TERMO DE REFERÊNCIA 1. Tipo de contrato Por Produto. 2. Número e Título do Projeto NMG / SA / 08 – Programa de Apoio à Modernização da Gestão do Sistema de Previdência. 3. Função no Projeto Contratação de consultor na modalidade produto para realizar atividades de elaboração de estudos, análises, diagnósticos, acompanhamento de projetos de software do Novo Modelo de Gestão – NMG, nos aspectos relacionados a segurança no desenvolvimento de aplicações web desenvolvidas na plataforma Java EE. 4. Antecedentes/ Justificativa O Novo Modelo de Gestão (NMG), concebido em 2002/2003 com recurso do BID, por meio do PROPREV – Programa de Modernização da Previdência Social vem sendo desenvolvido por técnicos do Instituto Nacional do Seguro Social (INSS) e envolve mudanças substancias nos processos de trabalho e sistemas de informações para a prestação de serviços aos segurados do sistema previdenciário. A implantação do NMG implicará em um grande impacto na Previdência Social, sobretudo na prestação de serviços aos segurados e beneficiários, na infra-estrutura e, principalmente, nas atividades de desenvolvimento de sistemas na nova plataforma tecnológica. Para viabilizar a implantação do NMG, está em curso o desenvolvimento dos projetos SIBE – Sistema Integrado de Benefícios e Modernização do CNIS – Cadastro Nacional de Informações Sociais, reconhecidos e classificados como missão de crítica para a Previdência Social. Versão 4 1/6 22/11/2007 Dado o grande porte dos sistemas acima, alta complexidade funcional, aliada ainda à necessidade de estarem norteadas pelas novas diretrizes de tecnologia da informação da Previdência Social, quais sejam, plataforma baixa, paradigma da orientação a objetos e ambiente/arquitetura Java EE, optou-se desenvolvê-los por meio de diversos projetos. Nesse sentido, se faz necessária a contratação de consultor para acompanhar as equipes de projetos de software da DATAPREV nas orientações e apoio às atividades de desenvolvimento seguro dos sistemas para implantação do NMG. 5. Objetivos da consultoria A presente contratação tem como objetivo dar suporte às equipes de projetos de software na implantação do NMG, por meio da construção produtos e pela transferência de conhecimento em ações de mentoring e/ou coaching. 6. Descrição das atividades Para geração dos produtos esperados o consultor deverá desempenhar as seguintes atividades: a) Conhecimento dos escopos, necessidades de integração entre projetos, necessidades de segurança e processo de desenvolvimento com o consórcio, relativos aos projetos de software do SIBE e Modernização do CNIS; b) Avaliação do projeto lógico e do projeto físico do SIBE e Modernização do CNIS quanto aos riscos de segurança; c) Orientação ao corpo técnico de projetos de software da DATAPREV sobre: Aplicação de melhores práticas de segurança no desenvolvimento de aplicações na plataforma Java EE; Definição de padrões de segurança para o desenvolvimento de aplicações Java EE ; Definição de rotinas de teste e verificação de segurança de aplicações; d) Elaboração de pareceres e notas técnicas sobre as estratégias de implementação dos requisitos de segurança Versão 4 2/6 22/11/2007 7. Produtos esperados (Cronograma) Produto Descrição do Produto 1 Relatório contendo análise de riscos para o sistema SIBE utilizando metodologia de Análise de Riscos Simplificada. 2 Relatório de análise de riscos para o sistema CNIS utilizando metodologia de Análise de Riscos Simplificada. 3 Relatório de requisitos de segurança para aplicações Java EE no padrão PP Protection Profile da norma ISO 15408 / Common Criteria 4 Relatório contendo a arquitetura de segurança para aplicações Java EE 5 Relatório de melhores práticas de codificação Java EE segura 6 Relatório de especificação de segurança para o sistema SIBE no padrão ST – Security Target da norma ISO 15408 / Common Criteria 7 Relatório de especificação de segurança para o sistema CNIS no padrão ST – Security Target da norma ISO 15408 / Common Criteria 8 Roteiros de teste de segurança para o sistema SIBE 9 Roteiros de teste de segurança para o sistema CNIS 10 Relatório com resultado dos testes de segurança do sistema SIBE 11 Relatório com resultado dos testes de segurança do sistema CNIS Após o recebimento de cada produto, o supervisor do Contrato deverá aprová-lo ou, quando necessário, devolvê-lo ao Consultor para que sejam feitos os devidos ajustes e correções. A entrega de cada produto não está condicionada ao anterior ou a ordem cronológica do TDR. O consultor poderá entregar o produto de acordo com a necessidade estabelecida pelo MPS/INSS/DATAPREV. Versão 4 3/6 22/11/2007 Os prazos são contados a partir da data da assinatura do contrato. A duração do contrato é de 10 meses. 8. Qualificações profissionais Profissional com formação de nível superior em área de tecnologia da informação, com comprovada experiência de no mínimo 5 anos em projetos de grande porte de softwares orientados a objetos e desenvolvimento de aplicações seguras e análise de segurança de código Java EE. É obrigatória certificação da Sun Certified Enterprise Architect - SCEA e desejável certificação Certified Secure Application Developer - CSAD da EC – Council ou equivalente. 9. Critérios para seleção O Candidato deverá apresentar os documentos oficiais que comprovem a formação acadêmica, a experiência profissional e os trabalhos realizados. Para tanto devem ser apresentados diploma registrado no Ministério da Educação, carteira de trabalho ou contratos, trabalhos assinados, entre outros documentos necessários para a devida comprovação das informações prestadas. ANÁLISE CURRICULAR Item Experiência Profissional Titulação Pontuação Ter atuado como arquiteto de aplicações Java (mínimo de 2.000 pontos de função) 2,0 por projeto ano como profissional certificado limitado a 10 pontos Peso: 40% Subtotal 10 pontos ENTREVISTA Conhecimentos Específicos Desenvolvimento seguro de aplicações e análise estática de código fonte Java EE. 1,5 Testes de aplicações Java EE. 1,0 Peso: 60% Versão 4 4/6 22/11/2007 Arquitetura de Segurança do ambiente Java EE. Desenvolvimento de aplicações Java EE com certificação digital. Normas ISO 15408 / Common Criteria , ABNT ISO/IEC 27002 e Metodologia de Análise de Riscos Simplificada ( FRAP – Facilitated Risk Analisys Process). Subtotal PONTOS PROCESSO SELETIVO (ANALISE CURRICULAR + ENTREVISTA) 3,0 1,5 3,0 10 pontos 10 pontos O candidato somente será considerado classificado para a fase de entrevistas se obtiver pontuação mínima 4,0 na Análise Curricular. 10. Nome e cargo do Supervisor Gustavo Madeira Saramago – Gerente da Coordenação Geral de Arquitetura de Sistemas da DATAPREV 11. Localidade do Trabalho Rio de Janeiro. 12. Data de início Após a assinatura do contrato 13. Data de término Dez (10) meses após a assinatura do contrato 14. Considerações Gerais Versão 4 5/6 22/11/2007 Os produtos deverão ser entregues em meio eletrônico e em 3 (três) vias impressas e assinadas 15. Forma de pagamento Os pagamentos serão efetuados por meio de depósito bancário na conta corrente indicada pela Contratada, conforme cronograma definido no item 7 deste Termo de Referência e após o recebimento e a aceitação do produto pelo supervisor do Contrato. Os deslocamentos (passagens e diárias) para outros estados, se necessários, ocorrerão às custas da DATAPREV. 16. Linha orçamentária Conforme solicitação de ação Brasília/DF, de novembro de 2007. _______________________________ Versão 4 6/6 22/11/2007