Trminos de Referencia

CONTRATACIN DE CONSULTORA PARA REALIZAR UN DIAGNSTICO DE VULNERABILIDADES DE LA ACTUAL PLATAFORMA TECNOLGICA DEL ORGANIZACIN QUE SERVIR COMO INSUMO EN LA ELABORACIN DEL EXPEDIENTE TCNICO DEL PIP 204460

Octubre 2013

Pgina 1 de 8

Identificacin del documento

ROL Elaboracin Revisin Revisin NOMBRE CARGO FECHA

Aprobacin

Control de versiones
FECHA DE CAMBIO

VERSIN 1.0 1.1 1.2

DESCRIPCIN DEL CAMBIO

MODIFICADO POR

REVISADO POR

APROBADO POR

Pgina 2 de 8

Tabla de contenido
1. 2. 3. 4. 5. 6. 7. 8. 8.1. 8.2. 8.3. 8.4. 8.5. REA USUARIA SOLICITANTE ................................................................................................................................... 4 DENOMINACIN DE LA CONTRATACIN ................................................................................................................ 4 OBJETO DE LA CONTRATACIN ............................................................................................................................... 4 INCLUIDO EN EL PAC................................................................................................................................................ 4 DESCRIPCIN DEL PROCESO DEL PAC...................................................................................................................... 4 FINALIDAD PBLICA................................................................................................................................................. 4 REPORTE DE REQUERIMIENTO EN EL SIGA.............................................................................................................. 4 TRMINOS DE REFERENCIA ..................................................................................................................................... 5 Condiciones de funcionamiento de la Solucin....................................................................................................... 5 Descripcin de las condiciones especficas de la Consultora a realizar .................................................................. 5 Perfil del Consultor .................................................................................................................................................. 5 Entregables .............................................................................................................................................................. 5 Condiciones adicionales .......................................................................................................................................... 6

8.5.1. Reglamentos tcnicos .............................................................................................................................................. 6 8.5.2. Documentacin ....................................................................................................................................................... 6 9. 10. 11. 12. PLAZO DE EJECUCIN .............................................................................................................................................. 6 LUGAR DE LA PRESTACIN ...................................................................................................................................... 6 CONDICIONES Y MODALIDAD DE PAGO (ART. 180 Y 182 DEL REGLAMENTO) ..................................................... 6 RECEPCIN Y CONFORMIDAD (ART. 176 Y 177 DEL REGLAMENTO) .................................................................... 7

12.1. Recepcin ................................................................................................................................................................ 7 12.2. Conformidad tcnica ............................................................................................................................................... 7 13. 14. 15. 16. PLAZO MXIMO DE RESPONSABILIDAD DEL CONSULTOR ...................................................................................... 7 NOMBRE, ANEXO Y/O TELFONO DEL RESPONSABLE DE LAS COORDINACIONES REFERIDO A LA .......................... ADQUISICIN DEL SERVICIO .................................................................................................................................... 7 PROPIEDAD INTELECTUAL ....................................................................................................................................... 7 OTRAS CONDICIONES ADICIONALES........................................................................................................................ 7

Pgina 3 de 8

TRMINOS DE REFERENCIA PARA LA CONTRATACIN DE CONSULTORAS

1.

REA USUARIA SOLICITANTE La Oficina de Informtica de la ORGANIZACIN.

2.

DENOMINACIN DE LA CONTRATACIN Contratacin de una Consultora para realizar un diagnstico de vulnerabilidades de la actual plataforma tecnolgica del ORGANIZACIN que servir como insumo en la elaboracin del expediente tcnico del PIP 204460.

3.

OBJETO DE LA CONTRATACIN Esta contratacin se realiza con dos objetivos concretos: a) Establecimiento de una lnea base que sirva para la configuracin de los componentes de seguridad considerados en el PIP 204460 (Componente 03, Equipos de Seguridad de la Informacin), con el fin de prever e identificar la condicin actual de riesgo referida a la seguridad de la informacin de la plataforma tecnolgica y evitar transferirlos a la nueva plataforma. Esta lnea base servir por tanto como insumo en la Elaboracin del Expediente Tcnico del Proyecto de Inversin Pblica (PIP) 204460, Mejoramiento de la capacidad operativa de la plataforma informtica del ORGANIZACIN a nivel nacional. b) Cumplimiento de la NTP ISO/IEC 27001:2008 EDI Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de gestin de seguridad de la Informacin. Requisitos, de cumplimiento obligatorio por la RM N 129-2012-PCM en todas las entidades integrantes del Sistema Nacional de Informtica.

4.

INCLUIDO EN EL PAC No est incluido.

5.

DESCRIPCIN DEL PROCESO DEL PAC No disponible.

6.

FINALIDAD PBLICA Cuenta con planes y proyectos para la atencin del sistema educativo nacional y aplica las Tecnologas de la Informacin y Comunicaciones (TIC) con la finalidad de optimizar sus procesos de gestin institucional, de brindar un mejor servicio a los usuarios del sector y de alcanzar sus objetivos estratgicos institucionales a la par que apoya los objetivos del Estado peruano. El PIP 204460, denominado Mejoramiento de la capacidad operativa de la plataforma informtica del ORGANIZACIN a nivel nacional, tiene como fin apoyar los planes estratgicos institucionales en beneficio de la sociedad educativa a nivel nacional, y agilizar los procesos que permiten cumplir con los objetivos trazados en el Plan Estratgico Sectorial Multianual (PESEM) 2012-2016, aprobado mediante RM N 0518-2012-ED.

7.

REPORTE DE REQUERIMIENTO EN EL SIGA No disponible.

Pgina 4 de 8

8.

TRMINOS DE REFERENCIA 8.1. Condiciones de funcionamiento de la Solucin El Consultor realizar el anlisis de vulnerabilidades desde un ambiente controlado y seguro. El Consultor proporcionar como parte de su propuesta una descripcin del ambiente que emplear, del aseguramiento del mismo y del tipo de control que ejercer y medios que emplear para este control durante la ejecucin del anlisis de vulnerabilidades. La fecha y hora de la ejecucin del anlisis de vulnerabilidades ser acordada con la OFICINA DE INFORMTICA. La OFICINA DE INFORMTICA proporcionar la autorizacin necesaria para el inicio del anlisis de vulnerabilidades. 8.2. Descripcin de las condiciones especficas de la Consultora a realizar El Consultor entiende y acepta que deber elaborar su entregable con base en lo siguiente: a) Realizacin de una Auditora de seguridad o hacking tico de caja negra del portal web del ORGANIZACIN, desempendose como un eventual pirata informtico. Esta auditora considerar: o o o o o b) Inspeccin manual y recoleccin de informacin del sitio web elegido. Realizacin de pruebas con herramientas automticas. Revisin de los resultados de las herramientas automticas y comprobacin manual de los resultados. Elaboracin del informe ejecutivo correspondiente. Elaboracin del informe detallado correspondiente En este informe se presentarn tanto las no conformidades como las acciones correctivas para solventarlas.

Identificacin y utilizacin de una metodologa para pruebas, reconocida por la industria.

Se valorarn posibles mejoras. No se incluyen en el alcance de esta propuesta la revisin de otras aplicaciones, la implementacin de las medidas correctoras que sean propuestas, auditoras estticas del cdigo, la extensin de la auditora a otros portales corporativos, ni ningn otro servicio que no est explcitamente indicado en este documento. 8.3. Perfil del Consultor Experiencia mnima de tres (03) aos en la ejecucin de anlisis de vulnerabilidades, ya sea para empresas pblicas o privadas. Contar con alguna de las certificaciones siguientes: a) b) c) CISA (Certified Information Systems Auditor), o CISSP (Certified Information Systems Security Professional), o CEH (Certified Ethical Hacker).

8.4. Entregables El Consultor entiende y acepta que deber proporcionar lo siguiente como parte del entregable (informe) final: a) b) Informe ejecutivo con una evaluacin global del estado de seguridad del sitio web y de los posibles riesgos a que est expuesto. Informe detallado de las pruebas realizadas y los resultados obtenidos. Este informe deber contener:

Pgina 5 de 8

o o o

El detalle de los distintos aspectos probados y condicin de seguridad para cada aspecto analizado. El detalle de cada vulnerabilidad detectada, los riesgos que conlleva y sugerencias para su resolucin. Una lista de recomendaciones concretas que el ORGANIZACIN debera llevar a cabo para mejorar la seguridad del sitio web.

8.5. Condiciones adicionales El Consultor deber incluir en la elaboracin de su entregable los siguientes puntos. 8.5.1.Reglamentos tcnicos a) b) RM N 129-2012-PCM, Uso obligatorio de la NTP ISO/IEC 27001:2008, Sistema de gestin de seguridad de la informacin. RM N 246-2007-PCM, Uso obligatorio de la NTP ISO/IEC 17799:2007, Cdigo de buenas prcticas para la gestin de la seguridad de la informacin.

8.5.2.Documentacin Toda la documentacin requerida o a la cual se haga mencin en el presente documento, sin distincin de etapa o finalidad, deber suministrarse en forma impresa y en medio magntico (CD-ROM/DVD), en un solo juego. El contenido de todos y cada uno de los documentos o evidencia solicitados deber ser descriptivo, estar detallado paso a paso y, de ser el caso, deber ser acompaado de imgenes, y su redaccin debe ser correcta, precisa, clara, completa, pertinente, objetiva, concisa, constructiva, y oportuna. De requerirse: a) b) Todos los diagramas debern desarrollarse utilizando una herramienta especializada de diagramacin. Todos los Gantt debern desarrollarse utilizando una herramienta especializada para control de proyectos.

Los documentos debern proporcionarse en digital y en su formato nativo. Para ser aceptado, el medio nativo utilizado debe permitir su modificacin y su apertura sin perder detalle con herramientas ofimticas Microsoft, que es el estndar empleado por el Ministerio de Educacin. 9. PLAZO DE EJECUCIN Plazo de entrega del producto de la Consultora: no mayor a 10 das calendario, desde el da siguiente de suscrito el contrato o de notificada la orden de servicio (segn sea el caso). 10. LUGAR DE LA PRESTACIN Av. De la Poesa 155, San Borja, Lima, Per. 11. CONDICIONES Y MODALIDAD DE PAGO (ART. 180 Y 182 DEL REGLAMENTO) Se realizar el pago por la Consultora al 100% contra conformidad tcnica de la OFICINA DE INFORMTICA.

Pgina 6 de 8

12. RECEPCIN Y CONFORMIDAD (ART. 176 Y 177 DEL REGLAMENTO) 12.1. Recepcin La recepcin del producto de la Consultora estar a cargo de la OFICINA DE INFORMTICA. 12.2. Conformidad tcnica La OFICINA DE INFORMTICA emitir la conformidad tcnica correspondiente por la documentacin completa que conforma el entregable solicitado de la Consultora, y su contenido. 13. PLAZO MXIMO DE RESPONSABILIDAD DEL CONSULTOR Artculo 50 de la Ley de Contrataciones del Estado.- Responsabilidad del Consultor El Consultor es el responsable por la calidad ofrecida y por los vicios ocultos de los bienes o servicios ofertados por un plazo no menor de un (01) ao contado a partir de la conformidad otorgada por la Entidad. El contrato podr establecer excepciones para bienes fungibles y/o perecibles, siempre que la naturaleza de estos bienes no se adecue a este plazo. En el caso de obras, el plazo de responsabilidad no podr ser inferior a siete (07) aos, contado a partir de la conformidad de la recepcin total o parcial de la obra, segn corresponda. a) La garanta se cuenta a partir de la emisin por parte del Ministerio de Educacin del acta de conformidad con la recepcin de la Consultora.

14. NOMBRE, ANEXO Y/O TELFONO DEL RESPONSABLE DE LAS COORDINACIONES REFERIDO A LA ADQUISICIN DEL SERVICIO CONTACTO EN OFICINA DE INFORMTICA Nombres completos Cargo Telfono Correo electrnico Mvil

PRIMERO

SEGUNDO

15. PROPIEDAD INTELECTUAL El Consultor entiende y acepta que todos los estudios, informes, grficos u otros materiales preparados por el Consultor para el ORGANIZACIN en virtud de los presentes trminos, sern de propiedad del ORGANIZACIN. Es decir, el Consultor no tendr ningn ttulo, patente u otros derechos de propiedad sobre ninguno de los documentos preparados con los fondos del ORGANIZACIN. Tales derechos pasarn a ser propiedad del ORGANIZACIN. 16. OTRAS CONDICIONES ADICIONALES El Consultor entiende y acepta que el servicio que preste al ORGANIZACIN ser a todo costo, y que el ORGANIZACIN no incurrir en gasto alguno adicional al propuesto. El Consultor conviene que, tanto durante la vigencia de este contrato como despus de su terminacin, no podr suministrar bienes o prestar servicios (distintos de los Servicios y de cualquier continuacin de

Pgina 7 de 8

los mismos) para cualquier proyecto que se derive de los Servicios o este estrechamente relacionado con ellos. El Consultor no podr ceder este contrato, ni ninguna de sus partes por ningn motivo. El Consultor entiende y acepta que deber acatar y cumplir en su desempeo con las normas de seguridad que el Ministerio de Educacin tenga implementadas, siendo las principales: controles de acceso; autorizaciones para el ingreso; seguro laboral para el personal que laborar en sus instalaciones. El Consultor entiende y acepta que no quedar eximido de responsabilidad en caso de algn incumplimiento relacionado con la existencia de omisin de detalles en el presente documento. El Consultor entiende y acepta que podr visitar las instalaciones del Ministerio de Educacin para levantar la informacin de los requerimientos de implementacin y/o caractersticas adicionales que considere necesaria para elaborar su propuesta. El Consultor entiende y acepta que deber cumplir con la totalidad de requisitos y caractersticas tcnicas solicitadas en el presente documento. La informacin obtenida del Ministerio de Educacin ser considerada confidencial. En cualquier caso, el Ministerio de Educacin no aceptar como vlida ni veraz toda informacin que no haya sido entregada por canales oficiales. El Consultor entiende y acepta que se compromete a guardar la ms absoluta reserva a fin de garantizar la seguridad e integridad de los procesos, programas, datos e informacin pertenecientes al Ministerio de Educacin. El Consultor entiende y acepta que se compromete a no facilitar a terceros, bajo ningn concepto, informacin alguna, propiedad del Ministerio de Educacin u obtenida por intermedio de sus trabajadores.

VB Y SELLO JEFE DEL REA USUARIA

FIRMA Y SELO DEL JEFE DE OFICINA O DIRECCIN

Pgina 8 de 8