Ogłoszenie o zmianie ogłoszenia
Audyt bezpieczeństwa rejestru KREMIPPK

SEKCJA I - ZAMAWIAJĄCY

1.1.) Nazwa zamawiającego: Urząd Transportu Kolejowego

1.3.) Krajowy Numer Identyfikacyjny: REGON 015481433

1.4.) Adres zamawiającego:

1.4.1.) Ulica: Aleje Jerozolimskie 134

1.4.2.) Miejscowość: Warszawa

1.4.3.) Kod pocztowy: 02-305

1.4.4.) Województwo: mazowieckie

1.4.5.) Kraj: Polska

1.4.6.) Lokalizacja NUTS 3: PL911 - Miasto Warszawa

1.4.9.) Adres poczty elektronicznej: zamowieniapubliczne@utk.gov.pl

1.4.10.) Adres strony internetowej zamawiającego: utk.gov.pl

1.5.) Rodzaj zamawiającego: Zamawiający publiczny - jednostka sektora finansów publicznych - organ władzy publicznej - organ administracji rządowej (centralnej lub terenowej)

1.6.) Przedmiot działalności zamawiającego: Porządek i bezpieczeństwo publiczne

SEKCJA II – INFORMACJE PODSTAWOWE

2.1.) Numer ogłoszenia: 2023/BZP 00170058

2.2.) Data ogłoszenia: 2023-04-07

SEKCJA III ZMIANA OGŁOSZENIA

3.2.) Numer zmienianego ogłoszenia w BZP: 2023/BZP 00157620

3.3.) Identyfikator ostatniej wersji zmienianego ogłoszenia: 01

3.4.) Identyfikator sekcji zmienianego ogłoszenia:

SEKCJA V - KWALIFIKACJA WYKONAWCÓW

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

5.4. Nazwa i opis warunków udziału w postępowaniu

Przed zmianą:
7.1. Warunki dotyczące zdolności technicznej lub zawodowej. Warunek zostanie spełniony, z zastrzeżeniem pkt 7.2 SWZ, jeżeli Wykonawca wykaże, że
7.1.1. w okresie ostatnich 5 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wykonał
7.1.1.1. przynajmniej 2 audyty bezpieczeństwa systemów o następujących parametrach każdy:
1) nie mniej niż 125 formatek (ekranów),
2) przewidywana/posiadana liczba użytkowników: 10 000 użytkowników nazwanych (loginów),
3) posiadających formę stron WWW oraz interfejs dostępowy API;
7.1.1.2. co najmniej jeden z systemów wskazanych w pkt 7.1.1.1 został wykonany jako rejestr państwowy, który spełnia wymagania opublikowane w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz.U. z 2017 r. poz. 2247), dalej jako „Rozporządzenie KRI”, oraz wykorzystywał profil zaufany (login.gov.pl) do uwierzytelnienia użytkowników;
7.1.1.3. co najmniej jeden z audytów wymaganych w pkt 7.1.1.1 zrealizowany był w zakresie obejmującym co najmniej testy penetracyjne, analizę statyczną kodu oraz opracowanie wyników audytu zgodnie z metodyką OWASP – ASVS Level 2, lub OSSTMM 3;
7.1.2. posiada certyfikat zgodności z normą PN-EN ISO/IEC 27001 lub równoważną (opracowaną przez organizację normalizacyjną będącą członkiem ISO (International Organization for Standardization)) w zakresie audytów bezpieczeństwa lub cyberbezpieczeństwa;
7.1.3. dysponuje 3 osobami, które będą uczestniczyły w realizacji Zamówienia jako Personel Kluczowy, posiadającymi minimum następujące kompetencje i doświadczenie:
7.1.3.1. każda z osób posiada kompetencje dotyczące bezpieczeństwa IT potwierdzone ważnym i autoryzowanym przez jednostkę certyfikującą certyfikatem z zakresu zgodnego z jednym ze wskazanych poniżej programów:
1) Certified Information System Security Professional (CISSP), lub
2) Certified Information System Auditor (CISA), lub
3) Certified Information System Manager (CISM), lub
4) CompTIA Advanced Security Practitioner (CASP), lub
5) Certified Ethical Hacker v11 (CEH v11), lub
6) CyberSecurity Forensic Analyst (CSFA), lub
7) Offensive Security Certified Professional (OSCP);
7.1.3.2. ze względu na zastosowane technologie oraz złożoność powiązań systemowych, poza certyfikatem wymaganym w pkt 7.1.3.1 SWZ dowolna osoba/osoby z Personelu Kluczowego powinna posiadające następujące certyfikaty:
1) przynajmniej jeden certyfikat z obszaru VMWare:
a) VMware Certified Professional - Data Center Virtualization,
b) VMware Certified Associate (VCA),
2) przynajmniej jeden z certyfikatów administracyjnych systemu Linux:
a) Red Hat Certified System Administrator (RHCSA),
b) CompTIA Linux+,
c) Linux Professional Institute Certification (LPIC),
d) Oracle Linux Administrator Certified Associate,
e) SUSE Certified Administrator (SCA),
3) przynajmniej jeden z certyfikatów dotyczących administracji sieciami komputerowymi:
a) Cisco Certified Network Associate (CCNA),
b) Cisco Certified Network Professional (CCNP),
c) CompTIA Network+,
d) Juniper Networks Certified Associate (JNCIA),
e) Juniper Networks Certified Specialist Security (JNCIS-SEC),
7.1.3.3. każda z osób posiada doświadczenie polegające na przeprowadzeniu co najmniej 3 audytów bezpieczeństwa, z których każdy miał wartość minimum 50 tysięcy złotych brutto, był realizowany w okresie ostatnich 5 lat przed terminem składania ofert i obejmował audyty systemów informatycznych, teleinformatycznych oraz testy penetracyjne aplikacji, w tym przynajmniej jeden audyt obejmujący swoim zakresem weryfikację zgodności z przepisami Rozporządzenia KRI.
7.1.3.4. Ważność certyfikatów wymaganych w pkt. 7.1.3 SWZ i warunki równoważności:
1) wszystkie certyfikaty muszą być aktualne na dzień złożenia oferty;
2) jako certyfikat równoważny Zamawiający dopuści certyfikat analogiczny co do zakresu wskazanego certyfikatu, co jest rozumiane jako:
a) analogiczna dziedzina merytoryczna wynikająca z wiedzy, której dotyczy certyfikat,
b) analogiczny poziom kompetencji stwierdzany certyfikatem określony zakresem umiejętności podanych w sylabusie lub na stronach jednostki wystawiającej dany certyfikat,
c) analogiczny poziom doświadczenia zawodowego wymagany dla otrzymania danego certyfikatu
d) analogiczny sposób potwierdzenia posiadanych kompetencji (np. egzamin),
3) certyfikat równoważny nie może być wystawiony przez Wykonawcę lub podmiot zależny od Wykonawcy lub należący do tej samej grupy kapitałowej co Wykonawca – wymagane jest uzyskanie certyfikatu od podmiotu niezależnego od Wykonawcy.

Po zmianie:
7.1. Warunki dotyczące zdolności technicznej lub zawodowej. Warunek zostanie spełniony, z zastrzeżeniem pkt 7.2 SWZ, jeżeli Wykonawca wykaże, że
7.1.1. w okresie ostatnich 5 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wykonał
7.1.1.1. przynajmniej 2 audyty bezpieczeństwa systemów o następujących parametrach każdy:
1) nie mniej niż 125 formatek (ekranów),
2) przewidywana/posiadana liczba użytkowników: 10 000 użytkowników nazwanych (loginów),
3) posiadających formę stron WWW oraz interfejs dostępowy API;
7.1.1.2. co najmniej jeden z systemów wskazanych w pkt 7.1.1.1 został wykonany jako rejestr państwowy, który spełnia wymagania opublikowane w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz.U. z 2017 r. poz. 2247), dalej jako „Rozporządzenie KRI”, oraz wykorzystywał profil zaufany (login.gov.pl) do uwierzytelnienia użytkowników;
7.1.1.3. co najmniej jeden z audytów wymaganych w pkt 7.1.1.1 zrealizowany był w zakresie obejmującym co najmniej testy penetracyjne, analizę statyczną kodu oraz opracowanie wyników audytu zgodnie z metodyką OWASP – ASVS Level 2, lub OSSTMM 3;
7.1.2. posiada certyfikat zgodności z normą PN-EN ISO/IEC 27001 lub równoważną (opracowaną przez organizację normalizacyjną będącą członkiem ISO (International Organization for Standardization)) w zakresie audytów bezpieczeństwa lub cyberbezpieczeństwa;
7.1.3. dysponuje 3 osobami, które będą uczestniczyły w realizacji Zamówienia jako Personel Kluczowy, posiadającymi minimum następujące kompetencje i doświadczenie:
7.1.3.1. każda z osób posiada kompetencje dotyczące bezpieczeństwa IT potwierdzone ważnym i autoryzowanym przez jednostkę certyfikującą certyfikatem z zakresu zgodnego z jednym ze wskazanych poniżej programów:
1) Certified Information System Security Professional (CISSP), lub
2) Certified Information System Auditor (CISA), lub
3) Certified Information System Manager (CISM), lub
4) CompTIA Advanced Security Practitioner (CASP), lub
5) Certified Ethical Hacker v11 (CEH v11), lub
6) CyberSecurity Forensic Analyst (CSFA), lub
7) Offensive Security Certified Professional (OSCP);
7.1.3.2. (uchylony)
7.1.3.3. każda z osób posiada doświadczenie polegające na przeprowadzeniu co najmniej 3 audytów bezpieczeństwa, z których każdy miał wartość minimum 50 tysięcy złotych brutto, był realizowany w okresie ostatnich 5 lat przed terminem składania ofert i obejmował audyty systemów informatycznych, teleinformatycznych oraz testy penetracyjne aplikacji, w tym przynajmniej jeden audyt obejmujący swoim zakresem weryfikację zgodności z przepisami Rozporządzenia KRI.
7.1.3.4. Ważność certyfikatów wymaganych w pkt. 7.1.3 SWZ i warunki równoważności:
1) wszystkie certyfikaty muszą być aktualne na dzień złożenia oferty;
2) jako certyfikat równoważny Zamawiający dopuści certyfikat analogiczny co do zakresu wskazanego certyfikatu, co jest rozumiane jako:
a) analogiczna dziedzina merytoryczna wynikająca z wiedzy, której dotyczy certyfikat,
b) analogiczny poziom kompetencji stwierdzany certyfikatem określony zakresem umiejętności podanych w sylabusie lub na stronach jednostki wystawiającej dany certyfikat,
c) analogiczny poziom doświadczenia zawodowego wymagany dla otrzymania danego certyfikatu
d) analogiczny sposób potwierdzenia posiadanych kompetencji (np. egzamin),
3) certyfikat równoważny nie może być wystawiony przez Wykonawcę lub podmiot zależny od Wykonawcy lub należący do tej samej grupy kapitałowej co Wykonawca – wymagane jest uzyskanie certyfikatu od podmiotu niezależnego od Wykonawcy.

3.4.) Identyfikator sekcji zmienianego ogłoszenia:

SEKCJA VIII - PROCEDURA

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.1. Termin składania ofert

Przed zmianą:
2023-04-13 10:00

Po zmianie:
2023-04-18 10:00

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.3. Termin otwarcia ofert

Przed zmianą:
2023-04-13 10:30

Po zmianie:
2023-04-18 10:30

3.4.1.) Opis zmiany, w tym tekst, który należy dodać lub zmienić:

8.4. Termin związania ofertą

Przed zmianą:
2023-05-12

Po zmianie:
2023-05-17