Ogłoszenie o dialogu technicznym dotyczącym audytu systemów bezpieczeństwa Ogólnopolskiej Sieci Edukacyjnej

I. OGŁASZAJĄCY

NASK Państwowy Instytut Badawczy,

01-045 Warszawa, ul. Kolska 12

strona www.nask.pl, e-mail nask@nask.pl telefon 22 380 82 00,

godziny pracy: 8:00-17:00

 

II. CEL I PRZEDMIOT DIALOGU TECHNICZNEGO

Celem Dialogu jest zebranie przez NASK informacji dotyczących dostępnych na rynku rozwiązań technicznych i organizacyjnych mających za zadanie przeprowadzenie audytu bezpieczeństwa teleinformatycznego, w tym bezpieczeństwa systemów informatycznych (BSI) Ogólnopolskiej Sieci Edukacyjnej (OSE) , bezpieczeństwa infrastruktury teleinformatycznej (BIT) OSE oraz przeprowadzenie audytu bezpieczeństwa informacji w OSE.

Dialog jest integralną częścią realizacji projektu Ogólnopolskiej Sieci Edukacyjnej (OSE), który zakłada przeprowadzenie audytu bezpieczeństwa teleinformatycznego i będzie realizowany na podstawie przekazanych przez Zamawiającego materiałów, w tym dokumentacji systemów informatycznych, dokumentów opisujących infrastrukturę Zamawiającego oraz przyznanych przez Zamawiającego dostępów do systemów informatycznych i infrastruktury.

 

III. ZAKRES INFORMACJI, KTÓRE ZAMAWIAJĄCY CHCE UZYSKAĆ OD UCZESTNIKÓW DIALOGU

W trakcie prowadzonego dialogu Zamawiający będzie oczekiwał od Wykonawców następujących informacji:

- proponowane podejście do audytu, struktura podziału prac oraz harmonogram przeprowadzenia audytu wraz z podziałem na etapy orz z uwzględnieniem metodyki Wykonawcy oraz rekomendowanym składem i kompetencjami zespołu audytowego po stronie Wykonawcy i Zamawiającego.

- dane niezbędne do oszacowania wartości zamówienia, określenie szacunkowej wartości zamówienia w odniesieniu się do etapów harmonogramu, z podziałem na audyt bezpieczeństwa teleinformatycznego i bezpieczeństwa informacji.

- szacowana liczba osób przeprowadzających audyty w poszczególnych obszarach, zgodnie z dalszym opisem.

- określenie wymogów technicznych i organizacyjnych dotyczących zamówienia w następujących zagadnieniach:

Zagadnienie 1: Systemy

Rozpatrywane rozwiązania zostaną zbadane pod kątem dostosowania do potrzeb audytu bezpieczeństwa teleinformatycznego oraz bezpieczeństwa informacji.

Zagadnienie 2: Dostosowanie rozwiązań audytowych do skali projektu Ogólnopolskiej Sieci Edukacyjnej, w tym:

Audytu konfiguracji systemów operacyjnych:

  1. Sprawdzenie uruchomionych usług sieciowych,
  2. Sprawdzenie kont systemowych,
  3. Sprawdzenie mechanizmów uwierzytelniania i autoryzacji,
  4. Sprawdzenie wdrożonych mechanizmów dostępu do zasobów,
  5. Sprawdzenie uprawnień do zasobów,
  6. Sprawdzenie wdrożonych mechanizmów instalacji aktualizacji,
  7. Sprawdzenie wdrożonych mechanizmów tworzenia kopii zapasowych,
  8. Sprawdzenie wdrożonych mechanizmów logowania zdarzeń,
  9. Sprawdzenie wdrożonych mechanizmów administracji zdalnej,
  10. Sprawdzenie wdrożonych mechanizmów zabezpieczenia systemu w fazie boot,
  11. Sprawdzenie wdrożonych mechanizmów zarządzania systemem,
  12. Sprawdzenie wdrożonych dodatkowych metod ochrony,
  13. Wskazanie zaleceń hardening’owych dla systemu operacyjnego.

Audytu baz danych:

  1. Sprawdzenie wdrożenia podstawowych zasad hardeningowych bazy (np.: dostępność domyślnych użytkowników guest, partycjonowanie bazy, składowanie logów, logowanie nietypowych zdarzeń, dostępność wybranych niebezpiecznych procedur /funkcji składowanych);
  2. Sprawdzenie komunikacji z klientem bazodanowym -wykorzystanie mechanizmów kryptograficznych (logowanie się klienta oraz transfer danych);
  3. Ogólna recenzja architektury bazy (wykorzystane mechanizmy autoryzacji oraz uwierzytelniania segmentacja uprawnień, wykorzystanie widoków; wykorzystanie procedur składowanych);
  4. Weryfikacja sposobu wykonywania kopii zapasowych oraz ich odtwarzania;

Audytu bezpieczeństwa aplikacji:

W ramach ww. audytu, zakres zadań wymaganych do prawidłowej weryfikacji bezpieczeństwa aplikacji, zostanie przeprowadzony przez podwykonawcę zamawiającego. Biorąc pod uwagę, że testy bezpieczeństwa aplikacji przeprowadzane są na bieżąco wraz z wprowadzaniem nowych wersji, zamawiający zobowiązuje się do przekazania wykonawcy raportów z testów bezpieczeństwa z ostatniej aktualizacji poszczególnych aplikacji w przypadku wyrażenia zgody przez wykonawcę na umieszczenie ich w raporcie końcowym.

W sytuacji gdy wykonawca nie wyrazi zgody, audyt bezpieczeństwa aplikacji nie zostanie zrealizowany w ramach audytu systemów bezpieczeństwa OSE.

Zadania do zrealizowania w ramach audytu bezpieczeństwa aplikacji:

 

  1. Weryfikacja sposobu instalacji aplikacji i procedur stosowanych przy wdrażaniu nowych aplikacji;
  2. Weryfikacja mechanizmów uwierzytelniania / autoryzacji;
  3. Przeprowadzenie testów szczegółowych:
    1. sprawdzenie zabezpieczeń panelu administracyjnego przed nieupoważnionym dostępem,
    2. próba uzyskania dostępu do panelu administracyjnego za pomocą kont zwykłych użytkowników min. przez: wykorzystanie bieżącej sesji, podniesienie uprawnień,
    3. próba uzyskania większych uprawnień,
    4. próba uzyskania nieautoryzowanego dostępu do danych znajdujących się w systemie,
    5. próba uzyskania nieautoryzowanego dostępu do plików znajdujących się na serwerze,
    6. analiza możliwości enumeracji użytkowników,
    7. próba ataków typowych dla aplikacji webowych  i web services, m.in.:  SQL  Injection, Cross Site Scripting, IMAP/SMTP Injection, LDAP Injection, ORM Injection, XML Injection, XPath Injection, Code Injection, Command Injection, HTTP Splitting, OWASP TOP 10,
    8. testy funkcji przekierowujących pod kątem walidacji wprowadzanych danych,
    9. analiza polityki haseł w aplikacji,
    10. próba ominięcia mechanizmu uwierzytelniania za pomocą min. analizy identyfikatorów sesji, manipulacji parametrami, bezpośredniego dostępu do widoku aplikacji,
    11. próba ominięcia mechanizmu autoryzacji min. przez uzyskanie bezpośredniego dostępu do zasobów, manipulacje parametrami, uzyskanie wyższych uprawnień,
    12. analiza  wykorzystywanego  przez  aplikację  szyfrowania  przesyłanych  danych,  pod  kątem dostępnych/wykorzystywanych algorytmów,
    13. analiza mechanizmu logowania pod kątem możliwości ominięcia uwierzytelniania
      i możliwości podsłuchu przesyłanych danych,
    14. analiza  mechanizmu  zakończenia  sesji  użytkownika  pod  kątem  skuteczności 
      i  możliwości przeprowadzenia ataku Denial of Service,
    15. analiza zabezpieczenia plików Cookie,
    16. analiza zabezpieczenia serwera przed niebezpiecznymi metodami http,
    17. analiza przesyłanego kodu pod kątem zawartości zbędnych informacji o aplikacji,
    18. analiza nagłówków http pod kątem bezpieczeństwa,
    19. analiza błędów aplikacji pod kątem ujawniania informacji,
    20. analiza możliwości zapamiętywania przez przeglądarkę informacji klientów,
    21. penetracja systemów udostępnionych w Internecie, za pomocą skanerów TCP i UDP,
    22. możliwość nieautoryzowanego dostępu do danych,
    23. analiza konfiguracji komunikacji z usługami (konfiguracja np. SSL, IPsec)
    24. próby odnalezienia wcześniejszych wersji kodu źródłowego i plików kopii zapasowych na serwerze.

Audytu infrastruktury teleinformatycznej

W trakcie dialogu omówione zostaną techniki i możliwości przeprowadzenia audytu infrastruktury teleinformatycznej OSE, w tym:

  1. 1. Punkty styku sieci OSE z Internetem,
  2. 2. Routery i bramy,
  3. 3. Systemy firewall,
  4. 4. Serwery Proxy,
  5. 5. Systemy antywirusowe,
  6. 6. Systemy tworzenia i odtwarzania kopii zapasowych,
  7. 7. Systemy monitorowania dostępności,
  8. 8. Serwery DNS, DHCP,
  9. 9. Usługi dostępu do danych dedykowane dla urządzeń mobilnych oraz konfiguracje urządzeń mobilnych,
  10. 10. Usługi udostępniane dla użytkowników systemów wspierających realizowanie statutowych zadań OSE.
  11. 11. System wirtualizacyjny

Audyt infrastruktury teleinformatycznej obejmie również testy,  w odniesieniu do których w trakcie dialogu technicznego zostaną omówione techniki umożliwiające:

  1. Sprawdzenie architektury sieciowej i serwerowej pod kątem bezpieczeństwa;
  2. Sprawdzenie procedur zarządzania serwerami;
  3. Sprawdzenie konfiguracji urządzeń sieciowych;
  4. Przeprowadzenie testów penetracyjnych:
    1. identyfikacja dostępnych serwisów sieciowych z zewnątrz,
    2. penetracja systemów z zewnątrz za pomocą skanerów TCP i UDP,
    3. analiza topologii sieci widzianej z zewnątrz,
    4. weryfikacja procedur zarządzania siecią WAN,
    5. weryfikacja bezpieczeństwa urządzeń sieciowych,
    6. weryfikacja bezpieczeństwa protokołów trasowania,
    7. analiza topologii sieci widzianej z zewnątrz,
    8. badanie podatności związanych z atakami typu DDoS,
    9. analiza topologii sieci wewnętrznej i logiki jej segmentacji,
    10. weryfikacja bezpieczeństwa maszyn zlokalizowanych w obrębie sieci wewnętrznej (serwery i stacje robocze),
    11. weryfikacja filtrowania komunikacji wewnętrznej (np. konfiguracja firewall, IDS/IPS, WAF, separacja pomiędzy kluczowymi podsieciami),
    12. weryfikacja zasad bezpieczeństwa na wybranych stacjach roboczych,
    13. przegląd danych dostępnych na udziałach sieciowych pod kątem nieautoryzowanego dostępu do danych,
    14. weryfikacja zasad bezpieczeństwa na wybranych stacjach roboczych,
    15. weryfikacja dostępu do Internetu z LAN.
  5.  Przeprowadzenie audytu urządzeń sieciowych, poza testami wymienionymi powyżej:
    1. analiza podatności urządzeń na ataki z poziomu Internetu,
    2. przeprowadzenie skanowania portów TCP/UDP w sieci lokalnej,
    3. przeprowadzenie skanowania hostów aktywnych w danej podsieci,
    4. przeprowadzenie testu określenia ścieżki sieciowej do danego urządzenia,
    5. przeprowadzenie próby detekcji wersji oraz typu oprogramowania systemowego zainstalowanego na urządzeniu,
    6. przeprowadzenie próby komunikacji w obrębie protokołu ICMP,
    7. przeprowadzenie próby wygenerowania pakietów o dużym rozmiarze,

Audyt bezpieczeństwa informacji

W ramach ww. audytu, zakres zadań wymaganych do realizacji obejmie również audyt bezpieczeństwa informacji. Zamawiający może zastrzec sobie przeprowadzenie audytu bezpieczeństwa informacji
jako oddzielnego audytu w innym terminie w przypadku, gdy wykonawca nie będzie w stanie zrealizować całości audytu w zaproponowanych ramach czasowych przez Zamawiającego, bądź przekroczy zaplanowany budżet na jego zrealizowanie.

Niemniej jednak, w trakcie prowadzenia dialogu zostaną poruszone poniższe zagadnienia:

  1. Analiza dokumentacji i innych informacji oraz przeprowadzenie badań dotyczących Systemu Zarządzania Bezpieczeństwem Informacji w odniesieniu do spełnienia wymagań w zakresie:
  1. dokumentacji z zakresu bezpieczeństwa informacji i bezpieczeństwa teleinformatycznego, zaangażowania kierownictwa organizacji,
  2. analizy zagrożeń związanych z przetwarzaniem informacji,
  3. inwentaryzacji sprzętu i oprogramowania informatycznego,
  4. zarządzania uprawnieniami do pracy w systemach informatycznych,
  5. szkoleń pracowników zaangażowanych w proces przetwarzania informacji
  6. pracy na odległość i mobilnego przetwarzania danych,
  7. serwisu sprzętu informatycznego i oprogramowania,
  8. procedur zgłaszania incydentów naruszenia bezpieczeństwa,
  9. audytu wewnętrznego z zakresu bezpieczeństwa informacji
  10. kopii zapasowych,
  11. projektowania, wdrażania i eksploatacji systemów teleinformatycznych,
  12. zabezpieczeń techniczno-organizacyjnych dostępu do informacji,
  13. zabezpieczeń techniczno-organizacyjnych systemów informatycznych,
  14. rozliczalności działań w systemach teleinformatycznych.

Zagadnienie 3. Harmonogram i raporty z przeprowadzonych testów.

W ramach prac audytowych zostanie przekazana Wykonawcy dokumentacja systemów informatycznych, opisy infrastruktury oraz inne niezbędne do wykonania usługi informacje. Na podstawie przekazanej dokumentacji oraz wywiadów z pracownikami Zamawiającego, Wykonawca przygotuje i dostarczy, w terminie ustalonym podczas dialogu, harmonogram realizacji poszczególnych audytów.

Zakładamy że, harmonogram prac uwzględni następujące terminy końcowe zaproponowane przez Zamawiającego:

  1. Dla audytu bezpieczeństwa teleinformatycznego (BSI, BIT) – przekazanie Zamawiającemu raportów końcowych z poszczególnych audytów musi nastąpić nie później niż do dnia 16.05.2021.
  2. Dla audytu bezpieczeństwa informacji – przekazanie Zamawiającemu raportu końcowego
    z audytu musi nastąpić nie później niż do dnia 29.07.2021.

W ramach audytu bezpieczeństwa informacji przedstawiony harmonogram prac stanowić musi program zadań obejmujący następujące elementy:

  1. temat zadania;
  2. cel zadania;
  3. zakres podmiotowy i przedmiotowy zadania;
  4. istotne ryzyka w obszarze działalności OSE objętym zadaniem;
  5. sposób zrealizowania zadania, w szczególności opis doboru próby do badania oraz technik badania;
  6. kryteria oceny (do ustalenia w trakcie dialogu);
  7. datę rozpoczęcia i zakończenia zadania.

 

W ramach wykonywania testów penetracyjnych aplikacji wymagane jest wykorzystanie obowiązujących standardów bezpieczeństwa. Preferowane są standardy udostępniane przez  organizację OWASP (Open Web Application Security Project). Zamawiający dopuszcza możliwość wykorzystania przez Wykonawcę także innych standardów. W takim jednak przypadku Wykonawca jest zobowiązany do uzasadnienia swojego podejścia w trakcie prowadzenia dialogu. Decyzja odnośnie zmian w metodyce jest po stronie Zamawiającego. Podejście do testów penetracyjnych powinno być zgodne z wytycznymi przedstawionymi w dokumencie OWASP Testing Guide (ver. 4.1).

 

Zakłada się że, audyt będzie realizowany pod nadzorem wyznaczonych pracowników Zamawiającego. Prace będą realizowane w dni robocze w godzinach 8:00 - 16:00. Proponuje się aby prace odbywały się zdalnie, po uprzednim otrzymaniu dostępu do sieci Zamawiającego lub fizycznie gdyby taka potrzeba zaistniała. Powyższy zapis nie dotyczy testów automatycznych oraz testów nie wymagających udziału pracowników Zamawiającego. Takie testy mogą być prowadzone o dowolnej porze, w terminach uzgodnionych z Zamawiającym.

 

Każdy z audytów, bezpieczeństwa teleinformatycznego i bezpieczeństwa informacji musi zakończyć się raportem końcowym.

 

Każdy z raportów z zakresu audytu teleinformatycznego powinien posiadać minimum następujące informacje:

  1. streszczenie dokumentu w postaci raportu dla kadry zarządzającej;
  2. opis podejścia do realizacji testów, w szczególności zastosowane do weryfikacji standardy
    i narzędzia;
  3. przyjęty model klasyfikacji ryzyka;
  4. opis czynności wykonanych podczas testu, w tym odniesienie do zastosowanych standardów;
  5. listę wykrytych podatności i zagrożeń bezpieczeństwa;
  6. szczegółowy opis wykrytych podatności;
  7. opis metody wykrycia i możliwości wykorzystania podatności przez „napastnika”,
  8. kategorię podatności, np.: błędy w kontroli dostępu (do danych, do funkcji), ujawnianie nadmiarowych informacji, błędy w walidacji wprowadzanych danych,
  9. klasyfikację ryzyka dla wykrytych podatności;
  10. opis rekomendowanych działań zapobiegawczych zmierzających do wyeliminowania podatności lub ograniczenia możliwości ich wykorzystania, wraz z określeniem sposobu ich wdrożenia.

 

Raport stanowiący sprawozdanie z przeprowadzonego audytu bezpieczeństwa informacji zawierać musi w szczególności :

  1. temat i cel zadania, zakres podmiotowy i przedmiotowy zadania, datę rozpoczęcia zadania;
  2. przyjęty model klasyfikacji ryzyka;
  3. ustalenia, wnioski i ocenę według kryteriów przyjętych w programie, w tym zidentyfikowane ryzyka
  4. zalecenia w odniesieniu do ustaleń i zidentyfikowanych ryzyk;
  5. datę sporządzenia sprawozdania, imię i nazwisko audytora/ów realizującego/cych zadanie oraz podpis.

 

 

Zagadnienie 4. Zdobyte doświadczenia i referencje z wcześniej prowadzonych audytów systemów bezpieczeństwa w sieciach w rozległych systemach.

Zagadnienie 5. Określenie czynników determinujących techniczną jakość oraz ekonomiczną wartość przedmiotu zamówienia.

Zagadnienie 6. Szczegółowa identyfikacja kosztów omawianych rozwiązań, kwestii określenia ewentualnych ryzyk kontraktowych, optymalnego ich rozkładu pomiędzy stronami umowy i analizy możliwych sposobów ich ograniczenia.

 

IV. WYMAGANIA STAWIANE DLA PERSONELU PRZEPROWADZAJĄCEGO AUDYT

Dialog techniczny jest procesem otwartym dla wszystkich oferujących przeprowadzenie audytu. Niemniej jednak w celu lepszego określenia potencjalnych uczestników dialogu NASK podaje następujące wymagania kierunkowe.

Co najmniej dwóch członków zespołu realizującego audyt bezpieczeństwa informacji powinno posiadać:

  1. Certyfikat CISA (Certified Information Systems Auditor),
  2. doświadczenie: przeprowadzenie co najmniej 3 audytów bezpieczeństwa informacji
    w jednostkach sektora finansów publicznych obejmujących swoim zakresem audyt zgodności z przepisami § 20 rozporządzenia KRI w okresie ostatnich trzech lat przed upływem terminu składania ofert.

 

Co najmniej dwóch członków zespołu realizującego audyt bezpieczeństwa teleinformatycznego powinno posiadać:

  1. przynajmniej jeden z certyfikatów:
    1. Certified Information System Security Professional (CISSP),
    2. Certified Information System Auditor (CISA),
    3. Certified Information System Manager (CISM),
    4. CompTIA Advanced Security Practitioner (CASP),
    5. Certified Ethical Hacker (CEH),
    6. CyberSecurity Forensic Analyst (CSFA).
  2. doświadczenie: w ciągu ostatnich 3 lat brał udział w 3 projektach polegających na wykonaniu testów bezpieczeństwa, audytów systemów informatycznych i testów penetracyjnych każdy
    o wartości nie mniejszej niż 25000 zł.

 

 

V. WARUNKI I ZASADY DIALOGU TECHNICZNEGO

  1. 1. Dialog prowadzony będzie zgodnie z postanowieniami „Regulaminu przeprowadzania dialogu technicznego" opublikowanego na stronie internetowej NASK.
  2. 2. Dialog prowadzony będzie w formie wymiany korespondencji i indywidualnych spotkań
    w lokalizacji NASK i/lub spotkań on-line na platformie Zamawiającego.
  3. 3. Dialog jest prowadzony w języku polskim.
  4. 4. Niniejsze zaproszenie nie stanowi zaproszenia do złożenia oferty w rozumieniu art. 66 Kodeksu cywilnego, ani nie jest postępowaniem prowadzonym w trybie wynikającym z ustawy Prawo zamówień publicznych.
  5. 5. Za udział w Dialogu podmioty w nim uczestniczące nie otrzymują wynagrodzenia ani zwrotu kosztów.
  6. 6. Dialog jest prowadzony w sposób zapewniający zachowanie uczciwej konkurencji oraz na równi traktujący wszystkich uczestników Dialogu. Dialog będzie prowadzony do momentu, gdy NASK na podstawie uzyskanych od Uczestników Dialogu informacji, będzie mógł określić wymagania wobec rozwiązań zapewniających pełne przeprowadzenie audytu OSE.
  7. 7. NASK zastrzega sobie prawo do:

-  wyboru Uczestników Dialogu

- zakończenia Dialogu na każdym etapie bez podania przyczyn. W przypadku braku rozwiązań spełniających wszystkie kryteria, NASK zastrzega sobie prawo wyboru rozwiązań częściowo spełniających określone wymagania.

  1. 8. Udział w Dialogu nie jest warunkiem zaproszenia Uczestnika w przyszłości do potencjalnego przyszłego postępowania zakupowego.
  2. 9. W przypadku gdy informacje przekazywane NASK przez Uczestników Dialogu stanowią tajemnicę przedsiębiorstwa w rozumieniu art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tj. Dz. U. 2003 Nr 153, poz. 1503 ze zm.), powinny one być wyraźnie zastrzeżone przez podmiot udostępniający tj. Uczestnik Dialogu, nie później niż wraz
    z przekazaniem informacji NASK, musi zastrzec na piśmie, że przekazywane informacje nie mogą być udostępniane innym podmiotom.
  3. 10. W przypadku gdy informacje przekazywane NASK przez Uczestników Dialogu mają charakter utworu i Uczestnikowi przysługują do nich lub ich części autorskie prawa majątkowe, powinny one być jednoznacznie wskazane w przekazywanych materiałach.
  4. 11. NASK zastrzega sobie prawo do wykorzystania przekazanych przez Uczestników Dialogu informacji, opracowań w całości lub części, a także ich przetwarzania w celu opracowania najlepszej koncepcji przeprowadzenia audytu w Ogólnopolskiej Sieci Edukacyjnej (OSE).
  5. 12. Przystąpienie podmiotu do Dialogu jest równoznaczne z udzieleniem zgody na wykorzystanie przez NASK przekazywanych informacji do przygotowania koncepcji przeprowadzenia audytu
    w OSE.

VI. ZGŁOSZENIE DO UDZIAŁU W DIALOGU

  1. 1. Podmioty zainteresowane udziałem w Dialogu, proszone są o złożenie wypełnionego
    i podpisanego „Formularza zgłoszenia do udziału w DIALOGU TECHNICZNYM DOTYCZĄCYM AUDYTU SYSTEMÓW BEZPIECZEŃSTWA OSE prowadzonym przez NASK Państwowy Instytut Badawczy, wraz z ogólną koncepcją oferowanego rozwiązania, zwanego dalej Zgłoszeniem, którego wzór stanowi Załącznik nr 1 do niniejszego Ogłoszenia.
  2. 2. Na podstawie ogólnej koncepcji oferowanego rozwiązania przesłanej wraz ze Zgłoszeniem Zamawiający podejmie decyzję o zaproszeniu wybranych Wykonawców do rozmów w ramach Dialogu. Zamawiający poinformuje wybranych Wykonawców o zakwalifikowaniu do Dialogu wraz z wezwaniem do podpisania Porozumienia o Poufności.
  3. 3. Przed przystąpieniem do rozmów Wykonawcy będą zobowiązani do przekazania Zamawiającemu podpisanego Porozumienia o Poufności. 
  4. 4. Zgłoszenie i Porozumienie o Poufności powinno być podpisane kwalifikowanym podpisem elektronicznym przez osobę/y upoważnioną/e, w dokumentach rejestrowych podmiotu, do reprezentacji podmiotu przystępującego do Dialogu lub posiadającą odpowiednie pełnomocnictwo do dokonania niniejszej czynności prawnej udzielone przez osobę/y upoważnioną/e do reprezentacji podmiotu. W przypadku, gdy uprawnienie do reprezentacji podmiotu przystępującego do Dialogu nie wynika z dokumentów rejestrowych, NASK żąda, załączenia do zgłoszenia, odpowiedniego pełnomocnictwa podpisanego przez osobę/y której uprawnienie do reprezentacji wynika z dokumentu rejestrowego.
  5. 5. Zgłoszenia, oraz Porozumienia o Poufności w formacie .pdf opatrzone w kwalifikowany podpis elektroniczny należy składać:

drogą elektroniczną na adres e-mail: krzysztof.sulinski@nask.pl – z opisem w tytule DIALOG TECHNICZNY DOTYCZĄCY AUDYTU SYSTEMÓW BEZPIECZEŃSTWA OSE

Podmioty zainteresowane udziałem w dialogu technicznym mogą nadsyłać swoje zgłoszenia na formularzu zgłoszeniowym (Załącznik 1) do 17.11.2021 r.

NASK zastrzega sobie możliwość przedłużenia terminu do przesyłania zgłoszeń.

NASK opublikuje datę zakończenia Dialogu w osobnym ogłoszeniu, udostępnionym na stronie internetowej http://bip.nask.pl.

 

VII. KONTAKT

Osoba odpowiedzialna za prowadzenie Dialogu po stronie NASK:

Krzysztof Suliński

ul. Stawki 40

01-040 Warszawa

Tel. 539-524-993

e-mail: krzysztof.sulinski@nask.pl

 

VIII. ZAŁĄCZNIKI

Załącznik nr 1 - Formularz zgłoszeniowy do udziału w DIALOGU TECHNICZNYM DOTYCZĄCYM AUDYTU SYSTEMÓW BEZPIECZEŃSTWA OSE prowadzonym przez NASK Państwowy Instytut Badawczy.

Załącznik nr 2 - Porozumienie o Poufności.