Ogłoszenie o zamówieniu
Usługi
Audyt bezpieczeństwa rejestru KREMIPPK

SEKCJA I - ZAMAWIAJĄCY

1.1.) Rola zamawiającego

Postępowanie prowadzone jest samodzielnie przez zamawiającego

1.2.) Nazwa zamawiającego: Urząd Transportu Kolejowego

1.4) Krajowy Numer Identyfikacyjny: REGON 015481433

1.5) Adres zamawiającego

1.5.1.) Ulica: Aleje Jerozolimskie 134

1.5.2.) Miejscowość: Warszawa

1.5.3.) Kod pocztowy: 02-305

1.5.4.) Województwo: mazowieckie

1.5.5.) Kraj: Polska

1.5.6.) Lokalizacja NUTS 3: PL911 - Miasto Warszawa

1.5.9.) Adres poczty elektronicznej: zamowieniapubliczne@utk.gov.pl

1.5.10.) Adres strony internetowej zamawiającego: utk.gov.pl

1.6.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - organ władzy publicznej - organ administracji rządowej (centralnej lub terenowej)

1.7.) Przedmiot działalności zamawiającego: Porządek i bezpieczeństwo publiczne

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Ogłoszenie dotyczy:

Zamówienia publicznego

2.2.) Ogłoszenie dotyczy usług społecznych i innych szczególnych usług: Nie

2.3.) Nazwa zamówienia albo umowy ramowej:

Audyt bezpieczeństwa rejestru KREMIPPK

2.4.) Identyfikator postępowania: ocds-148610-4c584cc2-cede-11ed-9355-06954b8c6cb9

2.5.) Numer ogłoszenia: 2023/BZP 00157620

2.6.) Wersja ogłoszenia: 01

2.7.) Data ogłoszenia: 2023-03-30

2.8.) Zamówienie albo umowa ramowa zostały ujęte w planie postępowań: Tak

2.9.) Numer planu postępowań w BZP: 2023/BZP 00132291/01/P

2.10.) Identyfikator pozycji planu postępowań:

1.3.1 Audyt bezpieczeństwa systemu informatycznego

2.11.) O udzielenie zamówienia mogą ubiegać się wyłącznie wykonawcy, o których mowa w art. 94 ustawy: Nie

2.14.) Czy zamówienie albo umowa ramowa dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej: Tak

2.15.) Nazwa projektu lub programu

Projekt nr POIS.05.02.00-00-0046/21 pn. „Poprawa bezpieczeństwa kolejowego poprzez budowę Systemu Egzaminowania i Monitorowania Maszynistów”

2.16.) Tryb udzielenia zamówienia wraz z podstawą prawną

Zamówienie udzielane jest w trybie podstawowym na podstawie: art. 275 pkt 1 ustawy

SEKCJA III – UDOSTĘPNIANIE DOKUMENTÓW ZAMÓWIENIA I KOMUNIKACJA

3.1.) Adres strony internetowej prowadzonego postępowania

https://zp.utk.gov.pl/pn/utk/demand/107473/notice/public/details

3.2.) Zamawiający zastrzega dostęp do dokumentów zamówienia: Nie

3.4.) Wykonawcy zobowiązani są do składania ofert, wniosków o dopuszczenie do udziału w postępowaniu, oświadczeń oraz innych dokumentów wyłącznie przy użyciu środków komunikacji elektronicznej: Tak

3.5.) Informacje o środkach komunikacji elektronicznej, przy użyciu których zamawiający będzie komunikował się z wykonawcami - adres strony internetowej: Komunikacja między Zamawiającym, a Wykonawcami odbywa się za
pośrednictwem Platformy (https://zp.utk.gov.pl) lub poczty elektronicznej (zamowieniapubliczne@utk.gov.pl), o ile postanowienia
SWZ nie stanowią inaczej.

3.6.) Wymagania techniczne i organizacyjne dotyczące korespondencji elektronicznej: 1.5. Niezbędne minimalne wymagania sprzętowo-aplikacyjne umożliwiające pracę na Platformie:
1.5.1. stały dostęp do sieci internet o gwarantowanej przepustowości nie mniejszej niż 512 kb/s;
1.5.2. komputer klasy PC lub MAC, z aktualnym systemem operacyjnym wspieranym przez producenta;
1.5.3. wybrana przeglądarka wspierana przez producenta: MS Internet Explorer, Firefox, Google Chrome lub MS Edge;
1.5.4. włączona obsługa JavaScript;
1.5.5. zainstalowany program obsługujący pliki w formacie pdf;
1.5.6. dopuszczalne formaty przesyłanych danych: pliki o wielkości do 100 MB w formatach: .pdf, w formatach obsługiwanych przez aplikacje Word i Excel, w szczególności .xlsx, .docx, w formatach spakowanych archiwów, w szczególności .zip, .7z;
1.5.7. informacje na temat kodowania i czasu odbioru danych:
1.5.7.1. plik załączony przez Wykonawcę na Platformie i zapisany, widoczny jest jako zaszyfrowany – format kodowania UTF8. Możliwość otworzenia pliku dostępna jest dopiero po odszyfrowaniu przez Zamawiającego po upływie terminu składania ofert,
1.5.7.2. oznaczenie czasu odbioru danych przez Platformę stanowi datę oraz dokładny czas (hh:mm:ss) generowany wg czasu lokalnego serwera synchronizowanego odpowiednim źródłem czasu – zegarem Głównego Instytutu Miar;
1.5.8. dopuszczalny format kwalifikowanego podpisu elektronicznego, jako:
1.5.8.1. dokumenty w formacie .pdf zaleca się podpisywać formatem PAdES,
1.5.8.2. dopuszcza się podpisanie dokumentów w formacie innym niż .pdf, wtedy będzie wymagany oddzielny plik z podpisem lub plik z podpisem otaczanym. W związku z tym, Wykonawca będzie zobowiązany załączyć plik z podpisem otaczanym lub dodatkowy plik z podpisem.
1.6. Dokumenty elektroniczne przekazywane Zamawiającemu powinny być sporządzane w jednym z formatów danych określonych w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity: Dz. U. z 2021 r. poz. 2070, z późn. zm.).

3.8.) Zamawiający wymaga sporządzenia i przedstawienia ofert przy użyciu narzędzi elektronicznego modelowania danych budowlanych lub innych podobnych narzędzi, które nie są ogólnie dostępne: Nie

3.12.) Oferta - katalog elektroniczny: Nie dotyczy

3.14.) Języki, w jakich mogą być sporządzane dokumenty składane w postępowaniu:

polski

3.15.) RODO (obowiązek informacyjny): Zgodnie z punktem 19 SWZ

SEKCJA IV – PRZEDMIOT ZAMÓWIENIA

4.1.) Informacje ogólne odnoszące się do przedmiotu zamówienia.

4.1.1.) Przed wszczęciem postępowania przeprowadzono konsultacje rynkowe: Nie

4.1.2.) Numer referencyjny: BDG-WZPU.2501.4.2023

4.1.3.) Rodzaj zamówienia: Usługi

4.1.4.) Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie

4.1.8.) Możliwe jest składanie ofert częściowych: Nie

4.1.13.) Zamawiający uwzględnia aspekty społeczne, środowiskowe lub etykiety w opisie przedmiotu zamówienia: Nie

4.2. Informacje szczegółowe odnoszące się do przedmiotu zamówienia:

4.2.2.) Krótki opis przedmiotu zamówienia

Przedmiotem zamówienia jest przeprowadzenie audytu bezpieczeństwa Krajowego Rejestru Elektronicznego Maszynistów i Prowadzących Pojazdy Kolejowe.

4.2.6.) Główny kod CPV: 72810000-1 - Usługi audytu komputerowego

4.2.8.) Zamówienie obejmuje opcje: Nie

4.2.10.) Okres realizacji zamówienia albo umowy ramowej: 70 dni

4.2.11.) Zamawiający przewiduje wznowienia: Nie

4.2.13.) Zamawiający przewiduje udzielenie dotychczasowemu wykonawcy zamówień na podobne usługi lub roboty budowlane: Nie

4.3.) Kryteria oceny ofert

4.3.1.) Sposób oceny ofert: Zgodnie z pkt 15 SWZ

4.3.2.) Sposób określania wagi kryteriów oceny ofert: Procentowo

4.3.3.) Stosowane kryteria oceny ofert: Kryterium ceny oraz kryteria jakościowe

Kryterium 1

4.3.5.) Nazwa kryterium: Cena

4.3.6.) Waga: 34

Kryterium 2

4.3.4.) Rodzaj kryterium:

organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia

4.3.5.) Nazwa kryterium: Doświadczenie – Pentesty

4.3.6.) Waga: 8

Kryterium 3

4.3.4.) Rodzaj kryterium:

organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia

4.3.5.) Nazwa kryterium: Doświadczenie – Kod

4.3.6.) Waga: 18

Kryterium 4

4.3.4.) Rodzaj kryterium:

organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia

4.3.5.) Nazwa kryterium: Doświadczenie – Infrastruktura

4.3.6.) Waga: 10

Kryterium 5

4.3.4.) Rodzaj kryterium:

organizacja, kwalifikacje zawodowe i doświadczenie osób wyznaczonych do realizacji zamówienia

4.3.5.) Nazwa kryterium: Doświadczenie – OSWE

4.3.6.) Waga: 30

4.3.10.) Zamawiający określa aspekty społeczne, środowiskowe lub innowacyjne, żąda etykiet lub stosuje rachunek kosztów cyklu życia w odniesieniu do kryterium oceny ofert: Nie

SEKCJA V - KWALIFIKACJA WYKONAWCÓW

5.1.) Zamawiający przewiduje fakultatywne podstawy wykluczenia: Tak

5.2.) Fakultatywne podstawy wykluczenia:

Art. 109 ust. 1 pkt 4

Art. 109 ust. 1 pkt 7

Art. 109 ust. 1 pkt 8

Art. 109 ust. 1 pkt 9

Art. 109 ust. 1 pkt 10

5.3.) Warunki udziału w postępowaniu: Tak

5.4.) Nazwa i opis warunków udziału w postępowaniu.

7.1. Warunki dotyczące zdolności technicznej lub zawodowej. Warunek zostanie spełniony, z zastrzeżeniem pkt 7.2 SWZ, jeżeli Wykonawca wykaże, że
7.1.1. w okresie ostatnich 5 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wykonał
7.1.1.1. przynajmniej 2 audyty bezpieczeństwa systemów o następujących parametrach każdy:
1) nie mniej niż 125 formatek (ekranów),
2) przewidywana/posiadana liczba użytkowników: 10 000 użytkowników nazwanych (loginów),
3) posiadających formę stron WWW oraz interfejs dostępowy API;
7.1.1.2. co najmniej jeden z systemów wskazanych w pkt 7.1.1.1 został wykonany jako rejestr państwowy, który spełnia wymagania opublikowane w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz.U. z 2017 r. poz. 2247), dalej jako „Rozporządzenie KRI”, oraz wykorzystywał profil zaufany (login.gov.pl) do uwierzytelnienia użytkowników;
7.1.1.3. co najmniej jeden z audytów wymaganych w pkt 7.1.1.1 zrealizowany był w zakresie obejmującym co najmniej testy penetracyjne, analizę statyczną kodu oraz opracowanie wyników audytu zgodnie z metodyką OWASP – ASVS Level 2, lub OSSTMM 3;
7.1.2. posiada certyfikat zgodności z normą PN-EN ISO/IEC 27001 lub równoważną (opracowaną przez organizację normalizacyjną będącą członkiem ISO (International Organization for Standardization)) w zakresie audytów bezpieczeństwa lub cyberbezpieczeństwa;
7.1.3. dysponuje 3 osobami, które będą uczestniczyły w realizacji Zamówienia jako Personel Kluczowy, posiadającymi minimum następujące kompetencje i doświadczenie:
7.1.3.1. każda z osób posiada kompetencje dotyczące bezpieczeństwa IT potwierdzone ważnym i autoryzowanym przez jednostkę certyfikującą certyfikatem z zakresu zgodnego z jednym ze wskazanych poniżej programów:
1) Certified Information System Security Professional (CISSP), lub
2) Certified Information System Auditor (CISA), lub
3) Certified Information System Manager (CISM), lub
4) CompTIA Advanced Security Practitioner (CASP), lub
5) Certified Ethical Hacker v11 (CEH v11), lub
6) CyberSecurity Forensic Analyst (CSFA), lub
7) Offensive Security Certified Professional (OSCP);
7.1.3.2. ze względu na zastosowane technologie oraz złożoność powiązań systemowych, poza certyfikatem wymaganym w pkt 7.1.3.1 SWZ dowolna osoba/osoby z Personelu Kluczowego powinna posiadające następujące certyfikaty:
1) przynajmniej jeden certyfikat z obszaru VMWare:
a) VMware Certified Professional - Data Center Virtualization,
b) VMware Certified Associate (VCA),
2) przynajmniej jeden z certyfikatów administracyjnych systemu Linux:
a) Red Hat Certified System Administrator (RHCSA),
b) CompTIA Linux+,
c) Linux Professional Institute Certification (LPIC),
d) Oracle Linux Administrator Certified Associate,
e) SUSE Certified Administrator (SCA),
3) przynajmniej jeden z certyfikatów dotyczących administracji sieciami komputerowymi:
a) Cisco Certified Network Associate (CCNA),
b) Cisco Certified Network Professional (CCNP),
c) CompTIA Network+,
d) Juniper Networks Certified Associate (JNCIA),
e) Juniper Networks Certified Specialist Security (JNCIS-SEC),
7.1.3.3. każda z osób posiada doświadczenie polegające na przeprowadzeniu co najmniej 3 audytów bezpieczeństwa, z których każdy miał wartość minimum 50 tysięcy złotych brutto, był realizowany w okresie ostatnich 5 lat przed terminem składania ofert i obejmował audyty systemów informatycznych, teleinformatycznych oraz testy penetracyjne aplikacji, w tym przynajmniej jeden audyt obejmujący swoim zakresem weryfikację zgodności z przepisami Rozporządzenia KRI.
7.1.3.4. Ważność certyfikatów wymaganych w pkt. 7.1.3 SWZ i warunki równoważności:
1) wszystkie certyfikaty muszą być aktualne na dzień złożenia oferty;
2) jako certyfikat równoważny Zamawiający dopuści certyfikat analogiczny co do zakresu wskazanego certyfikatu, co jest rozumiane jako:
a) analogiczna dziedzina merytoryczna wynikająca z wiedzy, której dotyczy certyfikat,
b) analogiczny poziom kompetencji stwierdzany certyfikatem określony zakresem umiejętności podanych w sylabusie lub na stronach jednostki wystawiającej dany certyfikat,
c) analogiczny poziom doświadczenia zawodowego wymagany dla otrzymania danego certyfikatu
d) analogiczny sposób potwierdzenia posiadanych kompetencji (np. egzamin),
3) certyfikat równoważny nie może być wystawiony przez Wykonawcę lub podmiot zależny od Wykonawcy lub należący do tej samej grupy kapitałowej co Wykonawca – wymagane jest uzyskanie certyfikatu od podmiotu niezależnego od Wykonawcy.

5.5.) Zamawiający wymaga złożenia oświadczenia, o którym mowa w art.125 ust. 1 ustawy: Tak

5.6.) Wykaz podmiotowych środków dowodowych na potwierdzenie niepodlegania wykluczeniu: 8.7.1.1. oświadczenie Wykonawcy o aktualności informacji zawartych w oświadczeniu, wymienionym w pkt 8.1 SWZ – wzór oświadczenia stanowi Załącznik nr 6 do SWZ.

5.7.) Wykaz podmiotowych środków dowodowych na potwierdzenie spełniania warunków udziału w postępowaniu: 8.7.2.1. wykaz usług, spełniających warunki opisane w pkt 7.1.1 SWZ, sporządzony zgodnie ze wzorem określonym w Załączniku nr 4 do SWZ, wraz z dowodami określającymi, czy wskazane w wykazie usługi zostały wykonane lub są wykonywane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty sporządzone przez podmiot, na rzecz którego usługi zostały wykonane, a w przypadku świadczeń powtarzających się lub ciągłych są wykonywane, a jeżeli wykonawca z przyczyn niezależnych od niego nie jest w stanie uzyskać tych dokumentów - oświadczenie wykonawcy; w przypadku świadczeń powtarzających się lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wystawione w okresie ostatnich 3 miesięcy;
8.7.2.2. certyfikat potwierdzający spełnianie przez Wykonawcę warunku określonego w pkt 7.1.2 SWZ.
13.2.4. Wykaz osób, sporządzony zgodnie ze wzorem określonym w Załączniku nr 7 do SWZ

SEKCJA VI - WARUNKI ZAMÓWIENIA

6.1.) Zamawiający wymaga albo dopuszcza oferty wariantowe: Nie

6.3.) Zamawiający przewiduje aukcję elektroniczną: Nie

6.4.) Zamawiający wymaga wadium: Nie

6.5.) Zamawiający wymaga zabezpieczenia należytego wykonania umowy: Nie

6.6.) Wymagania dotyczące składania oferty przez wykonawców wspólnie ubiegających się o udzielenie zamówienia:

8.2. W przypadku Wykonawców wspólnie ubiegających się o udzielenie zamówienia, oświadczenie, o którym mowa w pkt 8.1 SWZ składa każdy z tych Wykonawców na potwierdzenie braku podstaw wykluczenia oraz spełniania warunków udziału w postępowaniu w zakresie, w jakim każdy z tych Wykonawców wykazuje spełnianie warunków udziału w postępowaniu.

6.7.) Zamawiający przewiduje unieważnienie postępowania, jeśli środki publiczne, które zamierzał przeznaczyć na sfinansowanie całości lub części zamówienia nie zostały przyznane: Tak

SEKCJA VII - PROJEKTOWANE POSTANOWIENIA UMOWY

7.1.) Zamawiający przewiduje udzielenia zaliczek: Nie

7.3.) Zamawiający przewiduje zmiany umowy: Tak

7.4.) Rodzaj i zakres zmian umowy oraz warunki ich wprowadzenia:

Zgodnie z paragrafem 9 PPU, stanowiących załącznik nr 1 do SWZ

7.5.) Zamawiający uwzględnił aspekty społeczne, środowiskowe, innowacyjne lub etykiety związane z realizacją zamówienia: Nie

SEKCJA VIII – PROCEDURA

8.1.) Termin składania ofert: 2023-04-07 10:00

8.2.) Miejsce składania ofert: https://zp.utk.gov.pl

8.3.) Termin otwarcia ofert: 2023-04-07 10:30

8.4.) Termin związania ofertą: do 2023-05-06