Zajištění služby Bezpečnostního dohledu pro MS2014+

Další informace

Kritéria pro zadání zakázky podle bodu IV.2). V rámci DHK „Navržený způsob a postup poskytovaných služeb” budou hodnocena subkritéria:

a) „Navržený způsob poskytování služeb řízení informační bezpečnosti”. Předmětem hodn. bude navržený způsob a postup implementace systému řízení informační bezpečnosti dle norem řady ISO 27000 (harmonogram průběhu – Implementační plán) pro systém MS2014+; obsahující popis jednotlivých kroků, názvů a obsahů jednotlivých výstupů; procesů a postupů (metodik) realizace, termínů realizace navržených kroků a požadavky na součinnost ze strany Zadavatele, Provozovatele Apl. MS2014+ a Poskytovatele služeb Prostředí a jejich zdůvodnění v rámci této VZ. Jako nejvhodnější bude hodn. nabídka, ve které Uchazeč nejlépe logicky, věcně a v souladu s požadavky Zadavatele dle těchto zadávacích podmínek zpracuje Implementační plán systému řízení bezpečnosti informací pro systém MS2014 + s důrazem na způsob naplnění požadavků stanovených pro Službu BS01 dle Přílohy č. 1 Smlouvy, zachování vazby na stanovené termíny a logickou posloupnost a souslednost jednotlivých kroků Implementačního plánu. Při hodn. bude přihlíženo k požadovanému objemu součinnosti Zadavatele, Provozovatele Aplikace MS2014+ a Poskytovatele služeb Prostředí a jeho zdůvodnění s důrazem na ověření, že nedochází k přenesení výkonu požadovaných činností zpět na Zadavatele;

b) „Navržený způsob poskytování služeb bezpečnostního monitoringu”. Předmětem hodn. bude navržený popis řešení bezpečnostního monitoringu Aplikace MS2014+ a Prostředí; procesy a postupy poskytování služeb bezpečnostního monitoringu; nástroje a opatření minimalizující vznik provozních a bezpečnostních incidentů vzniklých na základě činnosti Uchazeče a možnost vzniku chyb způsobených lidským faktorem při poskytování služeb. Jako nejvhodnější bude hodn. nabídka, ve které Uchazeč navrhne způsob, který nejlépe věcně a v souladu s požadavky Zadavatele dle těchto zadávacích podmínek zpracuje návrh technického řešení bezpečnostního monitoringu Apl. MS2014+ a Prostředí, vymezí schopnosti nabízeného řešení v oblasti sběru a vyhodnocování auditních informací (minimalizující vznik provozních a bezpečnostních incidentů) a stanoví vhodnou posloupnost jednotlivých kroků vedoucích k zajištění plné funkčnosti bezpečnostního monitoringu Prostředí a Aplikace MS2014+ ve vazbě na stanovené termíny plnění;

c) Subkritérium „Navržený způsob poskytování služeb auditu”. Předmětem hodn. bude navržený popis způsobu poskytování služeb auditu a technické kontroly s důrazem na oblast penetračních testů (metodiku, harmonogram, nástroje a postupy). Jako nejvhodnější bude hodn. nabídka, ve které Uchazeč nejlépe logicky, věcně a v souladu s požadavky Zadavatele dle těchto zadávacích podmínek navrhne metodiku penetračních testů a harmonogram jejich provádění, zdůvodní vhodnost zvolených nástrojů a popíše opatření vedoucí k minimalizaci vzniku provozních a bezpečnostních incidentů činností Uchazeče resp. v souvislosti s poskytování služeb penetračních testů a minimalizuje tak dopad na kvalitu a kvantitu poskytovaných služeb Apl. MS2014+ a Prostředí.

Další informace k technické kvalifikaci:

a) seznam významných služeb („VS”) Nejméně 4 VS poskytnuté dle vymezení uvedeného dále v bodech I. až IV. I. VS řízení informační bezpečnosti. Rozsah min. 1 000 000 CZK bez DPH a předmět plnění spočíval v poskytnutí sl. implementace systému řízení informační bezpečnosti dle norem řady ISO 27000, přičemž předmět plnění spočíval v poskytnutí sl. zahrnujících analýzu rizik, hodnocení aktiv, výběr a implementaci opatření a návrh a vytvoření celé dokumentační základny systému řízení. a. V rámci sl. došlo k úspěšnému zavedení systému řízení informační bezpečnosti (ISMS). Za úspěšné zavedení je považováno provedení certifikace a získání certifikátu od akreditovaného certifikačního orgánu nebo schválení ISMS ze strany vlastníka provozovaného systému a jeho prosazení do běžného provozu daného informačního systému;

b. VS byla realizována u zákazníka, který provozuje informační systém, který zajišťoval komunikaci s externími informačními systémy na úrovni přenosů a validací strukturovaných dat, využívá alespoň 3 000 koncových uživatelů, nebo alespoň 20 uživatelských rolí. II. VS řízení kontinuity činností. Rozsah min. 300 000 CZK bez DPH a předmět plnění spočíval v poskytnutí sl. dle mezinárodně uznávaného standardu v oblasti návrhu systému řízení kontinuity činností nebo kontinuity sl., přičemž sl. byla poskytnuta pro informační systém a jeho provoz. Součástí sl. byl návrh detailních havarijních plánů, přičemž bude doloženo, že uchazečem navržené havarijní plány prošly úspěšnou implementací a testováním, alternat. součástí sl. byla úspěšná implementace a testování havarijních plánů. III. 1 VS bezpečnostního monitoringu ICT („BM”). Rozsah min. 7 000 000 CZK bez DPH a předmět plnění spočíval v poskytnutí sl. BM, detekci slabých míst a optimalizace technických a konfiguračních parametrů monitorovaného prostředí, přičemž sl. byla poskytována kontinuálně po dobu nejméně 1 kalendářního roku.

a. Při poskytování sl. BM bylo součástí vybudování centrálního místa pro dohled a monitoring bezpečnostně relevantních událostí s důrazem na:

— využití specializovaných SW/HW prostředků pro sběr auditních záznamů,

— implementace centrálního sledovacího a vyhodnocovacího místa na bázi SW/HW produktu schopného provádět analýzy, korelace a další operace nad získanými záznamy,

— systém poskytoval aktivní a proaktivní monitoring a řídil operativní změny bezpečnostních parametrů monitorovaného systému s využitím systémů bezpečnostních prvků IDS/IPS, FW a apod.

b. BM byl zajišťován nad informačním systémem a jeho vrstvami. Monitorovaný systém obsahoval portálové řešení (či jiné externí rozhraní) přístupné externím uživatelům prostřednictvím veřejné sítě Internet a byl provozován v geograficky oddělených lokalitách.

c. V průběhu plnění významné sl. nenastaly závažné provozní nebo bezpečnostní incidenty zaviněné ze strany Uchazeče ani vady / incidenty kategorie A zaviněné ze strany Uchazeče spočívající zejména ve výskytu incidentů způsobených nesprávnou implementací a provozem BM či nastavením nepřiměřené úrovně logování (za „závažný provozní nebo bezpečnostní incident” a „vada / incident kategorie A“ je Zadavatelem považován incident / vada nejvyššího stupně klasifikace (nejzávažnější) dle metriky, která byla u dané významné sl. pro daného objednatele sl. použita). Vzhledem ke skutečnosti, že sl. bezpečnostního monitoringu bývají v praxi součástí např. sl. provozu nebo sl. technické podpory, Zadavatel bude akceptovat doložení významné sl. jako dílčího plnění v rámci většího projektu. Z osvědčení VS však musí vyplývat splnění výše požadovaných parametrů pro sl. bezpečnostního monitoringu. IV. VS provedení penetračních testů („PT”). Rozsah min. 300 000 CZK bez DPH a předmět plnění spočíval v poskytnutí sl. ověření stavu bezpečnosti a zranitelnosti informačního systému formou PT.

a. PT obsahovaly testy webového rozhraní (webové aplikace) přístupné z prostředí veřejné sítě internet.

b. Testovaný systém byl v době poskytnutí sl. využíván alespoň 3 000 uživateli (jedná se o celkový počet registrovaných uživatelů v systému, nikoliv o současně pracující uživatele).

c. Prováděné PT zahrnovaly ad-hoc manuální postupy, nástroje a schopnosti testerů Uchazeče.

d. PT byly prováděny podle mezinárodně uznávané metodiky.

e. PT obsahovaly zpracování návrhů doporučení pro odstranění zjištěných skutečností a nedostatků.

f. PT byly protokolárně ukončeny a akceptovány ze strany objednatele;

b) seznam techniků a osvědčení o vzdělání a odborné kvalifikaci Uchazeče a osob odpovědných za poskytování služeb Bezpečnostní tým se musí skládat alespoň z následujících odborných pracovníků:

— vedoucí týmu informační bezpečnosti,

— bezpečnostní specialista,

— bezpečnostní konzultant,

— vedoucí týmu monitoringu a testování,

— specialista – bezpečnostní monitoring,

— specialista – monitoring,

— operátor – monitoring,

— specialista – tester.

Způsobilost pro výkon profesní činnosti

Uchazeč musí splnit základní kvalifikační předpoklady dle § 53 odst. 1 písm. a) až h) a písm. j) a k) zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů (dále jen „ZVZ”) a dále profesní kvalifikační předpoklady dle § 54 písm. a) a b) ZVZ.

Požadované vklady a záruky

Zadavatel požaduje, aby Uchazeči k zajištění svých povinností vyplývajících z účasti v zadávacím řízení poskytli jistotu ve výši 500 000 CZK (slovy: pět set tisíc korun českých). Bankovní číslo účtu pro složení jistoty: 6015-629001/0710, v případě složení na účet zadavatele uchazeč uvede jako variabilní symbol své IČ, popř. své rodné číslo, jde-li o fyzickou osobu, a specifický symbol 368381324.

Informace o lhůtách pro přezkum

Podmínkou pro podání návrhu k ÚOHS je podání námitek k zadavateli, které je nutné doručit do 15 dnů ode dne, kdy se dodavatel dozvěděl o úkonu zadavatele, který napadá. Zadavatel je povinen námitky vyřídit do 10 dnů. Návrh je nutné doručit ÚOHS i zadavateli do 10 dnů od doručení rozhodnutí zadavatele o námitkách nebo do 25 dnů od odeslání námitek, pokud zadavatel o námitkách nerozhodl.