Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska (CUI-ZZ.3200.3.2020)

Order Newsletter: 2020 Position: (oferta nr 3562848)

Client
Centrum Usług Informatycznych we Wrocławiu
State
dolnośląskie
Address
50-304 Wrocław, Namysłowska 8
Phone
71 777 90 23,
Fax
-
www
www.bip.cui.wroclaw.pl
E-Mail
cui@cui.wroclaw.pl,
Created
2020-06-30

Centrum Usług Informatycznych we Wrocławiu

Section I - The contracting

I.1) Name and address: Centrum Usług Informatycznych we Wrocławiu Namysłowska 8 50-304 Wrocław dolnośląskie tel. 71 777 90 23, fax. - REGON 22287361000000 www.bip.cui.wroclaw.pl

I.2) Type of contracting: Inny

Section II - Object of the contract

II.1) Definition of contract object

II.1.1) Name of order: Audyt bezpieczeństwa Systemu URBANCARD Wrocławska Karta Miejska (CUI-ZZ.3200.3.2020)

II.1.2) Type of contract: Services

II.1.3) Definition and size or range of contract: 3.2. Przedmiotem zamówienia jest usługa audytu bezpieczeństwa Systemy URBANCARD Wrocławska Karta Miejska. Audytowi bezpieczeństwa podlegać będą wszystkie elementy infrastrukturalne składające się na całość rozwiązania Systemu URBANCARD Wrocławska Karta Miejska tj. serwery, serwery aplikacji, aplikacje, serwery bazodanowe, urządzenia końcowe, ruch sieciowy, systemy operatorskie. 3.2.1. W ramach umowy Wykonawca opracuje harmonogram oraz przedstawi raport z audytu. 3.2.2. Raport i omówienie wyników audytu nastąpi w miejscu wskazanym przez Zamawiającego tj. Warszawa, Wrocław. 3.2.3. Zakres audytu: I. SYSTEMY OPERACYJNE Weryfikacja prawidłowości instalacji i parametryzacji systemów operacyjnych w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa (szczegółowy zakres weryfikacji – w Załączniku nr 1 do projektu umowy), II. BAZY DANYCH Weryfikacja prawidłowości instalacji i parametryzacji używanego RDBMS w kontekście zapewnienie odpowiedniego poziomu bezpieczeństwa i dostępności przechowywanych danych (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), III. APLIKACJE Weryfikacja prawidłowości implementacji aplikacji systemu centralnego ze szczególnym uwzględnieniem elementów bezpośrednio wpływających na poziom bezpieczeństwa i stabilność systemu (szczegółowy zakres weryfikacji i analizy – w Załączniku nr 1 do projektu umowy), IV. SIEĆ Weryfikacja zasad utrzymania sieci, architektury i bezpieczeństwa (szczegółowy zakres analizy – w Załączniku nr 1 do projektu umowy), V. Weryfikacja testów penetracyjnych Weryfikacja zdolności podmiotu do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Weryfikacja kompletności dokumentacji. Weryfikacja wyników wykonanych testów penetracyjnych w oparciu o metodyki: - OWASP TOP 10 (Open Web Application Security Project TOP 10 vulnerabilities) - W zakresie: bezpieczeństwa aplikacji webowych - W zakresie bezpieczeństwa aplikacji mobilnych: Top 10 Mobile Risks, OWASP ASVS (Application Security Verification Standard Project) - W zakresie: bezpieczeństwa aplikacji webowych (testy blackbox), - W zakresie: ogólnego prowadzenia prac audytowych. VI. Zgodność z obowiązującymi Planem Ciągłości Działania Systemu oraz Politykami Bezpieczeństwa Systemu - sprawdzenie dokumentacji w zakresie polityk bezpieczeństwa oraz Planów Ciągłości Działania Systemu URBANCARD Wrocławska Karta Miejska. - weryfikacja kompletności dostarczonej dokumentacji, wywiad z osobami zaangażowanymi. VII. Zgodność z obowiązującymi przepisami bezpieczeństwa danych osobowych i Polityk Bezpieczeństwa Zakres obejmuje: - sprawdzenie zgodności Systemu pod kątem obowiązujących rozporządzeń Parlamentu Europejskiego i Rady nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych osobowych - RODO), - sprawdzenie zgodności Systemu pod kątem obowiązujących Polityk Bezpieczeństwa przetwarzania danych w Systemie oraz na urządzeniach końcowych, - sprawdzenie procedur bezpieczeństwa dostępów podmiotów zewnętrznych, - wypełnienie ankiety dotyczącej ochrony danych osobowych stanowiącej załącznik do zakresu audytu. 3.2.4. Audyt o wspomnianym zakresie odbędzie się zgodnie ze standardami opisującymi przebieg procesu testowania bezpieczeństwa systemów IT oraz obszarów systemowych podlegających weryfikacji. 3.2.5. Prezentacja i omówienie metodyki audytu w formie warsztatów. 3.2.6. Szkolenia zamknięte we Wrocławiu dla 6 osób zgodne z następującymi zagadnieniami: CERTIFIED ETHICAL HACKER v10 WYKŁAD + WARSZTATY: 1: Wprowadzenie do etycznego hakingu (Introduction to Ethical Hacking) 2: Zbieranie informacji o ataku (Footprinting and Reconnaissance) 3: Skanowanie sieci (Scanning Networks) 4: Enumeracja (Enumeration) 5: Analiza podatności (Vulnerability Analysis) 6: Hackowanie systemu (System Hacking) 7: Złośliwe oprogramowanie (Malware Threats) 8: Monitorowanie i przechwytywanie danych (Sniffing) 9: Inżynieria społeczna – socjotechniki (Social Engineering) 10: Ataki DDoS (Denial-of-Service) 11: Przejęcie/przechwytywanie sesji (Session Hijacking) 12: Omijanie IDS, zapór Firewall i Honeypots (Evading IDS, Firewalls, and Honeypots) 13: Hakowanie serwerów sieciowych (Hacking Web Servers) 14: Hakowanie aplikacji internetowych (Hacking Web Applications) 15: Ataki przez zapytania w SQL (Injection SQL) 16: Hakowanie sieci bezprzewodowych (Hacking Wireless Networks) 17: Hakowanie mobilnych platform (Hacking Mobile Platforms) 18: Hakowanie Internetu Rzeczy (IoT Hacking) 19: Bezpieczeństwo chmury (Cloud Computing) 20: Kryptografia (Cryptography). 3.3. Szczegółowy opis przedmiotu zamówienia i wymagania do niego znajdują się w projekcie umowy (wraz z jej załącznikami) stanowiącym Załącznik nr 8 do SIWZ. 3.4. Dodatkowe wymagania Zamawiający wymaga, aby Wykonawca złożył wraz ofertą wypełniony: 3.4.1. Załącznik nr 9 do SIWZ – Ankieta dla podmiotu przetwarzającego dane (procesora). Ankieta będzie podlegała ocenie w ramach kryterium oceny ofert określonego w rozdziale 13 SIWZ. Ankieta stanowi treść oferty i nie podlega uzupełnianiu na podstawie art. 26 ust.3 ustawy Pzp. 3.5. Warunki płatności: szczegółowe warunki i sposób płatności zostały określone w projekcie umowy stanowiącym Załącznik nr 8 do SIWZ. Zamawiający nie przewiduje możliwości prowadzenia rozliczeń w walutach obcych. Wszelkie rozliczenia pomiędzy Wykonawcą a Zamawiającym będą dokonywane w złotych polskich (PLN). 3.11. Podwykonawstwo W przypadku powierzenia realizacji zamówienia Podwykonawcom, Wykonawca zobowiązany jest do wskazania w formularzu ofertowym (Załącznik nr 1 do SIWZ) tej części zamówienia, której realizację powierzy Podwykonawcy oraz, o ile jest to wiadome, podania wykazu proponowanych Podwykonawców. W przypadku braku takiego oświadczenia Zamawiający uzna, iż Wykonawca będzie realizował zamówienie bez udziału Podwykonawców. 3.12. Wymagania w zakresie zatrudnienia: 1. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 3a ustawy Pzp. 2. Zamawiający nie precyzuje wymagań, o których mowa w art. 29 ust. 4 ustawy Pzp.

II.1.4) Common Procurement Vocabulary (CPV): 72810000-1

II.1.5) Whether submitting a partial offer: no

II.1.6) Whether submitting a variant offer: no

II.1.7) Is expected to provide supplementary contracts: no

Section III - Information on legal, economic, financial and technical

III.1) Conditions relating to the contract:

Security deposit: No information

Section IV - The tender procedure

IV.1) Contract awarding procedure: open tender

IV.2) Tender evaluation criteria:

IV.2.1) Tender evaluation criteria: No information

IV.2.2) An electronic auction will be used: no

IV.3) Administrative information:

IV.3.1) The website address, which is available terms of reference: No information

IV.3.4) Time limit for receipt of requests to participate or tenders: No information