Modyfikacja SIWZ - Inspektorat Uzbrojenia
Transkrypt
Modyfikacja SIWZ - Inspektorat Uzbrojenia
Warszawa, dnia .10.2012 r. INSPEKTORAT UZBROJENIA Nr VIUL”PO 18 PAZ Ż1 OO-909 Warszawa wg rozdzielnika MOD YFIKACJA treści SIWZ dotyczy. postepowania fU/201!yII-51/ZO/PN/A E/DOS/K/2012 Zamawiający Inspektorat Uzbrojenia, działając zgodnie z art. 38 ust. 4 ustawy z dnia 29 stycznia 2004 roku Prawo zamówień publicznych (tekst jednolity: Dz. U. z 2010 r. Nr 113, poz. 759) modyfikuje treść Specyfikacji Istotnych Warunków Zamówienia (nr wych. 9954/12 z dnia 25.09.2012 r.) sporządzonej w postępowaniu o udzielenie zamówienia publicznego na dostawę systemu kontroli ruchu sieciowe go w sieci INTER MON. Zakres modyfikacji jest następujący: Zmianie ulega dotychczasowe brzmienie zapisów SIWZ w zakresie: 1. zwiększenia zamówienia poprzez dodanie w zał. nr 1 do SIWZ pkt III pt. „Dostawa i wdrożenie systemu ochrony ruchu web (zwany dalej SOW System Ochrony Web) na bazie McAfee Web Gateway (lub rozwiązania równoważnego, spełniającego co najmniej wymagania techniczne opisane poniżej) wraz z oprogramowaniem oraz platformą klasy appliance i systemem raportowania w trybie offbox”; 2. wysokości wadium nr 7058 aktualna wysokość to 125.000,00 zł.; 3. „Wzór Umowy” zastępuje się słowami „Istotne postanowienia Umowy”. - - - — „ — Zmianie ulegają zapisy załączników nr 1, 2 i 3 do SIWZ, których aktualne brzmienie zawarto w załącznikach do niniejszego pisma. Zamawiający, w celu zapewnienia Wykonawcom czasu niezbędnego do wprowadzenia w ofertach zmian wynikających z modyfikacji treści Specyfikacji Istotnych Warunków Zamówienia, postanowił przedłużyć termin składania ofert. Nowe terminy są następuj ące: Termin składania ofert: 14.11.2012 r. godz. 09:00. Termin otwarcia ofert: 14.11.2012 r. godz. 10:00. W pozostałym niezmieniona. zakresie Specyfikacja Istotnych Warunków Zamówienia PRZEWO ICZĄCY pozostaje Załączniki: Zał. nr I Zał. nr 2 Zał. nr 3 — — — specyfikacja techniczna i ilościowa istotne postanowienia umowy formularz oferty 0Ml płk Paweł JOZEFACKI MN. 2268731 22 rodukta:hIPS (Intrusion Preyention System) wraz ze wsparciem technicznym producenta na at. O res Rozbudowa systemu bezpteczenstwa Wyszczególnienie uJ/20 1/VII-5 1/ZOPN/AEJDOSJK!20 12 Lp. systemu bezpieczeństwa opartego na 1 — IPS (Intrusion Preyention System) wraz ze dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych produktach Strona I Wymagania techniczne dla rozwiązania równoważnego W przypadku zaoferowania rozwiązania równoważnego musi ono spełniać, co najmniej wymienione niżej minimalne wymagania techniczne i funkcjonalne: 1. W ramach postępowania należy dostarczyć wyżej wymieniony sensor IPS, który umożliwi pracę w trybie in-line i będą realizować analizę ruchu, wykrywanie i przeciwdziałanie atakom w monitorowanych segmentach sieci Użytkownika. 2. W zakresie wdrożenia objętym niniejszym postępowaniem sensor ma chronić w sumie 2 łącza (linki) 1GE, medium skrętka. 3. Sensor będzie obsługiwał chronione linki trybie in-line. 4. Dobierając wydajność oferowanego urządzenia nateży jednak przewidzieć możliwość podłączenia sensora w przyszłości do dodatkowych segmentów sieci (nie jest wymagane w ramach niniejszego postępowania oferowanie ewentualnych dodatkowych wkładek do podłączenia sensorów do dodatkowych segmentów sieci) 5. Całkowite pasmo ruchu, które ma być analizowane przez sensor (suma ruchu z chronionych łączy) nie przekracza aktualnie lGb/s, a po możliwej rozbudowie nie przekroczy 1 .5Gbp/s. 6. Sensor ma spełniać poniższe wymagania minimalne: a. Sensor musi być wykonany w postaci dedykowanej platformy sprzętowej opartej na procesorach sygnałowych b. Nie jest dopuszczalne stosowanie wewnętrznych dysków twardych HDD z ruchomą głowicą odczytulzapisu c.Sensor nie może być zrealizowany z wykorzystaniem technologii mieszanej, gdzie część operacji na analizowanym ruchu wykonywanych jest przez oprogramowanie a inna część przez procesory sygnałowe. Cała analiza, wykrywanie ataków, generowanie alertów i logów musi być_wykonywane_przez_dedykowane_procesory_sygnałowe - - - Produkty do rozbudowy istniejącego systemu ochrony IPS: 1. 1 szt. sensor McAfee M-3050 wraz z redundantnym zasilaczem 2. 6 szt. wkładka 1GE SFP TX do w/w sensora umożliwiających podłączenie sensora do co najmniej dwóch segmentów sieci w trybie in-line 3. 2 szt. zestaw Fail Open Kit dla w/w sensora umożliwiające automatyczne przywrócenie połączenia w monitorowanych segmentach sieci w razie awarii sensora Nazwa zamawianego produktu/usługi wsparciem technicznym producenta na okres 3 lat. Rozbudowa Specyfikacja techniczna i ilościowa Załącznik nr 1 do SIWZ Wyszczególnienie „ IU/20 1/VII-5 I/ZOPN/AE/DOSJKJ2O 12 Lp. 12. 13. 14. 11. 10. 9. 7. 8. — dopuszcza się produkty/uslugi równoważne o niżej wymienionych parametrach minimalnych — — Strona 2 d. Sensor musi być całkowicie pasywny w sieci interfejsy podłączone do chronionych linków nie posiadają adresów MAC ani lP e.Sensor posiada wydajność dla analizowanego ruchu co najmniej l.SGbps f. Sensor wyposażony jest w co najmniej 8 portów 1GE do obsadzenia wkładkami SFP oraz co najmniej 4 porty IOGE do obsadzenia wkładkami XFP g. Sensor musi być wyposażony w redundantne zasilacze AC h. Wysokość sensora nie może przekraczać 2 jednostek RU, a sensor musi posiadać mocowania do instalacji w szafie montażowej 19” i. W momencie dostawy należy zapewnić co najmniej 6 wkładek IGE SFP UTP na sensor j. Ilość jednocześnie monitorowanych sesji przez sensor nie niższa niż 750 000 k. Ilość nowych połączeń na sekundę obsługiwana przez sensor nie niższa niż 18 000 Sensor musi mieć certyfikat bezpieczeństwa Common Criteria co najmniej na poziomie EAL3 Sensor musi mieć dedykowany interfejs zarządzający 10/100/1000 Ethernet do komunikacji z konsolą zarządzania IPS oraz do: a.Realizacji dostępu zdalnego do sensora, co najmniej przez SSH b. Realizacji zapytania o status urządzenia i wartość zmiennych SNMP określonych przez producenta IPS, bezpośrednio na sensorze c.Realizacji autentykacji dostępu do konsoli sensora poprzez protokół TACACS+ Dostarczony sensor musi umożliwiać w przyszłości zbudowanie klastrów składających się z co najmniej dwóch sensorów a.Nie jest wymagane na obecnym etapie dostarczanie ewentualnych dodatkowych wkładek SFP/XFP potrzebnych do zestawienia klastra b. Nie jest dopuszczalna konieczność dokupienia dodatkowych licencji lub zmiana oprogramowania sensorów i systemu zarządzania w celu zestawienia klastra c. Użytkownik może zdecydować o dokupieniu sensorów w przyszłości, w osobnym postępowaniu, dla utworzenia klastrów Klaster sensorów ma umożliwiać pracę w układzie actiye-actiye zapewniając poprawną analizę ruchu i wykrywanie ataków nawet, jeśli ruch obsługiwany przez klaster będzie asymetryczny część pakietów z tej samej sesji przechodzi przez jeden z sensorów w klastrze, a część przez drugi (np. połączenie jest nawiązywane przez jeden z sensorów, ale odpowiedź do niego wraca przez drugi) Nie jest dopuszczalne synchronizowanie w klastrze wyłącznie stanu połączeń między sensorami. Dla zapewnienia najwyższego poziomu wykrywania ataków wymagane jest ciągłe synchronizowanie poszczególnych pakietów między sensorami w klastrze. Sensory pracujące w klastrze będą zainstalowane w tej samej lokalizacji, a odległość między nimi nie przekroczy 100 mb Klaster sensorów musi być zarządzany jak jeden obiekt z punktu widzenia systemu zarządzania Sensory i zbudowany na nich klaster muszą spełniać następujący minimalny zestaw funkcjonalności podany w kolejnych Nazwa zamawianego produktu/usługi Załącznik nr 1 do SIWZ Wyszczególnienie IU/201/VIJ-5 1/ZOPN/AEJDOSJKJ2OI2 Lp. 28. 27. 26. 25. 23. 24. 22. 21. 19. 20. 17. 18. 16. 15. — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych Strona 3 punktach. Praca w trybach: in-line, podłączone przez TAP, podłączone przez port SPAN. a.Jednocześnie musi być obsługiwane podłączenie na kilka rożnych sposobów —jednocześnie musi być obsługiwana dowolna konfiguracja sposobów podłączenia do chronionego łącza na każdym z portów monitorujących Poprawnie przetwarzać, analizować wykrywać ataki w połączeniach typu: IPy4 i IPy6 oraz w ruchu tunelowanym: IPy4-in-IPy4, lPy4-in-IPy6, IPy6-in-IPy4, IPy6-in-IPy6 i GRE Zarządzanie sensorem musi być możliwe bezpośrednio w sieci z adresacją IPy6. Poprawnie przetwarzać, analizować i wykrywać ataki w ramkach z informacją o yLAN, VLAN-in-VLAN (tzw. metro Ethernet), MPLS Poprawnie obsługiwać Jumbo Frames o wielkości do 9KB Pozwalać na zdefiniowanie interfejsów wirtualnych (co najmniej 1000) reprezentujących numer sieci VLAN (według standardu 802.lq) i zakresy adresów lP Umożliwiać przypisanie polityki działania, czyli zakresu wykrywanych ataków i reakcji na nie, do: sensoralklastra, poszczególnych portów fizycznych i poszczególnych interfejsów wirtualnych Realizować sterowanie ruchem przez: a.ograniczenie ruchu (rate limitting) na podstawie co najnmiej: rodzaju protokołu, portów TCP i UDP, nr protokołu lP b. ustawienie wartości DiffSery c.ustawienie wartości CoS (802. Ip) d. ograniczenie ruchu na podstawie maksymalnej, zdefiniowanej ilości połączeń na sekundę Umożliwiać dekodowanie co najmniej 120 protokołów niezależnie od portów na jakich działają Wykrywać i raportować co najmniej 1000 różnych aplikacji używanych w sieci na podstawie ich sygnatur (niezależnie od portów na jakich komunikuje się aplikacja), okresowo aktualizowanych przez producenta Wykrywać i blokować ruch popularnych programów typu p2p i Instant Messaging (minimum 50 rodzajów) lub opcjonalnie przeprowadzać kontrole zajętości pasma dla tych protokołów niezależnie od portów, na których ten ruch się odbywa. Sensor IPS musi wykrywać i blokować ruch programów szpiegujących i reklamowych oraz komputerów będących w sieciach BOT oraz posiadać mechanizmy wykrywania nowych sieci BOTnet na podstawie korelacji zdarzeń w czasie i wykrywania komunikacji z BOTnet. Musi być możliwe w trybie „na bieżąco”, z konsoli zarządzania sensorami, zweryfikowanie nazwy kraju skąd pochodzi połączenie Internetowe wykrywane przez sensor jako atak. Musi być możliwe sprawdzenie w trybie „na bieżąco”, z konsoli zarządzania reputacji (poziomu ryzyka) związanej z adresem IP, z którego wykrywany jest atak. Reputacja ma być określana na podstawie danych z serwisu reputacyjnego prowadzonego przez producenta systemu IPS. Nazwa zamawianego produktu/usługi Załącznik nr 1 do SIWZ Wyszczególnienie [U/20 1JVII-51/ZOPN/AE/DOSJK/20 12 Lp. — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych — Strona 4 29. Wykrywanie ataków na chroniony serwer Web w tunelach szyfrowanych SSL, bez konieczności stosowania dodatkowych urządzeń lub oprogramowania, na podstawie certyfikatu chronionego serwera. Analiza ruchu SSL nie może wymagać terminowania tuneli szyfrowanych na sensorze/klastrze. 30. Plik sygnatur ataków powinien zawierać co najmniej 4000 definicji ataków. Sygnatury powinny być okresowo aktualizowane i udostępniane przez producenta systemu IPS. Format sygnatur i sposób ich dostarczania przez producenta muszą zabezpieczać przed analizą formatu i składni sygnatury przez osoby postronne. 31. Wraz z sygnaturami musi być dostępna lokalnie z konsoli zarządzania IPS informacja opisująca ataki wykrywane na bazie sygnatur 32. Sygnatury ataków powinny posiadać rekomendację producenta do blokowania ataków i określenie ryzyka wystąpienia tzw.false positiye, jeśli zostanie włączone blokowanie ataku na podstawie danej sygnatury 33. System musi posiadać wbudowany edytor do tworzenia własnych sygnatur ataków przez administratora oraz umożliwiający import zewnętrznych sygnatur w formacie Snort 34. W konfiguracji systemu musi istnieć możliwość dowolnego wyboru sposobu reakcji na wykrycie każdego z ataków z osobna, co najmniej: zablokowanie ataku (w trybie inline), przerwanie sesji „TCP reset” lub wysłanie komunikatu sieciowego „ICMP host unreachable” (w trybie IDS), wysłanie alertu do konsoli zarządzania IPS, wysłanie komunikatu SNMP trap, wysłanie email, wykonanie predefmiowanego skryptu. 35. W ramach alertu o wykrytym ataku, jaki wysyła sensor do konsoli zarządzania, musi być zapisana informacja o pakiecie/pakietach, które spowodowały zadziałanie sygnatury ataku. Informacja musi być zapisana w formacie PCAP, umożliwiającym jej późniejszą analizę z wykorzystaniem ogólnodostępnych narzędzi typu sniffer (np. Wireshark, Ethereal) 36. Musi być możliwe zapisanie w formacie PCAP większej ilości pakietów niż tylko tych związanych z wykrytym atakiem co najmniej przez określenie ilości zapisanych pakietów lub nawet zapisu całej sesji pomiędzy źródłem i odbiorcą połączenia. Definiowanie ilości zapisywanych informacji musi być możliwe dla poszczególnych rodzajów ataków, jak również dla wielu ataków równocześnie 37. Dodatkowo musi być możliwe blokowanie całej komunikacji od atakującego adresu lP na zdefmiowany czasu (tzw. kwarantanna). 38. Realizacja trybu fail open na każdym z dostarczonych sensorów poprzez zastosowanie tzw. Fail Open Kit, który automatycznie przywróci połączenie w segmencie, z pominięciem sensora, w razie jego awarii 39. Obsługa łączenia portów fizycznych sensora i między sensorami w klastrze w grupy w celu obsługi zgrupowanych linków sieciowych w technologii typu „channel” (Etherchannel, LACP) 40. Umożliwiać ochronę przed atakami typu DoS/DDoS poprzez: a.tryb SYN Proxy b. progi wydajnościowe (tzw. threshold) określające: maksymalną ilość aktywnych połączeń, maksymalną ilość nowych połączeń na sekundę Nazwa zamawianego produktu/usiugi Załącznik nr I do SIWZ Wyszczególnienie [U/201/VII-5 1/ZOPN/AE/DOS/K!2012 Lp. 48. 46. 47. 45. 44. 43. 42. 41. — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych - Strona 5 c.sygnatury opisujące podatności chronionych systemów, które są wykorzystywane do przeprowadzania ataków DoS d. za pomocą analizy profili statystycznych ruchu sieciowego. Dedykowane profile powinny być samodzielnie wyznaczane (uczone) przez sensor IPS dla poszczególnych interfejsów fizycznych i wirtualnych. W razie wykrycia odstępstw od wyuczonego prońiu sensor ma umożliwiać odrzucanie pakietów w pierwszej kolejności z adresów IP, które zwykle nie brały udziału w komunikacji (minimalizowanie ilości odrzuconych pakietów dla poprawnych sesji nie związanych z atakiem DoS/DD0S) Musi posiadać funkcjonalność wbudowanego firewalla typu stateful firewall, który umoźliwia zablokowanie niepożądanego ruchu lub przepuszczenie go bez analizy IPS. Reguły firewalla muszą umożliwiać definiowanie zachowania sensora na podstawie co najmniej: nazw aplikacji, adresów lp i portów źródła i odbiorcy, lokalizacji (nazwy kraju) w którym znajduje się adres IP, samodzielnie definiowanych obiektów reprezentujących zakresy adresów lP. nazwy DNS hostów, grupy sieci Sensor musi raportować dane o adresie źródła ataku na podstawie nagłówka http „X-Forwarder-For” w sytuacji kiedy źródło łączy się spoza systemu proxy itaki nagłówek http jest dostępny Musi być możliwe wdrożenie systemu w trybie „symulacji”, w którym system oznacza wykrywane ataki, jako „blokowane” faktycznie ich nie blokując Musi istnieć możliwość awaryjnego przełączenia sensorów w tryb przeźroczysty z punktu widzenia warstwy 2 modeli OSI/ISO (bez analizy ruchu pod kątem ataków) Aktualizacje sygnatur i update”y oprogramowania sensorów nie mogą wymagać restartu sensorów Sensor musi mieć możliwość pełnej integracji z konsolą zarządzania IPS posiadaną obecnie przez Użytkownika Network Security Manager 7.x. Minimalne wymagania do integracji dostarczonego sensora z istniejącą infrastrukturą Użytkownika. a.Dostarczony system IPS musi umożliwiać integrację z system zarządzania aktualnie wykorzystywanymi sensorami IPS firmy McAfee, co najmniej w zakresie: i. Przekazywania do tego systemu alertów z nowo dostarczonego sensora, w taki sposób aby było możliwe zapisanie ich w bazie obecnego systemu zarządzania i prezentację wraz z alertami generowanymi przez obecnie używane sensory ii. Przekazywania do tego systemu stanu pracy sensora celem ich prezentacji wraz ze stanem aktualnie używanych sensorów b. Dostarczony system IPS musi umożliwiać pobieranie informacji o hostach, których dotyczą wykryte anomalie i ataki, z bazy centralnego systemu zarządzania bezpieczeństwem, czyli serwera McAfee ePO. W ramach tej integracji musi być możliwe wyświetlenie w konsoli zarządzania informacji o nazwie hosta, ostatnio zalogowanym użytkowniku, rodzaju systemu operacyjnego i liście produktów ochrony jakie są na nim zainstalowane Nazwa zamawianego produktu/usiugi Załącznik nr 1 do SIWZ Wyszczególnienie Ilość w kpi. [U/20 1JyH5 l/ZOPN/AE/DOSJK!20 12 Lp. — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych Strona 6 c.Dostarczany system IPS musi umożliwiać integrację z systemem wykrywania podatności McAfee MVM (Foundstone), w zakresie umożliwiającym co najnmiej automatyczne powiązanie i prezentację w konsoli systemu zarządzania IPS informacji o wykrytym przez sensor ataku z informacją o podatności dotyczącej tego ataku, jaka została znaleziona podczas d. skanowania zasobów przez MVM (Foundstone). Nazwa zamawianego produktu/usługi Załącznik nr I do SIWZ fU/20 1/VII-5 1/ZOPN/AEJDOS(K120 12 Zakup dwóch urządzeń McAfee Firewall Enterprise S6032 (Formerly model 4150) wraz z McAfee Firewall Enterprise Control Center C2050 z funkcjonalnością kontroli aplikacji i identyfikacji użytkowników (lub rozwiązania równoważnego, spełniającego minimalne wymagania techniczne opisane w tabeli) wraz wdrożeniem i wsparciem technicznym producenta na okres 5 lat. 2 dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych — — — — B. Wymagania co do platformy sprzętowej firewalli Platforma sprzętowa, na jakiej działają oferowane Firewalle musi spełniać poniższe wymagania minimalne: t) Każdy z oferowanych firewalli ma spełniać następujące minimalne parametry wydajnościowe: a. Maksymalna wydajność firewalla co najn1niej lSGbps b. Maksymalna wydajność z włączonym wbudowanym modułem IPS co najmniej 6Gbps c. Maksymalna wydajność z wykorzystaniem kontroli aplikacji co najmniej I lGbps d. Wydajność obsługi połączeń IPSec VPN (AES) co najmniej 45OMbps — Strona 7 A. Wymagania ogólne 1) Wszystkie elementy dostarczonego rozwiązania muszą pochodzić od jednego producenta. 2) Oferowane rozwiązanie firewall musi być zrealizowane w postaci dedykowanej platformy sprzętowej (2 appliance) 3) Oferowany firewall musi posiadać certyfikat CC EAL 4+ 4) W ramach umowy należy dostarczyć rozwiązanie do centralnego zarządzania wieloma firewallami w postaci zintegrowanego rozwiązania jeden appliance wraz z systemem operacyjnym i oprogramowaniem zarządzającym 5) Oferowany firewall i jego oprogramowanie wraz ze wszystkimi funkcjami i modułami muszą posiadać licencję niezależną od ilości chronionych użytkowników, adresów IP, komputerów, itp. z funkcjonalnością kontroli aplikacji i identyfikacji użytkowników. Wraz z firewallami należy dostarczyć kompletne rozwiązanie do centralnego zarządzania firewallami z możliwością zarządzania kolejnymi w przyszłości (max 20 urządzeń). Każdy z oferowanych firewalli musi posiadać identyczną konfigurację sprzętową, wydajność i funkcjonalności, w szczególności urządzenia, działające na nich oprogramowanie oraz licencje muszą umożliwiać zarówno wdrożenie oferowanych firewalli w postaci jednego klastra, jak również ich niezależne wykorzystanie w sieci Użytkownika. Urządzenia do budowy systemu firewall: 1) McAfee Firewall Enterprise S6032 (Formerly model 4150) 2) McAfee Firewall Enterprise Control Center C2050 — Wyszczególnienie Lp. Naziya zamawianego produktu/usługi Zakup dwóch urządzeń McAfee Firewall Enterprise S6032 (Formerly model 4150) wraz z McAfee Firewall Enterprise Control Center C2050 z funkcjonalnością kontroli aplikacji i identyfikacji użytkowników (lub rozwiązania równoważnego, spełniającego minimalne wymagania techniczne opisane w tabeli) wraz wdrożeniem i wsparciem technicznym producenta na okres 5 lat. II. Załącznik nr Ł do SIWZ Wyszczegóinienie Iii/20 1JVII5 1/ZOPN/AEIDOS/K!20 12 Lp. dopuszcza się produkty/uslugi równoważne o niżej wymienionych parametrach minimalnych - — — Strona 8 C. Wymagania techniczne i funkcjonalne 1) System operacyjny firewall powinien być opatentowanym rozwiązaniem, które nie może wykorzystywać komercyjnego system operacyjnego, dostępnego na rynku niezależnie od zaoferowanego firewalla 2) System operacyjny firewalla nie może posiadać żadnych znanych w momencie składania oferty podatności umożliwiających przejęcie nad nim kontroli w sposób nieautoryzowany 3) Oferowane firewalle muszą umożliwiać dowolny tryb wdrożenia: a. Jako dwa niezależne firewalle w trybie segmentacji sieci (layer 3) b. Jako dwa niezależne firewalle w trybie transparentnym (layer 2 bridge) c. Jako klaster dwóch firewalli z mechanizmem obsługi wirtualnego adresu lP w trybie multicast i unicast 4) Zarządzanie pojedynczym firewallem musi się odbywać poprzez tzw. grubego klienta (thick client) instalowanego na stacji administratora a. Nie jest dopuszczalne zarządzanie f[rewallem poprzez przeglądarkę WWW 5) Poza administracją przez cgrubego klienta” musi istnieć także pełny dostęp administracyjny i konfiguracyjny poprzez CLI za pośrednictwem protokołu SSH 6) System zarządzania dla pojedynczego firewalla musi umożliwiać co najmniej: a. Tworzenie reguł firewalla w oparciu o definicje obiektów b. Podgląd logów z firewalla w czasie rzeczywistym z możtiwością definiowania filtrów c. Wskazania do optymalizacji reguł (co najmniej przez statystykę najczęściej używanych reguł) i podpowiedzi błędów logicznych w konstrukcji reguł 7) System zarządzania musi posiadać wbudowane narzędzia wspierające rozwiązywanie problemów, a w tym co najmniej: ARP, get route, DNS lookup, Ping host, TCP dump, traceroute 8) Zaoferowany firewall musi posiadać wbudowany silnik AV 2) — e. Minimum 10 000 obsługiwanych tuneli VPN f. Maksymalna ilość jednoczesnych połączeń co najmniej 3.9 mln g. Minimalna ilość nowych połączeń nawiązywanych na sekundę co najmniej 65 tys. Appliance na jakim działa każdy z firewatli musi spełniać poniższe wymagania minimalne a. Możliwość instalacji w szafie montażowej 19” b. Maksymalna wysokość obudowy 2U c. Wyposażenie w redundantny zasilacz d. Dyski twarde pracujące w układzie RAID e. Minimum 8 wbudowanych interfejsów UTP 1GE (w tym porty konieczne ewentualnie do realizacji klastra) f. Możliwość rozbudowy w przyszłości do co najmniej 32 interfejsów w sumie, w tym możliwość użycia co najmniej 18 interfejsów 10GB g. Musi istnieć możliwość stosowania w przyszłości portów 1OGE światłowodowych (jedno- i wielo-modowe) oraz portów światłowodowych 1GB (jedno- i wielo-modowe) Nazwa zamawianego produktu/usiugi Załącznik nr 1 do SIWZ Wyszczególnienie IU/20 I/VII-5 I/ZOPN/AE/DOSJK!20 12 Lp. 13) 12) 11) 10) 9) — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych Strona 9 Aktualizacje sygnatur malware dla AV powinny się odbywać nie rzadziej niż raz dziennie i być realizowane automatycznie poprzez Internet b. Ochrona AV musi być konfigurowana (włączana lub nie) w poszczególnych regułach firewalla Firewall musi zapewniać wykrywanie i kontrolę aplikacji niezależnie od portu, na jakim działa aplikacja (w szczególności jeśli nie jest to standardowy port wykorzystywany zwykle przez daną aplikację) a. Firewall powinien posiadać co najnmiej 1000 defmicji różnych aplikacji, które może wykrywać b. Definicje aplikacji powinny opierać się na sygnaturach dostarczanych i aktualizowanych przez producenta firewalla, pogrupowanych w grupy funkcjonalne: aplikacje P2P, aplikacje do zdalnego zarządzania, aplikacje email, itp. c. W ramach definicji aplikacji producent musi określać poziom ryzyka związanego z wykorzystaniem aplikacji w sieci d. Aktualizacja definicji aplikacji nie może powodować automatycznego przepuszczenia aplikacji z danej kategorii, nawet jeśli inne aplikacje z tej kategorii są przepuszczone e. Musi być możliwe włączenie i wyłączenie wykrywania aplikacji w dowolnej strefie firewalla (interfejs, segment sieci, grupa interfejsów lub segmentów sieci) f. Wykrywanie aplikacji nie może wymagać ich umieszczania w regułach firewalla g. Definicje poszczególnych aplikacji są wykorzystywane w regułach firewalla umożliwiając zdefiniowanie akcji firewalla zależnie od aplikacji Firewall musi posiadać wbudowaną funkcjonalność Q0S umożliwiającą określenie maksymalnego udziału pasma jakie może być użyte przez dany protokół Firewall musi posiadać wbudowany moduł filtracji URL, który umożliwia wykorzystanie co najmniej 100 różnych kategorii adresów UPI a. Baza danych adresów URL i adresów lP musi pochodzić od producenta firewall i być przez niego być aktualizowana. Dostęp do aktualizacji powinien być możliwy poprzez Internet w automatyczny sposób, bezpośrednio z firewalla b. Wdrożenie filtracji URL nie może wymagać instalacji dodatkowych urządzeń lub oprogramowania c. Musi istnieć możliwość użycia funkcji kontroli URL w dowolnej regule firewalla określającej źródło i cel połączenia, ale także musi być możliwe ustalenie różnych kategorii URL, które będą blokowane lub przepuszczone dla określonych grup użytkowników Firewall musi posiadać wbudowany moduł IPS (intrusionpreyention system) umożliwiający wykrywanie i blokowanie ataków na podstawie ich sygnatur a. Baza sygnatur i moduł IPS muszą pochodzić od tego samego producenta to producent firewalla b. Baza sygnatur IPS musi być aktualizowana przez producenta, ajej aktualizacja na firewallu musi być możliwa automatycznie przez Internet c. Liczba sygnatur IPS nie może być mniejsza niż 12 tys różnych sygnatur d. Ochrona IPS obejmująca wybrane sygnatury ataków musi być włączana w ramach wybranych reguł określających połączenie (nie dopuszcza się stosowania rozwiązań, w których IPS włączany jest globalnie dla firewalla lub dla poszczególnych stref chronionych przez firewall) Firewall musi zapewniać ochronę przed atakami SYN attack, lp spoofm, Port Scannin, Source Route, TCP SYN hiiack. SYN a. Nazwa zamawianego produktu/usługi Załącznik nr I do SIWZ Wyszczegóinienie H IU/2O1JyII-5 1/ZOPN/AE/DOS/K120 12 Lp. — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych — Strona 10 flood 14) Firewall musi umożliwiać blokowanie połączenia na podstawie oceny ryzyka (reputacji), jakie jest związane z celemlźródłem połączenia a. Producentem bazy serwisu reputacyjnego, z której korzysta firewall musi być producent firewalla b. Weryfikacja reputacji strony połączenia musi następować on-line w czasie nawiązywania połączenia, poprzez Internet c. Baza serwisu reputacyjnego, z której korzysta firewall musi obejmować adresy IP, domeny DNS, adresy stron WWW, itp. Informacje w bazie muszą być dynamicznie aktualizowane zależnie od zmian kryteriów branych pod uwagę przy określaniu reputacji d. Włączenie lub wyłączenie opcji weryftkacj i reputacji połączenia i decydowania na tej podstawie czy przepuścić czy zablokować połączenie powinno być możliwe w poszczególnych regułach firewalla 15) Firewall musi umożliwiać zablokowanie lub przepuszczanie połączeń na podstawie nazwy kraju, w którym zarejestrowane są adresy lP źródła lub celu połączenia a. Weryfikacja przynależności adresu lP do kraju musi się odbywać na bieżąco z firewalla przez Internet b. Wykorzystanie nazw krajów do blokowania lub przepuszczania połączeń musi być możliwe w poszczególnych regułach firewalla (nie globalnie) 16) Musi być możliwe skonfigurowanie firewalla jako natywnego proxy aplikacyjnego (terminującego połączenie od użytkownika i nawiązującego osobne połączenie do serwera) co najmniej dla protokołów: http, ftp, ssh, Citrix, smtp, Oracle sql, MS SQL, h.323, smnp, T120 a. W ramach realizacji funkcji proxy Firewall musi umożliwiać kontrolę i modyfikację wybranych parametrów poszczególnych protokołów (np. zablokowanie komendy POST dla http, zablokowanie możliwości transferu plików dla SSFI, zablokowanie komendy PUT dla ftp, itp.) 17) Firewall musi umożliwiać analizę zawartości połączeń szyfrowanych co najmniej dla SSL, SSH, SCP, SFTP a. W przypadku SSL Firewall musi umożliwiać deszyfrację i ponowną szyfrację połączenia w trybie „man-in-the-middle” b. Firewall musi działać jako natywne proxy aplikacyjne dla SSH, SFTP, SCP c. Analiza ruchu szyfrowanego SSL musi obejmować w szczególności kontrolę antywirusową d. Musi istnieć możliwość zdefiniowania, które połączenia szyfrowane mają podlegać kontroli na podstawie grup użytkowników nawiązujących połączenie 18) Firewall musi posiadać wbudowany, szczególnie zabezpieczony moduł proxy dla protokołu SMTP, który umożliwia kontrolę parametrów poczty elektronicznej i jej ochronę przed malware i atakami z wykorzystaniem cech protokołu SMTP a. Funkcjonalność musi umożliwiać realizację tzw. rozdzielonej (split) komunikacji pocztowej połączenia SMTP nawiązywane są do firewalla, a on dopiero otwiera komunikację z innym serwerem poczty 19) Firewall musi umożliwiać blokowanie plików i typów MIME 20) Firewall musi obsługiwać i analizować ruch w adresacji IPy6 21) Firewall musi obsługiwać protokoły dynamicznego routingu, co najmniej: RIP y l!y2, OSPF, BGP, PIM-SM oraz routing statyczny 22) Firewall musi obsługiwać konfigurację zapasowej (redundantnej) defmicji gateway”a (default route), która jest automatycznie wykorzystywana w razie braku dostępu do podstawowego ateway”a Nazwa zamawianego produktu/usługi Załącznik nr 1 do SIWZ Wyszczególnienie tU/20 I/VII-5 1/ZOPN/AE/DOSJK/20 12 Lp. — dopuszcza się produkty/uslugi równoważne o niżej wymienionych parametrach minimalnych D. Wymagania dla centralnego systemu zarządzania firewallami 1) Oferowane rozwiązanie musi umożliwiać równoczesne zarządzanie co najmniej 20 firewallami. — Strona 11 23) Firewall musi obsługiwać bezpieczną komunikację DNS, w tym tzw. split DNS realizowany przez Firewall (Firewall realizuje funkcje wewnętrznego serwera DNS, blokując możliwość bezpośredniego wysłania zapytania DNS do serwerów zewnętrznych) 24) Firewall musi obsługiwać VLANy na swoich interfejsach fizycznych, co najmniej na podstawie tagowania 802. 1Q 25) Musi istnieć możliwość zbudowania klastra firewalli w ramach zaoferowanego rozwiązania a. Musi istnieć możliwość zbudowania klastra w układzie actiye-passiye oraz actiye-actiye bez konieczności stosowania zewnętrznych load-balancerów b. Klaster musi być zarządzany jak jedno urządzenie itak też widoczny z punktu widzenia podłączonych do niego sieci c. Urządzenia wchodzące w skład klastra muszą wymieniać miedzy sobą stan połączeń 26) Firewall musi umożliwiać identyfikację użytkowników, których połączenia są obsługiwane przez Firewall a. Musi być możliwe wykorzystanie nazw użytkowników i grup, do których należą, jako parametru w poszczególnych regułach firewalla b. Identyfikacja użytkownika, który zalogował się ze swojego komputera w domenie AD musi być transparentna użytkownik nie musi podawać swoich danych w czasie połączenia, niezależnie od wykorzystywanego protokołu i. W razie jeśli wykorzystanie takiej funkcjonalności wymaga wdrożenia dodatkowego oprogramowania na serwerze, w ofercie należy przewidzieć dostarczenia serwera (platformy sprzętowej) wraz z systemem operacyjnym ii. Należy przewidzieć serwer w obudowie umożliwiającej instalację w szafie 19”, wyposażony w redundantne zasilacze i dyski pracujące w układzie RAID zapewniającym podtrzymanie pracy nawet w przypadku awarii pojedynczego dysku iii. W tym wypadlcu możliwe jest zaoferowanie platformy serwera pochądzej od innego producenta niż producent systemu firewall c. Poza autentykacją użytkownika w sposób transparentny, opisany powyżej, musi być możliwe także zdefiniowanie „nie transparentnej” autentykacji bez konieczności instalowania jakiegokolwiek oprogramowania na stacjach użytkowników i. Mechanizm „nie transparentnej” autentykacji musi umożliwiać użycie co najmniej takich usług katalogowych jak: LDAP, OpenLDAP, Radius, iPlanet, AD, Win NT do weryfikacji danych użytkowników i ich przynaleŻności do grup użytkowników 27) Firewall musi posiadać możliwość pełnego odtworzenia konfiguracji oprogramowania i systemu operacyjnego z nośnika USB 28) W czasie i po wykonaniu upgrade”u wersji oprogramowania lub po instalacji łatki (patcha), Firewall musi umożliwiać cofuięcie jego wersji oprogramowania do poprzedniej bez konieczności reinstalacji oprogramowania z nośników zewnętrznych 29) Firewall musi obsługiwać połączenia IPSec VPN w układzie site-to-site oraz user-to-site 30) Firewall musi obsługiwać protokół SNMP w wersjach 1, 2c i 3 w celach administracyjnych 31) Firewall musi umożliwiać zapisywanie logów na zewnętrzy serwer Sys log 32) Firewall musi umożliwiać wygenerowanie logów w zewnętrznych formatach, a co najmniej w postaci XML, W3C, WebTrends Nazwa zamawianego produktulnsiugi Załącznik nr 1 do SIWZ Wyszczególnienie Hoc Iii/201/VII-5 1/ZOPN/AE/DOS/K!20 12 Lp. 12) 11) 10) 9) 8) 6) 7) 5) 4) 2) 3) — - — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych — — Strona 12 Oferowane rozwiązanie musi pochodzić od tego samego producenta co firewalle. Rozwiązanie powinno być zbudowane w oparciu o dedykowaną platformę sprzętową (appliance) spełniającą co najmniej następujące wymagania: a. Możliwość instalacji w szafie montażowej 19” b. Maksymalna wysokość obudowy W c. Wyposażenie w redundantny zasilacz d. Co najmniej dwa dyski twarde pracujące w układzie RAID1 e. Minimum 2 wbudowane interfejsy UTP 1GE(10/100/l000) f. Wbudowany napęd CD/DVD g. Wbudowany, dedykowany port do zarządzania w trybie „out-of-band” Centralny system zarządzenia musi umożliwić konfigurację wszystkich parametrów firewalli (w tym IPS, kontrola aplikacji, autentykacja, proxy, itd.) a. Tworzenie reguł firewalla w oparciu o wspólny zasób definicji obiektów System zarządzania musi umożliwiać pobranie aktualnej konfiguracji z firewalla w czasie podłączania go lub synchronizowania z systemem centralnego zarządzania System ma umożliwiać podgląd logów z firewalla w czasie rzeczywistym z możliwością defmiowania filtrów System musi posiadać możliwość wskazania reguł do optymalizacji (co najmniej przez statystykę najczęściej używanych reguł) i podpowiedzi błędów logicznych w konstrukcji reguł System zarządzania musi umożliwiać zdefiniowanie wielu kont administratorów w oparciu o zewnętrzne usługi katalogowe co najmniej LDAP i Radius a. Musi istnieć możliwość zdefiniowania różnych ról dla poszczególnych kont administratorów Centralny system zarządzania musi umożliwiać zdefiniowanie niezależnych domen administracyjnych, określających firewalle, za które odpowiedzialne są dedykowane, wskazane konta administratorów a. Nieautoryzowany dostęp administrator do obiektów/reguł powinien być zapisywany w logach audytowych System zarządzania musi posiadać wbudowane narzędzia wspierające rozwiązywanie problemów, a w tym co najmniej: ARP, get route, DNS lookup, Ping host, TCP dump, traceroute System zarządzania musi umożliwiać w przyszłości rozbudowę do klastra wysokiej dostępności (high ayailabilily) serwerów zarządzających System zarządzania musi umożliwiać integrację z centralną konsolą zarządzania bezpieczeństwem tj serwerem McAfee ePO wykorzystywanym przez Użytkownika. W ramach tej integracji wymagane jest co najmniej: a. System zarządzania musi pobierać z ePO i prezentować w swojej konsoli informacje o hostach zarządzanych z ePO, które nawiązują połączenie przez firewalle b. System zarządzania ma przekazywać do ePO informacje o statusie pracy poszczególnych firewall i samego systemu zarządzania tak, aby ePO umożliwiało wyświetlenie tych informacji na swoim pulpicie (Dashboard) Nazwa zamawianego produktu/usługi Załącznik nr 1 do SIWZ CO . spelniającego najmniej wymagania techniczne opisane ponizej) wraz z oprogramowaniem oraz P latform ą klasy appliance I systemem raportowania w trybie „off box”. — Dostawa i wdrożenie systemu ochrony ruchu web (zwany dalej SOW System Ochrony Web) na bazie McAfee Web Gateway (lub rozwiązania równoważnego, Wyszczególnienie IloŚć — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych . . . — — . — Strona 13 Część 1 W ramach systemu należy dostarczyć i wdrożyć co najmniej: 1. WBG-5500-B „McAfee Web Gateway 5500 Appl-B” 3 szt. appliance z usługami wsparcia technicznego producenta dla każdego z nich na okres 3 lat; 2. WPS CCMFE Web Protection Suite 3:3 GL” 10 000 licencji na oprogramowaniem ze wsparciem producenta na okres 3 lat; 3. WRP McAfee Web Reporter Premium, Gateway Edition Software” 10 000 licencji ze wsparciem producenta na okres 3 łat; 4. Dwa serwery klasy PC na potrzeby uruchomienia systemu raportowania McAfee Web Reporter Premium i jego bazy danych, o minimalnych parametrach: a.Serwer dla instalacji oprogramowania McAfee Web Reporter Premium: •CPU: klasy Intel x64 bit, 4 x core •RAM: 8GB • HDD: co najmniej 500GB wolnego miejsca po zainstalowaniu systemu operacyjnego (dyski w układzie RAID O lub RAID tO) •Karta sieciowa 10/100/1000 UTP •Karta grafiki i moiiitor o rozdzielczości 1280 x 1024 .Napęd CD/DVD i co najmniej 4 porty USB 2.0 • Redundantne zasilacze •Obudowa przystosowana do montażu w szafie 19” wraz z niezbędnymi elementami mocującymi • Klawiatura, mysz • System operacyjny Microsoft Wmdows Server 2008R2 Enterprise, wersja językowa: Engltsh b. Serwer dla instalacji serwera bazy danych dla McAfee Web Reporter Premium: • CPU: klasy Intel x64 bit, 4 x core . RAM: 8GB • HDD: co najmniej 1 .5TB wolnego miejsca po zainstalowaniu systemu operacyjnego i serwera bazy danych (dyski w układzie RAID 10) • Karta sieciowa 10/100/1000 UTP • Karta grafiki i monitor o rozdzielczości 1280 x 1024 • Napęd CDJDVD i co najmniej 4 porty USB 2.0 • Redundantne zasilacze Nazwa zamawianego produktu/usługi — Dostawa i wdrożenie systemu ochrony ruchu web (zwany dalej SOW System Ochrony Web) na bazie McAfee Web Gateway (lub rozwiązania równoważnego, spełniającego co najmniej wymagania techniczne opisane poniżej) wraz z oprogramowaniem oraz platformą klasy appliance i systemem raportowania w trybie „off box”. UJ/201/VII-5 1/ZOPN/AEJDOSIKJ2O12 Lp. III. Załącznik nr I do SIWZ Wyszczególnienie IloŚĆ IU/20 1/VII-5 1/ZOPN/AE/DOS/K!20 12 Lp. — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych Strona 14 Minimalne wymagania techniczne dla rozwiązania równoważnego dla realizacji systemu SOW: A. Informacje ogólne Oferowany system ochrony ruchu web SOW, obsługuj ący protokoły httpthttps!ftp/IM, ma służyć do filtrowania ruchu w sieci www poprzez blokowanie dostępu użytkownikom do niepożądanych treści i stron www na podstawie ich kategorii, ochronę przed wirusami i oprogramowaniem szpiegującym oraz phishingiem, uwierzytelnienie i autoryzację użytkowników nawiązujących połączenia do stron www, a także zapewniać ochronę w trybie odwrotnego proxy (tzw. reyerse proxy). System ma zapewnić kontrolę i ochronę połączeń generowanych przez 10 000 pracowników Zamawiającego. Rozwiązanie ma być wdrożone w taki sposób, aby możliwa była ochrona ruchu nawet w przypadku awarii pojedynczego urządzenia realizującego ochronę, przy czym przełączenie połączeń z uszkodzonego urządzenia na pozostałe nie może wymagać stosowania zewnętrznych, dodatkowych elementów przełączających (np. bad balancerów) lub wymagać specjalnej konfiguracji sieci Zamawiającego. Wymagane jest, aby rozwiązanie SOW było dostarczone w postaci oprogramowania realizującego funkcje ochronne wraz z dedykowanym systemem operacyjnym działające na dedykowanych urządzeniach typu appliance (co najmniej dwa urządzenia lub więcej zależnie od ich parametrów wydajnościowych, ale suma wysokości urządzeń nie może przekroczyć 1OU). Zarówno oprogramowanie ochronne jak również urządzenia appliance oraz oprogramowanie do raportowania w trybie „oW box” (działające na osobnym serwerze) muszą pochodzić od tego samego producenta i być przez niego serwisowane. Zaoferowany system SOW musi spełniać wymagania podobnych rozwiązań dla organizacji klasy enterprise pod kątem wydajności, funkcjonalności oraz warunków opieki serwisowej. Rozwiązanie musi być znane i sprawdzone na rynku rozwiązań do ochrony ruchu Web w momencie składania ofert. Rozwiązanie powinno być zakwalifikowane jako lider tego rynku przez firmę Gartner w jej raporcie z ostatniego roku kalendarzowego (tzw. Magic Quadrant). B. Wymagania szczególowe dla systemu 50W Poniżej przedstawiono minimalne wymagania techniczne i funkcjonalne, które musi spełnić oferowany system SOW. 1. Urządzenia typu appliunce: a) 3 urządzenia (lub więcej ale o sumarycznej wysokości nieprzekraczającej 1 OU) • Obudowa przystosowana do montażu w szafie 19” wraz z niezbędnymi elementami mocującymi • Klawiatura, mysz • System operacyjny Microsoft Windows Server 200 8R2 Enterprise, wersja językowa: English • UWAGA: oprogramowanie i licencja serwera bazy danych Microsoft SQL Server 2008 Enterprise zostanie zapewniony samodzielnie przez Zamawiającego W ramach wdrożenia należy opracować i wykonać co najmniej: 1. Uzgodnienia techniczne i projekt wdrożenia 2. Instalację fizyczną urządzeń i instalację ich oprogramowania 3. Konfigurację parametrów działania komponentów systemu SOW i ich integrację z systemami Zamawiającego 4. Testy działania systemu SOW 5. l-dniowe warsztaty dla co najmniej 5 osób przedstawiające szczegóły implementacji SOW, realizowane w miejscu wdrożenia 6. Dokumentację powykonawczą systemu SOW Nazwa zamawianego produktu/usługi Załącznik nr I do SIWZ Wyszczególnienie Ilość [U/20 1/VII-5 1/ZOPN/AE/DOS/K120 12 Lp. — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych Strona 15 b) Urządzenia muszą być przystosowane do montażu w szafach 19”, wysokość urządzenia nie może przekraczać 2U c) Urządzenia muszą posiadać redundantne zasilacze d) Urządzenia muszą być wyposażone w miiiirnum 4 interfejsy sieciowe Ethernet UTP 10Jl00/1000 oraz dodatkowy port do zarządzania zdalnego urządzeniem (umożliwiającego co najmniej zdalny dostęp do BIOS i usługi KVM oraz monitorowanie podstawowych parametrów urządzenia) e) Urządzenia muszą być wyposażone w dyski twarde pracujące w układzie RAID 10 zapewniającym wydajną i normalną pracę urządzenia nawet w przypadku awarii dysku f) Nie jest dopuszczalne zastosowanie na urządzeniach komercyjnego systemu operacyjnego ani rozwiązań do wirtualizacji (ymware, XEN, Hyper-y, itp.). g) Zainstalowany na urządzeniach system operacyjny musi być w pełni 64-bitowy oraz musi obsługiwać bezpośrednio funkcje ochronne i być dostarczony przez producenta rozwiązania SOW, przez niego wspierany i serwisowany h) System operacyjny działający na urządzeniach musi posiadać i obsługiwać zarówno stos IPy4 jak i stos IPy6 i) Każde z zaoferowanych urządzeń z oprogramowaniem realizującym ochronę ruchu Web musi umożliwiać realizację wszystkich funkcjonalności opisanych poniżej oraz musi posiadać wydajność wystarczającą do obsłużenia ruchu o parametrach: a. ruch web na poziomie 600 zapytań http (http requests) na sekundę b. 20% udział ruchu https w całym obsługiwanym przez SOW ruchu web j) Każde z zaoferowanych urządzeń z oprogramowaniem realizującym ochronę ruchu Web musi poza spełnieniem powyższych wymagań zapewnić co najmniej 40% zapasu wydajności na nieprzewidziane wzrost)” ruchu 2. Funkcjonalność oprogramowania ochronnego a) System SOW musi realizować funkcje proxy aplikacyjnego (7 warstwa modelu OSIJISO) co najmniej dla następujących protokołów: • HTTP • HTTPS • FTP • SOCKS • RTSP (streaming) • IM (instant messaging) —Jabber, ICQ, Yahoo Messenger, MSN Messenger b) System SOW musi także (równocześnie z funkcją proxy) pozwalać na skonfigurowanie trybu pracy odwrotnego proxy (reyerse-proxy) dla protokołów http i https c) System SOW musi realizować ochronę anty-malware z użyciem minimum 3 niezależnych silników anty-malware, w tym I. co najmniej jeden z nich nie może wykorzystywać plików sygnatur ataków do wykrywania ataków II. co najmniej jeden nie może pochodzić od tego samego producenta co producent SO III. musi istnieć możliwość zmiany ilości silników anty-malware zaangażowanych w analizę ruchu dla różnych podsieci lP Zamawiającego i dla różnych kategorii stron WWW d) Rozwiązanie do ochrony anty-malware musi korzystać, poza lokalnymi definicjami zagrożeń (sygnatury), także z centralnej bazy zagrożeń udostępnianej przez producenta rozwiązania SOW, do której dostęp jest realizowany w razie potrzeby, automatycznie poprzez Internet Nazwa zamawianego produktu/usługi Załącznik nr Ł do SIWZ Wyszczególnienie lU/201/y[1-5 1/ZOPN/AEIDOS/K12012 Lp. — dopuszcza się produkty/uslugi równoważne o niżej wymienionych parametrach minimalnych — Strona 16 Rozwiązania ochrony anty-malware dostępne w systemie SOW muszą zapewnić co najmniej: L Wdrożenie proaktywnej ochrony przed nowymi atakami „zero day poprzez analizę zachowania złośliwego kodu w co najmniej: ActiyeX, Windows Executables, DLLs, JAVA Applications, Java Script, Visual Basic Scripts, VBA Macros. ii. Wykrywanie co najmniej następujących znamion kodu złośliwego: Shell Code, Exploit Detection, blokowanie, poprzez wykrywanie akcji wykonywanych przez kod na końcowym komputerze (np. dostęp do procesu COM), ataków Buffer Oyerflow iii. Skanowanie i wyodrębnianie obiektów wbudowanych wewnątrz dokumentów typu: Generic XML, SOAP, PDF, MS Office, MS OpenXML iy. System musi mieć możliwość usuwania z kodu HTML następujących podejrzanych obiektów: Visual Basic Script, JayaScript, Java y. Możliwość automatycznego wykrywania połączeń typu streaming i wykluczania ich z analizy anty-malware f) System SOW musi umożliwiać zaawansowane funkcje filtracji ruchu, co najmniej: i.filtracja na podstawie sygnatur co najmniej 500 różnych aplikacji działających w oparciu o obsługiwane protokoły web na przykład takie aplikacje jak: Skype, TeamViewer, Google Docs, Facebook, itp. ii.filtracja reklam w trakcie odwiedzania strony przez użytkownika, bez blokowania dostępu do strony (banery, formularze, grafika o określonych rozmiarach) iii.filtracja „Transfer Encoded Data” (chunk, GZIP i innych) iy.filtracja komend w HTTP oraz FTP (np APPEND, HEAD) y.filtracja różnych rodzajów mediów na podstawie tzw. Magic Byte (video, application, music, zip, itp.) g) Autentykacja użytkowników i.System SOW musi umożliwiać autentykowanie użytkowników nawiązujących połączenie Web, realizowane bezpośrednio przez system SOW ii.Autentykacja użytkowników musi być realizowana w sposób transparentny (bez dodatkowego żądania uwierzytelnienia przez użytkownika w czasie nawiązywania połączenia) i dodatkowo, jako opcja w konfiguracji, z wyświetleniem zapytania o dane użytkownika iii. System SOW musi obsługiwać lokalną bazę danych o użytkownikach i ich grupach oraz zewnętrzne bazy danych— co najmniej: Microsoft AD 2003/2008 (NTLMy2 i Kerberos), LDAP, Radius, Novell eDirectory iy.System SOW musi umożliwiać autentykację z wykorzystaniem certyfikatów cyfrowych i plików cookie y.Musi istnieć możliwość jednoczesnego skorzystania z więcej niż jednej metody uwierzytelnienia użytkownika, na zasadzie: „jeśli użytkownik nie został odnaleziony w pierwszej bazie użytkowników, sprawdź w kolejnej, jeśli nie został odnaleziony w kolejnej, sprawdź w następnej, itd.” yi.Podłączenie systemu SOW do domeny Actiye Directory dla przeprowadzania zintegrowanej autentykacji użytkowników nie może wymagać instalacji dodatkowych komponentów sprzętowych lub aplikacji w środowisku Zamawiającego vii. System SOW musi umożliwiać także zdefiniowanie akcji dla użytkowników, którzy nie mogli być zautentykowani (np. dla osóbgości czasowo podłączonych do sieci Zamawiającego, którzy nie należą do jego baz użytkowników). Taką akcją musi być dla przykładu zapewnienie im dostępu do określonych stron WWW i określonych kategorii stron WWW h) System SOW musi obsługiwać cache dla ruchu web, przy czym informacje z cache muszą być automatycznie weryfikowane pod kątem zagrożeń oraz oznakowane i usuwane w momencie pojawienia się nowych sygnatur antimalware e) Nazwa zamawianego produktu/usługi Załącznik nr 1 do SIWZ Wyszczególnienie IloŚć tU/20 1/VII-5 1/ZOPN/AE/DOS/K!20 12 Lp. — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych Strona 17 i) Filtracja dostępu do stron i serwisów Web na podstawie predefmiowanych i aktualizowanych przez producenta systemu SOW baz URL i adresów lP i.System SOW musi korzystać zarówno z lokalnej (załadowanej na urządzeniu), aktualizowanej okresowo bazy adresów URL i lP jak również z centralnej bazy prowadzonej przez producenta SOW, dostępnej z urządzeń przez Internet automatycznie w czasie rzeczywistym ii.Musi istnieć możliwość zablokowania sprawdzania kategorii w centralnej bazie iii.Baza adresów URL i lP musi umożliwiać skorzystanie w polityce fUtracji ruchu z co najmniej 90 predefiniowanych przez producenta SOW kategorii i co najmniej 100 własnych kategorii, które może zdefiniować administrator iy.System musi umożliwiać samodzielną, lokalną zmianę przypisania stron WWW do kategorii przez administratora w konfiguracji rozwiązania y.System musi umożliwiać określenie polityki, w której określeni użytkownicy/grupy użytkowników będą mieli ograniczony czasu spędzany na stronach z danej kategorii URL yi.System musi umożliwiać określenie polityki, w której określeni użytkownicy/grupy użytkowników będą mieli ograniczoną ilość danych ściąganych ze stron z danej kategorii URL vii. System musi umożliwiać ograniczanie pasma ruchu do i z serwera www dla określonych użytkowników, kategorii, adresów lP z sieci Zamawiającego j)System SOW musi umożliwić skorzystanie z serwisu reputacyjnego określającego ryzyko korzystania z danego serweraJstrony web, prowadzonego przez producenta SOW i.system reputacyjny na bieżąco gromadzi informację o stanie zagrożenia związanego z korzystaniem ze stron WWW i uzyskiwaniem połączeń do określonych adresów lP ii.reputacja strony musi uwzględniać co najmniej wykryty na stronach kod złośliwy, wykorzystanie strony do phishingu, wykorzystanie strony do przekierowania na inne niebezpieczne strony iii.w czasie nawiązywania połączenia musi być możliwe automatyczne zweryfikowanie reputacji strony i na tej podstawie blokowanie dostępu do niej, nawet jeśli taki dostęp jest dozwolony w ramach danej kategorii URL k) System SOW musi zapewnić skanowanie ruchu pod kątem zagrożeń w tunelach szyfrowanych https/ssl i.funkcja ta musi być realizowana w taki sposób, aby ruch zaszyfrowany nie opuszczał urządzenia celem zeskanowania ii.urządzenia muszą deszyfrować a następnie szyfrować połączenie iii.system musi umożliwić analizę poprawności certyfikatów serwera użytych do zestawienia połączenia https/ssl. W razie wykrycia niepoprawnego certyfikatu (np. z niezaufanego CA, samodzielnie podpisanego (self signed), itp.) system musi umożliwić automatyczne zablokowanie połączenia, system musi umożliwiać wykluczenia wskazanych przez administratora adresów stron WWW i kategorii URL ze skanowania https/sst i.Konfiguracja polityki działania systemu 80W. Konfiguracja systemu musi umożliwiać tworzenie reguł wykorzystujących w dowolnych kombinacjach co najmniej takie parametry jak: • Adres docelowy URL. Adres docelowy lP (reyerse DNS lookup). Indywidualny nagłówek żądania http. Adres lp klienta nawiązującego połączenie. • Nazwy użytkownika i grup użytkowników. Poziom reputacji strony. Kategoria do jakiej należy strona www. Aplikacja jaka jest wykorzystywana do łączenia się ze serwerem web Nazwa zamawianego produktu/usługi Załącznik nr I do SIWZ Wyszczególnienie IU/20 1/VII-5 1/ZOPN/AE/DOS/K120 12 Lp. — dopuszcza się produkty/ustugi równoważne o niżej wymienionych parametrach minimalnych — Strona 18 • Czas (w tym np. przez określenie okresu: między godziną X a godziną Y). • Kraj gdzie jest zlokalizowany serwer Web (dla określenia kraju nie może być wykorzystywana tylko nazwa domeny, ale także adres lP serwera). ii.Musi istnieć możliwość łączenia trzech lub więcej wyżej wymienionych parametrów za pomocą logiki Boolean (np. a AND b OR c) a także tworzenie zagnieżdżeń (np. (a AND b) OR c). 1) Sposób konfiguracji polityki działania systemu SOW musi zapewnić łatwe wykluczenie z polityki pojedynczego elementu bez tworzenia dodatkowej polityki: np. inne filtrowanie URL dla wybranego użytkownika z grupy użytkowników, dla których przypisana jest polityka lub zmiana akcji dla pojedynczego adresu URL dla kilku użytkowników z grupy, do której przypisana jest polityka. System SOW musi umożliwiać podłączenie do sieci Zamawiającego w różny sposób, bez konieczności zakupu dodatkowych licencji lub modułów sprzętowych i oprogramowania. Muszą być obsługiwane co najmniej następujące tryby pracy systemu: i.Jednoznacznie wskazane proxy (tzw. explicitproxy) ii.Z wykorzystaniem protokołu Cisco WCCP. Z wykorzystaniem protokołu ICAP. m) Transparent bridge. Transparent router. System SOW musi umożliwić w przyszłości integrację z zewnętrznym systemem przeciwdziałania wyciekowi danych (DLP) poprzez protokół ICAP i.System SOW musi umożliwiać wyświetlenie dla użytkownika powiadomienia o podjętej przez system akcji (np. wykrycie zagrożenia), które jest uzależnione od wykonanej przez system akcji i innych parametrów połączenia np. adresu lp użytkownika. Wygląd stron powiadomień, prezentowana tam treść muszą być w pelni modyfikowalne przez Zamawiającego (co najmniej dowolna zmiana treści wiadomości, włączenie logo Zamawiającego, zmiany tła wyświetlanego powiadomienia, załączenie linków URL do stron Zamawiającego i zewnętrznych). n) System SOW musi umożliwić elastyczne logowanie informacji w zewnętrznych systemach zarządzania z wykorzystaniem SNMP I Syslog oraz musi umożliwić wyslarlie wiadomości email w razie wystąpienia wcześniej zdefiniowanego zdarzenia (np. wykrycie wirusa) o) Zarządzanie systemem SOW. i.Zarządzanie SOW powinno być możliwe za pomocą przeglądarki WWW i protokołu HTTP S ii.System powinien umożliwiać tworzenie wielu kont administratorów lokalnie lub wykorzystanie kont z AD, LDAP i Radius. System musi umożliwiać szczegółowe określenie uprawnień poszczególnym administratorom, w tym ograniczenie ich uprawnień do określonych reguł polityki działania systemu (np. tylko możliwość włączania i wyłączania kategorii URL dla określonej grupy użytkowników). System SOW musi posiadać wbudowaną funkcjonalność centralnego zarządzania wieloma komponentami realizującymi ochronę: p) zmiany w polityce działania systemu muszą być automatycznie dystrybuowane do wszystkich urządzeń realizujących SOW. aktualizacje oprogramowania komponentów SOW, aktualizacje defmicji sygnatur ataków, bazy URL, itp. muszą być wykonywane poprzez jedno z urządzeń i wewnętrznie dystrybuowane na drugie urządzenie w systemie SOW, parametry związane z połączeniami użytkowników np. czas trwania sesji, ilość pobieranych danych, itp. muszą być automatycznie synchronizowane między urządzeniami. Centralne zarządzanie nie może wymagać instalacji dodatkowych urządzeń i komputerów w sieci Zamawiającego lub instalacji dodatkowego oprogramowania łub stosowania tzw. grubego klienta do administracji komponentami SOW. Centralne zarządzanie musi umożliwić obsługę dodatkowych urządzeń w przyszłości w razie Nazwa zamawianego produktu/usługi Załącznik nr I do SIWZ Wyszczególnienie Ilotć IU/20 1NII-5 1/ZOPN/AEJDOS/K120 12 Lp. — dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych Miejsce dostawy: 2 Regionalna Baza Logistyczna (RBL0g), Skład Zegrze, ul. Warszawska 22, 05-130 Zegrze Południowe. Strona 19 Część 2 Szkolenie specjalistyczne co najmniej 4 dniowe dla co najmniej S osób obejmujące: 1. Administracja i zarządzanie McAfee Web Gateway i McAfee Web Reporter Premium (lub administracja zaoferowanym rozwiązaniem równoważnym).Szkolenie ma być zrealizowane w okresie 3 miesięcy od podpisania umowy. Szkolenie ma być prowadzone przez specjalistę z doświadczeniem w zakresie poszczególnych rozwiązań objętych szkoleniem, posiadającego certyfikaty ukończenia szkoleń z tego z zakresu. Szkolenie ma być przeprowadzone w Warszawie i mieć formę warsztatów z praktycznymi zajęciami (tzw. labami) dla uczestników. 3. System raportujący System SOW musi zapewnić szczegółowy wgląd w statystyki ruchu, stan pracy urządzeń appliance, wykrytych zagrożeń. Dane te powinny być prezentowane zarówno bezpośrednio z konsoli zarządzającej systemem jak również w postaci dedykowanego systemu raportującego (off-box raporting). Dedykowany system raportujący (off-box) tego samego producenta co system SOW musi być dostarczony wraz z tym systemem. System raportujący powinien realizować co najm1iej: a.Centralne gromadzenie logów i danych na temat połączeń do Internetu z obu urządzeń wchodzących w skład systemu SOW. Zarządzanie systemem raportującym musi się odbywać przez przeglądarkę WWW i protokół HTTPS. Gromadzenie danych w bazie danych SQL, przy czym musi być możliwe użycie wbudowanej bazy danych SQL w system raportujący. (dostarczonej wraz z systemem raportującym) lub zewnętrznej bazy, co najmniej MS SQL, MySQL, Oracle. Obsługę innych źródeł danych oprócz systemu SOW, w tym co najmniej: SQUID, MS ISA, Cisco CE, CheckPoint FW-1. Generowanie szczegółowych raportów na temat połączeń Web od poszczególnych użytkowników z podaniem czasu połączeń, ilości danych pobranych i wysłanych, kategorii odwiedzanych stron WWW, adresu IP, z którego było nawiązywane połączenie, reputacji odwiedzanej strony www. Generowanie raportów dotyczących połączeń użytkowników z opcją ukrywania rzeczywistych adresów lp i nazw użytkowników (rzeczywiste adresy lP i nazwy użytkowników powinny zostać zastąpione w raporcie losowymi ciągami znaków lub liczb). Generowanie raportów dotyczących wykrytych przez system SOW zagrożeń. — wdrożenia zwiększenia wydajności systemu bez konieczności zakupienia dodatkowych licencji, oprogramowania lub urządzeń dla rozszerzenia zakresu centralnego zarządzania. Zaoferowane rozwiązanie SOW musi posiadać wbudowane mechanizmy konfiguracji klastra wysokiej dostępności (HA) oraz wyższej wydajności. W tym celu wymagane jest aby zaoferowane urządzenia i oprogramowanie: i.Obsługiwały tryb wysokiej dostępności (high ayailability HA) i udostępniały wirtualny adres lP proxy w trybach explicitproxy i transparent router. Posiadały wbudowane funkcje dzielenia ruchu między siebie (bad sharing) bez konieczności stosowania zewnętrznych bad balancerów lub zmian w sposobie działania sieci Zamawiającego. Nazwa zamawianego produktu/usługi Załącznik nr 1 do SIWZ Załącznik nr 2 do S[WZ Istotne postanowienia umowy Zamawiaj ący proponuje, aby w treści umowy znalazły się następujące niżej wymienione jej istotne postanowienia: 1 PRZEDMIOT UMOWY Przedmiotem niniejszej umowy, jest dostawa systemu kontroli ruchu sieciowego w sieci TNTER-MON w tym: 1) dostawa urządzeń IPS (Intrusion Preyention System) wraz ze wsparciem technicznym producenta przez okres 3 lat celem rozbudowy posiadanego systemu kontroli spełniającego minimalne wymagania techniczne opisane w zał. nr 1 specyfikacja techniczna i ilościowa; — 2) dostawa urządzeń firewall wraz z rozwiązaniem do centralnego zarządzania firewallami oraz wdrożeniem, szkoleniem i wsparciem technicznym producenta przez okres 5 lat spełniającego minimalne wymagania techniczne opisane w zał. nr 1 specyfikacja techniczna i ilościowa; 3) dostawa i wdrożenie systemu ochrony ruchu web (SOW System Ochrony Web) na bazie McAfee Web Gateway wraz z oprogramowaniem oraz platformą klasy appliance i systemem raportowania w trybie „offbox” zał. nr 1 specyfikacja techniczna i ilościowa; — — — 2 2. Wartość Umowy, wynosi 1) z tytułu dostawy której 2) z tytułu dostawy której 3) z tytułu dostawy której Wartość Umowy może być 13 niniejszej Umowy. — WARTOŚĆ UMOWY zł (słownie ) brutto, z czego: mowa w 1 ust. 1 pkt 1) zł (słownie ) brutto; mowa w 1 ust. 1 pkt 2) (słownie ) brutto; mowa w 1 ust. 1 pkt 3) (słownie ) brutto; zmniejszona o opust w przypadku i na zasadach określonych w 3 TERMIN WYKONANIA Termin wykonania systemu kontroli ruchu sieciowego w sieci INTER-MON: 1) dostawa urządzeń w ciągu 21 dni od dnia zawarcia umowy; 2) wykonanie pełnego wdrożenia wraz ze szkoleniem w ciągu 21 powiadomienia przez Użytkownika. 4 dni od daty ODBIORCA, MIEJSCE INSTALACJI Odbiorca: Jednostka Wojskowa 4226 Warszawa-Rembertów Skład Zegrze, 05-130 Zegrze Południowe; 2. Miejsce instalacji: Jednostki i Komórki Organizacyjne MON w Warszawie. 5 SPOSÓB I MIEJSCE REALIZACJI UMOWY W ramach realizacji dostawy, o której mowa w 1 ust. 1 pkt. 1, 2, 3 Wykonawca jest zobowiązany: dostarczyć sprzęt (wraz z oprogramowaniem) spełniający wymagania niniejszej 1) Umowy do Odbiorcy według następujących zasad: a) sprzęt odebrany zostanie w siedzibie Odbiorcy pod względem ukompletowania zgodnie z załącznikiem nr 1 do Umowy. Odbiorowi podlega sprzęt ukompletowany zgodnie ze szczegółową specyfikacją techniczną i ilościową określoną w ww. załączniku, 1U1201/VII.5 1/ZOJPN/AE/DOS/K12012 Strona Załącznik nr 2 do SIWZ Wykonawca ponosi wszystkie koszty związane z dostarczeniem sprzętu do Odbiorcy, c) termin dostawy sprzętu Wykonawca zobowiązany jest uzgodnić z Odbiorcą na minimum pięć (5) dni roboczych przed planowaną dostawą, z przyjęcia sprzętu Wykonawca sporządza protokół przyjęcia/przekazania, zgodnie d) ze wzorem określonym w załączniku nr 2 do Umowy, e) Odbiorca na podstawie protokołu przyjęcia/przekazania oraz kopii faktury o której mowa w 9 ust 2 pkt. 2, sporządza w terminie pięciu (5) dni roboczych dokumenty PZ (przyjęcie zewnętrzne), 1) Odbiorca przekazuje jeden egzemplarz PZ, poprzez Wykonawcę, do Zamawiającego, g) Wykonawca ponosi odpowiedzialność (ryzyko utraty, uszkodzenia itp.) za sprzęt do czasu jego formalnego przyjęcia przez Odbiorcę, tj. podpisania przez strony protokołu przyjęcia/przekazania. h) Użytkownik na własny koszt w ciągu 14 dni dostarczy elementy systemu do miejsca instalacji i powiadomi Wykonawcę o miejscu instalacji. W ramach dostawy, o której mowa w 1 ust. 1 pkt. 1) należy: 1) wdrożyć nowy sensor w środowisku Użytkownika, w tym instalacja fizyczna, podłączenie do infrastruktury i konfiguracja polityki działania IPS; 2) przeprowadzić integrację nowego sensora i systemu zarządzania z centralną konsolą zarządzania bezpieczeństwem tj. serwerem McAfee ePO 4.x; 3) przeprowadzić integrację nowego sensora i systemu zarządzania z rozwiązaniem do skanowania podatności w sieci McAfee Vulnerability Manager 7.x (Foundstone); 4) uwzględnić, że sensor powinien umożliwiać pełną integrację z istniejącą konsolą zarządzania NSM 7.x posiadaną przez Użytkownika; 5) zapewnić wsparcie producenta dla dostarczonego sensora i jego wyposażenia przez okres 3 lat od zakupu, w tym realizację wymiany/naprawy urządzenia w razie awarii. W ramach dostawy, o której mowa w 1 ust. 1 pkt. 2) należy wykonać: 1) uzgodnienia techniczne i projekt wdrożenia według następujących zasad: a) w terminie pięciu (5) dni roboczych po zawarciu Umowy Wykonawca przekaże Użytkownikowi do akceptacji dokument będący projektem wdrożenia systemu w języku polskim; b) Użytkownik zatwierdzi ww. projekt lub przekaże do niego uwagi w terminie pięciu (5) dni roboczych od daty jego otrzymania; c) Wykonawca zobowiązany będzie uwzględnić uwagi Użytkownika. 2) instalację urządzeń i oprogramowania we wskazanych przez Użytkownika miejscach w Warszawie; 3) konfigurację reguł firewall wg ustaleń i integrację systemu firewall z innymi systemami sieciowymi Użytkownika; 4) testy działania systemu firewall; 5) pełną dokumentację powykonawczą i eksploatacyjną systemu firewall; 6) specjalistyczne szkolenia według następujących zasad: a) Wykonawca zapewni 2-dniowe warsztaty dla co najmniej 5 osób przedstawiające szczegóły implementacji rozwiązania, realizowane w miejscu wdrożenia; b) fakt zrealizowania przedmiotowej usługi, potwierdzony zostanie protokołem wykonania usługi, sporządzonym przez Wykonawcę, zgodnie ze wzorem stanowiącym załącznik nr 2A do Umowy; c) podpisany protokół Wykonawca zobowiązany jest dostarczyć do Zamawiającego w terminie siedmiu (7) dni od daty jego podpisania. 7) zapewnienie dla Użytkownika dostępu do usług wsparcia technicznego producenta dla oferowanego rozwiązania (oprogramowanie i platformy sprzętowej) w okresie 5 lat od zakupu. W ramach usług wsparcia producenta należy zapewnić: b) 2. — — 3. IU/201/VII-5 I /ZOJPN/AE/DOSJK!20t2 Strona 2 Załącznik nr 2 do SIWZ a) dostęp do najnowszych wersji oprogramowania, bez konieczności wnoszenia dodatkowych opłat; b) dostęp do poprawek i łatek do oprogramowania po ich opublikowaniu przez producenta; c) dostęp do aktualizacji plików sygnatur, baz danych opisujących ataki, baz kategorii URL, itp.; d) możliwość bezpośredniego zgłaszania do producenta problemów serwisowych przez Użytkownika w trybie 24/7 poprzez email, telefon, stronę Web; e) dostęp do części zamiennych lub całych urządzeń na wymianę w razie awarii realizacja w miejscu instalacji sprzętu w siedzibie Użytkownika w Warszawie; f) dostęp do bazy wiedzy prowadzonej przez producenta z artykułami dotyczącymi oferowanych produktów; dodatkowe usługi wsparcia technicznego świadczone przez Wykonawcę w okresie 5 lat od zakupu. Oferowane usługi mają obejmować co najmniej: a) zapewnienie okresowych konsultacji dotyczących zmian w konfiguracji i rekonfiguracji systemu, usprawnień tej konfiguracji, weryfikacji konfiguracji w wymiarze co najmniej 20 dni roboczych; b)pomoc w czasie przygotowań i w wykonywaniu ewentualnych upgrade”ów i migracji wersji oprogramowania w wymiarze co najmniej 9 dni roboczych; c) ilość wykorzystywanych dni roboczych w jednostkach czasu, spośród wymienionych wyżej dostępnych w ramach umowy, zależy od Użytkownika. Może on zaplanować kumulowanie dni konsultacji i pomocy w okresie, kiedy jest taka potrzeba, ale w taki sposób aby sumaryczna ilość dni dodatkowego wsparcia technicznego nie przekroczyła ogólnej ilości dni wsparcia zaoferowanych przez Wykonawcę w okresie 5 lat od zakupu rozwiązania; d)Usługi świadczone będą w centrali Użytkownika w Warszawie w godzinach 8:00 16:00 w dni robocze.; ramach dostawy, o której mowa w * 1 ust. 1 pkt. 3) należy wykonać: uzgodnienia techniczne i projekt wdrożenia według następujących zasad: a) w terminie pięciu (5) dni roboczych po zawarciu Umowy Wykonawca przekaże Użytkownikowi do akceptacji dokument będący projektem wdrożenia systemu w języku polskim; b) Użytkownik zatwierdzi ww. projekt lub przekaże do niego uwagi w terminie pięciu (5) dni roboczych od daty jego otrzymania; c) Wykonawca zobowiązany będzie uwzględnić uwagi Użytkownika. instalacja dostarczonych urządzeń i oprogramowania nastąpi we wskazanych przez Użytkownika miejscach na terenie Warszawy; konfigurację parametrów działania komponentów systemu 80W i ich integrację z systemami Zamawiaj ącego; przeprowadzenie testów działania dostarczonego systemu 80W; specjalistyczne szkolenia według następujących zasad: a) Wykonawca zapewni 1-dniowe warsztaty dla co najmniej 5 osób przedstawiające szczegóły implementacji rozwiązania SOW, realizowane w miejscu wdrożenia; b) Wykonawca zapewni 4 dniowe szkolenie specjalistyczne dla co najmniej 5 osób obejmujące administrację i zarządzanie McAfee Web Gateway i McAfee Web Reporter Premium (lub administracja zaoferowanym rozwiązaniem równoważnym) w okresie trzech (3) miesięcy od powiadomienia przez Użytkownika. Zamawiający dopuszcza realizację usługi szkolenia poprzez dostarczenie karnetów szkoleniowych z datą ważności 1 rok od daty przekazania ich do użytkownika, jednak nie później niż 20 dni od daty podpisania umowy. c) fakt zrealizowania przedmiotowej usługi, potwierdzony zostanie protokołem wykonania usługi, sporządzonym przez Wykonawcę, zgodnie ze wzorem - 8) — 4. W 1) 2) 3) 4) 5) IU/2011y11-51/ZO/PN/AE/DOSfKJ2O12 Strona 3 Załącznik nr 2 do SIWZ 6) stanowiącym załącznik nr 2A do Umowy; d) podpisany protokół Wykonawca zobowiązany jest dostarczyć do Zamawiającego w terminie siedmiu (7) dni od daty jego podpisania. dostarczenie pełnej dokumentacji powykonawczej systemu SOW; 6 2. 3. 4. 5. WARUNKI TECHNICZNE Warunki techniczne dla dostarczanego sprzętu: 1) Dostarczony Sprzęt musi być fabrycznie nowy, nieużywany, wyprodukowany nie wcześniej niż 6 miesięcy przed dostawą, musi spełniać wymagania technicznojakościowe określone przez producenta oraz wymagania Zamawiającego określone w niniej szej Umowie, 2) Wykonawca, do każdego egzemplarza sprzętu, dostarczy „Kartę Gwarancyjną”, „Instrukcję Użytkowania i Obsługi” oraz „Wzór protokołu reklamacji” wjęzyku polskim, 3) Dostarczone wraz ze sprzętem oprogramowanie musi zapewnić bezawaryjną pracę sprzętu, spełniać wymagania funkcjonalne określone w załączniku nr 1 do Umowy. Użytkownik nabędzie prawo do użytkowanie tego oprogramowania, na podstawie licencji, która zostanie udzielona przez producenta tego oprogramowania. Szczegółowe warunki udzielonej licencji określa producent, 4) Wykonawca oświadcza, że sprzęt spełnia wymagania określone w załączniku nr 1 do Urnowy, 5) Oprogramowanie, o którym mowa w pkt. 3 zostanie dostarczone w postaci kodu maszynowego na nośnikach CD/DyD, 6) Całe należne wynagrodzenie za udzielenie licencji na oprogramowanie, o którym mowa w pkt. 3, wliczone jest w wartość Umowy określoną w 2 i zawiera ona również wynagrodzenie z tytułu przeniesienia własności nośników na których zostało ono przekazane. W przypadku zakończenia produkcji lub wycofania danego sprzętu z produkcji, Wykonawca zobowiązany jest do dostarczenia sprzętu będącym zamiennikiem sprzętu wycofanego o parametrach nie gorszych niż sprzęt wycofany, jeżeli Zamawiający wyrazi pisemną zgodę na powyższe. W takim przypadku dostawa sprzętu będącego zamiennikiem odbywać się będzie z zachowaniem ceny sprzętu wycofanego. W przypadku zakończenia produkcji lub wycofania danego oprogramowania z produkcji, Wykonawca dostarczy oprogramowanie będące zamiennikiem oprogramowania wycofanego o parametrach nie gorszych niż oprogramowanie wycofane, pod warunkiem otrzymania pisemnej zgody Zamawiającego. Dostawa oprogramowania będącego zamiennikiem odbywać się będzie z zachowaniem ceny oprogramowania wycofanego. Dostarczany sprzęt i oprogramowanie musi pochodzić z autoryzowanego kanału sprzedaży producenta na rynek polski. Dostarczony sprzęt musi być oznakowany CE zgodnie z ustawą z dnia 13 kwietnia 2007 r. o kompatybilności elektromagnetycznej. 7 ODBIÓR ILOŚCIOWO JAKOŚCIOWY - Odbiór sprzętu i oprogramowania, o którym mowa w 5 potwierdzony zostanie protokołem przyjęcia/przekazania, sporządzonym przez Wykonawcę zgodnie ze wzorem stanowiącym załącznik nr 2 do Umowy. Protokół musi potwierdzać dostawę sprzętu i oprogramowania spełniającego wymagania Umowy, musi zawierać dane identyfikacyjne, ponadto musi być podpisany przez uprawnionego przedstawiciela Odbiorcy i opatrzony pieczęcią jednostki. Protokół musi określać wartość określoną na fakturze oraz datę dostawy i przekazany do Zamawiającego. IU/2OlJyII-5 1/ZO/PN/AEJDOS/K/2012 Strona 4 Załącznik nr 2 do SIWZ 2. Zrealizowanie przez Wykonawcę usługi, o których mowa w *5 potwierdzone zostanie każdorazowo protokołem wykonania usługi, sporządzonym przez Wykonawcę zgodnie z Załącznikiem nr 2A do Umowy. Protokół musi potwierdzać realizację danej usługi będącej przedmiotem Umowy, ponadto musi być podpisany przez uprawnionego przedstawiciela Użytkownika i opatrzony pieczęciąj ednostki. GWARANCJA WARUNKI SERWISOWANIA - 1. 2. 3. 4. Wykonawca odpowiada za wady prawne oraz fizyczne ujawnione w dostarczonym sprzęcie i oprogramowaniu oraz ponosi z tego tytułu wszelkie zobowiązania opisane w niniejszej Umowie. Wykonawca jest odpowiedzialny względem Zamawiającego, jeżeli dostarczony przedmiot Umowy w szczególności: 1) stanowi własność osoby trzeciej, albo jeżeli jest obciążony prawem osoby trzeciej, 2) ma wadę zniniejszającąjego wartość lub użyteczność wynikającą zjego przeznaczenia, 3) nie ma właściwości wymaganych przez Zamawiającego, 4) jest w stanie niekompletnym. O wadzie fizycznej lub prawnej przedmiotu Umowy Użytkownik zawiadamia Wykonawcę bezpośrednio lub za pośrednictwem reprezentuj ącej go jednostki organizacyjnej resortu obrony narodowej, użytkującej wyroby objęte gwarancją w chwili ujawnienia w nich wad, w celu realizacji przysługujących z tego tytułu uprawnień. Zawiadomienie nastąpi w formie „Protokołu reklamacji”. Wykonawca jest zobowiązany do usunięcia ujawnionych wad prawnych lub fizycznych w ciągu okresu określonego w gwarancji. Jeżeli w wykonaniu swoich obowiązków Wykonawca dostarczył zamiast Sprzętu wadliwego taki sam Sprzęt nowy wolny od wad albo dokonał istotnych napraw Sprzętu, termin gwarancji biegnie na nowo od chwili jego dostarczenia. Wymiany Sprzętu Wykonawca dokona bez żadnej dopłaty, nawet gdyby ceny na taki Sprzęt uległy zmianie. Na dostarczany sprzęt Wykonawca udzieli gwarancji na okres 24 miesięcy liczonej od daty podpisania protokołu przyj ęcialprzekazania. Serwis gwarancyjny realizowany będzie przez producenta lub przedstawiciela producenta w miejscu użytkowania Sprzętu, niezależne od statusu partnerskiego Wykonawcy, na potwierdzenie ww. wymogu Wykonawca dostarczy oświadczenie Producenta lub przedstawiciela producenta o wykupieniu przez Wykonawcę wymaganych przez Zamawiającego serwisów na dostarczony sprzęt. Serwis gwarancyjny będzie wykonywany dla przedmiotu Umowy, w zakresie: 1) usuwania awarii Sprzętu, także poprzez wymianę wadliwego, uszkodzonego Sprzętu lub podzespołów tego Sprzętu; 2) udostępnienia aktualizacji/poprawek oprogramowania, oprogramowanie zostanie zaktualizowane, w oparciu o przekazane aktualizacje, przez Użytkownika przy współudziale Wykonawcy. W przypadku sprzętu, dla którego jest wymagany dłuższy czas naprawy, Zamawiający dopuszcza możliwość (za zgodą Zamawiającego) zainstalowania sprzętu zamiennego o nie gorszych parametrach funkcjonalnych, z zastrzeżeniem, iż termin realizacji naprawy nie może przekroczyć 30 dni od momentu zgłoszenia usterki. Zamawiający może wykorzystać uprawnienia z tytułu gwarancji za wady prawne lub fizyczne sprzętu niezależnie od uprawnień wynikających z rękojmi. Gwarancja obejmuje również wyroby i usługi nabyte u podwykonawców. Czas reakcji na zgłoszony problem (rozumiany jako podjęcie działań diagnostycznych i kontakt ze zgłaszającym) nie może przekroczyć (4) godzin. — 5. 6. 7. 8. 9. 10. 11. IU/20 1/VII-5 I/ZO/PN/AE/DOSJKJ2OI2 Strona 5 Załącznik nr 2 do SIWZ 12. 13. Wykonawca zobowiązany jest do usunięcia usterek, awarii (naprawy lub wymiany wadliwego podzespołu, lub urządzenia) w terminie dwóch (2) dni roboczych od momentu zgłoszenia usterki lub awarii. Serwis gwarancyjny, świadczony będzie przez Wykonawcę dwadzieścia cztery (24) godziny na dobę przez pięć (5) dni roboczych w tygodniu. Wykonawca ma obowiązek przyjmowania zgłoszeń serwisowych przez dwadzieścia cztery (24) godziny na dobę przez siedem (7) dni w tygodniu przez telefon fax e-mail WWW: Wykonawca udostępniać będzie pojedynczy punkt przyjmowania zgłoszeń serwisowych. Zaproponowany pakiet serwisowy zapewniać będzie również bezpośrednie zgłoszenie awarii sprzętu do producenta sprzętu przez cały okres trwania gwarancji. Utrata roszczeń z tytułu wad prawnych lub fizycznych nie następuje mimo upływu terminu gwarancji jeżeli Wykonawca wadę podstępnie zataił. W przypadku stwierdzenia w okresie gwarancji wad prawnych lub fizycznych sprzętu Wykonawca ponadto: 1) usunie wady w miejscu, w którym zostały one ujawnione lub na własny koszt dostarczy go do swojej siedziby w celu jego usprawnienia, 2) sprzęt wolny od wad dostarczy na własny koszt do miejsca, w którym wady zostały ujawnione, 3) dokona stosownych zapisów w „Karcie Gwarancyjnej” dotyczących zakresu wykonanych napraw oraz zmiany okresu udzielonej gwarancji, 4) poniesie odpowiedzialność z tytułu przypadkowej utraty lub uszkodzenia sprzętu w czasie od przyjęcia go do naprawy do czasu przekazania sprawnego Odbiorcy, 5) w przypadku uszkodzenia nośnika lub dysku twardego zostanie on wymieniony na nowy, zaś uszkodzony nośnik lub dysk twardy pozostaje własnością Użytkownika. Użytkownik zobowiązany jest niezwłocznie poinformować Zamawiającego o przypadkach nie zrealizowania przez Wykonawcę zobowiązań wynikających z 8. Okres gwarancji reklamowanego sprzętu ulega przedłużeniu o czas jego niesprawności. Wykonawca zapewni zdalne wsparcie techniczne (telefon, e-mail lub WWW) w zakresie rozwiązywania problemów z konfiguracją i użytkowaniem oraz aktualizacją oprogramowania. W zaproponowanych pakietach serwisowych producenta Wykonawca umożliwi dostęp do pomocy technicznej Producenta (telefon, e-mail lub WWW) w zakresie rozwiązywania problemów związanych z bieżącą eksploatacją dostarczonych rozwiązań w godzinach pracy Użytkownika. Postanowienia, o których mowa w ust. 1-19, Wykonawca zamieści w załączonej do Sprzętu „Karcie Gwarancyjnej”. Wykonawca dostarczy Zamawiającemu, na 7 dni przed przekazaniem Sprzętu Odbiorcy, wzór karty gwarancyjnej wraz z „Protokołem reklamacji”. „ 14. 15. 16. 17. 18. 19. 20. 9 2. „ „ WARUNKI PŁATNOŚCI Wykonanie świadczeń objętych niniejszą Umową opłacone będzie według wartości uzgodnionej pomiędzy Zamawiającym a Wykonawcą i określonej w 2. Wykonawca pod rygorem zastosowania 12 obowiązany jest przedłożyć nie później 7 dni od daty wykonania dostawy do: 1) Zamawiającego: a) Oddział Wydatków Centralnych oryginał faktury VAT określającej numer i przedmiot Umowy; b) Oddział Informatyki i Zamówień Elektronicznych protokoły przyjęcia/przekazania, sporządzone przez Wykonawcę, o których mowa w ust. 1 oraz protokoły wykonania usługi sporządzone na zasadach o których mowa w *7 ust. 2; 2) Odbiorcy kserokopię faktury, o której mowa w pkt. 1. - - - I/20/VII-5 I /ZOfPN/AE/DOSIKJ2OI 2 Strona 6 Załącznik nr 2 do SIWi 3. 4. 5. W przypadku braku możliwości zachowania terminu płatności określonego w Umowie, w wyniku opóźnień w przesłaniu dokumentu PZ, Zamawiający dopuszcza możliwość opłacenia faktury na podstawie protokołu przyjęciaiprzekazania dla sprzętu i oprogramowania oraz protokołu wykonania usług, sporządzonego przez Wykonawcę i podpisanego przez Odbiorcę. W przypadku niedotrzymania terminu wykonania Umowy faktura powinna uwzględniać przysługuj ący opust. W razie niezastosowania się do powyższego Zamawiający wstrzyma się z płatnością do czasu otrzymania faktury korygującej. Wykonawca zobowiązany jest do przekazania kopii faktur korygujących, o których mowa w ust. 5, do Odbiorcy, w terminie pięciu (5) dni od daty przekazania ich Zamawiającemu. 1O SPOSÓBZAPLATY Zapłata za wykonanie Umowy nastąpi po terminie określonym w 3, w formie polecenia przelewu w ciągu trzydziestu (30) dni od daty otrzymania kompletu dokumentów, o których mowa w 9. Termin zapłaty uważa się za zachowany, jeżeli obciążenie rachunku dłużnika nastąpi najpóźniej w ostatnim dniu roboczym terminu płatności. 11 WIERZYTELNOŚCI Wykonawca zobowiązuje się nie dokonywać sprzedaży oraz zastawiania wierzytelności należnych od Zamawiającego bez jego zgody. 12 1. 2. 3. 4. Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 10% wartości brutto Umowy bądź niezrealizowanej części określonej w *2, gdy Zamawiający odstąpi od tej Umowy bądź jej części z powodu okoliczności za które odpowiada Wykonawca. Postanowienia dotyczące kar umownych nie wyłączają prawa Zamawiającego do dochodzenia odszkodowania uzupełniającego na zasadach ogólnych Kodeksu cywilnego, jeżeli wartość szkody przekroczy wysokość kwot wynikających z naliczonych kar umownych. Odpowiedzialność Wykonawcy z tytułu niewykonania lub nienależytego wykonania Umowy jest wyłączona z powodu siły wyższej wówczas, gdy między zdarzeniem mającym cechy siły wyższej a powstaniem szkody zachodzi bezpośredni związek przyczynowy oraz gdy szkoda ta powstanie w momencie działania siły wyższej. Wykonawca nie może powoływać się na siłę wyższą jako na okoliczność wyłączającą odpowiedzialność wtedy, gdy szkoda powstanie w wyniku nie usunięcia zagrażających bezpieczeństwu skutków działania siły wyższej oraz gdy można było im zapobiec przez ich zlikwidowanie lub gdy skutecznie ostrzeżono przed grożącym niebezpieczeństwem za pomocą powszechnie przyjętych środków. 13 1. 2. KARY UMOWNE OPUST CENOWY Zamawiającemu przysługuje opust cenowy w wysokości 0,1 % wartości dostawy nie zrealizowanej w terminie za każdy rozpoczęty dzień zwłoki, nie więcej jednak niż 10% wartości tej dostawy. Wyliczony opust pomniejsza Wartość Umowy i musi być uwzględniony w fakturze, o której mowa w 9. Podstawą do naliczenia opustu cenowego, o którym mowa w ust. 1 będzie wartość brutto niewykonanej części umowy w terminie określonym w *3. IU/20 1/VII-5 I /ZO(PN/AE(DOS/K12012 Strona? Zalącanik nr 2 do SIWZ 14 ODSTĄPIENIE OD UMOWY W przypadku uchybienia terminowi, o którym mowa w 3 przez Wykonawcę, Zamawiającemu przysługuje prawo jednostronnego odstąpienia od Umowy bądź jej części i naliczenia kar umownych przewidzianych w 12. Odstąpienie od Umowy nastąpi bez wyznaczania dodatkowego terminu jej wykonania. W razie wystąpienia istotnej zmiany okoliczności powodującej, że wykonanie Umowy nie leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy, Zamawiający może odstąpić od Umowy w terminie 30 dni od powzięcia wiadomości o tych okolicznościach. W przypadku, o którym mowa w ust. 2, Wykonawca może żądać wyłącznie wynagrodzenia należnego z tytułu wykonania części Umowy. Odstąpienie od Umowy powinno nastąpić w formie pisemnej pod rygorem nieważności takiego oświadczenia. 2. 3. 4. 15 KOOPERANCI I PODWYKONAWCY W toku realizacji Umowy Wykonawca może korzystać ze świadczeń osób trzecich jako swoich podwykonawców, przy zachowaniu następujących warunków: 1) skorzystanie ze świadczeń podwykonawców zostało przewidziane w ofercie Wykonawcy i dotyczy zakresu w niej wskazanego; 2) w każdym wypadku korzystania ze świadczeń podwykonawcy, Wykonawca ponosi pełną odpowiedzialność za wykonywanie zobowiązań przez podwykonawcę, jak za własne działanie lub zaniechanie, niezależnie od osobistej odpowiedzialności podwykonawcy wobec Zamawiającego; 3) korzystając ze świadczeń podwykonawcy, Wykonawca nałoży na niego obowiązek przestrzegania wszelkich zasad, reguł i zobowiązań określonych w umowie, w zakresie, w jakim odnosić się one będą do zakresu prac danego podwykonawcy, pozostając jednocześnie gwarantem ich wykonania oraz przestrzegania przez podwykonawcę. Wykonawca nie może zwolnić się od odpowiedzialności względem Zamawiającego z tego powodu, że niewykonanie lub nienależyte wykonanie Umowy przez Wykonawcę było następstwem niewykonania lub nienależytego wykonania zobowiązań wobec Wykonawcy przez podwykonawców. 2. 16 1. 2. UDZIELENIE UPRAWNIEŃ Wykonawca zapewnia, że korzysta z praw do przedmiotów własności przemysłowej i intelektualnej, związanych z przedmiotem niniejszej urnowy w sposób zgodny z ustawą z dnia 30 czerwca 2000 r. Prawo własności przemysłowej (Dz. U. z 2003 r. Nr 119, poz. 1117 z, późn. zm) oraz ustawą z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2006 r. Nr 90, poz. 631, z późn. zm.). Wszelkie zobowiązania wynikające z praw własności przemysłowej, w szczególności patentów, praw ochronnych, jak również praw autorskich oraz praw pokrewnych, ponosi Wykonawca. W wyniku realizacji niniejszej Umowy Użytkownikowi zostanie udzielona licencja na korzystanie z oprogramowania na zasadach i warunkach określonych przez producenta oprogramowania, z zastrzeżeniem że musi być licencją udzieloną na czas nieoznaczony, licencją niewyłączną oraz: 1) Licencja zostanie udzielona najpóźniej z dniem dostarczenia Oprogramowania do Odbiorcy; 2) Licencja jest udzielana na następujących polach eksploatacji: trwałe lub czasowe zwielokrotnianie programu komputerowego w całości lub w części jakimikolwiek środkami i wjakiejkolwiek formie; 3) Zamawiający ma prawo korzystać z oprogramowania w każdym miejscu na terytorium tU/20 ł/VII-5 1/ZOfPN/AE/DOS/KJ2O 12 Strona 8 Załączrikiir2doSIWZ Rzeczypospolitej Polskiej lub innym obszarze (terytorium) gdzie Siły Zbrojne RP prowadzą lub będą prowadzić jakiekolwiek działania. Uprawnienie powyższe, w każdym przypadku obejmuje również wykorzystanie oprogramowania w sieciach komputerowych. 17 2. 3. 4. Wszelkie oświadczenia, zawiadomienia, itp. składane przez Zamawiającego lub jednostki (komórki) organizacyjne MON lub Sił Zbrojnych i Wykonawcę mogą być dokonywane w formie pisenmej, faksem lub za pośrednictwem poczty internetowej (email), chyba że ze szczególnych postanowień Umowy wynika inaczej. Jeżeli ze szczególnych postanowień Umowy nie wynika inaczej, wszelkie powiadomienia, zawiadomienia, itp. winny być składane na adres: 1) dla Wykonawcy 2) dla Zamawiającego: Inspektorat Uzbrojenia, ul. Królewska 1/7, OO-909 Warszawa, nr faksu (+ 48) 22 6873297, e-mail: iu.oiizemon.goy.pl, 3) dla Odbiorcy Z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa oraz jeżeli ze szczególnych postanowień Umowy nie wynika inaczej, jakiekolwiek oświadczenia skierowane pod inny adres niż określony w ust. 2 nie wywołują skutków prawnych ani faktycznych. W przypadku zmian adresu, faksu, adresu emafl lub numeru telefonu Wykonawcy, o których nie powiadomił Zamawiającego, korespondencję uznaje się za doręczoną, jeśli została przekazana na adres Wykonawcy wskazany w Umowie. *18 2. 3. 4. 5. DORĘCZENIA INNE POSTANOWIENIA Niniejsza Umowa oraz wszelkie roszczenia z niej wynikające podlegają tylko i wyłącznie prawu polskiemu i zgodnie z nim będą interpretowane. Wykonawca powiadomi Zamawiającego na czternaście (14) dni przed terminem zawartym w 3, o stanie realizacji Umowy oraz niezwłocznie, gdy pojawi się zagrożenie wykonania Umowy bądź jej części. Wykonawca zobowiązany jest dostarczyć Odbiorcy i Użytkownikowi kopię Umowy siedem (7) dni po jej zawarciu. Wykonawca dostarczy Zamawiającemu (celem uzgodnienia), na siedem (7) dni przed przekazaniem sprzętu Odbiorcy, wzór „Karty Gwarancyjnej” wraz z „Protokołem reklamacji” dołączane do każdego egzemplarza sprzętu. Karta Gwarancyjna musi zawierać zapisy o których mowa w 8. Zabezpieczenie należytego wykonania Umowy wynosi zł (słownie: ) 10% łącznej wartości brutto określonej w 2 ust. 1, z czego: 1) siedemdziesiąt procent tej kwoty, tj zł (słownie )„ zostanie zwrócone Wykonawcy niezwłocznie po otrzymaniu protokołów o których mowa w ust 1 i 2, umożliwiającym stwierdzenie należytego wykonania systemu kontroli ruchu sieciowego w sieci INTER-MON, o ile nie zaistnieją przesłanki wynikaj ące z 12 i 14 niniejszej Umowy; trzydzieści procent tej kwoty, tj 2) zł (słownie ) zostanie zwrócone wraz z otrzymaniem dokumentów, umożliwiających stwierdzenie należytego wykonania postanowień umowy i usług o których mowa w 5 ust. 2 pkt 5) i 5 ust. 3 pkt 7 i 8) i 5 ust. 4 pkt 5 i 8 oraz po wygaśnięciu wszystkich uprawnień z tytułu gwarancji rękojmi za wady w terminie trzydziestu (30) dni po terminie określonym w S ust. 2 pkt 5), 5 ust. 3 pkt 7 i 8), 5 ust. 4 pkt 5 i 8. W przypadku wystąpienia ww. przesłanek Zamawiający zwróci pozostałą część zabezpieczenia po uiszczeniu przez Wykonawcę należności, o których mowa w 12 lub potrąci należności - IU/20 lNu-5 I JZO/PN/AE/DOSJK/2012 Strona 9 Załącznik nr 2 do SIWZ 6. 7. 8. z zabezpieczenia. W sprawach nie uregulowanych niniejszą Umową mają zastosowanie przepisy: 1) kodeksu cywilnego; 2) innych obowiązujących w tym zakresie aktów prawnych. Zmiany postanowień Umowy dopuszczalne są w formie pisenmej pod rygorem ich nieważności z zastrzeżeniem, że zmiany skutkujące zmianą terminu realizacji Umowy i wartości Umowy wymagają formy aneksu. W przypadku, kiedy Zamawiający będzie realizował swoje uprawnienie wynikające art. 67 ust. 1 pkt 7 ustawy z dnia 29 stycznia 2004 roku Prawo zamówień publicznych (t.j. Dz. U. z 2010 r. nr 113, poz. 759, z późn. zm.), tj.: „zamówień uzupełniających”, Wykonawca zobowiązuje się do zachowania cen poszczególnych elementów składowych przez okres 3 lat od daty zawarcia niniejszej Umowy. Spory wynikłe z niniejszej Umowy rozstrzygać będzie sąd powszechny właściwy dla siedziby Zamawiającego. Umowę niniejszą sporządzono w dwóch jednobrzmiących egzemplarzach z przeznaczeniem po jednym dla każdej ze stron. Załączniki stanowią integralną część Umowy. Umowa wchodzi w życie z dniem jej podpisania przez obydwie Strony. - 9. 10. 11. 12. Załączniki: Załącznik nr 1 Załącznik nr 2 Załącznik nr 2A specyfkacj a techniczna i ilościowa; wzór protokołu przyjęcia/przekazania; wzór protokołu wykonania usług. WYKONAWCA IU/201Jy11-5 1/ZO/PN/AE/DOSJKJ2O12 ZAMAWIAJĄCY Strona O - FORMULARZ OFERTY INSPEKTORAT UZBROJENIA PAŃSTWA ul. Królewska 1/7, OO-909 WARSZAWA SKARB 2 1 L.p. — System równoważnego wraz z oprogramowaniem oraz platformą klasy appliance i systemem raportowania w trybie „offbox”. Ochrony Web) na bazie McAfee Web Gateway lub rozwiązania dostawa i wdrożenie systemu ochrony ruchu web (SOW równoważnego, dostawa urządzeń IPS (Intrusion Preyention System) wraz ze wsparciem technicznym producenta przez okres 3 lat celem rozbudowy posiadanego systemu kontroli lub rozwiązania równowaŻnego, dostawa urządzeń firewall wraz z rozwiązaniem do centrahego zarządzania firewallami oraz wdrożeniem, szkoleniem i wsparciem technicznym producenta przez okres 5 lat lub rozwiązania Nazwa przedmiotu zamówienia Nazwa oferowana RAZEM Strona 1 Wartość brutto z VAT Oferujemy wykonanie przedmiotu zamówienia, w pełnym zakresie określonym w załączniku 1 do SIWZ za łączną wartość brutto, w tym: IU/20 1/VII-5 [/ZOJPN/AE/DOS/K120 12 1. W związku z ogłoszeniem o postępowaniu numer prowadzonym w trybie przetargu nieograniczonego na dostawę „systemu kontroli ruchu sieciowego w sieci INTER-MON”- ogłoszenie o zamówieniu opublikowane zostało w Dzienniku Urzędowym Wspólnot Europejskich ( ). REGON: NIP: adres firmy: nr telefonu: nr faksu: ZAMAWIAJĄCY Nazwa ftrmy WYKONAWCA: Załącznik nr 3 do SIWZ Oświadczamy, że istotne postanowienia umowy i zawarte w nim waruiiki płatności, stanowiący załącznik nr 2 do SIWZ został przez nas zaakceptowany. Informujemy, że ofertę zabezpieczyliśmy wadium nr 7058 o wartości Zobowiązujemy się, w przypadku wyboru naszej oferty, do zawarcia umowy na określonych w SIWZ, w miejscu i terminie wyznaczonym przez Zamawiającego. Oświadczamy, że czujemy się związani niniejszą ofertą przez czas wskazany w SIWZ, tj. przez okres dni, gdzie bieg terminu związania ofertą rozpoczyna się wraz z upływem terminu składania ofert. (*) Oświadczamy, że realizację zamówienia przedmiotu będziemy/nie będziemy powierzać podwykonawcom 4. 5. 6. 7. Pi ni metr y. yini iw IU/201fV11-5 IJZOIPNIAE/DOSIKJ2OI2 *niepotrzebne skreślić priez Zi In:Lwiajceo opisane w ZI: czii iLu ur 1 do SI WZ 1 techniczne — V. yiniga nii Specyfikacja Techniczna oferowanego przedmiotu zamówienia: IikaĘ5 leeli uikzna olcrowi I1CuI przed miotu Podpis (podpisy) osób uprawnionych do reprezentowania Wykonawcy pe i iiióis icnia Strona 2 UWAGA: Wykonawcy powierzający wykonanie części przedmiotu zamówienia podwykonawcom zobowiązani są podać zakres powierzonych im czynności. Miejscowość, data 9. 8. Oświadczamy, że zapoznaliśmy się ze wszystkimi warimkami zamówienia, SIWZ wraz z załącznikami, ich modyfikacjami, wyjaśnieniami i akceptujemy je bez jakichkolwiek zastrzeżeń. 3. zł., które wnieśliśmy w następującej formie: Realizację przedmiotu zamówienia, w pełnym zakresie określonym w SIWZ, zrealizujemy w terminie do 2. Załącznik nr 3 do SIWZ