Warszawa: PRZEPROWADZENIE AUDYTU INFORMATYCZNEGO SYSTEMU KSI SIMIK 07-13
Numer ogłoszenia: 143388 - 2008; data zamieszczenia: 27.06.2008
OGŁOSZENIE O ZAMÓWIENIU - usługi

Zamieszczanie ogłoszenia: obowiązkowe.

Ogłoszenie dotyczy: zamówienia publicznego.

SEKCJA I: ZAMAWIAJĄCY

I. 1) NAZWA I ADRES: Ministerstwo Finansów, Departament Rozwoju Systemów Informatycznych, ul. Świętokrzyska 12, 00-916 Warszawa, woj. mazowieckie, tel. 022 694 32 85, fax 022 6945268, 6945503.

• Adres strony internetowej zamawiającego: www.mf.gov.pl

I. 2) RODZAJ ZAMAWIAJĄCEGO: Administracja rządowa centralna.

SEKCJA II: PRZEDMIOT ZAMÓWIENIA

II.1) OPIS

II.1.1) Nazwa nadana zamówieniu przez zamawiającego: PRZEPROWADZENIE AUDYTU INFORMATYCZNEGO SYSTEMU KSI SIMIK 07-13.

II.1.2) Rodzaj zamówienia: usługi.

II.1.3) Określenie przedmiotu oraz wielkości lub zakresu zamówienia: Zakres audytu 1) Infrastruktura informatyczna Audyt infrastruktury informatycznej obejmować będzie: a) audyt Systemu dostępnego z Internetu, b) audyt Systemu dostępnego z sieci LAN, c) audyt urządzeń aktywnych wykorzystywanych w ramach Systemu (Nortel Part Number: 32R1860), d) audyt serwerów wykorzystywanych w ramach Systemu (IBM blade HS21 - 8853L6G). Zakres audytu infrastruktury informatycznej: a) testy penetracyjne urządzeń (wykonane przy pomocy narzędzi analizujących sieć). Testy te muszą obejmować: - badanie portów sieciowych celem wykrycia potencjalnych luk bezpieczeństwa w dostępnych usługach, - odporności na ataki typu denial of service, - użycie przez Wykonawcę narzędzi eksploatujących wykryte luki bezpieczeństwa, - analiza środowiska sieciowego (skanowanie, dekodowanie, analiza protokołów i pakietów w sieci, statystyki ruchu sieciowego, przykładowa ewidencja zdarzeń sieciowych, przegląd topologii sieci, systemów operacyjnych pod kątem sieciowym), - analiza aktualności oprogramowania urządzeń (firmware), wygenerowanie listy wszystkich koniecznych uaktualnień oprogramowania (jeśli wymagane). 2) systemy operacyjne oraz bazodanowe W skład audytu wchodzą następujące systemy: a) audyt systemów operacyjnych MS Windows Server 2003 EE, b) audyt systemu bazodanowego ORACLE 9i. Zakres audytu systemów operacyjnych i bazodanowych: a) analiza uruchomionych usług (w szczególności analiza usługi MS IIS) pod kątem bezpieczeństwa, b) poprawność instalacji i konfiguracji systemów operacyjnych i bazodanowych pod kątem bezpieczeństwa - sprawdzenie prawidłowości wykonanego hardeningu, c) opracowanie niezbędnych ustawień i wygenerowanie listy wszystkich koniecznych uaktualnień (jeżeli takie są konieczne), d) sprawdzenie i analiza wydajności połączenia serwer aplikacyjny - serwer bazodanowy. 3) aplikacja KSI SIMIK 07-13 Audyt aplikacji KSI SIMIK 07-13 musi zawierać, w szczególności: a) audyt środowiska klienckiego pod kątem bezpiecznej konfiguracji przeglądarki u typowego (przykładowego) użytkownika, b) audyt ilości przesyłanych danych przez typowego (przykładowego) użytkownika - określenie ilości przesyłanych danych pomiędzy klientem a serwerem aplikacyjnym oraz pomiędzy serwerem aplikacyjnym i bazodanowym dla typowego (przykładowego) użytkownika, c) audyt procesu uwierzytelnienia w Systemie (pod kątem jego bezpieczeństwa - możliwość złamania danych, podszycia się pod innego użytkownika, możliwość nieuprawnionego zalogowania). Zakres audytu aplikacji KSI SIMIK 07-13: a) analiza podatności aplikacji KSI SIMIK 07-13 (stwierdzenie słabości aplikacji i oprogramowania, z którymi się ona komunikuje (baza danych Oracle)) na znane ataki, np. poprzez wykorzystanie dostępnych z poziomu zwykłego użytkownika okien dialogowych aplikacji). b) weryfikacja kodu aplikacji KSI SIMIK 07-13: - ze względu na sposób napisania kodu pod kątem bezpieczeństwa - weryfikacja, czy kod spełnia dobre wzorce projektowe oraz dobre praktyki przyjęte w tego typu systemach informatycznych, - pod kątem wydajności aplikacji - określenie czy ilość przesyłanych danych jest optymalna przy przyjętym rozwiązaniu. - analiza prawidłowości wyboru rozwiązania sprzętowego dla aplikacji KSI SIMIK 07-13 pod kątem bezpieczeństwa i wydajności. 4) Audyt przyjętej polityki bezpieczeństwa (wraz z procedurami): a) audyt dokumentów polityki bezpieczeństwa Systemu oraz przyjętych w tym zakresie procedur pod kątem ich poprawności, adekwatności oraz zgodności z wybraną normą, b) sporządzenie listy ewentualnych nieprawidłowości, braków i uzgodnienie, sformułowanie oraz oprcowanie nowych zasad i procedur mających na celu poprawę obecnego stanu.

II.1.4) Wspólny Słownik Zamówień (CPV): Oryginalny kod CPV: 74.12.11.10 - Usługi prowadzenia ksiąg rachunkowych Kod CPV wg słownika 2008: 79.21.11.00 - Usługi księgowania .

II.1.5) Czy dopuszcza się złożenie oferty częściowej: Nie.

II.1.6) Czy dopuszcza się złożenie oferty wariantowej: Nie.

II.2) CZAS TRWANIA ZAMÓWIENIA LUB TERMIN WYKONANIA: okres w dniach: 60.

SEKCJA III: INFORMACJE O CHARAKTERZE PRAWNYM, EKONOMICZNYM, FINANSOWYM I TECHNICZNYM

III.1) WARUNKI DOTYCZĄCE ZAMÓWIENIA

• Informacja na temat wadium: 1. Wykonawca przystępujący do przetargu jest obowiązany wnieść wadium w wysokości: 4.000 zł. (słownie: cztery tysiące 2. Wadium może być wnoszone w jednej lub kilku następujących formach: 1) w pieniądzu lub 2) poręczeniach bankowych lub 3) poręczeniach spółdzielczej kasy oszczędnościowo-kredytowej, z tym że poręczenie kasy musi być poręczeniem pieniężnym, 4) gwarancjach bankowych, 5) gwarancjach ubezpieczeniowych lub poręczeniach udzielanych przez podmioty, o których mowa w art. 6b ust. 5 pkt 2 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2000 r. Nr 109, poz. 1158, z późn. zm.). 3. Wniesione wadium musi obejmować okres związania ofertą i nie może zawierać żadnych ograniczeń sprzecznych z ustawą Prawo zamówień publicznych, w szczególności ograniczających możliwość zrealizowania praw określonych w art. 46 ust. 5 Ustawy. 4. W przypadku składania oferty przez Wykonawców występujących wspólnie, wadium musi być wniesione przez wszystkich lub za wszystkich Wykonawców występujących wspólnie, co musi jednoznacznie wynikać z dokumentu potwierdzającego wniesienie wadium lub dokumentu stanowiącego wadium. 5. Wpłaty pieniężne musza być wpłacone na rachunek bankowy Ministerstwa Finansów: BGK I Oddział Warszawa 78 1130 1017 0200 0000 0013 7228. 6. Potwierdzenie wniesienia wadium należy dołączyć do oferty. Wymagane jest doręczenie oryginału dokumentu, a w przypadku wpłaty pieniężnej - kopii dowodu wykonanej operacji..

III.2) WARUNKI UDZIAŁU

• Opis warunków udziału w postępowaniu oraz opis sposobu dokonywania oceny spełniania tych warunków: O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy: 1) posiadają uprawnienia do wykonywania określonej działalności lub czynności, jeżeli ustawy nakładają obowiązek posiadania takich uprawnień, 2) posiadają niezbędną wiedzę, doświadczenie, potencjał techniczny, dysponują osobami zdolnymi do wykonania zamówienia, w szczególności: a) wykażą się należytym wykonaniem, w okresie ostatnich trzech lat przed dniem wszczęcia postępowania o udzielenie niniejszego zamówienia, minimum dwóch zamówień, obejmujących audyt informatyczny systemu (w tym audyt bezpieczeństwa informatycznego) i każde z zamówień o wartości min. 40.000 zł.; b) dysponują min. 2 osobami posiadającymi certyfikaty lub inne dokumenty równorzędne, potwierdzające kwalifikacje do przeprowadzenia audytu zgodnie z normą ISO 17799 oraz wytycznymi OSSTMM; 3) znajdują się w sytuacji ekonomicznej i finansowej zapewniającej wykonanie zamówienia, w szczególności posiadają ubezpieczenie od odpowiedzialności cywilnej w zakresie prowadzonej działalności na kwotę min. 100.000 zł. 4) nie podlegają wykluczeniu z postępowania o udzielenie zamówienia, 5) zapewnią, że osoby i podmioty dedykowane do wykonania audytu są niezależne względem Ministerstwa Finansów (Zamawiającego), Ministerstwa Rozwoju Regionalnego i firmy COMARCH S.A., z siedzibą w Krakowie przy Al. Jana Pawła II 39A oraz w żadnym przypadku nie były zaangażowane w proces tworzenia Systemu. Zamawiający dokona oceny spełniania warunków określonych w SIWZ metodą spełnia albo nie spełnia. Niespełnienie któregokolwiek z warunków spowoduje wykluczenie Wykonawcy z postępowania. Zamawiający wezwie Wykonawców, którzy w określonym terminie nie złożyli oświadczeń lub dokumentów, o których mowa w art. 25 ust. 1 Ustawy, lub którzy złożyli dokumenty, o których mowa w art. 25 ust. 1 Ustawy, zawierające błędy, do ich uzupełnienia w wyznaczonym terminie, chyba że mimo ich uzupełnienia oferta wykonawcy podlega odrzuceniu lub konieczne byłoby unieważnienie postępowania.
• Informacja o oświadczeniach i dokumentach, jakie mają dostarczyć wykonawcy w celu potwierdzenia spełniania warunków udziału w postępowaniu: 1. Wypełniony i podpisany druk formularza oferty wg wzoru stanowiącego Załącznik Nr 1 do Specyfikacji istotnych warunków zamówienia . 2. Oświadczenie Wykonawcy z art. 44 ustawy, że: 1) posiada uprawnienia do wykonywania określonej działalności lub czynności, jeżeli ustawy nakładają obowiązek posiadania, takich uprawnień, 2) posiada niezbędną wiedzę i doświadczenie oraz dysponuje potencjałem technicznym i osobami zdolnymi do wykonania zamówienia, w szczególności: a) realizowali, w okresie ostatnich trzech lat przed dniem wszczęcia postępowania o udzielenie niniejszego zamówienia, minimum dwa zamówienia, obejmujące audyt informatyczny systemu (w tym audyt bezpieczeństwa informatycznego), każde z zamówień o wartości min. 40.000 zł.; b) dysponuje min. 2 osobami posiadającymi certyfikaty lub inne dokumenty równorzędne, potwierdzające kwalifikacje do przeprowadzenia audytu zgodnie z normą ISO 17799 oraz wytycznymi OSSTMM; 3) znajduje się w sytuacji ekonomicznej i finansowej zapewniającej wykonanie zamówienia, w szczególności: posiada ubezpieczenie od odpowiedzialności cywilnej w zakresie prowadzonej działalności na kwotę min. 100.000 zł; 4) nie podlega wykluczeniu z postępowania o udzielenie zamówienia. 3. Aktualny i wystawiony nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert odpis z właściwego rejestru lub aktualne zaświadczenie o wpisie do ewidencji działalności gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub zgłoszenia do ewidencji działalności gospodarczej. 4. Wykaz wykonanych dostaw lub usług w okresie ostatnich trzech lat przed dniem wszczęcia postępowania o udzielenie zamówienia, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, odpowiadających swoim rodzajem i wartością dostawom lub usługom stanowiącym przedmiot zamówienia, z podaniem ich wartości, przedmiotu, dat wykonania i odbiorców, wraz z dokumentami potwierdzającymi, że te dostawy lub usługi zostały wykonane należycie, potwierdzający spełnianie warunku określonego w Rozdziale II.2.a Specyfikacji. 5. Wykaz osób i podmiotów, które będą uczestniczyć w wykonywaniu zamówienia wraz z informacjami na temat ich kwalifikacji zawodowych, doświadczenia i wykształcenia niezbędnych do wykonania zamówienia, a także zakresu wykonywanych przez nich czynności, potwierdzający spełnianie warunki określonego w Rozdziale II.2.b Specyfikacji. Wykonawca zobowiązany jest przedstawić kopie dokumentów potwierdzających posiadanie uprawnień przez te osoby do prowadzenia działań audytowych we wskazanym standardzie audytu. 6. Polisa, a w przypadku jej braku inny dokument potwierdzający, że Wykonawca jest ubezpieczony od odpowiedzialności cywilnej w zakresie prowadzonej działalności, potwierdzający spełnianie warunku określonego w Rozdziale II.3 Specyfikacji. 7. Oświadczenie o niezależności osób i podmiotów dedykowanych do wykonania audytu względem Ministerstwa Finansów (Zamawiającego), Ministerstwa Rozwoju Regionalnego i firmy COMARCH S.A., z siedzibą w Krakowie przy Al. Jana Pawła II 39A oraz, że w żadnym przypadku nie były zaangażowane w proces tworzenia Systemu. 8. W przypadku, gdy Wykonawcy wspólnie ubiegają się o zamówienie - pełnomocnictwo do reprezentowania Wykonawców w postępowaniu o udzielenie zamówienia albo reprezentowania w postępowaniu i zawarcia umowy w sprawie zamówienia publicznego, zgodnie z art. 23 ust. 2 ustawy.

SEKCJA IV: PROCEDURA

IV.1) TRYB UDZIELENIA ZAMÓWIENIA

IV.1.1) Tryb udzielenia zamówienia: przetarg nieograniczony.

IV.2) KRYTERIA OCENY OFERT

IV.2.1) Kryteria oceny ofert: najniższa cena.

IV.2.2) Wykorzystana będzie aukcja elektroniczna: Nie.

IV.3) INFORMACJE ADMINISTRACYJNE

IV.3.1) Adres strony internetowej, na której dostępna jest specyfikacja istotnych warunków zamówienia: www.mf.gov.pl

Specyfikację istotnych warunków zamówienia można uzyskać pod adresem: Ministerstwo Finansów ul. Świętokrzyska 12 pok 212 00-916 Warszawa.

IV.3.4) Termin składania wniosków o dopuszczenie do udziału w postępowaniu lub ofert: 14.07.2008 godzina 11:30, miejsce: Ministerstwo Finansów ul. Świętokrzyska 12 pok 212 00-916 Warszawa.

IV.3.5) Termin związania ofertą: okres w dniach: 30 (od ostatecznego terminu składania ofert).

IV.3.6) Informacje dodatkowe, w tym dotyczące finansowania projektu/programu ze środków Unii Europejskiej: Zamówienie będzie dofinansowane ze środków Europejskiego Funduszu Rozwoju Regionalnego w Ramach Programu Operacyjnego Pomoc Techniczna 2004 - 2006 (projekt POPT/2.1/2008/03)