Audit KB

Předmět plnění: Předmětem plnění je provedení nezávislého technického auditu zaměřeného na vyhodnocení přínosu opatření kybernetické bezpečnosti realizovaných v rámci projektu „Kybernetická bezpečnost informačních systémů ČSÚ“. Audit bude posuzovat, zda implementace vybraných technologií vedla ke zvýšení úrovně kybernetické bezpečnosti a kybernetické odolnosti dotčených informačních systémů zadavatele. Vymezení auditovaných oblastí • Audit bude proveden ve vztahu k těmto implementovaným technologiím: o Log Management / SIEM, o Řešení NAS a ochrana záloh, o Páteřní přepínače a síťová infrastruktura. • Audit bude zaměřen na tyto informační systémy: o IS voleb, o Statistický IS, o E-mail, o Spisová služba, o Úřední deska. Účel auditu • Účelem auditu je ověřit, zda realizovaná technická opatření splnila svůj předpokládaný bezpečnostní přínos. Požadovaný rozsah plnění • Posouzení implementace každé z uvedených technologií samostatně i ve vazbě na dotčené informační systémy. • Ověření technického nastavení, funkčnosti, pokrytí a přiměřenosti zavedených opatření. • Posouzení skutečného přínosu opatření z hlediska kybernetické bezpečnosti a provozní odolnosti. • Identifikace případných nedostatků, omezení, zbytkových rizik a návrh doporučení ke zlepšení. Požadovaný způsob provedení • studium relevantní dokumentace, • provedení místního šetření v prostředí zadavatele, • konzultace s odpovědnými pracovníky zadavatele, • ověření konfigurace a provozního nastavení vybraných technologií, Požadované výstupy • Dodavatel zpracuje závěrečnou auditní zprávu, která bude obsahovat alespoň: o vymezení předmětu a rozsahu auditu, o popis použitého postupu, o zhodnocení jednotlivých auditovaných oblastí, o posouzení dopadu na dotčené informační systémy, o celkový závěr, zda a v jaké míře došlo ke zvýšení kybernetické bezpečnosti a odolnosti, o přehled zjištění, rizik a doporučení. • Součástí plnění bude prezentace hlavních závěrů zadavateli. Součinnost zadavatele • Zadavatel poskytne dodavateli nezbytnou součinnost, zejména relevantní dokumentaci, přístup k potřebným informacím a účast určených odborných pracovníků. • Audit bude proveden způsobem, který minimalizuje dopady do běžného provozu zadavatele. Kvalifikační požadavky: Způsobilým pro plnění veřejné zakázky je dodavatel, který: a) splňuje základní způsobilost dle ustanovení § 74 zákona, b) splňuje profesní způsobilost dle ustanovení § 77 zákona. Způsobilost lze doložit Čestným prohlášením. Ostatní požadavky: a) Prokazatelná zkušenost s výkonem auditů, hodnocením nebo posuzováním opatření v oblasti kybernetické bezpečnosti. b) Odborná znalost oblastí SIEM/log managementu, ochrany záloh, síťové infrastruktury a bezpečnosti informačních systémů. c) Schopnost zpracovat srozumitelný odborný výstup obsahující jednoznačné závěry a praktická doporučení. Zadavatel si vyhrazuje právo na změnu nebo úpravu zadávacích podmínek. Zadavatel si vyhrazuje právo tuto veřejnou zakázku malého rozsahu zrušit až do uzavření smlouvy s vybraným dodavatelem, a to i bez udání důvodu. Bližší specifikace a podmínky v přiložené ZD. VZ je zadávaná v rámci projektu Národního plánu obnovy „Kybernetická bezpečnost informačních systémů ČSÚ“, registrační číslo projektu: CZ.31.2.0/0.0/0.0/23_094/0010261.