Rybnik, dn. 28.10.2016 r. OR.0420

Powiatowy Urząd Pracy
44-200 Rybnik
ul. Jankowicka 1
tel. 32/4226095, 4260036, fax 4223962
e-mail: [email protected]
www.pup-rybnik.pl
Rybnik, dn. 28.10.2016 r.
OR.0420-73/16/AB
Wykonawcy wg rozdzielnika
ZAPYTANIE OFERTOWE
Powiatowy Urząd Pracy w Rybniku wysyła zapytanie ofertowe zgodnie z zasadą
konkurencyjności na usługę przeprowadzenia audytu bezpieczeństwa informacji i audytu
legalności oprogramowania.
1. OPIS PRZEDMIOTU ZAMÓWIENIA
Kod CPV: 79212000-3.
Przedmiotem zamówienia jest przeprowadzenie audytu bezpieczeństwa informacji
i audytu legalności oprogramowania (82 stacje robocze i 3 serwery).
Uwaga!
W tut. Urzędzie na przełomie listopada i grudnia 2015 roku został przeprowadzony
audyt w nw. zakresie. Na cele tegorocznego audytu zostanie przekazana dokumentacja
dot. wniosków i zaleceń poaudytowych. Firma wybrana w drodze zapytania ofertowego, będzie
dodatkowo zobowiązana do zweryfikowania stanu wdrożenia zaleceń z ubiegłorocznego
audytu.
Powiatowy Urząd Pracy w Rybniku jest w posiadaniu certyfikatu legalności
oprogramowania Microsoft Software Asset Management, wydanego dnia 7 stycznia 2016 r.
Audyt bezpieczeństwa informacji:
I.
Audyt bezpieczeństwa danych osobowych:
1. Kontrola zabezpieczeń fizycznych i środowiskowych:
a. weryfikacja zabezpieczeń wejścia/wyjścia,
b. weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń,
c. analiza planu pomieszczeń biurowych będących w użytkowaniu PUP
w celu rozpoznania stref,
d. weryfikacja obszarów publicznie dostępnych,
e. weryfikacja lokalizacji i ochrony sprzętu.
2. Testy socjotechniczne:
a. próby pozyskania poufnych informacji od użytkowników,
b. próby umieszczenia szkodliwego oprogramowania na stacjach roboczych,
c. próby uzyskania dostępu do danych poufnych u użytkowników,
d. sprawdzenie sposobu przechowywania haseł przez użytkowników (zasada
czystego biurka i czystego ekranu),
e. weryfikacja ochrony powierzonego sprzętu i dokumentacji.
3. Weryfikacja dokumentacji Polityki Zarządzania Bezpieczeństwem Informacji,
w tym określenie zbiorów przetwarzanych danych osobowych.
4. Weryfikacja rejestracji zbiorów danych osobowych w GIODO.
5. Podsumowanie oraz wnioski z przeprowadzonych badań:
a. sporządzenie raportu zawierającego zalecenia poaudytowe,
b. wykrycie braków oraz przedstawienie propozycji zmian do uzupełnienia
w Polityce Zarządzania Bezpieczeństwem Informacji, zgodnie z ustawą
o ochronie danych osobowych, rozporządzeniem z dnia 12 kwietnia 2012 r.
w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla
rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz
minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz. U.
z 2016 r. poz. 113 ze zm.).
6. Szkolenie w siedzibie Zamawiającego 20-osobowej grupy pracowników z ochrony
i bezpieczeństwa przetwarzania danych osobowych w szczególności
w następującym zakresie:
II.
-
omówienie podstawowych zasad bezpieczeństwa informacji i wypełniania
procedur dotyczących pracowników wynikających z aktów wewnętrznych
obowiązujących u Zamawiającego,
-
zagrożenia związane z przetwarzaniem informacji,
-
odpowiedzialność za naruszenie Polityki Zarządzania Bezpieczeństwem
Informacji,
-
zasady zgłaszania i procedury reagowania na incydenty.
Audyt teleinformatyczny:
1. Analiza konfiguracji stacji roboczych:
a. badanie i weryfikacja metod autoryzacji,
b. weryfikacja zmian konfiguracyjnych i aktualizacji oprogramowania,
c. weryfikacja zabezpieczeń przed złośliwym oprogramowaniem,
d. weryfikacja dostępności i ciągłości działania,
e. analiza systemu zarządzania kopiami zapasowymi,
f. ocena konfiguracji systemu operacyjnego,
g. badanie luk,
h. weryfikacja zasad i procedur korzystania przez pracowników z internetu.
2. Testy penetracyjne urządzeń sieciowych:
a. skanowanie listy otwartych portów na urządzeniach sieciowych,
b. analiza podatności urządzeń w infrastrukturze sieciowej,
2
c. zbadanie podatności styku sieci lokalnej z internetem na ataki z sieci
zewnętrznej,
d. weryfikacja poziomu bezpieczeństwa tunelu VPN zestawionego pomiędzy
2 routerami brzegowymi.
3. Podsumowanie oraz wnioski z przeprowadzonych badań:
a. sporządzenie raportu zawierającego zalecenia poaudytowe.
Audyt legalności oprogramowania:
1. Skanowanie komputerów pod kątem zainstalowanego oprogramowania oraz plików
multimedialnych.
2. Przygotowanie i przekazanie poufnego raportu wstępnego o stanie legalności
oprogramowania
po
pierwszym
skanowaniu
(spis
zainstalowanego
oprogramowania oraz zapisanych plików multimedialnych) w ciągu 10 dni
roboczych od dnia rozpoczęcia audytu.
3. Inwentaryzacja dokumentacji licencyjnej przedstawionej przez Zamawiającego:
a. sporządzenie spisu posiadanych licencji w formacie *.xls,
b. segregacja dowodów licencyjnych (faktury zakupu, oryginalne nośniki,
certyfikaty autentyczności, umowy licencyjne),
c. stworzenie
kompletów
dokumentacji
licencyjnej
do
całości
oprogramowania zainstalowanego na poszczególnych stacjach roboczych.
4. Weryfikacja i porządkowanie oprogramowania:
a. porównanie zainstalowanego oprogramowania na poszczególnych stacjach
ze spisem licencji,
b. omówienie rozbieżności między zainstalowanym oprogramowaniem,
a posiadanymi licencjami oraz sporządzenie spisu oprogramowania
do usunięcia lub uzupełnienia licencji,
c. usunięcie nielegalnego oprogramowania z komputerów, na które urząd
nie posiada licencji oraz plików chronionych prawem autorskim (pliki
muzyczne, filmy itp.),
d. zainstalowanie lub przeinstalowanie i konfiguracja oprogramowania jeżeli
wersje aktualnie zainstalowane nie odpowiadają posiadanym przez
Zamawiającego licencjom.
5. Ponowne skanowanie jednostek, weryfikacja dokumentacji i wdrożonych zasad
zarządzania oprogramowaniem.
6. Przygotowanie metryk komputerów w formacie *.xls.
7. Potwierdzenie przeprowadzenia działań naprawczych.
8. Przygotowanie i przekazanie końcowego raportu wynikowego z przeprowadzonego
audytu.
9. Wystąpienie do firmy Microsoft o wydanie certyfikatu “Microsoft Software Asset
Management”.
10. Nadanie Urzędowi Certyfikatu Wykonawcy, potwierdzającego używanie jedynie
legalnego oprogramowania.
3
2. TERMIN REALIZACJI ZAMÓWIENIA
Wykonawca zobowiązuje się wykonać przedmiot zamówienia, w okresie
od 14.11.2016 r. (poniedziałek) do 16.12.2016 r. (piątek). Termin uważa się za dotrzymany,
gdy urząd otrzyma raporty końcowe z wszystkich audytów łącznie z Certyfikatem Wykonawcy,
potwierdzającym używanie jedynie legalnego oprogramowania.
3. WARUNKI UDZIAŁU W POSTĘPOWANIU
1) Wykonawca zobowiązany jest wykazać, że w okresie ostatnich trzech lat przed upływem
terminu składania ofert, a jeśli okres prowadzenia działalności jest krótszy - w tym okresie
należycie wykonał co najmniej: 1 zamówienie dla powiatowego urzędu pracy lub
wojewódzkiego urzędu pracy polegające na przeprowadzeniu audytu bezpieczeństwa
informacji oraz na wdrożeniu Polityki Bezpieczeństwa Informacji /Danych Osobowych lub
Systemu Zarządzania Bezpieczeństwem Informacji lub Polityki Bezpieczeństwa
Teleinformatycznego zgodnie z wymaganiami normy PN-ISO/IEC 27001 lub
Rozporządzeniem Rady Ministrów w sprawie Krajowych Ram Interoperacyjności,
minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci
elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz. U.
2016 r., poz. 113 ze zm.); z podaniem ich wartości, przedmiotu, dat wykonania
i podmiotów, na rzecz których usługi zostały wykonane oraz załączeniem dowodów, czy
zostały wykonane należycie.
Do oferty należy dołączyć Załącznik nr 4 według udostępnionego wzoru wraz
z referencjami.
2) Wykonawca wykaże, że dysponuje lub będzie dysponować zespołem osób, w którego
skład wchodzi co najmniej:
a) jeden audytor dysponujący certyfikatem ukończenia szkolenia audytora wiodącego
systemu zarządzania bezpieczeństwem informacji według ISO/IEC 27001 oraz
posiadający doświadczenie w realizacji w okresie ostatnich 3 lat przed upływem
terminu składania ofert co najmniej 3 usług obejmujących szacowanie ryzyka
bezpieczeństwa informacji lub wdrożenie polityki bezpieczeństwa informacji lub usług
obejmujących audyt bezpieczeństwa na zgodność z wymaganiami ISO 27001.
Do oferty należy dołączyć Załącznik nr 3 według udostępnionego wzoru wraz
z certyfikatem.
4. MIEJSCE WYKONANIA ZAMÓWIENIA
Miejsca przeprowadzania audytu:
-
Powiatowy Urząd Pracy, ul. Jankowicka 1, 44-200 Rybnik,
Lokalny Punkt Informacyjno-Konsultacyjny, ul. Wolności 2a,
44-230 Czerwionka-Leszczyny.
Miejsce przeprowadzenia szkolenia:
-
Powiatowy Urząd Pracy, ul. Jankowicka 1, 44-200 Rybnik.
4