CSP informācijas sistēmas drošības audits

Iepirkuma ID: 
CSP 2011/24
Izsludināšanas datums: 
28.10.2011
Iepirkuma priekšmets: 

CSP informācijas sistēmas drošības audits Piezīme:01.11.2011. - atbilde uz jautājumu

Procedūras veids: 

Publisko iepirkumu likuma 8.1 panta iepirkums

Piedāvājuma iesniegšanas termiņš: 
08.11.2011 - 10:00
Lēmuma pieņemšanas datums: 
09.11.2011
Piegādātājs un līgumsumma: 

SIA "DPA", Ls 6066.45

Iepirkuma saturs: 

                                                                                                            APSTIPRINĀTS

Centrālās statistikas pārvaldes

iepirkuma komisijas

2011.gada 27.oktobra sēdē

(protokols Nr.0103-1.2/56)

Iepirkuma prasības

 

  1. Iepirkuma priekšmets, tehniskā specifikācija un apjoms:

 

Iepirkuma mērķis ir Centrālās statistikas pārvaldes (turpmāk – CSP) informācijas sistēmas ikgadējās drošības pārvaldības un informācijas tehnoloģiju drošības kontroles nodrošināšana, kā arī normatīvajos aktos noteiktās informācijas sistēmas drošības risku analīzes veikšana (turpmāk kopā – audits).

 

Darba uzdevums un tehniskā specifikācija

“CSP informācijas sistēma” ir Latvijas Republikas tiesību aktos noteiktā kārtībā reģistrēta valsts informācijas sistēma, kas nodrošina CSP noteikto funkciju veikšanu.

 

CSP lokālais datortīkls savieno piecas ģeogrāfiski atdalītas vietas Latvijas Republikas teritorijā: Rīgā, Lāčplēša ielā 1 un Skanstes ielā 13, Kuldīgā, Liepājas ielā 37, Valmierā, Meža ielā 7 un Preiļos, A.Paulāna ielā 3a. Centrālais pieslēguma punkts ir Rīgā, Lāčplēša ielā 1 un pārējie pieslēguma punkti ir saslēgti zvaigznes slēgumā. Lokālajam datortīklam ir pieslēgtas aptuveni 600 iekārtas, no kurām aptuveni 500 ir lietotāju darbstacijas. Informācijas sistēmas darbības nodrošināšanai un informācijas glabāšanai tiek lietoti failu un datubāzu serveri, t.sk., virtuālie serveri, izmantojot pasaulē atpazīstama ražotāja virtualizācijas tehnoloģiju.

 

Informācijas sistēmas aizsardzībai no vīrusiem un ļaunprātīga koda programmatūras tiek izmantota pasaulē atpazīstama, centralizēti vadīta ražotāja antivīrusu programma, kas instalēta uz serveriem un darbstacijām. Datortīkla perimetra aizsardzībai tiek izmantots pasaulē atpazīstama ražotāja ugunsmūris. Datortīkla darbības un drošības uzraudzībai tiek lietotas speciālas sistēmas.

 

Audita laikā tehniskais audits jāveic CSP centrālajā birojā un vismaz vienā attālinātajā birojā.

 

Audita ietvaros jāveic šādi darbi:

1. IT pārvaldības un dokumentācijas audits un rekomendāciju izstrāde procesu uzlabošanai:

1.1. Atbilstības pārbaude Latvijas Republikas un CSP informācijas drošības pārvaldības jomā pieņemtajiem normatīvajiem aktiem un dokumentiem;

1.2. IT drošības pārvaldības izvērtējums saskaņā ar LVS ISO/IEC 27002 „Informācijas tehnoloģija. Drošības metodika. Prakses kodekss informācijas drošības pārvaldībai”, iekļaujot šādu jomu izvērtēšanu:

1.2.1. risku pārvaldība;

1.2.2. drošības politika;

1.2.3. informācijas drošības organizācija;

1.2.4. pamatlīdzekļu un informācijas pārvaldība un klasifikācija;

1.2.5. cilvēkresursu drošība;

1.2.6. fiziskā drošība;

1.2.7. komunikāciju un ekspluatācijas pārvaldība;

1.2.8. pieejas tiesību vadība;

1.2.9. informācijas sistēmu iegāde, izstrāde un uzturēšana;

1.2.10. informācijas drošības incidentu pārvaldība;

1.2.11. IS un organizācijas darbības nepārtrauktības pārvaldība;

1.2.12. atbilstība;

1.3. Padziļināts risku pārvaldības procesa novērtējums un ieteikumu izstrāde risku pārvaldības procesa uzlabošanai.

 

2. CSP informācijas sistēmas un datortīkla drošības audits:

2.1. Informācijas sistēmu darbības risku identificēšana un novērtēšana, iekļaujot datu rezerves kopēšanas un atjaunošanas pārbaudi, serveru operētājsistēmu risku izvērtēšanu un sistēmas arhitektūras izvērtēšanu attiecībā uz kritiskākajiem riskiem; Aktivitāte jāveic šādām sistēmām:

2.1.1. „CSP informācijas sistēma”;

2.1.2. lietotāju direktorija;

2.1.3. e-pasta sistēma;

2.1.4. finanšu vadības sistēma;

2.1.5. virtualizācijas platforma;

2.1.6. CSP interneta mājvieta (7 mājas lapas, no kurām 2 ir datu savākšanas, 1 ir e-pasta sistēmas, bet pārējās ir informatīvās lapas).

2.2. Ugunsmūra konfigurācijas pārbaude atbilstoši ugunsmūra ražotāja rekomendācijām, drošības standartiem un labajai praksei.

2.3. Neautorizētas piekļuves pārbaudes iespējamības tests no CSP iekštīkla, sadarbības struktūrvienībām, kā arī publiskā tīkla un izmantojot bezvadu tīklus.

2.4. Sociālās inženierijas testi- personāla un cilvēciskā faktora ietekmes vērtēšana uz informācijas drošību saskaņā ar piegādātāja piedāvātu metodiku (darba apjoms ne vairāk kā 20 cilvēkstundas).

 

3. Nodevumu sagatavošana un rekomendāciju sniegšana informācijas sistēmas drošības un informācijas drošības pārvaldības uzlabošanas jomā.

 

Audita rezultāti ir jāatspoguļo ziņojumā, kas satur:

1. Vadības kopsavilkumu;

2. Identificētos riskus un trūkumus IT drošības pārvaldības jomā saskaņā ar Latvijas Republikas normatīvajiem aktiem un  LVS ISO/IEC 27002, kā arī detalizētas rekomendācijas risku mazināšanai;

3. Identificētos riskus un trūkumus, veicot CSP sistēmu un datortīkla drošības auditu, un rekomendācijas risku un trūkumu mazināšanai;

4. Neautorizētas piekļuves pārbaudes rezultātus;

5. Sociālās inženierijas testu rezultātus;

6. Audita laikā veiktās darbības.

 

Pretendentam papildus ir jāsagatavo darba rezultātu prezentācija un tā jāprezentē CSP vadībai.

 

Veicot ielaušanās un sociālās inženierijas testus, Pretendents rīkojas saskaņā ar OSSTMM v3.0 standartu. Veicot ielaušanās testus, ir jābrīdina CSP par iespējamām drošības problēmām, kā arī tie nedrīkst ietekmēt informācijas sistēmas “CSP informācijas sistēma” darbības nepārtrauktību.

 

Pretendentam CSP veiktā audita ietvaros iegūtās jebkāda veida ziņas ir aizliegts izpaust, publiskot vai nodot trešajām personām, kā arī pakalpojuma izpildē neiesaistītajām Pretendenta nodarbinātajām personām! Šim nosacījumam ir beztermiņa raksturs.

 

2. Līguma noslēgšanas, piegādes termiņš un nosacījumi:

Līgums stājas spēkā pēc tam, kad abas puses to ir parakstījušas. Pakalpojuma izpildes termiņš līdz 2011.gada 21.decembrim.

 

3. Pretendentam un tā personālam izvirzītās atlases un profesionālās prasības, iesniedzamie dokumenti, piedāvājumā iekļaujamā informācija, noformēšana un iesniegšana:

3.1. Nav pamats Pretendentam piemērot Publisko iepirkumu likuma 8.1  panta piektajā daļā noteiktos izslēgšanas nosacījumus. Lai apliecinātu šo prasību Pretendents iesniedz apliecinājumu, ka:

3.1.1. uz Pretendentu neattiecas Publisko iepirkumu likuma 8.1  panta piektās daļas izslēgšanas nosacījumi;

3.1.2. visas piedāvājumā sniegtās ziņas par Pretendentu ir patiesas;

3.1.3. piekrīt visām šīs iepirkuma procedūras ietvaros noteiktajām prasībām;

3.1.4.piekrīt, ka iepirkuma vērtēšanas procesā informācijas apmaiņai starp Pasūtītāju un Pretendentu tiek izmantots elektroniskais pasts, neizmantojot drošu elektronisko parakstu. Pretendenta elektroniskais pasts korespondences saņemšanai un nosūtīšanai:_______@_________.

3.2. Pretendents ir reģistrēts Komercreģistrā vai līdzvērtīgā reģistrā ārvalstīs. Lai apliecinātu šo prasību, Pretendents iesniedz Komercreģistra vai līdzvērtīga reģistra ārvalstīs izdotas reģistrācijas apliecības kopiju.

3.3. Pretendenta uzņēmumā ir ieviesta kvalitātes vadības sistēma ISO 9001 standarts vai ekvivalents (pasūtītājs atbilstoši Publisko iepirkumu likuma 43.pantam atzīs ISO 9001 standartam ekvivalentus sertifikātus, ko izdevušas institūcijas citās Eiropas Savienības dalībvalstīs, kā arī akceptēs citus pretendenta iesniegtos pierādījumus par kvalitātes nodrošinājuma pasākumiem). Lai apliecinātu šo prasību, pretendents iesniedz uzņēmumā ieviestās kvalitātes vadības sistēmas sertifikāta kopiju vai citus dokumentus, kas pierāda kvalitātes vadības sistēmas ISO 9001 ekvivalentumu.

3.4. Pretendenta pēdējā gada finanšu apgrozījums attiecībā uz līdzīgu iepirkuma priekšmetu ir bijis vismaz LVL 50 000 (piecdesmit tūkstoši lati un 0 santīmi). Uzņēmumiem, kas dibināti vēlāk, finanšu apgrozījums ir vismaz LVL 50 000 (piecdesmit tūkstoši lati un 0 santīmi) par nostrādāto periodu. Lai apliecinātu šo prasību, pretendents iesniedz izziņu par Pretendenta pēdējā gada finanšu apgrozījumu. Uzņēmumi, kas dibināti vēlāk, iesniedz pašu sagatavotu izziņu par finanšu apgrozījumu nostrādātājā periodā. Ja piedāvājumu iesniedz personu grupa, tā iesniedz šī punkta prasībām atbilstošu dokumentu par personu grupā iekļauto personu kopējo finanšu apgrozījumu.

3.5. Pretendentam ir pieredze informācijas drošības un IT infrastruktūras audita veikšanā, datu pārraides tīkla infrastruktūras drošības testēšanā (penetration testing) un IT pakalpojumu pārvaldības jomā sniegšanā un pretendents pēdējo trīs gadu laikā ir auditējis vismaz vienu informācijas sistēmu, kurai šobrīd ir Valsts informācijas sistēmas statuss. Lai apliecinātu šo prasību, pretendents iesniedz brīvas formas izziņu, kurā norāda informāciju par to, ka pretendentam ir pieredze informācijas drošības un IT infrastruktūras audita veikšanā, datu pārraides tīkla infrastruktūras drošības testēšanā (penetration testing) un IT pakalpojumu pārvaldības jomā sniegšanā, norādot pasūtītāju nosaukumu, adresi, pasūtītāju kontaktpersonas vārdu, uzvārdu un telefona numuru ne vairāk kā par trim iepriekšējiem gadiem, kā arī informāciju par auditēto sistēmu, kurai šobrīd ir Valsts informācijas sistēmas statuss.

3.6. Pretendenta rīcībā ir vismaz šādas kvalifikācijas speciālisti:

3.6.1. Projekta vadītājs, kas atbilst šādām prasībām:

  • augstākā izglītība (maģistra grāds) IT jomā;  
  • vismaz piecu gadu pieredze projektu vadībā valsts un pašvaldības iestādēs;
  • starptautiski atzīts sertifikāts informācijas sistēmu audita jomā CISA (Certified Information System Security Auditor) vai ekvivalents sertifikāts;
  • sertifikāts drošības jomā Microsoft Certified Systems Engineer: Security vai ekvivalents sertifikāts.

3.6.2. Auditors, kas atbilst šādām prasībām:

  • akadēmiskā vai profesionālā augstākā izglītība IT jomā;  
  • starptautiski atzīts sertifikāts informācijas sistēmu drošības jomā CISSP (Certified Information System Security Professional) vai ekvivalents sertifikāts;
  • vismaz četru gadu pieredze informācijas sistēmu drošības auditu veikšanā.

3.6.3. Testētājs, kas atbilst šādām prasībām:

  • akadēmiskā vai profesionālā augstākā izglītība;
  • sertifikāts, kas apliecina testētāja kompetenci  ISTQB (International Software Testing Qualifications Board) vai ekvivalents sertifikāts;
  • vismaz divu gadu pieredze informācijas sistēmu testēšanā.

3.7. Lai apliecinātu 3.6.punktā noteiktās prasības, pretendents piedāvājuma atlases dokumentiem pievieno pretendenta piedāvāto speciālistu dzīves gājumu (CV) aprakstus, kvalifikāciju un pieredzi apliecinošu dokumentu kopijas. Par Pretendenta piedāvāto speciālistu pieredzi papildus CV jānorāda projekta nosaukums, tā īss apraksts un konkrētā speciālista loma projektā, pakalpojuma saņēmējs un pakalpojuma saņēmēja kontaktpersonas vārds, uzvārds un telefona numurs.

3.8. Pretendents iesniedz parakstītu un uz Pretendenta firmas veidlapas noformētu pieteikumu līdzdalībai iepirkuma procedūrā. Pieteikumā Pretendents norāda par sevi vispārīgu informāciju: tālruņa numuru, e-pasta adresi, faksa numuru, pasta adresi, reģistrācijas numuru, kā arī citu Pretendentu raksturojošu informāciju. Ja piedāvājumu paraksta pretendenta pilnvarotā persona, tad pilnvara ir jāpievieno piedāvājumam. Ja piedāvājumu kā pretendents iesniedz personu grupa, tad pieteikumu paraksta visas personas, kas iekļautas grupā un pieteikumā norāda personu, kura pārstāv personu grupu iepirkuma procedūrā, kā arī katras personas atbildības apjomu.

3.9. Pretendents iesniedz tehnisko piedāvājumupar visu iepirkuma priekšmeta apjomu, kurš pilnībā atbilst tehniskajā specifikācijā minētajām prasībām, kā arī ietver šādu informāciju:

  • piedāvātais darbu veikšanas grafiks;
  • projekta grupas dalībnieku konkrētais darba apjoms (nodevums, plānotais ieguldījums cilvēkstundās);
  • Tehniskajā specifikācijā norādīto darbu (1.-3.punkts) izpildes apraksts, precīzi identificējot darbu saturu, paredzamos rezultātus un kritērijus tā akceptēšanai, kā arī sagatavojamos nodevumus;
  • Tehniskajā specifikācijā norādīto darbu (1.-3.punkts) izpildei izmantoto metodiku un standartu apraksts.

3.10. Pretendents drīkst iesniegt tikai vienu piedāvājuma variantu.

3.11. Pēc piedāvājuma iesniegšanas termiņa beigām Pretendents nedrīkst savu piedāvājumu grozīt.

3.12. Pretendents pilnībā sedz visus izdevumus, kas saistīti ar piedāvājuma sagatavošanu un iesniegšanu.

3.13. Piedāvājumam un visiem ar to saistītajiem dokumentiem jābūt latviešu valodā.

3.14. Ja Pretendents darbu izpildē piesaista apakšuzņēmēju, tad piedāvājumā jānorāda tās līguma daļas, kuras nodos izpildei apakšuzņēmējiem, kā arī visus paredzamos apakšuzņēmējus.

3.15. Pēc visu iesniegto piedāvājumu izvērtēšanas iepirkumu komisija no Pretendenta (Pretendentiem), kuram (kuriem) būtu piešķiramas līguma (līgumu) slēgšanas tiesības pieprasīs iesniegt izziņu, ko izsniegusi Latvijas un (vai) ārvalstu kompetenta institūcija (ja Pretendents nav reģistrēts Latvijā vai Latvijā neatrodas tā pastāvīgā dzīves vieta), kas apliecina, ka tam nav nodokļu parādu, tajā skaitā valsts sociālās apdrošināšanas iemaksu parādu, kas kopsummā katrā valstī pārsniedz 100 latus. Termiņu dokumenta iesniegšanai Pasūtītājs nosaka 10 darba dienas. Šo dokumentu Pasūtītājs pieņem un atzīst, ja tas ir izdots ne agrāk kā mēnesi pirms iesniegšanas dienas.

Lai paātrinātu iepirkuma līguma noslēgšanas procesu, Pretendents šo izziņu var iesniegt kopā ar piedāvājumu.

3.16. Piedāvājumus iesniedz līdz 2011.gada 8.novembris plkst.10.00:

3.16.1. nosūtot pa pastu uz zemāk norādīto pasta adresi;

3.16.2. piegādājot ar kurjeru vai personīgi zemāk norādītajā pasta adresē 201.kabinetā.

Pasta adrese:

Iepirkuma komisijai

Centrālā statistikas pārvalde

Lāčplēša iela 1, LV-1301

Rīga

 

4. Piedāvājuma cena un valūta:

Pretendents cenas norāda latos. Pretendenta finanšu piedāvājumā tiek iekļautas visas izmaksas, kas saistītas ar tehniskajā specifikācijā norādītā pakalpojuma nodrošināšanu. Finanšu piedāvājumā jānorāda izmaksas katrai pozīcijai atsevišķi bez PVN, kā arī kopsumma bez PVN un kopsumma ar PVN.

 

5. Piedāvājuma derīguma termiņš:

Pretendenta iesniegtā piedāvājuma derīguma termiņš ir 60 (sešdesmit) dienas no piedāvājuma iesniegšanas dienas.

 

6. Informācijas sniegšana:

Kontaktpersona LR CSP: CSP Informācijas sistēmas drošības pārvaldnieks Kristaps Miļevskis, 67366782, kristaps [dot] milevskis [at] csb [dot] gov [dot] lv.

 

7. Piedāvājuma izvēles kritēriji, vērtēšana, lēmuma pieņemšana un paziņošana:

Iepirkuma komisija:

7.1. Izvērtēs iesniegtos piedāvājumus un atzīs par iepirkuma uzvarētāju pretendentu, kura piedāvājums atbildīs šajā dokumentā izvirzītajām prasībām un būs ar viszemāko cenu.

7.2. Trīs dienu laikā pēc lēmuma pieņemšanas informācija par iepirkuma rezultātiem tiks paziņota, publicējot CSP interneta mājaslapas adresē: www.csb.gov.lv/iepirkumi, kā arī ne vēlāk kā piecas dienas pēc tam, kad būs noslēgts līgums, Iepirkumu uzraudzības biroja mājaslapā internetā.

 

8. Iepirkuma CPV kods:

 

79000000-4: Uzņēmējdarbības pakalpojumi: tiesības, tirgzinība, konsultēšana, darbinieku vervēšana, iespiešana un drošība

PielikumsIzmērs
atbilde_uz_pretendenta_jautajumu.doc22.5 KB