Opis przedmiotu zamówienia dla części 1 oraz dla części 2 zamówienia Załącznik nr 1 do SIWZ
Spis treści 1. Wstęp... 3 2. Wymagania w zakresie usług realizowanych w ramach przedmiotu zamówienia 3 3. Wymagania w zakresie dokumentacji... 6 4. Wymagania w zakresie formuły realizacyjnej... 8 5. Miejsce realizacji zamówienia i inne wymagania... 9 str. 2 z 10
1. Wstęp Niniejszy dokument precyzuje wymagania dotyczące przedmiotu zamówienia poprzez określenie: a. wymagań w zakresie usług realizowanych w ramach przedmiotu zamówienia, b. wymagań w zakresie dokumentacji, która ma być wytwarzana w trakcie realizacji przedmiotu zamówienia, c. wymagań w zakresie formuły realizacyjnej, d. miejsca realizacji zamówienia i innych wymagań. 2. Wymagania w zakresie usług realizowanych w ramach przedmiotu zamówienia 2.1. Część 1 Przedmiotem zamówienia jest świadczenie przez Wykonawcę na rzecz Zamawiającego usług polegających na przeprowadzeniu audytów bezpieczeństwa systemów realizowanych i utrzymywanych przez Zamawiającego. Zamawiający buduje i utrzymuje systemy informatyczne złożone od 1 do 500 urządzeń aktywnych (w szczególności: serwery, urządzenia sieciowe, urządzenia detekcji włamań IDS, firewall). Wykonawca jest zobowiązany do realizacji przedmiotu zamówienia przez 48 miesięcy od zawarcia umowy lub do wcześniejszego wyczerpania kwoty jaką zamawiający zamierza przeznaczyć na sfinansowanie zamówienia. Szacunkowa ilość zamawianych roboczogodzin określona na potrzeby sporządzenia oferty wynosi 28 672, gdzie jedna roboczogodzina rozumiana jest jako 60 minut pracy realizowanej przez jedną osobę. 2.1.1. W ramach prac wynikających z pkt. 2.1 Wykonawca może realizować, niżej opisane zadania. Poniżej wskazany zakres jest zakresem maksymalnym, który może być ograniczony przez Zamawiającego. Analiza dokumentacji eksploatacyjnej, Analiza architektury rozwiązania (w tym zabezpieczeń fizycznych, infrastruktury technicznej serwerowni UPS, klimatyzacja, ppoż, ), Audyt bezpieczeństwa systemów: o audyt warstwy i sieciowej (LAN SAN MAN), o audyt warstw systemów operacyjnych (serwery, macierze, biblioteki), o audyt warstwy bazodanowej, str. 3 z 10
o audyt warstwy aplikacyjnej, Analiza i ocena ryzyka bezpieczeństwa informacji wraz z uwzględnieniem wyników audytu bezpieczeństwa systemów, Analiza wpływu na biznes (Analiza BIA) Wyżej wymienione punkty uwzględniają, co najmniej, weryfikację warstwy sprzętowej i aplikacyjnej oraz (w przypadku przekazania przez Zamawiającego) wyniki poprzednich audytów bezpieczeństwa. 2.1.2. W wyniku realizacji prac, opisanych w punkcie 2.1.1, Wykonawca dostarczy, odpowiednio, niżej opisane produkty. Poniżej wskazany zakres jest zakresem maksymalnym, który może być ograniczony przez Zamawiającego. Raport oceny dokumentacji eksploatacyjnej wraz z rekomendacjami, Raport z oceny architektury wraz z rekomendacjami, Raport z przeprowadzonego audytu bezpieczeństwa systemu wraz z rekomendacjami oraz określeniem priorytetów, Metodyka szacowania ryzyka bezpieczeństwa informacji, Inwentaryzacja zasobów wykorzystywanych do utrzymania funkcjonowania systemu, Raport z szacowania ryzyka bezpieczeństwa informacji, Plan postępowania z ryzykiem wraz z uwzględnieniem rekomendacji wskazanym w innych produktach, Raport z analiza wpływu na biznes (Analiza BIA). 2.2. Część 2 Przedmiotem zamówienia jest świadczenie przez Wykonawcę na rzecz Zamawiającego usług polegających na ocenie zgodności z najnowszą normą ISO/IEC 27001 (Obecnie ISO/IEC 27001:2013) systemów realizowanych i utrzymywanych przez Zamawiającego. Wykonawca jest zobowiązany do realizacji przedmiotu zamówienia przez 48 miesięcy od zawarcia umowy lub do wcześniejszego wyczerpania kwoty jaką zamawiający zamierza przeznaczyć na sfinansowanie zamówienia. Szacunkowa ilość zamawianych roboczogodzin określona na potrzeby sporządzenia oferty wynosi 14 336, gdzie jedna roboczogodzina rozumiana jest jako 60 minut pracy realizowanej przez jedną osobę. str. 4 z 10
2.2.1. W ramach prac wynikających z pkt. 2.2 Wykonawca może realizować, niżej opisane zadania. Poniżej wskazany zakres jest zakresem maksymalnym, który może być ograniczony przez Zamawiającego. Przeprowadzenie audytu zgodności z najnowszą normą ISO/IEC 27001 (Obecnie ISO/IEC 27001:2013) dla systemów realizowanych i utrzymywanych przez Zamawiającego, Przygotowanie koncepcji wdrożenia i funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji (dalej SZBI) wraz ze wskazaniem ról i odpowiedzialności, Opracowanie i dostarczenie kompletnej dokumentacji SZBI wymaganej najnowszą normą ISO/IEC 27001 (Obecnie ISO/IEC 27001:2013), Przeprowadzenie szkolenia dla Kierownictwa i Pracowników (do 20 osób) co najmniej w zakresie: o zarządzanie bezpieczeństwem informacji (ZBI) na czym polega i jakie ma korzyści dla organizacji, o wprowadzenie do aktualnej normy ISO/IEC 27001 (obecnie ISO/IEC 27001:2013) kluczowe pojęcia i zasady, o główne wymagania aktualnej normy ISO/IEC 27001 (obecnie ISO/IEC 27001:2013); Przeprowadzenie certyfikowanych (akredytacja IRCA) szkoleń dla Audytorów wiodących (do 2 osób) co najmniej w zakresie: o aktualna norma ISO/IEC 27001 (obecnie ISO/IEC 27001:2013), o bezpieczeństwo informacji, o ocena zagrożeń bezpieczeństwa, o sposoby oceny bezpieczeństwa, o prowadzenie audytu systemów zgodnie z aktualną norma ISO/IEC 27001 (obecnie ISO/IEC 27001:2013), o techniki audytowania, o kierowanie zespołem audytorów, o techniki prowadzenia wywiadów, o raportowanie wyników; Przeprowadzenie certyfikowanych (akredytacja IRCA) szkoleń dla Audytorów wewnętrznych (do 2 osób) co najmniej w zakresie: o zasady audytowania na zgodność z normą, o przygotowanie działań audytowych, o przeprowadzanie działań audytowych, o przygotowanie raportu z audytu, o zakończenie audytu, str. 5 z 10
o działania poaudytowe; Wsparcie w przeprowadzeniu audytu wewnętrznego, Wsparcie w przeglądzie SZBI, Wsparcie w audycie certyfikacyjnym wraz obsługą zgłoszonych zastrzeżeń przez Jednostkę Certyfikacyjną. 2.2.2. W wyniku realizacji prac, opisanych w punkcie 2.2.1, Wykonawca dostarczy, odpowiednio, niżej opisane produkty. Poniżej wskazany zakres jest zakresem maksymalnym, który może być ograniczony przez Zamawiającego. Raport z audytu zgodności z aktualną normą ISO/IEC 27001 (obecnie ISO/IEC 27001:2013), Koncepcja wdrożenia i funkcjonowania Systemu Zarządzania bezpieczeństwem Informacji Kompletna dokumentacja SZBI wymagana aktualną normą ISO/IEC 27001 (obecnie ISO/IEC 27001:2013), Szkolenia dla Kierownictwa i Pracowników (prowadzone przez Wykonawcę) Certyfikowane szkolenia dla Audytorów Wiodących i Audytorów Wewnętrznych (prowadzone przez jednostkę certyfikacyjną) Raport z audytu wewnętrznego wraz z zaplanowaniem i realizacją działań korygujących Przygotowanie prezentacji na przegląd Kierownictwa SZBI wraz z jej poprowadzeniem Skorygowanie dokumentacji SZBI w wyniku zgłoszonych zastrzeżeń przez Jednostkę Certyfikacyjną 3. Wymagania w zakresie dokumentacji (dotyczy części 1 i części 2 zamówienia) a) Zamawiający wymaga, aby Wykonawca przygotowywał, zgodnie z ogólnie akceptowalnymi standardami w dziedzinie dokumentowania, dokumentację bezpośrednio związaną z realizowanym przedmiotem zamówienia, przy czym poszczególne dokumenty powinny być tworzone w oparciu o szablony przygotowane przez Wykonawcę oraz zaakceptowanymi przez Zamawiającego. b) Zamawiający wymaga, aby dokumenty tworzone w ramach realizacji przedmiotu zamówienia charakteryzowały się wysoką jakością, na którą będą miały wpływ, takie czynniki jak: struktura dokumentu, rozumiana jako podział danego dokumentu na rozdziały, podrozdziały i sekcje, w czytelny i zrozumiały sposób; str. 6 z 10
zachowanie standardów, a także sposób pisania, rozumianych jako zachowanie spójnej struktury, formy i sposobu pisania dla poszczególnych dokumentów oraz fragmentów tego samego dokumentu; kompletność dokumentu, rozumiana jako pełne, bez wyraźnych, ewidentnych braków przedstawienie omawianego problemu obejmujące całość z danego zakresu rozpatrywanego zagadnienia; spójność i niesprzeczność dokumentu, rozumianych jako zapewnienie wzajemnej zgodności pomiędzy wszystkimi rodzajami informacji umieszczonymi w dokumencie, jak i brak logicznych sprzeczności pomiędzy informacjami zawartymi we wszystkich przekazanych dokumentach oraz we fragmentach tego samego dokumentu. c) Zamawiający wymaga, aby cała dokumentacja podlegała jego akceptacji, a także, aby: była dostarczana w języku polskim, w wersji elektronicznej, w formacie Word i PDF (na płycie CD-ROM lub DVD) i/lub drukowanej, co najmniej w 3 egzemplarzach z tym, że rodzaj wersji (elektronicznej i/lub papierowej) Zamawiający określi osobno w stosunku do każdego z dokumentów, w przypadku wprowadzania zmian do wcześniej przekazanych bądź udostępnionych zamawiającemu dokumentów Wykonawca dostarczy nowe dokumenty również w takim formacie, w którym zmiany te są wyraźnie widoczne w tekście (zalecane format Microsoft Word w trybie rejestracji zmian) została opracowana i dostarczona dodatkowa wersja dokumentów w języku angielskim, o ile zostało to wyspecyfikowane w zamówieniu, na podstawie którego zostały opracowywane te dokumenty. d) Wykonawca zobowiązany jest do: Oznakowania dokumentacji, którą wytworzy w ramach realizowanej umowy (przygotowane szablony zostaną przedstawione do akceptacji Zamawiającego). Przez oznakowanie rozumie się: przygotowanie projektu graficznego dokumentacji do akceptacji Zamawiającego, jej wydruk oraz przekazanie Zamawiającemu. Wytyczne dotyczące oznakowania dokumentacji wytworzonej w ramach realizowanej umowy muszą być zgodne z wytycznymi określonymi w Przewodniku w zakresie promocji projektów współfinansowanych w ramach Programu Operacyjnego Innowacyjna Gospodarka, 2007 2013 dla beneficjentów i instytucji zaangażowanych we wdrażanie programu lub innymi wytycznymi przekazanymi przez Zamawiającego. Układ logotypów powinien zawierać (chyba, że Zamawiający wskaże inaczej): o Logo Programu Operacyjnego Innowacyjna Gospodarka, o Logo Unii Europejskiej z podpisem Unia Europejska i odwołaniem słownym do EFRR, str. 7 z 10
Znaki graficzne powinny być czytelne i wyraźne, przy zachowaniu zasad opisanych w załącznikach do Przewodnika, dotyczących samego znaku graficznego i możliwości jego zestawiania z innymi znakami. e) Zamawiający wymaga, aby do wytworzonej w ramach realizacji przedmiotu zamówienia dokumentacji, stanowiącej utwór w rozumieniu ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. z 2006 r. Nr 90, poz. 631, z późn. zm.), Wykonawca przeniósł na Zamawiającego i MAiC wszelkie autorskie prawa majątkowe, oraz prawa do zezwalania na wykonywanie zależnych praw autorskich oraz przenoszenia praw na inne osoby wraz z prawem do dokonywania w nich zmian i wykonywania praw zależnych. 4. Wymagania w zakresie formuły realizacyjnej (dotyczy części 1 i części 2 zamówienia) 4.1. Wymagania ogólne w zakresie metodyki prowadzenia prac W celu zapewnienia prawidłowego przebiegu przedmiotu prac, zgodnie z ogólnie akceptowalnymi standardami w dziedzinie zarządzania projektami, wymaga się od Wykonawcy, aby prace związane z audytem bezpieczeństwa (testami penetracyjnymi) były oparte o metodykę OSSTMM (Open Source Security Testing Methodology Manual) lub inną pokrewną, wskazaną przez Zamawiającego lub zaproponowaną przez Wykonawcę i zaakceptowaną przez Zamawiającego, uwzględniającą konkretne techniki, narzędzia i notacje, a także zapewniającą osiągnięcie zamierzonych celów jakościowych przy jednoczesnej minimalizacji możliwości niepowodzenia projektu. str. 8 z 10
4.2. Wymagania w zakresie jakości W celu zapewnienia wysokiej jakości realizowanych prac, wymaga się, aby Wykonawca w ramach realizacji zawartej umowy przedstawił: udokumentowany system jakości, który powinien stanowić środek zapewniający zgodność produktu z określonymi wymaganiami, w postaci ustanowionych procedur identyfikowania, gromadzenia, oznaczania, dostępu, porządkowania, przechowywania i obsługi zapisów dotyczących jakości oraz dysponowania nimi, przy czym należy również określić, w jaki sposób zostaną spełnione wymagania dotyczące jakości i tym samym jak zostanie zapewniona wysoka jakość produktu, 4.3. Wymagania w zakresie kontroli W celu zapewnienia wysokiej jakości produktu, który ma powstać w ramach realizacji przedmiotu zamówienia, wymaga się, aby Wykonawca przedstawił: udokumentowane procedury kontrolowania i przeglądów wyników zarówno powstającego produktu, jak i realizowanych prac, w tym tworzonej dokumentacji pod względem spełnienia narzuconych standardów oraz zdefiniowanych kryteriów jakościowych, przy czym przeglądy wyników realizacji projektu powinny być zależne od przyjętej metodyki prowadzenia projektu, a także etapów realizacji projektu, udokumentowane procedury pozwalające na przeprowadzenie walidacji przedsięwzięcia, w celu zapewnienia, że produkt wytworzony w ramach realizacji przedmiotu zamówienia spełnia określone potrzeby i wymagania. Wszystkie zagadnienia projektowe związane z realizacją zadań w ramach przedmiotu zamówienia będą podlegać kontroli Zamawiającego, Na każdym etapie realizacji przedmiotu zamówienia, w terminie wyznaczonym przez Zamawiającego, mogą być dokonywane przeglądy z udziałem Wykonawcy w celu kontroli skuteczności, jakości oraz efektywności wykonywanych prac w zakresie spełnienia postawionych wymagań będących przedmiotem zamówienia, 5. Miejsce realizacji zamówienia i inne wymagania (dotyczy części 1 i części 2 zamówienia) a) Zamawiający każdorazowo określi miejsca realizacji zamówienia, jednak zakłada, że: zadania zdefiniowane dla Wykonawcy (np. przygotowywanie opracowań, dokumentacji) będą realizowane głównie w siedzibie Wykonawcy, dopuszcza się realizację zadań w siedzibie Zamawiającego, str. 9 z 10
Zamawiający zakłada, że ewentualne szkolenia i certyfikacja w ramach realizacji zamówienia będzie odbywała się w siedzibie Zamawiającego; b) W realizacji przedmiotu zamówienia, opisanego niniejszym dokumentem, Zamawiający wymaga dostosowania się do następujących warunków postępowania: językiem do korespondencji/ komunikacji będzie język polski, wszelkie oświadczenia, wnioski, zawiadomienia i inne informacje Zamawiający oraz Wykonawca przekazują pisemnie, faksem lub drogą elektroniczną., osobami uprawnionymi do kontaktu z osobami od strony Wykonawcy właściwymi w zakresie merytorycznym w odniesieniu do przedmiotu zamówienia są: Imię nazwisko, stanowisko, nr tel. Imię nazwisko, stanowisko, nr tel. b) Zamawiający wymaga, aby Wykonawca był niezależny od wszelkich stron realizujących (obecnie lub w przeszłości) system informatyczny podlegający audytowi z uwzględnieniem podwykonawców i podmiotów udostępniających zasoby na potrzeby realizacji systemu. c) W przypadku wytworzenia w ramach realizacji przedmiotu zamówienia utworów, w rozumieniu ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. z 2006 r. Nr 90, poz. 631, z późn. zm.), Wykonawca przeniesie na Zamawiającego oraz MAiC wszelkie autorskie prawa majątkowe do tych utworów, oraz prawa do zezwalania na wykonywanie zależnych praw autorskich oraz przenoszenia praw na inne osoby wraz z prawem do dokonywania w nich zmian i wykonywania praw zależnych. str. 10 z 10