Rybnik, dn. 28.10.2016 r. OR.0420
Transkrypt
Rybnik, dn. 28.10.2016 r. OR.0420
Powiatowy Urząd Pracy 44-200 Rybnik ul. Jankowicka 1 tel. 32/4226095, 4260036, fax 4223962 e-mail: [email protected] www.pup-rybnik.pl Rybnik, dn. 28.10.2016 r. OR.0420-73/16/AB Wykonawcy wg rozdzielnika ZAPYTANIE OFERTOWE Powiatowy Urząd Pracy w Rybniku wysyła zapytanie ofertowe zgodnie z zasadą konkurencyjności na usługę przeprowadzenia audytu bezpieczeństwa informacji i audytu legalności oprogramowania. 1. OPIS PRZEDMIOTU ZAMÓWIENIA Kod CPV: 79212000-3. Przedmiotem zamówienia jest przeprowadzenie audytu bezpieczeństwa informacji i audytu legalności oprogramowania (82 stacje robocze i 3 serwery). Uwaga! W tut. Urzędzie na przełomie listopada i grudnia 2015 roku został przeprowadzony audyt w nw. zakresie. Na cele tegorocznego audytu zostanie przekazana dokumentacja dot. wniosków i zaleceń poaudytowych. Firma wybrana w drodze zapytania ofertowego, będzie dodatkowo zobowiązana do zweryfikowania stanu wdrożenia zaleceń z ubiegłorocznego audytu. Powiatowy Urząd Pracy w Rybniku jest w posiadaniu certyfikatu legalności oprogramowania Microsoft Software Asset Management, wydanego dnia 7 stycznia 2016 r. Audyt bezpieczeństwa informacji: I. Audyt bezpieczeństwa danych osobowych: 1. Kontrola zabezpieczeń fizycznych i środowiskowych: a. weryfikacja zabezpieczeń wejścia/wyjścia, b. weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń, c. analiza planu pomieszczeń biurowych będących w użytkowaniu PUP w celu rozpoznania stref, d. weryfikacja obszarów publicznie dostępnych, e. weryfikacja lokalizacji i ochrony sprzętu. 2. Testy socjotechniczne: a. próby pozyskania poufnych informacji od użytkowników, b. próby umieszczenia szkodliwego oprogramowania na stacjach roboczych, c. próby uzyskania dostępu do danych poufnych u użytkowników, d. sprawdzenie sposobu przechowywania haseł przez użytkowników (zasada czystego biurka i czystego ekranu), e. weryfikacja ochrony powierzonego sprzętu i dokumentacji. 3. Weryfikacja dokumentacji Polityki Zarządzania Bezpieczeństwem Informacji, w tym określenie zbiorów przetwarzanych danych osobowych. 4. Weryfikacja rejestracji zbiorów danych osobowych w GIODO. 5. Podsumowanie oraz wnioski z przeprowadzonych badań: a. sporządzenie raportu zawierającego zalecenia poaudytowe, b. wykrycie braków oraz przedstawienie propozycji zmian do uzupełnienia w Polityce Zarządzania Bezpieczeństwem Informacji, zgodnie z ustawą o ochronie danych osobowych, rozporządzeniem z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz. U. z 2016 r. poz. 113 ze zm.). 6. Szkolenie w siedzibie Zamawiającego 20-osobowej grupy pracowników z ochrony i bezpieczeństwa przetwarzania danych osobowych w szczególności w następującym zakresie: II. - omówienie podstawowych zasad bezpieczeństwa informacji i wypełniania procedur dotyczących pracowników wynikających z aktów wewnętrznych obowiązujących u Zamawiającego, - zagrożenia związane z przetwarzaniem informacji, - odpowiedzialność za naruszenie Polityki Zarządzania Bezpieczeństwem Informacji, - zasady zgłaszania i procedury reagowania na incydenty. Audyt teleinformatyczny: 1. Analiza konfiguracji stacji roboczych: a. badanie i weryfikacja metod autoryzacji, b. weryfikacja zmian konfiguracyjnych i aktualizacji oprogramowania, c. weryfikacja zabezpieczeń przed złośliwym oprogramowaniem, d. weryfikacja dostępności i ciągłości działania, e. analiza systemu zarządzania kopiami zapasowymi, f. ocena konfiguracji systemu operacyjnego, g. badanie luk, h. weryfikacja zasad i procedur korzystania przez pracowników z internetu. 2. Testy penetracyjne urządzeń sieciowych: a. skanowanie listy otwartych portów na urządzeniach sieciowych, b. analiza podatności urządzeń w infrastrukturze sieciowej, 2 c. zbadanie podatności styku sieci lokalnej z internetem na ataki z sieci zewnętrznej, d. weryfikacja poziomu bezpieczeństwa tunelu VPN zestawionego pomiędzy 2 routerami brzegowymi. 3. Podsumowanie oraz wnioski z przeprowadzonych badań: a. sporządzenie raportu zawierającego zalecenia poaudytowe. Audyt legalności oprogramowania: 1. Skanowanie komputerów pod kątem zainstalowanego oprogramowania oraz plików multimedialnych. 2. Przygotowanie i przekazanie poufnego raportu wstępnego o stanie legalności oprogramowania po pierwszym skanowaniu (spis zainstalowanego oprogramowania oraz zapisanych plików multimedialnych) w ciągu 10 dni roboczych od dnia rozpoczęcia audytu. 3. Inwentaryzacja dokumentacji licencyjnej przedstawionej przez Zamawiającego: a. sporządzenie spisu posiadanych licencji w formacie *.xls, b. segregacja dowodów licencyjnych (faktury zakupu, oryginalne nośniki, certyfikaty autentyczności, umowy licencyjne), c. stworzenie kompletów dokumentacji licencyjnej do całości oprogramowania zainstalowanego na poszczególnych stacjach roboczych. 4. Weryfikacja i porządkowanie oprogramowania: a. porównanie zainstalowanego oprogramowania na poszczególnych stacjach ze spisem licencji, b. omówienie rozbieżności między zainstalowanym oprogramowaniem, a posiadanymi licencjami oraz sporządzenie spisu oprogramowania do usunięcia lub uzupełnienia licencji, c. usunięcie nielegalnego oprogramowania z komputerów, na które urząd nie posiada licencji oraz plików chronionych prawem autorskim (pliki muzyczne, filmy itp.), d. zainstalowanie lub przeinstalowanie i konfiguracja oprogramowania jeżeli wersje aktualnie zainstalowane nie odpowiadają posiadanym przez Zamawiającego licencjom. 5. Ponowne skanowanie jednostek, weryfikacja dokumentacji i wdrożonych zasad zarządzania oprogramowaniem. 6. Przygotowanie metryk komputerów w formacie *.xls. 7. Potwierdzenie przeprowadzenia działań naprawczych. 8. Przygotowanie i przekazanie końcowego raportu wynikowego z przeprowadzonego audytu. 9. Wystąpienie do firmy Microsoft o wydanie certyfikatu “Microsoft Software Asset Management”. 10. Nadanie Urzędowi Certyfikatu Wykonawcy, potwierdzającego używanie jedynie legalnego oprogramowania. 3 2. TERMIN REALIZACJI ZAMÓWIENIA Wykonawca zobowiązuje się wykonać przedmiot zamówienia, w okresie od 14.11.2016 r. (poniedziałek) do 16.12.2016 r. (piątek). Termin uważa się za dotrzymany, gdy urząd otrzyma raporty końcowe z wszystkich audytów łącznie z Certyfikatem Wykonawcy, potwierdzającym używanie jedynie legalnego oprogramowania. 3. WARUNKI UDZIAŁU W POSTĘPOWANIU 1) Wykonawca zobowiązany jest wykazać, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeśli okres prowadzenia działalności jest krótszy - w tym okresie należycie wykonał co najmniej: 1 zamówienie dla powiatowego urzędu pracy lub wojewódzkiego urzędu pracy polegające na przeprowadzeniu audytu bezpieczeństwa informacji oraz na wdrożeniu Polityki Bezpieczeństwa Informacji /Danych Osobowych lub Systemu Zarządzania Bezpieczeństwem Informacji lub Polityki Bezpieczeństwa Teleinformatycznego zgodnie z wymaganiami normy PN-ISO/IEC 27001 lub Rozporządzeniem Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz. U. 2016 r., poz. 113 ze zm.); z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których usługi zostały wykonane oraz załączeniem dowodów, czy zostały wykonane należycie. Do oferty należy dołączyć Załącznik nr 4 według udostępnionego wzoru wraz z referencjami. 2) Wykonawca wykaże, że dysponuje lub będzie dysponować zespołem osób, w którego skład wchodzi co najmniej: a) jeden audytor dysponujący certyfikatem ukończenia szkolenia audytora wiodącego systemu zarządzania bezpieczeństwem informacji według ISO/IEC 27001 oraz posiadający doświadczenie w realizacji w okresie ostatnich 3 lat przed upływem terminu składania ofert co najmniej 3 usług obejmujących szacowanie ryzyka bezpieczeństwa informacji lub wdrożenie polityki bezpieczeństwa informacji lub usług obejmujących audyt bezpieczeństwa na zgodność z wymaganiami ISO 27001. Do oferty należy dołączyć Załącznik nr 3 według udostępnionego wzoru wraz z certyfikatem. 4. MIEJSCE WYKONANIA ZAMÓWIENIA Miejsca przeprowadzania audytu: - Powiatowy Urząd Pracy, ul. Jankowicka 1, 44-200 Rybnik, Lokalny Punkt Informacyjno-Konsultacyjny, ul. Wolności 2a, 44-230 Czerwionka-Leszczyny. Miejsce przeprowadzenia szkolenia: - Powiatowy Urząd Pracy, ul. Jankowicka 1, 44-200 Rybnik. 4