Ogłoszenie nr 500020147-N-2017 z dnia 29-08-2017 r.

Wielkopolski Ośrodek Kształcenia i Studiów Samorządowych: Wykonanie Audytu Stanu bezpieczeństwa informacji -3

OGŁOSZENIE O UDZIELENIU ZAMÓWIENIA - Usługi

Zamieszczanie ogłoszenia:

obowiązkowe

Ogłoszenie dotyczy:

zamówienia publicznego

Zamówienie dotyczy projektu lub programu współfinansowanego ze środków Unii Europejskiej

tak
Nazwa projektu lub programu
Cyfrowe samorządy atutem Wielkopolski - nowe obszary świadczenia e-usług w 22 gminach województwa wielkopolskiego" (POWR.02.18.00.00-0001/16)

Zamówienie było przedmiotem ogłoszenia w Biuletynie Zamówień Publicznych:

nie

Ogłoszenie o zmianie ogłoszenia zostało zamieszczone w Biuletynie Zamówień Publicznych:

nie

SEKCJA I: ZAMAWIAJĄCY

I. 1) NAZWA I ADRES:

Wielkopolski Ośrodek Kształcenia i Studiów Samorządowych, Krajowy numer identyfikacyjny 004806007, ul. Piotra Wawrzyniaka 37, 60-504 Poznań, woj. wielkopolskie, państwo Polska, tel. 61 847 54 22, e-mail agnieszka.mendelewska@wokiss.pl, faks 61 624 37 64.
Adres strony internetowej (url): http://www.wokiss.pl/

I.2) RODZAJ ZAMAWIAJĄCEGO:

Inny: Stowarzyszenie

SEKCJA II: PRZEDMIOT ZAMÓWIENIA

II.1) Nazwa nadana zamówieniu przez zamawiającego:

Wykonanie Audytu Stanu bezpieczeństwa informacji -3

Numer referencyjny(jeżeli dotyczy):

6/PZP/ZWR/AUD/ZAD5

II.2) Rodzaj zamówienia:

Usługi

II.3) Krótki opis przedmiotu zamówienia (wielkość, zakres, rodzaj i ilość dostaw, usług lub robót budowlanych lub określenie zapotrzebowania i wymagań ) a w przypadku partnerstwa innowacyjnego - określenie zapotrzebowania na innowacyjny produkt, usługę lub roboty budowlane:

I. Wykonanie Audytu Systemu zarządzania bezpieczeństwem informacji w celu oceny stopnia spełnienia wymogów Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Audytu KRI) wraz z Audytem Bezpieczeństwa Sieci dla oceny topologii sieci komputerowej oraz zidentyfikowania, a następnie wskazania sposobów wyeliminowania podatności na zagrożenia w systemach informatycznych (Audytu BS) dla Zamawiającego. II. Zamawiający przez "Audyt KRI" rozumie sprawdzenie czy systemy informatyczne wykorzystywane przez dany podmiot oraz procedury stosowane w danym podmiocie i dokumentacja je opisująca zapewniają skuteczną ochronę danych przetwarzanych w podmiotach poddanych sprawdzeniu, a w szczególności spełniają wymogi określone w § 20 Rozporządzenia KRI. Przedmiot zamówienia obejmuje w szczególności: a) analizę regulacji wewnętrznych Zamawiającego (polityk, instrukcji, regulaminów) i zapisów w zakresie bezpieczeństwa informacji, b) przeprowadzenie czynności audytorskich w siedzibach Zamawiającego (weryfikacja zabezpieczeń fizycznych, organizacyjnych, technicznych), c) opracowanie wyników w postaci Raportu z Audytu KRI zawierającego opis stanu aktualnego, ewentualne stwierdzone nieprawidłowości oraz wnioski, rekomendacje i zalecenia w celu spełnienia wymagań Rozporządzenia KRI. W ramach Raportu z Audytu KRI będzie dostarczony wzór Polityki Bezpieczeństwa Informacji dopasowany do organizacji. Zakres działań w ramach Audytu KRI powinien obejmować skontrolowanie audytowanej jednostki w następujących obszarach: a) Zgodność z prawem: o Cel: W organizacji wprowadzane są dokumenty niezbędne do realizacji wymagań prawnych. o Ryzyko: Organizacja nie spełnia wymogów prawnych. b) Aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji: o Cel: Zapewnienie prawdziwej i szybkiej informacji na temat sprzętu i oprogramowania. o Ryzyko: W organizacji trudno uzyskać informacje na temat oprogramowania oraz sprzętu. c) Ocena przeprowadzanych analiz ryzyka: o Cel: Zidentyfikowanie zagrożeń mogących wystąpić w organizacji. o Ryzyko: Organizacja nie posiada zidentyfikowanych potencjalnych zagrożeń. d) Weryfikacja uprawnień: o Cel: Zapewnienie, że wszystkie osoby posiadają odpowiednie uprawnienia dostępu do informacji. o Ryzyko: Dostęp do informacji mogą posiadać nieuprawnione osoby. e) Procedury zmiany uprawnień: o Cel: Zapewnienie, że procedury zmian uprawnień dostępu do informacji są stosowane. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji dla niech nieprzeznaczonych. f) Uświadamianie użytkowników: o Cel: Pracownicy mają świadomość dotyczącą bezpieczeństwa informacji. o Ryzyko: Pracownicy nie znają procedur bezpieczeństwa i jak się zachować przy przetwarzaniu informacji. g) Zabezpieczenia fizyczne informacji: o Cel: Zapewnienie bezpieczeństwa fizycznego przetwarzanym informacjom. o Ryzyko: Dostęp do informacji może być możliwy dla osób nieupoważnionych przez złe stosowanie zabezpieczeń. h) Bezpieczeństwo w pracy mobilnej i na odległość: o Cel: Wykonywana praca przez pracowników odbywa się bezpiecznie bez względu na miejsce pracy. o Ryzyko: Zagrożenie wycieku informacji, spowodowane niewłaściwą pracą mobilną i wykonywaną na odległość. i) Weryfikacja dostępu do informacji: o Cel: Ochrona przed nieautoryzowaną modyfikacją, usunięcie informacji. o Ryzyko: Informacja nie jest chroniona przed nieautoryzowaną modyfikacją i ochroną. j) Kontakty ze stronami trzecimi: o Cel: Zapewnienie bezpieczeństwa informacji podczas dostępu do informacji przez firmy zewnętrzne. o Ryzyko: Brak nadzoru nad dostępem do informacji przez firmy zewnętrzne. k) Postępowanie z informacją: o Cel: Zapewnienie minimalizacji wystąpienia ryzyka kradzieży informacji. o Ryzyko: Osoby nieuprawnione mają dostęp do informacji. l) Bezpieczeństwo teleinformatyczne: o Cel: Zapewnienie bezpieczeństwa przetwarzania informacji w systemach informatycznych: o Ryzyko: Systemy informatyczne nie są odpowiednio chronione. m) Działania związane z incydentami: o Cel: Organizacja posiada informacje na temat występowania incydentów. o Ryzyko: Organizacja nie reaguje i nie likwiduje przyczyn wystąpienia incydentów. n) Wykonywanie cyklicznych kontroli wewnętrznych: o Cel: Organizacja monitoruje i poprawia SZBI. o Ryzyko: Brak poprawnie działającego SZBI. Audyt KRI zostanie przeprowadzony w oparciu o istniejącą dokumentację, wizje lokalne, wywiady przeprowadzone z pracownikami Zamawiającego, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne oraz za administrację systemami informatycznymi oraz osobami użytkującymi systemy informatyczne. Postawą realizacji prac będzie norma wskazana w Rozporządzeniu KRI: PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu KRI będzie Raport indywidualny dla Zamawiającego, przedstawiający poziom bezpieczeństwa informacji zgodnie z wymaganiami KRI, a także zalecenia i rekomendacje w celu wypełnienia wymagań Rozporządzenia i podniesienia poziomu bezpieczeństwa informacji w niej gromadzonej i przetwarzanej. Załącznikiem do Raportu z Audytu KRI będzie dostarczony wzór Polityki Bezpieczeństwa Informacji dopasowany do organizacji. Po przeprowadzeniu Audytu KRI i opracowaniu Raportu Wykonawca przeprowadzi spotkanie z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi Zamawiającego, celem zaprezentowania wyników Audytu oraz zleceń i rekomendacji zawartych w Raporcie. III. Zamawiający przez "Audyt Bezpieczeństwa Sieci" rozumie badanie struktury sieci komputerowej oraz jej podatności na próby ataków pod kątem: nieautoryzowanego dostępu, luk bezpieczeństwa wykorzystywanego oprogramowania, zabezpieczeń sieciowych. Audyt Bezpieczeństwa Sieci obejmuje analizę wskazanych urządzeń, w tym w szczególności: a) sprawdzenie wybranych urządzeń systemowych, b) badanie wskazanych serwerów, c) sprawdzenie wskazanych stacji roboczych. Zakres działań w zakresie Audytu Bezpieczeństwa Sieci obejmuje: a) Analizę topologii sieci komputerowych w instytucji: lokalizacje, strefy i klasy adresowe (badanie sieci pod kątem stref wykrytych adresów). b) Analizę połączenia sieci lokalnych z sieciami: własnymi (inne lokalizacje np. VPN), obcymi (np. MSWiA) i sieciami publicznymi - Internet. c) Analizę warstwy aktywnej sieci - UTM, Firewall, Router, Switch, VLAN ze wskazaniem dobrych praktyk w zakresie konfiguracji i określenia reguł w urządzeniach dostępowych. d) Testy wskazanych serwerów i hostów udostępniających zasoby lub usługi w sieci. e) Sprawdzenie zasad dostępu do zasobów i usług (połączenie, uwierzytelnienie). f) Sprawdzenie mechanizmów dotyczących odporności i wykrywania podatności na ataki wewnętrzne (DoS, ARP/MAC SPOOFING). g) Przygotowanie podstawowych zaleceń ochrony do wykrytych podatności sieci i serwerów. h) Analizę i zalecenia dotyczące centralizacji lub rozproszenia zasobów i usług oraz ich redundancji. i) Zalecenia dotyczące zasad utrzymania sieci. j) Analizę polityki dostępu do zasobów. Audyt Bezpieczeństwa Sieci zostanie przeprowadzony w oparciu o wizje lokalne, testowanie wybranych urządzeń oraz wywiady przeprowadzone z pracownikami Zamawiającego, w szczególności z osobami odpowiedzialnymi za bezpieczeństwo sieci oraz za administrację systemami informatycznymi. Postawą realizacji Audytu Bezpieczeństwa Sieci będzie norma PN-ISO/IEC 27001 "Technika informatyczna - Techniki Bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji-Wymagania". Rezultatem przeprowadzonego Audytu BS będzie Raport zawierający analizę wyników dla Zamawiającego, wraz z rekomendacjami i wskazaniem dodatkowych metod ochrony sieci i jej zasobów uwzględniająca plany rozwojowe. Raport powinien zawierać opis topologii sieci i wykryte podatności podzielone i przypisane, według stopnia zagrożenia, do jednej z grup: o grupa zagrożenia centralne (Infrastruktura i serwery): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie, o grupa zagrożenia klienckie (enduser): zagrożenia krytyczne, zagrożenia wysokie, zagrożenia średnie, zagrożenia niskie. Ponadto Raport zawierać będzie następujące informacje: o wykaz stref i adresów IP hostów poddanych testom, o wykaz udostępnionych zasobów sieciowych lub usług, do których dostęp można uzyskać bez podania poświadczeń, o zalecenia dotyczące polityki uwierzytelnienia użytkowników, o sugestie dotyczące zwiększenia stopnia bezpieczeństwa i wysokiej dostępności, indywidualne zalecenia dotyczące wykrytych podatności i planów rozwojowych audytowanego środowiska. Po przeprowadzeniu Audytu BS i opracowaniu Raportu Wykonawca zobowiązuje się do przeprowadzenia spotkania z osobami odpowiedzialnymi za bezpieczeństwo teleinformatyczne i za administrację systemami informatycznymi Zamawiającego, celem zaprezentowania wyników audytu oraz zleceń i rekomendacji zawartych w Raporcie. IV. Zakres współpracy 1. Do prawidłowego wykonania usług Wykonawca będzie miał zapewniony pełny dostęp do dokumentacji określającej sposób zabezpieczania informacji w audytowanej jednostce, dostęp do pomieszczeń niezbędnych w celu analizy systemu zabezpieczeń, struktura organizacyjna audytowanej jednostki. 2. W każdej audytowanej jednostce wskazana zostanie osoba do współpracy z Wykonawcą odpowiedzialna za bezpieczeństwo informacji w audytowanych jednostkach. 3. Wywiad oraz weryfikacja przeprowadzane będą w zależności od dostępności osób, zaangażowanych w działanie w audytowanych jednostkach. 4. Wywiad polega na zadawaniu pytań krzyżowych oraz otwartych. Przeprowadzony będzie osobiście oraz za pomocą wszelkich dostępnych środków komunikacji zgodnie z Polityką Bezpieczeństwa danego podmiotu. 5. Zadanie uważa się za wykonane w momencie przekazania Zamawiającemu protokołu z wykonanych prac podpisanego przez osobę uprawnioną do reprezentowania audytowanej jednostki i Wykonawcę. 6. Wykonawca zobowiązany będzie do ustalenia z Zamawiającym harmonogramu prac w terminie 10 dni od daty podpisania umowy.

II.4) Informacja o częściach zamówienia:
Zamówienie było podzielone na części:

nie

II.5) Główny Kod CPV: 79.21.20.00 - Usługi audytu

SEKCJA III: PROCEDURA

III.1) TRYB UDZIELENIA ZAMÓWIENIA

Zamówienie z wolnej ręki

III.2) Ogłoszenie dotyczy zakończenia dynamicznego systemu zakupów

nie

III.3) Informacje dodatkowe:

SEKCJA IV: UDZIELENIE ZAMÓWIENIA

CZĘŚĆ NR: 1 NAZWA: 1

IV.1) DATA UDZIELENIA ZAMÓWIENIA: 31/07/2017 IV.2) Całkowita wartość zamówienia Wartość bez VAT 9990 Waluta zł IV.3) INFORMACJE O OFERTACH Liczba otrzymanych ofert: 0 w tym: liczba otrzymanych ofert od małych i średnich przedsiębiorstw: 0 liczba otrzymanych ofert od wykonawców z innych państw członkowskich Unii Europejskiej: 0 liczba otrzymanych ofert od wykonawców z państw niebędących członkami Unii Europejskiej: 0 liczba ofert otrzymanych drogą elektroniczną: 0 IV.4) LICZBA ODRZUCONYCH OFERT: IV.5) NAZWA I ADRES WYKONAWCY, KTÓREMU UDZIELONO ZAMÓWIENIA Sprawdź tą firmę: dane rejestrowe i kontaktowe firmy Consulting & Investment Sebastian Strzech jakie przetargi wygrała firma Consulting & Investment Sebastian Strzech Zamówienie zostało udzielone wykonawcom wspólnie ubiegającym się o udzielenie: nie Nazwa wykonawcy: CompNet Sebastian Strzech Email wykonawcy: Adres pocztowy: ul. Leszczynowa 33A Kod pocztowy: 62-500 Miejscowość: Konin Kraj/woj.: wielkopolskie Wykonawca jest małym/średnim przedsiębiorcą: tak Wykonawca pochodzi z innego państwa członkowskiego Unii Europejskiej: nie Wykonawca pochodzi z innego państwa nie będącego członkiem Unii Europejskiej: nie IV.6) INFORMACJA O CENIE WYBRANEJ OFERTY/ WARTOŚCI ZAWARTEJ UMOWY ORAZ O OFERTACH Z NAJNIŻSZĄ I NAJWYŻSZĄ CENĄ/KOSZTEM Cena wybranej oferty/wartość umowy 12287,70 Oferta z najniższą ceną/kosztem 12287,70 Oferta z najwyższą ceną/kosztem 12287,70 Waluta: złoty IV.7) Informacje na temat podwykonawstwa Wykonawca przewiduje powierzenie wykonania części zamówienia podwykonawcy/podwykonawcom nie Wartość lub procentowa część zamówienia, jaka zostanie powierzona podwykonawcy lub podwykonawcom: IV.8) Informacje dodatkowe:

IV.9) UZASADNIENIE UDZIELENIA ZAMÓWIENIA W TRYBIE NEGOCJACJI BEZ OGŁOSZENIA, ZAMÓWIENIA Z WOLNEJ RĘKI ALBO ZAPYTANIA O CENĘ

IV.9.1) Podstawa prawna

Postępowanie prowadzone jest w trybie zamówienia z wolnej ręki na podstawie art. 67 ust. 1 pkt 4) ustawy Pzp.

IV.9.2) Uzasadnienie wyboru trybu

Należy podać uzasadnienie faktyczne i prawne wyboru trybu oraz wyjaśnić, dlaczego udzielenie zamówienia jest zgodne z przepisami.
Uzasadnienie Prawne: W postępowaniu prowadzonym uprzednio w trybie przetargu nieograniczonego oraz wszystkie oferty zostały odrzucone na podstawie art. 89 ust. 1 pkt 2 ze względu na ich niezgodność z opisem przedmiotu zamówienia, a pierwotne warunki zamówienia nie zostały w istotny sposób zmienione. Uzasadnienie Faktyczne. Zamawiający 22 marca 2017 roku opublikował ogłoszenie o zamówieniu nr 49505 - 2017, którego przedmiotem było Wykonanie Audyt u Stanu bezpieczeństwa informacji. Zamówienie zostało podzielone na pięć części. W dniu 7 kwietnia 2017 Zamawiający w zakresie części 5 (zakres zamówienia z wolnej ręki dotyczy tylko tej części) unieważnił postępowanie na podstawie art. 93 ust. 1 pkt 1 ustawy z dnia 29 stycznia 2004 roku Prawo zamówień publicznych, w związku z faktem, że wszystkie oferty złożone w ramach danej części podlegały odrzuceniu jako niezgodne ze specyfikacją istotnych na podstawie warunków zamówienia (zgodnie z art. art. 89 ust. 1 pkt 2 ustawy z dnia 29 stycznia 2004 roku Prawo zamówień publicznych)