Zajištění služby Bezpečnostního dohledu pro MS2014+

Další informace

Kritéria pro zadání zakázky podle bodu IV.2). V rámci DHK „Navržený způsob a postup poskytovaných služeb” budou hodnocena subkritéria:

a) „Navržený způsob poskytování služeb řízení informační bezpečnosti”. Předmětem hodn. bude navržený způsob a postup implementace systému řízení informační bezpečnosti dle norem řady ISO 27000 (harmonogram průběhu – Implementační plán) pro systém MS2014+; obsahující popis jednotlivých kroků, názvů a obsahů jednotlivých výstupů; procesů a postupů (metodik) realizace, termínů realizace navržených kroků a požadavky na součinnost ze strany Zadavatele, Provozovatele Apl. MS2014+ a Poskytovatele služeb Prostředí a jejich zdůvodnění v rámci této VZ. Jako nejvhodnější bude hodn. nabídka, ve které Uchazeč nejlépe logicky, věcně a v souladu s požadavky Zadavatele dle těchto zadávacích podmínek zpracuje Implementační plán systému řízení bezpečnosti informací pro systém MS2014 + s důrazem na způsob naplnění požadavků stanovených pro Službu BS01 dle Přílohy č. 1 Smlouvy, zachování vazby na stanovené termíny a logickou posloupnost a souslednost jednotlivých kroků Implementačního plánu. Při hodn. bude přihlíženo k požadovanému objemu součinnosti Zadavatele, Provozovatele Aplikace MS2014+ a Poskytovatele služeb Prostředí a jeho zdůvodnění s důrazem na ověření, že nedochází k přenesení výkonu požadovaných činností zpět na Zadavatele;

b) „Navržený způsob poskytování služeb bezpečnostního monitoringu”. Předmětem hodn. bude navržený popis řešení bezpečnostního monitoringu Aplikace MS2014+ a Prostředí; procesy a postupy poskytování služeb bezpečnostního monitoringu; nástroje a opatření minimalizující vznik provozních a bezpečnostních incidentů vzniklých na základě činnosti Uchazeče a možnost vzniku chyb způsobených lidským faktorem při poskytování služeb. Jako nejvhodnější bude hodn. nabídka, ve které Uchazeč navrhne způsob, který nejlépe věcně a v souladu s požadavky Zadavatele dle těchto zadávacích podmínek zpracuje návrh technického řešení bezpečnostního monitoringu Apl. MS2014+ a Prostředí, vymezí schopnosti a parametry nabízeného řešení HW/SW vyhodnocovacího centra v oblasti sběru, vyhodnocování a ukládání auditních informací s důrazem na minimalizaci vzniku provozních a bezpečnostních incidentů a stanoví vhodnou posloupnost jednotlivých kroků vedoucích k zajištění plné funkčnosti bezpečnostního monitoringu Prostředí a Aplikace MS2014+ ve vazbě na stanovené termíny plnění;

c) Subkritérium „Navržený způsob poskytování služeb auditu”. Předmětem hodn. bude navržený popis způsobu poskytování služeb auditu a technické kontroly s důrazem na oblast penetračních testů (metodiku, harmonogram, nástroje a postupy). Jako nejvhodnější bude hodn. nabídka, ve které Uchazeč nejlépe logicky, věcně a v souladu s požadavky Zadavatele dle těchto zadávacích podmínek navrhne metodiku penetračních testů a harmonogram jejich provádění, zdůvodní vhodnost zvolených nástrojů a popíše opatření vedoucí k minimalizaci vzniku provozních a bezpečnostních incidentů činností Uchazeče resp. v souvislosti s poskytování služeb penetračních testů a minimalizuje tak dopad na kvalitu a kvantitu poskytovaných služeb Apl. MS2014+ a Prostředí.

Další informace k technické kvalifikaci:

a) seznam významných služeb („VS”). Nejméně 4 VS poskytnuté dle vymezení uvedeného dále v bodech I. až IV.

I. VS Řízení informační bezpečnosti. Rozsah min. 1 000 000 CZK bez DPH a předmět plnění spočíval v poskytnutí sl. implementace systému řízení informační bezpečnosti dle norem řady ISO 27000, přičemž předmět plnění spočíval v poskytnutí sl. zahrnujících analýzu rizik, hodnocení aktiv, výběr a implementaci opatření a návrh a vytvoření celé dokumentační základny systému řízení. Požadovaná minimální úroveň je uvedena v zadávací dokumentaci (dále též „ZD”).

II. VS Řízení kontinutity činností. Rozsah min. 300 000 CZK bez DPH a předmět plnění spočíval v poskytnutí sl. dle mezinárodně uznávaného standardu v oblasti návrhu systému řízení kontinuity činností nebo kontinuity sl., přičemž sl. byla poskytnuta pro informační systém a jeho provoz. Součástí sl. byl návrh detailních havarijních plánů, přičemž bude doloženo, že uchazečem navržené havarijní plány prošly úspěšnou implementací a testováním, alternat. součástí sl. byla úspěšná implementace a testování havarijních plánů.

III. 1 VS Bezpečnostního monitoringu ICT. Rozsah min. 7 000 000 CZK bez DPH, Požadovaná minimální úroveň je uvedena v ZD.

IV. VS Provedení penetračních testů. Rozsah min. 300 000 CZK bez DPH, Požadovaná minimální úroveň je uvedena V ZD;

b) seznam techniků a osvědčení o vzdělání a odborné kvalifikaci Uchazeče a osob odpovědných za poskytování služeb. Bezpečnostní tým se musí skládat alespoň z následujících odborných pracovníků:

— vedoucí týmu informační bezpečnosti,

— bezpečnostní specialista,

— bezpečnostní konzultant,

— vedoucí týmu monitoringu a testování,

— specialista – bezpečnostní monitoring,

— specialista – monitoring,

— operátor – monitoring, Specialista – tester.

Změny zadávacích podmínek oproti zadávacímu řízení „Zajištění služby Bezpečnostního dohledu pro MS2014+” uveřejněnému v TED pod značkou 2014/S 101 177031. Zadavatel provedl změny zadávacích podmínek s ohledem na potřebu ošetřit skutečnosti, které byly předmětem dodatečných informací a námitek uchazečů. Zároveň došlo ke změnám v technické části řešení Bezpečnostního dohledu, které reagují na aktuální stav vývoje systému MS2014+ a stav souvisejících zadávacích řízení na HW platformu a infrastrukturu serverovny a Záložní pracoviště MS2014+. Konkrétně byly provedeny následující změny:

— Zadávací dokumentace: aktualizovány čl. 4.1 a 5.1 v návaznosti na stav souvisejících zadávacích řízení; upřesněna významná služba v čl. 6.4.1 písm a), odst. III. bod b) za účelem přesnějšího vymezení předmětu významné služby; upraveny požadavky na obsah nabídky v čl. 8.1 písm h) a i) za účelem přesnějšího vymezení způsobu zpracování nabídkové ceny a Příloh č. 4 a 5 Smlouvy o poskytování služeb; upřesněn čl. 8.1 písm. b) s ohledem na požadavky na elektronickou kopii nabídky; upraveno znění čl. 10 za účelem upřesnění způsobu zpracování nabídkové ceny; upřesněno znění čl. 11.3 písm. b) ve způsobu hodnocení nabídky u subkritéria „Navržený způsob poskytování služeb bezpečnostního monitoringu”; upřesněn čl. 14 u popisu obsahu dokumentu Příloha č. 5,

— Smlouva o poskytování služeb: upřesněn čl. 3.1 v oblasti odkazu na Přílohu č. 1 smlouvy; odstraněn původní čl. 4.2, který již nebyl aktuální vzhledem ke stavu ZŘ na „Pořízení HW platformy a Infrastruktury serverovny pro MS2014+”; změněn čl. 4.3 (původně 4.4), kdy byla uvedena nová adresa primární lokality MS2014+; upraven čl. 5.1 a 5.1.2 tak, aby bylo zřejmé, že cena je ve smlouvě stanovena za 1 vyhodnocovací období; v čl. 5.6.1 a 5.6.2 byl nahrazen pojem „kalendářní měsíc” pojmem „vyhodnocovací období”; doplněn čl. 6.3 zohledňující změn zadávací dokumentace v čl. 8.1 písm. i) ve vztahu ke způsobu tvorby bezpečnostního týmu a kvalifikace jednotlivých osob v tomto týmu,

— Příloha č. 1 Smlouvy o poskytování služeb: u všech Služeb došlo k doplnění čl. „Vysvětlivky”, kdy bylo vloženo ustanovení o přesnosti paušální ceny; v čl. 2 byla uvedena nová adresa primární lokality; u Služby BS01 byly upraveny čl. 3.1.2.1 a 3.1.2.2, kdy byla vložena ustanovení související se zákonem o kybernetické bezpečnosti; u Služby BS02 byl upraven čl. 3.2.2.1, kde došlo k upřesnění způsobu zajištění činnosti Poskytovatele v oblasti informování o změnách oblasti OOÚ; u Služby BS03 došlo k zásadní úpravě čl. 3.3.2.1, kdy byly změněny a upřesněny náležitosti služby HW/SW vyhodnocovacího centra bezpečnostního monitoringu; u Služby BS05 došlo k upřesnění čl. 3.5.2.1 v oblasti Metodiky provádění penetračních testů, kdy změny zpřesňují požadovaný obsah metodiky. Dále byl u této služby změněn čl. 3.5.2.4, kdy provedené změny reagují na změny služby BS01 vlivem zákona o kybernetické bezpečnosti,

— Příloha č. 5 Zadávací dokumentace: v čl. 3.3 upřesněny náležitosti rozkladu cen pro položku C u Služby BS03.

Krátký popis

Předmětem této veřejné zakázky je pořízení nezbytně nutných služeb pro zajištění správného nastavení a dohledu nad provozní bezpečností systému MS2014+ (monitoring bezpečnosti, kontrola procesů, přístupů a postupů, schvalování změnových řízení aplikace, HW a SW prostředí a způsobu jejich řešení z pohledu bezpečnostních norem, kontrola vstupů pro výkon auditů a vlastní provádění pravidelných bezpečnostních auditů, návrhy opravných řešení a tvorba, revize a vedení bezpečnostní dokumentace systému jako celku). Předmětem této Veřejné zakázky jsou následující služby:

Způsobilost pro výkon profesní činnosti

Uchazeč musí splnit základní kvalifikační předpoklady dle § 53 odst. 1 písm. a) až h) a písm. j) a k) zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů (dále jen „ZVZ”) a dále profesní kvalifikační předpoklady dle § 54 písm. a) a b) ZVZ.

Ekonomická a finanční situace

Splnění ekonomických a finančních kvalifikačních předpokladů prokáže uchazeč, který předloží čestné prohlášení o své ekonomické a finanční způsobilosti splnit veřejnou zakázku.

Minimální úroveň (úrovně) standardů

A) seznam nejméně 4 významných služeb poskytnutých Uchazečem v posledních 3 letech, a to dle vymezení uvedeného dále v bodě VI.3) tohoto oznámení. Další informace k technické kvalifikaci a zadávací dokumentaci;

Požadované vklady a záruky

Zadavatel požaduje, aby Uchazeči k zajištění svých povinností vyplývajících z účasti v zadávacím řízení poskytli jistotu ve výši 500 000 CZK (slovy: pět set tisíc korun českých). Bankovní číslo účtu pro složení jistoty: 6015-629001/0710, v případě složení na účet zadavatele uchazeč uvede jako variabilní symbol své IČ, popř. své rodné číslo, jde-li o fyzickou osobu, a specifický symbol 368381324.

Informace o oprávněných osobách a postupu otevírání

Otevírání obálek se mají právo zúčastnit zástupci Uchazečů, jejichž Nabídky byly řádně doručeny do konce lhůty pro doručení nabídek. Z organizačních důvodů je omezen počet zástupců každého Uchazeče na 2 fyzické osoby.

Další informace

a) „Navržený způsob poskytování služeb řízení informační bezpečnosti”. Předmětem hodn. bude navržený způsob a postup implementace systému řízení informační bezpečnosti dle norem řady ISO 27000 (harmonogram průběhu – Implementační plán) pro systém MS2014+; obsahující popis jednotlivých kroků, názvů a obsahů jednotlivých výstupů; procesů a postupů (metodik) realizace, termínů realizace navržených kroků a požadavky na součinnost ze strany Zadavatele, Provozovatele Apl. MS2014+ a Poskytovatele služeb Prostředí a jejich zdůvodnění v rámci této VZ. Jako nejvhodnější bude hodn. nabídka, ve které Uchazeč nejlépe logicky, věcně a v souladu s požadavky Zadavatele dle těchto zadávacích podmínek zpracuje Implementační plán systému řízení bezpečnosti informací pro systém MS2014 + s důrazem na způsob naplnění požadavků stanovených pro Službu BS01 dle Přílohy č. 1 Smlouvy, zachování vazby na stanovené termíny a logickou posloupnost a souslednost jednotlivých kroků Implementačního plánu. Při hodn. bude přihlíženo k požadovanému objemu součinnosti Zadavatele, Provozovatele Aplikace MS2014+ a Poskytovatele služeb Prostředí a jeho zdůvodnění s důrazem na ověření, že nedochází k přenesení výkonu požadovaných činností zpět na Zadavatele;

Informace o lhůtách pro přezkum

Podmínkou pro podání návrhu k ÚOHS je podání námitek k zadavateli, které je nutné doručit do 15 dnů ode dne, kdy se dodavatel dozvěděl o úkonu zadavatele, který napadá. Zadavatel je povinen námitky vyřídit do 10 dnů. Návrh je nutné doručit ÚOHS i zadavateli do 10 dnů od doručení rozhodnutí zadavatele o námitkách nebo do 25 dnů od odeslání námitek, pokud zadavatel o námitkách nerozhodl.