Tijdelijke opdracht: Aanvraag Dienst Pentesten
Tijdelijke opdracht: Aanvraag Dienst Pentesten
(opdrachtnummer:3.32)
Graag nodigen wij u uit om een offerte uit te brengen voor de dienst van Pentesten bij gemeente Gouda. Gemeente Gouda beoogt een Nadere Overeenkomst af te sluiten op basis van de Raamovereenkomst GGI veilig – “Security Expertisediensten” perceel 3.
We richten ons in deze uitnodiging uitsluitend tot gecontracteerde Opdrachtnemers van GGI veilig “Security Expertisediensten” perceel 3.
Op deze offerteaanvraag is de Raamovereenkomst GGI veilig “Expertise diensten” (Perceel 3) en alle bijbehorende documentatie van toepassing, die als bijlage bij de offerteaanvraag beschikbaar is gesteld op CTM Solution. Verder zijn de ARVODI-2018 voorwaarden van toepassing. Eventuele afwijkingen op ARVODI-2018 worden benoemd in de raamovereenkomst.
De gepubliceerde offerteaanvraag op CTM Solution met aanbestedingsnummer 254753 is leidend boven elders gepubliceerde documenten. De eisen en wensen zijn bij eventuele discrepanties leidend boven het gestelde in de profieltekst.
Specifieke gegevens aanvraag Dienst | |
Expertise gebied | Keuze uit: SIEM proces Compliancy Vulnerability Pentesten Forensics* Hardening ICT Infrastructuur |
Plaats tewerkstelling | Gouda |
Gewenste startdatum | 14-12-2020 (in overleg) |
Tussentijdse oplevertermijnen (optioneel) | Datum: Resultaat: |
Einddatum | 31-12-2020 |
Contractvorm | Vaste prijs Nacalculatie (met plafond) |
Spoedprocedure | Ja (alleen in geval van Forensics) Nee |
*Gebruik uitkomst onderzoek voor strafrechtelijke vervolging | Ja, de uitkomst van het forensisch onderzoek wordt voor strafrechtelijke vervolging gebruikt Xxx, uitkomst wordt niet strafrechtelijk gebruikt (let op: Indien Ja, uitkomst wordt gebruikt voor strafrechtelijke vervolging, zijn speciale opleidingen en accreditaties benodigd. Deze dienen te worden ingevuld bij 2. Eisen) |
Voorgenomen planning | |
Verzending offerteaanvraag | 5 november 2020 |
Uiterste datum stellen vragen | 10 november 2020, 12:00 uur |
Uiterste verzenddatum beantwoorden vragen | 12 november 2020 |
Uiterste datum indienen offertes | 26 november 2020, 12:00 uur |
Beoordeling van offertes en voorgenomen gunning | 3 december 0000 |
Xxxxxxxxxxxx termijn | 3 december 2020 |
Definitieve gunning | 11 december 2020 |
1. Specificatie
1.1 Over gemeente Gouda
De gemeente Gouda ligt in de provincie Zuid-Holland en heeft ongeveer 75.000 inwoners. Het stadskantoor staat in Gouda en verzorgt de (digitale) dienstverlening aan de burgers.
Het is daarom belangrijk dat de websites en de netwerkinfrastructuur voldoen aan de juiste beveiligingsstandaarden. Een pentest kan ons inzicht geven in de kwaliteit van de huidige inrichting en beveiliging.
1.2 Over afdeling IenA
De ICT-infrastructuur wordt gefaciliteerd vanuit het stadskantoor in Gouda en een dislocatie. De twee omgevingen zijn gespiegeld. De dislocatie is met het hoofdkantoor verbonden door middel van een gesloten glasvezelnetwerk.
Er wordt gebruikgemaakt van Windows 2016/2019 servers incl. een Citrix/Ivanti omgeving voor het benaderen van de toepassingen. Daarnaast maken we gebruik van een aantal Linux Centos servers. De medewerkers werken altijd via
Citrix: in het stadskantoor op een thin client of een chromebook. Thuis op een eigen pc via Citrix Netscaler. Telefoneren gebeurt via de eigen telefooncentrale met een smartphone.
De on-premise omgeving bestaat uit fysieke servers (Cisco UCS) ten behoeve van VMware, Citrix en Oracle. Daarnaast is een Metrocluster Netapp voor centrale opslag beschikbaar. Verder wordt er in toenemende mate gebruik gemaakt van SAAS toepassingen.
Naast de gemeente Gouda verzorgt de afdeling IenA als “ICT Gouwe-IJssel” ook de automatisering voor andere gemeenten: op dit moment Waddinxveen en Zuidplas en vanaf medio 0000 XXxxxxxxxxx en Montfoort.
1.3 Omschrijving van de gevraagde dienst
De gemeente Gouda wil graag het interne netwerk laten onderzoeken op uit te buiten kwetsbaarheden waarbij er een kans bestaat dat een externe aanvaller zich toegang kan verschaffen tot systemen, deze kan misbruiken en/of verstoren.
Scope interne pentest
Interne netwerkscan/pentest
Er wordt allereerst geprobeerd om in het openbare gedeelte van het stadskantoor toegang te krijgen tot het interne netwerk.
Vervolgens wordt geprobeerd om het personeelsgedeelte van het stadskantoor in te komen via insluiping. Dit gedeelte van het gebouw is afgesloten door deuren, die geopend worden met een toegangspas.
Wanneer de poging wordt opgemerkt door b.v. beveiliging of het niet niet lukt om binnen te komen in het personeelsgedeelte kan er gebeld worden met het servicepunt in het stadskantoor die toestemming/toegang zal verlenen.
Eenmaal binnen wordt er geprobeerd om het interne netwerk op te komen en daar:
• actieve netwerkcomponenten zoals routers, switches, servers, PCs e.d. te controleren,
• de programma's en services te analyseren,
• routering en protocollen te controleren
• te controleren op configuratiefouten, patches/bugfixes, firmware zwakheden e.d.
• toegang tot de interne systemen te verkrijgen.
WIFI scan / pentest
Er wordt getracht het wifi netwerk binnen te dringen en gegevens te onderscheppen.
Buiten scope:
• DoS/DDoS en overige tests die de beschikbaarheid van de omgeving testen
zijn geen onderdeel van de test en vallen buiten scope.
• Alternatieve manieren om inlogcredentials te achterhalen of malware te laten installeren zoals onder andere:
o Social engineering
o Mystery guest
o USB sticks met malware
o Phishing mail
De test wordt uitgevoerd op productiesystemen en voorkomen dient te worden dat integriteit en beschikbaarheid van een systemen gevaar loopt.
Daadwerkelijke uitvoering graag in overleg om te voorkomen dat het samenvalt met een kritieke periode.
1.4 Resultaat van de gevraagde dienst
1.4.1 Beoogde resultaat
Uitgangspunten resultaat:
• Het adviesgesprek, eindrapportage en presentatie vindt via Zoom plaats.
• Alle rapporten, gesprekken en presentaties zijn bij voorkeur in het Nederlands
en anders in het Engels.
Het gewenste resultaat van de pentest is als volgt:
• In de rapportage van de pentest staat beschreven volgens welke belangrijke digitale toegangspaden is getest, op welke wijze dit is gebeurd en welke tools hiervoor zijn gebruikt.
• Het rapport beschrijft de gebruikte applicaties (inclusief versienummer), de parameters die zijn gebruikt bij de tests, het tijdstip waarop de test is
uitgevoerd, een toelichting per gevonden verbeterpunt en een inschatting van de prioriteit per verbeterpunt.
• De bevindingen van de test worden ingedeeld volgens een beoordelingssysteem dat gaat van laag, gemiddeld, hoog tot kritiek.
• Verder bij elke bevinding een advies over te nemen maatregelen om de eventueel geconstateerde risico’s technisch en/of organisatorisch te ondervangen, op basis van de CVSS standaard.
1.4.2 Beschrijving van de vorm van het resultaat
Het resultaat dient een rapport te zijn dat in een presentatie wordt toegelicht. Aan de rapportage worden geen verder eisen gesteld.
Opdrachtnemer is na oplevering van het definitieve rapport nog 1 maand beschikbaar voor het beantwoorden van vragen.
2. Beoordelings- en gunningsprocedure
In dit hoofdstuk zijn achtereenvolgens beschreven: de beoordelingsprocedure, de gunningsprocedure en de mogelijkheden om naar aanleiding van de gunningsbeslissing vragen te stellen of bezwaar in te dienen.
2.1 Beoordelingsprocedure
Er wordt eerst inhoudelijk gecontroleerd of de inschrijvingen voldoen aan de eisen. Inschrijvingen, die niet aan de eisen voldoen, worden niet verder in behandeling genomen. Het ontbreken van informatie of antwoorden, bijvoorbeeld door onjuiste of onvolledige overname van overzichten, gegevens en verklaringen, is voor eigen risico van de opdrachtnemer, en kan leiden tot uitsluiting.
In de eerste plaats worden de aanbiedingen beoordeeld op het voldoen aan de gestelde eisen. Bij twijfel over de juistheid van antwoorden kan telefonisch contact worden opgenomen voor verificatie. Als voor een bepaald aspect uitdrukkelijk bewijs in het plan van aanpak is gevraagd en dat bewijs ontbreekt (in de ogen van de beoordelaar), dan kan zonder verificatie worden besloten de offerte terzijde te leggen.
2.2 Programma van Eisen
Hieronder worden de eisen beschreven die van toepassing zijn op deze opdracht. Voor de wijze waarop deze eisen moeten worden beschreven wordt verwezen naar de invulinstructie.
Programma van Xxxxx Uit het aangeleverde uitvoeringsvoorstel blijkt minimaal dat de aanbieding van de Opdrachtnemer aantoonbaar beschikt over: |
• Kandidaat tekent een Geheimhoudsverklaring. |
• Kandidaat levert na gunning een VOG aan die niet ouder is dan 3 jaar en die getoetst is op het type uit te voeren werkzaamheden. |
• Opdrachtnemer zet enkel pentesters in die minimaal voldoen aan het profiel: • in de afgelopen 2 jaar minimaal 5 pentesten zelfstandig • uitgevoerd • minimaal 2 jaar ervaring met het uitvoeren van pentesten • minimaal 2 jaar ervaring in rapporteren van bevindingen en • adviseren van maatregelen • kennis van professionele tooling (Zoals o.a. Metasploit) • kennis van handmatig uitvoeren van pentesten • communicatie, rapportage en presentatie in de Nederlandse taal |
2.3 Kwaliteit |
Nadat de inschrijvingen zijn gecontroleerd op de eisen, worden de wensen (lees: kwaliteit) beoordeeld.
De score op de wensen (kwaliteit) telt voor 70% mee.
Kwaliteit wordt voor de uitvraag van een opdracht beoordeeld door middel van een Plan van Aanpak (ook wel uitvoeringsvoorstel genoemd). In het Plan van Xxxxxx dient de Opdrachtnemer per gekozen onderwerp aan te geven op welke manier zo optimaal mogelijk wordt aangesloten op de door de deelnemer gevraagde dienstverlening.
2.3.1 Onderwerpen Plan van Xxxxxx
Ieder onderwerp in het Plan van Xxxxxx heeft een wegingsfactor op basis van relevantie ten behoeve van het bepalen van de totaalscore. De totaalscore moet altijd op 100% eindigen.
Scoretabel voor programma van eisen | Xxxxxxxx aantal punten | Wegingsfactor | Maximaal A4 per antwoord | |
1 | Beschrijving onderzoeks-/auditaanpak | 100 | 20 | 1 |
2 | Beschrijving technieken en tools | 100 | 20 | 1 |
3 | Stappenplan, met activiteiten in volgorde en doorlooptijd | 100 | 30 | 3 |
4 | Beschrijving ingezette kwaliteitsnormen | 100 | 20 | 1 |
5 | Omschrijving integriteit en screening medewerkers | 100 | 10 | 1 |
Totaal 100% | ||||
Voor de wijze waarop deze wensen kunnen worden beschreven wordt verwezen naar de invulinstructie.
2.3.2 Beoordeling Kwaliteit
Omwille van de objectiviteit worden de kwalitatieve subgunningscriteria beoordeeld op het moment dat de beoordelaars nog geen kennis hebben van de prijzen. Voor de beoordeling van het plan van aanpak wordt een meetinstrument gehanteerd dat gebruik maakt van rapportcijfers. Per onderwerp van het Plan van Xxxxxx wordt een score toegekend, dit gebeurt door de individuele beoordelaars.
Er wordt beoordeeld conform onderstaande tabel. Onderstaande tabel is uitputtend en zal door alle beoordelaars worden toegepast. Andere rapportcijfers en getallen achter de komma worden niet toegekend door de individuele beoordelaars.
Rapportcijfer | Toelichting |
100 | Uitstekend, beantwoording voldoet volledig aan het gevraagde, blijk geeft het gevraagde volledig te doorgronden, optimaal bijdraagt aan het gewenste resultaat en adequaat inspeelt op de specifieke situatie van de Deelnemer. De beantwoording is tevens concreet en realistisch. |
62,5 | Goed, beantwoording voldoet goed aan het gevraagde, sluit goed aan bij de behoeften en wensen van Deelnemer en geeft blijk van goed inzicht in de situatie van de Deelnemer. Beantwoording is concreet en realistisch. |
25 | Voldoende, beantwoording sluit grotendeels aan bij het gevraagde en sluit redelijk aan bij behoeften en wensen van Deelnemer, of beantwoording is in beperkte mate concreet en/of realistisch. |
0 | Onvoldoende, beantwoording voldoet onvoldoende aan het gevraagde en/of sluit onvoldoende aan bij behoeften en wensen van aanbestedende dienst, of beantwoording is niet concreet en/of niet realistisch. |
Het plan van aanpak wordt door minimaal twee beoordelaars beoordeeld. In een plenair overleg worden de argumenten die hebben geleid tot de individuele punten besproken. Daarna komt het beoordelingsteam in consensus tot een unaniem oordeel inclusief motivatie.
4. Prijs
Inschrijvers dienen het bijgevoegde Prijzenformulier (bijlage 2) volledig in te vullen en op het aanbestedingsplatform te uploaden als .xls(x)- en .pdf-bestand. Het niet volledig invullen of wijzigen van het Prijzenformulier kan leiden tot uitsluiting van de inschrijving. Het is enkel toegestaan positieve bedragen in te vullen. De prijsopgave dient in Euro’s (€) (op twee (2) decimalen) en exclusief BTW te geschieden. Eventuele kortingen moeten verwerkt zijn in uw offerte.
Tenzij uitdrukkelijk anders bepaald in de documenten van de offerteaanvraag zijn prijzen all-in en exclusief BTW. Indexering van aangeboden prijzen is niet mogelijk conform het bepaalde in de Overeenkomst.
De inschrijving die de laagste inschrijfprijs heeft aangeboden, krijgt de maximale score van 100 punten voor de prijs. Alle overige inschrijvers worden gerelateerd aan de inschrijving met de laagste prijs (afgerond op hele punten) middels de volgende formule:
Score prijs = totaal prijs laagste inschrijving x 100 totaalprijs uw inschrijving
Bovenstaande geldt ook voor de situatie waarin wordt aangeboden op basis van nacalculatie met plafondprijs. De plafondprijs wordt in dat geval als totaalprijs gebruikt.
De score op prijs telt voor 30% mee.
5. Gunningsmethodiek
De ontvangen offertes worden beoordeeld op 1) het voldoen aan de Raamovereenkomst en 2) het voldoen aan de gestelde minimumeisen. Voldoen de ontvangen offerte(s) aan de Raamovereenkomst en de gestelde minimumeisen en zijn ze evenmin onregelmatig en/of onaanvaardbaar en/of niet geschikt, dan worden die offerte(s) beoordeeld op de gunningscriteria Kwaliteit. Na ontvangst van het subgunningscriteria Kwaliteit zal deze score in CTM worden gecombineerd met de score voor Xxxxx.
Er wordt vervolgens wordt gegund op grond van de Economisch Meest Voordelige Inschrijving.
De prijs-/kwaliteitsverhouding is 30%/70%.
De Totaalscore van een Inschrijving wordt daarbij als volgt berekend: Totaalscore = 30% x score Prijs + 70% x score Kwaliteit
De Inschrijver met de hoogste totaalscore heeft de economisch meest voordelige inschrijving gedaan en eindigt daardoor als 1e in de rangorde.
Alle inschrijvers ontvangen via CTM bericht over de gunningsbeslissing.
De inschrijvers van wie de inschrijving is afgewezen ontvangen in ditzelfde bericht de motivering van de afwijzing, waarbij de naam van de Opdrachtnemer, die de beste prijs- kwaliteitverhouding heeft gedaan, wordt vermeld alsmede de kenmerk(en) en voorde(e)l(en) van de winnende inschrijving ten opzichte van hun eigen inschrijving.
Vanaf de datum van verzending van de gunningsbeslissing wordt voor de overeenkomst wordt gesloten, een wachttijd van vijf (5) werkdagen in acht genomen. Gedurende deze wachttijd is er gelegenheid tot het stellen van vragen en om uw bezwaren ten aanzien van deze gunningsbeslissing kenbaar te maken door betekening van een dagvaarding aan de contactpersonen, VNG Realisatie verzoekt u uw vragen zo vroeg mogelijk te stellen, zodat deze ruim voor het einde van de termijn van vijf (5) werkdagen kunnen worden beantwoord.
Indien na het verstrijken van deze termijn van vijf (5) werkdagen geen bezwaren zijn ingediend, zal de Nadere Overeenkomst worden opgesteld.
Volledigheidshalve wordt daarbij benadrukt dat de (definitieve) gunningsbeslissing geen aanvaarding inhoudt in de zin van artikel 6:217, eerste lid, van het Burgerlijk Wetboek. Dat houdt in, dat tot het moment waarop de Nadere Overeenkomst door Deelnemer en Leverancier in CTM is getekend, de Deelnemer zich te allen tijde het recht voorbehoudt om deze procedure vanwege haar moverende redenen tussentijds te beëindigen. Daarbij kan de betreffende Deelnemer niet aansprakelijk worden gesteld voor door Inschrijver(s) geleden schade of tot een (on)kostenvergoeding worden verplicht door Inschrijver(s).
Voorbeelden (niet limitatief) voor het beëindigen van de procedure zijn onder meer de situaties waarin de ingediende aanbiedingen of de gevoerde gesprekken, niet leiden tot een in haar ogen passend aanbod, alsmede de situatie waarin de economisch meest voordelige offerte het budget van de Deelnemer overschrijdt.
6. Reageren?
U kunt uw belangstelling uitsluitend kenbaar maken via het DAS (Dynamisch Aankoop Systeem) waarvan VNG Realisatie gebruikmaakt: xxxx://xxx.xxxxxxxxxxx.xx/xxxxxxx/xxx- vngrealisatie
Reacties van gecontracteerde opdrachtnemers die niet via dit DAS lopen, worden niet in behandeling genomen.
Na gunning van deze aanvraag, worden ingestuurde documenten (zoals cv en plan van aanpak) van niet gegunde partijen zowel op CTM Solution als intern definitief verwijderd.