Ogłoszenie o zmianie ogłoszenia
„Zakup usługi audytu podatności, bezpieczeństwa i zgodności platformy regionalnej pn. eCaremed”

SEKCJA I - ZAMAWIAJĄCY

1.1.) Nazwa zamawiającego: SP ZOZ Szpital Wielospecjalistyczny w Jaworznie

1.2.) Oddział zamawiającego: Dział Zamówień Publicznych

1.3.) Krajowy Numer Identyfikacyjny: REGON 270641184

1.4.) Adres zamawiającego:

1.4.1.) Ulica: Chełmońskiego 28

1.4.2.) Miejscowość: Jaworzno

1.4.3.) Kod pocztowy: 43-600

1.4.4.) Województwo: śląskie

1.4.5.) Kraj: Polska

1.4.6.) Lokalizacja NUTS 3: PL22B - Sosnowiecki

1.4.7.) Numer telefonu: 326164482

1.4.9.) Adres poczty elektronicznej: zampubl@szpital.jaworzno.pl

1.4.10.) Adres strony internetowej zamawiającego: www.szpital.jaw.pl

1.5.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - samodzielny publiczny zakład opieki zdrowotnej

1.6.) Przedmiot działalności zamawiającego: Zdrowie

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Numer ogłoszenia: 2024/BZP 00248559

2.2.) Data ogłoszenia: 2024-03-18

SEKCJA III ZMIANA OGŁOSZENIA

3.2.) Numer zmienianego ogłoszenia w BZP: 2024/BZP 00239738

3.3.) Identyfikator ostatniej wersji zmienianego ogłoszenia: 01

3.4.) Identyfikator sekcji zmienianego ogłoszenia:

SEKCJA V - KWALIFIKACJA WYKONAWCÓW

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

5.4. Nazwa i opis warunków udziału w postępowaniu

Przed zmianą:
O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają warunki dotyczące:
1) zdolności do występowania w obrocie gospodarczym:
Zamawiający nie stawia warunku w powyższym zakresie.
2) uprawnień do prowadzenia określonej działalności gospodarczej lub zawodowej, o ile wynika to z odrębnych przepisów:
Zamawiający nie stawia warunku w powyższym zakresie.
3) sytuacji ekonomicznej lub finansowej:
Zamawiający nie stawia warunku w powyższym zakresie.
4) zdolności technicznej lub zawodowej:

A. Wykonawca musi posiadać wiedzę i doświadczenie, w projektach realizowanych na przestrzeni ostatnich 3 lat liczonych wstecz od dnia terminu składnia ofert, w zakresie przedmiotu postępowania:
a. potwierdzające wykonanie co najmniej trzech usług o wartości co najmniej 100 tysięcy PLN brutto każda,- obejmujących wykonanie testów penetracyjnych aplikacji webowych, w tym jednej połączonej z audytem, o wartości łącznej co najmniej 150 tysięcy PLN brutto, projektowanej w celu udostępnienia do korzystania dla co najmniej 150 tysięcy użytkowników;
b. co najmniej trzy usługi w zakresie analizy infrastruktury z uwzględnieniem wirtualizacji zasobów;
c. co najmniej trzy usługi w zakresie audytu zgodności z Krajowymi Ramami Interoperacyjności (dalej KRI);
d. co najmniej trzy usługi wykonania audytu zgodności z Ustawą o Krajowym Systemie Cyberbezpieczeństwa (dalej KSC).
Przez jedno zadanie rozumie się realizację usług w ramach odrębnej umowy.

B. Wymagania wobec zespołu Wykonawcy
Wykonawca musi dysponować personelem do przeprowadzenia audytu posiadającym kompetencje zgodne z niżej zamieszczonym opisem.

1. Przynajmniej cztery osoby posiadające wiedzę i doświadczenie:
a. Pentester, Audytor bezpieczeństwa organizacyjnego i technicznego - 1 osoba:
• posiadający co najmniej 3 letnie doświadczenie, zdobyte sumarycznie w ciągu 4 lat poprzedzających dzień złożenia oferty niniejszym postępowaniu, w zakresie prowadzenia testów penetracyjnych uwzględniających założenia z metodyki Penetration Testing Execution Standard albo OWASP Testing Guide,
• wykonywał testy penetracyjne webaplikacji, projektowanej w celu jej udostępnienia do korzystania dla co najmniej 150 tysięcy użytkowników;
• wykonywał testy penetracyjne w przynajmniej 3 projektach projektowanych w celu ich udostępnienia do korzystania dla sumarycznie co najmniej 300 tysięcy użytkowników;
• posiada doświadczenie w przygotowaniu kompleksowej dokumentacji testów penetracyjnych z przynajmniej 2 testów; ,
• posiada certyfikat uprawniający do przeprowadzenia zgodnie z rozporządzeniem Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu; link https://www.dziennikustaw.gov.pl/DU/2018/1999;
• posiada co najmniej 3 letnie doświadczenie w zakresie pełnienia funkcji pentestera OSCP (Offensive Security Certified Professional) lub równoważne,
b. Pentester – 3 osoby:
• z uwagi na charakter zobowiązań wynikających z zawartych z wykonawcami kluczowych komponentów platformy umów, co najmniej 2 letnie doświadczenie w zakresie pełnienia funkcji pentestera OSCP (Offensive Security Certified Professional), co najmniej 2 letnie doświadczenie w zakresie prowadzenia audytów bezpieczeństwa technicznego uwzględniających założenia OWASP ASVS dla przynajmniej dwóch projektów;
• wykonywał testy penetracyjne w projekcie informatycznym projektowanym w celu jego udostępnienia do korzystania dla co najmniej 100 tysięcy użytkowników I przetwarzającego dane osobowe tych użytkowników;
• wykonywał testy penetracyjne w przynajmniej 3 projektach informatycznych projektowanych w celu ich udostępnienia do korzystania dla sumarycznie co najmniej 200 tysięcy użytkowników
• co najmniej jedna z osób powyżej posiada certyfikat TOGAF 9 lub inny równoważny z zakresu architektury.
2. Audytor bezpieczeństwa teleinformatycznego - co najmniej trzy osoby:
• posiada co najmniej 3 letnie doświadczenie w zakresie pełnienia funkcji audytora potwierdzone jednym z certyfikatów uprawniających do przeprowadzenia audytu rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu;
• posiada co najmniej 2 letnie doświadczenie w zakresie prowadzenia audytów z KRI albo z KSC;
• wykonywał audyty bezpieczeństwa.
3. Kierownik projektu – jedna osoba
• posiada certyfikat PRINCE 2 Practitioner lub równoważne w zakresie metodologicznego zarządzania realizacją projektów informatycznych;
• posiada co najmniej 3 letnie doświadczenie w kierowania co najmniej jednym projektem testów penetracyjnych i audytów bezpieczeństwa projektów informatycznych, do korzystania przez 150 tysięcy użytkowników.
Zamawiający nie dopuszcza łączenia wyżej wykazanych ról.
Dopuszcza się zmianę osób zaangażowanych w realizację przedmiotu zamówienia, na etapie realizacji, o ile te osoby będą posiadały co najmniej takie same kompetencje i doświadczenie jak zadeklarowane w ofercie.

Warunki równoważności
I. Jako równoważny do certyfikatu OSCP zamawiający uzna certyfikat, który:
1. Wymaga programu szkolenia pokrywającego następujące obszary:
• Pasywne i aktywne zbieranie informacji
• Skanowanie w poszukiwaniu podatności
• Typowe ataki na aplikacje webowe
• Ataki typu SQL Injection
• Ataki typu Client-Side
• Wyszukiwanie publicznie dostępnych exploitów
• Dostosowywanie exploitów
• Unikanie wykrycia przez programy antywirusowe
• Ataki na hasła
• Eskalacja uprawnień w systemach Windows
• Eskalacja uprawnień w systemach Linux
• Zaawansowane tunelowanie ruchu sieciowego
• Korzystanie z Metasploit Framework
• Wprowadzenie do Active Directory (AD) i enumeracja
• Ataki na mechanizm uwierzytelnienie w Active Directory
• Atakowanie innych urządzeń w domenie Active Directory (ang. lateral movement)
• Synteza zdobytej wiedzy na przykładzie prawdziwego testu penetracyjnego
• Pisanie raportu z testów penetracyjnych
• Program szkoleniowy i egzaminacyjny powinien być regularnie aktualizowany, aby odzwierciedlał najnowsze zagrożenia, narzędzia i techniki w bezpieczeństwie cybernetycznym. Aktualizacje powinny być wprowadzane co najmniej raz w roku.
2. Praktyczna część szkolenia
• Uczestnik szkolenia brał udzał w zaawansowanych laboratoriach, które symulują rzeczywiste środowiska sieciowe i systemowe, z możliwością praktykowania na żywo ataków i strategii obronnych. Dostęp do tych zasobów powinien być możliwy 24/7, zapewniając kursantom elastyczność w nauce przez co najmniej 90 dni. Kurs powinien zapewniać co najmniej 100 godzin praktycznych ćwiczeń w laboratorium.
• Szkolenie winno posiadać publicznie dostępne wsparcie poprzez Internet, oferowane przez instruktorów, forów społecznościowych i zasobów edukacyjnych jak webinary, warsztaty i dokumentacja.
3. Egzamin certyfikujący
• Egzamin o łącznym czasie trwania minimum 24 godziny, wymagający od uczestników pracy w celu zidentyfikowania luk w zabezpieczeniach i ich wykorzystania. Egzamin powinien zakończyć się raportem, który szczegółowo opisuje wykonane kroki, wykorzystane narzędzia i zalecane środki zaradcze. Zadania egzaminacyjne powinny obejmować szeroki zakres scenariuszy, od aplikacji webowych po sieciowe systemy operacyjne, z różnorodnymi poziomami zabezpieczeń.
4. Wymagania wobec instytucji certyfikującej
• Instytucja wydająca certyfikat musi oferować certyfikat przez co najmniej 5 lat przed czasem publikacji niniejszego zamówienia.
• Program szkolenia musi być powszechnie znany tak aby możliwe było potwierdzenie zakresu oraz sposobu certyfikacji.
II. Certyfikat równoważny do certyfikatu Togaf 9 z zakresu architektury musi potwierdzać uzyskanie wiedzy w następującym zakresie:
• Uzasadnienie biznesowe do stosowania architektury korporacyjnej,
• Metoda Rozwoju Architektury (ADM) i jej produkty, w tym architektura biznesowa, danych, aplikacji i techniczna,
• Kontinuum Korporacyjne,
• Ład Architektoniczny,
• Pryncypia Architektoniczne i ich tworzenie,
• Widoki i architektoniczne punkty widzenia,
• Zarządzanie wymaganiami z użyciem scenariuszy biznesowych,
• Ocena poziomu dojrzałości architektury,
• Ramy umiejętności architektonicznych,
• Partycjonowanie i segmentacja architektury,
• Ramy zawartości i metamodel,
• Planowanie rozwoju oparte na potencjale/zdolnościach,
• Ocena gotowości biznesu do transformacji,
• Usystematyzowane podejście do zarządzania zmianą organizacyjną na bazie modeli architektonicznych do tworzenia architektur bezpieczeństwa,
• Repozytorium architektoniczne;
III. Przez równoważność certyfikatu PRINCE 2 Practitioner Zamawiający rozumie certyfikację potwierdzającą posiadanie przez osobę objętą certyfikatem, umiejętności zarządzania złożonymi projektami, takimi jak projekty w dziedzinie informatyki, w ramach których czynnikami krytycznymi dla projektu jest czas jego trwania, poziom złożoności, a także zasoby zaangażowane w realizację zadań. Równoważne potwierdzenie umiejętności musi zakładać, że uczestnik posiada umiejętności i wiedzę niezbędną do ciągłego i proaktywnego reagowania na dynamiczne zmiany zachodzące w nadzorowanym projekcie, potrafi na bieżąco i w sposób reaktywny zarządzać i mitygować ryzyko, m.in., co wynika ze specyfiki niniejszego zamówienia, ryzyko związane z wpływem projektu na otoczenie, w którym projekt jest realizowany, oraz nieprzekraczalne terminy, jakie należy dotrzymać, na potwierdzenie czego przedłożona zostanie pełna opisowa dokumentacja równoważnej certyfikacji.

Po zmianie:
O udzielenie zamówienia mogą ubiegać się Wykonawcy, którzy spełniają warunki dotyczące:
1) zdolności do występowania w obrocie gospodarczym:
Zamawiający nie stawia warunku w powyższym zakresie.
2) uprawnień do prowadzenia określonej działalności gospodarczej lub zawodowej, o ile wynika to z odrębnych przepisów:
Zamawiający nie stawia warunku w powyższym zakresie.
3) sytuacji ekonomicznej lub finansowej:
Zamawiający nie stawia warunku w powyższym zakresie.
4) zdolności technicznej lub zawodowej:

A. Wykonawca musi posiadać wiedzę i doświadczenie, w projektach realizowanych na przestrzeni ostatnich 3 lat liczonych wstecz od dnia terminu składnia ofert, w zakresie przedmiotu postępowania:
a. potwierdzające wykonanie co najmniej trzech usług o wartości co najmniej 100 tysięcy PLN brutto każda,- obejmujących wykonanie testów penetracyjnych aplikacji webowych, w tym jednej połączonej z audytem, o wartości łącznej co najmniej 150 tysięcy PLN brutto, projektowanej w celu udostępnienia do korzystania dla co najmniej 150 tysięcy użytkowników;
b. co najmniej trzy usługi w zakresie analizy infrastruktury z uwzględnieniem wirtualizacji zasobów;
c. co najmniej trzy usługi w zakresie audytu zgodności z Krajowymi Ramami Interoperacyjności (dalej KRI);
d. co najmniej trzy usługi wykonania audytu zgodności z Ustawą o Krajowym Systemie Cyberbezpieczeństwa (dalej KSC).
Przez jedno zadanie rozumie się realizację usług w ramach odrębnej umowy.

B. Wymagania wobec zespołu Wykonawcy
Wykonawca musi dysponować personelem do przeprowadzenia audytu posiadającym kompetencje zgodne z niżej zamieszczonym opisem.

1. Przynajmniej cztery osoby posiadające wiedzę i doświadczenie:
a. Pentester, Audytor bezpieczeństwa organizacyjnego i technicznego - 1 osoba:
• posiadający co najmniej 3 letnie doświadczenie, zdobyte sumarycznie w ciągu 4 lat poprzedzających dzień złożenia oferty niniejszym postępowaniu, w zakresie prowadzenia testów penetracyjnych uwzględniających założenia z metodyki Penetration Testing Execution Standard albo OWASP Testing Guide,
• wykonywał testy penetracyjne webaplikacji, projektowanej w celu jej udostępnienia do korzystania dla co najmniej 150 tysięcy użytkowników;
• wykonywał testy penetracyjne w przynajmniej 3 projektach projektowanych w celu ich udostępnienia do korzystania dla sumarycznie co najmniej 300 tysięcy użytkowników;
• posiada doświadczenie w przygotowaniu kompleksowej dokumentacji testów penetracyjnych z przynajmniej 2 testów; ,
• posiada certyfikat uprawniający do przeprowadzenia zgodnie z rozporządzeniem Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu; link https://www.dziennikustaw.gov.pl/DU/2018/1999;
• posiada co najmniej 3 letnie doświadczenie w zakresie pełnienia funkcji pentestera OSCP (Offensive Security Certified Professional) lub równoważne,
b. Pentester – 3 osoby:
• z uwagi na charakter zobowiązań wynikających z zawartych z wykonawcami kluczowych komponentów platformy umów, co najmniej 2 letnie doświadczenie w zakresie pełnienia funkcji pentestera OSCP (Offensive Security Certified Professional), co najmniej 2 letnie doświadczenie w zakresie prowadzenia audytów bezpieczeństwa technicznego uwzględniających założenia OWASP ASVS dla przynajmniej dwóch projektów;
• wykonywał testy penetracyjne w projekcie informatycznym projektowanym w celu jego udostępnienia do korzystania dla co najmniej 100 tysięcy użytkowników I przetwarzającego dane osobowe tych użytkowników;
• wykonywał testy penetracyjne w przynajmniej 3 projektach informatycznych projektowanych w celu ich udostępnienia do korzystania dla sumarycznie co najmniej 200 tysięcy użytkowników
• co najmniej jedna z osób powyżej posiada certyfikat TOGAF 9 lub inny równoważny z zakresu architektury.
2. Audytor bezpieczeństwa teleinformatycznego - co najmniej trzy osoby:
• posiada co najmniej 3 letnie doświadczenie w zakresie pełnienia funkcji audytora potwierdzone jednym z certyfikatów uprawniających do przeprowadzenia audytu rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu;
• posiada co najmniej 2 letnie doświadczenie w zakresie prowadzenia audytów z KRI albo z KSC;
• wykonywał audyty bezpieczeństwa.
3. Kierownik projektu – jedna osoba
• posiada certyfikat PRINCE 2 Practitioner lub równoważne w zakresie metodologicznego zarządzania realizacją projektów informatycznych;
• posiada co najmniej 3 letnie doświadczenie w kierowania co najmniej jednym projektem testów penetracyjnych i audytów bezpieczeństwa projektów informatycznych, do korzystania przez 150 tysięcy użytkowników.

Zapisy postępowania nie wykluczają proponowanego przez Wykonawcę rozwiązania w zakresie pełnienie funkcji kierownika projektu przez dwie osoby. Zamawiający umieszczając w opisie funkcji kierownika, w rozdziale VIII SWZ, dopisek „(..) jedna osoba”, wymaga w celu spełnienia tego wymagania co najmniej jednej osoby pełniącej wskazaną rolę. Rozłożenie tej roli na dwie osoby nie stoi w sprzeczności z potrzebami Zamawiającego.

Zamawiający nie dopuszcza łączenia wyżej wykazanych ról.
Dopuszcza się zmianę osób zaangażowanych w realizację przedmiotu zamówienia, na etapie realizacji, o ile te osoby będą posiadały co najmniej takie same kompetencje i doświadczenie jak zadeklarowane w ofercie.

Warunki równoważności
I. Jako równoważny do certyfikatu OSCP zamawiający uzna certyfikat, który:
1. Wymaga programu szkolenia pokrywającego następujące obszary:
• Pasywne i aktywne zbieranie informacji
• Skanowanie w poszukiwaniu podatności
• Typowe ataki na aplikacje webowe
• Ataki typu SQL Injection
• Ataki typu Client-Side
• Wyszukiwanie publicznie dostępnych exploitów
• Dostosowywanie exploitów
• Unikanie wykrycia przez programy antywirusowe
• Ataki na hasła
• Eskalacja uprawnień w systemach Windows
• Eskalacja uprawnień w systemach Linux
• Zaawansowane tunelowanie ruchu sieciowego
• Korzystanie z Metasploit Framework
• Wprowadzenie do Active Directory (AD) i enumeracja
• Ataki na mechanizm uwierzytelnienie w Active Directory
• Atakowanie innych urządzeń w domenie Active Directory (ang. lateral movement)
• Synteza zdobytej wiedzy na przykładzie prawdziwego testu penetracyjnego
• Pisanie raportu z testów penetracyjnych
• Program szkoleniowy i egzaminacyjny powinien być regularnie aktualizowany, aby odzwierciedlał najnowsze zagrożenia, narzędzia i techniki w bezpieczeństwie cybernetycznym. Aktualizacje powinny być wprowadzane co najmniej raz w roku.
2. Praktyczna część szkolenia
• Uczestnik szkolenia brał udzał w zaawansowanych laboratoriach, które symulują rzeczywiste środowiska sieciowe i systemowe, z możliwością praktykowania na żywo ataków i strategii obronnych. Dostęp do tych zasobów powinien być możliwy 24/7, zapewniając kursantom elastyczność w nauce przez co najmniej 90 dni. Kurs powinien zapewniać co najmniej 100 godzin praktycznych ćwiczeń w laboratorium.
• Szkolenie winno posiadać publicznie dostępne wsparcie poprzez Internet, oferowane przez instruktorów, forów społecznościowych i zasobów edukacyjnych jak webinary, warsztaty i dokumentacja.
3. Egzamin certyfikujący
• Egzamin o łącznym czasie trwania minimum 24 godziny, wymagający od uczestników pracy w celu zidentyfikowania luk w zabezpieczeniach i ich wykorzystania. Egzamin powinien zakończyć się raportem, który szczegółowo opisuje wykonane kroki, wykorzystane narzędzia i zalecane środki zaradcze. Zadania egzaminacyjne powinny obejmować szeroki zakres scenariuszy, od aplikacji webowych po sieciowe systemy operacyjne, z różnorodnymi poziomami zabezpieczeń.
4. Wymagania wobec instytucji certyfikującej
• Instytucja wydająca certyfikat musi oferować certyfikat przez co najmniej 5 lat przed czasem publikacji niniejszego zamówienia.
• Program szkolenia musi być powszechnie znany tak aby możliwe było potwierdzenie zakresu oraz sposobu certyfikacji.
II. Certyfikat równoważny do certyfikatu Togaf 9 z zakresu architektury musi potwierdzać uzyskanie wiedzy w następującym zakresie:
• Uzasadnienie biznesowe do stosowania architektury korporacyjnej,
• Metoda Rozwoju Architektury (ADM) i jej produkty, w tym architektura biznesowa, danych, aplikacji i techniczna,
• Kontinuum Korporacyjne,
• Ład Architektoniczny,
• Pryncypia Architektoniczne i ich tworzenie,
• Widoki i architektoniczne punkty widzenia,
• Zarządzanie wymaganiami z użyciem scenariuszy biznesowych,
• Ocena poziomu dojrzałości architektury,
• Ramy umiejętności architektonicznych,
• Partycjonowanie i segmentacja architektury,
• Ramy zawartości i metamodel,
• Planowanie rozwoju oparte na potencjale/zdolnościach,
• Ocena gotowości biznesu do transformacji,
• Usystematyzowane podejście do zarządzania zmianą organizacyjną na bazie modeli architektonicznych do tworzenia architektur bezpieczeństwa,
• Repozytorium architektoniczne;
III. Przez równoważność certyfikatu PRINCE 2 Practitioner Zamawiający rozumie certyfikację potwierdzającą posiadanie przez osobę objętą certyfikatem, umiejętności zarządzania złożonymi projektami, takimi jak projekty w dziedzinie informatyki, w ramach których czynnikami krytycznymi dla projektu jest czas jego trwania, poziom złożoności, a także zasoby zaangażowane w realizację zadań. Równoważne potwierdzenie umiejętności musi zakładać, że uczestnik posiada umiejętności i wiedzę niezbędną do ciągłego i proaktywnego reagowania na dynamiczne zmiany zachodzące w nadzorowanym projekcie, potrafi na bieżąco i w sposób reaktywny zarządzać i mitygować ryzyko, m.in., co wynika ze specyfiki niniejszego zamówienia, ryzyko związane z wpływem projektu na otoczenie, w którym projekt jest realizowany, oraz nieprzekraczalne terminy, jakie należy dotrzymać, na potwierdzenie czego przedłożona zostanie pełna opisowa dokumentacja równoważnej certyfikacji.

3.4.) Identyfikator sekcji zmienianego ogłoszenia:

SEKCJA VIII - PROCEDURA

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.1. Termin składania ofert

Przed zmianą:
2024-03-19 10:00

Po zmianie:
2024-03-20 10:00

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.3. Termin otwarcia ofert

Przed zmianą:
2024-03-19 10:30

Po zmianie:
2024-03-20 10:30

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.4. Termin związania ofertą

Przed zmianą:
2024-04-17

Po zmianie:
2024-04-18