Warszawa: Polityka Bezpieczeństwa - wdrożenie infrastruktury technicznej i procedur
Numer ogłoszenia: 219929 - 2008; data zamieszczenia: 16.09.2008
OGŁOSZENIE O UDZIELENIU ZAMÓWIENIA - Dostawy

Zamieszczanie ogłoszenia: obowiązkowe.

Ogłoszenie dotyczy: zamówienia publicznego.

Czy zamówienie było przedmiotem ogłoszenia w Biuletynie Zamówień Publicznych: Tak, numer ogłoszenia w BZP: 186040 - 2008r.

SEKCJA I: ZAMAWIAJĄCY

I. 1) NAZWA I ADRES: Polski Komitet Normalizacyjny, ul. Świętokrzyska 14B, Warszawa, woj. mazowieckie, tel. 022 5567595,5567890, fax 022 5567413, 5567535.

I. 2) RODZAJ ZAMAWIAJĄCEGO: Inny: Krajowa jednostka normalizacyjna.

SEKCJA II: PRZEDMIOT ZAMÓWIENIA

II.1) OPIS

II.1.1) Nazwa nadana zamówieniu przez zamawiającego: Polityka Bezpieczeństwa - wdrożenie infrastruktury technicznej i procedur.

II.1.2) Rodzaj zamówienia: Dostawy.

II.1.3) Określenie przedmiotu zamówienia: I. Zagadnienia podstawowe. Przedmiotem zamówienia jest Polityka Bezpieczeństwa - wdrożenie infrastruktury technicznej i procedur w PKN zgodnie z przedstawionym poniżej zakresem: 1 Usługi PKN oczekuje od Wykonawcy realizacji pełnego zakresu prac, na który składają się: 1.1 przeprowadzenie audytu istniejącej w PKN Polityki Bezpieczeństwa Informacji oraz opracowania raportu dotyczącego jej zgodności z najlepszymi praktykami międzynarodowymi (w szczególności z normą PN-ISO IEC 27001:2007 ) i zawierającego: 1.1.a najważniejsze wnioski dla każdego z obszarów bezpieczeństwa, 1.1.b wnioski szczegółowe odnoszące się do poszczególnych wymagań normy, 1.1.c ocenę zastosowanych procedur do zapewnienia efektywnego planowania i eksploatacji mechanizmów bezpieczeństwa, 1.2 propozycja aktualizacji Polityki Bezpieczeństwa Informacji w PKN uwzględniającej wnioski wynikające z powyższego audytu, 1.3 opracowanie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą PN-ISO IEC 27001:2007 w tym: 1.3.a zasad klasyfikacji informacji, 1.3.b metodyki zarządzania ryzykiem, dostosowanej do wielkości i potrzeb organizacji oraz uwzględniającej integrację z mechanizmami zarządzania usługami IT, 1.3.c planu postępowania z ryzykiem, 1.3.d dokumentacji systemu bezpieczeństwa (polityki, procedury, instrukcje) oraz jego integracja z funkcjonującym w PKN systemem zgodnym z normą PN-EN ISO 9001:2001 - w szczególności dokumentacji związanej z: d.1 organizacją systemu bezpieczeństwa w PKN, d.2 bezpieczeństwem osobowym, d.3 bezpieczeństwem fizycznym, d.4 bezpieczeństwem informatycznym, 1.4 przygotowanie i przeprowadzenie instruktażu wdrożeniowego oraz dostarczenie szkoleń e-learningowych z zakresu bezpieczeństwa informacji dla pracowników Zamawiającego z wykorzystaniem platformy szkoleniowej Wykonawcy (wraz z przekazaniem edytowalnych materiałów źródłowych prezentacji szkoleniowych), 1.5 przygotowanie systemu do certyfikacji na zgodność z normą PN-ISO IEC 27001:2007 (w tym przypadku Zamawiający nie dopuszcza innych norm); przedmiot niniejszego zamówienia nie obejmuje przeprowadzenia procesu certyfikacji, PKN oczekuje, że świadczone usługi doradcze zostaną zintegrowane z funkcjonującym w organizacji systemem zarządzania jakością zgodnie z normą PN-EN ISO 9001:2001 oraz systemem zarządzania usługami IT zgodnie z normą PN-ISO IEC 20000-1:2007. 2 Oprogramowanie wspierające funkcjonowanie PBI 2.1 Projekt powinien zostać przeprowadzony z wykorzystaniem dostarczonego w ramach zamówienia oprogramowania wspierającego funkcjonowanie Polityki Bezpieczeństwa Informacji w następującym obszarze: 2.1.a wykrywania i analizy podatności sieci i systemów (wykrywanie podatności wraz z zarządzaniem poprawkami), 2.1.b analizy dzienników zdarzeń z wybranych serwerów (Event Log) oraz aktywnych urządzeń sieci (firewall); dla serwerów zarówno w wersji językowej polskiej (o ile występuje) jak i angielskiej, 2.1.c zarządzania współdzielonymi hasłami administracyjnymi. 2.2 Dostarczone oprogramowanie musi spełniać następujące wymagania funkcjonalne: 2.2.a w obszarze zdefiniowanym w punkcie 2.1.a: a.1 musi umożliwiać wykrywanie otwartych portów i podatności w co najmniej następujących systemach operacyjnych Windows 2000/XP/Vista, Windows Server 2000/2003, Linux Debian, Red Hat, CentOS, a.2 musi udostępniać wbudowaną bazę wiedzy o lukach w zabezpieczeniach oraz poprawkach do systemów, aktualizowaną automatycznie poprzez sieć Internet nie rzadziej niż raz w tygodniu z co najmniej dwóch niezależnych źródeł informacji o podatnościach, a.3 musi umożliwiać automatyczne instalację poprawek i servicepack ów na wybranych komputerach w sieci, a.4 musi umożliwiać przeprowadzenie zdalnego audytu oraz instalacji poprawek dla wybranych komputerów zlokalizowanych poza siecią IP przedsiębiorstwa (t.j. przyłączonych do sieci Internet), a.5 musi posiadać moduł automatycznego wykrywania środowiska, umożliwiający zbieranie co najmniej następujących informacji o skanowanych komputerach: nazwa komputera, typ systemu operacyjnego, typ i szybkość procesora, zainstalowana pamięć operacyjna, zainstalowane oprogramowanie i poprawki systemowe, a.6 musi umożliwiać generowanie graficznych raportów wykonanych audytów, w tym raporty otwartych portów, brakujących poprawek i service pack, znalezionych luk w zabezpieczeniach systemów oraz raportów porównawczych audytów dokonanych na pojedynczym systemie, a.7 musi umożliwiać monitorowanie zmian w katalogach, plikach i kluczach rejestru w systemach Windows oraz zapisywanie zmian w trybie rejestrowania zmian w stosunku do zastanych informacji, a.8 musi umożliwiać zdefiniowanie harmonogramu instalacji poprawek i servicepack ów w systemach informatycznych; 2.2.b w obszarze zdefiniowanym w punkcie 2.1.b: b.1 musi umożliwiać zbieranie, archiwizowanie i analizowanie danych z dzienników systemu Windows 2000/XP/Vista, dzienników syslog systemu Linux, HP-UX, IBM AIX, przełączników i routerów Cisco oraz aplikacji Internet Information Services (IIS) i MS SQL, bez konieczności instalowania dedykowanego agenta w systemie operacyjnym lub urządzeniu, b.2 musi umożliwiać importowanie plików dziennika zdarzeń w formacie EVT (Windows) oraz ich archiwizowanie i przeglądanie w systemie, b.3 musi posiadać wbudowaną wyszukiwarkę zapisanych w systemie dzienników zdarzeń, b.4 musi posiadać wbudowaną funkcję eskalacji umożliwiającą wysyłanie powiadomień email i/lub uruchomienia zewnętrznego programu w przypadku wystąpienia w systemie zdefiniowanych kryteriów (np. rejestracji zdarzenia o określonym numerze identyfikacyjnym lub określonej treści), b.5 musi umożliwiać definiowanie raportów zdarzeń w oparciu o następujące kryteria: występowanie określonego zdarzenia w czasie, zdarzenia według typu, rozkład ilościowy zdarzeń w czasie; w szczególności system musi umożliwiać generowanie następujących raportów: b.5.1 logowanie/wylogowanie użytkowników, b.5.2 nieudane próby logowania, b.5.3 próba dostępu do logów audytu, b.5.4 lista zdarzeń systemowych, b.5.5 dostęp do aplikacji i lub zasobu, b.5.6 aktywność użytkownika, b.6 musi umożliwiać definiowanie i zapisywanie do przyszłego wykorzystania własnych raportów w postaci graficznej i tabelarycznej oraz zapisywania raportów w pliku PDF i CSV, b.7 musi umożliwiać zbieranie, archiwizowanie i analizowanie danych z dzienników zapór ogniowych urządzeń Cisco ASA, Cisco PIX v.6/7, Microsoft ISA 2004/2006 Server, Fortinet FortiGate 5000, b.8 musi umożliwiać definiowanie raportów ruchu z zapór ogniowych w oparciu o następujące kryteria: ruch wychodzący z poszczególnych hostów, ruch przychodzący do poszczególnych hostów, ruch w rozbiciu na protokoły, ruch do witryn internetowych w godzinach i poza godzinami pracy, wykorzystywane reguły zapór ogniowych oraz przesyłanie ich pocztą elektroniczną według zadanego harmonogramu, b.9 musi umożliwiać tworzenie profili powiadomień email dla rejestrowanych zdarzeń w zaporach ogniowych w oparciu o następujące kryteria: godziny pracy, adres źródłowy, adres docelowy, typ protokołu, reguła, użytkownik oraz częstości występowania zdarzenia, b.10 musi umożliwiać dostęp użytkowników do zapisanych dzienników systemowych zapór ogniowych w oparciu o role i poziomy dostępu, 2.2.c w obszarze zdefiniowanym w punkcie 2.1.c: c.1 musi umożliwiać zapisywanie i współdzielenie pomiędzy użytkownikami haseł do systemów informatycznych i urządzeń sieciowych, w tym: Windows 2000/2003 Server, Debian Linux, SQL Server 2000/2005, MySQL, Cisco IOS, Cisco PIX, c.2 przechowywane w bazie danych hasła muszą być zakodowane z użyciem algorytmu szyfrującego AES z kluczem o długości nie mniejszej niż 128 bitów, c.3 musi umożliwiać dostęp użytkowników do zapisanych w systemie haseł w oparciu o role, umożliwiając zdefiniowanie co najmniej następujących poziomów dostępu: odczyt hasła, zmiana hasła, przejęcie kontroli nad hasłem, c.4 musi umożliwiać zdefiniowanie globalnych polityk haseł dla urządzeń i systemów oraz przeprowadzenia audytu i utworzenia raportu zgodności przechowywanych haseł ze zdefiniowaną polityką, c.5 musi umożliwiać automatyczną zmianę udostępnionego hasła w systemie i urządzeniu w przypadku wystąpienia co najmniej następujących zdarzeń: c.5.1 zmiana w składzie użytkowników grupy współdzielonej hasło, c.5.2 współdzielone hasło straciło ważność, c.5.3 współdzielone hasło jest niezgodne z polityką stosowanych haseł, c.6 musi umożliwiać eskalacje w postaci powiadomień email przypadku wystąpienia co najmniej następujących zdarzeń: c.6.1 dostęp do hasła, c.6.2 zmiana hasła, c.6.3 zmiana grupy użytkowników hasła, c.6.4 niezgodności hasła z polityką stosowanych haseł, c.6.5 braku synchronizacji pomiędzy zapisem hasła w bazie systemu a urządzeniu, c.7 musi umożliwiać przeprowadzenie audytu wykorzystania w czasie haseł współdzielony przez użytkowników systemu oraz prezentacji wyników w postaci raportu w formacie PDF i CSV, c.8 musi posiadać wbudowaną funkcję utrzymania nadmiarowego repozytorium haseł w osobnej, zsynchronizowanej bazie danych, umożliwiając w przypadku przerwy w pracy głównej aplikacji przekazanie udostępniania bazy haseł do bazy zapasowej. Zaproponowany przez PKN powyższy podział nie wyklucza innych propozycji Wykonawcy w tym zakresie, oile będzie zrealizowany cel projektu. 2.3 Dostawa oprogramowania powinna obejmować: 2.3.a dostawę licencji na oprogramowanie umożliwiających skanowanie i zarządzanie poprawkami na co najmniej 500 komputerach, przetwarzanie dzienników zdarzeń systemowych z co najmniej 50 urządzeń komputerowych, 5 zapór ogniowych, współdzielenie haseł administracyjnych przez co najmniej 10 użytkowników (10 licencji stanowiskowych), 2.3.b instalację i konfigurację oprogramowania 2.3.c instruktaż wdrożeniowy dla pracowników Zamawiającego zapewniający możliwość późniejszego samodzielnego obsługiwania rozwiązania, 2.3.d świadczenie serwisu w oparciu o świadczenia gwarancyjne producenta oraz asysty technicznej systemu.

II.1.4) Wspólny Słownik Zamówień (CPV): 48.21.00.00 - 48.21.00.00 Oryginalny kod CPV: 72.26.30.00 - Usługi wdrażania oprogramowania Kod CPV wg słownika 2008: 72.26.30.00 - Usługi wdrażania oprogramowania .

II.1.5) Całkowita końcowa wartość zamówienia (bez VAT) obejmująca wszystkie zamówienia i części: 215520 PLN.

SEKCJA IV: PROCEDURA

IV.1) TRYB UDZIELENIA ZAMÓWIENIA: Przetarg nieograniczony

IV.2) INFORMACJE ADMINISTRACYJNE

• Zamówienie dotyczy projektu/programu finansowanego ze środków Unii Europejskiej: Tak, projekt/program: Zamówenie realizowane ze środków w ramach projektu Portal e-Norma część I dla Polskiego Komitetu Normalizacyjnego dofinansowywany przez Unię Europejską Źródła finansowania: - 25% krajowy wkład własny - 75% dofinansowanie ze środków Unii Europejskiej w ramach Sektorowego Programu Operacyjnego Wzrostu Konkurencyjności Przedsiębiorstw.

SEKCJA V: UDZIELENIE ZAMÓWIENIA

V.1) DATA UDZIELENIA ZAMÓWIENIA: 03.09.2008.

V.2) LICZBA OTRZYMANYCH OFERT: 1.

V.3) NAZWA I ADRES WYKONAWCY, KTÓREMU UDZIELONO ZAMÓWIENIA:

• Konsorcjum firm: PBSG Sp. z o.o., ul. Roosevelta 18, 60-829 Poznań i MWT Solutions Sp. z o.o. ul. Sienkiewicza 5/5, 60-829 Poznań., ul. Roosevelta 18, 60-829 Poznań, kraj/woj. wielkopolskie.

V.4) INFORMACJA O CENIE WYBRANEJ OFERTY ORAZ O NIE PODLEGAJĄCYCH ODRZUCENIU OFERTACH Z NAJNIŻSZĄ I NAJWYŻSZĄ CENĄ (bez VAT)

• Cena wybranej oferty: 215520
• Oferta z najniższą ceną: 215520 oferta z najwyższą ceną: 215520
• Waluta: PLN.