Zakład Ubezpieczeń Społecznych Departament Zamówień Publicznych ul. Szamocka 3, 5, 01-748 Warszawa tel: 22 667 17 04, faks: 22 667 17 33 993200/370/IN-429/2012 Warszawa, dnia 29.05.2012 r. Informacja dla Wykonawców, uczestniczących w postępowaniu o udzielenie zamówienia w przetargu nieograniczonym na opracowanie koncepcji Systemu Monitorowania Bezpieczeństwa Środowiska Teleinformatycznego w Zakładzie Ubezpieczeń Społecznych, znak sprawy: TZ/370/10/12 Na podstawie art. 38 ust. 1 i ust. 2 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (Dz. U. z 2010 r., Nr 113, poz. 759 z późn. zm.) informuję, Ŝe do Zamawiającego wpłynęły pytania dotyczące Specyfikacji Istotnych Warunków Zamówienia (SIWZ), na które udziela się następujących odpowiedzi: Pytanie nr 1: (dot. SIWZ, Rozdz. IV, OPZ, I Warunki udziału w postępowaniu pkt. 2.2 ppkt. 4) lit. b) - wymaganie posiadania przez eksperta ds. bezpieczeństwa certyfikatu SABSA Chartered Architect na poziomie Foundation) Czy Zamawiający uzna za spełnienie wymagania SIWZ, posiadanie przez eksperta ds. bezpieczeństwa zamiast certyfikatu - SABSA Chartered Architekt na poziomie Foundation, zestawu certyfikatów TOGAF, CISSP lub CISA i CRISC, które znacznie przewyŝszają wymagane kompetencje i doświadczenie potwierdzone posiadaniem certyfikatu SABSA Chartered Security Architect - Foundation Certificate (SCF)? Odpowiedź nr 1: Zamawiający podtrzymuje zapisy SIWZ. Jednocześnie Zamawiający wyjaśnia, Ŝe: certyfikat TOGAF obejmuje swoim zakresem obszar architektury korporacyjnej, natomiast nie odnosi się do kwestii związanych z bezpieczeństwem zgodnie z wytycznymi wydanymi przez The Open Group, która opracowała TOGAF, w kwestii bezpieczeństwa naleŝy stosować metodykę SABSA (w październiku 2011 opublikowany został whitepaper nt. sposobu integracji TOGAF i SABSA), certyfikat CISSP obejmuje swoim zakresem obszar bezpieczeństwa na poziomie technicznym (w szczególności rozdział Security Architecture and Design odnosi się wyłącznie do architektury bezpieczeństwa i modeli zarządzania bezpieczeństwem na poziomie technicznym), certyfikat CISA obejmuje swoim zakresem zagadnienia związane z audytem informatycznym,
certyfikat CRISC obejmuje swoim zakresem zarządzanie ryzykiem oraz kontrole systemów informatycznych. Zatem zestaw traktowanych łącznie certyfikatów TOGAF, CISSP, CISA, oraz CRISC nie obejmuje swoim zakresem podejścia do zarządzania architekturą bezpieczeństwa, a zatem nie potwierdza posiadania kompetencji z zakresu projektowania, planowania, implementacji oraz zarządzania architekturą bezpieczeństwa, które potwierdza certyfikat SABSA Chartered Security Architect na poziomie Foundation. Jednocześnie Zamawiający wyjaśnia, Ŝe certyfikaty CISA i CISSP nie poświadczają tych samych kompetencji. Pytanie nr 2: (dot. SIWZ, Rozdz. IV, OPZ, I Warunki udziału w postępowaniu pkt. 2.2 ppkt 4) lit. c) - wymaganie posiadania przez eksperta ds. bezpieczeństwa certyfikatu z zakresu reakcji na przypadki naruszenia bezpieczeństwa - CERT Certified Computer Security Incident Handler lub GIAC Certified Incident Handler) Czy Zamawiający uzna za spełnienie wymagania SIWZ, posiadanie przez eksperta ds. bezpieczeństwa zamiast certyfikatu z zakresu reakcji na przypadki naruszenia bezpieczeństwa GIAC Certified Incident Handler, zestawu certyfikatów CEH, CISSP lub CISA i CRISC, które łącznie odpowiadają kompetencyjnie zakresowi certyfikatu GCIH? W szczególności zakres certyfikatu GCIH związany z: Backdoors & Trojan Horses Buffer Qverflows Covering Tracks: Networks Covering Tracks: Systems Denial of Service Attacks Exploiting Systems using Netcat Format String Attacks IP Address Spoofing Network Sniffing Password Attacks Roconnaissance Rootkits Scanning: Host Discovery Scanning: Network and Application Vulnerability scanning and tools Scanning: Network Devices (Firewall rules determination, fragmentation, and IDS/IPS evasion) Scanning: Service Discouery Session Hijacking, Tools and Defenses Virtual Machine Attacks Web Application Attacks Worms, Bots & Bot-Nets
równowaŝą korespondujące moduły certyfikatu CEH: CEH Module 06: Trojans and Backdoors CEH Module 17: Buffer Overflow CEH Module 10: Denial of Service CEH Module 19: Penetration Testing CEH Module 19: Penetration Testing CEH Module 08: Sniffers CEH Module 02: Footprinting and Reconnaissance + CEH Module 01: Introduction to Ethical Hacking CEH Module 03; Scanning Networks + CEH Module 16: Evading IDS, Firewalls, and Honeypots CEH Module 11: Session Hijacking CEH Module 12; Hacking Webservers + CEH Module 13: Hacking Web Applications CEH Module 07: Viruses and Worms + CEH Module 06: Trojans and Backdoors Natomiast zakres certyfikatu GCIH związany z: Incident Handling Overview and Preparation Incident Handling Phase 2 Identification Incident Handling Phase 3 Containment Incident Handling: Recovering and lmproving Capabilities Types of Incidents równowaŝą następujące domeny certyfikatów CISA i CRISC; CISA-4.4.8 Evaluate problem and incident management practices, CISA-4.11 Knowledge of problem and incident management, CISA - 5.2 Knowledge of processes related to monitoring and responding to security incidents, CRISC - 5.6 Knowledge of control objectives and metrics related to incident and problem management.
Odpowiedź nr 2: Zamawiający podtrzymuje zapisy SIWZ. Jednocześnie Zamawiający wyjaśnia, Ŝe zestaw traktowanych łącznie certyfikatów CEH i CISSP pokrywa zakres techniczny certyfikatu GCIH związany z: Backdoors & Trojan Horses Buffer Overflows Covering Tracks: Networks Covering Tracks: Systems Denial of Service Attacks Exploiting Systems using Netcat Format String Attacks IP Address Spoofing Network Sniffing Password Attacks Reconnaissance Rootkits Scanning: Host Discovery Scanning: Network and Application Vulnerability scanning and tools Scanning: Network Devices (Firewall rules determination, fragmentation, and IDS/IPS evasion) Scanning: Service Discovery Session Hijacking, Tools and Defenses Virtual Machine Attacks Web Application Attacks Worms, Bots & Bot-Nets Natomiast zagadnienia związane z: Incident Handling Overview and Preparation Incident Handling Phase 2 Identification Incident Handling Phase 3 Containment Incident Handling: Recovering and Improving Capabilities Types of Incidents w ramach certyfikatu GCIH są traktowane w sposób szczegółowy, gdyŝ certyfikat GCIH skupia się na zagadnieniach związanych z procesami reakcji na przypadki naruszenia bezpieczeństwa (Incident Handling). Natomiast certyfikaty: CISA (obejmujący swoim zakresem zagadnienia związane z audytem informatycznym) i CRISC (obejmujący swoim zakresem zarządzanie ryzykiem oraz kontrole systemów informatycznych) są certyfikatami potwierdzającymi znajomość szerokiego spektrum zagadnień, gdzie zagadnienia przedstawione w rozdziałach 4.8, 4.11 i 5.2 w CISA oraz 5.6 w CRISC, stanową jedynie bardzo wąski wycinek wiedzy potwierdzanej przez certyfikaty CISA i CRISC i przez to nie są traktowane tak detalicznie jak w ramach certyfikatu GCIH. Zatem posiadanie certyfikatów CISA i CRISC nie gwarantuje posiadania specyficznej wiedzy z zakresu reakcji na przypadki naruszenia bezpieczeństwa jaką potwierdza certyfikat GCIH.
Zatem zestaw traktowanych łącznie certyfikatów CEH, CISSP lub CISA i CRISC nie odpowiada kompetencyjnie zakresowi certyfikatu GCIH. Jednocześnie na podstawie art. 38 ust. 6 ustawy Prawo zamówień publicznych, biorąc pod uwagę fakt, iŝ termin składania i otwarcia ofert został wyznaczony na dzień 01.06.2012 r. Zamawiający postanowił nie przedłuŝać terminu składania i otwarcia ofert oraz terminu wpłaty wadium. Termin składania ofert, a takŝe termin wpłaty wadium wyznaczono do dnia 01.06.2012 r. do godziny 09:00. Jawne otwarcie ofert odbędzie się w dniu 01.06.2012 r. o godzinie 09:30. Miejsce wpłaty wadium, składania i otwarcia ofert nie ulegają zmianie w stosunku do zapisów zawartych w SIWZ.