Ogłoszenie nr 112427 - 2017 z dnia 2017-07-26 r.

Poznań: Wykonanie Audytu Stanu bezpieczeństwa informacji
OGŁOSZENIE O UDZIELENIU ZAMÓWIENIA -

Zamieszczanie ogłoszenia: obowiązkowe.

Ogłoszenie dotyczy: zamówienia publicznego

Zamówienie dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej

tak

Nazwa projektu lub programu
"Cyfrowe samorządy atutem Wielkopolski - nowe obszary świadczenia e-usług w 22 gminach województwa wielkopolskiego" (POWR.02.18.00.00-0001/16)

Zamówienie było przedmiotem ogłoszenia w Biuletynie Zamówień Publicznych: tak
Numer ogłoszenia: 49505 - 2017

Ogłoszenie o zmianie ogłoszenia zostało zamieszczone w Biuletynie Zamówień Publicznych: tak
Numer ogłoszenia: 49771 - 2017

SEKCJA I: ZAMAWIAJĄCY

Postępowanie zostało przeprowadzone przez centralnego zamawiającego

nie

Postępowanie zostało przeprowadzone przez podmiot, któremu zamawiający powierzył/powierzyli przeprowadzenie postępowania

nie

Postępowanie zostało przeprowadzone wspólnie przez zamawiających

nie

Postępowanie zostało przeprowadzone wspólnie z zamawiającymi z innych państw członkowskich Unii Europejskiej

nie

W przypadku przeprowadzania postępowania wspólnie z zamawiającymi z innych państw członkowskich Unii Europejskiej - mające zastosowanie krajowe prawo zamówień publicznych::
Informacje dodatkowe:

I. 1) NAZWA I ADRES: Wielkopolski Ośrodek Kształcenia i Studiów Samorządowych, krajowy numer identyfikacyjny 004806007, ul. Piotra Wawrzyniaka 37, 60-504 Poznań, państwo Polska, woj. wielkopolskie, tel. 61 847 54 22, faks 61 624 37 64, e-mail agnieszka.mendelewska@wokiss.pl

I. 2) RODZAJ ZAMAWIAJĄCEGO:

Inny: Stowarzyszenie

I.3) WSPÓLNE UDZIELANIE ZAMÓWIENIA (jeżeli dotyczy):

Podział obowiązków między zamawiającymi w przypadku wspólnego udzielania zamówienia, w tym w przypadku wspólnego przeprowadzania postępowania z zamawiającymi z innych państw członkowskich Unii Europejskiej (jeżeli zamówienie zostało udzielone przez każdego z zamawiających indywidualnie informacja w sekcji I jest podawana przez każdego z zamawiających, jeżeli zamówienie zostało udzielone w imieniu i na rzecz pozostałych zamawiających w sekcji I należy wskazać który z zamawiających zawarł umowę):

SEKCJA II: PRZEDMIOT ZAMÓWIENIA

II.1) Nazwa nadana zamówieniu przez zamawiającego:

Wykonanie Audytu Stanu bezpieczeństwa informacji

Numer referencyjny (jeżeli dotyczy):

4/PZP/AUD

II.2) Rodzaj zamówienia:

Usługi

II.3) Krótki opis przedmiotu zamówienia (wielkość, zakres, rodzaj i ilość dostaw, usług lub robót budowlanych lub określenie zapotrzebowania i wymagań ) a w przypadku partnerstwa innowacyjnego - określenie zapotrzebowania na innowacyjny produkt, usługę lub roboty budowlane:

Wykonanie Audytu Systemu zarządzania bezpieczeństwem informacji w celu oceny stopnia spełnienia wymogów Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Audytu KRI) wraz z Audytem Bezpieczeństwa Sieci dla oceny topologii sieci komputerowej oraz zidentyfikowania, a następnie wskazania sposobów wyeliminowania podatności na zagrożenia w systemach informatycznych (Audytu BS). Podział na zadania: 1. Zadanie 1 I. Wykonanie Audytu Systemu zarządzania bezpieczeństwem informacji w celu oceny stopnia spełnienia wymogów Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Audytu KRI) wraz z Audytem Bezpieczeństwa Sieci dla oceny topologii sieci komputerowej oraz zidentyfikowania, a następnie wskazania sposobów wyeliminowania podatności na zagrożenia w systemach informatycznych (Audytu BS) dla 6 urzędów gmin: Gmina Chodzież, Gmina Drawsko, Gmina Krzyż Wielkopolski, Gmina Lubasz, Gmina Łobżenica, Gmina Skoki. II. Zamawiający przez "Audyt KRI" rozumie sprawdzenie czy systemy informatyczne wykorzystywane przez dany podmiot oraz procedury stosowane w danym podmiocie i dokumentacja je opisująca zapewniają skuteczną ochronę danych przetwarzanych w podmiotach poddanych sprawdzeniu, a w szczególności spełniają wymogi określone w § 20 Rozporządzenia KRI. Przedmiot zamówienia obejmuje w szczególności: a) analizę regulacji wewnętrznych Gmin (polityk, instrukcji, regulaminów) i zapisów w zakresie bezpieczeństwa informacji, b) przeprowadzenie czynności audytorskich w siedzibach Gmin (weryfikacja zabezpieczeń fizycznych, organizacyjnych, technicznych), c) opracowanie wyników w postaci Raportu z Audytu KRI zawierającego opis stanu aktualnego, ewentualne stwierdzone nieprawidłowości oraz wnioski, rekomendacje i zalecenia w celu spełnienia wymagań Rozporządzenia KRI. W ramach Raportu z Audytu KRI będzie dostarczony wzór Polityki Bezpieczeństwa Informacji dopasowany do JST. Zakres działań w ramach Audytu KRI powinien obejmować skontrolowanie audytowanych jednostek w następujących obszarach: a) Zgodność z prawem: o Cel: W organizacji wprowadzane są dokumenty niezbędne do realizacji wymagań prawnych. o Ryzyko: Organizacja nie spełnia wymogów prawnych. b) Aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji: o Cel: Zapewnienie prawdziwej i szybkiej informacji na temat sprzętu i oprogramowania. o Ryzyko: W organizacji trudno uzyskać informacje na temat oprogramowania oraz sprzętu. c) Ocena przeprowadzanych analiz ryzyka: o Cel: Zidentyfikowanie zagrożeń mogących wystąpić w organizacji. o Ryzyko: Organizacja nie posiada zidentyfikowanych potencjalnych zagrożeń. d) Weryfikacja uprawnień: o Cel: Zapewnienie, że wszystkie osoby posiadają odpowiednie uprawnienia dostępu do informacji. o Ryzyko: Dostęp do informacji mogą posiadać nieuprawnione osoby. e) Procedury zmiany uprawnień: o Cel: Zapewnienie, że procedury zmian uprawnień dostępu do informacji są stosowane. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji dla niech nieprzeznaczonych. f) Uświadamianie użytkowników: o Cel: Pracownicy mają świadomość dotyczącą bezpieczeństwa informacji. o Ryzyko: Pracownicy nie znają procedur bezpieczeństwa i jak się zachować przy przetwarzaniu informacji. g) Zabezpieczenia fizyczne informacji: o Cel: Zapewnienie bezpieczeństwa fizycznego przetwarzanym informacjom. o Ryzyko: Dostęp do informacji może być możliwy dla osób nieupoważnionych przez złe stosowanie zabezpieczeń. h) Bezpieczeństwo w pracy mobilnej i na odległość: o Cel: Wykonywana praca przez pracowników odbywa się bezpiecznie bez względu na miejsce pracy. o Ryzyko: Zagrożenie wycieku informacji, spowodowane niewłaściwą pracą mobilną i wykonywaną na odległość. i) Weryfikacja dostępu do informacji: o Cel: Ochrona przed nieautoryzowaną modyfikacją, usunięcie informacji. o Ryzyko: Informacja nie jest chroniona przed nieautoryzowaną modyfikacją i ochroną. j) Kontakty ze stronami trzecimi: o Cel: Zapewnienie bezpieczeństwa informacji podczas dostępu do informacji przez firmy zewnętrzne. o Ryzyko: Brak nadzoru nad dostępem do informacji przez firmy zewnętrzne. k) Postępowanie z informacją: o Cel: Zapewnienie minimalizacji wystąpienia ryzyka kradzieży informacji. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji. l) Bezpieczeństwo teleinformatyczne: o Cel: Zapewnienie bezpieczeństwa przetwarzania informacji w systemach informatycznych: o Ryzyko: Systemy informatyczne nie są odpowiednio chronione. m) Działania związane z incydentami: o Cel: Organizacja posiada informacje na temat występowania incydentów. o Ryzyko: Organizacja nie reaguje i nie likwiduje przyczyn wystąpienia incydentów. n) Wykonywanie cyklicznych kontroli wewnętrznych: o Cel: Organizacja monitoruje i poprawia SZBI. o Ryzyko: Brak poprawnie działającego SZBI. Audyt KRI zostanie przeprowadzony w oparciu o istniejącą dokumentację, wizje lokalne, wywiady przeprowadzone z pracownikami Gmin, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne oraz za administrację systemami informatycznymi oraz osobami użytkującymi systemy informatyczne. Postawą realizacji prac będzie norma wskazana w Rozporządzeniu KRI: PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu KRI będzie Raport indywidualny dla każdego podmiotu, przedstawiający poziom bezpieczeństwa informacji zgodnie z wymaganiami KRI, a także zalecenia i rekomendacje w celu wypełnienia wymagań Rozporządzenia i podniesienia poziomu bezpieczeństwa informacji w niej gromadzonej i przetwarzanej. Załącznikiem do Raportu z Audytu KRI będzie wzór Polityki Bezpieczeństwa Informacji dopasowany do JST. Po przeprowadzeniu Audytu KRI i opracowaniu Raportu Wykonawca przeprowadzi spotkanie z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi, indywidualnie dla każdego podmiotu, celem zaprezentowania wyników Audytu oraz zleceń i rekomendacji zawartych w Raporcie. III. Zamawiający przez "Audyt Bezpieczeństwa Sieci" rozumie badanie struktury sieci komputerowej oraz jej podatności na próby ataków pod kątem: nieautoryzowanego dostępu, luk bezpieczeństwa wykorzystywanego oprogramowania, zabezpieczeń sieciowych. Audyt Bezpieczeństwa Sieci obejmuje analizę wskazanych urządzeń, w tym w szczególności: a) sprawdzenie wybranych urządzeń systemowych, b) badanie wskazanych serwerów, c) sprawdzenie wskazanych stacji roboczych. Zakres działań w zakresie Audytu Bezpieczeństwa Sieci obejmuje: a) Analizę topologii sieci komputerowych w instytucji: lokalizacje, strefy i klasy adresowe (badanie sieci pod kątem stref wykrytych adresów). b) Analizę połączenia sieci lokalnych z sieciami: własnymi (inne lokalizacje np. VPN), obcymi (np. MSWiA) i sieciami publicznymi - Internet. c) Analizę warstwy aktywnej sieci - UTM, Firewall, Router, Switch, VLAN ze wskazaniem dobrych praktyk w zakresie konfiguracji i określenia reguł w urządzeniach dostępowych. d) Testy wskazanych serwerów i hostów udostępniających zasoby lub usługi w sieci. e) Sprawdzenie zasad dostępu do zasobów i usług (połączenie, uwierzytelnienie). f) Sprawdzenie mechanizmów dotyczących odporności i wykrywania podatności na ataki wewnętrzne (DoS, ARP/MAC SPOOFING). g) Przygotowanie podstawowych zaleceń ochrony do wykrytych podatności sieci i serwerów. h) Analizę i zalecenia dotyczące centralizacji lub rozproszenia zasobów i usług oraz ich redundancji. i) Zalecenia dotyczące zasad utrzymania sieci. j) Analizę polityki dostępu do zasobów. Audyt Bezpieczeństwa Sieci zostanie przeprowadzony w oparciu o wizje lokalne, testowanie wybranych urządzeń oraz wywiady przeprowadzone z pracownikami Gmin, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo sieci oraz za administrację systemami informatycznymi. Postawą realizacji Audytu Bezpieczeństwa Sieci będzie norma PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu BS będzie Raport zawierający analizę wyników indywidualnie dla każdego podmiotu, wraz z rekomendacjami i wskazaniem dodatkowych metod ochrony sieci i jej zasobów uwzględniająca plany rozwojowe. Raport powinien zawierać opis topologii sieci i wykryte podatności podzielone i przypisane, według stopnia zagrożenia, do jednej z grup: o grupa zagrożenia centralne (infrastruktura i serwery): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie, o grupa zagrożenia klienckie (enduser): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie. Ponadto Raport zawierać będzie następujące informacje: o wykaz stref i adresów IP hostów poddanych testom, o wykaz udostępnionych zasobów sieciowych lub usług, do których dostęp można uzyskać bez podania poświadczeń, o zalecenia dotyczące polityki uwierzytelnienia użytkowników, o sugestie dotyczące zwiększenia stopnia bezpieczeństwa i wysokiej dostępności, indywidualne zalecenia dotyczące wykrytych podatności i planów rozwojowych audytowanego środowiska. Po przeprowadzeniu Audytu BS i opracowaniu Raportu Wykonawca zobowiązuje się do przeprowadzenia spotkania z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi, indywidualnie dla każdego podmiotu, celem zaprezentowania wyników audytu oraz zleceń i rekomendacji zawartych w Raporcie. IV. Zakres współpracy 1. Do prawidłowego wykonania usług Wykonawca będzie miał zapewniony pełny dostęp do dokumentacji określającej sposób zabezpieczania informacji w audytowanej jednostce, dostęp do pomieszczeń niezbędnych w celu analizy systemu zabezpieczeń, struktura organizacyjna audytowanej jednostki. 2. W każdej audytowanej jednostce wskazana zostanie osoba do współpracy z Wykonawcą odpowiedzialna za bezpieczeństwo informacji w audytowanych jednostkach. 3. Wywiad oraz weryfikacja przeprowadzane będą w zależności od dostępności osób, zaangażowanych w działanie w audytowanych jednostkach. 4. Wywiad polega na zadawaniu pytań krzyżowych oraz otwartych. Przeprowadzony będzie osobiście oraz za pomocą wszelkich dostępnych środków komunikacji zgodnie z Polityką Bezpieczeństwa danego podmiotu. 5. Zadanie uważa się za wykonane w momencie przekazania Zamawiającemu protokołu z wykonanych prac podpisanego przez osobę uprawnioną do reprezentowania audytowanej jednostki i Wykonawcę. 6. Wykonawca zobowiązany będzie do przedłożenia Zamawiającemu harmonogramu prac dla danej grupy Gmin w terminie 10 dni od daty podpisania umowy. 2. Zadanie 2 I. Wykonanie Audytu Systemu zarządzania bezpieczeństwem informacji w celu oceny stopnia spełnienia wymogów Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Audytu KRI) wraz z Audytem Bezpieczeństwa Sieci dla oceny topologii sieci komputerowej oraz zidentyfikowania, a następnie wskazania sposobów wyeliminowania podatności na zagrożenia w systemach informatycznych (Audytu BS) dla 7 urzędów gmin: Gmina Czempiń, Gmina Kostrzyn, Gmina Miejska Luboń, Gmina Mosina, Gmina Opalenica, Gmina Stęszew, Gmina Śrem. II. Zamawiający przez "Audyt KRI" rozumie sprawdzenie czy systemy informatyczne wykorzystywane przez dany podmiot oraz procedury stosowane w danym podmiocie i dokumentacja je opisująca zapewniają skuteczną ochronę danych przetwarzanych w podmiotach poddanych sprawdzeniu, a w szczególności spełniają wymogi określone w § 20 Rozporządzenia KRI. Przedmiot zamówienia obejmuje w szczególności: a) analizę regulacji wewnętrznych Gmin (polityk, instrukcji, regulaminów) i zapisów w zakresie bezpieczeństwa informacji, b) przeprowadzenie czynności audytorskich w siedzibach Gmin (weryfikacja zabezpieczeń fizycznych, organizacyjnych, technicznych), c) opracowanie wyników w postaci Raportu z Audytu KRI zawierającego opis stanu aktualnego, ewentualne stwierdzone nieprawidłowości oraz wnioski, rekomendacje i zalecenia w celu spełnienia wymagań Rozporządzenia KRI. W ramach Raportu z Audytu KRI będzie dostarczony wzór Polityki Bezpieczeństwa Informacji dopasowany do JST. Zakres działań w ramach Audytu KRI powinien obejmować skontrolowanie audytowanych jednostek w następujących obszarach: a) Zgodność z prawem: o Cel: W organizacji wprowadzane są dokumenty niezbędne do realizacji wymagań prawnych. o Ryzyko: Organizacja nie spełnia wymogów prawnych. b) Aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji: o Cel: Zapewnienie prawdziwej i szybkiej informacji na temat sprzętu i oprogramowania. o Ryzyko: W organizacji trudno uzyskać informacje na temat oprogramowania oraz sprzętu. c) Ocena przeprowadzanych analiz ryzyka: o Cel: Zidentyfikowanie zagrożeń mogących wystąpić w organizacji. o Ryzyko: Organizacja nie posiada zidentyfikowanych potencjalnych zagrożeń. d) Weryfikacja uprawnień: o Cel: Zapewnienie, że wszystkie osoby posiadają odpowiednie uprawnienia dostępu do informacji. o Ryzyko: Dostęp do informacji mogą posiadać nieuprawnione osoby. e) Procedury zmiany uprawnień: o Cel: Zapewnienie, że procedury zmian uprawnień dostępu do informacji są stosowane. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji dla niech nieprzeznaczonych. f) Uświadamianie użytkowników: o Cel: Pracownicy mają świadomość dotyczącą bezpieczeństwa informacji. o Ryzyko: Pracownicy nie znają procedur bezpieczeństwa i jak się zachować przy przetwarzaniu informacji. g) Zabezpieczenia fizyczne informacji: o Cel: Zapewnienie bezpieczeństwa fizycznego przetwarzanym informacjom. o Ryzyko: Dostęp do informacji może być możliwy dla osób nieupoważnionych przez złe stosowanie zabezpieczeń. h) Bezpieczeństwo w pracy mobilnej i na odległość: o Cel: Wykonywana praca przez pracowników odbywa się bezpiecznie bez względu na miejsce pracy. o Ryzyko: Zagrożenie wycieku informacji, spowodowane niewłaściwą pracą mobilną i wykonywaną na odległość. i) Weryfikacja dostępu do informacji: o Cel: Ochrona przed nieautoryzowaną modyfikacją, usunięcie informacji. o Ryzyko: Informacja nie jest chroniona przed nieautoryzowaną modyfikacją i ochroną. j) Kontakty ze stronami trzecimi: o Cel: Zapewnienie bezpieczeństwa informacji podczas dostępu do informacji przez firmy zewnętrzne. o Ryzyko: Brak nadzoru nad dostępem do informacji przez firmy zewnętrzne. k) Postępowanie z informacją: o Cel: Zapewnienie minimalizacji wystąpienia ryzyka kradzieży informacji. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji. l) Bezpieczeństwo teleinformatyczne: o Cel: Zapewnienie bezpieczeństwa przetwarzania informacji w systemach informatycznych: o Ryzyko: Systemy informatyczne nie są odpowiednio chronione. m) Działania związane z incydentami: o Cel: Organizacja posiada informacje na temat występowania incydentów. o Ryzyko: Organizacja nie reaguje i nie likwiduje przyczyn wystąpienia incydentów. n) Wykonywanie cyklicznych kontroli wewnętrznych: o Cel: Organizacja monitoruje i poprawia SZBI. o Ryzyko: Brak poprawnie działającego SZBI. Audyt KRI zostanie przeprowadzony w oparciu o istniejącą dokumentację, wizje lokalne, wywiady przeprowadzone z pracownikami Gmin, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne oraz za administrację systemami informatycznymi oraz osobami użytkującymi systemy informatyczne. Postawą realizacji prac będzie norma wskazana w Rozporządzeniu KRI: PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu KRI będzie Raport indywidualny dla każdego podmiotu, przedstawiający poziom bezpieczeństwa informacji zgodnie z wymaganiami KRI, a także zalecenia i rekomendacje w celu wypełnienia wymagań Rozporządzenia i podniesienia poziomu bezpieczeństwa informacji w niej gromadzonej i przetwarzanej. Załącznikiem do Raportu z Audytu KRI będzie wzór Polityki Bezpieczeństwa Informacji dopasowany do JST. Po przeprowadzeniu Audytu KRI i opracowaniu Raportu Wykonawca przeprowadzi spotkanie z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi, indywidualnie dla każdego podmiotu, celem zaprezentowania wyników Audytu oraz zleceń i rekomendacji zawartych w Raporcie. III. Zamawiający przez "Audyt Bezpieczeństwa Sieci" rozumie badanie struktury sieci komputerowej oraz jej podatności na próby ataków pod kątem: nieautoryzowanego dostępu, luk bezpieczeństwa wykorzystywanego oprogramowania, zabezpieczeń sieciowych. Audyt Bezpieczeństwa Sieci obejmuje analizę wskazanych urządzeń, w tym w szczególności: a) sprawdzenie wybranych urządzeń systemowych, b) badanie wskazanych serwerów, c) sprawdzenie wskazanych stacji roboczych. Zakres działań w zakresie Audytu Bezpieczeństwa Sieci obejmuje: a) Analizę topologii sieci komputerowych w instytucji: lokalizacje, strefy i klasy adresowe (badanie sieci pod kątem stref wykrytych adresów). b) Analizę połączenia sieci lokalnych z sieciami: własnymi (inne lokalizacje np. VPN), obcymi (np. MSWiA) i sieciami publicznymi - Internet. c) Analizę warstwy aktywnej sieci - UTM, Firewall, Router, Switch, VLAN ze wskazaniem dobrych praktyk w zakresie konfiguracji i określenia reguł w urządzeniach dostępowych. d) Testy wskazanych serwerów i hostów udostępniających zasoby lub usługi w sieci. e) Sprawdzenie zasad dostępu do zasobów i usług (połączenie, uwierzytelnienie). f) Sprawdzenie mechanizmów dotyczących odporności i wykrywania podatności na ataki wewnętrzne (DoS, ARP/MAC SPOOFING). g) Przygotowanie podstawowych zaleceń ochrony do wykrytych podatności sieci i serwerów. h) Analizę i zalecenia dotyczące centralizacji lub rozproszenia zasobów i usług oraz ich redundancji. i) Zalecenia dotyczące zasad utrzymania sieci. j) Analizę polityki dostępu do zasobów. Audyt Bezpieczeństwa Sieci zostanie przeprowadzony w oparciu o wizje lokalne, testowanie wybranych urządzeń oraz wywiady przeprowadzone z pracownikami Gmin, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo sieci oraz za administrację systemami informatycznymi. Postawą realizacji Audytu Bezpieczeństwa Sieci będzie norma PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu BS będzie Raport zawierający analizę wyników indywidualnie dla każdego podmiotu, wraz z rekomendacjami i wskazaniem dodatkowych metod ochrony sieci i jej zasobów uwzględniająca plany rozwojowe. Raport powinien zawierać opis topologii sieci i wykryte podatności podzielone i przypisane, według stopnia zagrożenia, do jednej z grup: o grupa zagrożenia centralne (Infrastruktura i serwery): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie, o grupa zagrożenia klienckie (enduser): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie. Ponadto Raport zawierać będzie następujące informacje: o wykaz stref i adresów IP hostów poddanych testom, o wykaz udostępnionych zasobów sieciowych lub usług, do których dostęp można uzyskać bez podania poświadczeń, o zalecenia dotyczące polityki uwierzytelnienia użytkowników, o sugestie dotyczące zwiększenia stopnia bezpieczeństwa i wysokiej dostępności, indywidualne zalecenia dotyczące wykrytych podatności i planów rozwojowych audytowanego środowiska. Po przeprowadzeniu Audytu BS i opracowaniu Raportu Wykonawca zobowiązuje się do przeprowadzenia spotkania z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi, indywidualnie dla każdego podmiotu, celem zaprezentowania wyników audytu oraz zleceń i rekomendacji zawartych w Raporcie. IV. Zakres współpracy 1. Do prawidłowego wykonania usług Wykonawca będzie miał zapewniony pełny dostęp do dokumentacji określającej sposób zabezpieczania informacji w audytowanej jednostce, dostęp do pomieszczeń niezbędnych w celu analizy systemu zabezpieczeń, struktura organizacyjna audytowanej jednostki. 2. W każdej audytowanej jednostce wskazana zostanie osoba do współpracy z Wykonawcą odpowiedzialna za bezpieczeństwo informacji w audytowanych jednostkach. 3. Wywiad oraz weryfikacja przeprowadzane będą w zależności od dostępności osób, zaangażowanych w działanie w audytowanych jednostkach. 4. Wywiad polega na zadawaniu pytań krzyżowych oraz otwartych. Przeprowadzony będzie osobiście oraz za pomocą wszelkich dostępnych środków komunikacji zgodnie z Polityką Bezpieczeństwa danego podmiotu. 5. Zadanie uważa się za wykonane w momencie przekazania Zamawiającemu protokołu z wykonanych prac podpisanego przez osobę uprawnioną do reprezentowania audytowanej jednostki i Wykonawcę. 6. Wykonawca zobowiązany będzie do przedłożenia Zamawiającemu harmonogramu prac dla danej grupy Gmin w terminie 10 dni od daty podpisania umowy. 3. Zadanie 3 I. Wykonanie Audytu Systemu zarządzania bezpieczeństwem informacji w celu oceny stopnia spełnienia wymogów Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Audytu KRI) wraz z Audytem Bezpieczeństwa Sieci dla oceny topologii sieci komputerowej oraz zidentyfikowania, a następnie wskazania sposobów wyeliminowania podatności na zagrożenia w systemach informatycznych (Audytu BS) dla 5 urzędów gmin: Gmina Brudzew, Gmina Czerniejewo, Gmina Przykona, Gmina Słupca, Gmina Strzałkowo. II. Zamawiający przez "Audyt KRI" rozumie sprawdzenie czy systemy informatyczne wykorzystywane przez dany podmiot oraz procedury stosowane w danym podmiocie i dokumentacja je opisująca zapewniają skuteczną ochronę danych przetwarzanych w podmiotach poddanych sprawdzeniu, a w szczególności spełniają wymogi określone w § 20 Rozporządzenia KRI. Przedmiot zamówienia obejmuje w szczególności: a) analizę regulacji wewnętrznych Gmin (polityk, instrukcji, regulaminów) i zapisów w zakresie bezpieczeństwa informacji, b) przeprowadzenie czynności audytorskich w siedzibach Gmin (weryfikacja zabezpieczeń fizycznych, organizacyjnych, technicznych), c) opracowanie wyników w postaci Raportu z Audytu KRI zawierającego opis stanu aktualnego, ewentualne stwierdzone nieprawidłowości oraz wnioski, rekomendacje i zalecenia w celu spełnienia wymagań Rozporządzenia KRI. W ramach Raportu z Audytu KRI będzie dostarczony wzór Polityki Bezpieczeństwa Informacji dopasowany do JST. Zakres działań w ramach Audytu KRI powinien obejmować skontrolowanie audytowanych jednostek w następujących obszarach: a) Zgodność z prawem: o Cel: W organizacji wprowadzane są dokumenty niezbędne do realizacji wymagań prawnych. o Ryzyko: Organizacja nie spełnia wymogów prawnych. b) Aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji: o Cel: Zapewnienie prawdziwej i szybkiej informacji na temat sprzętu i oprogramowania. o Ryzyko: W organizacji trudno uzyskać informacje na temat oprogramowania oraz sprzętu. c) Ocena przeprowadzanych analiz ryzyka: o Cel: Zidentyfikowanie zagrożeń mogących wystąpić w organizacji. o Ryzyko: Organizacja nie posiada zidentyfikowanych potencjalnych zagrożeń. d) Weryfikacja uprawnień: o Cel: Zapewnienie, że wszystkie osoby posiadają odpowiednie uprawnienia dostępu do informacji. o Ryzyko: Dostęp do informacji mogą posiadać nieuprawnione osoby. e) Procedury zmiany uprawnień: o Cel: Zapewnienie, że procedury zmian uprawnień dostępu do informacji są stosowane. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji dla niech nieprzeznaczonych. f) Uświadamianie użytkowników: o Cel: Pracownicy mają świadomość dotyczącą bezpieczeństwa informacji. o Ryzyko: Pracownicy nie znają procedur bezpieczeństwa i jak się zachować przy przetwarzaniu informacji. g) Zabezpieczenia fizyczne informacji: o Cel: Zapewnienie bezpieczeństwa fizycznego przetwarzanym informacjom. o Ryzyko: Dostęp do informacji może być możliwy dla osób nieupoważnionych przez złe stosowanie zabezpieczeń. h) Bezpieczeństwo w pracy mobilnej i na odległość: o Cel: Wykonywana praca przez pracowników odbywa się bezpiecznie bez względu na miejsce pracy. o Ryzyko: Zagrożenie wycieku informacji, spowodowane niewłaściwą pracą mobilną i wykonywaną na odległość. i) Weryfikacja dostępu do informacji: o Cel: Ochrona przed nieautoryzowaną modyfikacją, usunięcie informacji. o Ryzyko: Informacja nie jest chroniona przed nieautoryzowaną modyfikacją i ochroną. j) Kontakty ze stronami trzecimi: o Cel: Zapewnienie bezpieczeństwa informacji podczas dostępu do informacji przez firmy zewnętrzne. o Ryzyko: Brak nadzoru nad dostępem do informacji przez firmy zewnętrzne. k) Postępowanie z informacją: o Cel: Zapewnienie minimalizacji wystąpienia ryzyka kradzieży informacji. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji. l) Bezpieczeństwo teleinformatyczne: o Cel: Zapewnienie bezpieczeństwa przetwarzania informacji w systemach informatycznych: o Ryzyko: Systemy informatyczne nie są odpowiednio chronione. m) Działania związane z incydentami: o Cel: Organizacja posiada informacje na temat występowania incydentów. o Ryzyko: Organizacja nie reaguje i nie likwiduje przyczyn wystąpienia incydentów. n) Wykonywanie cyklicznych kontroli wewnętrznych: o Cel: Organizacja monitoruje i poprawia SZBI. o Ryzyko: Brak poprawnie działającego SZBI. Audyt KRI zostanie przeprowadzony w oparciu o istniejącą dokumentację, wizje lokalne, wywiady przeprowadzone z pracownikami Gmin, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne oraz za administrację systemami informatycznymi oraz osobami użytkującymi systemy informatyczne. Postawą realizacji prac będzie norma wskazana w Rozporządzeniu KRI: PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu KRI będzie Raport indywidualny dla każdego podmiotu, przedstawiający poziom bezpieczeństwa informacji zgodnie z wymaganiami KRI, a także zalecenia i rekomendacje w celu wypełnienia wymagań Rozporządzenia i podniesienia poziomu bezpieczeństwa informacji w niej gromadzonej i przetwarzanej. Załącznikiem do Raportu z Audytu KRI będzie wzór Polityki Bezpieczeństwa Informacji dopasowany do JST. Po przeprowadzeniu Audytu KRI i opracowaniu Raportu Wykonawca przeprowadzi spotkanie z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi, indywidualnie dla każdego podmiotu, celem zaprezentowania wyników Audytu oraz zleceń i rekomendacji zawartych w Raporcie. III. Zamawiający przez "Audyt Bezpieczeństwa Sieci" rozumie badanie struktury sieci komputerowej oraz jej podatności na próby ataków pod kątem: nieautoryzowanego dostępu, luk bezpieczeństwa wykorzystywanego oprogramowania, zabezpieczeń sieciowych. Audyt Bezpieczeństwa Sieci obejmuje analizę wskazanych urządzeń, w tym w szczególności: a) sprawdzenie wybranych urządzeń systemowych, b) badanie wskazanych serwerów, c) sprawdzenie wskazanych stacji roboczych. Zakres działań w zakresie Audytu Bezpieczeństwa Sieci obejmuje: a) Analizę topologii sieci komputerowych w instytucji: lokalizacje, strefy i klasy adresowe (badanie sieci pod kątem stref wykrytych adresów). b) Analizę połączenia sieci lokalnych z sieciami: własnymi (inne lokalizacje np. VPN), obcymi (np. MSWiA) i sieciami publicznymi - Internet. c) Analizę warstwy aktywnej sieci - UTM, Firewall, Router, Switch, VLAN ze wskazaniem dobrych praktyk w zakresie konfiguracji i określenia reguł w urządzeniach dostępowych. d) Testy wskazanych serwerów i hostów udostępniających zasoby lub usługi w sieci. e) Sprawdzenie zasad dostępu do zasobów i usług (połączenie, uwierzytelnienie). f) Sprawdzenie mechanizmów dotyczących odporności i wykrywania podatności na ataki wewnętrzne (DoS, ARP/MAC SPOOFING). g) Przygotowanie podstawowych zaleceń ochrony do wykrytych podatności sieci i serwerów. h) Analizę i zalecenia dotyczące centralizacji lub rozproszenia zasobów i usług oraz ich redundancji. i) Zalecenia dotyczące zasad utrzymania sieci. j) Analizę polityki dostępu do zasobów. Audyt Bezpieczeństwa Sieci zostanie przeprowadzony w oparciu o wizje lokalne, testowanie wybranych urządzeń oraz wywiady przeprowadzone z pracownikami Gmin, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo sieci oraz za administrację systemami informatycznymi. Postawą realizacji Audytu Bezpieczeństwa Sieci będzie norma PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu BS będzie Raport zawierający analizę wyników indywidualnie dla każdego podmiotu, wraz z rekomendacjami i wskazaniem dodatkowych metod ochrony sieci i jej zasobów uwzględniająca plany rozwojowe. Raport powinien zawierać opis topologii sieci i wykryte podatności podzielone i przypisane, według stopnia zagrożenia, do jednej z grup: o grupa zagrożenia centralne (Infrastruktura i serwery): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie, o grupa zagrożenia klienckie (enduser): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie. Ponadto Raport zawierać będzie następujące informacje: o wykaz stref i adresów IP hostów poddanych testom, o wykaz udostępnionych zasobów sieciowych lub usług, do których dostęp można uzyskać bez podania poświadczeń, o zalecenia dotyczące polityki uwierzytelnienia użytkowników, o sugestie dotyczące zwiększenia stopnia bezpieczeństwa i wysokiej dostępności, indywidualne zalecenia dotyczące wykrytych podatności i planów rozwojowych audytowanego środowiska. Po przeprowadzeniu Audytu BS i opracowaniu Raportu Wykonawca zobowiązuje się do przeprowadzenia spotkania z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi, indywidualnie dla każdego podmiotu, celem zaprezentowania wyników audytu oraz zleceń i rekomendacji zawartych w Raporcie. IV. Zakres współpracy 1. Do prawidłowego wykonania usług Wykonawca będzie miał zapewniony pełny dostęp do dokumentacji określającej sposób zabezpieczania informacji w audytowanej jednostce, dostęp do pomieszczeń niezbędnych w celu analizy systemu zabezpieczeń, struktura organizacyjna audytowanej jednostki. 2. W każdej audytowanej jednostce wskazana zostanie osoba do współpracy z Wykonawcą odpowiedzialna za bezpieczeństwo informacji w audytowanych jednostkach. 3. Wywiad oraz weryfikacja przeprowadzane będą w zależności od dostępności osób, zaangażowanych w działanie w audytowanych jednostkach. 4. Wywiad polega na zadawaniu pytań krzyżowych oraz otwartych. Przeprowadzony będzie osobiście oraz za pomocą wszelkich dostępnych środków komunikacji zgodnie z Polityką Bezpieczeństwa danego podmiotu. 5. Zadanie uważa się za wykonane w momencie przekazania Zamawiającemu protokołu z wykonanych prac podpisanego przez osobę uprawnioną do reprezentowania audytowanej jednostki i Wykonawcę. 6. Wykonawca zobowiązany będzie do przedłożenia Zamawiającemu harmonogramu prac dla danej grupy Gmin w terminie 10 dni od daty podpisania umowy. 4. Zadanie 4 I. Wykonanie Audytu Systemu zarządzania bezpieczeństwem informacji w celu oceny stopnia spełnienia wymogów Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Audytu KRI) wraz z Audytem Bezpieczeństwa Sieci dla oceny topologii sieci komputerowej oraz zidentyfikowania, a następnie wskazania sposobów wyeliminowania podatności na zagrożenia w systemach informatycznych (Audytu BS) dla 4 urzędów gmin: Gmina Bojanowo, Gmina Jaraczewo, Gmina Miejska Górka, Gmina Ostrów Wielkopolski. II. Zamawiający przez "Audyt KRI" rozumie sprawdzenie czy systemy informatyczne wykorzystywane przez dany podmiot oraz procedury stosowane w danym podmiocie i dokumentacja je opisująca zapewniają skuteczną ochronę danych przetwarzanych w podmiotach poddanych sprawdzeniu, a w szczególności spełniają wymogi określone w § 20 Rozporządzenia KRI. Przedmiot zamówienia obejmuje w szczególności: a) analizę regulacji wewnętrznych Gmin (polityk, instrukcji, regulaminów) i zapisów w zakresie bezpieczeństwa informacji, b) przeprowadzenie czynności audytorskich w siedzibach Gmin (weryfikacja zabezpieczeń fizycznych, organizacyjnych, technicznych), c) opracowanie wyników w postaci Raportu z Audytu KRI zawierającego opis stanu aktualnego, ewentualne stwierdzone nieprawidłowości oraz wnioski, rekomendacje i zalecenia w celu spełnienia wymagań Rozporządzenia KRI. W ramach Raportu z Audytu KRI będzie dostarczony wzór Polityki Bezpieczeństwa Informacji dopasowany do JST. Zakres działań w ramach Audytu KRI powinien obejmować skontrolowanie audytowanych jednostek w następujących obszarach: a) Zgodność z prawem: o Cel: W organizacji wprowadzane są dokumenty niezbędne do realizacji wymagań prawnych. o Ryzyko: Organizacja nie spełnia wymogów prawnych. b) Aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji: o Cel: Zapewnienie prawdziwej i szybkiej informacji na temat sprzętu i oprogramowania. o Ryzyko: W organizacji trudno uzyskać informacje na temat oprogramowania oraz sprzętu. c) Ocena przeprowadzanych analiz ryzyka: o Cel: Zidentyfikowanie zagrożeń mogących wystąpić w organizacji. o Ryzyko: Organizacja nie posiada zidentyfikowanych potencjalnych zagrożeń. d) Weryfikacja uprawnień: o Cel: Zapewnienie, że wszystkie osoby posiadają odpowiednie uprawnienia dostępu do informacji. o Ryzyko: Dostęp do informacji mogą posiadać nieuprawnione osoby. e) Procedury zmiany uprawnień: o Cel: Zapewnienie, że procedury zmian uprawnień dostępu do informacji są stosowane. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji dla niech nieprzeznaczonych. f) Uświadamianie użytkowników: o Cel: Pracownicy mają świadomość dotyczącą bezpieczeństwa informacji. o Ryzyko: Pracownicy nie znają procedur bezpieczeństwa i jak się zachować przy przetwarzaniu informacji. g) Zabezpieczenia fizyczne informacji: o Cel: Zapewnienie bezpieczeństwa fizycznego przetwarzanym informacjom. o Ryzyko: Dostęp do informacji może być możliwy dla osób nieupoważnionych przez złe stosowanie zabezpieczeń. h) Bezpieczeństwo w pracy mobilnej i na odległość: o Cel: Wykonywana praca przez pracowników odbywa się bezpiecznie bez względu na miejsce pracy. o Ryzyko: Zagrożenie wycieku informacji, spowodowane niewłaściwą pracą mobilną i wykonywaną na odległość. i) Weryfikacja dostępu do informacji: o Cel: Ochrona przed nieautoryzowaną modyfikacją, usunięcie informacji. o Ryzyko: Informacja nie jest chroniona przed nieautoryzowaną modyfikacją i ochroną. j) Kontakty ze stronami trzecimi: o Cel: Zapewnienie bezpieczeństwa informacji podczas dostępu do informacji przez firmy zewnętrzne. o Ryzyko: Brak nadzoru nad dostępem do informacji przez firmy zewnętrzne. k) Postępowanie z informacją: o Cel: Zapewnienie minimalizacji wystąpienia ryzyka kradzieży informacji. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji. l) Bezpieczeństwo teleinformatyczne: o Cel: Zapewnienie bezpieczeństwa przetwarzania informacji w systemach informatycznych: o Ryzyko: Systemy informatyczne nie są odpowiednio chronione. m) Działania związane z incydentami: o Cel: Organizacja posiada informacje na temat występowania incydentów. o Ryzyko: Organizacja nie reaguje i nie likwiduje przyczyn wystąpienia incydentów. n) Wykonywanie cyklicznych kontroli wewnętrznych: o Cel: Organizacja monitoruje i poprawia SZBI. o Ryzyko: Brak poprawnie działającego SZBI. Audyt KRI zostanie przeprowadzony w oparciu o istniejącą dokumentację, wizje lokalne, wywiady przeprowadzone z pracownikami Gmin, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne oraz za administrację systemami informatycznymi oraz osobami użytkującymi systemy informatyczne. Postawą realizacji prac będzie norma wskazana w Rozporządzeniu KRI: PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu KRI będzie Raport indywidualny dla każdego podmiotu, przedstawiający poziom bezpieczeństwa informacji zgodnie z wymaganiami KRI, a także zalecenia i rekomendacje w celu wypełnienia wymagań Rozporządzenia i podniesienia poziomu bezpieczeństwa informacji w niej gromadzonej i przetwarzanej. Załącznikiem do Raportu z Audytu KRI będzie wzór Polityki Bezpieczeństwa Informacji dopasowany do JST. Po przeprowadzeniu Audytu KRI i opracowaniu Raportu Wykonawca przeprowadzi spotkanie z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi, indywidualnie dla każdego podmiotu, celem zaprezentowania wyników Audytu oraz zleceń i rekomendacji zawartych w Raporcie. III. Zamawiający przez "Audyt Bezpieczeństwa Sieci" rozumie badanie struktury sieci komputerowej oraz jej podatności na próby ataków pod kątem: nieautoryzowanego dostępu, luk bezpieczeństwa wykorzystywanego oprogramowania, zabezpieczeń sieciowych. Audyt Bezpieczeństwa Sieci obejmuje analizę wskazanych urządzeń, w tym w szczególności: a) sprawdzenie wybranych urządzeń systemowych, b) badanie wskazanych serwerów, c) sprawdzenie wskazanych stacji roboczych. Zakres działań w zakresie Audytu Bezpieczeństwa Sieci obejmuje a) Analizę topologii sieci komputerowych w instytucji: lokalizacje, strefy i klasy adresowe (badanie sieci pod kątem stref wykrytych adresów). b) Analizę połączenia sieci lokalnych z sieciami: własnymi (inne lokalizacje np. VPN), obcymi (np. MSWiA) i sieciami publicznymi - Internet. c) Analizę warstwy aktywnej sieci - UTM, Firewall, Router, Switch, VLAN ze wskazaniem dobrych praktyk w zakresie konfiguracji i określenia reguł w urządzeniach dostępowych. d) Testy wskazanych serwerów i hostów udostępniających zasoby lub usługi w sieci. e) Sprawdzenie zasad dostępu do zasobów i usług (połączenie, uwierzytelnienie). f) Sprawdzenie mechanizmów dotyczących odporności i wykrywania podatności na ataki wewnętrzne (DoS, ARP/MAC SPOOFING). g) Przygotowanie podstawowych zaleceń ochrony do wykrytych podatności sieci i serwerów. h) Analizę i zalecenia dotyczące centralizacji lub rozproszenia zasobów i usług oraz ich redundancji. i) Zalecenia dotyczące zasad utrzymania sieci. j) Analizę polityki dostępu do zasobów. Audyt Bezpieczeństwa Sieci zostanie przeprowadzony w oparciu o wizje lokalne, testowanie wybranych urządzeń oraz wywiady przeprowadzone z pracownikami Gmin, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo sieci oraz za administrację systemami informatycznymi. Postawą realizacji Audytu Bezpieczeństwa Sieci będzie norma PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu BS będzie Raport zawierający analizę wyników indywidualnie dla każdego podmiotu, wraz z rekomendacjami i wskazaniem dodatkowych metod ochrony sieci i jej zasobów uwzględniająca plany rozwojowe. Raport powinien zawierać opis topologii sieci i wykryte podatności podzielone i przypisane, według stopnia zagrożenia, do jednej z grup: o grupa zagrożenia centralne (Infrastruktura i serwery): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie, o grupa zagrożenia klienckie (enduser): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie. Ponadto Raport zawierać będzie następujące informacje: o wykaz stref i adresów IP hostów poddanych testom, o wykaz udostępnionych zasobów sieciowych lub usług, do których dostęp można uzyskać bez podania poświadczeń, o zalecenia dotyczące polityki uwierzytelnienia użytkowników, o sugestie dotyczące zwiększenia stopnia bezpieczeństwa i wysokiej dostępności, indywidualne zalecenia dotyczące wykrytych podatności i planów rozwojowych audytowanego środowiska. Po przeprowadzeniu Audytu BS i opracowaniu Raportu Wykonawca zobowiązuje się do przeprowadzenia spotkania z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi, indywidualnie dla każdego podmiotu, celem zaprezentowania wyników audytu oraz zleceń i rekomendacji zawartych w Raporcie. IV. Zakres współpracy 1. Do prawidłowego wykonania usług Wykonawca będzie miał zapewniony pełny dostęp do dokumentacji określającej sposób zabezpieczania informacji w audytowanej jednostce, dostęp do pomieszczeń niezbędnych w celu analizy systemu zabezpieczeń, struktura organizacyjna audytowanej jednostki. 2. W każdej audytowanej jednostce wskazana zostanie osoba do współpracy z Wykonawcą odpowiedzialna za bezpieczeństwo informacji w audytowanych jednostkach. 3. Wywiad oraz weryfikacja przeprowadzane będą w zależności od dostępności osób, zaangażowanych w działanie w audytowanych jednostkach. 4. Wywiad polega na zadawaniu pytań krzyżowych oraz otwartych. Przeprowadzony będzie osobiście oraz za pomocą wszelkich dostępnych środków komunikacji zgodnie z Polityką Bezpieczeństwa danego podmiotu. 5. Zadanie uważa się za wykonane w momencie przekazania Zamawiającemu protokołu z wykonanych prac podpisanego przez osobę uprawnioną do reprezentowania audytowanej jednostki i Wykonawcę. 6. Wykonawca zobowiązany będzie do przedłożenia Zamawiającemu harmonogramu prac dla danej grupy Gmin w terminie 10 dni od daty podpisania umowy. 5. Zadanie 5 I. Wykonanie Audytu Systemu zarządzania bezpieczeństwem informacji w celu oceny stopnia spełnienia wymogów Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Audytu KRI) wraz z Audytem Bezpieczeństwa Sieci dla oceny topologii sieci komputerowej oraz zidentyfikowania, a następnie wskazania sposobów wyeliminowania podatności na zagrożenia w systemach informatycznych (Audytu BS) dla Zamawiającego. II. Zamawiający przez "Audyt KRI" rozumie sprawdzenie czy systemy informatyczne wykorzystywane przez dany podmiot oraz procedury stosowane w danym podmiocie i dokumentacja je opisująca zapewniają skuteczną ochronę danych przetwarzanych w podmiotach poddanych sprawdzeniu, a w szczególności spełniają wymogi określone w § 20 Rozporządzenia KRI. Przedmiot zamówienia obejmuje w szczególności: a) analizę regulacji wewnętrznych Zamawiającego (polityk, instrukcji, regulaminów) i zapisów w zakresie bezpieczeństwa informacji, b) przeprowadzenie czynności audytorskich w siedzibach Zamawiającego (weryfikacja zabezpieczeń fizycznych, organizacyjnych, technicznych), c) opracowanie wyników w postaci Raportu z Audytu KRI zawierającego opis stanu aktualnego, ewentualne stwierdzone nieprawidłowości oraz wnioski, rekomendacje i zalecenia w celu spełnienia wymagań Rozporządzenia KRI. W ramach Raportu z Audytu KRI będzie dostarczony wzór Polityki Bezpieczeństwa Informacji dopasowany do organizacji. Zakres działań w ramach Audytu KRI powinien obejmować skontrolowanie audytowanej jednostki w następujących obszarach: a) Zgodność z prawem: o Cel: W organizacji wprowadzane są dokumenty niezbędne do realizacji wymagań prawnych. o Ryzyko: Organizacja nie spełnia wymogów prawnych. b) Aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji: o Cel: Zapewnienie prawdziwej i szybkiej informacji na temat sprzętu i oprogramowania. o Ryzyko: W organizacji trudno uzyskać informacje na temat oprogramowania oraz sprzętu. c) Ocena przeprowadzanych analiz ryzyka: o Cel: Zidentyfikowanie zagrożeń mogących wystąpić w organizacji. o Ryzyko: Organizacja nie posiada zidentyfikowanych potencjalnych zagrożeń. d) Weryfikacja uprawnień: o Cel: Zapewnienie, że wszystkie osoby posiadają odpowiednie uprawnienia dostępu do informacji. o Ryzyko: Dostęp do informacji mogą posiadać nieuprawnione osoby. e) Procedury zmiany uprawnień: o Cel: Zapewnienie, że procedury zmian uprawnień dostępu do informacji są stosowane. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji dla niech nieprzeznaczonych. f) Uświadamianie użytkowników: o Cel: Pracownicy mają świadomość dotyczącą bezpieczeństwa informacji. o Ryzyko: Pracownicy nie znają procedur bezpieczeństwa i jak się zachować przy przetwarzaniu informacji. g) Zabezpieczenia fizyczne informacji: o Cel: Zapewnienie bezpieczeństwa fizycznego przetwarzanym informacjom. o Ryzyko: Dostęp do informacji może być możliwy dla osób nieupoważnionych przez złe stosowanie zabezpieczeń. h) Bezpieczeństwo w pracy mobilnej i na odległość: o Cel: Wykonywana praca przez pracowników odbywa się bezpiecznie bez względu na miejsce pracy. o Ryzyko: Zagrożenie wycieku informacji, spowodowane niewłaściwą pracą mobilną i wykonywaną na odległość. i) Weryfikacja dostępu do informacji: o Cel: Ochrona przed nieautoryzowaną modyfikacją, usunięcie informacji. o Ryzyko: Informacja nie jest chroniona przed nieautoryzowaną modyfikacją i ochroną. j) Kontakty ze stronami trzecimi: o Cel: Zapewnienie bezpieczeństwa informacji podczas dostępu do informacji przez firmy zewnętrzne. o Ryzyko: Brak nadzoru nad dostępem do informacji przez firmy zewnętrzne. k) Postępowanie z informacją: o Cel: Zapewnienie minimalizacji wystąpienia ryzyka kradzieży informacji. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji. l) Bezpieczeństwo teleinformatyczne: o Cel: Zapewnienie bezpieczeństwa przetwarzania informacji w systemach informatycznych: o Ryzyko: Systemy informatyczne nie są odpowiednio chronione. m) Działania związane z incydentami: o Cel: Organizacja posiada informacje na temat występowania incydentów. o Ryzyko: Organizacja nie reaguje i nie likwiduje przyczyn wystąpienia incydentów. n) Wykonywanie cyklicznych kontroli wewnętrznych: o Cel: Organizacja monitoruje i poprawia SZBI. o Ryzyko: Brak poprawnie działającego SZBI. Audyt KRI zostanie przeprowadzony w oparciu o istniejącą dokumentację, wizje lokalne, wywiady przeprowadzone z pracownikami Zamawiającego, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne oraz za administrację systemami informatycznymi oraz osobami użytkującymi systemy informatyczne. Postawą realizacji prac będzie norma wskazana w Rozporządzeniu KRI: PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu KRI będzie Raport indywidualny dla Zamawiającego, przedstawiający poziom bezpieczeństwa informacji zgodnie z wymaganiami KRI, a także zalecenia i rekomendacje w celu wypełnienia wymagań Rozporządzenia i podniesienia poziomu bezpieczeństwa informacji w niej gromadzonej i przetwarzanej. Załącznikiem do Raportu z Audytu KRI będzie dostarczony wzór Polityki Bezpieczeństwa Informacji dopasowany do organizacji. Po przeprowadzeniu Audytu KRI i opracowaniu Raportu Wykonawca przeprowadzi spotkanie z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi Zamawiającego, celem zaprezentowania wyników Audytu oraz zleceń i rekomendacji zawartych w Raporcie. III. Zamawiający przez "Audyt Bezpieczeństwa Sieci" rozumie badanie struktury sieci komputerowej oraz jej podatności na próby ataków pod kątem: nieautoryzowanego dostępu, luk bezpieczeństwa wykorzystywanego oprogramowania, zabezpieczeń sieciowych. Audyt Bezpieczeństwa Sieci obejmuje analizę wskazanych urządzeń, w tym w szczególności: a) sprawdzenie wybranych urządzeń systemowych, b) badanie wskazanych serwerów, c) sprawdzenie wskazanych stacji roboczych. Zakres działań w zakresie Audytu Bezpieczeństwa Sieci obejmuje: a) Analizę topologii sieci komputerowych w instytucji: lokalizacje, strefy i klasy adresowe (badanie sieci pod kątem stref wykrytych adresów). b) Analizę połączenia sieci lokalnych z sieciami: własnymi (inne lokalizacje np. VPN), obcymi (np. MSWiA) i sieciami publicznymi - Internet. c) Analizę warstwy aktywnej sieci - UTM, Firewall, Router, Switch, VLAN ze wskazaniem dobrych praktyk w zakresie konfiguracji i określenia reguł w urządzeniach dostępowych. d) Testy wskazanych serwerów i hostów udostępniających zasoby lub usługi w sieci. e) Sprawdzenie zasad dostępu do zasobów i usług (połączenie, uwierzytelnienie). f) Sprawdzenie mechanizmów dotyczących odporności i wykrywania podatności na ataki wewnętrzne (DoS, ARP/MAC SPOOFING). g) Przygotowanie podstawowych zaleceń ochrony do wykrytych podatności sieci i serwerów. h) Analizę i zalecenia dotyczące centralizacji lub rozproszenia zasobów i usług oraz ich redundancji. i) Zalecenia dotyczące zasad utrzymania sieci. j) Analizę polityki dostępu do zasobów. Audyt Bezpieczeństwa Sieci zostanie przeprowadzony w oparciu o wizje lokalne, testowanie wybranych urządzeń oraz wywiady przeprowadzone z pracownikami Zamawiającego, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo sieci oraz za administrację systemami informatycznymi. Postawą realizacji Audytu Bezpieczeństwa Sieci będzie norma PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu BS będzie Raport zawierający analizę wyników dla Zamawiającego, wraz z rekomendacjami i wskazaniem dodatkowych metod ochrony sieci i jej zasobów uwzględniająca plany rozwojowe. Raport powinien zawierać opis topologii sieci i wykryte podatności podzielone i przypisane, według stopnia zagrożenia, do jednej z grup: o grupa zagrożenia centralne (Infrastruktura i serwery): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie, o grupa zagrożenia klienckie (enduser): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie. Ponadto Raport zawierać będzie następujące informacje: o wykaz stref i adresów IP hostów poddanych testom, o wykaz udostępnionych zasobów sieciowych lub usług, do których dostęp można uzyskać bez podania poświadczeń, o zalecenia dotyczące polityki uwierzytelnienia użytkowników, o sugestie dotyczące zwiększenia stopnia bezpieczeństwa i wysokiej dostępności, indywidualne zalecenia dotyczące wykrytych podatności i planów rozwojowych audytowanego środowiska. Po przeprowadzeniu Audytu BS i opracowaniu Raportu Wykonawca zobowiązuje się do przeprowadzenia spotkania z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi Zamawiającego, celem zaprezentowania wyników audytu oraz zleceń i rekomendacji zawartych w Raporcie. IV. Zakres współpracy 1. Do prawidłowego wykonania usług Wykonawca będzie miał zapewniony pełny dostęp do dokumentacji określającej sposób zabezpieczania informacji w audytowanej jednostce, dostęp do pomieszczeń niezbędnych w celu analizy systemu zabezpieczeń, struktura organizacyjna audytowanej jednostki. 2. W każdej audytowanej jednostce wskazana zostanie osoba do współpracy z Wykonawcą odpowiedzialna za bezpieczeństwo informacji w audytowanych jednostkach. 3. Wywiad oraz weryfikacja przeprowadzane będą w zależności od dostępności osób, zaangażowanych w działanie w audytowanych jednostkach. 4. Wywiad polega na zadawaniu pytań krzyżowych oraz otwartych. Przeprowadzony będzie osobiście oraz za pomocą wszelkich dostępnych środków komunikacji zgodnie z Polityką Bezpieczeństwa danego podmiotu. 5. Zadanie uważa się za wykonane w momencie przekazania Zamawiającemu protokołu z wykonanych prac podpisanego przez osobę uprawnioną do reprezentowania audytowanej jednostki i Wykonawcę. 6. Wykonawca zobowiązany będzie do ustalenia z Zamawiającym harmonogramu prac w terminie 10 dni od daty podpisania umowy.

II.4) Informacja o częściach zamówienia:
Zamówienie podzielone jest na części:

Tak

II.5) Główny Kod CPV: 79212000-3
Dodatkowe kody CPV:

SEKCJA III: PROCEDURA

III.1) TRYB UDZIELENIA ZAMÓWIENIA

Przetarg nieograniczony

III.2) Ogłoszenie dotyczy zakończenia dynamicznego systemu zakupów

III.3) Informacje dodatkowe:

SEKCJA IV: UDZIELENIE ZAMÓWIENIA

CZĘŚĆ NR: 1	NAZWA: Zadanie 1
Postępowanie/część zostało unieważnione nie Należy podać podstawę i przyczynę unieważnienia postępowania:
IV.1) DATA UDZIELENIA ZAMÓWIENIA: 21/04/2017 IV.2 Całkowita wartość zamówienia Wartość bez VAT35400 Walutazł IV.3) INFORMACJE O OFERTACH Liczba otrzymanych ofert4 w tym Liczba otrzymanych ofert od małych i średnich przedsiębiorstw: Liczba otrzymanych ofert od wykonawców z innych państw członkowskich Unii Europejskiej: 0 Liczba otrzymanych ofert od wykonawców z państw niebędących członkami Unii Europejskiej: 0 liczba ofert otrzymanych drogą elektroniczną: 0 IV.4) LICZBA ODRZUCONYCH OFERT: 2 IV.5) NAZWA I ADRES WYKONAWCY, KTÓREMU UDZIELONO ZAMÓWIENIA Zamówienie zostało udzielone wykonawcom wspólnie ubiegającym się o udzielenie: nie CompNet Sebastian Strzech, , ul. Leszczynowa 33A, 62 - 500 , Konin, kraj/woj. wielkopolskie Wykonawca jest małym/średnim przedsiębiorcą: nie Wykonawca pochodzi z innego państwa członkowskiego Unii Europejskiej: nie Skrót literowy nazwy państwa: Wykonawca pochodzi z innego państwa nie będącego członkiem Unii Europejskiej: nie Skrót literowy nazwy państwa: Sprawdź tą firmę: dane rejestrowe i kontaktowe firmy Consulting & Investment Sebastian Strzech jakie przetargi wygrała firma Consulting & Investment Sebastian Strzech IV.6) INFORMACJA O CENIE WYBRANEJ OFERTY/ WARTOŚCI ZAWARTEJ UMOWY ORAZ O OFERTACH Z NAJNIŻSZĄ I NAJWYŻSZĄ CENĄ/KOSZTEM Cena wybranej oferty/wartość umowy 43542 Oferta z najniższą ceną/kosztem 43542 > Oferta z najwyższą ceną/kosztem 53136 Waluta: zł IV.7) Informacje na temat podwykonawstwa Wykonawca przewiduje powierzenie wykonania części zamówienia podwykonawcy/podwykonawcom Wartość lub procentowa część zamówienia, jaka zostanie powierzona podwykonawcy lub podwykonawcom: IV.8) Informacje dodatkowe:

CZĘŚĆ NR: 2	NAZWA: Zadanie 2
Postępowanie/część zostało unieważnione nie Należy podać podstawę i przyczynę unieważnienia postępowania:
IV.1) DATA UDZIELENIA ZAMÓWIENIA: 21/04/2017 IV.2 Całkowita wartość zamówienia Wartość bez VAT41300 Walutazł IV.3) INFORMACJE O OFERTACH Liczba otrzymanych ofert5 w tym Liczba otrzymanych ofert od małych i średnich przedsiębiorstw: Liczba otrzymanych ofert od wykonawców z innych państw członkowskich Unii Europejskiej: 0 Liczba otrzymanych ofert od wykonawców z państw niebędących członkami Unii Europejskiej: 0 liczba ofert otrzymanych drogą elektroniczną: 0 IV.4) LICZBA ODRZUCONYCH OFERT: 2 IV.5) NAZWA I ADRES WYKONAWCY, KTÓREMU UDZIELONO ZAMÓWIENIA Zamówienie zostało udzielone wykonawcom wspólnie ubiegającym się o udzielenie: nie CompNet Sebastian Strzech, , ul. Leszczynowa 33A, 62 - 500 , Konin, kraj/woj. wielkopolskie Wykonawca jest małym/średnim przedsiębiorcą: nie Wykonawca pochodzi z innego państwa członkowskiego Unii Europejskiej: nie Skrót literowy nazwy państwa: Wykonawca pochodzi z innego państwa nie będącego członkiem Unii Europejskiej: nie Skrót literowy nazwy państwa: IV.6) INFORMACJA O CENIE WYBRANEJ OFERTY/ WARTOŚCI ZAWARTEJ UMOWY ORAZ O OFERTACH Z NAJNIŻSZĄ I NAJWYŻSZĄ CENĄ/KOSZTEM Cena wybranej oferty/wartość umowy 50799 Oferta z najniższą ceną/kosztem 50799 > Oferta z najwyższą ceną/kosztem 97047 Waluta: zł IV.7) Informacje na temat podwykonawstwa Wykonawca przewiduje powierzenie wykonania części zamówienia podwykonawcy/podwykonawcom Wartość lub procentowa część zamówienia, jaka zostanie powierzona podwykonawcy lub podwykonawcom: IV.8) Informacje dodatkowe:

CZĘŚĆ NR: 3	NAZWA: Zadanie 3
Postępowanie/część zostało unieważnione nie Należy podać podstawę i przyczynę unieważnienia postępowania:
IV.1) DATA UDZIELENIA ZAMÓWIENIA: 21/04/2017 IV.2 Całkowita wartość zamówienia Wartość bez VAT29500 Walutazł IV.3) INFORMACJE O OFERTACH Liczba otrzymanych ofert5 w tym Liczba otrzymanych ofert od małych i średnich przedsiębiorstw: Liczba otrzymanych ofert od wykonawców z innych państw członkowskich Unii Europejskiej: 0 Liczba otrzymanych ofert od wykonawców z państw niebędących członkami Unii Europejskiej: 0 liczba ofert otrzymanych drogą elektroniczną: 0 IV.4) LICZBA ODRZUCONYCH OFERT: 2 IV.5) NAZWA I ADRES WYKONAWCY, KTÓREMU UDZIELONO ZAMÓWIENIA Zamówienie zostało udzielone wykonawcom wspólnie ubiegającym się o udzielenie: nie CompNet Sebastian Strzech, , ul. Leszczynowa 33A, 62 - 500, Konin, kraj/woj. wielkopolskie Wykonawca jest małym/średnim przedsiębiorcą: nie Wykonawca pochodzi z innego państwa członkowskiego Unii Europejskiej: nie Skrót literowy nazwy państwa: Wykonawca pochodzi z innego państwa nie będącego członkiem Unii Europejskiej: nie Skrót literowy nazwy państwa: IV.6) INFORMACJA O CENIE WYBRANEJ OFERTY/ WARTOŚCI ZAWARTEJ UMOWY ORAZ O OFERTACH Z NAJNIŻSZĄ I NAJWYŻSZĄ CENĄ/KOSZTEM Cena wybranej oferty/wartość umowy 36285 Oferta z najniższą ceną/kosztem 36285 > Oferta z najwyższą ceną/kosztem 71217 Waluta: zł IV.7) Informacje na temat podwykonawstwa Wykonawca przewiduje powierzenie wykonania części zamówienia podwykonawcy/podwykonawcom Wartość lub procentowa część zamówienia, jaka zostanie powierzona podwykonawcy lub podwykonawcom: IV.8) Informacje dodatkowe:

CZĘŚĆ NR: 4	NAZWA: Zadanie 4
Postępowanie/część zostało unieważnione tak Należy podać podstawę i przyczynę unieważnienia postępowania: Uzasadnienie prawne: Zamawiający unieważnia postępowanie na podstawie art. 93 ust. 1 pkt 4 ustawy z dnia 29 stycznia 2004 roku Prawo zamówień publicznych (Dz. U. z 2015 poz. 2164 z późn. zm.). Uzasadnienie faktyczne: Zamawiający na realizację zamówienia przeznaczył kwotę 32 000 zł, zaś cena najkorzystniejszej oferty złożonej w postępowaniu wynosiła 57 687,00zł, w związku z czym Zamawiający unieważnia postępowanie, z uwagi na fakt, cena najkorzystniejszej oferty przewyższa kwotę, którą zamawiający zamierza przeznaczyć na sfinansowanie zamówienia. Jednocześnie Zamawiający nie ma możliwości zwiększenia tej kwoty do wartości najkorzystniejszej oferty.
IV.1) DATA UDZIELENIA ZAMÓWIENIA: IV.2 Całkowita wartość zamówienia Wartość bez VAT Waluta IV.3) INFORMACJE O OFERTACH Liczba otrzymanych ofert3 w tym Liczba otrzymanych ofert od małych i średnich przedsiębiorstw: Liczba otrzymanych ofert od wykonawców z innych państw członkowskich Unii Europejskiej: 0 Liczba otrzymanych ofert od wykonawców z państw niebędących członkami Unii Europejskiej: 0 liczba ofert otrzymanych drogą elektroniczną: 0 IV.4) LICZBA ODRZUCONYCH OFERT: 2 IV.5) NAZWA I ADRES WYKONAWCY, KTÓREMU UDZIELONO ZAMÓWIENIA Zamówienie zostało udzielone wykonawcom wspólnie ubiegającym się o udzielenie: nie , , , , , kraj/woj. Wykonawca jest małym/średnim przedsiębiorcą: nie Wykonawca pochodzi z innego państwa członkowskiego Unii Europejskiej: nie Skrót literowy nazwy państwa: Wykonawca pochodzi z innego państwa nie będącego członkiem Unii Europejskiej: nie Skrót literowy nazwy państwa: IV.6) INFORMACJA O CENIE WYBRANEJ OFERTY/ WARTOŚCI ZAWARTEJ UMOWY ORAZ O OFERTACH Z NAJNIŻSZĄ I NAJWYŻSZĄ CENĄ/KOSZTEM Cena wybranej oferty/wartość umowy Oferta z najniższą ceną/kosztem > Oferta z najwyższą ceną/kosztem Waluta: IV.7) Informacje na temat podwykonawstwa Wykonawca przewiduje powierzenie wykonania części zamówienia podwykonawcy/podwykonawcom Wartość lub procentowa część zamówienia, jaka zostanie powierzona podwykonawcy lub podwykonawcom: IV.8) Informacje dodatkowe:

CZĘŚĆ NR: 5	NAZWA: Zadanie 5
Postępowanie/część zostało unieważnione tak Należy podać podstawę i przyczynę unieważnienia postępowania: Uzasadnienie prawne: Zamawiający unieważnia postępowanie na podstawie art. 93 ust. 1 pkt 1 ustawy z dnia 29 stycznia 2004 roku Prawo zamówień publicznych (Dz. U. z 2015 poz. 2164 z późn. zm.). Uzasadnienie faktyczne: W przedmiotowym postępowaniu w zakresie części V dwóch wykonawców złożyło oferty. Jednocześnie każdy z tych wykonawców złożył oferty na pozostałe części (tj. części I - IV), mimo, że Zamawiający określił w SIWZ, że Wykonawca może złożyć ofertę maksymalnie na 3 części. W związku z powyższym oferty podlegają odrzuceniu w całości (wszystkie części), co jednocześnie oznacza, że w zakresie części V nie złożono żadnej oferty niepodlegającej odrzuceniu.
IV.1) DATA UDZIELENIA ZAMÓWIENIA: IV.2 Całkowita wartość zamówienia Wartość bez VAT Waluta IV.3) INFORMACJE O OFERTACH Liczba otrzymanych ofert2 w tym Liczba otrzymanych ofert od małych i średnich przedsiębiorstw: Liczba otrzymanych ofert od wykonawców z innych państw członkowskich Unii Europejskiej: 0 Liczba otrzymanych ofert od wykonawców z państw niebędących członkami Unii Europejskiej: 0 liczba ofert otrzymanych drogą elektroniczną: 0 IV.4) LICZBA ODRZUCONYCH OFERT: 2 IV.5) NAZWA I ADRES WYKONAWCY, KTÓREMU UDZIELONO ZAMÓWIENIA Zamówienie zostało udzielone wykonawcom wspólnie ubiegającym się o udzielenie: nie , , , , , kraj/woj. Wykonawca jest małym/średnim przedsiębiorcą: nie Wykonawca pochodzi z innego państwa członkowskiego Unii Europejskiej: nie Skrót literowy nazwy państwa: Wykonawca pochodzi z innego państwa nie będącego członkiem Unii Europejskiej: nie Skrót literowy nazwy państwa: IV.6) INFORMACJA O CENIE WYBRANEJ OFERTY/ WARTOŚCI ZAWARTEJ UMOWY ORAZ O OFERTACH Z NAJNIŻSZĄ I NAJWYŻSZĄ CENĄ/KOSZTEM Cena wybranej oferty/wartość umowy Oferta z najniższą ceną/kosztem > Oferta z najwyższą ceną/kosztem Waluta: IV.7) Informacje na temat podwykonawstwa Wykonawca przewiduje powierzenie wykonania części zamówienia podwykonawcy/podwykonawcom Wartość lub procentowa część zamówienia, jaka zostanie powierzona podwykonawcy lub podwykonawcom: IV.8) Informacje dodatkowe:

IV.9) UZASADNIENIE UDZIELENIA ZAMÓWIENIA W TRYBIE NEGOCJACJI BEZ OGŁOSZENIA, ZAMÓWIENIA Z WOLNEJ RĘKI ALBO ZAPYTANIA O CENĘ

IV.9.1) Podstawa prawna
Postępowanie prowadzone jest w trybie na podstawie art. ustawy Pzp.

IV.9.2) Uzasadnienia wyboru trybu
Należy podać uzasadnienie faktyczne i prawne wyboru trybu oraz wyjaśnić, dlaczego udzielenie zamówienia jest zgodne z przepisami.