2006 Sb., o veřejných zakázkách (dále jen zákon )

Kontaktní osoba: Telefon: Fax: E-mail:

Martin Adámek 267 994 447 272 936 597 [email protected]

Zadávací dokumentace dle ustanovení § 44 zákona č. 137/2006 Sb., o veřejných zakázkách (dále jen „zákon“)

Název veřejné zakázky: Penetrační testy a bezpečnostní audit ICT

Identifikační údaje Zadavatele: Název: IČ: Adresa sídla: Korespondenční adresou: Osoba oprávněná za Zadavatele jednat:

Státní fond životního prostředí České republiky 00020729 Kaplanova 1931, Praha 11 – Chodov, PSČ: 148 00 Olbrachtova 2006/9, Praha 4, PSČ: 140 00 Petr Štěpánek, ředitel

1.

PŘEDMĚT SMLOUVY

1.1.

Předmětem zadávacího řízení je uzavření smlouvy podle § 10 zákona mezi Zadavatelem a Dodavatelem na dobu určitou, a to v trvání jednoho roku od uzavření smlouvy, jejímž předmětem je zajištění penetračních testů a bezpečnostního auditu ICT dle následující specifikace: 1.1.1. Vnitřní penetrační testy Vnitřní penetrační testy simulují útok osoby, která získá k IS fyzický přístup. Testy budou prováděny z vnitřní sítě organizace. Cílem testu je detekovat zranitelnosti, které mohou být zneužity k získání neautorizovaného přístupu k citlivým systémovým zdrojům a navrhnout doporučení k jejich odstranění. 1.1.2. Vnější penetrační testy Simulace napadení vnějších systému organizace útočníkem, který má k dispozici pouze veřejně dostupné informace. Cílem testu je detekovat zranitelnosti, které mohou být zneužity k získání neautorizovaného přístupu k citlivým systémovým zdrojům, a navrhnout doporučení k jejich odstranění. 1.1.3. Oponentura síťové architektury Vyhodnotit stávající infrastrukturu sítě v porovnání s aktuálními best-practises, posoudit ho ve vztahu k požadovaným funkcionalitám sítě a případně dodat doporučení, která umožní stabilnější a bezpečnější provoz a efektivnější správu. Důraz bude kladen na následující oblasti:

Zadávací dokumentace - Penetrační testy a bezpečnostní audit ICT

• • • •

návrh architektury sítě; adresní plán; zachování potřebné vazby na MŽP; návrh serverů a služeb (zejména služeb poskytovaných do vnějšího prostředí - www, IS, vzdálený přístup, atd.);

1.1.4. Audit serverů - Windows Audit zaměřit na komplexní bezpečnost serveru a jeho služeb. Provést porovnání s doporučeními společnosti Microsoft pro hardening serverů. Jedná se o audit cca 10 serverů. 1.1.5. Audit serverů - Linux Audit zaměřit na komplexní bezpečnost serveru a jeho operačního systému včetně služeb, které poskytuje. Audit založit na konfrontaci aplikovaných doporučení platných pro zabezpečení operačních systémů typu Unix. Jedná se o audit cca 10 serverů. 1.1.6. Audit aplikací SFŽP Audit zaměřit na komplexní bezpečnost a spolehlivost klíčových aplikací provozovaných SFŽP: OPŽP, GIS, Internet (www.sfzp.cz), Intranet, E-spis, Lotus Domino. Na aplikacích provést zátěžové testy. Bezpečnostní testy provést se zřetelem k ochraně ukládaných osobních údajů. 1.1.7. Audit aktivních síťových prvků Audit aktivních prvků Cisco (switche a firewall) provést prostřednictvím analýzy jejich konfigurace. Seznam auditovaných prvků: Distribuční přepínače, •

Cisco Catalyst® WS-C4506-E (2x)

Přístupové přepínače, •

Cisco Catalyst® WS-C3560-48TS-S (7x)

•

Cisco Catalyst® WS-C3750G-24WS-S25 (1x)

Bezdrátové přístupové body •

Cisco AIR-LAP1131AG-E-K9 (14x)

Security zařízení •

Cisco ASA5510-AIP10-K9 (2x)

•

Cisco NAC 3310 (1x)

1.1.8. Výstup z penetračních testů a bezpečnostního auditu Výstupem testů bude písemná zpráva o stavu bezpečnosti jednotlivých prověřovaných oblastí s popisem bezpečnostních opatření, které jsou doporučená pro odstranění nalezených problémů. Ve zprávě bude detailní postup provedených testů včetně použitých nástrojů a technik. 1.2.

Místem plnění zakázky je pracoviště Zadavatele na adrese Olbrachtova 2006/9, 140 21 Praha 4 Michle.

1.3.

Předmět zakázky dle klasifikace CPV: 48820000-2 (informační technologie).

1.4.

Maximální celková cena za předmět plnění smlouvy uvedené v článku 1.1. nepřesáhne částku 800.000,- Kč bez DPH.

1.5.

Veřejná zakázka bude financována z Technické asistence Operačního programu Životní prostředí.

Zadávací dokumentace - Penetrační testy a bezpečnostní audit ICT

2.

POŽADAVKY ZADAVATELE NA PROKÁZÁNÍ KVALIFIKACE

2.1.

Zadavatel požaduje prokázání splnění základních kvalifikačních předpokladů Dodavatele dle ustanovení § 53 odst. 1 písm. a), b), c), d), e), f), g), h), i) a j) zákona formou čestného prohlášení podle ustanovení § 62 zákona. Vzor čestného prohlášení Dodavatele tvoří přílohu zadávací dokumentace.

2.2.

Zadavatel požaduje prokázání splnění profesních kvalifikačních předpokladů dle ustanovení § 54 písm. a) a b) zákona předložením následujících listin: a) splnění profesních kvalifikačních předpokladů dle ustanovení § 54 písm. a) – předložením výpisu z obchodního rejstříku, je-li v něm Dodavatel zapsán, či předložením výpisu z jiné obdobné evidence (je-li v ní Dodavatel zapsán)a b) splnění profesních kvalifikačních předpokladů dle ustanovení § 54 písm. b) – předložením výpisu ze živnostenského rejstříku pokrývající celý předmět zakázky. Výpis z obchodního rejstříku nesmí být k poslednímu dni, ke kterému má být prokázáno splnění kvalifikace, starší 90 kalendářních dnů. Doklady k prokázání splnění profesních kvalifikačních předpokladů Dodavatelé předkládají v originále nebo úředně ověřené kopii. Dodavatelé mohou profesní kvalifikační předpoklady splnit dle ustanovení § 127 odst. 1 písm. a) a b) výpisem ze seznamu kvalifikovaných dodavatelů, popř. dle ustanovení § 133 a násl. zákona certifikátem vydaným akreditovanou osobou v rámci systému certifikovaných dodavatelů, a to v rozsahu údajů v něm uvedených.

2.3.

Zadavatel požaduje prokázání splnění ekonomických a finančních kvalifikačních předpokladů dle ustanovení § 55 odst. 1 písm. a) zákona, a to: a) předložením pojistné smlouvy, na základě které bude Dodavatel pojištěn proti odpovědnosti za škodu způsobenou Dodavatelem třetí osobě Způsob prokázání splnění kvalifikačního předpokladu: Pojistná smlouva musí být předložena v úředně ověřené kopii a její trvání musí pokrývat období plnění předmětu zakázky. Minimální hodnota kvalifikačního předpokladu: Pojistná smlouva bude znít na minimální pojistnou částku 10.000.000,- Kč a její podmínky budou pokrývat možné způsobení škody Dodavatelem Zadavateli v rámci plnění předmětu smlouvy dle článku 1.1.

2.4.

Zadavatel požaduje prokázání splnění technických kvalifikačních předpokladů Dodavatele dle ustanovení § 56 odst. 2 písm. a) zákona. Dodavatel v prokázání splnění technických kvalifikačních předpokladů předloží: Rozsah požadovaných informací Dodavatel doloží seznam všech zakázek, které realizoval on nebo jeho subdodavatelé, jimiž přímo nebo nepřímo prokazuje kvalifikaci na předmět veřejné zakázky: -

název zakázky,

-

hodnotu zakázky,

-

termín poskytování,

-

název objednatele,

-

rámcový popis poskytovaných služeb.

Způsob prokázání splnění kvalifikačního předpokladu: Seznam srovnatelných významných služeb poskytnutých Dodavatelem v posledních třech letech s uvedením jejich rozsahu a doby poskytnutí formou čestného prohlášení Dodavatele; přílohou tohoto seznamu musí být: Zadávací dokumentace - Penetrační testy a bezpečnostní audit ICT

a) osvědčení vydané veřejným Zadavatelem, pokud byly služby poskytovány veřejnému Zadavateli b) osvědčení vydané jinou osobou, pokud byly služby poskytovány jiné osobě než veřejnému Zadavateli, nebo c) čestné prohlášení Dodavatele, pokud byly služby poskytovány jiné osobě než veřejnému Zadavateli a není-li současně možné osvědčení podle bodu 2 od této osoby získat z důvodů spočívajících na její straně Osvědčení musí být podepsáno osobou oprávněnou jednat jménem či za objednatele a kontaktními údaji na osobu, která reference uchazeče potvrdí. Minimální hodnota kvalifikačního předpokladu: Dodavatel předloží min. 4 reference o poskytnutých významných službách obdobného charakteru v posledních třech letech. Každá z referencí musí být v minimální finančním objemu 500.000,- Kč. 2.5.

Uchazeč, který neprokáže ve lhůtě pro podání nabídek splnění kvalifikace, bude vyloučen z další účasti v zadávacím řízení.

3.

OBCHODNÍ A PLATEBNÍ PODMÍNKY

3.1

Návrh smlouvy obsažený v nabídce zpracované Dodavatelem bude obsahovat tyto platební podmínky:

3.2

3.1.1

Zadavatel se zavazuje uhradit cenu za převzatý předmět zakázky (část předmětu zakázky) na základě daňového dokladu – faktury do dvaceti dnů od jejího doručení Zadavateli, za předpokladu, že daňový doklad bude obsahovat všechny náležitosti, zejména dostatečně určitou identifikaci předmětu a dále za předpokladu, že cena bude určena v souladu s nabídkou Dodavatele. Daňový doklad – faktura musí obsahovat text: „Předmět smlouvy je financován z TA OPŽP“. Dodavatel je oprávněn daňový doklad – fakturu vystavit vždy až po prokazatelném převzetí předmětu zakázky Zadavatelem. Cena bude uhrazena bankovním převodem na účet Dodavatele uvedený ve faktuře.

3.1.2

V případě prodlení Zadavatele s platbou jakékoli částky dle této smlouvy je Zadavatel povinen zaplatit Dodavateli úrok z prodlení ve výši 0,05 % dlužné částky denně. Dodavatel nemá nárok na další náhradu škody způsobenou prodlením Zadavatele s úhradou finančních částek dle této smlouvy.

3.1.3

Zadavatel nebude poskytovat zálohy.

Návrh smlouvy obsažený v nabídce zpracované Dodavatelem bude obsahovat tyto sankční podmínky: 3.2.1

Smluvní pokuta pro případ prodlení s řádným plněním povinností proti termínu sjednanému se Zadavatelem činí 3.000,- Kč za každý i jen započatý den prodlení. Tím není dotčeno právo Zadavatele na náhradu škody.

3.2.2

Uplatněním nároku na smluvní pokutu ani jejím zaplacením nezanikne povinnost Dodavatele splnit povinnost, jejíž plnění bylo zajištěno smluvní pokutou a Dodavatel tak bude i nadále povinen ke splnění takovéto povinnosti.

3.2.3

Zadavatel není oprávněn požadovat za totéž porušení smluvní povinnosti více než jednu smluvní pokutu.

3.2.4

Zadavatel je oprávněn požadovat smluvní pokutu ode dne porušení smluvní povinnosti do dne, kdy došlo k jejímu splnění.

3.2.5

Dodavatel je povinen zachovávat mlčenlivost o skutečnost a informacích, které se dozvěděl v rámci plnění předmětu smlouvy, zejména o interních IT procesech, jakož i o

Zadávací dokumentace - Penetrační testy a bezpečnostní audit ICT

datech nebo jiných skutečnostech, které jsou důvěrného charakteru; takovými informacemi se rozumí ty informace, jejichž vyzrazením by mohlo dojít v případě jejich zneužití, k byť jen potencionálnímu ohrožení IT systému Zadavatele.

3.3

3.2.6

V případě, že Dodavatel tuto povinnost poruší, zavazuje se k zaplacení smluvní pokuty ve výši 2.000.000,- Kč. Tím není dotčeno právo Zadavatele na náhradu škody.

3.2.7

V případě, že Dodavatel bude činnosti uvedené v článku 1.1 zajišťovat prostřednictvím externích subjektů (tedy nikoliv svými zaměstnanci), odpovídá za škodu jimi způsobenou zhotoviteli ve všech případech porušení smluvních povinností včetně závazků k zaplacení smluvní pokuty, tak jako by škodu způsobil sám.

Návrh smlouvy obsažený v nabídce zpracované Dodavatelem bude obsahovat tyto obchodní podmínky: 3.3.1

Nabídka ani návrh smlouvy zpracovaný uchazečem nebudou obsahovat žádná ustanovení, která by pro Zadavatele byla méně výhodná, než jaká stanoví platná právní úprava obsažená v zákoně č. 513/1991 Sb., obchodní zákoník, v platném znění.

3.3.2

Smlouva uzavřená mezi Zadavatelem a Dodavatelem nebude obsahovat tzv. rozhodčí doložku. Veškeré případné spory vzniklé na základě uzavřené smlouvy budou řešeny primárně jednáním Dodavatele a Zadavatele, v případě přetrvávající neshody pak před soudy České republiky.

4.

POŽADAVKY NA ZPŮSOB ZPRACOVÁNÍ NABÍDKOVÉ CENY

4.1.

Zadavatel požaduje, aby uchazeč v nabídce a v závazném návrhu smlouvy uvedl celkovou, maximální nepřekročitelnou cenu podle čl. 1.1 této ZD v částce bez DPH, samostatně DPH a s DPH.

4.2.

Nabídnutá cena bude zahrnovat cenu uchazeče za provedení vnitřních a vnějších penetračních testů, provedení vyhodnocení stávající infrastruktury, provedení oponentury síťové architektury a provedení auditů serverů Windows, Linux, aplikací Zadavatele a auditu aktivních síťových prvků.

5.

POŽADAVKY NA ZPŮSOB ZPRACOVÁNÍ NABÍDKY

5.1.

Dodavatel je povinen v nabídce uvést informace a skutečnosti vyplývající ze zákona.

5.2.

Uchazeči jsou povinni strukturovat svou nabídku následujícím způsobem: a) krycí list nabídky (dle vzoru) b) čestné prohlášení o splnění kvalifikace (dle vzoru) c) doklady k prokázání splnění kvalifikace d) nabídková cena e) návrh metodiky postupu řešení, certifikace pro bezpečnostní audit ICT f) návrh smlouvy podepsaný osobou oprávněnou jednat za uchazeče g) doklad o oprávnění osoby, která podepsala návrh smlouvy jednat za uchazeče h) případné další dokumenty

5.3.

Všechny listy nabídky musí být číslovány vzestupnou číselnou řadu a musí být zajištěny proti manipulaci (svázány a na přelepu svázání opatřeny razítkem a podpisem uchazeče). Nabídka bude předložena v českém jazyce ve dvojím tištěném vyhotovení (jeden originál, jedna prostá kopie) a na CD.

5.4.

Uchazeč podá nabídku v listinné podobě v uzavřené neporušené obálce označené viditelně “Nabídka – Penetrační testy a bezpečnostní audit ICT pro SFŽP ČR - NEOTEVÍRAT”, na níž bude uvedena kontaktní adresa uchazeče.

Zadávací dokumentace - Penetrační testy a bezpečnostní audit ICT

5.5.

Nabídku je možno ve lhůtě pro podání nabídek doručit (osobně, kurýrní službou nebo poštou) do podatelny Zadavatele, která je v kanceláři č. 5.28 ve čtvrtém patře budovy na adrese Olbrachtova 2006/9, 140 21, Praha 4.

5.6.

Dodavatel je povinen v nabídce uvést, které části veřejné zakázky má v úmyslu zadat jednomu či více subdodavatelům včetně identifikačních údajů těchto subdodavatelů. Dodavatel je v takovém případě povinen předložit smlouvu uzavřenou se subdodavatelem, z níž vyplývá závazek subdodavatele k poskytnutí plnění určeného k plnění veřejné zakázky.

6.

ZPŮSOB HODNOCENÍ NABÍDEK

6.1.

Nabídky budou hodnoceny podle základního kritéria ekonomické výhodnosti. Zadavatel stanovil následující dílčí kritéria a přidělil jim tyto váhy:

6.2.

a) výše nabídkové ceny dle specifikace v čl. 1.1

váha

60 %

b) metodika a postup řešení

váha

40 %

Hodnocení nabídek bude provedeno bodovací metodou. Bodové hodnocení provede hodnotící komise v souladu se svým jednacím řádem podle následujících pravidel: a) V rámci dílčího hodnotícího kriteria cena dle bodu 6.1 a) bude hodnocena celková nabídková cena. Maximální počet bodů v rámci tohoto kriteria činí 100. Tímto počtem bodů bude hodnocena nejvýhodnější nabídka (nejnižší nabídková cena). Ostatní hodnocené nabídky získají bodovou hodnotu, které vznikne násobkem 100 a poměru hodnoty nejvýhodnější nabídky k hodnotě hodnocené nabídky. b) V rámci dílčího hodnotícího kriteria metodika dle bodu 6.1. b) bude hodnocena metodika, postup řešení, která nejlépe splní záměr Zadavatele specifikovaný v bodě 1.1, a to zejména návrh provedení vnitřních a vnějších penetračních testů, návrh vyhodnocení stávající infrastruktury sítě, návrh na provedení oponentury síťové architektury a návrh obsahu a provedení auditu serverů Windows, Linux, aplikací Zadavatele a auditu aktivních síťových prvků. Maximální počet bodů v rámci tohoto kriteria činí 100. Body budou v rámci tohoto kritéria přidělovány tak, že hodnotící komise sestaví pořadí nabídek od nejvhodnější k nejméně vhodné a přiřadí nejvhodnější nabídce 100 bodů a každé následující nabídce přiřadí takové bodové ohodnocení, které vyjadřuje míru splnění dílčího kritéria ve vztahu k nejvhodnější nabídce.

6.3.

Po přidělení bodů v rámci dílčích hodnotících kritérií budou provedeny následující kroky: a) (počet bodů přidělených v rámci prvního dílčího hodnotícího kritéria (Výše nabídkové ceny) bude vynásoben váhou dílčího kritéria 0,60 (60%), b) počet bodů přidělených v rámci druhého dílčího hodnotícího kritéria (Metodika a postup řešení) bude vynásoben váhou dílčího kritéria 0,40 (40%), c) bude sečten počet bodů přidělených jednotlivým nabídkám a stanoveno jejich pořadí podle výše jejich bodového zisku.

7.

ČASOVÉ LIMITY

7.1.

Lhůta pro doručení písemných dotazů k zadávací dokumentaci končí dne 25. 2. 2010.

7.2.

Lhůta pro podání nabídek končí dne 1. 3. 2010. v 12:00 hod.

7.3.

Otevírání obálek se uskuteční dne 1. 3. 2010 v 14:00 hod.

7.4.

Zadávací lhůta trvá 90 dnů.

Zadávací dokumentace - Penetrační testy a bezpečnostní audit ICT

8.

DODATEČNÉ INFORMACE K ZADÁVACÍ DOKUMENTACI

8.1.

Zadavatel poskytne dodatečné informace k zadávací dokumentaci pouze na základě písemné žádosti v souladu s ustanovením § 49 odst. 1 Zákona. Žádosti o dodatečné informace k zadávací dokumentaci musí být Zadavateli doručeny nejpozději čtyři dny před uplynutím lhůty pro podání nabídek. Prohlídka místa plnění se s ohledem na charakter veřejné zakázky nekoná.

Přílohy: 1. krycí list nabídky 2. vzor čestného prohlášení o splnění kvalifikace

Zadávací dokumentace - Penetrační testy a bezpečnostní audit ICT