Otrzymujemy mnóstwo zapytań z gmin dotyczących diagnozy cyberbezpieczeństwa. Wnioski dotyczące wyników postępowań są dla nas niepokojące. Jak wybrać wiarygodnego wykonawcę usługi gdy urząd nie wie czego szukać?
Nie jest tajemnicą, że w średnich i mniejszych gminach nie ma specjalistów od norm ISO, audytów SZBI, a informatycy z założenia nie są od tego. Zdajemy sobie sprawę, że przygotowanie postępowania zakupowego w tym obszarze nie jest łatwe. Co można zrobić, aby zapewnić jakość usługi na odpowiednim poziomie?
Poniżej znajdują się nasze propozycje dla warunków dodatkowych, którego mogą zostać zawarte w warunkach zakupowych.
- Wykonawca powinien wykazać na etapie oferty, że posiada normy, do których odnoszą się krajowe akty prawne dotyczące programu. Posiadanie norm potwierdzane jest dokumentem licencji Polskiego Komitetu Normalizacyjnego. Wykonawca, który posiada normy jest w stanie to wykazać.
- Wykonawca powinien wykazać na etapie oferty, że dysponuje zasobami do przeprowadzenia audytu zgodnie z rozporządzeniem do ustawy KSC. Na tym etapie powinny zostać przedstawione certyfikaty audytorów wiodących (nie jakichkolwiek audytorów), wystawione przez ośrodki certyfikujące lub inne certyfikaty wymienione w rozporządzeniu.
- Wykonawca powinien dokonać przeglądu dokumentacji bezpieczeństwa oraz zweryfikować zabezpieczenia w siedzibie zamawiającego (tego nie da się zrobić na odległość). Znaczna liczba zapytań od klientów dotyczy wykonania audytu online. Da się to zrobić, ale nie jest to rzetelny audyt (w przypadku wykonania wszystkich prac online).
- Wykonawca powinien zapewnić Zamawiającego, iż odrzucenie wyników diagnozy cyberbezpieczeństwa przez NASK z jego winy będzie skutkowało nieodpłatnym poprawieniem (uzupełnieniem) wyników diagnozy w ramach gwarancji.
- Wykonawca podczas realizacji diagnozy cyberbezpieczeństwa powinien być niezależny i nie ulegać ewentualnym wpływom Zamawiającego na proces. Dlatego preferowanym modelem prowadzenia diagnozy jest zaangażowanie audytora zewnętrznego.
Ogólne zapytanie ofertowe, w którym zamawiający oczekuje wyłącznie wypełnienia arkusza z diagnozą nie jest dobrym rozwiązaniem, podobnie jak jedynym kryterium najczęściej jest cena (100%). Diagnoza cyberbezpieczeństwa jest rozszerzonym audytem i niska cena nie powinna być jedynym kryterium wyboru oferenta. Diagnoza na odległość może zostać przeprowadzona, ale ważne jest zaufanie jednej i drugiej strony w wywiadzie.
Należy mieć na uwadze fakt, że diagnoza (ocena) bezpieczeństwa musi zostać po jej ukończeniu przekazana do NASK (NASK jest zespołem reagowania na incydenty dla administracji samorządowej). Jeżeli NASK podważy rzetelność audytu, środki finansowe mogą zostać cofnięte. Mogą też nastąpić inne konsekwencje jak konieczność powtórzenia diagnozy.