe prowadzenia testów inwazyjnych mogących naruszyć działanie usług (np. ataki Denial of Service) np. testy w godzinach nocnych, w dni wolne od pracy itd., inne? e) Czy możliwe będzie uzyskanie kanału zdalnego dostępu do środowiska testowanego przy pomocy metodologii testów penetracyjnych lub dla celów przeglądu konfiguracji usług, z których korzysta aplikacja? f) Czy Wykonawca, w celu prowadzenia badań wymaganych raportem poaudytowym, a wykonywanych przy pomocy metodologii statycznej analizy kodu źródłowego (np. prace, o których mowa w pkt. 5 oraz 7 Załącznika nr 1 do SIWZ), otrzyma do wglądu całość kodu źródłowego systemu epuap (przynajmniej w tej części, która ma podlegać badaniu)? g) Czy Wykonawca będzie mógł prowadzić analizę tego kodu zdalnie? h) Jaka jest wielkość kodu źródłowego, który podlegać ma audytowi (prosimy o wyrażenie wielkości kodu jako rzędu wielkości liczby linii aktywnego kodu- np. 10 tys. linii kodu/100 tys. linii kodu, ewentualnie sumarycznej wielkości plików źródłowych warstwy prezentacyjnej systemu epuap)? i) Jaki jest zbiór standardów, których wykorzystanie zakłada system epuap, a o których mowa w pkt. 2 Załącznika nr 1 do SIWZ? j) Jaka jest lista licencji, o których mowa w pkt. 8 Załącznika nr 1 do SIWZ? k) Czy wymagane jest od Wykonawcy przeprowadzenie rzeczywistych testów obciążenia systemu epuap maksymalnym zakładanym wolumenem ruchu, w ramach prac o których mowa w pkt. 3 Załącznika nr 1 do SIWZ? Jeżeli tak jakie są wartości wymaganych do spełnienia parametrów (np. liczba równoczesnych żądań, ilość danych przesłanych w jednostce czasu)? Odpowiedź na pytanie 3.a) Interfejs użytkownika: WebSphere Portal i WebSphere Application Server i działające na nich,orbeon/icefaces/jsp/livecycle,webserwisy: WAS, Apache Tomcat (Koordynator), baza: DB2. Odpowiedź na pytanie 3.b) Strony JSP oraz strony w technologii IceFaces Nie wiem o jaki załącznik do którego SIWZ chodzi: zasadnicze środowisko programistyczne to Eclipse z narzędziami wspomagającymi np. RAD. Odpowiedź na pytanie 3.c) Wykonawca otrzyma dostęp do środowiska testowego.

Odpowiedź na pytanie 3.d) Testy będą prowadzone tylko w środowisku testowym epuap, a w przypadku wykrycia w epuap podatności, będą tworzone odrębne scenariusze uzgodnione pomiędzy audytorem i zamawiającym w celu przeprowadzenia testów w środowisku produkcyjnym. Odpowiedź na pytanie 3.e) Zamawiający nie wyklucza zdalnego dostępu do środowiska testowanego w celu przeprowadzenia testów penetracyjnych. Odpowiedź na pytanie 3.f) Patrz punkt g) Odpowiedź na pytanie 3.g) Audytor otrzyma kod źródłowy w formie płyty CD. Zamawiający nie wyklucza zdalnego dostępu do badania kodu źródłowego tylko w środowisku testowym. Odpowiedź na pytanie 3.h) Całość kodu źródłowego zajmuje 1 płytę CD o pojemności 750 Mb. Około. 370 kilo linii kodu. Odpowiedź na pytanie 3.i) Przede wszystkim XML i cały XML-owy "ekosystem": XML, XSD, XSLT, XPath, XQuery, XForms, XML-Dsig/XAdES, XHTML 1.0 Transitional. Także technologie XML-owe też "X" w nazwie: SOAP (i WS-Security), SAML (też XML). Do tego dochodzi kryptosystem oparty o certyfikaty X.509, WCAG 1.0, W3C, ISO Odpowiedź na pytanie 3.j) Spis licencji: 1 D60PTLL Licencja ratl performance tester extension for soa float usr lic+sw maint 12 mo 2 D60NHLL Licencja ratl tester for soa quality floating user lic+sw maint 12 mo 3 D54LTLL Licencja ratl performance tester floating user lic+sw maint 12 mo 4 D54LALL Licencja ratl software architect floating user lic+sw maint 12 mo 5 D532ELL Licencja ratl team unifying platform floatuser lic+sw maint 12 mo 6 D530RLL Licencja ratl perf test pak 1k virt testrs floatusr lic+sw maint 12 mo 7 D530BLL Licencja ratl functional tester floatinguser lic+sw 8 D593TLL Licencja db2 purexml ftr workgroup svr ed value unit lic+sw maint 12 mo 9 D562GLL Licencja ibm tivoli monitoring for databases 10 value units lic+sw maint 12 mo 10 D57UMLL Licencja tivoli comp app mgr basic websphere 10 value units lic+sw maint 12 mo 11 D572ZLL Licencja websphere process server multiplatform value unit lic+sw maint 12 mo 12 D570BLL Licencja tivoli composite app manager f/soa value unit lic+sw maint 12 mo 13 D56PNLL Licencja ibm tivoli omegamon xe for messaging value unit lic+sw maint 12 mo 14 D56P3LL Licencja websphere message broker value unit lic+sw maint 12 mo 15 D56KQLL Licencja ibm websphere business monitor value unit lic+sw maint 12 mo 16 D56FULL Licencja ibm tivoli storage manager 10 value units lic+sw maint 12 mo 17 D56FPLL Licencja ibm tivoli stor mgr for stor area nw 10 value units lic+sw maint 12 mo 18 D562GLL Licencja ibm tivoli monitoring for databases 10 value units lic+sw maint 12 mo 19 D55W8LL Licencja websphere app svr value unit lic+sw maint 12 mo 20 D55UCLL Licencja websphere portal enable value unit lic+sw maint 12 mo

21 D55TWLL Licencja ibm db2 workgroup server ed value unit lic+sw maint 12 mo 22 D55TWLL Licencja ibm db2 workgroup server ed value unit lic+sw maint 12 mo 23 D5571LL Licencja websphere integration developer authorized user lic+sw maint 12 mo 24 E03NDLL ratl performance tester extension for soa float usr annual sw s&s rnwl, opieka produktowa 25 E03MNLL ratl tester for soa quality floating user annual sw s&s rnwl, opieka produktowa 26 E02UJLL db2 purexml ftr workgroup svr ed value unit annual sw s&s rnwl, opieka produktowa 27 E02HHLL tivoli monitoring universal agent 10 value units annual sw s&s rnwl, opieka produktowa 28 E02GZLL tivoli comp app mgr basic websphere 10 value units annual sw s&s rnwl, opieka produktowa 29 E02ECLL websphere process server multiplatform value unit annual sw s&s rnwl, opieka produktowa 30 E02DFLL tivoli composite app manager f/soa value unit annual sw s&s rnwl, opieka produktowa 31 E02AZLL ibm tivoli omegamon xe for messaging value unit annual sw s&s rnwl, opieka produktowa 32 E02AULL websphere message broker value unit annual sw s&s rnwl, opieka produktowa 33 E029TLL ibm websphere business monitor value unit annual sw s&s rnwl, opieka produktowa 34 ibm tivoli storage manager 10 value units annual sw s&s rnwl, opieka produktowa 35 ibm tivoli stor mgr for stor area nw 10 value units annual sw s&s rnwl, opieka produktowa 36 ibm tivoli monitoring for databases 10 value units annual sw s&s rnwl, opieka produktowa 37 websphere app svr value unit annual sw s&s rnwl, opieka produktowa 38 websphere portal enable value unit annual sw s&s rnwl, opieka produktowa 39 ibm db2 workgroup server ed value unit annual sw s&s rnwl, opieka produktowa 40 ibm db2 workgroup server ed value unit annual sw s&s rnwl, opieka produktowa 41 websphere integration developer authorized user annual sw s&s rnwl, opieka produktowa 42 ratl performance tester floating user annual sw s&s rnwl, opieka produktowa 43 ratl software architect floating user annual sw s&s rnwl, opieka produktowa 44 ratl team unifying platform floatuser annual sw s&s rnwl, opieka produktowa 45 ratl perf test pak 1k virt testrs floatusr annual sw s&s rnwl, opieka produktowa 46 ratl functional tester floatinguser annual sw s&s rnwl, opieka produktowa 47 tivoli netcool/webtop concurrent user lic + sw s&s 12 mo, licencja 48 tivoli nc/omnibus gateway tier 1 per connection lic + sw s&s 12 mo, licencja 49 tivoli nc/omnibus gateway tier 1 3rdpty connection lic + sw s&s 12 mo, licencja 50 tiv nc/omnibus tier 3 3rd pty a resource val unit lic + sw s&s 12 mo, licencja 51 tivoli netcool/omnibus tier 1 resource value unit lic + sw s&s 12 mo, licencja 52 tivoli netcool/omnibus base per install lic + sw s&s 12 mo, licencja 53 tivoli netcool/webtop per install lic + sw s&s 12 mo, licencja 54 db2 purexml ftr workgroup svr ed value unit lic + sw s&s 12 mo, licencja 55 ibm tivoli monitoring 10 value units lic + sw s&s 12 mo, licencja 56 ibm tivoli netview 10 value units lic + sw s&s 12 mo, licencja 57 websphere app svr value unit lic + sw s&s 12 mo, licencja 58 websphere portal enable value unit lic + sw s&s 12 mo, licencja 59 D5826LL IBM Tivoli Monitoring Uniiversal Agent 10 VU License + SW Maintenance 12 Month 60 61 D044QLL - IBM Tivoli Composite Application Manager For Applications 3 Agent Pack Processor Value Unit (PVU)

License + SW Subscription & Support 12 Months 62 63 D55UCLL IBM WebSphere Portal Enable Processor Value Unit (PVU) License + SW Subscription & Support 12 Months D55W8LL IBM WebSphere Application Server Processor Value Unit (PVU) License + SW Subscription & Support 12 Months 64 D561YLL - IBM Tivoli Monitoring 10 Processor Value Units (PVUs) License + SW Subscription & Support 12 Months 65 66 D56FPLL - IBM TIVOLI STORAGE MANAGER STORAGE AREA NETWORKS 10 PROCESSOR VALUE UNITS (PVUS) LICENSE + SW SUBSCRIPTION & SUPPORT 12 MONTHS D56FULL - IBM TIVOLI STORAGE MANAGER 10 PROCESSOR VALUE UNITS (PVUS) LICENSE + SW SUBSCRIPTION & SUPPORT 12 MONTHS 67 D570BLL IBM ITCAM for SOA License + SW Subscription & Support 12 Months 68 D570XLL IBM ITCAM for Websphere License + SW Subscription & Support 12 Months 69 70 71 D572ZLL IBM WEBSPHERE PROCESS SERVER FOR MULTIPLATFORMS PROCESSOR LICENSE + SW SUBSCRIPTION & SUPPORT 12 MONTHS D044QLL - IBM Tivoli Composite Application Manager For Applications 3 Agent Pack Processor Value Unit (PVU) SW Subscription & Support Renewal D044QLL - IBM Tivoli Composite Application Manager For Applications 3 Agent Pack Processor Value Unit (PVU) License + SW Subscription & Support 12 Months 72 Adobe designer 8.1 WIN AOO License IE 73 Reader Extension Svr 8.0 ALP Aoo License IE TIER 1 74 Red Hat Enterprise Linux5 Basic, licencja na wsparcie w okresie 3 lat 75 COMARCH Security Access Manager (DRACO) 76 COMARCH Sopel 77 COMARCH Security Access Manager (DRACO) 78 COMARCH Sopel Odpowiedź na pytanie 3.k) Tak. Czasy odpowiedzi różnych stron przy różnej ilości sesji (od 200 do 1000) dla użytkowników robiących różne działania w systemie w podziale będącym reprezentatywnym dla faktycznego wykorzystywania epuap. Za poprawne uznawane były czasy do 5 sec (przy czym poprawne dla stron jedynie z treścią do 2 sec) za wyjątkowe ale akceptowalne do 10 sec (jako pozwalające jeszcze nie zatracić fokusu użytkownika) jako nieakceptowane czasy powyżej 10 sec. Pytanie nr 4. Co Zamawiający rozumie poprzez świadectwo stosowania Systemu Zarządzania Bezpieczeństwem Informacji? Odpowiedź na pytanie nr 4. Zarządzanie Bezpieczeństwem Informacji w zgodzie z zapisami ustawy o ochronie danych osobowych, rozporządzenia Ministra SWiA w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników oraz rozporządzenia Ministra SWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Pytanie nr 5. Czy Zamawiający wymaga przeprowadzenia audytu kodu pod kątem bezpieczeństwa? Odpowiedź na pytanie nr 5. Tak, ale tylko w miejscach newralgicznych, zidentyfikowanych przez audytora z możliwością obecności podczas przeprowadzania testów przedstawiciela zamawiającego Pytanie nr 6. Jeżeli Zamawiający wymaga przeprowadzenia audytu kodu pod kątem bezpieczeństwa prosimy o podanie następujących informacji: a. Opis funkcjonalny aplikacji. b. Technologie, języki programowania, które zostały wykorzystane do opracowania aplikacji. c. Liczba linii kodu składających się na aplikację. d. W jaki sposób zostanie udostępniony kod do audytu? Odpowiedź na pytanie nr 6. Strony JSP oraz strony w technologii IceFaces Środowisko programistyczne to Eclipse z narzędziami wspomagającymi np. RAD. Interfejs użytkownika: WebSphere Portal i WebSphere Application Server i działające na nich,orbeon/icefaces/jsp/livecycle,webserwisy: WAS, Apache Tomcat (Koordynator),baza: DB2. Całość kodu źródłowego zajmuje 1 płytę CD o pojemności 750 Mb. Około. 370 kilo linii kodu. Audytor otrzyma kod źródłowy w formie płyty CD. Zamawiający nie wyklucza zdalnego dostępu do badania kodu źródłowego tylko w środowisku testowym. Pytanie nr 7. Czy testy dotyczące podatności mają dotyczyć tylko warstwy aplikacyjnej, czy też warstwy infrastruktury? Odpowiedź na pytanie nr 7. Również warstwy infrastruktury. Pytanie nr 8. Jeżeli testy mają dotyczyć również warstwy infrastruktury prosimy o podanie liczby adresów IP, liczby serwerów które mają podlegać testom. Odpowiedź na pytanie nr 8. 8 adresów IP. Dwa ośrodki podstawowy oraz zapasowy. Pytanie nr 9. Czy możliwe jest zdalne przeprowadzenie testów podatności? Odpowiedź na pytanie nr 9. Zamawiający nie wyklucza zdalnego dostępu do środowiska testowanego w celu przeprowadzenia testów penetracyjnych. Pytanie nr 10. W jakim środowisku będą prowadzone testy podatności? Testowym, przedprodukcyjnym, produkcyjnym, innym?

Odpowiedź na pytanie nr 10. Testy będą prowadzone tylko w środowisku testowym epuap, a w przypadku wykrycia w epuap podatności, będą tworzone odrębne scenariusze uzgodnione pomiędzy audytorem i zamawiającym w celu przeprowadzenia testów w środowisku produkcyjnym. Pytanie nr 11. Prosimy o przesłanie wymagań Zamawiającego dotyczących wymaganej wydajności jakie mają być spełnione przez aplikację. Odpowiedź na pytanie nr 11. Czasy odpowiedzi różnych stron przy różnej ilości sesji (od 200 do 1000) dla użytkowników robiących różne działania w systemie w podziale będącym reprezentatywnym dla faktycznego wykorzystywania epuap. Za poprawne uznawane były czasy do 5 sec (przy czym poprawne dla stron jedynie z treścią do 2 sec) za wyjątkowe ale akceptowalne do 10 sec (jako pozwalające jeszcze nie zatracić fokusu użytkownika) jako nieakceptowane czasy powyżej 10 sec. Pytanie nr 12. Prosimy o informację o nazwach producentów poszczególnych komponentów z półki. Odpowiedź na pytanie nr 12. IBM, Microsoft, Linux, Comarch Pytanie nr 13. Co Zamawiający rozumie przez wyjaśnienie poziomu rozwiązania Planu awaryjnego DRP (Disaster Recovery Plan)? (pkt. 9 OPZ). Odpowiedź na pytanie nr 13. Dotyczy to ciągłości działania danego przedsiębiorstwa lub instytucji. Częścią przedsiębiorstwa lub instytucji jest oczywiście IT. Rozwiązania Disaster Recovery skupiają się na przywróceniu przetwarzania po awarii uniemożliwiającej pracę w Ośrodku Podstawowym. Ośrodek Podstawowy rozumiany jest jako infrastruktura informatyczna (pomieszczenia, zasilanie, serwery, sieć, obsługa itp.) używana w czasie normalnej pracy przedsiębiorstwa lub instytucji. Technologicznie, DR wspomagane jest przede wszystkim: lustrzanymi kopiami zdalnymi i błyskawicznymi kopiami lokalnymi. Pytanie nr 14. Czy Zamawiający oprócz wymagań określonych w Załączniku nr 1 oczekuje objęcia audytem innych obszarów bezpieczeństwa z normy ISO 27001, w szczególności: a. Polityk, procedur i instrukcji bezpieczeństwa, w tym dokumentów i zapisów wymaganych przez normę ISO 27001. b. Organizacji bezpieczeństwa u Zamawiającego. c. Procesów bezpieczeństwa u zamawiającego i ich stosowania w praktyce, w tym procesów wymaganych przez normę ISO 27001 (np. przegląd zarządzania). d. Spełnienia zabezpieczeń zdefiniowanych z Załączniku A normy ISO 27001? Odpowiedź na pytanie nr 14. Zamawiający nie wymaga poddaniu audytem zakresów w pkt: a,b,c. W zakresie pkt d zamawiający wymaga przeprowadzenia audytu.

Pytanie nr 15. Co Zamawiający rozumie poprzez stwierdzenie Czy system epuap wykorzystuje standardy oraz czy wykorzystuje je w sposób zgodny z przeznaczeniem i zakładanym zakresem?? (par. 1, ust. 2, pkt 2) Umowy). Odpowiedź na pytanie nr 15. Zamawiający oczekuje stwierdzenia czy użyte standardy są wykorzystywane zgodnie z ich przeznaczeniem i dobrymi praktykami. Pytanie nr 16. Czy wszystkie prace związane z realizacją umowy będą wykonywane w Warszawie, czy też z jakichś powodów konieczne będzie wykonanie prac poza Warszawą? Jeżeli tak to jaki zakres prac będzie wykonywany poza Warszawą i w jakich miejscowościach? Odpowiedź na pytanie nr 16. Wszystkie prace będą wykonywane w Warszawie. Zamawiający nie przewiduje konieczności wykonywania prac poza Warszawą.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres