I. ZAMAWIAJĄCY

Ministerstwo Kultury i Dziedzictwa Narodowego
ul. Krakowskie Przedmieście 15
00-071 Warszawa
Fax: 22 8288773
Strona internetowa: https://www.gov.pl/web/kultura

Zgodnie z zasadami konkurencyjności Zamawiający zwraca się z prośbą o przedstawienie oferty na usługę Security Operations Center zgodnie z podanym poniżej Opisem Przedmiotu Zamówienia.

II. OPIS PRZEDMIOTU ZAMÓWIENIA

1. Przedmiotem zamówienia jest świadczenie usługi Security Operations Center
2. Usługa będzie świadczona w trybie 24/7 przez czas trwania umowy.
3. W ramach usługi Wykonawca będzie monitorował i reagował na zdarzenia na podstawie logów udostępnionych przez Zamawiającego ze wskazanych źródeł.
4. Czynności Wykonawcy w ramach usługi:
   1. 1. dostarczenie systemu klasy SIEM w modelu usługi,
      2. monitorowanie oraz analizowanie zdarzeń/incydentów,
      3. obsługa incydentów zgodnie z przyjętymi procedurami reakcji,
      4. analiza incydentów zgodnie z przyjętymi scenariuszami,
      5. scenariusze wymagające reagowania zgodnie z wytycznymi Zamawiającego,
      6. weryfikacja zgłoszeń od Zamawiającego.
5. W ramach usługi Wykonawca dostarczy system klasy SIEM spełniający następujące funkcje:
   1. 1. Środowisko SIEM/konsola centralna skonfigurowane i zarządzane w pełni przez Wykonawcę na jego serwerach. Zamawiający nie udostępnia swoich zasobów i nie mogą być one wymagane do działania systemu SIEM.
      2. Możliwość implementacji agenta monitorującego zasoby pod kątem optymalizacji, agent służy do komunikacji ze środowiskiem SIEM i gromadzenia logów w formie buforu, na wypadek zerwania połączenia pomiędzy Zamawiającym a Wykonawcą.
      3. Zaproponowane rozwiązanie musi umożliwić dodawanie kolejnych źródeł logów bez dokupywania lub dodawania kolejnych licencji. Koszty licencji muszą być stałe, wliczone w cenę usługi SOC i nie mogą zależeć od ilości danych.
      4. Rozwiązanie SIEM musi umożliwiać integrację z rozwiązaniami firm trzecich i nie może być zależne od ich typu licencji
      5. Rozwiązanie musi posiadać możliwość tworzenia reguł bezpieczeństwa w oparciu o machine learning, badając trendy w oparciu o wiele indeksów.
      6. Rozwiązanie SIEM powinno zapewniać instalację i konfigurację agenta do monitorowania endpointów pod kątem malware. Agent powinien działać na środowisku Windows i Linux.
      7. Rozwiązanie musi mieć możliwość reindeksowania (kopiowania danych z jednego indeksu do drugiego) bez konieczności zatrzymania procesu przesyłania logów.
      8. Rozwiązanie musi zapewnić możliwość budowania własnych pluginów w oparciu o JavaScript służący do weryfikacji lokalizacji adresu IP ale także nowych zupełnie indywidualnych (z poza już dostępnych do wyboru) form wizualizacji zdarzeń w dashboard.
6. Zamawiający wskazuje jako konieczność obsługę 6 różnych scenariuszy po stronie Wykonawcy zgodnie z wyznaczoną na etapie implementacji SOC ścieżką podłączenia źródeł logów. Scenariusz jest rozumiany poprzez zdefiniowanie warunków wywołania alarmu/incydentu na bazie logów ze źródeł podłączonych do SIEM. Przykład: wykrycie utworzenia użytkownika w AD oraz usunięcie go w krótkim czasie (np. 5 minut) od momentu utworzenia.
7. Kategoryzacja incydentów przez Wykonawcę:
   1. krytyczne – działania powodujące lub mogące powodować dotkliwe zakłócenia operacyjne lub straty finansowe, mogą też wpłynąć na inne osoby fizyczne lub prawne powodując szkody materialne lub niematerialne,
   2. nie krytyczne – pozostałe,
   3. false positive – zdarzenia nie będące incydentem i nie wymagające podjęcia działań
8. Czas reakcji to podjęcie działań przez operatorów SOC Wykonawcy w celu zdiagnozowania zdarzenia. Zamawiający wyznacza czas reakcji na wszystkie incydenty (niezależnie od kategorii, wskazane w punkcie 6):
   1. podjęcie reakcji do 60 minut od momentu wystąpienia zdarzenia/incydentu,
   2. przekazanie rekomendacji lub działań naprawczych do 180 minut od rozpoczęcia reakcji, 
   3. szczegółowy raport ze zdarzenia/incydentu do 24h po jego wystąpieniu. 
9. Obsługa zdarzeń/incydentów będzie realizowana przez zespół SOC Wykonawcy w oparciu o najlepsze praktyki i wiedzę.
10. Wykonawca jest zobowiązany do przesyłania cyklicznych raportów oraz raportowania wykonania usługi poprzez:
    1. dostęp do systemu ticketowego gdzie Zamawiający może przeglądać zdarzenia/incydentu,
    2. dostęp do dedykowanych dashboardów – dwóch - które Zamawiający może wykorzystać do obserwacji – dashboardy zostaną dostarczone przez Wykonawcę w formie nieedytowalnej przez Zamawiającego. Wskazane dashboardy będą zawierać przyjęte przez SIEM Wykonawcy logi zakwalifikowane do kategorii zgodnie z punktem 6 specyfikacji,
    3. dedykowany raport ze zdarzenia/incydentu do 24h od jego wystąpienia, 
    4. raz w miesiącu raport zbiorczy z całego miesiąca przygotowany do 5 dnia każdego nowego miesiąca,
    5. raz w miesiącu spotkanie (forma zdalna/online) omawiająca przesłany raport miesięczny – spotkanie w II tygodniu roboczym nowego miesiąca, czas trwania min 60 minut,

10. 6. raporty muszą być dostarczane w formie zaszyfrowanej za pośrednictwem poczty e-mail wraz z przesłaniem hasła w wiadomości SMS do otwarcia zaszyfrowanego załącznika – Zamawiający wymaga aby hasło było zmieniane co 3 miesiące i wysyłane w wiadomości SMS na wskazany przez Zamawiającego numer telefonu.
11. Wykonawca będzie w zakresie zidentyfikowanego incydentu krytycznego współpracował z Zamawiającym celem rozpoznania, zebrania danych i przeciwdziałania. 
12. Wykonawca będzie na bieżąco przekazywał rekomendacje odnośnie dopracowania procesów bezpieczeństwa i działania infrastruktury IT Zamawiającego.
13. Wykonawca w celu świadczenia usługi i zbierania logów musi dostarczyć rozwiązanie klasy SIEM w formie usługi. Wszelkie licencje będą po stronie Wykonawcy. 
14. Wykonawca zapewni również pełną infrastrukturę do obsługi systemu klasy SIEM, wraz z wdrożeniem wszystkich niezbędnych parserów, przygotowania reguł korelacji oraz obsługę incydentów a także udostępnienie niezbędnych dashboardów Zamawiającemu.
15. Zamawiający wskazuje jako źródła dla logów następujące systemy:

1. ESET Inspect
2. Fortigate

16. Wykonawca będzie realizował usługę w oparciu o źródła logów. Usługa nie może być zależna od ilości pracowników, sprzętu czy wielkości infrastruktury Zamawiającego. W trakcie trwania usługi Zamawiający dopuszcza możliwość rozbudowy swojej infrastruktury i personelu co nie może mieć wpływu na koszt świadczonej przez Wykonawcę usługi.
17. Logi zebrane ze wskazanych przez Zamawiającego źródeł będą składowane przez Wykonawcę przez okres 3 miesięcy w formie zaszyfrowanej. Miejsce składowanie logów musi zostać wskazane w ofercie. 
18. Wykonawca zapewni składowanie logów w dwóch fizycznie oddzielonych lokalizacjach. W każdej lokalizacji Wykonawca musi dysponować redundantnym zasilaniem i bazować w oparciu o dwóch niezależnych dostawców usług internetowych. W docelowej lokalizacji (głównej) Wykonawca zapewni również wsparcie agregatem prądotwórczym.  Zamawiający nie dopuszcza aby logi były składowane, przetrzymywane, korelowane lub analizowane w oparciu o systemy chmurowe. Wszystkie przesłane logi musza być zbierane i zabezpieczone w infrastrukturze będącej własnością Wykonawcy. Wykonawca do celu przesyłania logów zestawi odpowiednie połączenia IPsec z Zamawiającym.

Po wykorzystaniu puli godzin Zamawiający będzie mógł wykorzystać kolejne godziny w ramach płatnej usługi stanowiącej część oferty.

Wymagania formalne Security Operations Center

1. Wykonawca oświadcza, że dysponuje następującym zespołem do realizacji usług. Security Operations Center:
   1. 1. analitycy SOC – min 7 osób
      2. SOC manager – min 1 osoba, 
      3. compliance – min 2 osoby, 
      4. konsultanci – min 2 osoby, 
      5. project manager – min 1 osoba.
2. Zamawiajacy wymaga aby zespół był w całości dostępny po stronie Wykonawcy. Zamawiajacy nie dopuszcza możliwości wypożyczenia lub posługiwania się w zakresie tego postępowania zespołem podwykonawców. 
3. Wykonawca musi spełniać wymagania posiadania minimum 8 certyfikatów dla zespołów z punktu 1, z listy certyfikatów. Zamawiający dopuszcza użycie certyfikatów równoważnych dla niżej wskazanych przy 100% pokryciu założeń programowych (teoria i praktyka):
   1. CompTIA Network+
   2. CompTIA Security+
   3. EC - Fudamentals of Networking Concepts, Protocols, and Security
   4. EC - Planning and Implementing a Security Incident Response
   5. EC - Practical Cyber Threat Intelligence
   6. EC - Project Management for Cybersecurity Professionals
   7. CEH (certified ethical hacker)
   8. OSCP (offensive security certified professional)
   1. eWPT (web application penetration tester)
   10. eWPTX (web application penetration tester eXtreme)
4. Z uwagi na to, że ESET Inspect jest kluczowy dla funkcjonowania Zamawiającego wymaga on aby:
   1. Wykonawca reagował na incydenty poprzez ESET Inspect
   2. Udzielał miesięcznego wsparcia w zakresie tuningu, pisania wykluczeń oraz wsparciu Zamawiającego w rozwiązywaniu problemów technicznych dla ESET Inspoct. W tym celu musi posiadać minimum 2 inżynierów, z doświadczeniem minimum 2 letnim w obsłudze technologii ESET (Protect oraz Inspect) mających certyfikaty w zakresie: Certified ESET Managed Client Security Specialist, Certified ESET Technical Support Specialist, Certified ESET Managed Cloud Security Specialist, Certified ESET Inspect Optimalization Specialist, ESET Enterprise Inspector Certified Deployment Specialist
5. Wykonawca chcący ubiegać się o świadczenie usługi Security Operations Center musi posiadać ważny i aktualny certyfikat obejmujący swoim zakresem świadczoną przez niego usługę Security Operations Center: 
   1. ISO 27001 
   2. ISO 22301
6. Wykonawca musi dbać o jakość swoich usług potwierdzone aktualnym certyfikatem ISO 9001 wraz z wdrożonym Wewnętrznym Systemem Kontroli.
7. Wykonawca musi wykazać – potwierdzone odpowiednią referencją – że świadczy lub świadczył - usługę Security Operations Center u minimum 2 klientów, w tym jeden to klient publiczny z infrastrukturą powyżej 500 końcówek.
8. Termin rozpoczęcia świadczenia usługi: 17.12.2025 r.,

III. TERMIN WYKONANIA ZAMÓWIENIA

Termin wykonania przedmiotu zamówienia: 12 miesięcy bez możliwości automatycznego przedłużenia umowy na czas nieokreślony.

IV. OPIS SPOSOBU PRZYGOTOWANIA OFERTY

Oferent tworzy ofertę na własnym, dostosowanym do niej formularzu. Oferent dopuszcza możliwość przedstawienia oferty w podziale na:

1. płatności cykliczne (np. co miesiąc),
2. płatności za konkretne czynności (po okazaniu i potwierdzeniu wykazu płac)
3. całość usługi (jednorazowa płatność za świadczenie usługi przez cały okres trwania umowy)

V. MIEJSCE ORAZ TERMIN SKŁADANIA OFERT

1. Oferta powinna być przesłana za pośrednictwem: poczty elektronicznej na adres: bdg@kultura.gov.pl do 14.11.2025 do godziny 13⁰⁰. W tytule należy wpisać: „Oferta na usługę Security Operations Center dla MKiDN”
2. Ocena ofert zostanie dokonana w dniu  roku 17.11.2025r.
3. Oferty złożone po upływie powyższego terminu nie będą brane pod uwagę. Ważność złożonej oferty to minimum 45 dni.
4. Oferent może przed upływem terminu składania ofert zmienić lub wycofać swoją ofertę.
5. W toku badania i oceny ofert Zamawiający może żądać od oferentów wyjaśnień dotyczących treści złożonych ofert.

VI. OCENA OFERT

Zamawiający dokona oceny ważnych ofert na podstawie następującego kryterium:

• Cena maks. 100 pkt. 

Sposób obliczenia punktów:

• Cena: 
  (cena z najtańszej oferty/cena z badanej oferty) * 100 pkt

Zamawiający wybierze najkorzystniejszą ofertę z ofert niepodlegających odrzuceniu. Za najkorzystniejszą zostanie uznana oferta z najwyższą liczbą punktów.

VII. INFORMACJE DOTYCZĄCE WYBORU NAJKORZYSTNIEJSZEJ OFERTY

Zamawiający zawiadomi za pośrednictwem poczty elektronicznej oferenta, który złożył najkorzystniejszą ofertę.

VIII. DODATKOWE INFORMACJE

Dodatkowych informacji w kwestiach technicznych udzielają:

• Piotr Kosieradzki, +48 (22) 42 10 467, pkosieradzki@kultura.gov.pl
• Łukasz Majewski, +48 (22) 42 10 224, lmajewski@kultura.gov.pl

Dodatkowych informacji w kwestiach terminowych i ekonomiczno-finansowych udziela:

• Kacper Sulewski, +48 734 114 788, ksulewski@kultura.gov.pl