Ogłoszenie nr 112429 - 2017 z dnia 2017-07-26 r.

Poznań: Wykonanie Audytu Stanu bezpieczeństwa informacji -2
OGŁOSZENIE O UDZIELENIU ZAMÓWIENIA -

Zamieszczanie ogłoszenia: obowiązkowe.

Ogłoszenie dotyczy: zamówienia publicznego

Zamówienie dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej

tak

Nazwa projektu lub programu
"Cyfrowe samorządy atutem Wielkopolski - nowe obszary świadczenia e-usług w 22 gminach województwa wielkopolskiego" (POWR.02.18.00.00-0001/16)

Zamówienie było przedmiotem ogłoszenia w Biuletynie Zamówień Publicznych: tak
Numer ogłoszenia: 65077 - 2017

Ogłoszenie o zmianie ogłoszenia zostało zamieszczone w Biuletynie Zamówień Publicznych:

SEKCJA I: ZAMAWIAJĄCY

Postępowanie zostało przeprowadzone przez centralnego zamawiającego

nie

Postępowanie zostało przeprowadzone przez podmiot, któremu zamawiający powierzył/powierzyli przeprowadzenie postępowania

nie

Postępowanie zostało przeprowadzone wspólnie przez zamawiających

nie

Postępowanie zostało przeprowadzone wspólnie z zamawiającymi z innych państw członkowskich Unii Europejskiej

nie

W przypadku przeprowadzania postępowania wspólnie z zamawiającymi z innych państw członkowskich Unii Europejskiej - mające zastosowanie krajowe prawo zamówień publicznych::
Informacje dodatkowe:

I. 1) NAZWA I ADRES: Wielkopolski Ośrodek Kształcenia i Studiów Samorządowych, krajowy numer identyfikacyjny 004806007, ul. Piotra Wawrzyniaka 37, 60-504 Poznań, państwo Polska, woj. wielkopolskie, tel. 61 847 54 22, faks 61 624 37 64, e-mail agnieszka.mendelewska@wokiss.pl

I. 2) RODZAJ ZAMAWIAJĄCEGO:

Inny: Stowarzyszenie

I.3) WSPÓLNE UDZIELANIE ZAMÓWIENIA (jeżeli dotyczy):

Podział obowiązków między zamawiającymi w przypadku wspólnego udzielania zamówienia, w tym w przypadku wspólnego przeprowadzania postępowania z zamawiającymi z innych państw członkowskich Unii Europejskiej (jeżeli zamówienie zostało udzielone przez każdego z zamawiających indywidualnie informacja w sekcji I jest podawana przez każdego z zamawiających, jeżeli zamówienie zostało udzielone w imieniu i na rzecz pozostałych zamawiających w sekcji I należy wskazać który z zamawiających zawarł umowę):

SEKCJA II: PRZEDMIOT ZAMÓWIENIA

II.1) Nazwa nadana zamówieniu przez zamawiającego:

Wykonanie Audytu Stanu bezpieczeństwa informacji -2

Numer referencyjny (jeżeli dotyczy):

5/PZP/AUD

II.2) Rodzaj zamówienia:

Usługi

II.3) Krótki opis przedmiotu zamówienia (wielkość, zakres, rodzaj i ilość dostaw, usług lub robót budowlanych lub określenie zapotrzebowania i wymagań ) a w przypadku partnerstwa innowacyjnego - określenie zapotrzebowania na innowacyjny produkt, usługę lub roboty budowlane:

Wykonanie Audytu Systemu zarządzania bezpieczeństwem informacji w celu oceny stopnia spełnienia wymogów Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Audytu KRI) wraz z Audytem Bezpieczeństwa Sieci dla oceny topologii sieci komputerowej oraz zidentyfikowania, a następnie wskazania sposobów wyeliminowania podatności na zagrożenia w systemach informatycznych (Audytu BS). I. Wykonanie Audytu Systemu zarządzania bezpieczeństwem informacji w celu oceny stopnia spełnienia wymogów Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Audytu KRI) wraz z Audytem Bezpieczeństwa Sieci dla oceny topologii sieci komputerowej oraz zidentyfikowania, a następnie wskazania sposobów wyeliminowania podatności na zagrożenia w systemach informatycznych (Audytu BS) dla 4 urzędów gmin: Gmina Bojanowo, Gmina Jaraczewo, Gmina Miejska Górka, Gmina Ostrów Wielkopolski. II. Zamawiający przez "Audyt KRI" rozumie sprawdzenie czy systemy informatyczne wykorzystywane przez dany podmiot oraz procedury stosowane w danym podmiocie i dokumentacja je opisująca zapewniają skuteczną ochronę danych przetwarzanych w podmiotach poddanych sprawdzeniu, a w szczególności spełniają wymogi określone w § 20 Rozporządzenia KRI. Przedmiot zamówienia obejmuje w szczególności: a) analizę regulacji wewnętrznych Gmin (polityk, instrukcji, regulaminów) i zapisów w zakresie bezpieczeństwa informacji, b) przeprowadzenie czynności audytorskich w siedzibach Gmin (weryfikacja zabezpieczeń fizycznych, organizacyjnych, technicznych), c) opracowanie wyników w postaci Raportu z Audytu KRI zawierającego opis stanu aktualnego, ewentualne stwierdzone nieprawidłowości oraz wnioski, rekomendacje i zalecenia w celu spełnienia wymagań Rozporządzenia KRI. W ramach Raportu z Audytu KRI będzie dostarczony wzór Polityki Bezpieczeństwa Informacji dopasowany do JST. Zakres działań w ramach Audytu KRI powinien obejmować skontrolowanie audytowanych jednostek w następujących obszarach: a) Zgodność z prawem: o Cel: W organizacji wprowadzane są dokumenty niezbędne do realizacji wymagań prawnych. o Ryzyko: Organizacja nie spełnia wymogów prawnych. b) Aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji: o Cel: Zapewnienie prawdziwej i szybkiej informacji na temat sprzętu i oprogramowania. o Ryzyko: W organizacji trudno uzyskać informacje na temat oprogramowania oraz sprzętu. c) Ocena przeprowadzanych analiz ryzyka: o Cel: Zidentyfikowanie zagrożeń mogących wystąpić w organizacji. o Ryzyko: Organizacja nie posiada zidentyfikowanych potencjalnych zagrożeń. d) Weryfikacja uprawnień: o Cel: Zapewnienie, że wszystkie osoby posiadają odpowiednie uprawnienia dostępu do informacji. o Ryzyko: Dostęp do informacji mogą posiadać nieuprawnione osoby. e) Procedury zmiany uprawnień: o Cel: Zapewnienie, że procedury zmian uprawnień dostępu do informacji są stosowane. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji dla niech nieprzeznaczonych. f) Uświadamianie użytkowników: o Cel: Pracownicy mają świadomość dotyczącą bezpieczeństwa informacji. o Ryzyko: Pracownicy nie znają procedur bezpieczeństwa i jak się zachować przy przetwarzaniu informacji. g) Zabezpieczenia fizyczne informacji: o Cel: Zapewnienie bezpieczeństwa fizycznego przetwarzanym informacjom. o Ryzyko: Dostęp do informacji może być możliwy dla osób nieupoważnionych przez złe stosowanie zabezpieczeń. h) Bezpieczeństwo w pracy mobilnej i na odległość: o Cel: Wykonywana praca przez pracowników odbywa się bezpiecznie bez względu na miejsce pracy. o Ryzyko: Zagrożenie wycieku informacji, spowodowane niewłaściwą pracą mobilną i wykonywaną na odległość. i) Weryfikacja dostępu do informacji: o Cel: Ochrona przed nieautoryzowaną modyfikacją, usunięcie informacji. o Ryzyko: Informacja nie jest chroniona przed nieautoryzowaną modyfikacją i ochroną. j) Kontakty ze stronami trzecimi: o Cel: Zapewnienie bezpieczeństwa informacji podczas dostępu do informacji przez firmy zewnętrzne. o Ryzyko: Brak nadzoru nad dostępem do informacji przez firmy zewnętrzne. k) Postępowanie z informacją: o Cel: Zapewnienie minimalizacji wystąpienia ryzyka kradzieży informacji. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji. l) Bezpieczeństwo teleinformatyczne: o Cel: Zapewnienie bezpieczeństwa przetwarzania informacji w systemach informatycznych: o Ryzyko: Systemy informatyczne nie są odpowiednio chronione. m) Działania związane z incydentami: o Cel: Organizacja posiada informacje na temat występowania incydentów. o Ryzyko: Organizacja nie reaguje i nie likwiduje przyczyn wystąpienia incydentów. n) Wykonywanie cyklicznych kontroli wewnętrznych: o Cel: Organizacja monitoruje i poprawia SZBI. o Ryzyko: Brak poprawnie działającego SZBI. Audyt KRI zostanie przeprowadzony w oparciu o istniejącą dokumentację, wizje lokalne, wywiady przeprowadzone z pracownikami Gmin, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne oraz za administrację systemami informatycznymi oraz osobami użytkującymi systemy informatyczne. Postawą realizacji prac będzie norma wskazana w Rozporządzeniu KRI: PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu KRI będzie Raport indywidualny dla każdego podmiotu, przedstawiający poziom bezpieczeństwa informacji zgodnie z wymaganiami KRI, a także zalecenia i rekomendacje w celu wypełnienia wymagań Rozporządzenia i podniesienia poziomu bezpieczeństwa informacji w niej gromadzonej i przetwarzanej. Załącznikiem do Raportu z Audytu KRI będzie wzór Polityki Bezpieczeństwa Informacji dopasowany do JST. Po przeprowadzeniu Audytu KRI i opracowaniu Raportu Wykonawca przeprowadzi spotkanie z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi, indywidualnie dla każdego podmiotu, celem zaprezentowania wyników Audytu oraz zleceń i rekomendacji zawartych w Raporcie. III. Zamawiający przez "Audyt Bezpieczeństwa Sieci" rozumie badanie struktury sieci komputerowej oraz jej podatności na próby ataków pod kątem: nieautoryzowanego dostępu, luk bezpieczeństwa wykorzystywanego oprogramowania, zabezpieczeń sieciowych. Audyt Bezpieczeństwa Sieci obejmuje analizę wskazanych urządzeń, w tym w szczególności: a) sprawdzenie wybranych urządzeń systemowych, b) badanie wskazanych serwerów, c) sprawdzenie wskazanych stacji roboczych. Zakres działań w zakresie Audytu Bezpieczeństwa Sieci obejmuje a) Analizę topologii sieci komputerowych w instytucji: lokalizacje, strefy i klasy adresowe (badanie sieci pod kątem stref wykrytych adresów). b) Analizę połączenia sieci lokalnych z sieciami: własnymi (inne lokalizacje np. VPN), obcymi (np. MSWiA) i sieciami publicznymi - Internet. c) Analizę warstwy aktywnej sieci - UTM, Firewall, Router, Switch, VLAN ze wskazaniem dobrych praktyk w zakresie konfiguracji i określenia reguł w urządzeniach dostępowych. d) Testy wskazanych serwerów i hostów udostępniających zasoby lub usługi w sieci. e) Sprawdzenie zasad dostępu do zasobów i usług (połączenie, uwierzytelnienie). f) Sprawdzenie mechanizmów dotyczących odporności i wykrywania podatności na ataki wewnętrzne (DoS, ARP/MAC SPOOFING). g) Przygotowanie podstawowych zaleceń ochrony do wykrytych podatności sieci i serwerów. h) Analizę i zalecenia dotyczące centralizacji lub rozproszenia zasobów i usług oraz ich redundancji. i) Zalecenia dotyczące zasad utrzymania sieci. j) Analizę polityki dostępu do zasobów. Audyt Bezpieczeństwa Sieci zostanie przeprowadzony w oparciu o wizje lokalne, testowanie wybranych urządzeń oraz wywiady przeprowadzone z pracownikami Gmin, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo sieci oraz za administrację systemami informatycznymi. Postawą realizacji Audytu Bezpieczeństwa Sieci będzie norma PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu BS będzie Raport zawierający analizę wyników indywidualnie dla każdego podmiotu, wraz z rekomendacjami i wskazaniem dodatkowych metod ochrony sieci i jej zasobów uwzględniająca plany rozwojowe. Raport powinien zawierać opis topologii sieci i wykryte podatności podzielone i przypisane, według stopnia zagrożenia, do jednej z grup: o grupa zagrożenia centralne (Infrastruktura i serwery): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie, o grupa zagrożenia klienckie (enduser): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie. Ponadto Raport zawierać będzie następujące informacje: o wykaz stref i adresów IP hostów poddanych testom, o wykaz udostępnionych zasobów sieciowych lub usług, do których dostęp można uzyskać bez podania poświadczeń, o zalecenia dotyczące polityki uwierzytelnienia użytkowników, o sugestie dotyczące zwiększenia stopnia bezpieczeństwa i wysokiej dostępności, indywidualne zalecenia dotyczące wykrytych podatności i planów rozwojowych audytowanego środowiska. Po przeprowadzeniu Audytu BS i opracowaniu Raportu Wykonawca zobowiązuje się do przeprowadzenia spotkania z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi, indywidualnie dla każdego podmiotu, celem zaprezentowania wyników audytu oraz zleceń i rekomendacji zawartych w Raporcie. IV. Zakres współpracy 1. Do prawidłowego wykonania usług Wykonawca będzie miał zapewniony pełny dostęp do dokumentacji określającej sposób zabezpieczania informacji w audytowanej jednostce, dostęp do pomieszczeń niezbędnych w celu analizy systemu zabezpieczeń, struktura organizacyjna audytowanej jednostki. 2. W każdej audytowanej jednostce wskazana zostanie osoba do współpracy z Wykonawcą odpowiedzialna za bezpieczeństwo informacji w audytowanych jednostkach. 3. Wywiad oraz weryfikacja przeprowadzane będą w zależności od dostępności osób, zaangażowanych w działanie w audytowanych jednostkach. 4. Wywiad polega na zadawaniu pytań krzyżowych oraz otwartych. Przeprowadzony będzie osobiście oraz za pomocą wszelkich dostępnych środków komunikacji zgodnie z Polityką Bezpieczeństwa danego podmiotu. 5. Zadanie uważa się za wykonane w momencie przekazania Zamawiającemu protokołu z wykonanych prac podpisanego przez osobę uprawnioną do reprezentowania audytowanej jednostki i Wykonawcę. 6. Wykonawca zobowiązany będzie do przedłożenia Zamawiającemu harmonogramu prac dla danej grupy Gmin w terminie 10 dni od daty podpisania umowy.

II.4) Informacja o częściach zamówienia:
Zamówienie podzielone jest na części:

Nie

II.5) Główny Kod CPV: 79212000-3
Dodatkowe kody CPV:

SEKCJA III: PROCEDURA

III.1) TRYB UDZIELENIA ZAMÓWIENIA

Przetarg nieograniczony

III.2) Ogłoszenie dotyczy zakończenia dynamicznego systemu zakupów

III.3) Informacje dodatkowe:

SEKCJA IV: UDZIELENIE ZAMÓWIENIA

Postępowanie/część zostało unieważnione nie Należy podać podstawę i przyczynę unieważnienia postępowania:
IV.1) DATA UDZIELENIA ZAMÓWIENIA: 12/05/2017 IV.2 Całkowita wartość zamówienia Wartość bez VAT17582.11 Walutazł IV.3) INFORMACJE O OFERTACH Liczba otrzymanych ofert5 w tym Liczba otrzymanych ofert od małych i średnich przedsiębiorstw: Liczba otrzymanych ofert od wykonawców z innych państw członkowskich Unii Europejskiej: 0 Liczba otrzymanych ofert od wykonawców z państw niebędących członkami Unii Europejskiej: 0 liczba ofert otrzymanych drogą elektroniczną: 0 IV.4) LICZBA ODRZUCONYCH OFERT: 0 IV.5) NAZWA I ADRES WYKONAWCY, KTÓREMU UDZIELONO ZAMÓWIENIA Zamówienie zostało udzielone wykonawcom wspólnie ubiegającym się o udzielenie: nie Eniac Jakub Staśkiewicz, , Ul. Chełmońskiego 1/3, 60-753 , Poznań, kraj/woj. wielkopolskie Wykonawca jest małym/średnim przedsiębiorcą: nie Wykonawca pochodzi z innego państwa członkowskiego Unii Europejskiej: nie Skrót literowy nazwy państwa: Wykonawca pochodzi z innego państwa nie będącego członkiem Unii Europejskiej: nie Skrót literowy nazwy państwa: Sprawdź tą firmę: dane rejestrowe i kontaktowe firmy JAKUB STAŚKIEWICZ "ENIAC" jakie przetargi wygrała firma JAKUB STAŚKIEWICZ "ENIAC" IV.6) INFORMACJA O CENIE WYBRANEJ OFERTY/ WARTOŚCI ZAWARTEJ UMOWY ORAZ O OFERTACH Z NAJNIŻSZĄ I NAJWYŻSZĄ CENĄ/KOSZTEM Cena wybranej oferty/wartość umowy 26599.98 Oferta z najniższą ceną/kosztem 26599.98 > Oferta z najwyższą ceną/kosztem 29323.20 Waluta: zł IV.7) Informacje na temat podwykonawstwa Wykonawca przewiduje powierzenie wykonania części zamówienia podwykonawcy/podwykonawcom Wartość lub procentowa część zamówienia, jaka zostanie powierzona podwykonawcy lub podwykonawcom: IV.8) Informacje dodatkowe:

IV.9) UZASADNIENIE UDZIELENIA ZAMÓWIENIA W TRYBIE NEGOCJACJI BEZ OGŁOSZENIA, ZAMÓWIENIA Z WOLNEJ RĘKI ALBO ZAPYTANIA O CENĘ

IV.9.1) Podstawa prawna
Postępowanie prowadzone jest w trybie na podstawie art. ustawy Pzp.

IV.9.2) Uzasadnienia wyboru trybu
Należy podać uzasadnienie faktyczne i prawne wyboru trybu oraz wyjaśnić, dlaczego udzielenie zamówienia jest zgodne z przepisami.