SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA (SIWZ) nazwa postępowania – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki i Szkolnictwa Wyższego znak postępowania – BDG.WZP.2710.15.2019.6.MW ZATWIERDZAM Tomasz Borkowski (pracownik Zamawiającego, któremu Kierownik Zamawiającego powierzył pisemnie wykonanie zastrzeżonych dla siebie czynności w postępowaniu o udzielenie zamówienia) Warszawa, dnia 17 października 2019 r.
66
Embed
SPECYFIKACJA ISTOTNYCH WARUNKÓW …...a) urządzenia bezpieczeństwa UTM/NGFW typu appliance (urządzenia + oprogramowanie) – 2 szt., b) urządzenia bezpieczeństwa SandBox typu
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA
(SIWZ)
nazwa postępowania – Zabezpieczenie brzegowe sieci i systemów informatycznych
dla Ministerstwa Nauki i Szkolnictwa Wyższego
znak postępowania – BDG.WZP.2710.15.2019.6.MW
ZATWIERDZAM
Tomasz Borkowski
(pracownik Zamawiającego, któremu Kierownik Zamawiającego powierzył pisemnie wykonanie zastrzeżonych
dla siebie czynności w postępowaniu o udzielenie zamówienia)
Warszawa, dnia 17 października 2019 r.
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
3) ocena ofert pod kątem przesłanek odrzucenia oferty na podstawie art. 89 ust. 1
ustawy Pzp;
4) ocena ofert niepodlegających odrzuceniu na podstawie kryteriów oceny ofert
opisanych w Rozdziale XVII – w celu ustalenia, która oferta zostanie oceniona jako
najkorzystniejsza (najwyżej oceniona);
5) wezwanie Wykonawcy, którego oferta została oceniona jako najkorzystniejsza (najwyżej oceniona) do złożenia w wyznaczonym przez Zamawiającego terminie
(nie krótszym niż 5 dni) aktualnych dokumentów potwierdzających spełnianie
warunków udziału w postępowaniu oraz braku podstaw wykluczenia (odpowiednio
Rozdział VII, VIII);
6) ocena podmiotowa Wykonawcy, którego oferta została oceniona jako
najkorzystniejsza (najwyżej oceniona):
a) w przypadku pozytywnej weryfikacji złożonych dokumentów (wykazania
przez Wykonawcę, że spełnia warunki udziału w postępowaniu oraz nie
podlega wykluczeniu z postępowania), Zamawiający dokona wyboru
najkorzystniejszej oferty,
b) w przypadku negatywnej weryfikacji złożonych dokumentów (Wykonawca
nie wykaże spełnienia warunków udziału w postępowaniu lub braku podstaw
do wykluczenia z postępowania), Zamawiający zbada, czy spełnia warunki
oraz czy nie podlega wykluczeniu Wykonawca, który złożył ofertę najwyżej
ocenioną spośród pozostałych ofert;
7) niezwłoczne poinformowanie wszystkich Wykonawców (podając uzasadnienie
faktyczne i prawne) o:
a) wyborze najkorzystniejszej oferty, podając nazwę albo imię i nazwisko,
siedzibę albo miejsce zamieszkania i adres, jeżeli jest miejscem
wykonywania działalności Wykonawcy, którego ofertę wybrano, oraz nazwy
albo imiona i nazwiska, siedziby albo miejsca zamieszkania i adresy, jeżeli
są miejscami wykonywania działalności Wykonawców, którzy złożyli oferty,
a także punktację przyznaną ofertom w każdym kryterium oceny ofert
i łączną punktację,
b) Wykonawcach, którzy zostali wykluczeni, wraz z wyjaśnieniem powodów,
dla których dowody przedstawione przez Wykonawcę, Zamawiający uznał
za niewystarczające,
c) Wykonawcach, których oferty zostały odrzucone i powodach odrzucenia
oferty,
d) unieważnieniu postępowania;
8) jeżeli Wykonawca, o którym mowa w pkt 5, uchyli się od zawarcia umowy,
Zamawiający powtórzy czynności, o których mowa w pkt 5 i 6, tj. zbada, czy
spełnia warunki udziału w postępowaniu oraz czy nie podlega wykluczeniu
Wykonawca, który złożył ofertę najwyżej ocenioną spośród pozostałych ofert,
chyba że zachodzą przesłanki do unieważnienia postępowania, o których mowa
w art. 93 ust. 1 pkt 1, 4-7 ustawy Pzp.
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
do umowy nr MNiSW/2019/BDG/__ z dnia ________ 2019 r.
System UTM/NGFW oraz Systemu Sandbox (On-premise)
kompatybilny z zaoferowanym firewall-em
I. DOSTAWA SYSTEMU UTM/NGFW ORAZ SYSTEMU SANDBOX (ON-PREMISE)
Przedmiotem zamówienia jest sprzedaż, dostawa, instalacja i uruchomienie Systemu zabezpieczeń, składającego się z następujących modułów i spełniającego co najmniej poniższe wymagania:
A. CENTRALNY SYSTEM ZARZĄDZANIA (CSZ)
Wymagania dot. architektury i funkcjonalności:
1. CSZ musi realizować zarządzanie Główną Zaporą Sieciową wraz z jej wszystkimi modułami. Poprzez zarządzanie należy rozumieć konfigurację polityk bezpieczeństwa (polityka firewall, VPN, polityka ochrony antywirusowej, ochrony przed atakami sieciowymi, atakami typu botnet, kontrola aplikacji), zarządzanie kontami administratorów i użytkowników, obsługę zdarzeń generowanych przez moduły zapór sieciowych.
2. CSZ musi posiadać wewnętrzny, zintegrowany urząd certyfikacji /Certificate Authority/.
3. CSZ musi być obsługiwany za pomocą konsoli użytkownika, która ma być dostarczona w postaci dedykowanej graficznej konsoli administratora (GUI) działającej pod systemem operacyjnym Windows. Konsola zarządzania musi posiadać funkcjonalność automatycznej weryfikacji spójności i niesprzeczności wprowadzonej polityki bezpieczeństwa.
4. Komunikacja pomiędzy modułem zapory sieciowej (funkcjonujących na zewnętrznych urządzeniach) i modułem zarządzania i raportowania (CSZ) musi być szyfrowana i uwierzytelniona z użyciem certyfikatów cyfrowych generowanych przez moduł zarządzania i raportowania (CSZ).
5. Komunikacja pomiędzy interfejsem GUI i modułem zarządzania i raportowania (CSZ) musi być szyfrowana.
6. Uwierzytelnianie administratorów musi odbywać się za pomocą haseł statycznych, haseł dynamicznych lub certyfikatów cyfrowych. Musi istnieć możliwość definiowania szczegółowych uprawnień administratorów (np. tylko do odczytu logów, tylko do zarządzania użytkownikami).
7. System zarządzania (CSZ) musi wyświetlać w graficznej konsoli listę aktywnych połączeń obsługiwanych przez moduły zapór sieciowych. Informacja o połączeniu musi zawierać minimum adres źródła, adres
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
przeznaczenia, port źródła, port przeznaczenia oraz identyfikator usługi sieciowej.
8. System zarządzania i raportowania (CSZ) musi zapewnić wyszukiwanie i filtrację zdarzeń wygenerowanych przez moduły zabezpieczeń. Administrator musi być w stanie zdefiniować własne szablony wyszukiwania i wyświetlania zdarzeń.
9. CSZ musi monitorować i prezentować za pomocą graficznej konsoli takich parametrów sprzętowych zarządzanych zapór sieciowych jak: średnie obciążenie procesora, zajętość pamięci operacyjnej, zajętość przestrzeni dyskowej, wersja oprogramowania zapory sieciowej, nazwa i wersja zainstalowanej polityki bezpieczeństwa.
10. CSZ musi posiadać graficzne wyświetlanie statystyk ruchu sieciowego, przetwarzanego przez zapory sieciowe, takich jak: najczęściej wykorzystywane usługi sieciowe, najczęstsze źródła transmisji, najczęstsze adresy docelowe, aktywne i zerwane tunele VPN.
11. System zarządzania (CSZ) musi integrować się z usługą katalogową LDAP, w szczególności z Microsoft Active Directory. Integracja ma co najmniej polegać na zaimportowaniu grup użytkowników z LDAP oraz wykorzystywaniu tych grup w regułach polityk bezpieczeństwa.
12. CSZ musi pobierać dzienniki zdarzeń (logi) z wielu różnych elementów systemu, w tym z CSZ, poddawać je korelacji i na tej podstawie przedstawiać administratorom informacje na temat stanu bezpieczeństwa i wykrytych incydentów.
13. CSZ musi wykrywać anomalie w systemie informatycznym za pomocą analizy behawioralnej. W tym celu musi potrafić budować profile normalnego stanu i zachowania sieci oraz identyfikować odchylenia (m.in. nagłe odchylenia natężenia ruchu i przekroczenie wartości progowych).
14. CSZ musi umożliwiać pobieranie dzienników zdarzeń (logów) z zewnętrznych systemów (względem systemu zabezpieczeń) za pomocą wielu metod, co najmniej Syslog, SNMP (wiadomości o zdarzeniach przesyłane poprzez SNMP Trap), a także musi zawierać mechanizmy umożliwiające pobranie i analizę zdarzeń systemów Microsoft Windows.
15. CSZ musi posiadać funkcje systemu korelacji i wizualizacji incydentów, umożliwiającego co najmniej:
1) wykonywanie korelacji informacji o incydentach na podstawie logów;
2) uruchomienie funkcjonalności log serwera niezależnego od systemu zarządzania;
3) współpracę z oprogramowaniem konsoli graficznej wizualizującej stan bezpieczeństwa systemu;
4) dostęp do zestawu wbudowanych raportów przekrojowych dla osób zarządzających systemem;
5) dostosowanie zawartości raportów i budowania raportów własnych;
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
Produkt musi być w stanie obsłużyć minimalnie Główną Zaporę Sieciową wraz z jej wszystkim modułami (włączając urządzenie do lokalnej analizy plików w wirtualnych systemach operacyjnych, tzw. Sandboxing).
B. GŁÓWNA ZAPORA SIECIOWA (GZS)
1. Główna Zapora Sieciowa musi być dostarczona jako klaster dwóch dedykowanych urządzeń sieciowych (appliance). GZS musi mieć następujące funkcjonalności, dostarczone przez jednego producenta:
1) Firewall;
2) IPS;
3) zarządzanie identyfikacją użytkownika;
4) system automatycznego wykrywania i klasyfikacji aplikacji wraz z filtrowaniem URL;
5) wykrywanie malware oraz komunikacji z serwerami C&C (wykrywanie działających botnetów);
6) brama IPSec VPN;
7) dostęp dla urządzeń mobilnych;
8) ochronę przed wyciekiem informacji (Data Leak Protection);
9) emulacja zagrożeń (Sandbox).
2. Wymagania sprzętowe
1) Każdy z elementów klastra urządzeń musi być wyposażony w:
a) nie mniej niż 8 portów inspekcyjnych 10/10/1000Base-T RJ45,
b) nie mniej niż 4 porty 10GBase-F w standardzie SFP+ wraz z odpowiednimi modułami typu SR,
c) pamięć DRAM o pojemności nie mniejszej niż 32 GB,
d) dysk SSD o pojemności nie mniejszej niż 240 GB,
e) redundantne zasilanie,
f) wkładki SFP+ potrzebne do redundantnego podłączenia urządzania do infrastruktury Zamawiającego (switche HPE FlexFabric 5940),
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
g) obsługę nie mniej niż 10 tzw. wirtualnych routerów posiadających odrębne tabele trasowania i umożliwiać uruchomienie więcej niż jednej tablicy trasowania w pojedynczej instancji systemu zabezpieczeń,
h) obsługę nie mniej niż 10 wirtualnych firewalli- każdy wirtualny system firewall musi pozwalać na konfigurację indywidualnych, niezależnych i odrębnych polityk bezpieczeństwa.
3. Wymagania dot. architektury i funkcjonalności
1) Wymagania dot. modułu Firewall:
a) rozwiązanie musi wykonywać inspekcję stanową opartą na granularnej analizie komunikacji oraz stanu aplikacji w celu poprawnego śledzenia i kontroli przepływu ruchu,
b) producent rozwiązania musi publicznie deklarować informację o przepustowości firewall nie mniejszej niż 20Gb/s, mierzoną w warunkach typu Enterprise (Zamawiający nie dopuszcza urządzeń, gdzie w/w wartość jest zdefiniowana jako „lab” „ideal” itp. zbliżone w nazwie definiujące warunki idealne lub laboratoryjne),
c) urządzenie musi pozwalać na kontrolę przynajmniej 150 predefiniowanych serwisów/protokołów,
d) urządzenie musi posiadać funkcjonalność zaraportowania ilości „trafień” wybranej reguły polityki bezpieczeństwa,
e) urządzenie musi potrafić tworzyć reguły polityk bezpieczeństwa działających w określonych interwałach czasowych wraz z podaniem daty lub godziny ich wygaśnięcia,
f) urządzenie musi posiadać funkcjonalność konfiguracji reguł filtrowania ruchu w oparciu o tożsamość użytkownika (Identity Firewall), integrując się ściśle z usługą katalogową Microsoft Active Directory,
g) urządzenie musi mieć lokalną bazę użytkowników pozwalając na ich uwierzytelnianie bez potrzeby korzystania z zewnętrznych rozwiązań,
h) urządzenie pracujące w klastrze musi posiadać opcję pracy w trybie Transparent/Bridge,
i) rozwiązanie musi wspierać pracę w konfiguracji wysokiej dostępności Active/Active oraz Active/Passive wraz z dzieleniem obciążenia i synchronizacją stanu,
j) rozwiązanie musi pozwalać na obsłużenie minimum 4 000 000 jednoczesnych sesji/połączeń z prędkością zestawiania nie mniejszą niż 140 000 połączeń na sekundę zgodnie z RFC 1242, RFC 2544, RFC 2647 i RFC 3511,
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
k) system zabezpieczeń firewall ma działać zgodnie z zasadą blokowania całego ruchu sieciowego poza tym, który jest zdefiniowany w regułach polityk bezpieczeństwa i wskazany jako dozwolony,
l) system zabezpieczeń firewall musi obsługiwać protokoły routingu dynamicznego, co najmniej RIP, BGP i OSPF,
m) urządzenie musi umożliwiać przekierowanie ruchu (PBR - policy based routing);
2) Wymagania dot. modułu Intrusion Prevention System (IPS).
Intrusion Prevention System (IPS) musi:
a) zapewniać skuteczność wykrywania zagrożeń i ataków na poziomie minimum 98% udokumentowany przez niezależne testy opublikowane w okresie ostatnich 18 miesięcy (np. niezależne testy NSS Labs),
b) zapewniać pracę w trybie in-line (wszystkie pakiety, które mają być poddane inspekcji muszą przechodzić przez system),
c) zapewniać pracę zarówno w trybie pasywnym (IDS) jak i aktywnym (z możliwością blokowania ruchu),
d) posiadać funkcjonalność wykrywania i uniemożliwiania szerokiej gamie zagrożeń (np.: złośliwe oprogramowanie, skanowanie sieci, ataki na usługi VoIP, próby przepełnienia bufora, ataki na aplikacje P2P, zagrożenia dnia zerowego, itp.),
e) posiadać funkcjonalność wykrywania modyfikacji znanych ataków jak i te nowo powstałe, które nie zostały jeszcze dogłębnie opisane,
f) zapewniać co najmniej poniższe sposoby wykrywania zagrożeń:
sygnatury ataków opartych na exploitach,
reguły oparte na zagrożeniach,
mechanizm wykrywania anomalii w protokołach,
g) posiadać funkcjonalność inspekcji nie tylko warstwy sieciowej i informacji zawartych w nagłówkach pakietów, ale również szerokiego zakres protokołów na wszystkich warstwach modelu sieciowego włącznie z możliwością sprawdzania zawartości pakietu,
h) posiadać mechanizm minimalizujący liczbę fałszywych alarmów jak i niewykrytych ataków (ang. false positives i false negatives),
i) posiadać funkcjonalność detekcji ataków/zagrożeń zgłoszonych z wielu elementów i korelacji wielu, pozornie niepowiązanych zdarzeń,
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
j) posiadać wiele możliwości reakcji na zdarzenia, takie jak: tylko monitorowanie, blokowanie ruchu zawierającego zagrożenia, zastąpienie zawartości pakietów oraz mieć możliwość zapisywania pakietów,
k) posiadać mechanizm pasywnego zbierania informacji o urządzeniach sieciowych oraz ich aktywności, takich jak systemy operacyjne, serwisy, otwarte porty, aplikacje oraz zagrożenia w celu wykorzystania tych informacji do analizy i korelacji ze zdarzeniami bezpieczeństwa, eliminowania fałszywych alarmów oraz tworzenia polityki zgodności,
l) posiadać funkcjonalność pasywnego gromadzenia informacji o przepływach ruchu sieciowego ze wszystkich monitorowanych hostów włączając w to czas początkowy i końcowy, porty, usługi oraz ilość przesłanych danych,
m) zapewniać możliwość pasywnej detekcji predefiniowanych serwisów takich jak FTP, HTTP, POP3, Telnet, itp.,
n) posiadać mechanizm automatycznej inspekcji i ochrony dla ruchu wysyłanego na niestandardowych portach używanych do komunikacji,
o) zapewniać funkcjonalność obrony przed atakami skonstruowanym tak, aby uniknąć wykrycia przez IPS. W tym celu musi stosować najodpowiedniejszy mechanizm defragmentacji i składania strumienia danych w zależności od charakterystyki hosta docelowego,
p) zapewniać mechanizm bezpiecznej aktualizacji sygnatur. Zestawy sygnatur/reguł muszą być pobierane z serwera w sposób uniemożliwiający ich modyfikację przez osoby postronne,
q) zapewniać mechanizm definiowania wyjątków dla sygnatur z określeniem adresów IP źródła, przeznaczenia lub obu jednoczenie być zarządzany tylko poprzez system centralnego zarzadzania za pomocą szyfrowanego połączenia,
r) posiadać funkcjonalność wykorzystania informacji o sklasyfikowanych aplikacjach do tworzenia reguł IPS,
s) zapewniać obsługę reguł Snort,
t) mieć detekcję ataków i zagrożeń opartych na protokole IPv6,
u) mechanizm wykrywania anomalii w ogólnym zachowaniu ruchu sieciowego,
v) zapewniać mechanizmy automatyzacji co najmniej w zakresie wskazania hostów skompromitowanych,
w) zapewniać mechanizmy automatyzacji w zakresie automatycznego dostrojenia polityk bezpieczeństwa,
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
x) posiadać funkcjonalność wykorzystania mechanizmów obsługi ruchu asymetrycznego firewalla dla uzyskania pełnej widoczności ruchu - w szczególności musi posiadać możliwość pracy w trybie failover firewalla oraz w trybie klastrowania,
y) posiadać dostępną publicznie informację o przepustowości nie mniejszej niż 6.5 Gb/s przy samodzielnej pracy IPS lub jednoczesnym (dodatkowym) działaniu systemu wykrywania aplikacji w środowisku typu Enterprise (Zamawiający nie dopuszcza urządzeń, gdzie w/w wartość jest zdefiniowana jako „lab” „ideal” itp. zbliżone w nazwie definiujące warunki idealne lub laboratoryjne),
z) pozwalać na objęcie ochroną protokołów SCADA bez potrzeby zakupu dodatkowych licencji;
a) w oparciu o zdarzenia być zdolny do identyfikacji użytkownika poprzez zadanie zapytań do Microsoft Active Directory,
b) pozwalać na identyfikację i uwierzytelnienie użytkownika do zasobów niezwiązanych z domeną,
c) posiadać dedykowanego agenta instalowanego przez politykę pozwalającego na raportowanie i identyfikację użytkownika,
d) wspierać środowiska terminalowe,
e) integrować się z usługami katalogowymi, IF-MAP, RADIUS,
f) powodować minimalny wpływ na kontrolery domeny (mniejszy niż 4%),
g) wspierać nagłówki pozwalającą na identyfikację użytkownika (np. X-forwarded);
4) Wymagania dot. modułu Systemu automatycznego wykrywania i klasyfikacji aplikacji wraz z filtrowaniem URL:
a) Baza znanych aplikacji musi zawierać nie mniej niż 8 000 pozycji umieszczonych w weryfikowalnej, bazie dostępnej online,
b) rozwiązanie musi pozwalać na granularną kontrolę przynajmniej 250 000 widgetów,
c) urządzenie musi pozwalać na kategoryzację adresów URL w liczbie przekraczającej 20 milionów i pokrywać przynajmniej 85% adresów z listy top 1M serwisu Alexa,
d) urządzenie musi umożliwiać tworzenie reguł zawierających wiele kategorii,
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
e) lokalny cache po 4 tygodniach powinien pozwalać na dostarczenie odpowiedzi na 99% zapytań,
f) filtrowanie URL musi pozwalać na kategoryzację względem ryzyka jakie niesie odwiedzenie danego adresu,
g) rozwiązanie musi posiadać mechanizm ograniczenia użycia pasma,
h) strona informująca o zablokowanym zasobie musi być możliwa do zdefiniowania w języku polskim, dodatkowo powinna umożliwiać na przekierowanie użytkownika na inna stronę, poza system zabezpieczeń,
i) urządzenie musi wspierać mechanizmy białych i czarnych list;
5) Wymagania dot. modułu wykrywania malware oraz komunikacji z serwerami C&C:
a) system musi wykrywać oraz blokować podejrzane zachowanie w chronionych segmentach sieci,
b) wykrycie zdarzenia musi opierać na wielowarstwowej analizie (połączenie reputacji adresów URL, IP czy DNS połączonych z analizą cech charakterystycznych dla botnetów),
c) urządzenie musi wykrywać malware typu „Cryptor” i „Ransomware” wraz z wariantami „Cryptolocker, CryptoWall...” itd. poprzez statyczną i dynamiczną analizę próbki,
d) urządzenie musi wykrywać ataki typu „Waterhole”,
e) funkcjonalność musi być zarządzana i korelowana z CSZ,
f) rozwiązanie musi uniemożliwiać i wykrywać ataki na DNS oraz analizować malware w celu ujawnienia DGA (Domain Name Generation),
g) moduł antymalware musi mieć funkcjonalność skanowania i badania linków wewnątrz przesyłek email,
b) urządzenie musi wspierać 3DES oraz AES-256 dla fazy IKE I i II oraz IKEv2 oraz „Suite-B- GCM-128” i „Suite-B-GCM-256” dla fazy II,
c) urządzenie musi wspierać md5, sha1, SHA-256, SHA-384 oraz AEX-XCBC,
d) rozwiązanie musi wspierać tworzenie konfiguracji site-to-site VPN w następujących topologiach:
każdy do każdego (full mesh),
gwiazda,
połącznie poprzez huby,
e) urządzenie musi wspierać użytkownika korzystającego z klienta VPN (IPSec oraz SSL) oraz SSL VPN, w zakresie obsługi haseł w systemie Microsoft AD, bezpośrednio lub poprzez ACS, co najmniej dla obsługi sytuacji wygaśnięcia terminu ważności hasła w systemie Microsoft AD, umożliwiając zmianę przeterminowanego hasła,
f) urządzenie musi pozwalać na pracę z przepustowością nie mniejszą niż 4 Gb/s dla VPN AES-128;
8) Wymagania dla modułu wsparcia dla urządzeń mobilnych:
a) Zamawiający oczekuje zintegrowanej obsługi urządzeń mobilnych i wsparcia dla urządzeń opartych na systemie operacyjnym Apple iOS oraz Android dla nie mniej, niż 50 równoczesnych połączeń,
b) rozwiązanie musi wspierać zarządzane i niezarządzane urządzenia dostępowe (polityka BYOD);
9) Wymagania dla modułu ochrony przed wyciekiem informacji (Data Leak Protection):
a) System musi monitorować i powiadamiać o incydentach w czasie rzeczywistym,
b) rozwiązanie musi posiadać funkcjonalność kontroli i ochrony danych zdefiniowanych przy pomocy co najmniej takich mechanizmów jak:
słów kluczowych,
zdefiniowanego wzorca (template) dokumentu. W przypadku korzystania z wzorca (template) firmowego rozwiązanie powinno pozwalać operatorowi na zdefiniowanie wartości podobieństwa (czułości), kategorii oraz obsługi osadzonych obrazów,
zdefiniowanych typów plików takich jak:
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
o Pliki z grafiką wektorową (Photoshop / Illustrator )
o Pliki graficzne rastrowe
o Arkusze kalkulacyjne
o Prezentacje
o Pliki multimedialne
o Pliki tekstowe
o Pliki postscript
o Pliki typu word
o Pliki typu PDF
zdefiniowanych i podanych nazw plików,
ograniczenia rozmiaru w KB,
wzorców wyrażeń regularnych wraz z częstotliwością ich występowania,
zdefiniowanych repozytoriów do pobrania odcisku cyfrowego pliku,
powiązania z atrybutami szyfrowania dokumentów,
wartości ważonych słów kluczowych, słownika, atrubutów maila, takich jak rozmiar, ilość załączników, ilości słów,
c) System musi posiadać gotowe, dostarczane wraz z rozwiązaniem szablony wyrażeń regularnych pozwalające na kontrolę i ochronę danych typowych dla Polski, co najmniej:
numer dowodu,
numer PESEL,
format konta,
klasyfikacja poufności ,
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
d) rozwiązanie musi posiadać możliwość monitorowania i ochrony następujących kanałów transmisji:
Protokół FTP,
Protokół HTTP i HTTPS,
Protokół SMTP,
Exchange Mail;
e) operator musi posiadać możliwość znakowania dokumentów poprzez umieszczenie zdefiniowanego przez siebie znaku wodnego (watermark) oraz ukrytego tekstu,
f) rozwiązanie musi być zarządzane z CSZ oraz pozwalać na automatyzację ochrony oraz opcjonalnie możliwość uzasadnienia przez użytkownika transferu danych objętych kontrolą poprzez zdefiniowanie czynności remediacyjnej:
Zezwól,
Zaloguj,
Poinformuj użytkownika,
Uzasadnij,
Zablokuj,
g) rozwiązanie musi posiadać personalizację komunikatów (włączając możliwość definiowania komunikatów w języku polskim), umieszczenia logo firmy oraz być dostosowane do wyświetlania na urządzeniach mobilnych,
h) System musi umożliwiać szczegółowe raportowanie wszystkich akcji, możliwość generowania wykresów/diagramów/zestawień (logiczne i intuicyjne filtrowanie informacji),
i) CSZ musi zawierać mechanizmy automatyzacji konfiguracji oraz synchronizacji polityk pomiędzy wieloma urządzeniami w obrębie jednej konsoli,
j) implementacja nowych polityk oraz zmiany w już obowiązujących nie mogą wymagać przestojów w systemach i odbywać się w czasie zbliżonym do rzeczywistego (minimalne opóźnienie),
k) rozwiązanie musi prezentować w czasie zbliżonym do rzeczywistego najważniejsze powiadomienia oraz krytyczne informacje,
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
l) rozwiązanie musi pozwalać na granularne definiowanie uprawnień do danego profilu. Np. Administrator może posiadać uprawnienia do edycji zastrzeżonych pól, widoków, ale posiadać ograniczenie widoczności informacji pozwalających na skuteczną identyfikację użytkownika,
m) wszystkie logi oraz przechwycone do późniejszej analizy dokumenty powinny być szyfrowane i chronione przez certyfikat wygenerowany przez CA,
n) każde zdarzenie musi pozwalać na zdefiniowanie użytkownika lub grupy administracyjnej którzy będą powiadamiani w przypadku naruszenia bądź aktywacji zdarzenia,
o) System musi pozwalać Administratorowi na wygenerowanie „ticketu” w celu zbadania danego zdarzenia,
p) rozwiązanie musi zawierać mechanizmy powiadamiania o alertach takie jak email oraz alternatywne kanały komunikacji (SMS, RSS, IM etc.),
q) System musi pozwalać na utworzenie i modyfikację raportów w formacie przynajmniej PDF oraz automatyzację ich rozsyłania wg określonego harmonogramu;
a) System ochrony musi zapewnić dwa tryby ochrony przed zagrożeniami typu zero-day:
Prewencyjny: eliminujący z dokumentów elementy aktywne będące potencjalnym nośnikiem wirusów (makrodefinicje, aplety, akcje audio lub wideo itp),
Analityczny: zintegrowany z platformą system analizujący zachowanie dokumentów w środowisku wirtualnym (tzw. sandboxing) przy zachowaniu przepustowości ok 1000 unikalnych plików na godzinę i obsłudze 3000 użytkowników,
b) w trybie prewencyjnym oferowany system ochrony musi umożliwiać eliminowanie z plików dostarczanych za pośrednictwem poczty elektronicznej całości aktywnej zawartości. W szczególności system musi umożliwiać dostarczenie dokumentu będącego załącznikiem poczty elektronicznej w postaci nowego pliku w formacie Adobe PDF o tożsamej treści, a zawartości pozbawionej wszelkiego aktywnego kodu
System musi wspierać minimum protokoły:
o SMTP
o http,
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
System musi zezwalać na dostęp do oryginalnego dokumentu, jeżeli polityka bezpieczeństwa na to pozwala,
System musi umożliwiać eliminację z dokumentów m.in. następujących elementów:
o PDF JavaScript Action
o Microsoft Office macro
o PDF JavaScript code
o PDF Submit Form Action
o PDF Launch Action
o Linked Object
o Embedded Object
o Sensitive Hyperlink
o PDF Movie Action
o PDF Sound Action
o PDF URI Action
o PDF GoToR Action
o Database Querry
o Custom Properties,
System musi umożliwiać pracę w trybach:
o Aktywnym: modyfikacja plików
o Wykrywania/ Informowania (detect),
c) w trybie analitycznym oferowany system ochrony musi umożliwiać otwarcie dostarczanego za pośrednictwem żądanych protokołów pliku w wirtualnym systemie operacyjnym, analizę skutków otwarcia pliku w wirtualnym systemie operacyjnym, a następnie podjęcie akcji (zablokuj/prześlij do odbiorcy) w zależności od analizy skutków otwarcia pliku w wirtualnym systemie operacyjnym,
System musi wspierać minimum protokoły:
o SMTP
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
System musi umożliwiać pracę w następujących trybach sieciowych:
o tap/mirror port
o in-line
o MTA (Mail transfer agent),
System musi umożliwiać pracę w następujących trybach:
o blokowania/ochrony (prevent)
o wykrywania/informowania (detect),
d) System musi pracować w trybie chmury prywatnej z możliwością całkowitego wyłączenia wysyłania informacji przez Internet,
e) w celu zapewnienia działania modułu Zamawiający oczekuje dostarczenia dodatkowego fizycznego urządzenia pozwalającego na lokalną analizę plików w wirtualnych systemach operacyjnych (sandboxing). Urządzenie to musi się charakteryzować następującymi parametrami:
możliwość montażu w szafie Rack 19”,
wysokość 1U,
2 redundantne zasilacze,
co najmniej 16GB pamięci RAM,
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
możliwość uruchomienia do 8 wirtualnych maszyn symulujących posiadane systemy operacyjne Zamawiającego,
f) Zamawiający oczekuje możliwości swobodnego decydowania, które typy plików będą analizowane lokalnie, a które wysyłane do dedykowanej chmury producenta.
II. USŁUGA WDROŻENIA SYSTEMU UTM/NGFW ORAZ SYSTEMU SANDBOX
Wykonawca przeprowadzi prace instalacyjne i konfiguracyjne wspólnie z administratorami Zamawiającego. W ramach prac Wykonawca przekaże wiedzę dotyczącą realizowanej konfiguracji. W ramach wdrożenia sprzętu Wykonawca zobowiązany jest do dostawy i montażu sprzętu w siedzibie Zamawiającego (Warszawa, ul. Hoża 20). Wdrożenie musi zostać zrealizowane przez osoby posiadające odpowiednie kwalifikacje i doświadczenie w zakresie wdrożenia Systemu UTM/NGFW. W ramach wdrożenia Wykonawca przeprowadzi:
1) Instalację komponentów systemu; a) dostawa urządzeń, b) instalacja urządzeń w miejscu wskazanym przez Zamawiającego, c) podłączenie do instalacji elektrycznej, d) skrosowanie połączeń, e) uruchomienie urządzeń;
2) Konfigurację komponentów systemu; a) konfiguracja urządzeń i oprogramowania zgodnie z opracowanym przez
Wykonawcę i zaakceptowanym przez Zamawiającego projektem technicznym,
b) uruchomienie wszystkich wymaganych przez Zamawiającego modułów bezpieczeństwa,
c) strojenie systemów w niezbędnym zakresie m.in.:
konfiguracja adresacji i połączeń,
przeniesie i optymalizacja polityk,
migracja blacklist i whitelist,
konfiguracja monitoringu i raportowania,
konfiguracja użytkowników i uprawnień, d) przeprowadzenie testów akceptacyjnych, e) przygotowanie i przekazanie dokumentacji powykonawczej zawierającej
m.in.:
opis architektury systemu,
opis konfiguracji urządzeń i oprogramowania,
procedury backupowe i odtwarzania z backupu,
polityki bezpieczeństwa oraz procedury zmian polityk,
procedury awaryjne,
inwentaryzację urządzeń i oprogramowania,
procedury zgłoszeń serwisowych; 3) Wykonawca zobowiązany jest do opracowania i dostarczenia dokumentacji
technicznej. Minimalny zakres, który musi uwzględniać projekt techniczny: a) szczegółowy opis architektury systemu, b) schematy logiczne i fizyczne,
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
konfiguracji dostarczanych w ramach niniejszego postępowania urządzeń i oprogramowania,
zakresu rekonfiguracji sieci i systemów teleinformatycznych Zamawiającego wymaganych w niezbędnym zakresie,
wymagań środowiskowych dla dostarczanych urządzeń, d) przygotowanie planu adresacji IP, e) opis konfiguracji kluczowych elementów Systemu, f) opracowanie zakresu polityk logowania zdarzeń, g) opis mechanizmów uwierzytelniania, h) opracowanie i opis procedur backupowych dla wszystkich urządzeń
wchodzących w skład Systemu, i) opis procedury odtwarzania Systemu po awarii, j) szczegółowy opis mechanizmów niezawodnościowych (wraz z konfiguracją), k) szczegółowy zakres i plan testowania Systemu po wdrożeniu.
Dokumentacja zostanie dostarczona na nośniku fizycznym (płyta CD/DVD) lub w formie elektronicznej na adres email podany przez Zamawiającego.
III. AUTORYZOWANE SZKOLENIE DLA 3 ADMINISTRATORÓW
1. Przeprowadzenie autoryzowanego szkolenia z dostarczonego rozwiązania.
2. Szkolenie 3 pracowników Zamawiającego odbędzie się na terenie miasta siedziby Zamawiającego.
3. Szkolenie musi trwać minimum 3 dni każdy po 8 godzin lekcyjnych (45 minut).
4. Szkolenie musi być przeprowadzone przez certyfikowanych inżynierów.
5. W trakcie szkolenia dla uczestników szkolenia w ciągu dnia, musi być dostarczony minimum jeden posiłek ciepły i dwie przerwy kawowe.
6. Szkolenie musi być przeprowadzone w formie, gdzie minimum 50% czasu szkolenia to będą warsztaty praktyczne.
7. Warsztaty muszą być przeprowadzone na infrastrukturze o parametrach odpowiadających przedmiotowi dostawy w niniejszym postępowaniu.
8. Szkolenie musi być przeprowadzone w języku polskim.
9. Dla każdego uczestnika szkolenia muszą zostać dostarczone materiały szkoleniowe w formie elektronicznej i przeszukiwalnej.
IV. Wymaganie dodatkowe
Wykonawca musi być bezpośrednim partnerem serwisowym producenta oferowanego rozwiązania (zakładanie zgłoszeń serwisowych bezpośrednio przez Wykonawcę do organizacji suportowej producenta). Wykonawca musi być autoryzowanym partnerem producenta oferowanego rozwiązania o najwyższym możliwym statusie.
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
1. Wykonawca został wybrany w wyniku postępowania o udzielenie zamówienia publicznego przeprowadzonego w trybie przetargu nieograniczonego na podstawie przepisów ustawy z dnia 29 stycznia 2004 r. - Prawo zamówień publicznych (Dz. U. z 2019 r. poz. 1843).
2. Wykonawca przed podpisaniem niniejszej umowy wniósł zabezpieczenie należytego wykonania umowy w wysokości 5 % ceny całkowitej podanej w ofercie dla zamówienia tj., ……………. zł (słownie złotych: ………………………….).
3. Zwrot zabezpieczenia należytego wykonania umowy:
1) Zamawiający zwróci kwotę stanowiącą 70% zabezpieczenia w terminie 30 dni od dnia wykonania zamówienia i uznania przez Zamawiającego za należycie wykonane;
2) kwotę stanowiącą 30% wysokości zabezpieczenia Zamawiający pozostawi na zabezpieczenie roszczeń z tytułu rękojmi za wady przedmiotu umowy. Kwota ta zostanie zwrócona nie później niż w 15 dniu po upływie okresu rękojmi za wady.
4. W przypadku wniesienia zabezpieczenia należytego wykonania umowy w formie innej niż pieniądz, dokumenty te powinny być złożone w formie umożliwiającej Zamawiającemu pozostawienie 30% jego wartości na zabezpieczenie roszczeń z tytułu rękojmi.
§ 1.
Przedmiot umowy
Przedmiotem umowy jest dostawa Systemu UTM/NGFW oraz Systemu Sandbox (On-premise) kompatybilnego z zaoferowanym firewall-em, w tym:
1) sprzęt informatyczny (dalej zwany Sprzętem): a) urządzenia bezpieczeństwa UTM/NGFW typu appliance (urządzenia
+ oprogramowanie) – 2 szt., b) urządzenia bezpieczeństwa SandBox typu appliance (urządzenia
+ oprogramowanie) – 1 szt., 2) prace instalacyjne, konfiguracyjne i wdrożeniowe, szkolenie pracowników
Zamawiającego, 3) wsparcie techniczne w początkowej fazie eksploatacji Systemu (w przypadku, gdy
Wykonawca, którego oferta została wybrana za najkorzystniejszą zaoferuje w złożonej ofercie),
zgodnie ze Szczegółowym opisem przedmiotu zamówienia, stanowiącym Załącznik nr 1 do umowy oraz ofertą Wykonawcy z dnia … 2019 r., której kopia stanowi Załącznik nr 2 do umowy.
§ 2.
Warunki realizacji umowy
1. Dostarczony Sprzęt, o którym mowa w § 1 musi być: fabrycznie nowy (nieużywany, nieregenerowany, niefabrykowany), wolny od wad oraz wolny od obciążeń prawami osób trzecich, przeznaczony do sprzedaży na rynku europejskim (zgodnie z ustawą z dnia 30.08.2002 r. o systemie oceny zgodności (Dz. U. z 2019 r., poz. 155) i z wydanymi na jej podstawie rozporządzeniami, wyprodukowany nie wcześniej niż 6 miesięcy przed datą dostarczenia oraz objęty wymaganą przez Zamawiającego gwarancją w Polsce - Zamawiający nie dopuszcza produktów ,,odnawianych"
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
(ang. Refurbished). Zaoferowany Sprzęt nie może być przeznaczony przez producenta do wycofania z produkcji lub sprzedaży.
2. Dostarczony przez Wykonawcę Sprzęt musi pochodzić z legalnego źródła, być zakupiony w autoryzowanym kanale sprzedaży producenta w Polsce i objęty standardowym pakietem usług gwarancyjnych w cenie urządzenia oraz świadczonych poprzez sieć serwisową producenta na terenie Polski, akcesoria muszą być fabrycznie nowe. Wszystkie akcesoria powinny pochodzić od jednego producenta.
3. Dostarczony Sprzęt musi: posiadać deklarację zgodności wyrobu z normami europejskimi CE (Conformite Europeenne - Zgodność Europejska).
4. Do Sprzętu należy dołączyć instrukcje obsługi w języku polskim lub języku angielskim.
5. Do każdego Sprzętu muszą być dołączone oprogramowanie, przewody i osprzęt niezbędne do jego uruchomienia i prawidłowego funkcjonowania.
6. Wykonawca będzie odpowiedzialny względem Zamawiającego za to, że jest uprawniony do wprowadzenia do obrotu Sprzętu i firmware oraz za to, że Zamawiający wskutek zawarcia umowy będzie upoważniony do korzystania w ramach zwykłego użytku z dostarczonego Sprzętu jak również udzielona mu została licencja na korzystanie ze sprzętu i przypisanego do niego oprogramowania, w tym firmware-u.
7. Instalacja i konfiguracja Sprzętu nie może powodować przerw w pracy istniejącego Systemu teleinformatycznego Zamawiającego, a jeśli z przyczyn technicznych taka przerwa jest wymagana, prace przełączeniowe związane z niedostępnością usług wykonywane będą w dni robocze po godz. 17:00 w terminie ustalonym z Zamawiającym na minimum 2 dni robocze przed planowanym terminem realizacji prac.
8. Wykonawca własnymi siłami lub na własny koszt dostarczy wszystkie elementy przedmiotu Zamówienia do pomieszczeń w siedzibie Zamawiającego wskazanych przez Zamawiającego.
9. Pozostałe obowiązki Wykonawcy:
1) Wykonawca powierzy wykonanie przedmiotu umowy osobom wskazanym w Wykazie osób, skierowanych przez Wykonawcę do realizacji zamówienia publicznego, którego kopia znajduje się w załączniku nr 4 do umowy.
2) Zmiana osoby/osób, o której/których mowa w pkt 1 w trakcie realizacji przedmiotu umowy musi być uzasadniona przez Wykonawcę na piśmie i wymaga uprzedniego pisemnego zaakceptowania przez Zamawiającego. Zamawiający zaakceptuje taką zmianę w terminie do 7 dni od daty przedłożenia propozycji wyłącznie wtedy, gdy wskazana/wskazane przez Wykonawcę nowa osoba/nowe osoby będzie/będą posiadać doświadczenie i kwalifikacje nie mniejsze niż osoba zastępowana, wskazana w Wykonawcy.
§ 3.
Termin realizacji umowy
Realizacja umowy nastąpi nie później niż do dnia 16.12.2019 roku.
§ 4.
Odbiór Sprzętu
1. Odbiór Sprzętu będzie obejmował odbiór ilościowy i jakościowy - wzór Protokołu odbioru stanowi Załącznik nr 3 do umowy.
2. Odbiór ilościowy ma na celu potwierdzenie dostarczenia Sprzętu w ilości zgodnej z umową.
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
3. Odbiór jakościowy, będący zarazem odbiorem końcowym nastąpi po wykonaniu czynności, o których mowa w § 1 oraz przekazaniu przez Wykonawcę dokumentu gwarancji producenta na Sprzęt.
4. Odbiór jakościowy ma na celu potwierdzenie czy dostarczony Sprzęt jest sprawny oraz czy wdrożenie i szkolenie są zgodne z ofertą Wykonawcy stanowiącą Załącznik nr 1 do umowy.
5. Jeżeli ilość dostarczonego Sprzętu nie będzie zgodna w całości lub w części z umową Zamawiający podpisze Protokół odbioru ilościowego z uwagami. W przypadku niezgodności dostawy (co do ilości) z postanowieniami umowy, Wykonawca zobowiązuje się uzupełnić braki w terminie określonym przez komisję odbioru.
6. Zamawiający może przystąpić do procedury odbioru jakościowego dopiero po podpisaniu Protokołu ilościowego bez uwag, tj. po otrzymaniu kompletnej dostawy Sprzętu.
7. Zamawiający dokona odbioru jakościowego maksymalnie w ciągu 5 dni roboczych licząc od dnia wykonania przez Wykonawcę przedmiotu zamówienia, o którym mowa w § 1.
8. Jeżeli dostarczony Sprzęt, konfiguracja Sprzętu, wdrożenie Sprzętu, przeprowadzone szkolenie nie będą zgodne jakościowo z ofertą Wykonawcy stanowiącą Załącznik nr 1 do umowy, Zamawiający odmówi podpisania Protokołu odbioru jakościowego (końcowego). W takim przypadku Zamawiający sporządzi protokół rozbieżności, który zostanie przekazany Wykonawcy w formie pisemnej, a Wykonawca będzie zobowiązany do usunięcia stwierdzonych uchybień, celem doprowadzenia przedmiotu umowy do stanu zgodnego z umową, w terminie określonym przez Zamawiającego. W szczególności Wykonawca zobowiązany będzie do odbioru wadliwego Sprzętu z siedziby Zamawiającego na własny koszt i ryzyko, wymiany na Sprzęt wolny od wad, a następnie do dostarczenia Sprzętu wolnego od wad do siedziby Zamawiającego w terminie wyznaczonym przez komisję odbioru.
9. Odbiorowi jakościowemu będzie podlegał cały dostarczony Sprzęt, usługa wdrożenia, przeprowadzenie autoryzowanego szkolenia dla trzech administratorów.
§ 5.
Okres i warunki gwarancji oraz rękojmi na Sprzęt
1. Wykonawca ponosi odpowiedzialność z tytułu rękojmi za wady fizyczne Sprzętu na zasadach określonych w Kodeksie Cywilnym przez okres 24 miesięcy, liczony od dnia następnego po dniu podpisania bez zastrzeżeń Protokołu odbioru jakościowego (końcowego).
2. W ramach wynagrodzenia wskazanego w § 6 ust. 1, Wykonawca udziela Zamawiającemu gwarancji jakości na dostarczony Sprzęt, o którym mowa w § 1 przez okres ……… miesięcy (zgodnie z ofertą Wykonawcy) liczony od dnia następnego po dniu podpisania bez zastrzeżeń Protokołu odbioru jakościowego (końcowego).
3. Gwarancja, o której mowa w ust. 2 obejmuje wszystkie elementy sprzętu (w tym zasilacze i wentylatory), serwis zapewniający dostarczenie sprawnego Sprzętu zastępczego na następny dzień roboczy po zgłoszeniu awarii.
4. Gwarancja musi zapewnić również nieograniczony dostęp do nowych wersji oprogramowania dostarczonych urządzeń, w tym firmware, sterowników, narzędzi patchy i programów korekcji błędów oraz pośredniczenie w rozwiązywaniu problemów zgłaszanych do producentów poszczególnych urządzeń i oprogramowania dla Sprzętu, o którym mowa w § 1 świadczonego przez cały okres gwarancji. na poniższych warunkach:
1) konsultacje telefoniczne bądź drogą mailową bez ograniczeń;
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
2) godziny kontaktowe dla wsparcia technicznego w dni robocze od 8:00 do 17:00.
W okresie gwarancji należy zapewnić aktualizację dla wszystkich wspieranych przez urządzenia funkcji bezpieczeństwa Systemu.
5. Wykonawca oświadcza, że niezależnie od gwarancji, o której mowa w ust. 2 dostarczony Sprzęt jest objęty …… miesięczną gwarancją jakości producenta sprzętu (Wykonawca poda termin przed zawarciem umowy). Gwarancja producenta udzielona jest niezależnie od gwarancji Wykonawcy. Zamawiającemu przysługuje prawo wyboru trybu, z którego dokonuje realizacji swych uprawnień, tj. czy z rękojmi, bądź z gwarancji Wykonawcy czy gwarancji producenta.
6. Podmiot realizujący obowiązki Wykonawcy wynikające z udzielonej rękojmi i gwarancji jakości Wykonawcy oraz gwarancji jakości producenta sprzętu musi posiadać autoryzację producenta Sprzętu.
7. Czas reakcji serwisu/czas rozpoczęcia naprawy - do końca następnego dnia roboczego po dniu zgłoszenia przez Zamawiającego reklamacji na e-mail podany w § 11 ust. 10 lit. b.
8. Przez czas reakcji serwisu rozumie się okres od momentu przesłania zgłoszenia awarii do momentu określenia przez Wykonawcę:
1) wstępnej diagnozy usterki;
2) zakresu czynności naprawczych;
3) terminu podjęcia czynności naprawczych.
9. Maksymalny czas naprawy wyniesie jeden dzień roboczy, licząc od następnego dnia po zgłoszeniu awarii Sprzętu. Jeżeli koniec terminu do wykonania naprawy przypada na sobotę lub dzień uznany ustawowo za wolny od pracy, termin upływa dnia następnego.
10. Jeżeli czas naprawy przekroczy jeden dzień roboczy lub zaistnieje konieczność zabrania Sprzętu do punktu serwisowego, to na jego miejsce na czas wykonywania naprawy Wykonawca dostarczy sprzęt zamienny, który nie może mieć gorszych parametrów niż ten, który jest zabierany. Transport do i z punktu naprawy odbywać się będzie na koszt i ryzyko Wykonawcy.
11. Przeglądy serwisowe i gwarancyjne przewidziane w dokumentacji technicznej Sprzętu będą dokonywane w ramach wynagrodzenia umownego, o którym mowa w § 6 ust. 1, w miejscu eksploatacji Sprzętu.
12. Przy wykonywaniu napraw gwarancyjnych i napraw w ramach rękojmi Wykonawca zobowiązuje się stosować do zaleceń producenta Sprzętu co do technologii ich wykonania oraz stosować wyłącznie części zamienne zalecane przez producenta Sprzętu.
§ 6.
Wynagrodzenie
1. Za należyte wykonanie zobowiązań wynikających z umowy Zamawiający zapłaci Wykonawcy wynagrodzenie w kwocie brutto ___ zł (słownie złotych____), w tym podatek od towarów i usług ___ zł (słownie złotych: ____)
2. Wynagrodzenie, o którym mowa w ust. 1 jest ostateczne, obejmuje wszelkie koszty, jakie Wykonawca poniesie przy realizacji zamówienia - całkowity koszt brutto przedmiotu zamówienia, w tym w szczególności: podatek od towarów i usług, koszty dostawy do siedziby Zamawiającego, świadczeń gwarancyjnych, przeglądów, koszt wdrożenia, koszt instruktażu, ewentualne opusty.
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
3. Zamawiający wyraża zgodę na przesłanie faktury w formie elektronicznej. Faktura zostanie przesłana z adresu mailowego Wykonawcy: ____ na adres mailowy Zamawiającego: [email protected].
§ 7.
Warunki płatności
1. Płatność za zrealizowany przedmiot umowy może nastąpić po należytym wykonaniu umowy (podpisany i zatwierdzony Protokół odbioru jakościowego (końcowego).
2. Płatność będzie dokonana przelewem na rachunek bankowy Wykonawcy nr ____, w terminie do 30 dni od dnia otrzymania prawidłowo wystawionej faktury.
3. Za dzień zapłaty uważa się dzień wydania przez Zamawiającego dyspozycji przelewu z rachunku Zamawiającego.
§ 8.
Kary i odpowiedzialność
1. Wykonawca zobowiązany jest zapłacić karę umowną Zamawiającemu w wysokości:
1) 15% kwoty wynagrodzenia brutto, o której umowa w § 6 ust. 1, w przypadku niewykonania umowy przez Wykonawcę, w przypadku rozwiązania przez Wykonawcę umowy lub gdy Zamawiający odstąpi od umowy z powodu okoliczności, za które odpowiada Wykonawca, chociażby odstąpienie dotyczyło jedynie części świadczenia Wykonawcy;
2) 1% kwoty wynagrodzenia brutto, o której mowa w § 6 ust. 1, za każdy rozpoczęty dzień opóźnienia w realizacji przedmiotu umowy, w stosunku do terminu, o którym mowa w § 3, chociażby opóźnienie dotyczyło jedynie części świadczenia Wykonawcy;
3) 1% kwoty wynagrodzenia brutto, o której mowa w § 6 ust. 1, za każdy rozpoczęty dzień opóźnienia, w stosunku do terminu, o którym mowa w § 5 ust. 7;
4) 1% kwoty wynagrodzenia brutto, o której mowa w § 6 ust. 1, odrębnie za każdy rozpoczęty dzień opóźnienia, w stosunku do któregokolwiek z terminów, o których mowa w § 4 ust. 5 lub 8;
5) 1% kwoty wynagrodzenia brutto, o której mowa w § 6 ust. 1, w przypadku nienależytego wykonania umowy, za każdy przypadek naruszenia umowy, z wyłączeniem sytuacji, o których mowa w pkt. 2-4.
6) 0,2% kwoty wynagrodzenia brutto, o której mowa w § 6 ust. 1, za każdy dzień niedopełnienia wymogu, o którym mowa w § 2 ust. 9 pkt. 1.
2. Niezależnie od kar umownych, o których mowa w ust.1, Zamawiający ma prawo dochodzić odszkodowania przewyższającego wysokość zastrzeżonych kar umownych, na zasadach ogólnych określonych w Kodeksie cywilnym.
3. Wykonawca wyraża zgodę na potrącenie kar umownych oraz odszkodowania z należnego Wykonawcy wynagrodzenia.
§ 9.
Odstąpienie od umowy
1. Zamawiający może odstąpić od niniejszej umowy w przypadku, o którym mowa w art. 145 ust. 1 ustawy z dnia 29 stycznia 2004 roku Prawo zamówień publicznych.
2. W przypadku gdy suma kar umownych naliczonych Wykonawcy na podstawie niniejszej umowy przekroczy 10% kwoty wynagrodzenia brutto, o której mowa w § 6 ust. 1, Zamawiający może odstąpić od umowy ze skutkiem natychmiastowym, z powodu
okoliczności za które odpowiada Wykonawca oraz naliczyć karę umowną, o której mowa w § 8 ust. 1 pkt 1. Uprawnienie Zamawiającego od odstąpienia jest aktualne w okresie 12 miesięcy od daty zawarcia umowy.
3. Zamawiający może odstąpić od niniejszej umowy w przypadku, gdy Wykonawca nie zastosuje się do wymogów wynikających z postanowień niniejszej umowy, dotyczących osób skierowanych do realizacji zamówienia (§ 2 ust. 9 pkt 1).
§ 10.
Cesja
Przeniesienie wierzytelności Wykonawcy wobec Zamawiającego wynikających z realizacji umowy na rzecz osób trzecich, wymaga uprzedniej zgody Zamawiającego wyrażonej na piśmie.
§ 11.
Postanowienia końcowe
1. W sprawach nieuregulowanych niniejszą umową zastosowanie mają odpowiednie przepisy Kodeksu cywilnego oraz ustawy Prawo zamówień publicznych.
2. Zakazuje się istotnych zmian postanowień zawartej umowy w stosunku do treści oferty, na podstawie, której dokonano wyboru Wykonawcy, z zastrzeżeniem ust. 4-8.
3. Wszelkie zmiany w treści niniejszej umowy wymagają formy pisemnej, w postaci aneksu, pod rygorem nieważności. Zmiana osób i danych wskazanych w ust. 10 oraz § 6 ust. 3 i § 7 ust. 2 następuje poprzez pisemne (podpisane przez osoby uprawnione do reprezentacji) powiadomienie drugiej Strony i nie wymaga sporządzenia aneksu umowy.
4. W przypadku wycofania z sieci dystrybucji modelu Sprzętu, który Wykonawca zaoferował w przedmiotowym postępowaniu i niemożliwości dostarczenia go Zamawiającemu, Wykonawca zobowiązany jest zapewnić model będący technicznym następcą Sprzętu pierwotnie zaoferowanego.
5. W sytuacji, gdy model będący technicznym następcą Sprzętu pierwotnie zaoferowanego ma gorsze parametry lub nie posiada wszystkich cech użytkowych modelu pierwotnego, Wykonawca zobowiązany jest dostarczyć model inny o identycznych lub lepszych parametrach jak Sprzętu pierwotnie zaoferowanego.
6. Przed wykonaniem dostawy Wykonawca zobowiązany jest złożyć u Zamawiającego oświadczenie potwierdzające niemożliwość dostarczenia oferowanego modelu Sprzętu oraz wskazujące model i typ urządzenia proponowanego wraz z zapewnieniem o spełnieniu wymaganych parametrów.
7. Brak sprzeciwu ze strony Zamawiającego w okresie 2 dni roboczych od otrzymania oświadczenia uznaje się, jako zgodę na zmianę Sprzętu.
8. W przypadku, o którym mowa w ust. 4 lub 5 wynagrodzenie Wykonawcy nie ulega zmianie.
9. Wszystkie spory, które wynikają z tytułu realizowania umowy będą rozstrzygane przez Strony w drodze negocjacji. W przypadku nieosiągnięcia porozumienia w drodze negocjacji wszelkie spory rozstrzygane będą przez sąd powszechny miejscowo właściwy dla siedziby Zamawiającego.
10. Osobami wyznaczonymi do uzgodnień i koordynacji realizacji przedmiotu niniejszej umowy są:
a) ze strony Zamawiającego: ___ tel. ___, e-mail: __; ___ tel. ___, e-mail: __
- do wykazu należy załączyć dowody dotyczące wskazanych dostaw, określające czy dostawy te zostały wykonane lub są wykonywane należycie,
- dowodami, o których mowa powyżej są referencje bądź inne dokumenty wystawione przez podmiot, na rzecz którego dostawy były wykonane, a w przypadku świadczeń okresowych lub ciągłych są wykonywane bądź oświadczenie Wykonawcy jeżeli z uzasadnionej przyczyny
o obiektywnym charakterze Wykonawca nie jest w stanie uzyskać tych dokumentów - oświadczenie Wykonawcy (jeżeli Wykonawca składa oświadczenie, zobowiązany jest podać przyczyny braku możliwości uzyskania poświadczenia),
- w przypadku świadczeń okresowych lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające należyte wykonanie
powinny być wydane nie wcześniej niż 3 miesiące przed upływem terminu składania ofert,
- w przypadku dostaw wykonanych (zakończonych), Wykonawcy mają obowiązek przedstawić dokument, wystawiony po zakończeniu realizacji dostawy. Wykonawca nie może legitymować się poprawnością wykonania dostawy, o której mowa powyżej poprzez załączenie do oferty
referencji dotyczących niezakończonych dostaw.
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW
W przypadku składania oferty przez Wykonawców wspólnie ubiegających się o udzielenie zamówienia należy podać pełne nazwy i dokładne
adresy wszystkich Wykonawców wspólnie ubiegających się o udzielenie zamówienia, a także wskazać Pełnomocnika)
Ministerstwo Nauki i Szkolnictwa Wyższego
ul. Wspólna 1/3
00-529 Warszawa
OFERTA
Odpowiadając na ogłoszenie o zamówieniu – Zabezpieczenie brzegowe sieci i systemów
informatycznych dla Ministerstwa Nauki i Szkolnictwa Wyższego (znak postępowania:
BDG.WZP.2710.15.2019.6.MW), składam ofertę na wykonanie przedmiotu zamówienia
zgodnie z warunkami określonymi w Specyfikacji Istotnych Warunków Zamówienia (SIWZ)
jak niżej.
1 Por. zalecenie Komisji z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36). Te informacje są wymagane
wyłącznie do celów statystycznych. Mikroprzedsiębiorstwo: przedsiębiorstwo, które zatrudnia mniej niż 10 osób i którego roczny obrót lub roczna suma bilansowa nie przekracza 2
milionów EUR. Małe przedsiębiorstwo: przedsiębiorstwo, które zatrudnia mniej niż 50 osób i którego roczny obrót lub roczna suma bilansowa nie przekracza 10 milionów EUR. Średnie
przedsiębiorstwa: przedsiębiorstwa, które nie są mikroprzedsiębiorstwami ani małymi przedsiębiorstwami i które zatrudniają mniej niż 250 osób i których roczny obrót nie przekracza 50
milionów EUR lub roczna suma bilansowa nie przekracza 43 milionów EUR.
Ministerstwo Nauki i Szkolnictwa Wyższego
Przetarg nieograniczony – Zabezpieczenie brzegowe sieci i systemów informatycznych dla Ministerstwa Nauki
i Szkolnictwa Wyższego Znak postępowania – BDG.WZP.2710.15.2019.6.MW