219929 / 2008-09-16 - Inny: Krajowa jednostka normalizacyjna / Polski Komitet Normalizacyjny (Warszawa)

Oryginalny toner 888372 Czarny marki Ricoh

Cena: 310.02 PLN

Ogłoszenie zawiera informacje aktualizacyjne dotyczące publikacji w biuletynie 1 z dnia 2008-08-08 pod pozycją 186040. Zobacz ogłoszenie 186040 / 2008-08-08 - .

Numer biuletynu: 1

Pozycja w biuletynie: 219929

Data publikacji: 2008-09-16

Nazwa: Polski Komitet Normalizacyjny

Ulica: ul. Świętokrzyska 14B

Numer domu: 14B

Miejscowość: Warszawa

Kod pocztowy: 00-050

Województwo / kraj: mazowieckie

Numer telefonu: 022 5567595,5567890

Numer faxu: 022 5567413, 5567535

Regon: 01041540800000

Typ ogłoszenia: ZP-403

Numer biuletynu: 1

Numer pozycji: 186040

Data wydania biuletynu: 2008-08-08

Czy jest obowiązek publikacji w biuletynie: Tak

Czy zamówienie było ogłoszone w BZP: Tak

Rok ogłoszenia: 2008

Pozycja ogłoszenia: 186040

Ogłoszenie dotyczy: 1

Rodzaj zamawiającego: Inny: Krajowa jednostka normalizacyjna

Inny rodzaj zamawiającego: Krajowa jednostka normalizacyjna

Nazwa nadana zamówieniu przez zamawiającego:
Polityka Bezpieczeństwa - wdrożenie infrastruktury technicznej i procedur

Rodzaj zamówienia: D

Przedmiot zamówienia:
I. Zagadnienia podstawowe.
Przedmiotem zamówienia jest Polityka Bezpieczeństwa - wdrożenie infrastruktury technicznej i procedur w PKN zgodnie z przedstawionym poniżej zakresem:
1 Usługi
PKN oczekuje od Wykonawcy realizacji pełnego zakresu prac, na który składają się:
1.1 przeprowadzenie audytu istniejącej w PKN Polityki Bezpieczeństwa Informacji oraz opracowania raportu dotyczącego jej zgodności z najlepszymi praktykami międzynarodowymi (w szczególności z normą PN-ISO
IEC 27001:2007 ) i zawierającego:
1.1.a najważniejsze wnioski dla każdego z obszarów bezpieczeństwa,
1.1.b wnioski szczegółowe odnoszące się do poszczególnych wymagań normy,
1.1.c ocenę zastosowanych procedur do zapewnienia efektywnego planowania i eksploatacji mechanizmów bezpieczeństwa,
1.2 propozycja aktualizacji Polityki Bezpieczeństwa Informacji w PKN uwzględniającej wnioski wynikające z powyższego audytu,
1.3 opracowanie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą PN-ISO IEC 27001:2007 w tym:
1.3.a zasad klasyfikacji informacji,
1.3.b metodyki zarządzania ryzykiem, dostosowanej do wielkości i potrzeb organizacji oraz uwzględniającej
integrację z mechanizmami zarządzania usługami IT,
1.3.c planu postępowania z ryzykiem,
1.3.d dokumentacji systemu bezpieczeństwa (polityki, procedury, instrukcje) oraz jego integracja z funkcjonującym w PKN systemem zgodnym z normą PN-EN ISO 9001:2001 - w szczególności dokumentacji związanej z:
d.1 organizacją systemu bezpieczeństwa w PKN,
d.2 bezpieczeństwem osobowym,
d.3 bezpieczeństwem fizycznym,
d.4 bezpieczeństwem informatycznym,
1.4 przygotowanie i przeprowadzenie instruktażu wdrożeniowego oraz dostarczenie szkoleń e-learningowych z zakresu bezpieczeństwa informacji dla pracowników Zamawiającego z wykorzystaniem platformy szkoleniowej Wykonawcy (wraz z przekazaniem edytowalnych materiałów źródłowych prezentacji szkoleniowych),
1.5 przygotowanie systemu do certyfikacji na zgodność z normą PN-ISO IEC 27001:2007 (w tym przypadku Zamawiający nie dopuszcza innych norm); przedmiot niniejszego zamówienia nie obejmuje przeprowadzenia procesu certyfikacji,
PKN oczekuje, że świadczone usługi doradcze zostaną zintegrowane z funkcjonującym w organizacji systemem zarządzania jakością zgodnie z normą PN-EN ISO 9001:2001 oraz systemem zarządzania usługami IT zgodnie z normą PN-ISO IEC 20000-1:2007.
2 Oprogramowanie wspierające funkcjonowanie PBI
2.1 Projekt powinien zostać przeprowadzony z wykorzystaniem dostarczonego w ramach zamówienia oprogramowania wspierającego funkcjonowanie Polityki Bezpieczeństwa Informacji w następującym obszarze:
2.1.a wykrywania i analizy podatności sieci i systemów (wykrywanie podatności wraz z zarządzaniem poprawkami),
2.1.b analizy dzienników zdarzeń z wybranych serwerów (Event Log) oraz aktywnych urządzeń sieci (firewall); dla serwerów zarówno w wersji językowej polskiej (o ile występuje) jak i angielskiej,
2.1.c zarządzania współdzielonymi hasłami administracyjnymi.
2.2 Dostarczone oprogramowanie musi spełniać następujące wymagania funkcjonalne:
2.2.a w obszarze zdefiniowanym w punkcie 2.1.a:
a.1 musi umożliwiać wykrywanie otwartych portów i podatności w co najmniej następujących systemach operacyjnych Windows 2000/XP/Vista, Windows Server 2000/2003, Linux Debian, Red Hat, CentOS,
a.2 musi udostępniać wbudowaną bazę wiedzy o lukach w zabezpieczeniach oraz poprawkach do systemów, aktualizowaną automatycznie poprzez sieć Internet nie rzadziej niż raz w tygodniu z co najmniej dwóch niezależnych źródeł informacji o podatnościach,
a.3 musi umożliwiać automatyczne instalację poprawek i servicepack ów na wybranych komputerach w sieci,
a.4 musi umożliwiać przeprowadzenie zdalnego audytu oraz instalacji poprawek dla wybranych komputerów zlokalizowanych poza siecią IP przedsiębiorstwa (t.j. przyłączonych do sieci Internet),
a.5 musi posiadać moduł automatycznego wykrywania środowiska, umożliwiający zbieranie co najmniej
następujących informacji o skanowanych komputerach: nazwa komputera, typ systemu operacyjnego, typ i szybkość procesora, zainstalowana pamięć operacyjna, zainstalowane oprogramowanie i poprawki systemowe,
a.6 musi umożliwiać generowanie graficznych raportów wykonanych audytów, w tym raporty otwartych portów, brakujących poprawek i service pack, znalezionych luk w zabezpieczeniach systemów oraz raportów porównawczych audytów dokonanych na pojedynczym systemie,
a.7 musi umożliwiać monitorowanie zmian w katalogach, plikach i kluczach rejestru w systemach Windows oraz zapisywanie zmian w trybie rejestrowania zmian w stosunku do zastanych informacji,
a.8 musi umożliwiać zdefiniowanie harmonogramu instalacji poprawek i servicepack ów w systemach informatycznych;
2.2.b w obszarze zdefiniowanym w punkcie 2.1.b:
b.1 musi umożliwiać zbieranie, archiwizowanie i analizowanie danych z dzienników systemu Windows 2000/XP/Vista, dzienników syslog systemu Linux, HP-UX, IBM AIX, przełączników i routerów Cisco oraz aplikacji Internet Information Services (IIS) i MS SQL, bez konieczności instalowania dedykowanego agenta w systemie operacyjnym lub urządzeniu,
b.2 musi umożliwiać importowanie plików dziennika zdarzeń w formacie EVT (Windows) oraz ich archiwizowanie i przeglądanie w systemie,
b.3 musi posiadać wbudowaną wyszukiwarkę zapisanych w systemie dzienników zdarzeń,
b.4 musi posiadać wbudowaną funkcję eskalacji umożliwiającą wysyłanie powiadomień email i/lub uruchomienia zewnętrznego programu w przypadku wystąpienia w systemie zdefiniowanych kryteriów (np. rejestracji zdarzenia o określonym numerze identyfikacyjnym lub określonej treści),
b.5 musi umożliwiać definiowanie raportów zdarzeń w oparciu o następujące kryteria: występowanie określonego zdarzenia w czasie, zdarzenia według typu, rozkład ilościowy zdarzeń w czasie; w szczególności system musi umożliwiać generowanie następujących raportów:
b.5.1 logowanie/wylogowanie użytkowników,
b.5.2 nieudane próby logowania,
b.5.3 próba dostępu do logów audytu,
b.5.4 lista zdarzeń systemowych,
b.5.5 dostęp do aplikacji i lub zasobu,
b.5.6 aktywność użytkownika,
b.6 musi umożliwiać definiowanie i zapisywanie do przyszłego wykorzystania własnych raportów w postaci graficznej i tabelarycznej oraz zapisywania raportów w pliku PDF i CSV,
b.7 musi umożliwiać zbieranie, archiwizowanie i analizowanie danych z dzienników zapór ogniowych urządzeń Cisco ASA, Cisco PIX v.6/7, Microsoft ISA 2004/2006 Server, Fortinet FortiGate 5000,
b.8 musi umożliwiać definiowanie raportów ruchu z zapór ogniowych w oparciu o następujące kryteria: ruch wychodzący z poszczególnych hostów, ruch przychodzący do poszczególnych hostów, ruch w rozbiciu na protokoły, ruch do witryn internetowych w godzinach i poza godzinami pracy, wykorzystywane reguły zapór ogniowych oraz przesyłanie ich pocztą elektroniczną według zadanego harmonogramu,
b.9 musi umożliwiać tworzenie profili powiadomień email dla rejestrowanych zdarzeń w zaporach ogniowych w oparciu o następujące kryteria: godziny pracy, adres źródłowy, adres docelowy, typ protokołu, reguła, użytkownik oraz częstości występowania zdarzenia,
b.10 musi umożliwiać dostęp użytkowników do zapisanych dzienników systemowych zapór ogniowych w oparciu o role i poziomy dostępu,
2.2.c w obszarze zdefiniowanym w punkcie 2.1.c:
c.1 musi umożliwiać zapisywanie i współdzielenie pomiędzy użytkownikami haseł do systemów informatycznych i urządzeń sieciowych, w tym: Windows 2000/2003 Server, Debian Linux, SQL Server 2000/2005, MySQL, Cisco IOS, Cisco PIX,
c.2 przechowywane w bazie danych hasła muszą być zakodowane z użyciem algorytmu szyfrującego AES z kluczem o długości nie mniejszej niż 128 bitów,
c.3 musi umożliwiać dostęp użytkowników do zapisanych w systemie haseł w oparciu o role, umożliwiając zdefiniowanie co najmniej następujących poziomów dostępu: odczyt hasła, zmiana hasła, przejęcie kontroli nad hasłem,
c.4 musi umożliwiać zdefiniowanie globalnych polityk haseł dla urządzeń i systemów oraz przeprowadzenia audytu i utworzenia raportu zgodności przechowywanych haseł ze zdefiniowaną polityką,
c.5 musi umożliwiać automatyczną zmianę udostępnionego hasła w systemie i urządzeniu w przypadku wystąpienia co najmniej następujących zdarzeń:
c.5.1 zmiana w składzie użytkowników grupy współdzielonej hasło,
c.5.2 współdzielone hasło straciło ważność,
c.5.3 współdzielone hasło jest niezgodne z polityką stosowanych haseł,
c.6 musi umożliwiać eskalacje w postaci powiadomień email przypadku wystąpienia co najmniej następujących zdarzeń:
c.6.1 dostęp do hasła,
c.6.2 zmiana hasła,
c.6.3 zmiana grupy użytkowników hasła,
c.6.4 niezgodności hasła z polityką stosowanych haseł,
c.6.5 braku synchronizacji pomiędzy zapisem hasła w bazie systemu a urządzeniu,
c.7 musi umożliwiać przeprowadzenie audytu wykorzystania w czasie haseł współdzielony przez użytkowników systemu oraz prezentacji wyników w postaci raportu w formacie PDF i CSV,
c.8 musi posiadać wbudowaną funkcję utrzymania nadmiarowego repozytorium haseł w osobnej, zsynchronizowanej bazie danych, umożliwiając w przypadku przerwy w pracy głównej aplikacji przekazanie udostępniania bazy haseł do bazy zapasowej. Zaproponowany przez PKN powyższy podział nie wyklucza innych propozycji Wykonawcy w tym zakresie, oile będzie zrealizowany cel projektu. 2.3 Dostawa oprogramowania powinna obejmować:
2.3.a dostawę licencji na oprogramowanie umożliwiających skanowanie i zarządzanie poprawkami na co najmniej 500 komputerach, przetwarzanie dzienników zdarzeń systemowych z co najmniej 50 urządzeń komputerowych, 5 zapór ogniowych, współdzielenie haseł administracyjnych przez co najmniej 10
użytkowników (10 licencji stanowiskowych),
2.3.b instalację i konfigurację oprogramowania
2.3.c instruktaż wdrożeniowy dla pracowników Zamawiającego zapewniający możliwość późniejszego samodzielnego obsługiwania rozwiązania,
2.3.d świadczenie serwisu w oparciu o świadczenia gwarancyjne producenta oraz asysty technicznej systemu

Szacunkowa wartość zamówienia: 215520

Kod waluty: 1

Waluta (PLN): PLN

Kod trybu postepowania: PN

Czy zamówienie dotyczy programu UE: Tak

nazwa programu UE:
Zamówenie realizowane ze środków w ramach projektu Portal e-Norma część I dla
Polskiego Komitetu Normalizacyjnego dofinansowywany przez Unię Europejską
Źródła finansowania:
- 25% krajowy wkład własny
- 75% dofinansowanie ze środków Unii Europejskiej w ramach Sektorowego Programu Operacyjnego Wzrostu Konkurencyjności Przedsiębiorstw

Data udzielenie zamówienia: 03/09/2008

Liczba ofert: 1

Nazwa wykonawcy:
Konsorcjum firm: PBSG Sp. z o.o., ul. Roosevelta 18, 60-829 Poznań i MWT Solutions Sp. z o.o. ul. Sienkiewicza 5/5, 60-829 Poznań.

Adres pocztowy wykonawcy: ul. Roosevelta 18

Miejscowość: Poznań

Kod pocztowy: 60-829

ID województwa: 14

Województwo / kraj: wielkopolskie

Cena wybranej oferty: 215520

Cena minimalna: 215520

Cena maksymalna: 215520

Kod waluty: 1

Waluta (PLN): PLN

Kody CPV:
482100003 (Pakiety oprogramowania dla sieci)

Kod CPV drugiej częsci zamówienia:
722630006 (Usługi wdrażania oprogramowania)

Podobne przetargi