SIWZ - zmodyfikowany z 24.05.2016
Transkrypt
SIWZ - zmodyfikowany z 24.05.2016
Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów Zamawiający: CENTRUM PRZETWARZANIA DANYCH MINISTERSTWA FINANSÓW 26-601 Radom, ul. Samorządowa 1 ujednolicona PN/2/16/VAD SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA zwana dalej „SIWZ” Postępowanie prowadzone w trybie przetargu nieograniczonego Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów postępowanie prowadzone na podstawie ustawy z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (Dz. U. z 2015 r. poz. 2164) zwanej dalej „Ustawą”. DYREKTOR Centrum Przetwarzania Danych Ministerstwa Finansów Michał Czech / podpis na oryginale/ Radom, dnia 24.05.2016 r. 1 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. ROZDZIAŁ I. OPIS PRZEDMIOTU ZAMÓWIENIA ....................................................................................... 3 ROZDZIAŁ II. TERMIN REALIZACJI PRZEDMIOTU ZAMÓWIENIA......................................................... 3 ROZDZIAŁ III. GWARANCJA I RĘKOJMIA ..................................................................................................... 4 ROZDZIAŁ IV. OFERTY CZĘŚCIOWE I WARIANTOWE ............................................................................... 4 ROZDZIAŁ V. WZÓR UMOWY......................................................................................................................... 4 ROZDZIAŁ VI. OPIS SPOSOBU OBLICZENIA CENY, ROZLICZENIA I PŁATNOŚCI ................................ 4 ROZDZIAŁ VII. WARUNKI UDZIAŁU W POSTĘPOWANIU ........................................................................... 5 ROZDZIAŁ VIII. OPIS SPOSOBU DOKONANIA OCENY SPEŁNIENIA WARUNKÓW ................................ 5 ROZDZIAŁ IX. WYMAGANE OŚWIADCZENIA ORAZ DOKUMENTY POTWIERDZAJĄCE SPEŁNIENIE PRZEZ WYKONAWCĘ WARUNKÓW OKREŚLONYCH W SIWZ ............ 6 ROZDZIAŁ X. WYMAGANIA DOTYCZĄCE WADIUM .............................................................................. 10 ROZDZIAŁ XI. SPOSÓB PRZYGOTOWANIA OFERTY ................................................................................ 12 ROZDZIAŁ XII. TERMIN ZWIĄZANIA OFERTĄ ............................................................................................ 15 ROZDZIAŁ XIII. INFORMACJA O SPOSOBIE POROZUMIEWANIA SIĘ ZAMAWIAJĄCEGO Z WYKONAWCAMI................................................................................................................. 15 ROZDZIAŁ XIV. MIEJSCE I TERMIN SKŁADANIA OFERT ........................................................................... 16 ROZDZIAŁ XV. OTWARCIE OFERT................................................................................................................. 16 ROZDZIAŁ XVI. KRYTERIA OCENY OFERT ................................................................................................... 16 ROZDZIAŁ XVII. ZAMÓWIENIA UZUPEŁNIAJĄCE ........................................................................................ 17 ROZDZIAŁ XVIII. PRZEWIDYWANE MOŻLIWOŚCI DOKONANIA ISTOTNYCH ZMIAN W UMOWIE I WARUNKI WPROWADZANIA ZMIAN ............................................................................. 17 ROZDZIAŁ XIX. INFORMACJE O FORMALNOŚCIACH, JAKIE POWINNY ZOSTAĆ DOPEŁNIONE PO ZAKOŃCZENIU POSTĘPOWANIA W CELU ZAWARCIA UMOWY ....................... 19 ROZDZIAŁ XX. ŚRODKI OCHRONY PRAWNEJ PRZYSŁUGUJĄCE WYKONAWCY .............................. 20 ROZDZIAŁ XXI. SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA ...................................................... 20 ROZDZIAŁ XXII. OPIS ŚRODOWISKA ZAMAWIAJĄCEGO .......................................................................... 33 WYKAZ ZAŁĄCZNIKÓW: ...................................................................................................................................... 34 2 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. ROZDZIAŁ I. OPIS PRZEDMIOTU ZAMÓWIENIA 1. Przedmiotem zamówienia jest: 1) sprzedaż przez Wykonawcę na rzecz Zamawiającego wraz z dostawą, rozładunkiem i instalacją: a) systemu IPS; b) 2 sztuk urządzeń tworzących system Firewall; c) 2 sztuk urządzeń typu Router na styku z siecią publiczną oraz dostawa 4 sztuk wkładek w standardzie Ethernet 10G; d) 2 modułów z portami w standardzie Ethernet 10G do rozbudowy klastra Juniper SRX 3400; e) 2 modułów interfejsów Ethernet 10G do rozbudowy przełączników rdzeniowych Cisco Catalyst 6504-E; wraz ze wszystkimi elementami do montażu i okablowaniem. 2) Świadczenie usługi wsparcia technicznego dla dostarczonego systemu IPS oraz systemu Firewall, 3) Przeprowadzenie przeszkoleń: a) dla 4 pracowników Zamawiającego z obsługi dostarczanego systemu IPS, b) dla 2 pracowników Zamawiającego z obsługi dostarczanego systemu Firewall. 2. Szczegółowy opis przedmiotu zamówienia zawiera Rozdział XXI SIWZ. 3. Szczegółowy zakres i zasady realizacji przedmiotu zamówienia zawiera Wzór Umowy stanowiący Załącznik C do SIWZ. 4. Nazwa i kod CPV odpowiadający przedmiotowi zamówienia: 32420000-3 – Urządzenia sieciowe. 72611000-6 – Usługi w zakresie wsparcia technicznego. ROZDZIAŁ II. TERMIN REALIZACJI PRZEDMIOTU ZAMÓWIENIA 1. Termin realizacji przedmiotu zamówienia: 1) wykonanie przedmiotu zamówienia, o którym mowa w Rozdziale I ust. 1 pkt 1) w terminie 60 dni od dnia zawarcia Umowy. 2) świadczenie usługi wsparcia technicznego, o której mowa w Rozdziale I ust. 1 pkt 2) przez okres 36 miesięcy: a) dla systemu IPS, b) dla systemu Firewall. 3) przeprowadzenie przeszkoleń, o których mowa w Rozdziale I ust.1 pkt 3) w terminie 30 dni od daty podpisania Protokołu Odbioru Jakościowego Sprzętu bez zastrzeżeń. 3 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 2. Szczegóły dotyczące terminów oraz sposób realizacji poszczególnych obowiązków Wykonawcy, składających się na przedmiot zamówienia zostały określone we Wzorze Umowy stanowiącym Załącznik C do SIWZ. ROZDZIAŁ III. GWARANCJA I RĘKOJMIA 1. Zamawiający wymaga gwarancji na dostarczony Sprzęt na okres nie krótszy niż 36 miesięcy od dnia podpisania przez obie strony bez zastrzeżeń Protokołu Odbioru Jakościowego. 2. Wykonawca gwarantuje, że w przypadku, gdy dostarczony Sprzęt nie będzie właściwie współdziałać ze sprzętem i oprogramowaniem funkcjonującym u Zamawiającego i/lub spowoduje zakłócenia w funkcjonowaniu pracy środowiska sprzętowo-programowego u Zamawiającego, Wykonawca pokryje wszelkie koszty związane z przywróceniem i sprawnym działaniem infrastruktury sprzętowo-programowej Zamawiającego oraz na własny koszt dokona niezbędnych modyfikacji przywracających właściwe działanie środowiska sprzętowo-programowego Zamawiającego również po usunięciu tego Sprzętu. 3. Szczegóły dotyczące zasad realizacji gwarancji i rękojmi zostały określone we Wzorze Umowy stanowiącym Załącznik C do SIWZ. ROZDZIAŁ IV. OFERTY CZĘŚCIOWE I WARIANTOWE 1. Zamawiający nie dopuszcza składania ofert częściowych. 2. Zamawiający nie dopuszcza składania ofert wariantowych. ROZDZIAŁ V. WZÓR UMOWY Wzór umowy stanowi Załącznik C do SIWZ. ROZDZIAŁ VI. OPIS SPOSOBU OBLICZENIA CENY, ROZLICZENIA I PŁATNOŚCI 1. Cena oferty brutto musi obejmować wszelkie elementy cenotwórcze realizacji przedmiotu zamówienia, w tym koszty gwarancji, dostawy i transportu, niezbędne opłaty i podatki w tym podatek od towarów i usług (VAT) oraz wszelkie inne koszty do poniesienia przez Wykonawcę, a konieczne do wykonania przedmiotu zamówienia. 2. Cena oferty stanowi sumę: a) iloczynu cen jednostkowych i ilości sztuk sprzętu b) wartości usług wsparcia technicznego dla systemu IPS i sytemu Firewall. 3. Cena, o której mowa w ust. 1 musi być wyrażona w złotych polskich. 4 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 4. Rozliczenia między Zamawiającym a Wykonawcą będą prowadzone w złotych polskich, wg wartości nominalnej przedmiotu zamówienia. 5. Szczegółowy sposób rozliczeń, w tym podstawy dokonywania płatności jest określony we Wzorze Umowy stanowiący Załącznik C do SIWZ. 6. Zamawiający za poprawną przyjmie cenę jednostkową 1 szt. sprzętu brutto wyrażoną liczbą w kol 4 części 1 Formularza oferty stanowiącego załącznik A do SIWZ bez względu na sposób jej obliczenia. 7. W zakresie ceny za wykonanie zamówienia Zamawiający rozbieżność w cenie podanej liczbą w stosunku do ceny podanej słownie potraktuje, jako oczywistą omyłkę pisarską zgodnie w art. 87 ust. 2 pkt 1 Ustawy. ROZDZIAŁ VII. WARUNKI UDZIAŁU W POSTĘPOWANIU 1. O udzielenie zamówienia mogą ubiegać się wykonawcy, którzy spełniają warunki dotyczące: a) posiadania uprawnień do wykonywania określonej działalności lub czynności, jeżeli przepisy prawa nakładają obowiązek ich posiadania; b) posiadania wiedzy i doświadczenia; c) dysponowania odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia; d) sytuacji ekonomicznej i finansowej. 2. Nie podlegają wykluczeniu na podstawie art. 24 Ustawy. ROZDZIAŁ VIII. OPIS SPOSOBU DOKONANIA OCENY SPEŁNIENIA WARUNKÓW 1. Wykonawca jest zobowiązany wykazać, nie później niż na dzień składania ofert, spełnianie warunków, o których mowa w art. 22 ust. 1 Ustawy, i brak podstaw do wykluczenia z powodu niespełnienia warunków, o których mowa w art. 24 ust. 1 Ustawy. 2. Wykonawcy wspólnie ubiegający się o udzielenie zamówienia, muszą wykazać się: 2.1. łącznie spełnianiem warunków, których określenie zawiera ROZDZIAŁ VII ust. 1) SIWZ, 2.2. indywidualnie tj. każdy z osobna, spełnianiem warunku, którego określenie zawiera ROZDZIAŁ VII ust. 2) SIWZ. 3. Warunek, który określa ROZDZIAŁ VII ust. 1) lit. a) SIWZ: Zamawiający nie wyznacza szczegółowego warunku w tym zakresie. 4. Warunek, który określa ROZDZIAŁ VII ust. 1) lit. b) SIWZ - zostanie uznany za spełniony, gdy Wykonawca wykaże się wykonaniem a w przypadku świadczeń okresowych lub 5 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. ciągłych również wykonywaniem, w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, co najmniej: 1) jedną dostawą polegającą na dostawie i instalacji systemu IPS, 2) jedną dostawą polegającą na dostawie i instalacji urządzeń typu Router, 3) jedną dostawą polegającą na dostawie i instalacji urządzeń typu Firewall, o wartości, co najmniej 100 000 złotych (brutto) każda. Przez jedną dostawę rozumie się dostawę wykonaną w ramach jednej umowy. 5. Warunek, który określa ROZDZIAŁ VII ust. 1) lit. c) SIWZ - zostanie uznany za spełniony, gdy Wykonawca wykaże, że dysponuje lub będzie dysponował: a) minimum jedną osobą posiadająca wiedzę w zakresie instalacji, konfiguracji i zarządzania dostarczanymi urządzeniami typu IPS, b) minimum jedną osobą posiadająca wiedzę w zakresie instalacji, konfiguracji i zarządzania dostarczanymi urządzeniami typu Router, c) minimum jedną osobą posiadająca wiedzę w zakresie instalacji, konfiguracji i zarządzania dostarczanymi urządzeniami Firewall. 6. W celu wykazania spełnienia warunku udziału w postepowaniu określonego w ust 5 Wykonawca może polegać na osobach zdolnych do wykonania zamówienia innych podmiotów, niezależnie od charakteru prawnego łączących go z nimi stosunków na zasadach określonych w art. 26 ust. 2b Ustawy. W przypadku korzystania z wiedzy i doświadczenia Wykonawca zobowiązany jest udowodnić Zamawiającemu, iż będzie dysponował tymi zasobami w trakcie realizacji zamówienia. Podmiot, który zobowiązał się do udostępnienia zasobów zgodnie z art. 26 ust. 2b Ustawy, odpowiada solidarnie z Wykonawcą za szkodę Zamawiającego powstałą wskutek nieudostępnienia tych zasobów, chyba że za nieudostępnienie zasobów nie ponosi winy. 7. Warunek, który określa ROZDZIAŁ VII ust. 1) lit. d) SIWZ: Zamawiający nie wyznacza szczegółowego warunku w tym zakresie. 8. Warunek, o którym mowa w ROZDZIAŁ VII ust. 2) SIWZ zostanie uznany za spełniony, gdy Wykonawca wykaże, iż nie podlega wykluczeniu z udziału w postępowaniu. 9. Zamawiający dokona oceny spełniania przez Wykonawców warunków określonych w SIWZ metodą „spełnia”/„nie spełnia”. Niespełnienie któregokolwiek z warunków spowoduje wykluczenie Wykonawcy z postępowania. ROZDZIAŁ IX. WYMAGANE OŚWIADCZENIA ORAZ DOKUMENTY POTWIERDZAJĄCE SPEŁNIENIE 6 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. PRZEZ WYKONAWCĘ WARUNKÓW OKREŚLONYCH W SIWZ A. W celu oceny spełniania warunków udziału w postępowaniu do oferty należy załączyć: 1. Oświadczenie Wykonawcy o spełnianiu warunków udziału w postępowaniu, określonych w art. 22 ust. 1 Ustawy. 2. Wykaz wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych, głównych dostaw, w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których dostawy zostały wykonane, oraz załączeniem dowodów, czy zostały wykonane lub są wykonywane należycie (jeśli dowodem jest poświadczenie, to w odniesieniu do nadal wykonywanych usług okresowych lub ciągłych poświadczenie powinno być wydane nie wcześniej niż na 3 miesiące przed upływem terminu składania ofert) - potwierdzający spełnianie warunku udziału w postępowaniu. W przypadku gdy Zamawiający jest podmiotem, na rzecz którego dostawy wykazane w wykazie zostały wykonane Wykonawca nie ma obowiązku przedkładania dowodów, o których mowa powyżej. 3. Wykaz osób, które będą uczestniczyć w wykonywaniu zamówienia, w szczególności odpowiedzialnych za świadczenie instalacji, konfiguracji i zarządzania wraz z informacjami na temat ich kwalifikacji zawodowych i doświadczenia niezbędnych dla wykonania zamówienia, a także zakresu wykonywanych przez nie czynności, oraz informację o podstawie do dysponowania tymi osobami. B. W celu oceny braku podstaw do wykluczenia z postępowania o udzielenie zamówienia wykonawcy w okolicznościach, o których mowa w art. 24 ust. 1 Ustawy należy złożyć następujące dokumenty: 1. Oświadczenie o braku podstaw do wykluczenia z postępowania z powodu niespełnienia warunków, o których mowa w art. 24 ust. 1 Ustawy; 2. Aktualny odpis z właściwego rejestru lub z centralnej ewidencji i informacji o działalności gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji, w celu wykazania braku podstaw do wykluczenia w oparciu o art. 24 ust. 1 pkt 2 Ustawy, wystawionego nie wcześniej niż 6 miesięcy przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia albo składania ofert. 7 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 3. Aktualne zaświadczenie właściwego naczelnika urzędu skarbowego potwierdzające, że Wykonawca nie zalega z opłacaniem podatków, lub zaświadczenie, że uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu - wystawione nie wcześniej niż 3 miesiące przed upływem terminu składania. 4. Aktualne zaświadczenie właściwego oddziału Zakładu Ubezpieczeń Społecznych lub Kasy Rolniczego Ubezpieczenia Społecznego potwierdzające, że Wykonawca nie zalega z opłacaniem składek na ubezpieczenia zdrowotne i społeczne, lub potwierdzenie, że uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu - wystawione nie wcześniej niż 3 miesiące przed upływem terminu składania ofert. 5. Aktualna informacja z Krajowego Rejestru Karnego w zakresie określonym w art. 24 ust. 1 pkt 4-8 Ustawy, wystawiona nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert. 6. Aktualna informacja z Krajowego Rejestru Karnego w zakresie określonym w art. 24 ust. 1 pkt 9 Ustawy, wystawiona nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert. 7. Aktualna informacja z Krajowego Rejestru Karnego w zakresie określonym w art. 24 ust. 1 pkt 10-11 Ustawy, wystawiona nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert. C. Pozostałe wymagane do oferty dokumenty i oświadczenia, o ile dotyczą: 1. W przypadku Wykonawcy mającego siedzibę na terytorium Rzeczypospolitej Polskiej, osoby, o których mowa w art. 24 ust. 1 pkt 5-8, 10 i 11 Ustawy, mają miejsce zamieszkania poza terytorium Rzeczypospolitej Polskiej, Wykonawca składa w odniesieniu do nich zaświadczenie właściwego organu sądowego albo administracyjnego miejsca zamieszkania dotyczące niekaralności tych osób w zakresie określonym w art. 24 ust. 1 pkt 5-8, 10 i 11 Ustawy, wystawione nie wcześniej niż 6 miesięcy przed upływem terminu składania wniosków o dopuszczenie do udziału w postępowaniu o udzielenie zamówienia albo składania ofert, z tym, że w przypadku, gdy w miejscu zamieszkania tych osób nie wydaje się takich zaświadczeń - zastępuje się je dokumentem zawierającym oświadczenie złożone przed właściwym organem 8 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. sądowym, administracyjnym albo organem samorządu zawodowego lub gospodarczego miejsca zamieszkania tych osób lub przed notariuszem. 2. Jeżeli Wykonawca ma siedzibę lub miejsce zamieszkania poza terytorium Rzeczypospolitej Polskiej, zamiast dokumentów: 1) o których mowa w lit. B ust. 2, 3, 4 i 6 SIWZ - składa dokument lub dokumenty wystawione w kraju, w którym ma siedzibę lub miejsce zamieszkania, potwierdzające odpowiednio, że: a) nie otwarto jego likwidacji ani nie ogłoszono upadłości, b) nie zalega z uiszczaniem podatków, opłat, składek na ubezpieczenie społeczne i zdrowotne albo że uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu, c) nie orzeczono wobec niego zakazu ubiegania się o zamówienie; 2) o których mowa w lit. B ust. 5 i 7 SIWZ - składa zaświadczenie właściwego organu sądowego lub administracyjnego miejsca zamieszkania albo zamieszkania osoby, której dokumenty dotyczą, w zakresie określonym w art. 24 ust. 1 pkt 4-8, 10 i 11 Ustawy. 3. Dokumenty, o których mowa w ust. 2 pkt. 1) lit. a) i c) oraz pkt 2), powinny być wystawione nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert. Dokument, o którym mowa w ust. 2 pkt 1) lit. b), powinien być wystawiony nie wcześniej niż 3 miesiące przed upływem terminu składania ofert. 4. Jeżeli w kraju miejsca zamieszkania osoby lub w kraju, w którym Wykonawca ma siedzibę lub miejsce zamieszkania, nie wydaje się dokumentów, o których mowa w ust. 2, zastępuje się je dokumentem zawierającym oświadczenie, w którym określa się także osoby uprawione do reprezentacji wykonawcy, złożone przed właściwym organem sądowym, administracyjnym albo organem samorządu zawodowego lub gospodarczego odpowiednio kraju miejsca zamieszkania osoby lub kraju, w którym Wykonawca ma siedzibę lub miejsce zamieszkania, lub przed notariuszem. Postanowienie ust. 3 stosuje się odpowiednio. 5. W przypadku wątpliwości, co do treści dokumentu złożonego przez Wykonawcę mającego siedzibę lub miejsce zamieszkania poza terytorium Rzeczypospolitej Polskiej, Zamawiający może zwrócić się do właściwych organów odpowiednio kraju miejsca zamieszkania osoby lub kraju, w którym Wykonawca ma siedzibę lub miejsce 9 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. zamieszkania, z wnioskiem o udzielenie niezbędnych informacji dotyczących przedłożonego dokumentu. 6. Każdy z wspólnie ubiegających się o udzielenie zamówienia Wykonawców musi złożyć odrębne dokumenty określone w lit. B ust. 1-7 przy czym mają zastosowanie postanowienia zawarte w lit. C. 7. Zaleca się, aby dokumenty wymienione w lit. A ust. 1,2,3 oraz lit. B. ust. 1 zostały złożone wg odpowiedniego wzoru, który określa Załącznik B do SIWZ, przy czym w przypadku nie zastosowania tego wzoru złożony dokument musi zawierać wszystkie informacje i dane określone w ww. wzorze. 8. Dokument zawierający dowód, zgodnie z art. 26 ust. 2b Ustawy, że Wykonawca będzie dysponował zasobami innych podmiotów do realizacji zamówienia w zakresie osób zdolnych do wykonania zamówienia wskazanych w ofercie oraz wiedzy i doświadczenia - o ile dotyczy. ROZDZIAŁ X. WYMAGANIA DOTYCZĄCE WADIUM 1. Wykonawca przystępujący do przetargu jest zobowiązany wnieść wadium w wysokości: 60 000,00 zł (słownie: sześćdziesiąt tysięcy złotych); 2. Wadium wnosi się przed upływem terminu składania ofert. 3. Wadium może być wnoszone w jednej lub kilku następujących formach: 1) w pieniądzu, 2) poręczeniach bankowych lub poręczeniach spółdzielczej kasy oszczędnościowokredytowej, z tym, że poręczenie kasy musi być poręczeniem pieniężnym, 3) gwarancjach bankowych, 4) gwarancjach ubezpieczeniowych, 5) poręczeniach udzielanych przez podmioty, o których mowa w art. 6b ust. 5 pkt 2) ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2007 r. Nr 42, poz. 275, z późn. zm.). 4. Wniesione wadium musi obejmować okres związania ofertą i nie może zawierać żadnych ograniczeń sprzecznych z ustawą Prawo zamówień publicznych, w szczególności ograniczających możliwość zrealizowania praw określonych w art. 46 ust. 4a i 5 Ustawy. 5. W przypadku wnoszenia wadium w formie gwarancji bankowej lub ubezpieczeniowej, gwarancja musi być gwarancją nieodwołalną, bezwarunkową i płatną na pierwsze pisemne żądanie Zamawiającego, sporządzoną zgodnie z obowiązującymi przepisami i powinna zawierać następujące elementy: 10 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 1) nazwę dającego zlecenie (Wykonawcy), beneficjenta gwarancji (Zamawiającego), gwaranta (banku lub instytucji ubezpieczeniowej udzielających gwarancji) oraz wskazanie ich siedzib, 2) kwotę gwarancji, 3) termin ważności gwarancji np. w formule: „od dnia - do dnia". 6. W przypadku wnoszenia wadium w formie gwarancji bankowej lub ubezpieczeniowej oryginał niniejszych gwarancji należy dołączyć do oferty. 7. Wadium wniesione w pieniądzu musi być przelane na rachunek bankowy Centrum Przetwarzania Danych Ministerstwa Finansów: Narodowy Bank Polski Oddział Okręgowy Warszawa 66 1010 1010 0038 3813 9120 0000 1) Zaleca się dołączenie do oferty kserokopii dokumentu potwierdzającego dokonanie przelewu, 2) Za skuteczne wniesienie wadium w pieniądzu, Zamawiający uzna wadium, które znajdzie się na rachunku bankowym Zamawiającego przed upływem terminu składania ofert. 8. Zamawiający zwraca wadium wszystkim Wykonawcom niezwłocznie po wyborze oferty najkorzystniejszej lub unieważnieniu postępowania, z wyjątkiem Wykonawcy, którego oferta została wybrana jako najkorzystniejsza, z zastrzeżeniem przypadku określonego w art. 46 ust. 4a Ustawy. 9. Zamawiający zwraca wadium Wykonawcy, którego oferta została wybrana, jako najkorzystniejsza niezwłocznie po zawarciu umowy w sprawie zamówienia publicznego oraz wniesieniu zabezpieczenia należytego wykonania umowy (o ile jest wymagane). 10. W przypadku gdy Wykonawca nie wskaże w ofercie nr rachunku bankowego na jakie należy zwrócić wadium, Zamawiający zwróci je na rachunek bankowy, z którego dokonano wpłaty wadium. 11. Zamawiający zwraca niezwłocznie wadium, na wniosek Wykonawcy, który wycofał ofertę przed upływem terminu składania ofert. 12. Zamawiający żąda ponownego wniesienia wadium przez wykonawcę, któremu zwrócono wadium na podstawie 46 ust. 1 Ustawy, jeżeli w wyniku rozstrzygnięcia odwołania jego oferta została wybrana jako najkorzystniejsza. Wykonawca wnosi wadium w terminie określonym przez Zamawiającego. 13. Zamawiający zatrzymuje wadium wraz z odsetkami, jeżeli : 11 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 1) Wykonawca, którego oferta została wybrana odmówił podpisania umowy w sprawie zamówienia publicznego na warunkach określonych w ofercie, lub nie wniósł zabezpieczenia należytego wykonania umowy, 2) zawarcie umowy w sprawie zamówienia publicznego stało się niemożliwe z przyczyn leżących po stronie Wykonawcy, 3) jeżeli Wykonawca w odpowiedzi na wezwanie, o którym mowa w art. 26 ust. 3 Ustawy, z przyczyn leżących po jego stronie nie złożył w wymaganym terminie dokumentów lub oświadczeń, o których mowa w art. 25 ust. 1 Ustawy, pełnomocnictw ,listy podmiotów należących do tej samej grupy kapitałowej, o której mowa w art. 24 ust. 2 pkt 5 Ustawy, lub informacji o tym, że nie należy do grupy kapitałowej, lub nie wyraził zgody na poprawienie omyłki, o której mowa w art. 87 ust. 2 pkt 3 Ustawy, co powodowało brak możliwości wybrania oferty złożonej przez Wykonawcę jako najkorzystniejszej. 14. Zasady wnoszenia wadium określone w niniejszym Rozdziale dotyczą również przedłużania ważności wadium oraz wnoszenia nowego wadium w przypadkach określonych w ustawie. 15. Zamawiający wykluczy z postępowania na podstawie art. 24 ust. 2 pkt 2 Ustawy Wykonawców, którzy nie wniosą wadium w określonym terminie i prawidłowej formie lub złożą wadliwe wadium, w tym również na przedłużony okres związania ofertą lub w sytuacji, o której mowa w art. 46 ust. 3 Ustawy. ROZDZIAŁ XI. SPOSÓB PRZYGOTOWANIA OFERTY 1. Ofertę należy sporządzić w języku polskim z zachowaniem formy pisemnej w postaci wydruku komputerowego, maszynopisu lub czytelnego pisma odręcznego. W przypadku załączenia dokumentów w języku obcym niezbędne jest przedstawienie ich tłumaczenia na język polski poświadczone przez Wykonawcę. 2. Treść oferty musi odpowiadać treści SIWZ. 3. Do przygotowania oferty zaleca się wykorzystanie: 1) Formularza ofertowego, którego wzór stanowi Załącznik A do SIWZ, 2) Specyfikacji parametrów i cech Sprzętu, którego wzór stanowi Załącznik A1 do Formularza Ofertowego, lub zawarcie wymaganych w ww. formularzach informacji na początku oferty. 4. Oferta musi zawierać: 1) pełną nazwę Wykonawcy; 2) adres siedziby Wykonawcy; 12 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 3) dokumenty i oświadczenia określone w ROZDZIALE IX; 4) cena musi zawierać wszelkie koszty, wyliczone zgodnie z postanowieniami ROZDZIAŁU VI; 5) termin realizacji przedmiotu zamówienia; 6) okres gwarancji; 7) listę podmiotów należących do grupy kapitałowej, w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. Nr 50, poz. 331, z późn. zm.), albo informację o tym, że nie należy do grupy kapitałowej; 8) jeśli Wykonawca zamierza skorzystać z usług podwykonawców przy realizacji przedmiotowego zamówienia, obowiązany jest wskazać w ofercie część zamówienia, której wykonanie zleci podwykonawcom – o ile dotyczy; 5. Dokumenty muszą być przedłożone w oryginale lub kserokopii poświadczonej za zgodność z oryginałem przez Wykonawcę, z zastrzeżeniem dokumentu, o którym mowa w ROZDZIALE X ust. 5 oraz dokumentu, o którym mowa w ust. 7 niniejszego rozdziału. 6. W przypadku Wykonawców wspólnie ubiegających się o udzielenie zamówienia oraz w przypadku innych podmiotów, na zasobach, których Wykonawca polega na zasadach określonych w 26 ust. 2b Ustawy, kopie dokumentów dotyczących odpowiednio Wykonawcy lub tych podmiotów są poświadczane za zgodność z oryginałem odpowiednio przez Wykonawcę lub te podmioty. 7. Oferta, oświadczenia oraz dokumenty wystawione przez Wykonawcę muszą być podpisane przez Wykonawcę albo osoby uprawnione do jego reprezentowania (przy czym oryginał pełnomocnictwa lub uwierzytelniona kopia muszą być dołączone do oferty). Kopia pełnomocnictwa nie może być uwierzytelniona przez upełnomocnionego. Kopia pełnomocnictwa musi był uwierzytelniona notarialnie. 8. Wskazane jest: 1) aby oferta była zapakowana w dwie koperty: koperta zewnętrzna, bez cech identyfikacyjnych Wykonawcy oznaczona: „Oferta w postępowaniu o udzielenie zamówienia publicznego na Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów.”, „Nie otwierać przed: …… ……. 2016 r. godz. …… (data i godzina zgodna z terminem otwarcia ofert), 2) koperta wewnętrzna, oznaczona jak wyżej oraz opatrzona nazwą i adresem Wykonawcy, zawierająca ofertę; 3) ponumerowanie stron oferty i opatrzenie każdej strony podpisem Wykonawcy; 13 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 4) podanie nazwisk osób upoważnionych do kontaktów z Zamawiającym w czasie trwania postępowania o udzielenie zamówienia publicznego; 5) wskazanie nr: NIP, Regon i telefon; 6) załączenie spisu zawartości oferty; 7) przedstawienie informacji, oświadczeń i dokumentów w porządku określonym w niniejszej specyfikacji. 9. Części oferty zastrzeżone przez Wykonawcę, jako stanowiące tajemnicę przedsiębiorstwa, w rozumieniu przepisów o zwalczaniu nieuczciwej konkurencji, powinny być zawarte w ofercie w sposób umożliwiający Zamawiającemu udostępnienie jawnych elementów oferty innym uczestnikom postępowania. 10. Wykonawca zobowiązany jest nie później niż w terminie składania ofert zastrzec, które z zawartych w ofercie informacji stanowią tajemnicę przedsiębiorstwa i nie mogą być udostępniane oraz wykazać, iż zastrzeżone informacje stanowią tajemnicę przedsiębiorstwa. Wykonawca w celu wykazania, iż zastrzeżone informacje stanowią tajemnice przedsiębiorstwa zobowiązany jest dołączyć do oferty pisemne uzasadnienie co do charakteru zastrzeżonych w niej informacji. Uzasadnienie ma na celu udowodnienie spełnienia przesłanek określonych w art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2013 r. nr 153 poz.. 1503 z późn. zm.) tj. że zastrzeżona informacja: 1) ma charakter techniczny, technologiczny lub organizacyjny przedsiębiorstwa, 2) nie została ujawniona do wiadomości publicznej, a także, 3) podjęto w stosunku do niej niezbędne działania w celu zachowania poufności. 4) zaleca się aby uzasadnienie, o którym mowa w ust. 9 było sformułowane w sposób umożliwiający jego udostępnienie po upływie terminu, o którym mowa w ust. 11. 11. Zastrzeżenie przez Wykonawcę tajemnicy przedsiębiorstwa bez uzasadnienia, o którym mowa w ust. 10 będzie traktowane przez Zamawiającego jako bezskuteczne ze względu na zaniechanie przez Wykonawcę podjęcia niezbędnych działań w celu zachowania poufności objętych klauzulą informacji; a w przypadku zamówień o wartości równej lub nie przekraczającej kwoty określonej w przepisach wydanych na podstawie art. 11 ust. 8 Ustawy Zamawiający niezwłocznie zawiadomi Wykonawcę o stwierdzeniu bezskuteczności zastrzeżenia , o którym mowa w art. 8 ust. 3 zdanie pierwsze ustawy oraz ujawni zastrzeżone informacje po upływie terminu do wniesienia odwołania albo ogłoszeniu przez Krajową Izbę Odwoławczą wyroku lub postanowienia kończącego postępowanie odwoławcze w tym zakresie. 14 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 12. Zamawiający dokona oceny skuteczności zastrzeżenia przez Wykonawcę tajemnicy przedsiębiorstwa na postawie uzasadnienia, o którym mowa w ust. 10. Negatywna weryfikacja przez Zamawiającego wystąpienia niezbędnej przesłanki decydującej o skuteczności dokonania zastrzeżenia zakazu udostępniania informacji albo brak w/w pisemnego uzasadnienia wywołuje konsekwencje w postaci wyłączenia przewidzianego w art. 8 ust. 3 zdanie pierwsze Ustawy zakazu ujawniania informacji bezzasadnie zastrzeżonych przez Wykonawcę. ROZDZIAŁ XII. TERMIN ZWIĄZANIA OFERTĄ 1. Wykonawca pozostaje związany złożoną ofertą przez okres 60 dni. 2. Bieg terminu związania ofertą rozpoczyna się wraz z upływem terminu składania ofert. ROZDZIAŁ XIII. INFORMACJA O SPOSOBIE POROZUMIEWANIA SIĘ ZAMAWIAJĄCEGO Z WYKONAWCAMI 1. Osoby uprawnione do porozumiewania się z Wykonawcami: Anna Dobrzańska fax 48 367-36-73 [email protected] adres do korespondencji: Wydział Zamówień Publicznych Centrum Przetwarzania Danych Ministerstwa Finansów ul. Samorządowa 1 26-601 Radom 2. Wszystkie pytania dotyczące wyjaśnienia treści SIWZ należy kierować w formie pisemnej, emailem lub faksem do osoby uprawnionej do bezpośredniego kontaktu z Wykonawcami. 3. Oświadczenia, wnioski, zawiadomienia oraz informacje Zamawiający i Wykonawca przekazują pisemnie, emailem lub faksem. 4. Nie przewiduje się zwołania zebrania Wykonawców. 5. Domniemywa się, iż pismo wysłane przez Zamawiającego na numer faksu, lub adres poczty elektronicznej podany przez Wykonawcę zostało mu doręczone w sposób umożliwiający zapoznanie się Wykonawcy z treścią pisma. 6. Informacyjnie: Wydział Zamówień Publicznych Centrum Przetwarzania Danych Ministerstwa Finansów pracuje codziennie od poniedziałku do piątku z wyłączeniem dni ustawowo wolnych od pracy, w godzinach 8:00-16:00. 15 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. ROZDZIAŁ XIV. MIEJSCE I TERMIN SKŁADANIA OFERT 1. Ofertę należy złożyć w Centrum Przetwarzania Danych Ministerstwa Finansów ul. Samorządowa 1; 26-601 Radom, pokój 1.14. 2. Oferta winna być dostarczona do miejsca wskazanego w ust. 1 za potwierdzeniem doręczenia. 3. Termin składania ofert upływa dnia 16.06.2016 r. o godzinie 10:00. ROZDZIAŁ XV. OTWARCIE OFERT Oferty zostaną otwarte dnia 16.06.2016 r. o godzinie 10:15 w Centrum Przetwarzania Danych Ministerstwa Finansów ul. Samorządowa 1; 26-601 Radom, pokój 1.14. (wejście przez biuro przepustek). ROZDZIAŁ XVI. KRYTERIA OCENY OFERT 1. Przy wyborze oferty Zamawiający będzie się kierował następującymi kryteriami: l.p. 1. 2. Kryterium Waga 95 % 5% Cena Okres gwarancji 2. Ocena ofert dokonywana będzie według następujących zasad: a) cena brutto oferty za realizację całego zamówienia (C)– według następującego wzoru: najniższa cena oferty brutto C Cena brutto oferty= x 95 cena oferty badanej brutto Dla kryterium „Cena brutto oferty” przyjmuje się, że 1% = 1 pkt i tak zostanie przeliczona liczba punktów. b) okres gwarancji (G) według następującego zestawienia: Okres gwarancji w miesiącach G Okres gwarancji = Ilość punktów za dany okres gwarancji 36 42 48 0 1 5 Minimalny okres gwarancji wynosi 36 miesięcy. 16 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. Dla kryterium „Okres gwarancji ” liczba punktów została podana bezpośrednio. Maksymalna liczba punktów do uzyskania w tym kryterium wynosi 5,00. Jeśli Wykonawca w ofercie nie zaznaczy oferowanego okresu gwarancji przyjmuje się, że Wykonawca oferuje minimalny wymagany okres gwarancji wynoszący 36 miesięcy i otrzyma 0 punktów w kryterium „Okres gwarancji”, Informacje dotyczące okresu gwarancji jaki oferuje Wykonawca nie będą podlegały uzupełnieniu i nie będzie można uzyskać dodatkowej liczby punktów w kryterium „Okres gwarancji” w wyniku złożenia wyjaśnień w tej kwestii przez Wykonawcę po otwarciu ofert. 3. Łączna ocena punktowa (P) będzie stanowiła sumę punktów uzyskanych we wszystkich wyżej wymienionych kryteriach i zostanie obliczona zgodnie z poniższym wzorem: P=C+G gdzie: P - łączna ocena punktowa przyznana Wykonawcy, C - liczba punktów przyznanych Wykonawcy w kryterium „Cena”, G - liczba punktów przyznanych Wykonawcy w kryterium „Okres gwarancji” 4. Zamawiający dokona wyboru oferty o najwyższej liczbie uzyskanych punktów, wg ww. kryteriów, wyliczonych wg wzoru określonego w ust. 3 spośród ofert nieodrzuconych złożonych przez Wykonawców niepodlegających wykluczeniu. 5. Za najkorzystniejszą zostanie uznana oferta, która uzyska łącznie najwyższą liczbę punktów. ROZDZIAŁ XVII. ZAMÓWIENIA UZUPEŁNIAJĄCE Zamawiający nie przewiduje udzielania zamówień uzupełniających. ROZDZIAŁ XVIII. PRZEWIDYWANE MOŻLIWOŚCI DOKONANIA ISTOTNYCH ZMIAN W UMOWIE I WARUNKI WPROWADZANIA ZMIAN 1. Zamawiający przewiduje możliwość zmian postanowień Umowy w przypadkach, gdy: 1) nastąpi zmiana powszechnie obowiązujących przepisów prawa w zakresie mającym wpływ na realizację przedmiotu Umowy; 2) zmianie podlega sposób wykonania zobowiązania, o ile zmiana taka jest korzystna dla Zamawiającego, z wyjątkiem sytuacji, gdy zmiana ta ingeruje w treść oferty lub jest istotna, lub o ile zmiana taka jest konieczna dla wykonania celu Umowy; 17 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 3) niezbędna jest zmiana terminu realizacji Umowy w przypadku zaistnienia okoliczności lub zdarzeń uniemożliwiających realizację Umowy w wyznaczonym terminie, na które Strony nie miały wpływu; 4) w zakresie zmniejszenia wynagrodzenia Wykonawcy i zasad płatności tego wynagrodzenia w sytuacji, gdy konieczność wprowadzenia zmian wynika z okoliczności, których nie można było przewidzieć w chwili zawarcia Umowy lub zmiany te są korzystne dla Zamawiającego, w szczególności w przypadku zmniejszenia zakresu przedmiotu Umowy; 5) powstała możliwość zastosowania nowszych i korzystniejszych dla Zamawiającego rozwiązań technologicznych lub technicznych, niż te istniejące w chwili podpisania Umowy, nie powodujących zmiany przedmiotu Umowy; 6) dojdzie do zwiększenia bądź zmniejszenia stawek podatku od towarów i usług dotyczących przedmiotu Umowy w wyniku zmiany ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług ((t.j. Dz.U. z 2011 r., Nr 177, poz. 1054 z poźn. zm.), które wejdą w życie po dniu zawarcia Umowy, a przed wykonaniem przez Wykonawcę obowiązku, po wykonaniu którego Wykonawca jest uprawniony do uzyskania wynagrodzenia jeżeli zmiana ta wpłynie na koszty wykonania zamówienia przez Wykonawcę. W takim wypadku wynagrodzenie Wykonawcy ulega odpowiedniemu zwiększeniu bądź zmniejszeniu, jeżeli w wyniku zastosowania zmienionych stawek ww. podatku ulega zmianie kwota należnego podatku oraz wynagrodzenie Wykonawcy uwzględniające podatek od towarów i usług; 7) nastąpi zmiana wysokości minimalnego wynagrodzenia ustalonego przez obowiązujące przepisy w stosunku do stanu z chwili zawarcia umowy, jeżeli zmiana ta wpłynie na koszty wykonania zamówienia przez Wykonawcę. Do zmiany dojdzie w ten sposób, że Wykonawca po tej zmianie przedstawi zanonimizowaną listę płac osób uczestniczących przy wykonaniu Umowy wraz ze wskazaniem procentowego zaangażowania w realizację zamówienia objętego umową i wykaże jak zmiana ta wpłynęła na koszt wykonania zamówienia, w szczególności wykazując stan sprzed zawarcia umowy dokumentami z datą pewną. Zamawiający od następnego Okresu Rozliczeniowego zwiększy wynagrodzenie Wykonawcy różnicę pomiędzy otrzymywanym minimalnym wynagrodzeniem po zmianie, a otrzymywanym minimalnym wynagrodzeniem przed zmianą, z tym ze jeżeli w wyniku zmiany mogłoby dojść do przekroczenia łącznego wynagrodzenia Wykonawcy określonego w § 11 ust. 1 Wzoru Umowy przez cały okres obowiązywania umowy, to Zamawiającemu przysługuje prawo wypowiedzenia umowy z 3-miesięcznym okresem wypowiedzenia; 8) nastąpi zmiana zasad podlegania ubezpieczeniom społecznym lub ubezpieczeniu zdrowotnemu lub wysokości stawki składki na ubezpieczenia społeczne lub zdrowotne w stosunku do dnia zawarcia umowy, jeżeli zmiana ta wpłynie na koszty wykonania zamówienia przez Wykonawcę. Do zmiany dojdzie w ten sposób, że Wykonawca po zmianie zasad przedstawi zanonimizowaną listę płac i odprowadzanych składek na powyższe ubezpieczenie osób uczestniczących przy wykonaniu Umowy wraz ze wskazaniem procentowego zaangażowania w realizację zamówienia objętego umową i wykaże jak zmiana ta wpłynęła na koszt wykonania zamówienia, w szczególności wykazując stan sprzed zawarcia umowy dokumentami z datą pewną. Zamawiający od 18 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. następnego Okresu Rozliczeniowego zwiększy wynagrodzenie Wykonawcy o różnicę pomiędzy uiszczanymi składkami po zmianie, a uiszczanymi składkami przed zmianą, z tym ze jeżeli w wyniku zmiany mogłoby dojść do przekroczenia łącznego wynagrodzenia Wykonawcy określonego w § 11 ust. 1 Wzoru Umowy przez cały okres obowiązywania umowy, to Zamawiającemu przysługuje prawo wypowiedzenia umowy z 3-miesięcznym okresem wypowiedzenia. 2. Wszelkie zmiany i uzupełnienia Umowy wymagają formy pisemnej pod rygorem nieważności. ROZDZIAŁ XIX. INFORMACJE O FORMALNOŚCIACH, JAKIE POWINNY ZOSTAĆ DOPEŁNIONE PO ZAKOŃCZENIU POSTĘPOWANIA W CELU ZAWARCIA UMOWY 1. Przed zawarciem umowy Wykonawca zobowiązany jest dostarczyć Zamawiającemu szczegółowy wykaz cen poszczególnych urządzeń, w tym urządzeń wchodzących w skład oferowanego systemu IPS, wskazanych w formularzu ofertowym. 2. Przed zawarciem umowy Wykonawca zobowiązany jest dostarczyć Zamawiającemu kopie certyfikatów / innych dokumentów potwierdzających posiadanie przez osoby wymienione w załączniku do oferty pn. „Wykaz osób” wiedzy w zakresie w zakresie instalacji, konfiguracji i zarządzania urządzeniami typu IPS, Router, Firewall, przy czym certyfikaty/ inne dokumenty muszą być aktualne w dniu zawarcia umowy. 3. Wykonawca zobowiązany jest w przypadku osób posiadających certyfikat / inny dokument, o których mowa w ust 1, w terminie 7 dni przed utratą ich ważności w okresie realizacji zamówienia do ponownego przedstawienia Zamawiającemu ważnego certyfikatu / innego dokumentu. 4. Zmiana osób wskazanych przez Wykonawcę do realizacji przedmiotu zamówienia w „Wykazie osób” załączonym do oferty następuje wyłącznie za zgodą Zamawiającego, przy czym nowa osoba musi posiadać kwalifikacje/uprawnienia co najmniej takie same jakie posiada osoba, którą zastępuje. 5. Wykonawca, którego oferta zostanie wybrana, zobowiązany jest przed zawarciem Umowy wnieść zabezpieczenie należytego wykonania Umowy. 6. Zamawiający ustala wysokość zabezpieczenia należytego wykonania umowy w wysokości 5 % wartości Umowy. 7. Zabezpieczenie zostanie zwolnione zgodnie z warunkami określonymi w Umowie. 8. Zabezpieczenie może być wnoszone w jednej lub kilku następujących formach: w pieniądzu, poręczeniach lub gwarancjach bankowych, poręczeniach spółdzielczej kasy 19 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. oszczędnościowo-kredytowej (z tym, że zobowiązanie kasy jest zawsze zobowiązaniem pieniężnym) gwarancjach ubezpieczeniowych lub poręczeniach udzielanych przez podmioty, o których mowa w art. 6b ust. 5 pkt. 2) ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości. 9. Zamawiający nie wyraża zgody na wniesienie zabezpieczenia w wekslach z poręczeniem wekslowym banku lub spółdzielczej kasy oszczędnościowo-kredytowej, przez ustanowienie zastawu na papierach wartościowych emitowanych przez Skarb Państwa lub jednostkę samorządu terytorialnego oraz przez ustanowienie zastawu rejestrowego na zasadach określonych w przepisach o zastawie rejestrowym i rejestrze zastawów. 10. Wykonawca, którego oferta zostanie wybrana zobowiązany jest do zawarcia Umowy według Wzoru Umowy. 11. Przed zawarciem Umowy Wykonawca zobowiązany jest przedstawić umowę regulującą współpracę podmiotów występujących wspólnie (o ile występują). ROZDZIAŁ XX. ŚRODKI OCHRONY PRAWNEJ PRZYSŁUGUJĄCE WYKONAWCY 1. W toku postępowania o udzielenie zamówienia przysługują środki ochrony prawnej przewidziane w Dziale VI Ustawy Prawo zamówień publicznych. 2. Odwołanie wnosi się w terminie: 1) 10 dni od dnia przesłania informacji o czynności zamawiającego stanowiącej podstawę jego wniesienia - jeżeli zostały przesłane faksem lub pocztą elektroniczną, albo w terminie 15 dni - jeżeli zostały przesłane w inny sposób, 2) 10 dni od dnia publikacji ogłoszenia w Dzienniku Urzędowym Unii Europejskiej lub zamieszczenia specyfikacji istotnych warunków zamówienia na stronie internetowej, wobec treści ogłoszenia o zamówieniu, a jeżeli postępowanie jest prowadzone w trybie przetargu nieograniczonego (procedury otwartej), także wobec postanowień specyfikacji istotnych warunków zamówienia, 3) 10 dni od dnia, w którym powzięto lub przy zachowaniu należytej staranności można było powziąć wiadomość o okolicznościach stanowiących podstawę jego wniesienia, wobec czynności innych niż określone w ust. 1 i 2. 20 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. ROZDZIAŁ XXI. I. SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. SPECYFIKACJA TECHNICZNA PRZEDMIOTU, O KTÓRYM MOWA W ROZDZIALE I UST. 1 PKT. 1) - DOSTAWA I INSTALACJA SYSTEMU IPS Minimalne wymagania techniczne i funkcjonalne dla systemu IPS ELEMENT/CECHA 1. Architektura sprzętowa CHARAKTERYSTYKA 1) Zestaw urządzeń HA (para standalone+failover) typu appliance, do wykrywania i zapobiegania włamaniom oraz ochrony Dos/DDoS wraz z oprogramowaniem i systemem zarządzania 2) Każdy element zestawu gotowy do montażu w standardowych szafach 19” (elementy montażowe i kable zasilające muszą być w zestawie) 3) Dodatkowy, redundantny zasilacz dla każdego elementu składowego zestawu - z możliwością pracy w trybie hot-swap, 4) Zasilacze przystosowane do zasilania prądem przemiennym o napięciu 220-240V/50Hz 5) Zestaw działający w warstwie drugiej OSI, z możliwością pracy w następujących topologiach: a. Inline : fail close; bez ograniczania możliwości pracy w trybie fail open, jeśli Zamawiający będzie dysponował w przyszłości odpowiednimi modułami/okablowaniem fail open dla używanych interfejsów monitorujących IPS, b. Out of path: z użyciem portów SPAN lub urządzeń typu TAP device; możliwa integracja ze switchami Ethernet do przekierowywania ruchu w momencie wystąpienia ataku c. Asymetrycznym (ruch powrotny lub inicjowany kierowany jest inną trasą) 6) Dedykowany port zarządzania typu Ethernet 2. Wymagane technologie zaimplementowane w zestawie 1) IPS (Instrusion Prevention System) - oparty na sygnaturach 2) Bezsygnaturowa (signature-less) analiza malware’u 3) Analiza behawioralna ataków w oparciu o przepływy sieciowe 4) Możliwość korzystania z zewnętrznych systemów reputacyjnych 5) Firewall lub inny mechanizm, umożliwiający zignorowanie inspekcji IPS w oparciu o adresację źródłową, docelową, porty i protokoły komunikacyjne. 3. 3. Wymagane typy ochrony przed zagrożeniami 1) Sieciowymi a. DoS/DDoS floods, b. TCP floods, c. UDP floods, d. ICMP floods, e. IGMP floods 2) Skanowaniem a. TCP, b. UDP, c. PING, 21 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 3) SYN (dowolne typy ataków SYN flood) 4) Limitowaniem połączeń w ramach protokołów a. TCP, b. UDP, c. ICMP d. IP, 5) Mechanizm selektywnego blokowania ataków pochodzących z jednego źródła (adresu IP) z rozróżnianiem sesji legalnego ruchu od ataku typu DoS 6) Mechanizm selektywnego blokowania ataków pochodzących z wielu źródeł (adresów IP) z rozróżnianiem sesji legalnego ruchu od ataku typu DoS/DDoS 7) HTTP flood (np. HTTP GET flood) i pochodne 8) Malware (worm, trojan, spyware, backdoor) 9) Nieuprawniony dostęp a. Black list, b. White list, c. Access Control List, d. IP Reputation, 10) Zaimplementowane mechanizmy zarządzanie pasmem 11) Zaimplementowane mechanizmy ograniczania ilości połączeń 12) Powyższe funkcje muszą być dostępne w wersji IPv4 oraz IPv6 4. Wymagania odnośnie wstępnej konfiguracji 1) Przed wdrożeniem systemu, musi on być skonfigurowany co najmniej do pełnego blokowania (DROP) następujących ataków: a. Apache mod_cgi Bash Environment Variable Code Injection (HTTP); CVE-2014-6271, CVE-2014-7169, CVE-2014-6278, CVE-2014-6277 b. Apache Win32 Directory Listing (HTTP) c. Attempt to Read Password File (HTTP) d. Back Orifice2K Communication; MS98-010 e. CISCO IOS DoS; CVE-2000-0984 f. Cross Site Scripting - Script Attempt Found in HTTP request; CVE-2000-0746, CVE-2001-1161, CVE-2002-0250, CVE-20020292, CVE-2002-0326, CVE-2002-0148, CVE-2002-0074, CVE2002-0075, CVE-2004-0591, CVE-2004-0520, CVE-2004-2115, CVE-2004-1875, CVE-2005-0495, CVE-2006-3918, CVE-20071358, CVE-2009-1975, CVE-2009-1968, CVE-2009-1872, CVE2009-1874, CVE-2009-1875, CVE-2009-1879, CVE-2010-0817, MS10-039 g. Destination Unreachable DOS (ICMP) h. DMail Buffer Overflow; CVE-2000-0490 i. IIS Translate F Read Source Code; CVE-2000-0778, MS00-058 j. IRC Client Activity Detected k. ISC BIND 9 Dynamic Update Denial-of-Service Vulnerability; CVE-2009-0696 l. HTML Content Over FTP Evasion Attempt m. Microsoft SMTP Service DNS resolver overflow; CVE-2004-0840 n. Nachi-like Ping; W32/Nachi 22 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. o. Nachi Worm Host Sweep; CVE-2003-0352, MS03-026 p. OpenSSL TLS DTLS Heartbeat Extension Packets Information Disclosure; CVE-2014-0160 q. OPT Denial of Service; CVE-2002-1220 r. Oracle BEA WebLogic Server Apache Connector DoS Vulnerability; CVE-2008-3257 s. Overly Long POST URI in HTTP Request; CVE-2008-3257 t. Shellcode/Exploit Detected for i386 Family CPUs u. SSH Server Running on Non-Standard Port v. TeamViewer Traffic Detected w. Tinba Bot Traffic Detected x. Too Many Command Errors Occurred (SMTP) y. Tor-Privoxy Tunnel Detected z. Trojan Backdoor W32/GGDoor aa. Trojan MSIL; tj: Win-Trojan/Hupigon.86016.AM (AhnLab), W32/Trojan2.NMDK (Command), Trojan horse Generic20.BOWC (AVG), TR/Scapfrog.A (Avira), Trojan.Generic.KDV.102762 (BitDefender), Win32/Scapfrog.A (CA), BackDoor.Siggen.27588 (Dr.Web), Gen.Variant.MSILKrypt (Ikarus) bb. Unix Command Shell Running (unencrypted traffic to server) cc. Windows Password Guessing (NETBIOS); CVE-2000-0979, MS00-072 dd. XDR Fragment Decoding Buffer Overflow; CVE-2003-0033 2) Ustawienia dla blokowania pozostałych ataków, muszą być zgodne z rekomendacjami producenta systemu IPS. 3) Przed wdrożeniem systemu, musi mieć on również włączone moduły IPS, bezsygnaturowej analizy malware’u i analizy behawioralnej ataków, system reputacyjny dla adresów będących źródłami ataków oraz firewall lub inny mechanizm, umożliwiający zignorowanie inspekcji IPS w oparciu o adresy IP, porty lub protokoły sieciowe. 5. Wymagane parametry pojedynczego urządzenia 1) 5Gbps – wymagana wydajność minimalna dla zastosowania IPS 2) Całkowita wydajność urządzenia, nie mniejsza niż: 10Gbps 3) 6 000 000 – wymagana minimalna liczba jednoczesnych sesji 4) 150 mikro sekund lub mniejsze – opóźnienie wprowadzane przez system 5) 5Gbps - wymagana wydajność minimalna deszyfrowania sesji SSL (przy 10% zawartości SSL w całkowitym strumieniu danych) 6) Wymagana ilość interfejsów sieciowych monitorujących, nie mniejsza niż: a. 4 x 10Gbps – w technologii SFP+, z wkładkami umożliwiającymi podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR) b. 4 x 1Gbps – w technologii SFP/FO, z wkładkami umożliwiającymi podłączenie/transmisję za pomocą światłowodu wielomodowego, pracującego na długości fali 850nm c. 6 x 1Gbps – RJ45 7) Port zarządzający Ethernet RJ45 1 x 10/100/1000 8) Zarządzanie i konfiguracja w oparciu o: a. HTTPS, b. HTTP, 23 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. c. SSH, 9) Raportowanie w oparciu o: a. SNMP, b. Log File, c. Syslog, d. E-mail, e. Dedykowany system zarządzania. 10) Synchronizacja urządzenia z serwerami czasu NTP 11) Wsparcie dla protokołów: a. 802.1.q, b. L2TP, c. MPLS, d. GRE, 12) Wsparcie dla Jumbo Frames 13) Pełne wsparcie dla protokołu IPv4 oraz IPv6 14) Wykrywanie anomalii w pakietach: a. Invalid TCP Header Length b. Invalid UDP Header Length c. Invalid TCP Flags d. Unsupported L4 Protocol e. Invalid IPv4 Header or Total Length f. Incorrect IPv4 Checksum g. Unrecognized L2 Format h. TTL Less Than or Equal to 1 i. Inconsistent IPv6 Headers j. IPv6 Hop Limit Reached k. Source or Destination Address same as Local Host l. Source Address same as Dest. Address (np.:Land Attack) m. L4 Source or Destination Port Zero 15) Typy akcji podjęte w przypadku wykrycia ataku: a. odrzucenie pakietu (drop), b. tylko raportowanie, c. reset połączenia (dla źródła lub celu oraz w obu kierunkach), d. zawieszenie połączenia (dowolna kombinacja parametrów: adres źródłowy, port źródłowy, adres docelowy, port docelowy) w kwarantannie, e. Challenge-Response dla ataków używających protokołów HTTP (co najmniej 302 redirection) 6. System zarządzania 1) System zarządzania sensorami IPS, w postaci zewnętrznego urządzenia lub zintegrowanego z urządzeniem służącym wykrywania i zapobiegania włamaniom oraz ochrony Dos/DDoS musi posiadać poniższe właściwości: a. Interfejs graficzny, b. Monitorowanie pracy każdego z urządzeń chroniących przed atakami, c. Monitorowanie i prezentowanie w czasie rzeczywistym aktywnych ataków, 24 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. d. Prezentowanie ataków w określonym przedziale czasowym, e. Umożliwiać analizę trendu ataków, w zdefiniowanych przedziałach czasowych, f. Monitorowanie i prezentowanie w czasie rzeczywistym statystyk aktywnego ruchu sieciowego, g. Możliwością wyświetlenia szczegółów ataku (charakterystyka, przykładowe pakiety źródłowe, docelowe, wywołujące atak, sygnatura użyta do blokowania, próbka ruchu – payload, rekomendacja dla metody przeciwdziałania) h. Prezentowanie danych geolokalizacyjnych dotyczących źródeł ataku na podstawie źródłowego adresu IP, i. Wyświetlanie raportów (pdf, tekst, html) w oparciu o dane historyczne, automatyczne tworzenie i wysyłanie raportów wcześniej zdefiniowanych j. Możliwość zarządzania politykami, ACL, użytkownikami k. Eksport logów co najmniej do formatu tekstowego 2) System zarządzania powinien zapewniać możliwość współpracy z co najmniej sześcioma sondami skanującymi (sensorami), bez konieczności wykupywania dodatkowych licencji w przyszłości. 3) System zarządzania powinien zapewniać z zewnętrznymi systemami typu SIEM możliwość integracji 4) Szczegóły ataku muszą zawierać następujące informacje (jeśli są dostępne dla danego typu ataku): a. b. c. d. e. f. g. h. i. j. k. l. m. n. o. p. q. r. s. t. u. v. w. x. y. 1. Wymagania dodatkowe Attack Name Attack Description Bandwidth Benign Trigger Probability Destination IP Destination Port Detection Mechanism Direction Fragmentation Offset Fragmentation Flag ICMP Message Type Interface L4 Checksum Packet Size Packet Count Payload Protocol Severity Signature Source IP Source Ports TCP Sequence Number Time TTL VLAN 1) Poprawna praca urządzeń w temperaturze od 10 do 35 °C; 2) Poprawna praca przy wilgotności powietrza od 5% do 50% zakładając 25 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. brak występowania zjawiska kondensacji pary wodnej. II. SPECYFIKACJA TECHNICZNA PRZEDMIOTU ZAMÓWIENIA, O KTÓRYM MOWA W ROZDZIALE I UST. 1 PKT. 2) „DOSTAWA I INSTALACJA URZĄDZEŃ TYPU FIREWALL.” Wymagania techniczne i funkcjonalne dla pojedynczego urządzenia klastra Firewalla brzegowego. ELEMENT/CECHA 1. Wydajność CHARAKTERYSTYKA 1) Całkowita wydajność urządzenia w trybie stateful inspection musi być nie mniejsza niż 10 Gbps 2) Całkowita wydajność urządzenia w trybie stateful inspection dla typowego profilu ruchu (tj. dla HTTP/HTTPS, SMTP i DNS w proporcjach odpowiednio: 80, 10 i 10 procent całości ruchu) musi być nie mniejsza niż 5 Gbps 3) Całkowita wydajność ruchu IPSec VPN (3DES/AES) musi być nie mniejsza niż 2 Gbps 4) Maksymalna liczba obsługiwanych jednoczesnych połączeń musi być nie mniejsza niż 2 mln 5) Maksymalna liczba obsługiwanych nawiązywanych połączeń musi być nie mniejsza niż 125 tys./sek. 6) Maksymalna liczba obsługiwanych pakietów musi być nie mniejsza niż 3 mln/sek. 2. Interfejsy fizyczne 10 Gbps 1) Urządzenie musi być wyposażone w co najmniej 2 interfejsy Ethernet 10 Gbps wraz z wkładkami SFP+, 2) Urządzenie musi mieć możliwość rozbudowy o 4 porty tego typu 3. Interfejsy fizyczne 1 Gbps 1) Urządzenie musi być wyposażone w co najmniej 8 interfejsów Ethernet 10/100/1000 Mbps zakończonych wtykiem RJ45 2) Urządzenie musi być wyposażone w co najmniej 4 interfejsy 1 Gbps SFP wraz z wkładkami tego typu. 4. Interfejsy wirtualne 1) Urządzenie musi umożliwiać tworzenie interfejsów wirtualnych (VLAN) w liczbie do 1024 2) Urządzenie musi wspierać technologię VXLAN 5. Interfejsy zarządzające Urządzenie musi być wyposażone w 2 interfejsy do zarządzania w standardzie 10/100/1000 Mbps 6. Port konsoli Urządzenie musi posiadać port RJ45 konsoli do zarządzania lokalnego 7. Port AUX Urządzenie musi posiadać port AUX do zarządzania zdalnego 8. Port USB Urządzenie musi posiadać port USB 9. Wsparcie protokołów routingu IPv4 Urządzenie musi zapewniać: 1) Routowanie statyczne IP. 2) Routowanie dynamiczne za pomocą protokołów: a. RIPv1/v2, b. OSPFv2, c. BGP 3) Obsługę Policy Base Routing (PBR) 26 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 4) Wyodrębnione routowanie do sieci zarządzającej poprzez interfejs zarządzający 10. Wsparcie protokołów IPv4 multicast Urządzenie musi zapewniać: 1) Obsługę protokołów multicast-owych: a. IGMP (Internet Group Management Protocol) v1/v2/v3 z możliwością blokowania na interfejsie b. PIM (Protocol Independent Multicast) DM/SM; z możliwością blokowania na interfejsie 2) Obsługę routingu multicast-owego 11. Wsparcie protokołów sieciowych Urządzenie musi zapewniać wsparcie dla protokołów: 1) DHCP Server/Relay/Client 2) DNS Client 3) NTP Client 4) Telnet Server/Client 5) SSH Server/Client 6) FTP Client 7) TFTP Client 12. Wsparcie IPv6 Urządzenie musi zapewniać: 1) Obsługę Stateful NAT64 oraz NAT66 2) Obsługę DNS64 3) Obsługę DHCP v6 Relay 4) Obsługę IPv6 Neighbor Discovery 5) Dual stack forwarding 6) Obsługę statycznego routingu IPv6 7) Obsługę dynamicznego routingu OSPF IPv6 8) Obsługę ruchu multicast-owego IPv6 9) Zunifikowaną obsługę list kontroli dostępu dla adresów IPv4 oraz IPv6 13. Wsparcie dla mechanizmów QoS Urządzenie musi zapewniać: 1) Klasyfikację ważności ruchu na bazie: a. protokołu sieciowego b. źródłowego i docelowego adresu IP c. numeru portu TCP lub UDP d. znacznika DSCP/TOS 2) Traffic policing na wejściu i wyjściu interfejsu sieciowego 3) Kolejkowanie pakietów zgodnie z algorytmami: a. FIFO, b. LLQ (Low Latency Queue - Priority Queue) 14. Bezpieczeństwo urządzenia Urządzenie musi zapewniać: 1) Obsługę list kontroli dostępu do urządzenia 2) Obsługę protokołów: a. AAA 27 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. b. RADIUS c. SSH v2 d. RSA e. IPSec, IKE v1, IKE v2 f. TLS v 1, TLS v 1.1, TLS v 1.2 3) Hierarchizację ról zarządzania 15. Usługi bezpieczeństwa Urządzenie musi zapewniać: sieciowego 1) Ochronę nielimitowanej liczby adresów sieci wewnętrznych i DMZ 2) Pracę w trybie routowania lub w trybie transparentnym 3) Następujące funkcje bezpieczeństwa: a. Stateful firewall b. Packet filter (przy asymetrycznym ruchu sieciowym) c. Inspekcja ruchu w warstwie aplikacyjnej, co najmniej dla protokołów: HTTP, SMTP, DNS, SQLNET, FTP, SIP, H323, RTSP, DCERPC, SUNRPC d. Obsługa list kontroli dostępu filtrujących ruch w oparciu o co najmniej: adresy IP źródła i celu, protokół, numer portu TCP/UDP, aktualny czas systemowy, identyfikator użytkownika, interfejs sieciowy urządzenia (input) e. Obsługa anty-spoofingu na interfejsach sieciowych Weryfikacja zgodności transmitowanych pakietów z protokołem (packet sanity, TCP normalization) g. Weryfikacja fragmentacji transmitowanych pakietów f. h. Obsługa funkcji NAT (w trybie statycznym i dynamicznym) z możliwością szczegółowego definiowania translacji w zależności od: adresów IP źródła i celu, protokołów sieciowych, numerów portu TCP/UDP, interfejsów sieciowych urządzenia (w relacji input-output) i. Wykrywanie ataków sieciowych ma chronione zasoby, w tym także prób skanowania Podstawowe mechanizmy blokowania ataków sieciowych, w tym także prób skanowania k. Możliwość definiowania granularnych polityk opisujących parametry i limity dla obsługi połączeń sieciowych do chronionych zasobów na poziomie warstw 3 i 4 modelu ISO/OSI j. Możliwość tworzenia lokalnego CA (Certificate Authority) na urządzeniu lub klastrze urządzeń m. Tworzenie tuneli VPN w liczbie do 10 tys. l. n. Obsługa protokołów IPSec, IKE v1, IKE v2 o. Obsługa algorytmów kryptograficznych DES, 3DES, AES-128, AES-192, AES-256 p. Obsługa kluczy kryptograficznych o długości 28 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. do 4096 bitów q. Możliwość szczegółowej filtracji ruchu transmitowanego przez tunele VPN terminowane na urządzeniu r. 16. Redundancja i agregacja Filtracja ruchu BotNet w oparciu o dostarczane i aktualizowane przez producenta listy dynamiczne oraz listy statyczne definiowane lokalnie. Maksymalna liczba wpisów do listy statycznej nie może być mniejsza niż 1000. Licencja dla tej funkcjonalności musi być ważna co najmniej przez cały okres wsparcia świadczonego przez Wykonawcę. Urządzenie musi zapewniać: 1) Możliwość tworzenia klastrów HA typu active/standby i active/active złożonych, z co najmniej dwóch urządzeń tego samego typu 2) Możliwość tworzenia klastrów wydajnościowych złożonych, z co najmniej dwóch urządzeń tego samego typu 3) Możliwość agregowania interfejsów fizycznych 10/100/1000 Mbps w ramach pojedynczego urządzenia pracującego samodzielnie lub w klastrze typu active/standby lub w klastrze typu active/active, ze wsparciem dla protokołu LACP 4) Możliwość agregowania interfejsów fizycznych 10/100/1000 Mbps należących do różnych urządzeń pracujących w ramach tego samego klastra wydajnościowego, ze wsparciem dla protokołu LACP lub jego rozszerzenia 17. Zarządzanie Urządzenie musi zapewniać: 1) Konfigurację za pomocą zestawu poleceń (CLI) oraz interfejsu graficznego (GUI) 2) Konfigurację poprzez port konsoli zarządzania. 3) Konfigurację zdalną za pomocą Telnet i SSH 4) Zdalną konfigurację poprzez port AUX. 5) Obsługę protokołów i funkcji SNMP (v1, v2c, v3). 6) Składowanie logów systemowych na zewnętrznym serwerze i w pamięci urządzenia 7) Alarmy hierarchiczne. 8) Obsługę poleceń typu ping i traceroute 18. Zgodność ze standardami zarządzania Urządzenie musi być kompatybilne z posiadanym przez Zamawiającego systemem zarządzania/monitorowania urządzeń sieciowych CISCO PRIME 19. Obudowa Obudowa urządzenia musi: 1) Być dostosowana do montażu w szafie stelażowej 19”. 2) Mieć maksymalnie wysokość: 2 RU (Rack Unit). 20. Zasilanie Wymagane warunki zasilania urządzenia: 1) Napięcie zmienne: 230 V, 50 Hz 2) Minimum dwa zasilacze zapewniające redundancję zasilania 29 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. N+N lub N+M, typu hot-plug. Połowa spośród zainstalowanych zasilaczy musi zapewniać możliwość zasilenia w pełni wyposażonego urządzenia, przy zachowaniu jego pełnych możliwości operacyjnych. III. SPECYFIKACJA TECHNICZNA PRZEDMIOTU ZAMÓWIENIA, O KTÓRYM MOWA W ROZDZIALE I UST. 1 PKT. 3) „DOSTAWA I INSTALACJA 2 SZTUK URZĄDZEŃ TYPU ROUTER NA STYKU Z SIECIĄ PUBLICZNĄ ORAZ DOSTAWA 4 SZTUK WKŁADEK W STANDARDZIE ETHERNET 10G WRAZ Z INSTALACJĄ.” 1. Minimalne wymagania techniczne i funkcjonalne dla urządzenia typu router. ELEMENT/CECHA CHARAKTERYSTYKA 1. Wydajność Całkowita wydajność routera nie mniejsza niż 5Gbps 2. Interfejsy 10Gbps Ruter musi być wyposażony w co najmniej 2 porty Ethernet 10Gbps, przy czym 2 muszą być zakończone fizycznymi modułami/wkładkami typu SFP+, umożliwiającymi podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR). Ponadto router musi zapewniać możliwość rozbudowy o co najmniej jeden port tego typu. 3. Interfejsy 1Gbps Ruter musi być wyposażony w co najmniej 6 portów Ethernet 1Gbps wykonane w standardzie SFP, gdzie 4 muszą być zakończone fizycznymi modułami/wkładkami ze stykiem typu RJ-45 4. Port konsoli Ruter musi posiadać port konsoli do zarządzania lokalnego 5. Port AUX Ruter musi posiadać port AUX do zarządzania zdalnego 6. Port USB Ruter musi posiadać port USB 7. Wsparcie protokołu warstwy L2 1) Ruter musi umożliwiać obsługę protokołów warstwy L2: a. ARP: Dynamic/static ARP, proxy ARP b. Ethernet, sub-interface VLAN c. PPPoE server d. PPP, e. FR, FRF12 fragment, FR f. HDLC 8. Wsparcie protokołów rutingu IP 1) Rutowanie statyczne IP. 2) Rutowanie dynamiczne za pomocą protokołów: a. RIPv1/v2, b. OSPFv2, c. BGP, IS-IS. 9. Wsparcie protokołów IPv4 multicast 1) Obsługa protokołów multikastowych: a. IGMP (Internet Group Management Protocol) v1/v2/v3; b. PIM (Protocol Independent Multicast) DM/SM; c. MSDP (Multicast Source Discovery Protocol); d. MBGP 2) Multicast static routing; 10. Wsparcie protokołów sieciowych 1) Obsługa protokołów: a. DHCP Server/Relay/Client; b. DNS Client; c. NTP Server/Client; d. Telnet Server/Client; e. SSH Server/Client f. TFTP Client; g. FTP Client; 30 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. h. UDP Helper; 11. Wsparcie IPv6 1) Obsługa: a. IPv6 ND, b. IPv6 PMTU, c. dual-stack forwarding, d. IPv6 ACL; e. tunel IPv6: a) IPv6 tunelowane w IPv4; b) automatyczne tunelowanie IPv6 w IPv4; c) tunel Intra-Site Automatic Tunnel Addressing Protocol. f. Rutowanie statyczne. g. Rutowanie dynamiczne za pomocą protokołów: a) RIPng, b) OSPFv3, c) IS-ISv6, d) BGP dla IPv6. h. Obsługi transmisji multikastowej IPv6: a) MLDv1/v2, b) PIM-DM, c) PIM-SM, d) PIM-SSM 12. Wsparcie QoS 1) Klasyfikacja ważności ruchu na bazie: a. numeru portu adresu IP, b. techniką IEEE 802.1p CoS, c. DSCP lub numeru portu TCP lub UDP i typu protokołu; d. znacznikowanie ważności; e. kolejkowanie zgodnie z algorytmami: a) FIFO, b) PQ, c) CQ, d) WFQ, e) CBWFQ. f. Unikanie zakleszczeń zgodnie z algorytmem: a) Tail-Drop, b) WRED. g. Obsługa a) MPLS QoS, b) IPv6 QoS. 13. Bezpieczeństwo 1) Obsługa list kontroli dostępu, 2) Obsługa protokołów: a. AAA, b. RADIUS, c. SSH, d. RSA, e. IPSec, f. IKE, 3) Funkcje: a. Packet filter firewall, b. stateful firewall. 4) Regulacja pasma. 5) Obsługa mechanizmu a. URPF, 31 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. b. Virtual fragment reassembly. 5) Hierarchizacja ról zarządzania. 2. 14. Usługi 1) Obsługa funkcji: a. NAT, b. logowanie sesji NAT; 2) Tunelowanie a. GRE b. L2TP. 15. MPLS 1) Obsługa protokołów i funkcji L3 VPN: a. MPLS VPN, b. CE dual homing c. tunelowanie GRE. 2) Obsluga protokołów i funkcji L2 VPN: a. MPLS TE, b. RSVP TE, c. Multicast VPN. 16. Redundancja 1) Obsługa protokołów: a. VRRP, b. MPLS TE FRR, c. IGP fast routing convergence, d. BFD z obsługa rutowania statycznego i dynamicznego za pomocą protokołów a) RIP b) OSPF c) ISIS d) BGP. 2) Obsługa wymiany kart z interfejsami sieciowymi bez konieczności wyłączania całego urządzenia. 17. Zarządzanie 1) Konfiguracja za pomocą zestawu poleceń CLI. 2) Konfiguracja poprzez port konsoli zarządzania. 3) Konfiguracja zdalna za pomocą Telnet. 4) Zdalna konfiguracja poprzez port AUX. 5) Obsługa protokołów i funkcji SNMP (v1, v2c, v3). 6) Możliwość składowania logów systemowych. 7) Alarmy hierarchiczne. 8) Obsługa poleceń typu Ping i Trace. 9) Wsparcie dla protokołów i funkcji: a. PBR b. rutowania statycznego. 18. Obudowa Dostosowana do montażu w szafie stelażowej 19”. 19. Zasilanie 1) Napięcie zmienne: 230 V, 50 Hz. 2) Minimum dwa zasilacze zapewniające redundancję zasilania N+N lub N+M, typu hot-plug. Połowa spośród zainstalowanych zasilaczy musi zapewniać możliwość zasilenia w pełni wyposażonego urządzenia, przy zachowaniu jego pełnych możliwości operacyjnych. 20. Zgodność ze standardami zarządzania Kompatybilność z systemem zarządzania posiadanym przez Zamawiającego: CISCO PRIME Minimalne wymagania techniczne i funkcjonalne dla wkładki w standardzie Ethernet 10G. ELEMENT/CECHA CHARAKTERYSTYKA 1. Obudowa Zgodna ze standardem SFP+ 2. Interfejs 10Gb Interfejs zgodny ze standardem Ethernet 10G, umożliwiający 32 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR) 3. Kompatybilność IV. Wkładka musi być wspierana i obsługiwana przez przełączniki Cisco typu Catalyst 2960S-TDL, w których będzie instalowana. SPECYFIKACJA TECHNICZNA PRZEDMIOTU ZAMÓWIENIA, O KTÓRYM MOWA W ROZDZIALE I UST. 1 PKT. 4) - ROZBUDOWA KLASTRA JUNIPER SRX 3400 O MODUŁY Z PORTAMI STANDARDZIE 10G. Wymagania techniczne i funkcjonalne dla pojedynczego modułu z portami Ethernet 10G do klastra SRX 3400 (zbudowanego z 2 urządzeń SRX 3400). ELEMENT/CECHA CHARAKTERYSTYKA 1. Obudowa Wykonana zgodnie ze standardami umożliwiającymi instalację i prawidłową pracę w urządzeniu Juniper SRX 3400. 2. Interfejs 10Gb Moduł musi być wyposażony w co najmniej 2 porty Ethernet 10Gbps, przy czym 2 muszą być zakończone fizycznymi modułami/wkładkami typu SFP+, umożliwiającymi podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR) 3. Wydajność Moduł musi być wyposażony we własną jednostkę przyśpieszającą operacje sieciowe (NPU – Network Processing Unit). 4. Instalacja Instalacja/aktywacja modułu w urządzeniu SRX3400 może być wykonana na działającym urządzeniu (nie ma konieczności jego wyłączenia przed instalacją). 5. System Operacyjny Moduł musi być wspierany i obsługiwany przez wersję 12.1X44-D10 lub późniejszą systemu Junos OS V. SPECYFIKACJA TECHNICZNA PRZEDMIOTU ZAMÓWIENIA, O KTÓRYM MOWA W ROZDZIALE I UST. 1 PKT. 5) „ROZBUDOWA KAŻDEGO Z DWÓCH PRZEŁACZNIKÓW RDZENIOWYCH CISCO CATALYST 65XX-E O MODUŁ INTERFEJSÓW ETHERNET 10G” Wymagania techniczne i funkcjonalne dla pojedynczego modułu z portami Ethernet 10G instalowanyw przełączniku Cisco Catalyst 6504 –E. ELEMENT/CECHA CHARAKTERYSTYKA 1. Kompatybilność Moduł musi być w pełni zgodny sprzętowo i programowo ze specyfikacja techniczną przełączników Cisco Catalyst 6504-E, z supervisorem VS-S72010G w którym zostanie zainstalowany. Ponadto musi zapewniać obsługę ruchu sieciowego w konfiguracji wirtualnego przełącznika (VSS) dla wyżej wymienionych przełączników. 2. Interfejs 10Gbps Moduł musi być wyposażony w co najmniej 4 porty Ethernet 10Gbps, przy czym 4 muszą być zakończone fizycznymi modułami/wkładkami, umożliwiającymi podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR) 3. Instalacja Instalacja/aktywacja modułu w przełączniku Cisco Catalyst 6504-E powinna być przeprowadzona na działającym urządzeniu (nie jest wymagane 33 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. wyłączenie przełącznika przed instalacją modułu). R OZDZIAŁ XXII. OPIS ŚRODOWISKA ZAMAWIAJĄCEGO Rys.1 Ogólny schemat internetowego węzła sieciowego Zamawiającego 34 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. Infrastruktura sieciowa (przedstawiona na Rys. 1, której modernizacji dotyczy Zamówienie) obejmuje: 1) dwa routery Cisco serii 72xx, na schemacie oznaczone jako Router1 oraz Router2, posiadające po trzy interfejsy 1G każdy 2) dwa przełączniki Cisco WS-C29xx, na schemacie oznaczone jako SW1 oraz SW2, w których Wykonawca zainstaluje dostarczone wkładki SFP-10G-SR 3) dwa firewalle Cisco ASA 5xxx, na schemacie oznaczone jako FW1 oraz FW2, wyposażone w interfejsy 1G 4) dwa urządzenia IPS, na schemacie oznaczone jako IPS1 oraz IPS2, wyposażone w produkcyjne pary interfejsów 1G 5) dwa urządzenia Cisco Catalyst 6504-E z supervisorem VS-S720-10G, na schemacie oznaczone jako CAT1 oraz CAT2, w których Wykonawca zainstaluje dwa moduły z interfejsami 10G (każdy z co najmniej 4 interfejsami 10Gb) 6) dwa urządzenia Juniper SRX3400 (patrz też: Uwagi do schematu) Uwagi do schematu 1. Schemat nie obejmuje dwóch urządzeń Juniper SRX3400 objętych Zamówieniem, w których Wykonawca zainstaluje karty SRX1K3K-NP-2XGE-SFFP z interfejsami 10G. 2. Schemat nie obejmuje mniej istotnych elementów infrastruktury 3. Urządzenia oznaczone na schemacie jako SW1 i SW2 nie są objęte Zamówieniem ale zostały w nim umieszczone jako istotne elementy toru transmisji danych pomiędzy siecią wewnętrzną Zamawiającego i siecią Internet. Przedmiotem zamówienia jest dostawa i uruchomienie nowych urządzeń w miejsce posiadanych urządzeń: Router1, Router2, FW1, FW2, IPS1, IPS2, zgodnych z załączoną do SIWZ specyfikacją techniczną oraz dostawa kart interfejsów 10Gbps do urządzeń Juniper SRX 3400 i Cisco Catalyst 6504-E z supervisorem VS-S720-10G. W szczególności: 1) interfejsy r1.out oraz r2.out muszą zapewniać transmisję z prędkością 10Gbps 2) interfejsy r1.in oraz r2.in muszą zapewniać transmisję z prędkością 10Gbps i możliwość współpracy z urządzeniami SW1 i SW2 będącymi w posiadaniu Zamawiającego, wyposażonymi w interfejsy dostarczone przez Wykonawcę, umożliwiające podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR) 3) interfejsy fw1.out oraz fw2.out muszą zapewniać transmisję z prędkością 10Gbps i możliwość współpracy z urządzeniami SW1 i SW2 będącymi w posiadaniu Zamawiającego, wyposażonymi w interfejsy dostarczone przez Wykonawcę, umożliwiające podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR) 4) interfejsy fw1.in oraz fw2.in muszą zapewniać transmisję z prędkością 10Gbps i możliwość współpracy z interfejsami ips1.out oraz ips2.out urządzeń IPS1 oraz IPS2 5) interfejsy ips1.out oraz ips2.out muszą zapewniać transmisję z prędkością 10Gbps i możliwość współpracy z interfejsami fw1.in oraz fw2.in urządzeń FW1 oraz FW2 6) interfejsy ips1.in oraz ips2.in muszą zapewniać transmisję z prędkością 10Gbps i możliwość współpracy z dostarczonymi przez Wykonawcę interfejsami do urządzeń CAT1 i CAT2 35 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. Wykonawca zobowiązany jest do dostarczenia wszystkich patchcordów niezbędnych do zestawiania w/w połączeń. Długość każdego z wymaganych patchcordów nie przekracza 5m. Wykaz Załączników: Załącznik A do SIWZ – Formularz Oferty Załącznik A 1 do Formularza ofertowego - Specyfikacja parametrów i cech Sprzętu Załącznik B do SIWZ – Wzory oświadczeń Załącznik C do SIWZ – Wzór umowy 36 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. Załącznik A do SIWZ – Formularz Oferty Nazwa Wykonawcy……………………………………………………………………………………………………………… Nr .................... ul. ..................................................................... Adres (siedziba) Wykonawcy: miejscowość: ........................................... Kod pocztowy: _ _-_ _ _ Cena za wykonanie zamówienia 1. Oferuję (my) wykonanie zamówienia pn.: „ Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów” za maksymalną cenę łączną …………………… złotych brutto (suma cen z kolumny 5) (słownie:……………………………………………………………………………………………….............) w tym: Lp Przedmiot zamówienia Ilość Cena jednostkowa 1 sztuki brutto 1 2 3 4 1 system IPS Wartość brutto (kol 3 x 4) 5 1 szt. systemu 2 urządzenia typu Firewall 2 szt. 3 urządzenia typu Router 2 szt 4 wkładki w standardzie Ethernet 10G 5 moduły z portami w standardzie Ethernet 10G do rozbudowy klastra Juniper SRX 3400 6 moduły interfejsów Ethernet 10G do rozbudowy każdego z dwóch przełączników rdzeniowych Cisco Catalyst 6504-E 7 usługa wsparcia technicznego dla dostarczanego systemu IPS 8 usługa wsparcia technicznego dla dostarczanych urządzeń 4 szt. 2 szt. 2 szt. 36 m-cy 36 m-cy 37 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. typu Firewall Razem (suma pozycji z kol 5) 2. Oświadczam (my), że zobowiązuję/my się do udzielenia gwarancji na Sprzęt na okres wynoszący: 36 / 42 / 48* *niepotrzebne skreślić. Jeśli Wykonawca w ofercie nie zaznaczy oferowanego okresu gwarancji przyjmuje się, że Wykonawca oferuje minimalny wymagany okres gwarancji wynoszący 36 miesięcy i otrzyma 0 punktów w kryterium „Okres gwarancji ”. Warunku realizacji zamówienia Warunki płatności1 1. ………………………………………………………………… Termin realizacji zamówienia2 2. ………………………………………………………………… 3. Oświadczam(y), że zaoferowana cena brutto podana w niniejszym formularzu zawiera wszystkie koszty związane z wykonaniem zamówienia, jakie ponosi Zamawiający w przypadku wyboru niniejszej oferty. 4. Zamówienie wykonam(y) samodzielnie / zamierzam(y) powierzyć podwykonawcom 3 (niepotrzebne skreślić). 5. Oświadczam(y), że zapoznałem(liśmy) się ze specyfikacją istotnych warunków zamówienia i nie wnoszę(imy) do niej zastrzeżeń, oraz że uzyskałem(liśmy) wszystkie niezbędne informacje do przygotowania oferty. 6. W przypadku udzielenia zamówienia zobowiązuję(emy) się do zawarcia umowy w miejscu i terminie wskazanym przez Zamawiającego. 7. Wniesione przez nas wadium należy zwrócić na rachunek bankowy wykonawcy nr: .…………….. ………………………………………………………………………………………(jeżeli dotyczy) 8. Należymy4 / Nie należymy do grupy kapitałowej, w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. Nr 50, poz. 331, z późn. zm.) Osoba do kontaktów Osobą upoważnioną do kontaktów z Zamawiającym w czasie trwania postępowania o udzielenie zamówienia publicznego jest: ………………………………………………………………………… tel. ……………………….., fax.: ………….………. e-mail: ………………………………………………… 9. ………………………………………………………………………………………………………………………………………….. Podpis Wykonawcy albo osoby lub osób uprawionych do reprezentowania Wykonawcy 1 Warunki płatności: można wpisać treść np. „zgodnie z warunkami określonymi w SIWZ”. Termin realizacji zamówienia: można wpisać treść np. „zgodnie z warunkami określonymi w SIWZ”. 3 W przypadku powierzenia wykonania części zamówienia podwykonawcom należy podać co wchodzi w zakres powierzonych części 4 W przypadku, gdy Wykonawca należy do grupy kapitałowej należy dołączyć listę należących do niej podmiotów 2 38 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. Załącznik A1 do Formularza ofertowego - Specyfikacja parametrów i cech Sprzętu I. SYSTEM IPS, SKŁADAJĄCY SIĘ Z: ………………………………………………………………………………………… producent/typ/model ELEMENT/CECHA 1.Architektura sprzętowa CHARAKTERYSTYKA 1) Zestaw urządzeń HA (para standalone+failover) typu appliance, do wykrywania i zapobiegania włamaniom oraz ochrony Dos/DDoS wraz z oprogramowaniem i systemem zarządzania SPEŁNIA/NIE SPEŁNIA* Spełnia/nie spełnia* 2) Każdy element zestawu gotowy do montażu w standardowych szafach 19” (elementy montażowe i kable zasilające muszą być w zestawie) 3) Dodatkowy, redundantny zasilacz dla każdego elementu składowego zestawu - z możliwością pracy w trybie hot-swap, 4) Zasilacze przystosowane do zasilania prądem przemiennym o napięciu 220-240V/50Hz 5) Zestaw działający w warstwie drugiej OSI, z możliwością pracy w następujących topologiach: a. Inline : fail close; bez ograniczania możliwości pracy w trybie fail open, jeśli Zamawiający będzie dysponował w przyszłości odpowiednimi modułami/okablowaniem fail open dla używanych interfejsów monitorujących IPS, b. Out of path: z użyciem portów SPAN lub urządzeń typu TAP device; możliwa integracja ze switchami Ethernet do przekierowywania ruchu w momencie wystąpienia ataku c. Asymetrycznym (ruch powrotny lub inicjowany kierowany jest inną trasą) 6) Dedykowany port zarządzania typu Ethernet 39 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 2.Wymagane technologie zaimplementowane w zestawie 1) IPS (Instrusion Prevention System) - oparty na sygnaturach 2) Bezsygnaturowa malware’u (signature-less) Spełnia/nie spełnia* analiza 3) Analiza behawioralna ataków w oparciu o przepływy sieciowe 4) Korzystanie z reputacyjnych zewnętrznych systemów 5) Firewall lub inny mechanizm, umożliwiający zignorowanie inspekcji IPS w oparciu o adresację źródłową, docelową, porty i protokoły komunikacyjne. 4. 3.Wymagane typy ochrony przed zagrożeniami 1) Sieciowymi a. DoS/DDoS floods, Spełnia/nie spełnia* b. TCP floods, c. UDP floods, d. ICMP floods, e. IGMP floods 2) Skanowaniem a. TCP, b. UDP, c. PING, 3) SYN (dowolne typy ataków SYN flood) 4) Limitowaniem połączeń w ramach protokołów a. b. c. d. TCP, UDP, ICMP IP, 5) Mechanizm selektywnego blokowania ataków pochodzących z jednego źródła (adresu IP) z rozróżnianiem sesji legalnego ruchu od ataku typu DoS 6) Mechanizm selektywnego blokowania ataków pochodzących z wielu źródeł (adresów IP) z rozróżnianiem sesji legalnego ruchu od ataku typu DoS/DDoS 7) HTTP flood (np. HTTP GET flood) i pochodne 8) Malware (worm, trojan, spyware, backdoor) 9) Nieuprawniony dostęp a. Black list, b. White list, c. Access Control List, d. IP Reputation, 40 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 10) Zaimplementowane mechanizmy zarządzanie pasmem 11) Zaimplementowane mechanizmy ograniczania ilości połączeń 12) Powyższe funkcje muszą być dostępne w wersji IPv4 oraz IPv6 4. Wymagania odnośnie wstępnej konfiguracji 1) Przed wdrożeniem systemu, będzie skonfigurowany, co najmniej do pełnego blokowania (DROP) następujących ataków: Spełnia/nie spełnia* a) Apache mod_cgi Bash Environment Variable Code Injection (HTTP); CVE2014-6271, CVE-2014-7169, CVE-20146278, CVE-2014-6277 b) Apache Win32 Directory Listing (HTTP) c) Attempt to Read Password File (HTTP) d) Back Orifice2K Communication; MS98010 e) CISCO IOS DoS; CVE-2000-0984 f) Cross Site Scripting - Script Attempt Found in HTTP request; CVE-20000746, CVE-2001-1161, CVE-2002-0250, CVE-2002-0292, CVE-2002-0326, CVE2002-0148, CVE-2002-0074, CVE-20020075, CVE-2004-0591, CVE-2004-0520, CVE-2004-2115, CVE-2004-1875, CVE2005-0495, CVE-2006-3918, CVE-20071358, CVE-2009-1975, CVE-2009-1968, CVE-2009-1872, CVE-2009-1874, CVE2009-1875, CVE-2009-1879, CVE-20100817, MS10-039 g) Destination Unreachable DOS (ICMP) h) DMail Buffer Overflow; CVE-2000-0490 i) IIS Translate F Read Source Code; CVE2000-0778, MS00-058 j) IRC Client Activity Detected k) ISC BIND 9 Dynamic Update Denial-ofService Vulnerability; CVE-2009-0696 l) HTML Content Over FTP Evasion Attempt m) Microsoft SMTP Service DNS resolver overflow; CVE-2004-0840 n) Nachi-like Ping; W32/Nachi o) Nachi Worm Host Sweep; CVE-20030352, MS03-026 p) OpenSSL TLS DTLS Heartbeat Extension 41 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. Packets Information Disclosure; CVE2014-0160 q) OPT Denial of Service; CVE-2002-1220 r) Oracle BEA WebLogic Server Apache Connector DoS Vulnerability; CVE2008-3257 s) Overly Long POST URI in HTTP Request; CVE-2008-3257 t) Shellcode/Exploit Detected for i386 Family CPUs u) SSH Server Running on Non-Standard Port v) TeamViewer Traffic Detected w) Tinba Bot Traffic Detected x) Too Many Command Errors Occurred (SMTP) y) Tor-Privoxy Tunnel Detected z) Trojan Backdoor W32/GGDoor aa) Trojan MSIL; tj: WinTrojan/Hupigon.86016.AM (AhnLab), W32/Trojan2.NMDK (Command), Trojan horse Generic20.BOWC (AVG), TR/Scapfrog.A (Avira), Trojan.Generic.KDV.102762 (BitDefender), Win32/Scapfrog.A (CA), BackDoor.Siggen.27588 (Dr.Web), Gen.Variant.MSILKrypt (Ikarus) bb) Unix Command Shell Running (unencrypted traffic to server) cc) Windows Password Guessing (NETBIOS); CVE-2000-0979, MS00-072 dd) XDR Fragment Decoding Buffer Overflow; CVE-2003-0033 2) Ustawienia dla blokowania pozostałych ataków, będą zgodne z rekomendacjami producenta systemu IPS. 3) Przed wdrożeniem systemu, będzie miał również włączone moduły IPS, bezsygnaturowej analizy malware’u i analizy behawioralnej ataków, system reputacyjny dla adresów będących źródłami ataków oraz firewall lub inny mechanizm, umożliwiający zignorowanie inspekcji IPS w oparciu o adresy IP, porty lub protokoły sieciowe. 42 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 5.Wymagane parametry pojedynczego urządzenia Spełnia/nie spełnia* 1) 5Gbps – wydajność minimalna dla zastosowania IPS 2) Całkowita wydajność urządzenia, nie mniejsza niż: 10Gbps 3) 6 000 000 – minimalna liczba jednoczesnych sesji 4) 150 mikro sekund lub mniejsze – opóźnienie wprowadzane przez system 5) 5Gbps - wydajność minimalna deszyfrowania sesji SSL (przy 10% zawartości SSL w całkowitym strumieniu danych) 6) Ilość interfejsów sieciowych monitorujących, nie mniejsza niż: a. 4 x 10Gbps – w technologii SFP+, z wkładkami umożliwiającymi podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR) b. 4 x 1Gbps – w technologii SFP/FO, z wkładkami umożliwiającymi podłączenie/transmisję za pomocą światłowodu wielomodowego, pracującego na długości fali 850nm c. 6 x 1Gbps – RJ45 7) Port zarządzający Ethernet RJ45 1 x 10/100/1000 8) Zarządzanie i konfiguracja w oparciu o: a. HTTPS, b. HTTP, c. SSH, 9) Raportowanie w oparciu o: a. SNMP, b. Log File, c. Syslog, d. E-mail, e. Dedykowany system zarządzania. 10) Synchronizacja urządzenia czasu NTP 11) Wsparcie dla protokołów: z serwerami a. 802.1.q, b. L2TP, c. MPLS, d. GRE, 12) Wsparcie dla Jumbo Frames 13) Pełne wsparcie dla protokołu IPv4 oraz IPv6 14) Wykrywanie anomalii w pakietach: 43 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. a. Invalid TCP Header Length b. Invalid UDP Header Length c. Invalid TCP Flags d. Unsupported L4 Protocol e. Invalid IPv4 Header or Total Length f. Incorrect IPv4 Checksum g. Unrecognized L2 Format h. TTL Less Than or Equal to 1 i. Inconsistent IPv6 Headers j. IPv6 Hop Limit Reached k. Source or Destination Address same as Local Host l. Source Address same as Dest. Address (np.:Land Attack) m. L4 Source or Destination Port Zero 15) Typy akcji podjęte w przypadku wykrycia ataku: a. odrzucenie pakietu (drop), b. tylko raportowanie, c. reset połączenia (dla źródła lub celu oraz w obu kierunkach), d. zawieszenie połączenia (dowolna kombinacja parametrów: adres źródłowy, port źródłowy, adres docelowy, port docelowy) w kwarantannie, e. Challenge-Response dla ataków używających protokołów HTTP (co najmniej 302 redirection) 6. System zarządzania 1) System zarządzania sensorami IPS, w postaci zewnętrznego urządzenia lub zintegrowanego z urządzeniem służącym do wykrywania i zapobiegania włamaniom oraz ochrony Dos/DDoS posiada poniższe właściwości: Spełnia/nie spełnia* a. Interfejs graficzny, b. Monitorowanie pracy każdego z urządzeń chroniących przed atakami, c. Monitorowanie i prezentowanie w czasie rzeczywistym aktywnych ataków, d. Prezentowanie ataków w określonym przedziale czasowym, e. Umożliwia analizę trendu ataków, w zdefiniowanych przedziałach czasowych, 44 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. f. Monitoruje i prezentuje w czasie rzeczywistym statystyki aktywnego ruchu sieciowego, g. Wyświetla szczegóły ataku (charakterystyka, przykładowe pakiety źródłowe, docelowe, wywołujące atak, sygnatura użyta do blokowania, próbka ruchu – payload, rekomendacja dla metody przeciwdziałania) h. Prezentuje dane geolokalizacyjne dotyczące źródeł ataku na podstawie źródłowego adresu IP, i. Wyświetla raporty (pdf, tekst, html) w oparciu o dane historyczne, automatyczne tworzy i wysyła raporty wcześniej zdefiniowanych j. Zarządza politykami, ACL, użytkownikami k. Eksportuje loga co najmniej do formatu tekstowego 2) System zarządzania zapewnia współpracę z co najmniej sześcioma sondami skanującymi (sensorami), bez konieczności wykupywania dodatkowych licencji w przyszłości. 3) System zarządzania zapewnia możliwość integracji z zewnętrznymi systemami typu SIEM 4) Szczegóły ataku zawierają następujące informacje (jeśli są dostępne dla danego typu ataku): a. b. c. d. e. f. g. h. i. j. k. l. m. n. o. p. q. Attack Name Attack Description Bandwidth Benign Trigger Probability Destination IP Destination Port Detection Mechanism Direction Fragmentation Offset Fragmentation Flag ICMP Message Type Interface L4 Checksum Packet Size Packet Count Payload Protocol 45 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 2. Wymagania dodatkowe r. Severity s. Signature t. Source IP u. Source Ports v. TCP Sequence Number w. Time x. TTL y. VLAN 1) Poprawna praca urządzeń w temperaturze od 10 do 35 °C; 2) Poprawna praca przy wilgotności powietrza od 5% do 50% zakładając brak występowania zjawiska kondensacji pary wodnej. Spełnia/nie spełnia* II. URZĄDZENIA TYPU FIREWALL Urządzenie typu Firewall - 2 szt. ………………………………………………………………………………………… producent/typ/model ELEMENT/CECHA 1. Wydajność CHARAKTERYSTYKA 1) Całkowita wydajność urządzenia w trybie stateful inspection - nie mniejsza niż 10 Gbps Spełnia/nie spełnia* Spełnia/nie spełnia* 2) Całkowita wydajność urządzenia w trybie stateful inspection dla typowego profilu ruchu (tj. dla HTTP/HTTPS, SMTP i DNS w proporcjach odpowiednio: 80, 10 i 10 procent całości ruchu) - nie mniejsza niż 5 Gbps 3) Całkowita wydajność ruchu IPSec VPN (3DES/AES) - nie mniejsza niż 2 Gbps 4) Maksymalna liczba obsługiwanych jednoczesnych połączeń - nie mniejsza niż 2 mln 5) Maksymalna liczba obsługiwanych nawiązywanych połączeń - nie mniejsza niż 125 tys./sek. 6) Maksymalna liczba obsługiwanych pakietów nie mniejsza niż 3 mln/sek. 2. Interfejsy fizyczne 10 Gbps 1) Urządzenie jest wyposażone, w co najmniej 2 interfejsy Ethernet 10 Gbps wraz z wkładkami SFP+, Spełnia/nie spełnia* 2) Urządzenie ma możliwość rozbudowy o 4 porty tego typu 46 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 3. Interfejsy fizyczne 1 Gbps 1) Urządzenie jest wyposażone, w co najmniej 8 interfejsów Ethernet 10/100/1000 Mbps zakończonych wtykiem RJ45 Spełnia/nie spełnia* 2) Urządzenie jest wyposażone, w co najmniej 4 interfejsy 1 Gbps SFP wraz z wkładkami tego typu. 4. Interfejsy wirtualne 1) Urządzenie umożliwia tworzenie interfejsów wirtualnych (VLAN) w liczbie do 1024 Spełnia/nie spełnia* 2) Urządzenie wspiera technologię VXLAN 5. Interfejsy zarządzające Urządzenie jest wyposażone w 2 interfejsy do zarządzania w standardzie 10/100/1000 Mbps Spełnia/nie spełnia* 6. Port konsoli Urządzenie posiada port RJ45 konsoli do zarządzania lokalnego 7. Port AUX Urządzenie posiada port AUX do zarządzania zdalnego Urządzenie posiada port USB Spełnia/nie spełnia* Spełnia/nie spełnia* 8. Port USB 9. Wsparcie protokołów routingu IPv4 Urządzenie zapewnia: 1) Routowanie statyczne IP. 2) Routowanie dynamiczne za pomocą protokołów: a. RIPv1/v2, b. OSPFv2, c. BGP Spełnia/nie spełnia* Spełnia/nie spełnia* 3) Obsługę Policy Base Routing (PBR) 4) Wyodrębnione routowanie do sieci zarządzającej poprzez interfejs zarządzający 10. Wsparcie protokołów IPv4 multicast Urządzenie zapewnia: 1) Obsługę protokołów multicast-owych: Spełnia/nie spełnia* a. IGMP (Internet Group Management Protocol) v1/v2/v3 z możliwością blokowania na interfejsie b. PIM (Protocol Independent Multicast) DM/SM; z możliwością blokowania na interfejsie 2) Obsługę routingu multicast-owego Urządzenie zapewnia wsparcie dla protokołów: 11. Wsparcie protokołów sieciowych 1) DHCP Server/Relay/Client Spełnia/nie spełnia* 2) DNS Client 3) NTP Client 4) Telnet Server/Client 5) SSH Server/Client 6) FTP Client 7) TFTP Client 47 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 12. Wsparcie IPv6 13. Wsparcie dla mechanizmów QoS Urządzenie zapewnia: 1) Obsługę Stateful NAT64 oraz NAT66 2) 3) Obsługę DNS64 Obsługę DHCP v6 Relay 4) 5) 6) Obsługę IPv6 Neighbor Discovery Dual stack forwarding Obsługę statycznego routingu IPv6 7) 8) Obsługę dynamicznego routingu OSPF IPv6 Obsługę ruchu multicast-owego IPv6 9) Zunifikowaną obsługę list kontroli dostępu dla adresów IPv4 oraz IPv6 Urządzenie zapewnia: 1) Klasyfikację ważności ruchu na bazie: Spełnia/nie spełnia* Spełnia/nie spełnia* a. protokołu sieciowego b. źródłowego i docelowego adresu IP c. numeru portu TCP lub UDP d. znacznika DSCP/TOS 2) Traffic policing na wejściu i wyjściu interfejsu sieciowego 3) Kolejkowanie pakietów zgodnie z algorytmami: a. FIFO, b. LLQ (Low Latency Queue - Priority Queue) 14. Bezpieczeństwo urządzenia Urządzenie zapewnia: 1) Obsługę list kontroli dostępu do urządzenia 2) Obsługę protokołów: a. AAA b. RADIUS c. SSH v2 Spełnia/nie spełnia* d. RSA e. IPSec, IKE v1, IKE v2 f. TLS v 1, TLS v 1.1, TLS v 1.2 3) 15. Usługi bezpieczeństwa sieciowego Hierarchizację ról zarządzania Urządzenie zapewnia: 1) Ochronę nielimitowanej liczby adresów sieci wewnętrznych i DMZ Spełnia/nie spełnia* 2) Pracę w trybie routowania lub w trybie transparentnym 3) Następujące funkcje bezpieczeństwa: a. Stateful firewall b. Packet filter (przy asymetrycznym ruchu sieciowym) c. Inspekcja ruchu w warstwie aplikacyjnej, co najmniej dla protokołów: HTTP, SMTP, 48 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. DNS, SQLNET, FTP, SIP, H323, RTSP, DCERPC, SUNRPC d. Obsługa list kontroli dostępu filtrujących ruch w oparciu o co najmniej: adresy IP źródła i celu, protokół, numer portu TCP/UDP, aktualny czas systemowy, identyfikator użytkownika, interfejs sieciowy urządzenia (input) e. Obsługa anty-spoofingu na interfejsach sieciowych f. Weryfikacja zgodności transmitowanych pakietów z protokołem (packet sanity, TCP normalization) g. Weryfikacja fragmentacji transmitowanych pakietów h. Obsługa funkcji NAT (w trybie statycznym i dynamicznym) z możliwością szczegółowego definiowania translacji w zależności od: adresów IP źródła i celu, protokołów sieciowych, numerów portu TCP/UDP, interfejsów sieciowych urządzenia (w relacji input-output) i. Wykrywanie ataków sieciowych ma chronione zasoby, w tym także prób skanowania j. Podstawowe mechanizmy blokowania ataków sieciowych, w tym także prób skanowania k. Definiowanie granularnych polityk opisujących parametry i limity dla obsługi połączeń sieciowych do chronionych zasobów na poziomie warstw 3 i 4 modelu ISO/OSI l. Tworzenie lokalnego CA (Certificate Authority) na urządzeniu lub klastrze urządzeń m. Tworzenie tuneli VPN w liczbie do 10 tys. n. Obsługa protokołów IPSec, IKE v1, IKE v2 o. Obsługa algorytmów kryptograficznych DES, 3DES, AES-128, AES-192, AES-256 p. Obsługa kluczy kryptograficznych o długości do 4096 bitów q. Szczegółowa filtracja ruchu transmitowanego przez tunele VPN terminowane na urządzeniu 49 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. r. Filtracja ruchu BotNet w oparciu o dostarczane i aktualizowane przez producenta listy dynamiczne oraz listy statyczne definiowane lokalnie. Maksymalna liczba wpisów do listy statycznej nie mniejsza niż 1000. Licencja dla tej funkcjonalności ważna co najmniej przez cały okres świadczonego wsparcia. 16. Redundancja i agregacja 17. Zarządzanie Urządzenie zapewnia: 1) tworzenie klastrów HA typu active/standby i active/active złożonych z co najmniej dwóch urządzeń tego samego typu 2) tworzenie klastrów wydajnościowych złożonych, z co najmniej dwóch urządzeń tego samego typu 3) agregowanie interfejsów fizycznych 10/100/1000 Mbps w ramach pojedynczego urządzenia pracującego samodzielnie lub w klastrze typu active/standby lub w klastrze typu active/active, ze wsparciem dla protokołu LACP 4) agregowanie interfejsów fizycznych 10/100/1000 Mbps należących do różnych urządzeń pracujących w ramach tego samego klastra wydajnościowego, ze wsparciem dla protokołu LACP lub jego rozszerzenia Urządzenie zapewnia: 1) Konfigurację za pomocą zestawu poleceń (CLI) oraz interfejsu graficznego (GUI) 2) Konfigurację poprzez port konsoli zarządzania. 3) 4) Konfigurację zdalną za pomocą Telnet i SSH Zdalną konfigurację poprzez port AUX. 5) Obsługę protokołów i funkcji SNMP (v1, v2c, v3). 6) Składowanie logów systemowych na zewnętrznym serwerze i w pamięci urządzenia 7) 8) Alarmy hierarchiczne. Obsługę poleceń typu ping i traceroute Spełnia/nie spełnia* Spełnia/nie spełnia* 18. Zgodność ze standardami zarządzania Urządzenie jest kompatybilne z posiadanym przez Zamawiającego systemem zarządzania/monitorowania urządzeń sieciowych CISCO PRIME Spełnia/nie spełnia* 19. Obudowa Obudowa urządzenia: 1) dostosowana do montażu w szafie stelażowej 19”. 2) maksymalna wysokość: 2 RU (Rack Unit). Spełnia/nie spełnia* 50 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 20. Zasilanie Wymagane warunki zasilania urządzenia: 1) Napięcie zmienne: 230 V, 50 Hz Spełnia/nie spełnia* 2) Minimum dwa zasilacze zapewniające redundancję zasilania N+N lub N+M, typu hotplug. Połowa spośród zainstalowanych zasilaczy zapewnia możliwość zasilenia w pełni wyposażonego urządzenia, przy zachowaniu jego pełnych możliwości operacyjnych. III. URZĄDZENIA TYPU ROUTER 2 SZTUKI NA STYKU Z SIECIĄ PUBLICZNĄ ORAZ 4 SZTUKI WKŁADEK W STANDARDZIE ETHERNET 10G. 1. Urządzenie typu router - 2 szt. ………………………………………………………………………………………… producent/typ/model ELEMENT/CECHA CHARAKTERYSTYKA SPEŁNIA/NIE SPEŁNIA* Spełnia/nie spełnia* 1. Wydajność Całkowita wydajność routera nie mniejsza niż 5Gbps Spełnia/nie spełnia* 2. Interfejsy 10Gbps Ruter jest wyposażony, w co najmniej 2 porty Ethernet 10Gbps, przy czym 2 są zakończone fizycznymi modułami/wkładkami typu SFP+, umożliwiającymi podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR). Router zapewnia możliwość rozbudowy, o co najmniej jeden port tego typu. Spełnia/nie spełnia* 3. Interfejsy 1Gbps Ruter jest wyposażony, w co najmniej 6 portów Ethernet 1Gbps wykonane w standardzie SFP, gdzie 4 są zakończone fizycznymi modułami/wkładkami ze stykiem typu RJ-45 4. Port konsoli Ruter posiada port konsoli do zarządzania lokalnego 5. Port AUX Ruter posiada port AUX do zarządzania zdalnego 6. Port USB Ruter posiada port USB 7. Wsparcie protokołu warstwy L2 1) Ruter obsługuje protokoły warstwy L2: a. ARP: Dynamic/static ARP, proxy ARP b. Ethernet, sub-interface VLAN c. PPPoE server d. PPP, e. FR, FRF12 fragment, FR f. HDLC 8. Wsparcie protokołów rutingu IP 1) Rutowanie statyczne IP. Spełnia/nie spełnia* Spełnia/nie spełnia* Spełnia/nie spełnia* Spełnia/nie spełnia* Spełnia/nie spełnia* 51 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. 2) Rutowanie dynamiczne za pomocą protokołów: a. RIPv1/v2, b. OSPFv2, c. BGP, IS-IS. 9. Wsparcie protokołów IPv4 multicast 1) Obsługa protokołów multikastowych: a. IGMP (Internet Group Management Protocol) v1/v2/v3; b. PIM (Protocol Independent Multicast) DM/SM; c. MSDP (Multicast Source Discovery Protocol); d. MBGP 2) Multicast static routing; 1) Obsługa protokołów: 10. Wsparcie protokołów sieciowych a. DHCP Server/Relay/Client; b. DNS Client; c. NTP Server/Client; d. Telnet Server/Client; e. SSH Server/Client f. TFTP Client; g. FTP Client; h. UDP Helper; Spełnia/nie spełnia* Spełnia/nie spełnia* 11. Wsparcie IPv6 1) Obsługa: a. IPv6 ND, b. IPv6 PMTU, c. dual-stack forwarding, d. IPv6 ACL; e. tunel IPv6: a) IPv6 tunelowane w IPv4; b) automatyczne tunelowanie IPv6 w IPv4; c) tunel Intra-Site Automatic Tunnel Addressing Protocol. f. Rutowanie statyczne. g. Rutowanie dynamiczne za pomocą protokołów: a) RIPng, b) OSPFv3, c) IS-ISv6, d) BGP dla IPv6. h. Obsługi transmisji multikastowej IPv6: a) MLDv1/v2, b) PIM-DM, c) PIM-SM, d) PIM-SSM Spełnia/nie spełnia* 12. Wsparcie QoS 1) Klasyfikacja ważności ruchu na bazie: a. numeru portu adresu IP, b. techniką IEEE 802.1p CoS, c. DSCP lub numeru portu TCP lub UDP i typu protokołu; d. znacznikowanie ważności; e. kolejkowanie zgodnie z algorytmami: a) FIFO, Spełnia/nie spełnia* 52 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. b) PQ, c) CQ, d) WFQ, e) CBWFQ. f. Unikanie zakleszczeń zgodnie z algorytmem: a) Tail-Drop, b) WRED. g. Obsługa a) MPLS QoS, b) IPv6 QoS. 13. Bezpieczeństwo 1) Obsługa list kontroli dostępu, 2) Obsługa protokołów: a. AAA, b. RADIUS, c. SSH, d. RSA, e. IPSec, f. IKE, 3) Funkcje: a. Packet filter firewall, b. stateful firewall. 4) Regulacja pasma. 5) Obsługa mechanizmu a. URPF, b. Virtual fragment reassembly. 5) Hierarchizacja ról zarządzania. Spełnia/nie spełnia* 14. Usługi 1) Obsługa funkcji: a. NAT, b. logowanie sesji NAT; 2) Tunelowanie a. GRE b. L2TP. Spełnia/nie spełnia* 15. MPLS 1) Obsługa protokołów i funkcji L3 VPN: a. MPLS VPN, b. CE dual homing c. tunelowanie GRE. 2) Obsluga protokołów i funkcji L2 VPN: a. MPLS TE, b. RSVP TE, c. Multicast VPN. Spełnia/nie spełnia* 16. Redundancja 1) Obsługa protokołów: a. VRRP, b. MPLS TE FRR, c. IGP fast routing convergence, d. BFD z obsługa rutowania statycznego i dynamicznego za pomocą protokołów a) RIP b) OSPF Spełnia/nie spełnia* 53 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. c) ISIS d) BGP. 2) Obsługa wymiany kart z interfejsami sieciowymi bez konieczności wyłączania całego urządzenia. 17. Zarządzanie 18. Obudowa 2. 1) Konfiguracja za pomocą zestawu poleceń CLI. 2) Konfiguracja poprzez port konsoli zarządzania. 3) Konfiguracja zdalna za pomocą Telnet. 4) Zdalna konfiguracja poprzez port AUX. 5) Obsługa protokołów i funkcji SNMP (v1, v2c, v3). 6) Możliwość składowania logów systemowych. 7) Alarmy hierarchiczne. 8) Obsługa poleceń typu Ping i Trace. 9) Wsparcie dla protokołów i funkcji: a. PBR b. rutowania statycznego. Dostosowana do montażu w szafie stelażowej 19”. 19. Zasilanie 1) Napięcie zmienne: 230 V, 50 Hz. 2) Minimum dwa zasilacze zapewniające redundancję zasilania N+N lub N+M, typu hot-plug. Połowa spośród zainstalowanych zasilaczy zapewni zasilenie w pełni wyposażonego urządzenia, przy zachowaniu jego pełnych możliwości operacyjnych. 20. Zgodność ze standardami zarządzania Kompatybilność z systemem zarządzania posiadanym przez Zamawiającego: CISCO PRIME Spełnia/nie spełnia* Spełnia/nie spełnia* Spełnia/nie spełnia* Spełnia/nie spełnia* Wkładki w standardzie Ethernet 10G - 4 sztuki ………………………………………………………………………………………… producent/typ/model ELEMENT/CECHA CHARAKTERYSTYKA 1. Obudowa Zgodna ze standardem SFP+ 2. Interfejs 10Gb Interfejs zgodny ze standardem Ethernet 10G, umożliwiający podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR) 3. Kompatybilność Wkładka wspierana i obsługiwana przez przełączniki Cisco typu Catalyst 2960S-TDL, w których będzie instalowana. Spełnia/nie spełnia* Spełnia/nie spełnia* Spełnia/nie spełnia* Spełnia/nie spełnia* 54 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. IV. MODUŁY Z PORTAMI ETHERNET 10G DO KLASTRA SRX 3400. 1. Moduł z portami Ethernet 10G - 2 szt. ………………………………………………………………………………………… producent/typ/model ELEMENT/CECHA 1. Obudowa 2. Interfejs 10Gb 3. Wydajność 4. Instalacja 5. System Operacyjny Spełnia/nie spełnia* Wykonana zgodnie ze standardami umożliwiającymi Spełnia/nie spełnia* instalację i prawidłową pracę w urządzeniu Juniper SRX 3400. Spełnia/nie Moduł jest wyposażony w co najmniej 2 porty spełnia* Ethernet 10Gbps, przy czym 2 są zakończone fizycznymi modułami/wkładkami typu SFP+, umożliwiającymi podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR) Spełnia/nie Moduł jest wyposażony we własną jednostkę spełnia* przyśpieszającą operacje sieciowe (NPU – Network Processing Unit). Spełnia/nie Instalacja/aktywacja modułu w urządzeniu spełnia* SRX3400 będzie wykonana na działającym urządzeniu (nie ma konieczności jego wyłączenia przed instalacją). Spełnia/nie Moduł wspierany i obsługiwany przez wersję spełnia* 12.1X44-D10 lub późniejszą systemu Junos OS CHARAKTERYSTYKA V. MODUŁY INTERFEJSÓW ETHERNET 10G INSTALOWANE W PRZEŁĄCZNIKACH CISCO CATALYST 6504-E Moduł z portem Ethernet 10G - 2 szt. ………………………………………………………………………………………… producent/typ/model ELEMENT/CECHA 1. Kompatybilność Spełnia/nie spełnia* Spełnia/nie Moduł w pełni zgodny sprzętowo i programowo ze specyfikacja techniczną przełączników Cisco Catalyst spełnia* 6504-E, z supervisorem VS-S720-10G w którym zostanie zainstalowany. Ponadto zapewnia obsługę CHARAKTERYSTYKA 55 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. ruchu sieciowego w konfiguracji wirtualnego przełącznika (VSS) dla wyżej wymienionych przełączników. Spełnia/nie spełnia* 2. Interfejs 10Gbps Moduł wyposażony w co najmniej 4 porty Ethernet 10Gbps, przy czym 4 są zakończone fizycznymi modułami/wkładkami, umożliwiającymi podłączenie/transmisję za pomocą światłowodu wielomodowego (typ: SR) Spełnia/nie spełnia* 3. Instalacja Instalacja/aktywacja modułu w przełączniku Cisco Catalyst 6504-E będzie przeprowadzona na działającym urządzeniu (nie jest wymagane wyłączenie przełącznika przed instalacją modułu). ______________, dnia ____________2016 r. _______________________________ podpis osoby(osób) uprawnionej(ych) do reprezentowania Wykonawcy 56 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. Załącznik B do SIWZ Wzory oświadczeń Oświadczenie Ja, niżej podpisany ..................................................................................................................................................... działając w imieniu i na rzecz (nazwa /firma/ i adres wykonawcy) ..................................................................................................................................................... oświadczam, iż spełniamy warunki, o których mowa w art. 22 ust. 1 ustawy Prawo zamówień publicznych, a w tym: 1. posiadam uprawnienia do wykonywania określonej działalności lub czynności, jeżeli przepisy prawa nakładają obowiązek ich posiadania; 2. posiadam wiedzę i doświadczenie do wykonanie zamówienia; 3. dysponuję odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia; 4. znajduję się w sytuacji ekonomicznej i finansowej zapewniającej wykonanie zamówienia. ______________, dnia ____________2016 r. _______________________________ podpis osoby(osób) uprawnionej(ych) do reprezentowania Wykonawcy 57 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. Załącznik B do SIWZ Wzory oświadczeń Oświadczenie Ja, niżej podpisany ..................................................................................................................................................... działając w imieniu i na rzecz (nazwa /firma/ i adres wykonawcy) ..................................................................................................................................................... …………………………………………………………………………………………………. oświadczam, iż nie podlegam wykluczeniu z postępowania o udzielenie zamówienia publicznego na podstawie art. 24 ust. 1 ustawy Prawo zamówień publicznych. ______________, dnia ____________2016 r. _______________________________ podpis osoby(osób) uprawnionej(ych) do reprezentowania Wykonawcy 58 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. Załącznik B do SIWZ Wzory oświadczeń Informacja o braku przynależności do grupy kapitałowej Ja, niżej podpisany ..................................................................................................................................................... działając w imieniu i na rzecz (nazwa /firma/ i adres wykonawcy) ..................................................................................................................................................... na postawie art. 26 ust. 2d w związku z art. 24 ust. 2 pkt 5) ustawy Prawo zamówień publicznych oświadczam, iż: nie należę do żadnej/ należę* grupy kapitałowej w rozumieniu ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. Nr 50, poz. 331 z późn. zm.)1 ______________, dnia ____________2016 r. _______________________________ podpis osoby(osób) uprawnionej(ych) do reprezentowania Wykonawcy * niepotrzebne skreślić. W przypadku gdy Wykonawca należy go grupy kapitałowej zobowiązany jest dodatkowo do przedłożenia listy podmiotów należących do tej samej grupy kapitałowej. 59 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. Załącznik B do SIWZ Wzory oświadczeń Wykaz osób L.p. Imię i nazwisko Posiadanie wiedzy 1. Informacja o podstawie dysponowania osobami Posiada wiedzę w zakresie instalacji, konfiguracji i zarządzania urządzeniami typu IPS ** własny / udostępniony* Posiada wiedzę w zakresie instalacji, konfiguracji i zarządzania urządzeniami typu Router ** własny / udostępniony* Posiada wiedzę w zakresie instalacji, konfiguracji i zarządzania urządzeniami typu Firewall ** własny / udostępniony* 2. 3. *niepotrzebne skreślić **Przed zawarciem umowy Wykonawca przekaże Zamawiającemu kopię certyfikatu / innego dokumentu potwierdzającego, iż osoba wskazana przez Wykonawcę w ofercie posiada wiedzę w zakresie instalacji, konfiguracji i zarządzania urządzeniami typu IPS, Router, Firewall. ______________, dnia ____________2016 r. _______________________________ podpis osoby(osób) uprawnionej(ych) do reprezentowania Wykonawcy 60 Postępowanie prowadzone w trybie przetargu nieograniczonego pn. Modernizacja systemów bezpieczeństwa teleinformatycznego węzła sieciowego w Centrum Przetwarzania Danych Ministerstwa Finansów. Załącznik B do SIWZ Wzory oświadczeń Wykaz dostaw lp. Odbiorca dostawy [ze wskazaniem, co najmniej nazwy] Data wykonania ( od –do/ nadal) Przedmiot dostawy* Wartość dostawy 1. 2. 3. * Z opisu musi jednoznacznie wynikać spełnienie warunku określonego w Rozdziale VIII ust. 4. ______________, dnia ____________2016 r. ………………………………………………………………………… podpis Wykonawcy albo osoby lub osób uprawionych do reprezentowania Wykonawcy 61