Zwiększenie poziomu cyberbezpieczeństwa Gminy Rutki

Przedmiotem zamówienia wykonanie usługi w ramach zadnia pn. „Zwiększenie poziomu cyberbezpieczeństwa Gminy Rutki”. Zadanie zostało podzielone na 2 części:
- Cześć 1: Wykonanie audytów KRI/UoKSC, opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji. W ramach zamówienia należy wykonać:
a) Pierwszy Audyt „zerowy” w Urzędzie Gminy Rutki i Ośrodku Pomocy Społecznej w Rutkach-Kossakach.
Przedmiotem zamówienia jest usługa polegająca na przeprowadzeniu audytu zgodnie z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych i Ustawą o Krajowym Systemie Cyberbezpieczeństwa w zakresie jednostek sektora finansów publicznych o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych. Audyt powinien zakończyć się opracowaniem raportu zawierającego wykryte niezgodności oraz dotyczące ich zalecenia. Pozostałe parametry dotyczące audytu: liczba Pracowników Urzędu Gminy: 19, liczba stacji roboczych w Urzędzie Gminy: 19, liczba serwerów fizycznych z systemem Windows Serwer: 2 liczba serwerów wirtualnych z systemem Windows Serwer: 3, serwer w chmurze z systemem Windows Serwer: 1, liczba Pracowników Ośrodka Pomocy Społecznej: 7, liczba stacji roboczych w Ośrodku Pomocy Społecznej: 7. Audyt należy przeprowadzić w trybie stacjonarnym, w siedzibie zamawiającego tj. Urzędzie Gminy Rutki, ul. 11 Listopada 7, 18-312 Rutki-Kossaki i Ośrodku Pomocy Społecznej w Rutkach-Kossakach, ul. 11 Listopada 7, 18-312 Rutki-Kossak. Zamawiający dopuszcza możliwości realizacji części usługi za pomocą środków zdalnej komunikacji. Wykonawca zobowiązuje się do opracowania Planu audytu zawierającego czynności audytowe. Wykonawca zobowiązany jest do pokrycia wszystkich kosztów związanych z wykonaniem przedmiotu zamówienia, w tym koszty swojego ewentualnego zakwaterowania, dojazdu i wyżywienia.

b) Opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w Urzędzie Gminy Rutki i Ośrodku Pomocy Społecznej w Rutkach-Kossakach.
Przedmiotem zamówienia jest usługa opracowania dokumentacji i wdrożenie Systemu Zarządzanie Bezpieczeństwem Informacji. W szczególności opracowanie dokumentacji Polityki Bezpieczeństwa Informacji, która zawiera cel i zakres dokumentu, deklarację kierownictwa, podstawy prawne i definicje, odpowiedzialności w bezpieczeństwie informacji (ADO, IOD, ASI, osoby upoważnione, pozostali pracownicy), opisany przegląd i rozwój systemu zarządzania bezpieczeństwem informacji, odniesienia do dokumentów powiązanych, klasyfikację informacji zgodnie z Rozporządzeniem o Krajowych Ramach Interoperacyjności. Opracowanie Instrukcji Zarzadzania Systemem Informatycznym: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, stosowane metody i środki uwierzytelnienia, procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, zarządzanie kopiami zapasowymi, zarządzanie nośnikami wymiennymi, sposób zabezpieczenia systemu informatycznego przed szkodliwym oprogramowaniem, rejestrowanie działań użytkowników i monitorowanie sieci, procedury wykonywania przeglądów i konserwacji oraz zasady wycofywania sprzętu, ochrona sprzętu i oprogramowania, praca zdalna oraz zarządzanie urządzeniami mobilnymi, zabezpieczenia kryptograficzne, zasady korzystania z Internetu oraz poczty elektronicznej, wniosek o nadanie uprawnień. Utworzenie dokumentacji Polityki Zarządzania Incydentami w związku z ustawą o krajowym systemie cyberbezpieczeństwa: opracowanie zasad oceny zgłoszonych zdarzeń, opracowanie zasad klasyfikacji incydentów, opracowanie zasad postępowania z incydentami, opracowanie zasad i zakresu udostępniania informacji o incydentach, procedura zgłoszenia naruszenia do Urzędu oraz osób, których dane dotyczą, rejestr incydentów. Aktualizacja dokumentacji RODO. Analiza i szacowanie ryzyka w oparciu o normę PN-ISO/IEC 27005: inwentaryzacja aktywów podlegających szacowaniu ryzyka, określenie zagrożeń dla wyznaczonych aktywów, określenie podatności dla wyznaczonych aktywów, określenie prawdopodobieństw dla wyznaczonych aktywów, oszacowanie ryzyka pod kątem skutków naruszenia bezpieczeństwa informacji. Inwentaryzacja sprzętu i oprogramowania służącego do przetwarzania informacji, połączona z weryfikacją legalności użytkowanego oprogramowania i opracowanie raportu z inwentaryzacji. Opracowanie Systemu Zarządzania Ciągłością Działania – w zakresie systemów teleinformatycznych. Wykonawca zobowiązany jest do pokrycia wszystkich kosztów związanych z wykonaniem przedmiotu zamówienia, w tym koszty swojego ewentualnego zakwaterowania, dojazdu i wyżywienia.
c) Drugi Audyt KRI/UoKSC i SZBI w Urzędzie Gminy Rutki i Ośrodku Pomocy Społecznej w Rutkach-Kossakach wraz z wypełnieniem Ankiety Dojrzałości Cyberbezpieczeństwa w Jednostce Samorządu Terytorialnego (i Jednostkach Podległych).
Przedmiotem zamówienia jest usługa polegająca na przeprowadzeniu audytu zgodnie z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych i Ustawą o Krajowym Systemie Cyberbezpieczeństwa w zakresie jednostek sektora finansów publicznych o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych w szczególności obejmująca weryfikację wdrożonej dokumentacji dotyczącej Systemu Zarządzania Bezpieczeństwa Informacji, zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia, utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację, przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy, podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji, bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji z uwzględnieniem aspektów związanych z bezpieczeństwem informacji, zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość, zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie. Weryfikację ustalonych zapisów zawieranych w umowach serwisowych gwarantujących odpowiedni poziom bezpieczeństwa informacji. Ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych. Zapewnienia odpowiedniego określonego przez KRI poziomu bezpieczeństwa w systemach teleinformatycznych. Sposobu postępowania z incydentami związanymi z bezpieczeństwem informacji. Analiza posiadanej dokumentacji ochrony danych osobowych pod kątem aktualności i zgodności z prawem. Zbadanie przesłanek legalności przetwarzania danych osobowych i wrażliwych. Weryfikacja celu, zakresu przetwarzania danych oraz adekwatności do celu przetwarzania. Weryfikacja procesów przetwarzania danych osobowych oraz określenie konieczności prowadzenia rejestru przetwarzania. Analiza fizycznych i logicznych zabezpieczeń infrastruktury informatycznej. Weryfikacja funkcjonalności aplikacji i poziomu ich zabezpieczeń. Weryfikacja poziomu zabezpieczeń procesów danych osobowych przetwarzanych w formie papierowej. Weryfikacja poziomu wiedzy i świadomości pracowników w zakresie ochrony danych osobowych. Weryfikacja zawartych umów pod kątem powierzenia przetwarzania danych osobowych. Rozszerzenie audytu o zagadnienia potrzebne do wypełnienia zał. nr 6 konkursu grantowego – Ankiety Dojrzałości Cyberbezpieczeństwa.
Audyt powinien zakończyć się opracowaniem raportu zawierającego wykryte niezgodności oraz dotyczące ich zalecenia oraz wypełnieniem ankiety dojrzałości cyberbezpieczeństwa stanowiącą załącznik do regulaminu konkursu grantowego „Cyberbezpieczny Samorząd”. Pozostałe parametry dotyczące audytu przedstawione są poniżej: liczba Pracowników Urzędu Gminy: 19, liczba stacji roboczych w Urzędzie Gminy: 19, liczba serwerów fizycznych z systemem Windows Serwer: 2, liczba serwerów wirtualnych z systemem Windows Serwer: 3, serwer w chmurze z systemem Windows Serwer: 1, liczba Pracowników Ośrodka Pomocy Społecznej: 7, liczba stacji roboczych w Ośrodku Pomocy Społecznej: 7. Audyt należy przeprowadzić w trybie stacjonarnym, w siedzibie zamawiającego tj. Urzędzie Gminy Rutki, ul. 11 Listopada 7, 18-312 Rutki-Kossaki i Ośrodku Pomocy Społecznej w Rutkach-Kossakach, ul. 11 Listopada 7, 18-312 Rutki-Kossak. Zamawiający dopuszcza możliwości realizacji części usługi za pomocą środków zdalnej komunikacji. Wykonawca zobowiązuje się do opracowania Planu audytu zawierającego czynności audytowe. Wykonawca zobowiązany jest do pokrycia wszystkich kosztów związanych z wykonaniem przedmiotu zamówienia, w tym koszty swojego ewentualnego zakwaterowania, dojazdu i wyżywienia.

Jeśli opis przedmiotu zamówienia wskazywałaby na znaki towarowe, patenty lub pochodzenie – zamawiający, zgodnie z art. 99 ust. 5 ustawy Pzp, dopuszcza oferowanie rozwiązań równoważnych.

Przedmiotem zamówienia wykonanie usługi w ramach zadnia pn. „Zwiększenie poziomu cyberbezpieczeństwa Gminy Rutki”. Zadanie zostało podzielone na 2 części:
Część 2: Przeprowadzenie szkoleń pracowników z zakresu cyberbezpieczeństwa i socjotechniki.
Przedmiot zamówienia obejmuje przeprowadzenie szkolenia pracowników i kadry kierowniczej obejmujące swoim zakresem co najmniej następujące zagadnienia: wymagania dla pracowników wynikające z Rozporządzenia KRI, Ustawy o KSC oraz RODO (uwzględniając zmiany wynikając z wdrożenia Dyrektywy NIS 2), Świadomość cyfrowego bezpieczeństwa (rozpoznawanie i zapobieganie zagrożeniom związanym z cyberprzestępczością, podejmowanie odpowiednich działań w przypadku usiłowania cyberataku), umiejętności decyzyjne i przygotowujące kierownictwo jednostki do efektywnego zarządzania ryzykiem cybernetycznym jednostki. Do oferty należy dołączyć zakres szkolenia. Forma szkolenia: szkolenie stacjonarne, za dostęp do platformy szkoleniowej Wykonawca otrzymuje dodatkowe punkty przy ocenie oferty. Wykonawca zapewnienia wszystkim uczestnikom szkolenia materiały szkoleniowe oraz wydania wszystkim uczestnikom szkolenia zaświadczeń/certyfikatów o ukończeniu szkolenia. Ilość godzin: dla pracowników UG i OPS z podziałem na cztery grupy zrealizowane w ciągu dwóch dni roboczych. Szkolenie w grupie powinno trwać nie krócej niż 3 godziny. Liczba osób do przeszkolenia: 25 pracowników.

Jeśli opis przedmiotu zamówienia wskazywałaby na znaki towarowe, patenty lub pochodzenie – zamawiający, zgodnie z art. 99 ust. 5 ustawy Pzp, dopuszcza oferowanie rozwiązań równoważnych.

Wykonawca zobowiązany jest zrealizować zamówienie na zasadach i warunkach opisanych we wzorze umowy stanowiącym załącznik nr 2 do SWZ.

Wszystkie wymagania określone w Opisie Przedmiotu Zamówienia stanowią wymagania minimalne, a ich spełnienie jest obligatoryjne. Niespełnienie ww. wymagań minimalnych będzie skutkować odrzuceniem oferty jako niezgodnej z warunkami zamówienia na podstawie art. 226 ust. 1 pkt 5) ustawy Pzp.