Nie ma to jak dobry audyt. Po ostatnich włamaniach na serwery różnych rządowych organizacji, typu np. biuro bezpieczeństwa narodowego czy też inne podobne, organizacje publiczne ruszyły do boju.

To już drugi audyt z dziedziny bezpieczeństwa, pierwszy był w innym wpisie. Tym razem już na dzień dobry powalają wymagania:

a) Przeprowadzenie co najmniej dwóch audytów bezpieczeństwa systemów informatycznych, w tym przynajmniej jednego systemu o wartości nie mniejszej niż 10 mln zł, w oparciu o wytyczne norm: PN-ISO/IEC 17799:2003 oraz PN-07799-2 (BS7799-2)

LOL. Bez komentarza. Audyt za 10 balonów pln… ciekawe co to za audyt za 10 baniek… Ale następna ciekawa sprawa:

2) Wykonawca jest ubezpieczony od odpowiedzialności cywilnej w zakresie prowadzonej działalności na kwotę min. 100 000 zł.

Ostatnio chcieliśmy ubezpieczyć firmę od OC w zakresie prowadzonej działalności. Otóż proszę Państwa, nie jest to tylko odpowiedzialność deliktowa, tylko OC za akcje, które mogą być efektem wykonywanych działań związanych z czynnością. Czyli tłumacząc tym, którzy nie rozumieją – jeżeli jesteśmy ubezpieczeni w zakresie deliktowym, i ktoś złamie nogę u nas w biurze – to pokazujemy mu palcem ubezpieczalnię i mamy go gdzieś. A jeżeli nasi ludzie przy okazji robienia audytu wysadzą w kosmos serwer pana klienta, którego godzina przestoju kosztuje 200k$ to tego delikt już nie obejmuje.

Czyli tutaj pan zamawiający wymaga tego drugiego wariantu. Ubezpieczenie próbowaliśmy zawrzeć w Alliansie, który po zrobieniu wywiadu powiedział, że taki zakres ubezpieczenia mogą dostać tylko spółki z o.o., a właściwie ich Zarządy, które istnieją na rynku więcej niż 5 lat i mają kapitału zakładowego więcej niż 5mln PLN. Czyli automatycznie kasuje to 90% polskich firm. Zostają giganci.

SIZW do przetargu jest ponoć dostępny na stronie www.csioz.gov.pl ale jakoś nie znalazłem. Może jest tajny?
Ogłaszający to Centrum Systemów Informacyjnych Ochrony Zdrowia w Warszawie, a ekspertyza bezpieczeństwa dotyczy:

Przeprowadzenie ekspertyzy bezpieczeństwa PLATFORMY UDOSTEPNIANIA ON-LINE PRZEDSIEBIORCOM USŁUG REJESTRU ZAKŁADÓW OPIEKI ZDROWOTNEJ – eRZOZ
Określenie przedmiotu oraz wielkości lub zakresu zamówienia: Przeprowadzenie ekspertyzy bezpieczeństwa PLATFORMY UDOSTEPNIANIA ON-LINE PRZEDSIEBIORCOM USŁUG REJESTRU ZAKŁADÓW OPIEKI ZDROWOTNEJ – eRZOZ

Szczerze polecam artykuł na temat naszego doskonałego prawa przetargowego. To trzeba przeczytać, a potem trzeba przyczesać zjeżony na głowie włos…

Po ostatnich wyczynach złych hackerów hackerujących stronę główną Energii Pro wzrosła świadomość podmiotów publicznych .
Miejska Energetyka Cieplna Spółka z o. o. w Koszalinie ogłosiła postępowanie na:

Przeprowadzenie zerowego audytu bezpieczeństwa oraz audytu bezpieczeństwa w zakresie teleinformatycznym i ochrony danych osobowych

Niby w porządku, a jednak nie…

Specyfikację istotnych warunków zamówienia można nabyć w cenie 20,00 zł + 22 % VAT w siedzibie Zamawiajacego:
Miejska Energetyka Cieplna Spółka z o. o. w Koszalinie – Dział Obsługi Klienta 75-111 Koszalin, ul. Łużycka 25A lub za zaliczeniem pocztowym.

Super. Biorąc pod uwagę pocztę, warunki dostanę za 3 dni w porywach do nigdy. Jakby mieli stronę www, to byłoby szybciej. Świadomość bezpieczeństwa im się obudziła, ale konieczność posiadania strony – już niekoniecznie.
Dobra, 20 zł netto to jeszcze nie pieniądz, ale czytam dalej a tutaj kwiatek:

O udzielenie zamówienia mogą ubiegać się wykonawcy, którzy w okresie ostatnich trzech lat przed wszczęciem postępowania, a jeżeli okres prowadzonej działalności jest krótszy, to w tym okresie wykonali, co najmniej trzy audyty bezpieczeństwa zgodnie z zaleceniami normy PN-ISO/IEC 27001 lub co najmniej trzy wdrożenia normy PN-ISO/IEC 27001 zakończone certyfikacją.

Wymagania jak zwykle, przynajmniej 3 usługi w ciągu jakiegoś tam czasu, do tego dołożyli jeszcze certyfikację… Ciekawe na jaką kwotę ten przetarg.

Zamówienie o wartości nie przekraczającej wyrażonej w złotych równowartości kwoty 14 000 EURO prowadzone zgodnie z Instrukcją udzielania zamówień publicznych na usługi, dostawy i roboty budowlane w Miejskiej Energetyce Cieplnej Sp. z o.o. w Koszalinie , zamieszczonej na stronie internetowej zamawiającego w podstronie pn. ,,Przetargi i ogłoszenia”.

Licząc po kursie z dzisiaj (3.39zł za euro) to daje maksymalnie 47460,00. Niby kwota w porządku, ale trzeba jeszcze powalczyć z innymi oferentami. No i cały audyt to trzy różne rzeczy. Ciekawe czy ktoś to weźmie. Oczywiście nie omieszkam uprzejmie donieść jak by co .

Długo nic nie wyszło w naszej dziedzinie, budżety podzielone, i przyjdzie czekać do jesieni. Ale jak ktoś zajmuje się handlem sprzętem, to ma żniwa. Codziennie przychodzi po kilkanaście wszelkiego rodzaju ofert. Ah, znalazłem także w archiwum interesujący wynik przetargu na szkolenia Projektanta stron internetowych www – Webmastera. Z marca br.

przedmiot
Szkolenie w zakresie “Projektant stron internetowych www – Webmaster.
organizator
Powiatowy Urząd Pracy Nr 1 w Łodzi
województwo
Łódzkie
wynik
“BROst” Centrum Edukacji i Technologii Komputerowej”, ul. Wolczańska 210, PL-90-531 Łódź. E-mailbrost@brost.pl. Tel. (48-42) 633 68 99. URL: www.brost.pl. Faks (48-42) 633 68 24.
V.4)
INFORMACJE NA TEMAT WARTOŚCI ZAMÓWIENIA
Początkowa szacunkowa całkowita wartość zamówienia:
Wartość: 4 402 924,00 PLN.
Bez VAT.
Całkowita końcowa wartość zamówienia:
Wartość: 48 800,00 PLN.
Bez VAT.
V.5)
PRZEWIDYWANE JEST ZLECENIE PODWYKONAWSTWA W RAMACH ZAMÓWIENIA:
Nie.

48k za szkolenie… Nic, tylko pogratulować zwycięzcy tym bardziej, że startowali tylko oni i nikt więcej. Tylko dlaczego to Urząd Pracy, a więc instytucja finansowana także i z moich podatków?

Na warsztat idzie przetarg nieograniczony na www.migracje.gov.pl. Pełny SIWZ w pdfie znajduje się tutaj jeżeli ktokolwiek ma zdrowie go czytać. O dziwo, nie jest to skan jak w większości przypadków, tylko normalny PDF. Widać umiejętności rosną.
Zaczynamy od opisu przedmiotu zamówienia. Od razu widać, że pisał go ktoś kto kojarzy czego chce. To plus. Termin wykonania zamówienia tez niczego sobie, 3 miesiące wystarczy spokojnie, żeby to wszystko wykonać.

Okres świadczenia usługi 3 lata i 9 miesięcy, nie mniej niż 4 lata.
Następnie zaczyna się sam miód: opis warunków udziału w postępowaniu. Oczywiście uwzględnia równy dostęp podmiotów do świadczeń publicznych poprzez nałożenie warunku:

w okresie ostatnich trzech lat przed dniem wszczęcia niniejszego
postępowania, a jeżeli okres prowadzenia działalności jest krótszy – w tym
okresie, wykonali minimum trzy usługi polegające na wykonaniu, utrzymaniu
i administracji portalu o wartości nie mniejszej niż 50.000,00 zł (słownie:
pięćdziesiąt tysięcy złotych), przy czym za portal Zamawiający uważa internetowy
serwis informacyjny poszerzony o dodatkowe usługi
internetowe, w szczególności: definiowanie użytkowników i grup
użytkowników, umieszczenie i edycje zawartości, forum użytkowników,
dostępny z jednego adresu internetowego,

Serwis za 50k to sporo. Podobne rzeczy można mieć na całkiem przyzwoitym poziomie za dużo mniejsza kwotę. Ale co tam, w końcu płaci podatnik, czyż nie?

Lecimy dalej…

3) znajdują się w sytuacji ekonomicznej i finansowej zapewniającej wykonanie
zamówienia, w tym: posiadają środki finansowe lub zdolność kredytową w kwocie
co najmniej 180.000,00 zł (słownie: sto osiemdziesiąt tysięcy złotych);

Tutaj da się zauważyć drobną pomyłkę, zamysł oczywiście rozumiemy: albo podmiot ma na koncie 180k albo zdolność kredytową na tyle. Drobny spójnik “lub” zmienia zdecydowanie postać rzeczy. Wystarczy mieć 1zł na koncie, i po przegranej można skutecznie oprotestować przetarg (tak, konsultowałem się z prawnikiem). Z drugiej strony, skąd taka wartość? Czas na wykonanie usługi to 3 miesiące, więc urzędnicy zakładają 60k miesięcznych kosztów działania firmy? Ten warunek wskazuje ewidentnie na preferencję na większą firmę.

I dalej, teraz “Sposób porozumiewania się z wykonawcami”

2. Osoba uprawniona do porozumiewania się z Wykonawcami w sprawach dotyczących
procedury zamówienia: w dni robocze, w godz. 10:00-12:00 pan Maciej Gniadek –
tel.: (022) 237 00 30.
3. Wykonawca może zwrócić się do Zamawiającego o wyjaśnienie treści SIWZ.
Zamawiający obowiązany jest niezwłocznie udzielić wyjaśnień, chyba że prośba
o wyjaśnienie wpłynie na mniej niż 6 dni przed terminem składania ofert.

Termin złożenia ofert w tym przetargu to 7 dni od ogłoszenia. Wg ustawy o zamówieniach publicznych, 6 dni przed terminem zamawiający może odmówić składania wyjaśnień. Biorąc pod uwagę, że pan Gniadek udzieli odpowiedzi w dni robocze od 10- do 12tej, mamy 2h na zadanie pytań. Potem możemy się pytać przypadkowych przechodniów z podobnym efektem. W przypadku takiego zamówienia nie ma żadnych pytań tylko ten, kto znał warunki zanim zostały upublicznione.

A teraz śmieszna niespójność w rozdziale “OPIS KRYTERIÓW, KTÓRYMI ZAMAWIAJĄCY BĘDZIE SIĘ KIEROWAŁ PRZY WYBORZE OFERTY, WRAZ Z PODANIEM ZNACZENIA TYCH KRYTERIÓW ORAZ
SPOSOBU OCENY OFERT “

punkt 3 mówi:

W kryterium „Wykorzystanie autorskiego rozwiązania CMS” ocenione zostanie, czy
Wykonawca zaproponował do realizacji rozwiązanie autorskie:
a) wykonawca, który zaproponował rozwiązanie autorskie otrzyma 15 pkt,
b) wykonawca, który zaproponował rozwiązanie nieautorskie otrzyma 0 pkt.
Maksymalna liczba punktów, która może zostać przyznana wykonawcy w ocenie
ww. kryterium wynosi 15 pkt.

czyli jeżeli chcemy wykorzystać coś nieautorskiego (np. coś na GPLu czy tez na dowolnej innej licencji pozwalającej na taką akcję) dostajemy 0 punktów.
Dla odmiany punkt 5 mówi:

W kryterium „Wykorzystanie systemu zarządzania bazą danych (SZBD) typu Open-
Source” ocenione zostanie, czy Wykonawca zaproponował do realizacji portalu
nieodpłatnego SZBD. Ocena zostanie przeprowadzona w następujący sposób:
c) wykonawca, który zaproponował nieodpłatny SZBD typu Open-Source otrzyma
5 pkt,
d) wykonawca, który zaproponował odpłatny SZBD otrzyma w badanym kryterium
0 pkt.
Maksymalna liczba punktów, która może zostać przyznana wykonawcy w ocenie
ww. kryterium wynosi 5 pkt.

A tutaj odwrotnie, już nie chcą autorskiego oprogramowania, tylko jakieś bliżej niezidentyfikowane Open-Source. Dlaczego tak ? Kto inny mógłby wiedzieć

A teraz jakiś mroczny dowcip świadczący o potężnym niezrozumieniu pojęcia design oraz braku zrozumienia po co człowiekowi jest CMS. Załącznik nr 1, punkt 2.4, podpunkt a):

a) system do zarządzania treścią (CMS)
 pod tym terminem Zamawiający rozumie system umożliwiający łatwe
i niewymagające specjalistycznej wiedzy informatycznej zarządzanie
treścią portalu, a w tym: dodawanie, edycję i usuwanie nowych
dokumentów, podstron, informacji, plików linków itp. Zarządzanie musi
obejmować wszystkie panele (zakładki) istniejące na portalu,

Tutaj jeszcze rozumieją.

 uprawniony użytkownik powinien mieć możliwość ingerencji w elementy
graficzne widoczne na stronie takie jak – loga, bannery itp.,
 z poziomu CMS uprawniony użytkownik powinien mieć również możliwość
zmiany stylów treści (obejmujących formatowanie tekstu – formatowanie
nagłówków, treści głównej, czcionek, rozmiarów czcionek, odstępów,
akapitów itp.),

A tutaj już nie. Ingerencja w logo z poziomu CMSa? Rozumiem, że chodzi tutaj o możliwość dodawania elementów graficznych, ale z opisu wynika jakiś absurd. Punkt kolejny hmm, czyli rób człowieku design, zastanawiaj się nad ostylowaniem całości, dodawaj formatowanie, żeby wszystko wyglądało porządnie i zgodnie z projektem, a na koniec daj do tego dostęp userowi. Pozdrawiam tego, kto wygra i się podpisze pod tą stroną. Po 3 miesiącach aktualizacji będzie zapewne wyglądała spójnie i przepięknie.
Ale to nie koniec Jest jeszcze SLA.

4. Utrzymanie i Administracja
4.1. Wykonawca powinien zapewnić poziom dostępności do środowiska przez 24h na
dobę, 365 dni w roku przez czas trwania umowy,

Nie przewidują przerw. Nie przewidują konserwacji. Nic nie przewidują . A jeżeli coś się popsuje, to sroga kara spadnie na wykonawcę:

. W przypadku trwającego dłużej niż 2 godzin przerwy w świadczeniu usług utrzymania lub
administracji w stosunku do wymagań określonych w Opisie przedmiotu zamówienia
(załącznik nr 2 do umowy), Zamawiający potrąci karę umowną w wysokości 0,2 %
wartości usługi, określonej w § 2 ust. 1 pkt 2, za każdą rozpoczętą godziną opóźnienia.

Paragraf 2 ust. 1 pkt 2 mówi o całkowitej kwocie którą oferent zaproponował za administrację serwisem – czyli zapewne sporo.

Przewidują za to złych hackerów:

4.2. obowiązek zabezpieczenie serwera aplikacyjnego spoczywa na Wykonawcy.
Serwer aplikacyjny powinien być zabezpieczony urządzeniem typu IDP (Intrusion
Detection and Prevention) – ze stale aktualizowaną bazą danych zagrożeń,
posiadającym, co najmniej, następujące zabezpieczenia:
a) utrudnianie skanowania i rozpoznawania systemów,
b) wykrywanie skanowania i prób penetracji,
c) ochrona przed atakami exploit,
d) wykrywanie i blokowanie połączeń backdoor,
e) ochrona przed atakami destrukcyjnymi i destabilizującymi (D)Dos,
f) definiowanie nowych ataków i zdarzeń,
g) blokowanie pakietów z niewłaściwą adresacją (Anti-Spoofing),
h) urządzenie to musi być tak skonfigurowane, aby w przypadku wykrycia
zagrożenia zablokować ruch. Urządzenie musi być wyposażone w bypass
umożliwiający przepływ ruchu w przypadku awarii urządzenia IDP,

Moje ulubione stwierdzenie to punkt c). Czy ktoś mi może wytłumaczyć, co to jest atak exploit?
I ogólnie tutaj ktoś im naopowiadał, że ma mrocznego IDSa/IPSa, który jest super i może to o czym pisali.

Jedno, co należy tutaj zaznaczyć in plus, to sposób oceny oferty, który nie jest standardową mantrą pt. “100% ceny”. W większości poprzednich przypadków, tak właśnie było. I nijak nie mogę zrozumieć, dlaczego przy wyborze oferty na materiały promocyjne (np. medal dla Wojska Polskiego) liczyła się tylko cena. A gdzie jakość? A gdzie estetyka wykonania? Ktokolwiek widział, ktokolwiek wie…

Zdecydowaliśmy się nie startować. Ciekawe czy ktoś to weźmie. Za to jak tylko się dowiem kto jest szczęśliwcem, to nie omieszkam donieść :->.