Modyfikacja SIWZ - Inspektorat Uzbrojenia

Transkrypt

Warszawa, dnia
.10.2012 r.
INSPEKTORAT UZBROJENIA
Nr VIUL”PO
18 PAZ Ż1
OO-909 Warszawa
wg rozdzielnika
MOD YFIKACJA
treści SIWZ
dotyczy. postepowania fU/201!yII-51/ZO/PN/A E/DOS/K/2012
Zamawiający Inspektorat Uzbrojenia, działając zgodnie z art. 38 ust. 4 ustawy z dnia
29 stycznia 2004 roku Prawo zamówień publicznych (tekst jednolity: Dz. U. z 2010 r.
Nr 113, poz. 759) modyfikuje treść Specyfikacji Istotnych Warunków Zamówienia (nr wych.
9954/12 z dnia 25.09.2012 r.) sporządzonej w postępowaniu o udzielenie zamówienia
publicznego na dostawę systemu kontroli ruchu sieciowe go w sieci INTER MON.
Zakres modyfikacji jest następujący:
Zmianie ulega dotychczasowe brzmienie zapisów SIWZ w zakresie:
1. zwiększenia zamówienia poprzez dodanie w zał. nr 1 do SIWZ pkt III pt. „Dostawa
i wdrożenie systemu ochrony ruchu web (zwany dalej SOW System Ochrony Web) na
bazie McAfee Web Gateway (lub rozwiązania równoważnego, spełniającego co najmniej
wymagania techniczne opisane poniżej) wraz z oprogramowaniem oraz platformą klasy
appliance i systemem raportowania w trybie offbox”;
2. wysokości wadium nr 7058 aktualna wysokość to 125.000,00 zł.;
3. „Wzór Umowy” zastępuje się słowami „Istotne postanowienia Umowy”.
-
-
-
—
„
—
Zmianie ulegają zapisy załączników nr 1, 2 i 3 do SIWZ, których aktualne brzmienie
zawarto w załącznikach do niniejszego pisma.
Zamawiający, w celu zapewnienia Wykonawcom czasu niezbędnego do
wprowadzenia w ofertach zmian wynikających z modyfikacji treści Specyfikacji Istotnych
Warunków Zamówienia, postanowił przedłużyć termin składania ofert. Nowe terminy są
następuj ące:
Termin składania ofert: 14.11.2012 r. godz. 09:00.
Termin otwarcia ofert: 14.11.2012 r. godz. 10:00.
W pozostałym
niezmieniona.
zakresie
Specyfikacja
Istotnych
Warunków
Zamówienia
PRZEWO
ICZĄCY
pozostaje
Załączniki:
Zał. nr I
Zał. nr 2
Zał. nr 3
—
—
—
specyfikacja techniczna i ilościowa
istotne postanowienia umowy
formularz oferty
0Ml
płk Paweł JOZEFACKI
MN. 2268731 22
rodukta:hIPS
(Intrusion
Preyention
System)
wraz ze
wsparciem
technicznym
producenta na
at.
O res
Rozbudowa
systemu
bezpteczenstwa
Wyszczególnienie
uJ/20 1/VII-5 1/ZOPN/AEJDOSJK!20 12
Lp.
systemu
bezpieczeństwa
opartego
na
1
—
IPS
(Intrusion
Preyention
System)
wraz ze
dopuszcza się produkty/usługi równoważne o niżej wymienionych parametrach minimalnych
produktach
Strona I
Wymagania techniczne dla rozwiązania równoważnego
W przypadku zaoferowania rozwiązania równoważnego musi ono spełniać, co najmniej wymienione niżej minimalne wymagania
techniczne i funkcjonalne:
1. W ramach postępowania należy dostarczyć wyżej wymieniony sensor IPS, który umożliwi pracę w trybie in-line i będą realizować
analizę ruchu, wykrywanie i przeciwdziałanie atakom w monitorowanych segmentach sieci Użytkownika.
2. W zakresie wdrożenia objętym niniejszym postępowaniem sensor ma chronić w sumie 2 łącza (linki) 1GE, medium skrętka.
3. Sensor będzie obsługiwał chronione linki trybie in-line.
4. Dobierając wydajność oferowanego urządzenia nateży jednak przewidzieć możliwość podłączenia sensora w przyszłości do
dodatkowych segmentów sieci (nie jest wymagane w ramach niniejszego postępowania oferowanie ewentualnych dodatkowych
wkładek do podłączenia sensorów do dodatkowych segmentów sieci)
5. Całkowite pasmo ruchu, które ma być analizowane przez sensor (suma ruchu z chronionych łączy) nie przekracza aktualnie lGb/s,
a po możliwej rozbudowie nie przekroczy 1 .5Gbp/s.
6. Sensor ma spełniać poniższe wymagania minimalne:
a. Sensor musi być wykonany w postaci dedykowanej platformy sprzętowej opartej na procesorach sygnałowych
b. Nie jest dopuszczalne stosowanie wewnętrznych dysków twardych HDD z ruchomą głowicą odczytulzapisu
c.Sensor nie może być zrealizowany z wykorzystaniem technologii mieszanej, gdzie część operacji na analizowanym ruchu
wykonywanych jest przez oprogramowanie a inna część przez procesory sygnałowe. Cała analiza, wykrywanie ataków,
generowanie alertów i logów musi być_wykonywane_przez_dedykowane_procesory_sygnałowe
-
-
-
Produkty do rozbudowy istniejącego systemu ochrony IPS:
1.
1 szt. sensor McAfee M-3050 wraz z redundantnym zasilaczem
2.
6 szt. wkładka 1GE SFP TX do w/w sensora umożliwiających podłączenie sensora do co najmniej dwóch segmentów sieci w
trybie in-line
3. 2 szt. zestaw Fail Open Kit dla w/w sensora umożliwiające automatyczne przywrócenie połączenia w monitorowanych
segmentach sieci w razie awarii sensora
Nazwa zamawianego produktu/usługi
wsparciem technicznym producenta na okres 3 lat.
Rozbudowa
Specyfikacja techniczna i ilościowa
Załącznik nr 1 do SIWZ
Wyszczególnienie
„
IU/20 1/VII-5 I/ZOPN/AE/DOSJKJ2O 12
Lp.
12.
13.
14.
11.
10.
9.
7.
8.
—
dopuszcza się produkty/uslugi równoważne o niżej wymienionych parametrach minimalnych
—
—
Strona 2
d. Sensor musi być całkowicie pasywny w sieci interfejsy podłączone do chronionych linków nie posiadają adresów MAC
ani lP
e.Sensor posiada wydajność dla analizowanego ruchu co najmniej l.SGbps
f. Sensor wyposażony jest w co najmniej 8 portów 1GE do obsadzenia wkładkami SFP oraz co najmniej 4 porty IOGE do
obsadzenia wkładkami XFP
g. Sensor musi być wyposażony w redundantne zasilacze AC
h. Wysokość sensora nie może przekraczać 2 jednostek RU, a sensor musi posiadać mocowania do instalacji w szafie
montażowej 19”
i. W momencie dostawy należy zapewnić co najmniej 6 wkładek IGE SFP UTP na sensor
j. Ilość jednocześnie monitorowanych sesji przez sensor nie niższa niż 750 000
k. Ilość nowych połączeń na sekundę obsługiwana przez sensor nie niższa niż 18 000
Sensor musi mieć certyfikat bezpieczeństwa Common Criteria co najmniej na poziomie EAL3
Sensor musi mieć dedykowany interfejs zarządzający 10/100/1000 Ethernet do komunikacji z konsolą zarządzania IPS oraz do:
a.Realizacji dostępu zdalnego do sensora, co najmniej przez SSH
b. Realizacji zapytania o status urządzenia i wartość zmiennych SNMP określonych przez producenta IPS, bezpośrednio na
sensorze
c.Realizacji autentykacji dostępu do konsoli sensora poprzez protokół TACACS+
Dostarczony sensor musi umożliwiać w przyszłości zbudowanie klastrów składających się z co najmniej dwóch sensorów
a.Nie jest wymagane na obecnym etapie dostarczanie ewentualnych dodatkowych wkładek SFP/XFP potrzebnych do
zestawienia klastra
b. Nie jest dopuszczalna konieczność dokupienia dodatkowych licencji lub zmiana oprogramowania sensorów i systemu
zarządzania w celu zestawienia klastra
c. Użytkownik może zdecydować o dokupieniu sensorów w przyszłości, w osobnym postępowaniu, dla utworzenia klastrów
Klaster sensorów ma umożliwiać pracę w układzie actiye-actiye zapewniając poprawną analizę ruchu i wykrywanie ataków
nawet, jeśli ruch obsługiwany przez klaster będzie asymetryczny część pakietów z tej samej sesji przechodzi przez jeden z
sensorów w klastrze, a część przez drugi (np. połączenie jest nawiązywane przez jeden z sensorów, ale odpowiedź do niego wraca
przez drugi)
Nie jest dopuszczalne synchronizowanie w klastrze wyłącznie stanu połączeń między sensorami. Dla zapewnienia najwyższego
poziomu wykrywania ataków wymagane jest ciągłe synchronizowanie poszczególnych pakietów między sensorami w klastrze.
Sensory pracujące w klastrze będą zainstalowane w tej samej lokalizacji, a odległość między nimi nie przekroczy 100 mb
Klaster sensorów musi być zarządzany jak jeden obiekt z punktu widzenia systemu zarządzania
Sensory i zbudowany na nich klaster muszą spełniać następujący minimalny zestaw funkcjonalności podany w kolejnych
Wyszczególnienie
IU/201/VIJ-5 1/ZOPN/AEJDOSJKJ2OI2
Lp.
28.
27.
26.
25.
23.
24.
22.
21.
19.
20.
17.
18.
16.
15.
—
Strona 3
punktach.
Praca w trybach: in-line, podłączone przez TAP, podłączone przez port SPAN.
a.Jednocześnie musi być obsługiwane podłączenie na kilka rożnych sposobów —jednocześnie musi być obsługiwana dowolna
konfiguracja sposobów podłączenia do chronionego łącza na każdym z portów monitorujących
Poprawnie przetwarzać, analizować wykrywać ataki w połączeniach typu: IPy4 i IPy6 oraz w ruchu tunelowanym: IPy4-in-IPy4,
lPy4-in-IPy6, IPy6-in-IPy4, IPy6-in-IPy6 i GRE
Zarządzanie sensorem musi być możliwe bezpośrednio w sieci z adresacją IPy6.
Poprawnie przetwarzać, analizować i wykrywać ataki w ramkach z informacją o yLAN, VLAN-in-VLAN (tzw. metro Ethernet),
MPLS
Poprawnie obsługiwać Jumbo Frames o wielkości do 9KB
Pozwalać na zdefiniowanie interfejsów wirtualnych (co najmniej 1000) reprezentujących numer sieci VLAN (według standardu
802.lq) i zakresy adresów lP
Umożliwiać przypisanie polityki działania, czyli zakresu wykrywanych ataków i reakcji na nie, do: sensoralklastra,
poszczególnych portów fizycznych i poszczególnych interfejsów wirtualnych
Realizować sterowanie ruchem przez:
a.ograniczenie ruchu (rate limitting) na podstawie co najnmiej: rodzaju protokołu, portów TCP i UDP, nr protokołu lP
b. ustawienie wartości DiffSery
c.ustawienie wartości CoS (802. Ip)
d. ograniczenie ruchu na podstawie maksymalnej, zdefiniowanej ilości połączeń na sekundę
Umożliwiać dekodowanie co najmniej 120 protokołów niezależnie od portów na jakich działają
Wykrywać i raportować co najmniej 1000 różnych aplikacji używanych w sieci na podstawie ich sygnatur (niezależnie od portów
na jakich komunikuje się aplikacja), okresowo aktualizowanych przez producenta
Wykrywać i blokować ruch popularnych programów typu p2p i Instant Messaging (minimum 50 rodzajów) lub opcjonalnie
przeprowadzać kontrole zajętości pasma dla tych protokołów niezależnie od portów, na których ten ruch się odbywa.
Sensor IPS musi wykrywać i blokować ruch programów szpiegujących i reklamowych oraz komputerów będących w sieciach
BOT oraz posiadać mechanizmy wykrywania nowych sieci BOTnet na podstawie korelacji zdarzeń w czasie i wykrywania
komunikacji z BOTnet.
Musi być możliwe w trybie „na bieżąco”, z konsoli zarządzania sensorami, zweryfikowanie nazwy kraju skąd pochodzi
połączenie Internetowe wykrywane przez sensor jako atak.
Musi być możliwe sprawdzenie w trybie „na bieżąco”, z konsoli zarządzania reputacji (poziomu ryzyka) związanej z adresem IP,
z którego wykrywany jest atak. Reputacja ma być określana na podstawie danych z serwisu reputacyjnego prowadzonego przez
producenta systemu IPS.
Wyszczególnienie
[U/20 1JVII-51/ZOPN/AE/DOSJK/20 12
Lp.
—
—
Strona 4
29. Wykrywanie ataków na chroniony serwer Web w tunelach szyfrowanych SSL, bez konieczności stosowania dodatkowych
urządzeń lub oprogramowania, na podstawie certyfikatu chronionego serwera. Analiza ruchu SSL nie może wymagać
terminowania tuneli szyfrowanych na sensorze/klastrze.
30. Plik sygnatur ataków powinien zawierać co najmniej 4000 definicji ataków. Sygnatury powinny być okresowo aktualizowane i
udostępniane przez producenta systemu IPS. Format sygnatur i sposób ich dostarczania przez producenta muszą zabezpieczać
przed analizą formatu i składni sygnatury przez osoby postronne.
31. Wraz z sygnaturami musi być dostępna lokalnie z konsoli zarządzania IPS informacja opisująca ataki wykrywane na bazie
sygnatur
32. Sygnatury ataków powinny posiadać rekomendację producenta do blokowania ataków i określenie ryzyka wystąpienia tzw.false
positiye, jeśli zostanie włączone blokowanie ataku na podstawie danej sygnatury
33. System musi posiadać wbudowany edytor do tworzenia własnych sygnatur ataków przez administratora oraz umożliwiający
import zewnętrznych sygnatur w formacie Snort
34. W konfiguracji systemu musi istnieć możliwość dowolnego wyboru sposobu reakcji na wykrycie każdego z ataków z osobna, co
najmniej: zablokowanie ataku (w trybie inline), przerwanie sesji „TCP reset” lub wysłanie komunikatu sieciowego „ICMP host
unreachable” (w trybie IDS), wysłanie alertu do konsoli zarządzania IPS, wysłanie komunikatu SNMP trap, wysłanie email,
wykonanie predefmiowanego skryptu.
35. W ramach alertu o wykrytym ataku, jaki wysyła sensor do konsoli zarządzania, musi być zapisana informacja o
pakiecie/pakietach, które spowodowały zadziałanie sygnatury ataku. Informacja musi być zapisana w formacie PCAP,
umożliwiającym jej późniejszą analizę z wykorzystaniem ogólnodostępnych narzędzi typu sniffer (np. Wireshark, Ethereal)
36. Musi być możliwe zapisanie w formacie PCAP większej ilości pakietów niż tylko tych związanych z wykrytym atakiem co
najmniej przez określenie ilości zapisanych pakietów lub nawet zapisu całej sesji pomiędzy źródłem i odbiorcą połączenia.
Definiowanie ilości zapisywanych informacji musi być możliwe dla poszczególnych rodzajów ataków, jak również dla wielu
ataków równocześnie
37. Dodatkowo musi być możliwe blokowanie całej komunikacji od atakującego adresu lP na zdefmiowany czasu (tzw. kwarantanna).
38. Realizacja trybu fail open na każdym z dostarczonych sensorów poprzez zastosowanie tzw. Fail Open Kit, który automatycznie
przywróci połączenie w segmencie, z pominięciem sensora, w razie jego awarii
39. Obsługa łączenia portów fizycznych sensora i między sensorami w klastrze w grupy w celu obsługi zgrupowanych linków
sieciowych w technologii typu „channel” (Etherchannel, LACP)
40. Umożliwiać ochronę przed atakami typu DoS/DDoS poprzez:
a.tryb SYN Proxy
b. progi wydajnościowe (tzw. threshold) określające: maksymalną ilość aktywnych połączeń, maksymalną ilość nowych
połączeń na sekundę
Nazwa zamawianego produktu/usiugi
Załącznik nr I do SIWZ
Wyszczególnienie
[U/201/VII-5 1/ZOPN/AE/DOS/K!2012
Lp.
48.
46.
47.
45.
44.
43.
42.
41.
—
-
Strona 5
c.sygnatury opisujące podatności chronionych systemów, które są wykorzystywane do przeprowadzania ataków DoS
d. za pomocą analizy profili statystycznych ruchu sieciowego. Dedykowane profile powinny być samodzielnie wyznaczane
(uczone) przez sensor IPS dla poszczególnych interfejsów fizycznych i wirtualnych. W razie wykrycia odstępstw od
wyuczonego prońiu sensor ma umożliwiać odrzucanie pakietów w pierwszej kolejności z adresów IP, które zwykle nie
brały udziału w komunikacji (minimalizowanie ilości odrzuconych pakietów dla poprawnych sesji nie związanych z
atakiem DoS/DD0S)
Musi posiadać funkcjonalność wbudowanego firewalla typu stateful firewall, który umoźliwia zablokowanie niepożądanego ruchu
lub przepuszczenie go bez analizy IPS.
Reguły firewalla muszą umożliwiać definiowanie zachowania sensora na podstawie co najmniej: nazw aplikacji, adresów lp i
portów źródła i odbiorcy, lokalizacji (nazwy kraju) w którym znajduje się adres IP, samodzielnie definiowanych obiektów
reprezentujących zakresy adresów lP. nazwy DNS hostów, grupy sieci
Sensor musi raportować dane o adresie źródła ataku na podstawie nagłówka http „X-Forwarder-For” w sytuacji kiedy źródło
łączy się spoza systemu proxy itaki nagłówek http jest dostępny
Musi być możliwe wdrożenie systemu w trybie „symulacji”, w którym system oznacza wykrywane ataki, jako „blokowane”
faktycznie ich nie blokując
Musi istnieć możliwość awaryjnego przełączenia sensorów w tryb przeźroczysty z punktu widzenia warstwy 2 modeli OSI/ISO
(bez analizy ruchu pod kątem ataków)
Aktualizacje sygnatur i update”y oprogramowania sensorów nie mogą wymagać restartu sensorów
Sensor musi mieć możliwość pełnej integracji z konsolą zarządzania IPS posiadaną obecnie przez Użytkownika Network
Security Manager 7.x.
Minimalne wymagania do integracji dostarczonego sensora z istniejącą infrastrukturą Użytkownika.
a.Dostarczony system IPS musi umożliwiać integrację z system zarządzania aktualnie wykorzystywanymi sensorami IPS firmy
McAfee, co najmniej w zakresie:
i. Przekazywania do tego systemu alertów z nowo dostarczonego sensora, w taki sposób aby było możliwe zapisanie
ich w bazie obecnego systemu zarządzania i prezentację wraz z alertami generowanymi przez obecnie używane
sensory
ii. Przekazywania do tego systemu stanu pracy sensora celem ich prezentacji wraz ze stanem aktualnie używanych
sensorów
b. Dostarczony system IPS musi umożliwiać pobieranie informacji o hostach, których dotyczą wykryte anomalie i ataki, z
bazy centralnego systemu zarządzania bezpieczeństwem, czyli serwera McAfee ePO. W ramach tej integracji musi być
możliwe wyświetlenie w konsoli zarządzania informacji o nazwie hosta, ostatnio zalogowanym użytkowniku, rodzaju
systemu operacyjnego i liście produktów ochrony jakie są na nim zainstalowane
Wyszczególnienie
Ilość
w kpi.
[U/20 1JyH5 l/ZOPN/AE/DOSJK!20 12
Lp.
—
Strona 6
c.Dostarczany system IPS musi umożliwiać integrację z systemem wykrywania podatności McAfee MVM (Foundstone), w
zakresie umożliwiającym co najnmiej automatyczne powiązanie i prezentację w konsoli systemu zarządzania IPS informacji
o wykrytym przez sensor ataku z informacją o podatności dotyczącej tego ataku, jaka została znaleziona podczas
d. skanowania zasobów przez MVM (Foundstone).
fU/20 1/VII-5 1/ZOPN/AEJDOS(K120 12
Zakup dwóch
urządzeń McAfee
Firewall Enterprise
S6032 (Formerly
model 4150) wraz z
McAfee Firewall
Enterprise Control
Center C2050 z
funkcjonalnością
kontroli aplikacji i
identyfikacji
użytkowników (lub
rozwiązania
równoważnego,
spełniającego
minimalne
wymagania
techniczne opisane
w tabeli) wraz
wdrożeniem i
wsparciem
technicznym
producenta na
okres 5 lat.
2
—
—
—
—
B. Wymagania co do platformy sprzętowej firewalli
Platforma sprzętowa, na jakiej działają oferowane Firewalle musi spełniać poniższe wymagania minimalne:
t) Każdy z oferowanych firewalli ma spełniać następujące minimalne parametry wydajnościowe:
a. Maksymalna wydajność firewalla co najn1niej lSGbps
b. Maksymalna wydajność z włączonym wbudowanym modułem IPS co najmniej 6Gbps
c. Maksymalna wydajność z wykorzystaniem kontroli aplikacji co najmniej I lGbps
d. Wydajność obsługi połączeń IPSec VPN (AES) co najmniej 45OMbps
—
Strona 7
A. Wymagania ogólne
1) Wszystkie elementy dostarczonego rozwiązania muszą pochodzić od jednego producenta.
2) Oferowane rozwiązanie firewall musi być zrealizowane w postaci dedykowanej platformy sprzętowej (2 appliance)
3) Oferowany firewall musi posiadać certyfikat CC EAL 4+
4) W ramach umowy należy dostarczyć rozwiązanie do centralnego zarządzania wieloma firewallami w postaci zintegrowanego
rozwiązania jeden appliance wraz z systemem operacyjnym i oprogramowaniem zarządzającym
5) Oferowany firewall i jego oprogramowanie wraz ze wszystkimi funkcjami i modułami muszą posiadać licencję niezależną od ilości
chronionych użytkowników, adresów IP, komputerów, itp.
z funkcjonalnością kontroli aplikacji i identyfikacji użytkowników.
Wraz z firewallami należy dostarczyć kompletne rozwiązanie do centralnego zarządzania firewallami z możliwością zarządzania
kolejnymi w przyszłości (max 20 urządzeń).
Każdy z oferowanych firewalli musi posiadać identyczną konfigurację sprzętową, wydajność i funkcjonalności, w szczególności
urządzenia, działające na nich oprogramowanie oraz licencje muszą umożliwiać zarówno wdrożenie oferowanych firewalli w postaci
jednego klastra, jak również ich niezależne wykorzystanie w sieci Użytkownika.
Urządzenia do budowy systemu firewall:
1) McAfee Firewall Enterprise S6032 (Formerly model 4150)
2) McAfee Firewall Enterprise Control Center C2050
—
Wyszczególnienie
Lp.
Naziya zamawianego produktu/usługi
Zakup dwóch urządzeń McAfee Firewall Enterprise S6032 (Formerly model 4150) wraz z McAfee Firewall
Enterprise Control Center C2050 z funkcjonalnością kontroli aplikacji i identyfikacji użytkowników (lub
rozwiązania równoważnego, spełniającego minimalne wymagania techniczne opisane w tabeli) wraz
wdrożeniem i wsparciem technicznym producenta na okres 5 lat.
II.
Załącznik nr Ł do SIWZ
Wyszczegóinienie
Iii/20 1JVII5 1/ZOPN/AEIDOS/K!20 12
Lp.
-
—
—
Strona 8
C. Wymagania techniczne i funkcjonalne
1) System operacyjny firewall powinien być opatentowanym rozwiązaniem, które nie może wykorzystywać komercyjnego system
operacyjnego, dostępnego na rynku niezależnie od zaoferowanego firewalla
2) System operacyjny firewalla nie może posiadać żadnych znanych w momencie składania oferty podatności umożliwiających
przejęcie nad nim kontroli w sposób nieautoryzowany
3) Oferowane firewalle muszą umożliwiać dowolny tryb wdrożenia:
a. Jako dwa niezależne firewalle w trybie segmentacji sieci (layer 3)
b. Jako dwa niezależne firewalle w trybie transparentnym (layer 2 bridge)
c. Jako klaster dwóch firewalli z mechanizmem obsługi wirtualnego adresu lP w trybie multicast i unicast
4) Zarządzanie pojedynczym firewallem musi się odbywać poprzez tzw. grubego klienta (thick client) instalowanego na stacji
administratora
a. Nie jest dopuszczalne zarządzanie f[rewallem poprzez przeglądarkę WWW
5) Poza administracją przez cgrubego klienta” musi istnieć także pełny dostęp administracyjny i konfiguracyjny poprzez CLI za
pośrednictwem protokołu SSH
6) System zarządzania dla pojedynczego firewalla musi umożliwiać co najmniej:
a. Tworzenie reguł firewalla w oparciu o definicje obiektów
b. Podgląd logów z firewalla w czasie rzeczywistym z możtiwością definiowania filtrów
c. Wskazania do optymalizacji reguł (co najmniej przez statystykę najczęściej używanych reguł) i podpowiedzi błędów
logicznych w konstrukcji reguł
7) System zarządzania musi posiadać wbudowane narzędzia wspierające rozwiązywanie problemów, a w tym co najmniej: ARP, get
route, DNS lookup, Ping host, TCP dump, traceroute
8) Zaoferowany firewall musi posiadać wbudowany silnik AV
2)
—
e. Minimum 10 000 obsługiwanych tuneli VPN
f. Maksymalna ilość jednoczesnych połączeń co najmniej 3.9 mln
g. Minimalna ilość nowych połączeń nawiązywanych na sekundę co najmniej 65 tys.
Appliance na jakim działa każdy z firewatli musi spełniać poniższe wymagania minimalne
a. Możliwość instalacji w szafie montażowej 19”
b. Maksymalna wysokość obudowy 2U
c. Wyposażenie w redundantny zasilacz
d. Dyski twarde pracujące w układzie RAID
e. Minimum 8 wbudowanych interfejsów UTP 1GE (w tym porty konieczne ewentualnie do realizacji klastra)
f. Możliwość rozbudowy w przyszłości do co najmniej 32 interfejsów w sumie, w tym możliwość użycia co najmniej 18
interfejsów 10GB
g. Musi istnieć możliwość stosowania w przyszłości portów 1OGE światłowodowych (jedno- i wielo-modowe) oraz portów
światłowodowych 1GB (jedno- i wielo-modowe)
Wyszczególnienie
IU/20 I/VII-5 I/ZOPN/AE/DOSJK!20 12
Lp.
13)
12)
11)
10)
9)
—
Strona 9
Aktualizacje sygnatur malware dla AV powinny się odbywać nie rzadziej niż raz dziennie i być realizowane
automatycznie poprzez Internet
b. Ochrona AV musi być konfigurowana (włączana lub nie) w poszczególnych regułach firewalla
Firewall musi zapewniać wykrywanie i kontrolę aplikacji niezależnie od portu, na jakim działa aplikacja (w szczególności jeśli nie
jest to standardowy port wykorzystywany zwykle przez daną aplikację)
a. Firewall powinien posiadać co najnmiej 1000 defmicji różnych aplikacji, które może wykrywać
b. Definicje aplikacji powinny opierać się na sygnaturach dostarczanych i aktualizowanych przez producenta firewalla,
pogrupowanych w grupy funkcjonalne: aplikacje P2P, aplikacje do zdalnego zarządzania, aplikacje email, itp.
c. W ramach definicji aplikacji producent musi określać poziom ryzyka związanego z wykorzystaniem aplikacji w sieci
d. Aktualizacja definicji aplikacji nie może powodować automatycznego przepuszczenia aplikacji z danej kategorii, nawet
jeśli inne aplikacje z tej kategorii są przepuszczone
e. Musi być możliwe włączenie i wyłączenie wykrywania aplikacji w dowolnej strefie firewalla (interfejs, segment sieci,
grupa interfejsów lub segmentów sieci)
f. Wykrywanie aplikacji nie może wymagać ich umieszczania w regułach firewalla
g. Definicje poszczególnych aplikacji są wykorzystywane w regułach firewalla umożliwiając zdefiniowanie akcji firewalla
zależnie od aplikacji
Firewall musi posiadać wbudowaną funkcjonalność Q0S umożliwiającą określenie maksymalnego udziału pasma jakie może być
użyte przez dany protokół
Firewall musi posiadać wbudowany moduł filtracji URL, który umożliwia wykorzystanie co najmniej 100 różnych kategorii
adresów UPI
a. Baza danych adresów URL i adresów lP musi pochodzić od producenta firewall i być przez niego być aktualizowana.
Dostęp do aktualizacji powinien być możliwy poprzez Internet w automatyczny sposób, bezpośrednio z firewalla
b. Wdrożenie filtracji URL nie może wymagać instalacji dodatkowych urządzeń lub oprogramowania
c. Musi istnieć możliwość użycia funkcji kontroli URL w dowolnej regule firewalla określającej źródło i cel połączenia, ale
także musi być możliwe ustalenie różnych kategorii URL, które będą blokowane lub przepuszczone dla określonych grup
użytkowników
Firewall musi posiadać wbudowany moduł IPS (intrusionpreyention system) umożliwiający wykrywanie i blokowanie ataków na
podstawie ich sygnatur
a. Baza sygnatur i moduł IPS muszą pochodzić od tego samego producenta to producent firewalla
b. Baza sygnatur IPS musi być aktualizowana przez producenta, ajej aktualizacja na firewallu musi być możliwa
automatycznie przez Internet
c. Liczba sygnatur IPS nie może być mniejsza niż 12 tys różnych sygnatur
d. Ochrona IPS obejmująca wybrane sygnatury ataków musi być włączana w ramach wybranych reguł określających
połączenie (nie dopuszcza się stosowania rozwiązań, w których IPS włączany jest globalnie dla firewalla lub dla
poszczególnych stref chronionych przez firewall)
Firewall musi zapewniać ochronę przed atakami SYN attack, lp spoofm, Port Scannin, Source Route, TCP SYN hiiack. SYN
a.
Wyszczegóinienie
H
IU/2O1JyII-5 1/ZOPN/AE/DOS/K120 12
Lp.
—
—
Strona 10
flood
14) Firewall musi umożliwiać blokowanie połączenia na podstawie oceny ryzyka (reputacji), jakie jest związane z celemlźródłem
połączenia
a. Producentem bazy serwisu reputacyjnego, z której korzysta firewall musi być producent firewalla
b. Weryfikacja reputacji strony połączenia musi następować on-line w czasie nawiązywania połączenia, poprzez Internet
c. Baza serwisu reputacyjnego, z której korzysta firewall musi obejmować adresy IP, domeny DNS, adresy stron WWW, itp.
Informacje w bazie muszą być dynamicznie aktualizowane zależnie od zmian kryteriów branych pod uwagę przy
określaniu reputacji
d. Włączenie lub wyłączenie opcji weryftkacj i reputacji połączenia i decydowania na tej podstawie czy przepuścić czy
zablokować połączenie powinno być możliwe w poszczególnych regułach firewalla
15) Firewall musi umożliwiać zablokowanie lub przepuszczanie połączeń na podstawie nazwy kraju, w którym zarejestrowane są
adresy lP źródła lub celu połączenia
a. Weryfikacja przynależności adresu lP do kraju musi się odbywać na bieżąco z firewalla przez Internet
b. Wykorzystanie nazw krajów do blokowania lub przepuszczania połączeń musi być możliwe w poszczególnych regułach
firewalla (nie globalnie)
16) Musi być możliwe skonfigurowanie firewalla jako natywnego proxy aplikacyjnego (terminującego połączenie od użytkownika i
nawiązującego osobne połączenie do serwera) co najmniej dla protokołów: http, ftp, ssh, Citrix, smtp, Oracle sql, MS SQL, h.323,
smnp, T120
a. W ramach realizacji funkcji proxy Firewall musi umożliwiać kontrolę i modyfikację wybranych parametrów
poszczególnych protokołów (np. zablokowanie komendy POST dla http, zablokowanie możliwości transferu plików dla
SSFI, zablokowanie komendy PUT dla ftp, itp.)
17) Firewall musi umożliwiać analizę zawartości połączeń szyfrowanych co najmniej dla SSL, SSH, SCP, SFTP
a. W przypadku SSL Firewall musi umożliwiać deszyfrację i ponowną szyfrację połączenia w trybie „man-in-the-middle”
b. Firewall musi działać jako natywne proxy aplikacyjne dla SSH, SFTP, SCP
c. Analiza ruchu szyfrowanego SSL musi obejmować w szczególności kontrolę antywirusową
d. Musi istnieć możliwość zdefiniowania, które połączenia szyfrowane mają podlegać kontroli na podstawie grup
użytkowników nawiązujących połączenie
18) Firewall musi posiadać wbudowany, szczególnie zabezpieczony moduł proxy dla protokołu SMTP, który umożliwia kontrolę
parametrów poczty elektronicznej i jej ochronę przed malware i atakami z wykorzystaniem cech protokołu SMTP
a. Funkcjonalność musi umożliwiać realizację tzw. rozdzielonej (split) komunikacji pocztowej połączenia SMTP
nawiązywane są do firewalla, a on dopiero otwiera komunikację z innym serwerem poczty
19) Firewall musi umożliwiać blokowanie plików i typów MIME
20) Firewall musi obsługiwać i analizować ruch w adresacji IPy6
21) Firewall musi obsługiwać protokoły dynamicznego routingu, co najmniej: RIP y l!y2, OSPF, BGP, PIM-SM oraz routing statyczny
22) Firewall musi obsługiwać konfigurację zapasowej (redundantnej) defmicji gateway”a (default route), która jest automatycznie
wykorzystywana w razie braku dostępu do podstawowego ateway”a
Wyszczególnienie
tU/20 I/VII-5 1/ZOPN/AE/DOSJK/20 12
Lp.
—
D. Wymagania dla centralnego systemu zarządzania firewallami
1) Oferowane rozwiązanie musi umożliwiać równoczesne zarządzanie co najmniej 20 firewallami.
—
Strona 11
23) Firewall musi obsługiwać bezpieczną komunikację DNS, w tym tzw. split DNS realizowany przez Firewall (Firewall realizuje
funkcje wewnętrznego serwera DNS, blokując możliwość bezpośredniego wysłania zapytania DNS do serwerów zewnętrznych)
24) Firewall musi obsługiwać VLANy na swoich interfejsach fizycznych, co najmniej na podstawie tagowania 802. 1Q
25) Musi istnieć możliwość zbudowania klastra firewalli w ramach zaoferowanego rozwiązania
a. Musi istnieć możliwość zbudowania klastra w układzie actiye-passiye oraz actiye-actiye bez konieczności stosowania
zewnętrznych load-balancerów
b. Klaster musi być zarządzany jak jedno urządzenie itak też widoczny z punktu widzenia podłączonych do niego sieci
c. Urządzenia wchodzące w skład klastra muszą wymieniać miedzy sobą stan połączeń
26) Firewall musi umożliwiać identyfikację użytkowników, których połączenia są obsługiwane przez Firewall
a. Musi być możliwe wykorzystanie nazw użytkowników i grup, do których należą, jako parametru w poszczególnych
regułach firewalla
b. Identyfikacja użytkownika, który zalogował się ze swojego komputera w domenie AD musi być transparentna
użytkownik nie musi podawać swoich danych w czasie połączenia, niezależnie od wykorzystywanego protokołu
i. W razie jeśli wykorzystanie takiej funkcjonalności wymaga wdrożenia dodatkowego oprogramowania na
serwerze, w ofercie należy przewidzieć dostarczenia serwera (platformy sprzętowej) wraz z systemem
operacyjnym
ii. Należy przewidzieć serwer w obudowie umożliwiającej instalację w szafie 19”, wyposażony w redundantne
zasilacze i dyski pracujące w układzie RAID zapewniającym podtrzymanie pracy nawet w przypadku awarii
pojedynczego dysku
iii. W tym wypadlcu możliwe jest zaoferowanie platformy serwera pochądzej od innego producenta niż producent
systemu firewall
c. Poza autentykacją użytkownika w sposób transparentny, opisany powyżej, musi być możliwe także zdefiniowanie „nie
transparentnej” autentykacji bez konieczności instalowania jakiegokolwiek oprogramowania na stacjach użytkowników
i. Mechanizm „nie transparentnej” autentykacji musi umożliwiać użycie co najmniej takich usług katalogowych
jak: LDAP, OpenLDAP, Radius, iPlanet, AD, Win NT do weryfikacji danych użytkowników i ich przynaleŻności
do grup użytkowników
27) Firewall musi posiadać możliwość pełnego odtworzenia konfiguracji oprogramowania i systemu operacyjnego z nośnika USB
28) W czasie i po wykonaniu upgrade”u wersji oprogramowania lub po instalacji łatki (patcha), Firewall musi umożliwiać cofuięcie
jego wersji oprogramowania do poprzedniej bez konieczności reinstalacji oprogramowania z nośników zewnętrznych
29) Firewall musi obsługiwać połączenia IPSec VPN w układzie site-to-site oraz user-to-site
30) Firewall musi obsługiwać protokół SNMP w wersjach 1, 2c i 3 w celach administracyjnych
31) Firewall musi umożliwiać zapisywanie logów na zewnętrzy serwer Sys log
32) Firewall musi umożliwiać wygenerowanie logów w zewnętrznych formatach, a co najmniej w postaci XML, W3C, WebTrends
Nazwa zamawianego produktulnsiugi
Wyszczególnienie
Hoc
Iii/201/VII-5 1/ZOPN/AE/DOS/K!20 12
Lp.
12)
11)
10)
9)
8)
6)
7)
5)
4)
2)
3)
—
-
—
—
—
Strona 12
Oferowane rozwiązanie musi pochodzić od tego samego producenta co firewalle.
Rozwiązanie powinno być zbudowane w oparciu o dedykowaną platformę sprzętową (appliance) spełniającą co najmniej
następujące wymagania:
a. Możliwość instalacji w szafie montażowej 19”
b. Maksymalna wysokość obudowy W
c. Wyposażenie w redundantny zasilacz
d. Co najmniej dwa dyski twarde pracujące w układzie RAID1
e. Minimum 2 wbudowane interfejsy UTP 1GE(10/100/l000)
f. Wbudowany napęd CD/DVD
g. Wbudowany, dedykowany port do zarządzania w trybie „out-of-band”
Centralny system zarządzenia musi umożliwić konfigurację wszystkich parametrów firewalli (w tym IPS, kontrola aplikacji,
autentykacja, proxy, itd.)
a. Tworzenie reguł firewalla w oparciu o wspólny zasób definicji obiektów
System zarządzania musi umożliwiać pobranie aktualnej konfiguracji z firewalla w czasie podłączania go lub synchronizowania z
systemem centralnego zarządzania
System ma umożliwiać podgląd logów z firewalla w czasie rzeczywistym z możliwością defmiowania filtrów
System musi posiadać możliwość wskazania reguł do optymalizacji (co najmniej przez statystykę najczęściej używanych reguł) i
podpowiedzi błędów logicznych w konstrukcji reguł
System zarządzania musi umożliwiać zdefiniowanie wielu kont administratorów w oparciu o zewnętrzne usługi katalogowe co
najmniej LDAP i Radius
a. Musi istnieć możliwość zdefiniowania różnych ról dla poszczególnych kont administratorów
Centralny system zarządzania musi umożliwiać zdefiniowanie niezależnych domen administracyjnych, określających firewalle, za
które odpowiedzialne są dedykowane, wskazane konta administratorów
a. Nieautoryzowany dostęp administrator do obiektów/reguł powinien być zapisywany w logach audytowych
System zarządzania musi posiadać wbudowane narzędzia wspierające rozwiązywanie problemów, a w tym co najmniej: ARP, get
route, DNS lookup, Ping host, TCP dump, traceroute
System zarządzania musi umożliwiać w przyszłości rozbudowę do klastra wysokiej dostępności (high ayailabilily) serwerów
zarządzających
System zarządzania musi umożliwiać integrację z centralną konsolą zarządzania bezpieczeństwem tj serwerem McAfee ePO
wykorzystywanym przez Użytkownika. W ramach tej integracji wymagane jest co najmniej:
a. System zarządzania musi pobierać z ePO i prezentować w swojej konsoli informacje o hostach zarządzanych z ePO, które
nawiązują połączenie przez firewalle
b. System zarządzania ma przekazywać do ePO informacje o statusie pracy poszczególnych firewall i samego systemu
zarządzania tak, aby ePO umożliwiało wyświetlenie tych informacji na swoim pulpicie (Dashboard)
CO
.
spelniającego
najmniej
wymagania
techniczne opisane
ponizej) wraz z
oprogramowaniem
oraz P latform ą
klasy appliance I
systemem
raportowania w
trybie „off box”.
—
Dostawa i
wdrożenie systemu
ochrony ruchu
web (zwany dalej
SOW System
Ochrony Web) na
bazie McAfee Web
Gateway (lub
rozwiązania
równoważnego,
Wyszczególnienie
IloŚć
—
.
.
.
—
—
.
—
Strona 13
Część 1
W ramach systemu należy dostarczyć i wdrożyć co najmniej:
1. WBG-5500-B „McAfee Web Gateway 5500 Appl-B” 3 szt. appliance z usługami wsparcia technicznego producenta dla
każdego z nich na okres 3 lat;
2. WPS CCMFE Web Protection Suite 3:3 GL” 10 000 licencji na oprogramowaniem ze wsparciem producenta na okres 3 lat;
3. WRP McAfee Web Reporter Premium, Gateway Edition Software” 10 000 licencji ze wsparciem producenta na okres 3 łat;
4. Dwa serwery klasy PC na potrzeby uruchomienia systemu raportowania McAfee Web Reporter Premium i jego bazy danych,
o minimalnych parametrach:
a.Serwer dla instalacji oprogramowania McAfee Web Reporter Premium:
•CPU: klasy Intel x64 bit, 4 x core
•RAM: 8GB
• HDD: co najmniej 500GB wolnego miejsca po zainstalowaniu systemu operacyjnego (dyski w układzie RAID O lub RAID
tO)
•Karta sieciowa 10/100/1000 UTP
•Karta grafiki i moiiitor o rozdzielczości 1280 x 1024
.Napęd CD/DVD i co najmniej 4 porty USB 2.0
• Redundantne zasilacze
•Obudowa przystosowana do montażu w szafie 19” wraz z niezbędnymi elementami mocującymi
• Klawiatura, mysz
• System operacyjny Microsoft Wmdows Server 2008R2 Enterprise, wersja językowa: Engltsh
b. Serwer dla instalacji serwera bazy danych dla McAfee Web Reporter Premium:
• CPU: klasy Intel x64 bit, 4 x core
. RAM: 8GB
• HDD: co najmniej 1 .5TB wolnego miejsca po zainstalowaniu systemu operacyjnego i serwera bazy danych (dyski w układzie
RAID 10)
• Karta sieciowa 10/100/1000 UTP
• Karta grafiki i monitor o rozdzielczości 1280 x 1024
• Napęd CDJDVD i co najmniej 4 porty USB 2.0
• Redundantne zasilacze
—
Dostawa i wdrożenie systemu ochrony ruchu web (zwany dalej SOW System Ochrony Web) na bazie McAfee
Web Gateway (lub rozwiązania równoważnego, spełniającego co najmniej wymagania techniczne opisane
poniżej) wraz z oprogramowaniem oraz platformą klasy appliance i systemem raportowania w trybie „off
box”.
UJ/201/VII-5 1/ZOPN/AEJDOSIKJ2O12
Lp.
III.
Wyszczególnienie
IloŚĆ
IU/20 1/VII-5 1/ZOPN/AE/DOS/K!20 12
Lp.
—
Strona 14
Minimalne wymagania techniczne dla rozwiązania równoważnego dla realizacji systemu SOW:
A. Informacje ogólne
Oferowany system ochrony ruchu web SOW, obsługuj ący protokoły httpthttps!ftp/IM, ma służyć do filtrowania ruchu w sieci
www poprzez blokowanie dostępu użytkownikom do niepożądanych treści i stron www na podstawie ich kategorii, ochronę
przed wirusami i oprogramowaniem szpiegującym oraz phishingiem, uwierzytelnienie i autoryzację użytkowników
nawiązujących połączenia do stron www, a także zapewniać ochronę w trybie odwrotnego proxy (tzw. reyerse proxy).
System ma zapewnić kontrolę i ochronę połączeń generowanych przez 10 000 pracowników Zamawiającego.
Rozwiązanie ma być wdrożone w taki sposób, aby możliwa była ochrona ruchu nawet w przypadku awarii pojedynczego
urządzenia realizującego ochronę, przy czym przełączenie połączeń z uszkodzonego urządzenia na pozostałe nie może wymagać
stosowania zewnętrznych, dodatkowych elementów przełączających (np. bad balancerów) lub wymagać specjalnej konfiguracji
sieci Zamawiającego.
Wymagane jest, aby rozwiązanie SOW było dostarczone w postaci oprogramowania realizującego funkcje ochronne wraz z
dedykowanym systemem operacyjnym działające na dedykowanych urządzeniach typu appliance (co najmniej dwa urządzenia
lub więcej zależnie od ich parametrów wydajnościowych, ale suma wysokości urządzeń nie może przekroczyć 1OU). Zarówno
oprogramowanie ochronne jak również urządzenia appliance oraz oprogramowanie do raportowania w trybie „oW box”
(działające na osobnym serwerze) muszą pochodzić od tego samego producenta i być przez niego serwisowane.
Zaoferowany system SOW musi spełniać wymagania podobnych rozwiązań dla organizacji klasy enterprise pod kątem
wydajności, funkcjonalności oraz warunków opieki serwisowej. Rozwiązanie musi być znane i sprawdzone na rynku rozwiązań
do ochrony ruchu Web w momencie składania ofert. Rozwiązanie powinno być zakwalifikowane jako lider tego rynku przez
firmę Gartner w jej raporcie z ostatniego roku kalendarzowego (tzw. Magic Quadrant).
B. Wymagania szczególowe dla systemu 50W
Poniżej przedstawiono minimalne wymagania techniczne i funkcjonalne, które musi spełnić oferowany system SOW.
1. Urządzenia typu appliunce:
a) 3 urządzenia (lub więcej ale o sumarycznej wysokości nieprzekraczającej 1 OU)
• Obudowa przystosowana do montażu w szafie 19” wraz z niezbędnymi elementami mocującymi
• Klawiatura, mysz
• System operacyjny Microsoft Windows Server 200 8R2 Enterprise, wersja językowa: English
• UWAGA: oprogramowanie i licencja serwera bazy danych Microsoft SQL Server 2008 Enterprise zostanie zapewniony
samodzielnie przez Zamawiającego
W ramach wdrożenia należy opracować i wykonać co najmniej:
1. Uzgodnienia techniczne i projekt wdrożenia
2. Instalację fizyczną urządzeń i instalację ich oprogramowania
3. Konfigurację parametrów działania komponentów systemu SOW i ich integrację z systemami Zamawiającego
4. Testy działania systemu SOW
5. l-dniowe warsztaty dla co najmniej 5 osób przedstawiające szczegóły implementacji SOW, realizowane w miejscu wdrożenia
6. Dokumentację powykonawczą systemu SOW
Wyszczególnienie
Ilość
[U/20 1/VII-5 1/ZOPN/AE/DOS/K120 12
Lp.
—
Strona 15
b) Urządzenia muszą być przystosowane do montażu w szafach 19”, wysokość urządzenia nie może przekraczać 2U
c) Urządzenia muszą posiadać redundantne zasilacze
d) Urządzenia muszą być wyposażone w miiiirnum 4 interfejsy sieciowe Ethernet UTP 10Jl00/1000 oraz dodatkowy port do
zarządzania zdalnego urządzeniem (umożliwiającego co najmniej zdalny dostęp do BIOS i usługi KVM oraz monitorowanie
podstawowych parametrów urządzenia)
e) Urządzenia muszą być wyposażone w dyski twarde pracujące w układzie RAID 10 zapewniającym wydajną i normalną pracę
urządzenia nawet w przypadku awarii dysku
f) Nie jest dopuszczalne zastosowanie na urządzeniach komercyjnego systemu operacyjnego ani rozwiązań do wirtualizacji
(ymware, XEN, Hyper-y, itp.).
g) Zainstalowany na urządzeniach system operacyjny musi być w pełni 64-bitowy oraz musi obsługiwać bezpośrednio funkcje
ochronne i być dostarczony przez producenta rozwiązania SOW, przez niego wspierany i serwisowany
h) System operacyjny działający na urządzeniach musi posiadać i obsługiwać zarówno stos IPy4 jak i stos IPy6
i) Każde z zaoferowanych urządzeń z oprogramowaniem realizującym ochronę ruchu Web musi umożliwiać realizację
wszystkich funkcjonalności opisanych poniżej oraz musi posiadać wydajność wystarczającą do obsłużenia ruchu o parametrach:
a. ruch web na poziomie 600 zapytań http (http requests) na sekundę
b. 20% udział ruchu https w całym obsługiwanym przez SOW ruchu web
j) Każde z zaoferowanych urządzeń z oprogramowaniem realizującym ochronę ruchu Web musi poza spełnieniem powyższych
wymagań zapewnić co najmniej 40% zapasu wydajności na nieprzewidziane wzrost)” ruchu
2. Funkcjonalność oprogramowania ochronnego
a) System SOW musi realizować funkcje proxy aplikacyjnego (7 warstwa modelu OSIJISO) co najmniej dla następujących
protokołów:
• HTTP
• HTTPS
• FTP
• SOCKS
• RTSP (streaming)
• IM (instant messaging) —Jabber, ICQ, Yahoo Messenger, MSN Messenger
b) System SOW musi także (równocześnie z funkcją proxy) pozwalać na skonfigurowanie trybu pracy odwrotnego proxy
(reyerse-proxy) dla protokołów http i https
c) System SOW musi realizować ochronę anty-malware z użyciem minimum 3 niezależnych silników anty-malware, w tym
I. co najmniej jeden z nich nie może wykorzystywać plików sygnatur ataków do wykrywania ataków
II. co najmniej jeden nie może pochodzić od tego samego producenta co producent SO
III. musi istnieć możliwość zmiany ilości silników anty-malware zaangażowanych w analizę ruchu dla różnych podsieci lP
Zamawiającego i dla różnych kategorii stron WWW
d) Rozwiązanie do ochrony anty-malware musi korzystać, poza lokalnymi definicjami zagrożeń (sygnatury), także z centralnej
bazy zagrożeń udostępnianej przez producenta rozwiązania SOW, do której dostęp jest realizowany w razie potrzeby,
automatycznie poprzez Internet
Załącznik nr Ł do SIWZ
Wyszczególnienie
lU/201/y[1-5 1/ZOPN/AEIDOS/K12012
Lp.
—
—
Strona 16
Rozwiązania ochrony anty-malware dostępne w systemie SOW muszą zapewnić co najmniej:
L Wdrożenie proaktywnej ochrony przed nowymi atakami „zero day poprzez analizę zachowania złośliwego kodu w co
najmniej: ActiyeX, Windows Executables, DLLs, JAVA Applications, Java Script, Visual Basic Scripts, VBA Macros.
ii. Wykrywanie co najmniej następujących znamion kodu złośliwego: Shell Code, Exploit Detection, blokowanie, poprzez
wykrywanie akcji wykonywanych przez kod na końcowym komputerze (np. dostęp do procesu COM), ataków Buffer Oyerflow
iii. Skanowanie i wyodrębnianie obiektów wbudowanych wewnątrz dokumentów typu: Generic XML, SOAP, PDF, MS Office,
MS OpenXML
iy. System musi mieć możliwość usuwania z kodu HTML następujących podejrzanych obiektów: Visual Basic Script, JayaScript,
Java
y. Możliwość automatycznego wykrywania połączeń typu streaming i wykluczania ich z analizy anty-malware
f) System SOW musi umożliwiać zaawansowane funkcje filtracji ruchu, co najmniej:
i.filtracja na podstawie sygnatur co najmniej 500 różnych aplikacji działających w oparciu o obsługiwane protokoły web na
przykład takie aplikacje jak: Skype, TeamViewer, Google Docs, Facebook, itp.
ii.filtracja reklam w trakcie odwiedzania strony przez użytkownika, bez blokowania dostępu do strony (banery, formularze, grafika
o określonych rozmiarach)
iii.filtracja „Transfer Encoded Data” (chunk, GZIP i innych)
iy.filtracja komend w HTTP oraz FTP (np APPEND, HEAD)
y.filtracja różnych rodzajów mediów na podstawie tzw. Magic Byte (video, application, music, zip, itp.)
g) Autentykacja użytkowników
i.System SOW musi umożliwiać autentykowanie użytkowników nawiązujących połączenie Web, realizowane bezpośrednio przez
system SOW
ii.Autentykacja użytkowników musi być realizowana w sposób transparentny (bez dodatkowego żądania uwierzytelnienia przez
użytkownika w czasie nawiązywania połączenia) i dodatkowo, jako opcja w konfiguracji, z wyświetleniem zapytania o dane
użytkownika
iii. System SOW musi obsługiwać lokalną bazę danych o użytkownikach i ich grupach oraz zewnętrzne bazy danych— co najmniej:
Microsoft AD 2003/2008 (NTLMy2 i Kerberos), LDAP, Radius, Novell eDirectory
iy.System SOW musi umożliwiać autentykację z wykorzystaniem certyfikatów cyfrowych i plików cookie
y.Musi istnieć możliwość jednoczesnego skorzystania z więcej niż jednej metody uwierzytelnienia użytkownika, na zasadzie: „jeśli
użytkownik nie został odnaleziony w pierwszej bazie użytkowników, sprawdź w kolejnej, jeśli nie został odnaleziony w kolejnej,
sprawdź w następnej, itd.”
yi.Podłączenie systemu SOW do domeny Actiye Directory dla przeprowadzania zintegrowanej autentykacji użytkowników nie
może wymagać instalacji dodatkowych komponentów sprzętowych lub aplikacji w środowisku Zamawiającego
vii. System SOW musi umożliwiać także zdefiniowanie akcji dla użytkowników, którzy nie mogli być zautentykowani (np. dla osóbgości czasowo podłączonych do sieci Zamawiającego, którzy nie należą do jego baz użytkowników). Taką akcją musi być dla
przykładu zapewnienie im dostępu do określonych stron WWW i określonych kategorii stron WWW
h) System SOW musi obsługiwać cache dla ruchu web, przy czym informacje z cache muszą być automatycznie weryfikowane
pod kątem zagrożeń oraz oznakowane i usuwane w momencie pojawienia się nowych sygnatur antimalware
e)
Wyszczególnienie
IloŚć
tU/20 1/VII-5 1/ZOPN/AE/DOS/K!20 12
Lp.
—
Strona 17
i) Filtracja dostępu do stron i serwisów Web na podstawie predefmiowanych i aktualizowanych przez producenta systemu SOW
baz URL i adresów lP
i.System SOW musi korzystać zarówno z lokalnej (załadowanej na urządzeniu), aktualizowanej okresowo bazy adresów URL i lP
jak również z centralnej bazy prowadzonej przez producenta SOW, dostępnej z urządzeń przez Internet automatycznie w czasie
rzeczywistym
ii.Musi istnieć możliwość zablokowania sprawdzania kategorii w centralnej bazie
iii.Baza adresów URL i lP musi umożliwiać skorzystanie w polityce fUtracji ruchu z co najmniej 90 predefiniowanych przez
producenta SOW kategorii i co najmniej 100 własnych kategorii, które może zdefiniować administrator
iy.System musi umożliwiać samodzielną, lokalną zmianę przypisania stron WWW do kategorii przez administratora w konfiguracji
rozwiązania
y.System musi umożliwiać określenie polityki, w której określeni użytkownicy/grupy użytkowników będą mieli ograniczony czasu
spędzany na stronach z danej kategorii URL
yi.System musi umożliwiać określenie polityki, w której określeni użytkownicy/grupy użytkowników będą mieli ograniczoną ilość
danych ściąganych ze stron z danej kategorii URL
vii. System musi umożliwiać ograniczanie pasma ruchu do i z serwera www dla określonych użytkowników, kategorii, adresów lP z
sieci Zamawiającego
j)System SOW musi umożliwić skorzystanie z serwisu reputacyjnego określającego ryzyko korzystania z danego serweraJstrony
web, prowadzonego przez producenta SOW
i.system reputacyjny na bieżąco gromadzi informację o stanie zagrożenia związanego z korzystaniem ze stron WWW i
uzyskiwaniem połączeń do określonych adresów lP
ii.reputacja strony musi uwzględniać co najmniej wykryty na stronach kod złośliwy, wykorzystanie strony do phishingu,
wykorzystanie strony do przekierowania na inne niebezpieczne strony
iii.w czasie nawiązywania połączenia musi być możliwe automatyczne zweryfikowanie reputacji strony i na tej podstawie
blokowanie dostępu do niej, nawet jeśli taki dostęp jest dozwolony w ramach danej kategorii URL
k) System SOW musi zapewnić skanowanie ruchu pod kątem zagrożeń w tunelach szyfrowanych https/ssl
i.funkcja ta musi być realizowana w taki sposób, aby ruch zaszyfrowany nie opuszczał urządzenia celem zeskanowania
ii.urządzenia muszą deszyfrować a następnie szyfrować połączenie
iii.system musi umożliwić analizę poprawności certyfikatów serwera użytych do zestawienia połączenia https/ssl. W razie wykrycia
niepoprawnego certyfikatu (np. z niezaufanego CA, samodzielnie podpisanego (self signed), itp.) system musi umożliwić
automatyczne zablokowanie połączenia, system musi umożliwiać wykluczenia wskazanych przez administratora adresów stron
WWW i kategorii URL ze skanowania https/sst
i.Konfiguracja polityki działania systemu 80W. Konfiguracja systemu musi umożliwiać tworzenie reguł wykorzystujących w
dowolnych kombinacjach co najmniej takie parametry jak:
• Adres docelowy URL. Adres docelowy lP (reyerse DNS lookup). Indywidualny nagłówek żądania http. Adres lp klienta
nawiązującego połączenie.
• Nazwy użytkownika i grup użytkowników. Poziom reputacji strony. Kategoria do jakiej należy strona www. Aplikacja jaka jest
wykorzystywana do łączenia się ze serwerem web
Wyszczególnienie
IU/20 1/VII-5 1/ZOPN/AE/DOS/K120 12
Lp.
—
dopuszcza się produkty/ustugi równoważne o niżej wymienionych parametrach minimalnych
—
Strona 18
• Czas (w tym np. przez określenie okresu: między godziną X a godziną Y).
• Kraj gdzie jest zlokalizowany serwer Web (dla określenia kraju nie może być wykorzystywana tylko nazwa domeny, ale także
adres lP serwera).
ii.Musi istnieć możliwość łączenia trzech lub więcej wyżej wymienionych parametrów za pomocą logiki Boolean (np. a AND b
OR c) a także tworzenie zagnieżdżeń (np. (a AND b) OR c).
1) Sposób konfiguracji polityki działania systemu SOW musi zapewnić łatwe wykluczenie z polityki pojedynczego elementu bez
tworzenia dodatkowej polityki: np. inne filtrowanie URL dla wybranego użytkownika z grupy użytkowników, dla których
przypisana jest polityka lub zmiana akcji dla pojedynczego adresu URL dla kilku użytkowników z grupy, do której przypisana
jest polityka. System SOW musi umożliwiać podłączenie do sieci Zamawiającego w różny sposób, bez konieczności zakupu
dodatkowych licencji lub modułów sprzętowych i oprogramowania. Muszą być obsługiwane co najmniej następujące tryby pracy
systemu:
i.Jednoznacznie wskazane proxy (tzw. explicitproxy)
ii.Z wykorzystaniem protokołu Cisco WCCP. Z wykorzystaniem protokołu ICAP.
m) Transparent bridge. Transparent router. System SOW musi umożliwić w przyszłości integrację z zewnętrznym systemem
przeciwdziałania wyciekowi danych (DLP) poprzez protokół ICAP
i.System SOW musi umożliwiać wyświetlenie dla użytkownika powiadomienia o podjętej przez system akcji (np. wykrycie
zagrożenia), które jest uzależnione od wykonanej przez system akcji i innych parametrów połączenia np. adresu lp użytkownika.
Wygląd stron powiadomień, prezentowana tam treść muszą być w pelni modyfikowalne przez Zamawiającego (co najmniej
dowolna zmiana treści wiadomości, włączenie logo Zamawiającego, zmiany tła wyświetlanego powiadomienia, załączenie
linków URL do stron Zamawiającego i zewnętrznych).
n) System SOW musi umożliwić elastyczne logowanie informacji w zewnętrznych systemach zarządzania z wykorzystaniem
SNMP I Syslog oraz musi umożliwić wyslarlie wiadomości email w razie wystąpienia wcześniej zdefiniowanego zdarzenia (np.
wykrycie wirusa)
o) Zarządzanie systemem SOW.
i.Zarządzanie SOW powinno być możliwe za pomocą przeglądarki WWW i protokołu HTTP S
ii.System powinien umożliwiać tworzenie wielu kont administratorów lokalnie lub wykorzystanie kont z AD, LDAP i Radius.
System musi umożliwiać szczegółowe określenie uprawnień poszczególnym administratorom, w tym ograniczenie ich uprawnień
do określonych reguł polityki działania systemu (np. tylko możliwość włączania i wyłączania kategorii URL dla określonej
grupy użytkowników). System SOW musi posiadać wbudowaną funkcjonalność centralnego zarządzania wieloma
komponentami realizującymi ochronę:
p) zmiany w polityce działania systemu muszą być automatycznie dystrybuowane do wszystkich urządzeń realizujących SOW.
aktualizacje oprogramowania komponentów SOW, aktualizacje defmicji sygnatur ataków, bazy URL, itp. muszą być
wykonywane poprzez jedno z urządzeń i wewnętrznie dystrybuowane na drugie urządzenie w systemie SOW, parametry
związane z połączeniami użytkowników
np. czas trwania sesji, ilość pobieranych danych, itp. muszą być automatycznie
synchronizowane między urządzeniami. Centralne zarządzanie nie może wymagać instalacji dodatkowych urządzeń i
komputerów w sieci Zamawiającego lub instalacji dodatkowego oprogramowania łub stosowania tzw. grubego klienta do
administracji komponentami SOW. Centralne zarządzanie musi umożliwić obsługę dodatkowych urządzeń w przyszłości w razie
Wyszczególnienie
Ilotć
IU/20 1NII-5 1/ZOPN/AEJDOS/K120 12
Lp.
—
Miejsce dostawy:
2 Regionalna Baza Logistyczna (RBL0g), Skład Zegrze, ul. Warszawska 22, 05-130 Zegrze Południowe.
Strona 19
Część 2
Szkolenie specjalistyczne co najmniej 4 dniowe dla co najmniej S osób obejmujące:
1. Administracja i zarządzanie McAfee Web Gateway i McAfee Web Reporter Premium (lub administracja zaoferowanym
rozwiązaniem równoważnym).Szkolenie ma być zrealizowane w okresie 3 miesięcy od podpisania umowy. Szkolenie ma być
prowadzone przez specjalistę z doświadczeniem w zakresie poszczególnych rozwiązań objętych szkoleniem, posiadającego
certyfikaty ukończenia szkoleń z tego z zakresu. Szkolenie ma być przeprowadzone w Warszawie i mieć formę warsztatów z
praktycznymi zajęciami (tzw. labami) dla uczestników.
3. System raportujący
System SOW musi zapewnić szczegółowy wgląd w statystyki ruchu, stan pracy urządzeń appliance, wykrytych zagrożeń. Dane te
powinny być prezentowane zarówno bezpośrednio z konsoli zarządzającej systemem jak również w postaci dedykowanego
systemu raportującego (off-box raporting). Dedykowany system raportujący (off-box) tego samego producenta co system SOW
musi być dostarczony wraz z tym systemem. System raportujący powinien realizować co najm1iej:
a.Centralne gromadzenie logów i danych na temat połączeń do Internetu z obu urządzeń wchodzących w skład systemu SOW.
Zarządzanie systemem raportującym musi się odbywać przez przeglądarkę WWW i protokół HTTPS. Gromadzenie danych w
bazie danych SQL, przy czym musi być możliwe użycie wbudowanej bazy danych SQL w system raportujący. (dostarczonej
wraz z systemem raportującym) lub zewnętrznej bazy, co najmniej MS SQL, MySQL, Oracle. Obsługę innych źródeł danych
oprócz systemu SOW, w tym co najmniej: SQUID, MS ISA, Cisco CE, CheckPoint FW-1. Generowanie szczegółowych
raportów na temat połączeń Web od poszczególnych użytkowników z podaniem czasu połączeń, ilości danych pobranych i
wysłanych, kategorii odwiedzanych stron WWW, adresu IP, z którego było nawiązywane połączenie, reputacji odwiedzanej
strony www. Generowanie raportów dotyczących połączeń użytkowników z opcją ukrywania rzeczywistych adresów lp i nazw
użytkowników (rzeczywiste adresy lP i nazwy użytkowników powinny zostać zastąpione w raporcie losowymi ciągami znaków
lub liczb). Generowanie raportów dotyczących wykrytych przez system SOW zagrożeń.
—
wdrożenia zwiększenia wydajności systemu bez konieczności zakupienia dodatkowych licencji, oprogramowania lub urządzeń
dla rozszerzenia zakresu centralnego zarządzania. Zaoferowane rozwiązanie SOW musi posiadać wbudowane mechanizmy
konfiguracji klastra wysokiej dostępności (HA) oraz wyższej wydajności. W tym celu wymagane jest aby zaoferowane
urządzenia i oprogramowanie:
i.Obsługiwały tryb wysokiej dostępności (high ayailability HA) i udostępniały wirtualny adres lP proxy w trybach explicitproxy
i transparent router. Posiadały wbudowane funkcje dzielenia ruchu między siebie (bad sharing) bez konieczności stosowania
zewnętrznych bad balancerów lub zmian w sposobie działania sieci Zamawiającego.
Załącznik nr 2 do S[WZ
Istotne postanowienia umowy
Zamawiaj ący proponuje, aby w treści umowy znalazły się następujące
niżej wymienione jej istotne postanowienia:
1
PRZEDMIOT UMOWY
Przedmiotem niniejszej umowy, jest dostawa systemu kontroli ruchu sieciowego w sieci
TNTER-MON w tym:
1) dostawa urządzeń IPS (Intrusion Preyention System) wraz ze wsparciem technicznym
producenta przez okres 3 lat celem rozbudowy posiadanego systemu kontroli spełniającego
minimalne wymagania techniczne opisane w zał. nr 1 specyfikacja techniczna i ilościowa;
—
2) dostawa urządzeń firewall wraz z rozwiązaniem do centralnego zarządzania firewallami oraz
wdrożeniem, szkoleniem i wsparciem technicznym producenta przez okres 5 lat
spełniającego minimalne wymagania techniczne opisane w zał. nr 1
specyfikacja
techniczna i ilościowa;
3) dostawa i wdrożenie systemu ochrony ruchu web (SOW System Ochrony Web) na bazie
McAfee Web Gateway wraz z oprogramowaniem oraz platformą klasy appliance i
systemem raportowania w trybie „offbox” zał. nr 1 specyfikacja techniczna i ilościowa;
—
—
—
2
2.
Wartość Umowy, wynosi
1) z tytułu dostawy której
Wartość Umowy może być
13 niniejszej Umowy.
—
WARTOŚĆ UMOWY
zł (słownie
) brutto, z czego:
mowa w 1 ust. 1 pkt 1)
zł (słownie
) brutto;
(słownie
) brutto;
(słownie
) brutto;
zmniejszona o opust w przypadku i na zasadach określonych w
3
TERMIN WYKONANIA
Termin wykonania systemu kontroli ruchu sieciowego w sieci INTER-MON:
1) dostawa urządzeń w ciągu 21 dni od dnia zawarcia umowy;
2) wykonanie pełnego wdrożenia wraz ze szkoleniem w ciągu 21
powiadomienia przez Użytkownika.
4
dni od daty
ODBIORCA, MIEJSCE INSTALACJI
Odbiorca: Jednostka Wojskowa 4226 Warszawa-Rembertów Skład Zegrze, 05-130 Zegrze
Południowe;
2.
Miejsce instalacji: Jednostki i Komórki Organizacyjne MON w Warszawie.
5
SPOSÓB I MIEJSCE REALIZACJI UMOWY
W ramach realizacji dostawy, o której mowa w
1 ust. 1 pkt. 1, 2, 3 Wykonawca jest
zobowiązany:
dostarczyć sprzęt (wraz z oprogramowaniem) spełniający wymagania niniejszej
1)
Umowy do Odbiorcy według następujących zasad:
a) sprzęt odebrany zostanie w siedzibie Odbiorcy pod względem ukompletowania
zgodnie z załącznikiem nr 1 do Umowy. Odbiorowi podlega sprzęt ukompletowany
zgodnie ze szczegółową specyfikacją techniczną i ilościową określoną w ww.
załączniku,
1U1201/VII.5 1/ZOJPN/AE/DOS/K12012
Strona
Wykonawca ponosi wszystkie koszty związane z dostarczeniem sprzętu do
Odbiorcy,
c) termin dostawy sprzętu Wykonawca zobowiązany jest uzgodnić z Odbiorcą na
minimum pięć (5) dni roboczych przed planowaną dostawą,
z
przyjęcia sprzętu Wykonawca sporządza protokół przyjęcia/przekazania, zgodnie
d)
ze wzorem określonym w załączniku nr 2 do Umowy,
e) Odbiorca na podstawie protokołu przyjęcia/przekazania oraz kopii faktury o której
mowa w 9 ust 2 pkt. 2, sporządza w terminie pięciu (5) dni roboczych dokumenty
PZ (przyjęcie zewnętrzne),
1) Odbiorca przekazuje jeden egzemplarz PZ, poprzez Wykonawcę, do Zamawiającego,
g) Wykonawca ponosi odpowiedzialność (ryzyko utraty, uszkodzenia itp.) za sprzęt do
czasu jego formalnego przyjęcia przez Odbiorcę, tj. podpisania przez strony
protokołu przyjęcia/przekazania.
h) Użytkownik na własny koszt w ciągu 14 dni dostarczy elementy systemu do miejsca
instalacji i powiadomi Wykonawcę o miejscu instalacji.
W ramach dostawy, o której mowa w 1 ust. 1 pkt. 1) należy:
1) wdrożyć nowy sensor w środowisku Użytkownika, w tym instalacja fizyczna,
podłączenie do infrastruktury i konfiguracja polityki działania IPS;
2) przeprowadzić integrację nowego sensora i systemu zarządzania z centralną konsolą
zarządzania bezpieczeństwem tj. serwerem McAfee ePO 4.x;
3) przeprowadzić integrację nowego sensora i systemu zarządzania z rozwiązaniem do
skanowania podatności w sieci McAfee Vulnerability Manager 7.x (Foundstone);
4) uwzględnić, że sensor powinien umożliwiać pełną integrację z istniejącą konsolą
zarządzania NSM 7.x posiadaną przez Użytkownika;
5) zapewnić wsparcie producenta dla dostarczonego sensora i jego wyposażenia przez
okres 3 lat od zakupu, w tym realizację wymiany/naprawy urządzenia w razie awarii.
W ramach dostawy, o której mowa w 1 ust. 1 pkt. 2) należy wykonać:
1) uzgodnienia techniczne i projekt wdrożenia według następujących zasad:
a) w terminie pięciu (5) dni roboczych po zawarciu Umowy Wykonawca przekaże
Użytkownikowi do akceptacji dokument będący projektem wdrożenia systemu w
języku polskim;
b) Użytkownik zatwierdzi ww. projekt lub przekaże do niego uwagi w terminie pięciu
(5) dni roboczych od daty jego otrzymania;
c) Wykonawca zobowiązany będzie uwzględnić uwagi Użytkownika.
2) instalację urządzeń i oprogramowania we wskazanych przez Użytkownika miejscach w
Warszawie;
3) konfigurację reguł firewall wg ustaleń i integrację systemu firewall z innymi systemami
sieciowymi Użytkownika;
4) testy działania systemu firewall;
5) pełną dokumentację powykonawczą i eksploatacyjną systemu firewall;
6) specjalistyczne szkolenia według następujących zasad:
a) Wykonawca zapewni 2-dniowe warsztaty dla co najmniej 5 osób przedstawiające
szczegóły implementacji rozwiązania, realizowane w miejscu wdrożenia;
b) fakt zrealizowania przedmiotowej usługi, potwierdzony zostanie protokołem
wykonania usługi, sporządzonym przez Wykonawcę, zgodnie ze wzorem
stanowiącym załącznik nr 2A do Umowy;
c) podpisany protokół Wykonawca zobowiązany jest dostarczyć do Zamawiającego w
terminie siedmiu (7) dni od daty jego podpisania.
7) zapewnienie dla Użytkownika dostępu do usług wsparcia technicznego producenta dla
oferowanego rozwiązania (oprogramowanie i platformy sprzętowej) w okresie 5 lat od
zakupu. W ramach usług wsparcia producenta należy zapewnić:
b)
2.
—
—
3.
IU/201/VII-5 I /ZOJPN/AE/DOSJK!20t2
Strona 2
a) dostęp do najnowszych wersji oprogramowania, bez konieczności wnoszenia
dodatkowych opłat;
b) dostęp do poprawek i łatek do oprogramowania po ich opublikowaniu przez
producenta;
c) dostęp do aktualizacji plików sygnatur, baz danych opisujących ataki, baz kategorii
URL, itp.;
d) możliwość bezpośredniego zgłaszania do producenta problemów serwisowych przez
Użytkownika w trybie 24/7 poprzez email, telefon, stronę Web;
e) dostęp do części zamiennych lub całych urządzeń na wymianę w razie awarii
realizacja w miejscu instalacji sprzętu w siedzibie Użytkownika w Warszawie;
f) dostęp do bazy wiedzy prowadzonej przez producenta z artykułami dotyczącymi
oferowanych produktów;
dodatkowe usługi wsparcia technicznego świadczone przez Wykonawcę w okresie 5 lat
od zakupu. Oferowane usługi mają obejmować co najmniej:
a) zapewnienie okresowych konsultacji dotyczących zmian w konfiguracji i
rekonfiguracji systemu, usprawnień tej konfiguracji, weryfikacji konfiguracji w
wymiarze co najmniej 20 dni roboczych;
b)pomoc w czasie przygotowań i w wykonywaniu ewentualnych upgrade”ów i migracji
wersji oprogramowania w wymiarze co najmniej 9 dni roboczych;
c) ilość wykorzystywanych dni roboczych w jednostkach czasu, spośród wymienionych
wyżej dostępnych w ramach umowy, zależy od Użytkownika. Może on zaplanować
kumulowanie dni konsultacji i pomocy w okresie, kiedy jest taka potrzeba, ale w taki
sposób aby sumaryczna ilość dni dodatkowego wsparcia technicznego nie
przekroczyła ogólnej ilości dni wsparcia zaoferowanych przez Wykonawcę w
okresie 5 lat od zakupu rozwiązania;
d)Usługi świadczone będą w centrali Użytkownika w Warszawie w godzinach 8:00
16:00 w dni robocze.;
ramach dostawy, o której mowa w * 1 ust. 1 pkt. 3) należy wykonać:
uzgodnienia techniczne i projekt wdrożenia według następujących zasad:
a) w terminie pięciu (5) dni roboczych po zawarciu Umowy Wykonawca przekaże
Użytkownikowi do akceptacji dokument będący projektem wdrożenia systemu w
języku polskim;
b) Użytkownik zatwierdzi ww. projekt lub przekaże do niego uwagi w terminie pięciu
(5) dni roboczych od daty jego otrzymania;
c) Wykonawca zobowiązany będzie uwzględnić uwagi Użytkownika.
instalacja dostarczonych urządzeń i oprogramowania nastąpi we wskazanych przez
Użytkownika miejscach na terenie Warszawy;
konfigurację parametrów działania komponentów systemu 80W i ich integrację z
systemami Zamawiaj ącego;
przeprowadzenie testów działania dostarczonego systemu 80W;
specjalistyczne szkolenia według następujących zasad:
a) Wykonawca zapewni 1-dniowe warsztaty dla co najmniej 5 osób przedstawiające
szczegóły implementacji rozwiązania SOW, realizowane w miejscu wdrożenia;
b) Wykonawca zapewni 4 dniowe szkolenie specjalistyczne dla co najmniej 5 osób
obejmujące administrację i zarządzanie McAfee Web Gateway i McAfee Web
Reporter Premium (lub administracja zaoferowanym rozwiązaniem równoważnym)
w okresie trzech (3) miesięcy od powiadomienia przez Użytkownika. Zamawiający
dopuszcza realizację usługi szkolenia poprzez dostarczenie karnetów szkoleniowych
z datą ważności 1 rok od daty przekazania ich do użytkownika, jednak nie później
niż 20 dni od daty podpisania umowy.
c) fakt zrealizowania przedmiotowej usługi, potwierdzony zostanie protokołem
wykonania usługi, sporządzonym przez Wykonawcę, zgodnie ze wzorem
-
8)
—
4.
W
1)
2)
3)
4)
5)
IU/2011y11-51/ZO/PN/AE/DOSfKJ2O12
Strona 3
6)
stanowiącym załącznik nr 2A do Umowy;
d) podpisany protokół Wykonawca zobowiązany jest dostarczyć do Zamawiającego w
terminie siedmiu (7) dni od daty jego podpisania.
dostarczenie pełnej dokumentacji powykonawczej systemu SOW;
6
2.
3.
4.
5.
WARUNKI TECHNICZNE
Warunki techniczne dla dostarczanego sprzętu:
1) Dostarczony Sprzęt musi być fabrycznie nowy, nieużywany, wyprodukowany nie
wcześniej niż 6 miesięcy przed dostawą, musi spełniać wymagania technicznojakościowe określone przez producenta oraz wymagania Zamawiającego określone w
niniej szej Umowie,
2) Wykonawca, do każdego egzemplarza sprzętu, dostarczy „Kartę Gwarancyjną”,
„Instrukcję Użytkowania i Obsługi” oraz „Wzór protokołu reklamacji” wjęzyku polskim,
3) Dostarczone wraz ze sprzętem oprogramowanie musi zapewnić bezawaryjną pracę
sprzętu, spełniać wymagania funkcjonalne określone w załączniku nr 1 do Umowy.
Użytkownik nabędzie prawo do użytkowanie tego oprogramowania, na podstawie
licencji, która zostanie udzielona przez producenta tego oprogramowania. Szczegółowe
warunki udzielonej licencji określa producent,
4) Wykonawca oświadcza, że sprzęt spełnia wymagania określone w załączniku nr 1 do
Urnowy,
5) Oprogramowanie, o którym mowa w pkt. 3 zostanie dostarczone w postaci kodu
maszynowego na nośnikach CD/DyD,
6) Całe należne wynagrodzenie za udzielenie licencji na oprogramowanie, o którym mowa
w pkt. 3, wliczone jest w wartość Umowy określoną w 2 i zawiera ona również
wynagrodzenie z tytułu przeniesienia własności nośników na których zostało ono
przekazane.
W przypadku zakończenia produkcji lub wycofania danego sprzętu z produkcji, Wykonawca
zobowiązany jest do dostarczenia sprzętu będącym zamiennikiem sprzętu wycofanego o
parametrach nie gorszych niż sprzęt wycofany, jeżeli Zamawiający wyrazi pisemną zgodę na
powyższe. W takim przypadku dostawa sprzętu będącego zamiennikiem odbywać się będzie z
zachowaniem ceny sprzętu wycofanego.
W przypadku zakończenia produkcji lub wycofania danego oprogramowania z produkcji,
Wykonawca dostarczy oprogramowanie będące zamiennikiem oprogramowania wycofanego
o parametrach nie gorszych niż oprogramowanie wycofane, pod warunkiem otrzymania
pisemnej zgody Zamawiającego. Dostawa oprogramowania będącego zamiennikiem odbywać
się będzie z zachowaniem ceny oprogramowania wycofanego.
Dostarczany sprzęt i oprogramowanie musi pochodzić z autoryzowanego kanału sprzedaży
producenta na rynek polski.
Dostarczony sprzęt musi być oznakowany CE zgodnie z ustawą z dnia 13 kwietnia 2007 r.
o kompatybilności elektromagnetycznej.
7
ODBIÓR ILOŚCIOWO JAKOŚCIOWY
-
Odbiór sprzętu i oprogramowania, o którym mowa w 5 potwierdzony zostanie protokołem
przyjęcia/przekazania, sporządzonym przez Wykonawcę zgodnie ze wzorem stanowiącym
załącznik nr 2 do Umowy. Protokół musi potwierdzać dostawę sprzętu i oprogramowania
spełniającego wymagania Umowy, musi zawierać dane identyfikacyjne, ponadto musi być
podpisany przez uprawnionego przedstawiciela Odbiorcy i opatrzony pieczęcią jednostki.
Protokół musi określać wartość określoną na fakturze oraz datę dostawy i przekazany do
Zamawiającego.
IU/2OlJyII-5 1/ZO/PN/AEJDOS/K/2012
Strona 4
2.
Zrealizowanie przez Wykonawcę usługi, o których mowa w *5 potwierdzone zostanie
każdorazowo protokołem wykonania usługi, sporządzonym przez Wykonawcę zgodnie z
Załącznikiem nr 2A do Umowy. Protokół musi potwierdzać realizację danej usługi będącej
przedmiotem Umowy, ponadto musi być podpisany przez uprawnionego przedstawiciela
Użytkownika i opatrzony pieczęciąj ednostki.
GWARANCJA WARUNKI SERWISOWANIA
-
1.
2.
3.
4.
Wykonawca odpowiada za wady prawne oraz fizyczne ujawnione w dostarczonym sprzęcie i
oprogramowaniu oraz ponosi z tego tytułu wszelkie zobowiązania opisane w niniejszej
Umowie. Wykonawca jest odpowiedzialny względem Zamawiającego, jeżeli dostarczony
przedmiot Umowy w szczególności:
1) stanowi własność osoby trzeciej, albo jeżeli jest obciążony prawem osoby trzeciej,
2) ma wadę zniniejszającąjego wartość lub użyteczność wynikającą zjego przeznaczenia,
3) nie ma właściwości wymaganych przez Zamawiającego,
4) jest w stanie niekompletnym.
O wadzie fizycznej lub prawnej przedmiotu Umowy Użytkownik zawiadamia Wykonawcę
bezpośrednio lub za pośrednictwem reprezentuj ącej go jednostki organizacyjnej resortu
obrony narodowej, użytkującej wyroby objęte gwarancją w chwili ujawnienia w nich wad, w
celu realizacji przysługujących z tego tytułu uprawnień. Zawiadomienie nastąpi w formie
„Protokołu reklamacji”.
Wykonawca jest zobowiązany do usunięcia ujawnionych wad prawnych lub fizycznych w
ciągu okresu określonego w gwarancji.
Jeżeli w wykonaniu swoich obowiązków Wykonawca dostarczył zamiast Sprzętu wadliwego
taki sam Sprzęt nowy
wolny od wad albo dokonał istotnych napraw Sprzętu, termin
gwarancji biegnie na nowo od chwili jego dostarczenia. Wymiany Sprzętu Wykonawca
dokona bez żadnej dopłaty, nawet gdyby ceny na taki Sprzęt uległy zmianie.
Na dostarczany sprzęt Wykonawca udzieli gwarancji na okres 24 miesięcy liczonej od daty
podpisania protokołu przyj ęcialprzekazania.
Serwis gwarancyjny realizowany będzie przez producenta lub przedstawiciela producenta w
miejscu użytkowania Sprzętu, niezależne od statusu partnerskiego Wykonawcy, na
potwierdzenie ww. wymogu Wykonawca dostarczy oświadczenie Producenta lub
przedstawiciela producenta o wykupieniu przez Wykonawcę wymaganych przez
Zamawiającego serwisów na dostarczony sprzęt.
Serwis gwarancyjny będzie wykonywany dla przedmiotu Umowy, w zakresie:
1) usuwania awarii Sprzętu, także poprzez wymianę wadliwego, uszkodzonego Sprzętu lub
podzespołów tego Sprzętu;
2) udostępnienia aktualizacji/poprawek oprogramowania, oprogramowanie zostanie
zaktualizowane, w oparciu o przekazane aktualizacje, przez Użytkownika przy współudziale
Wykonawcy.
W przypadku sprzętu, dla którego jest wymagany dłuższy czas naprawy, Zamawiający
dopuszcza możliwość (za zgodą Zamawiającego) zainstalowania sprzętu zamiennego o nie
gorszych parametrach funkcjonalnych, z zastrzeżeniem, iż termin realizacji naprawy nie może
przekroczyć 30 dni od momentu zgłoszenia usterki.
Zamawiający może wykorzystać uprawnienia z tytułu gwarancji za wady prawne lub fizyczne
sprzętu niezależnie od uprawnień wynikających z rękojmi.
Gwarancja obejmuje również wyroby i usługi nabyte u podwykonawców.
Czas reakcji na zgłoszony problem (rozumiany jako podjęcie działań diagnostycznych i
kontakt ze zgłaszającym) nie może przekroczyć (4) godzin.
—
5.
6.
7.
8.
9.
10.
11.
IU/20 1/VII-5 I/ZO/PN/AE/DOSJKJ2OI2
Strona 5
12.
13.
Wykonawca zobowiązany jest do usunięcia usterek, awarii (naprawy lub wymiany wadliwego
podzespołu, lub urządzenia) w terminie dwóch (2) dni roboczych od momentu zgłoszenia
usterki lub awarii.
Serwis gwarancyjny, świadczony będzie przez Wykonawcę dwadzieścia cztery (24) godziny
na dobę przez pięć (5) dni roboczych w tygodniu. Wykonawca ma obowiązek przyjmowania
zgłoszeń serwisowych przez dwadzieścia cztery (24) godziny na dobę przez siedem (7) dni w
tygodniu przez telefon
fax
e-mail
WWW:
Wykonawca udostępniać będzie pojedynczy punkt przyjmowania zgłoszeń
serwisowych. Zaproponowany pakiet serwisowy zapewniać będzie również bezpośrednie
zgłoszenie awarii sprzętu do producenta sprzętu przez cały okres trwania gwarancji.
Utrata roszczeń z tytułu wad prawnych lub fizycznych nie następuje mimo upływu terminu
gwarancji jeżeli Wykonawca wadę podstępnie zataił.
W przypadku stwierdzenia w okresie gwarancji wad prawnych lub fizycznych sprzętu
Wykonawca ponadto:
1) usunie wady w miejscu, w którym zostały one ujawnione lub na własny koszt dostarczy
go do swojej siedziby w celu jego usprawnienia,
2) sprzęt wolny od wad dostarczy na własny koszt do miejsca, w którym wady zostały
ujawnione,
3) dokona stosownych zapisów w „Karcie Gwarancyjnej” dotyczących zakresu
wykonanych napraw oraz zmiany okresu udzielonej gwarancji,
4) poniesie odpowiedzialność z tytułu przypadkowej utraty lub uszkodzenia sprzętu
w czasie od przyjęcia go do naprawy do czasu przekazania sprawnego Odbiorcy,
5) w przypadku uszkodzenia nośnika lub dysku twardego zostanie on wymieniony na
nowy, zaś uszkodzony nośnik lub dysk twardy pozostaje własnością Użytkownika.
Użytkownik zobowiązany jest niezwłocznie poinformować Zamawiającego o przypadkach
nie zrealizowania przez Wykonawcę zobowiązań wynikających z 8.
Okres gwarancji reklamowanego sprzętu ulega przedłużeniu o czas jego niesprawności.
Wykonawca zapewni zdalne wsparcie techniczne (telefon, e-mail lub WWW) w zakresie
rozwiązywania problemów z konfiguracją i użytkowaniem oraz aktualizacją oprogramowania.
W zaproponowanych pakietach serwisowych producenta Wykonawca umożliwi dostęp do
pomocy technicznej Producenta (telefon, e-mail lub WWW) w zakresie rozwiązywania
problemów związanych z bieżącą eksploatacją dostarczonych rozwiązań w godzinach pracy
Użytkownika.
Postanowienia, o których mowa w ust. 1-19, Wykonawca zamieści w załączonej
do Sprzętu „Karcie Gwarancyjnej”. Wykonawca dostarczy Zamawiającemu, na 7 dni przed
przekazaniem Sprzętu Odbiorcy, wzór karty gwarancyjnej wraz z „Protokołem reklamacji”.
„
14.
15.
16.
17.
18.
19.
20.
9
2.
„
„
WARUNKI PŁATNOŚCI
Wykonanie świadczeń objętych niniejszą Umową opłacone będzie według wartości
uzgodnionej pomiędzy Zamawiającym a Wykonawcą i określonej w 2.
Wykonawca pod rygorem zastosowania 12 obowiązany jest przedłożyć nie później 7 dni od
daty wykonania dostawy do:
1) Zamawiającego:
a)
Oddział Wydatków Centralnych
oryginał faktury VAT określającej numer
i przedmiot Umowy;
b)
Oddział
Informatyki
i
Zamówień
Elektronicznych
protokoły
przyjęcia/przekazania, sporządzone przez Wykonawcę, o których mowa w
ust. 1 oraz protokoły wykonania usługi sporządzone na zasadach o których mowa
w *7 ust. 2;
2) Odbiorcy kserokopię faktury, o której mowa w pkt. 1.
-
-
-
I/20/VII-5 I /ZOfPN/AE/DOSIKJ2OI 2
Strona 6
Załącznik nr 2 do SIWi
3.
4.
5.
W przypadku braku możliwości zachowania terminu płatności określonego w Umowie,
w wyniku opóźnień w przesłaniu dokumentu PZ, Zamawiający dopuszcza możliwość
opłacenia faktury na podstawie protokołu przyjęciaiprzekazania dla sprzętu i oprogramowania
oraz protokołu wykonania usług, sporządzonego przez Wykonawcę i podpisanego przez
Odbiorcę.
W przypadku niedotrzymania terminu wykonania Umowy faktura powinna uwzględniać
przysługuj ący opust. W razie niezastosowania się do powyższego Zamawiający wstrzyma się
z płatnością do czasu otrzymania faktury korygującej.
Wykonawca zobowiązany jest do przekazania kopii faktur korygujących, o których mowa w
ust. 5, do Odbiorcy, w terminie pięciu (5) dni od daty przekazania ich Zamawiającemu.
1O
SPOSÓBZAPLATY
Zapłata za wykonanie Umowy nastąpi po terminie określonym w 3, w formie polecenia przelewu
w ciągu trzydziestu (30) dni od daty otrzymania kompletu dokumentów, o których mowa w 9.
Termin zapłaty uważa się za zachowany, jeżeli obciążenie rachunku dłużnika nastąpi najpóźniej w
ostatnim dniu roboczym terminu płatności.
11
WIERZYTELNOŚCI
Wykonawca zobowiązuje się nie dokonywać sprzedaży oraz zastawiania wierzytelności należnych
od Zamawiającego bez jego zgody.
12
1.
2.
3.
4.
Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 10% wartości brutto
Umowy bądź niezrealizowanej części określonej w *2, gdy Zamawiający odstąpi od tej
Umowy bądź jej części z powodu okoliczności za które odpowiada Wykonawca.
Postanowienia dotyczące kar umownych nie wyłączają prawa Zamawiającego do
dochodzenia odszkodowania uzupełniającego na zasadach ogólnych Kodeksu cywilnego,
jeżeli wartość szkody przekroczy wysokość kwot wynikających z naliczonych kar
umownych.
Odpowiedzialność Wykonawcy z tytułu niewykonania lub nienależytego wykonania Umowy
jest wyłączona z powodu siły wyższej wówczas, gdy między zdarzeniem mającym cechy siły
wyższej a powstaniem szkody zachodzi bezpośredni związek przyczynowy oraz gdy szkoda
ta powstanie w momencie działania siły wyższej.
Wykonawca nie może powoływać się na siłę wyższą jako na okoliczność wyłączającą
odpowiedzialność wtedy, gdy szkoda powstanie w wyniku nie usunięcia zagrażających
bezpieczeństwu skutków działania siły wyższej oraz gdy można było im zapobiec przez ich
zlikwidowanie lub gdy skutecznie ostrzeżono przed grożącym niebezpieczeństwem za
pomocą powszechnie przyjętych środków.
13
1.
2.
KARY UMOWNE
OPUST CENOWY
Zamawiającemu przysługuje opust cenowy w wysokości 0,1 % wartości dostawy nie
zrealizowanej w terminie za każdy rozpoczęty dzień zwłoki, nie więcej jednak niż 10%
wartości tej dostawy. Wyliczony opust pomniejsza Wartość Umowy i musi być uwzględniony
w fakturze, o której mowa w 9.
Podstawą do naliczenia opustu cenowego, o którym mowa w ust. 1 będzie wartość brutto
niewykonanej części umowy w terminie określonym w *3.
IU/20 1/VII-5 I /ZO(PN/AE(DOS/K12012
Strona?
Zalącanik nr 2 do SIWZ
14
ODSTĄPIENIE OD UMOWY
W przypadku uchybienia terminowi, o którym mowa w
3 przez Wykonawcę,
Zamawiającemu przysługuje prawo jednostronnego odstąpienia od Umowy bądź jej części
i naliczenia kar umownych przewidzianych w 12. Odstąpienie od Umowy nastąpi bez
wyznaczania dodatkowego terminu jej wykonania.
W razie wystąpienia istotnej zmiany okoliczności powodującej, że wykonanie Umowy nie
leży w interesie publicznym, czego nie można było przewidzieć w chwili zawarcia Umowy,
Zamawiający może odstąpić od Umowy w terminie 30 dni od powzięcia wiadomości o tych
okolicznościach.
W przypadku, o którym mowa w ust. 2, Wykonawca może żądać wyłącznie wynagrodzenia
należnego z tytułu wykonania części Umowy.
Odstąpienie od Umowy powinno nastąpić w formie pisemnej pod rygorem nieważności
takiego oświadczenia.
2.
3.
4.
15
KOOPERANCI I PODWYKONAWCY
W toku realizacji Umowy Wykonawca może korzystać ze świadczeń osób trzecich jako
swoich podwykonawców, przy zachowaniu następujących warunków:
1) skorzystanie ze świadczeń podwykonawców zostało przewidziane w ofercie
Wykonawcy i dotyczy zakresu w niej wskazanego;
2) w każdym wypadku korzystania ze świadczeń podwykonawcy, Wykonawca ponosi
pełną odpowiedzialność za wykonywanie zobowiązań przez podwykonawcę, jak za
własne działanie lub zaniechanie, niezależnie od osobistej odpowiedzialności
podwykonawcy wobec Zamawiającego;
3) korzystając ze świadczeń podwykonawcy, Wykonawca nałoży na niego obowiązek
przestrzegania wszelkich zasad, reguł i zobowiązań określonych w umowie, w zakresie,
w jakim odnosić się one będą do zakresu prac danego podwykonawcy, pozostając
jednocześnie gwarantem ich wykonania oraz przestrzegania przez podwykonawcę.
Wykonawca nie może zwolnić się od odpowiedzialności względem Zamawiającego z tego
powodu, że niewykonanie lub nienależyte wykonanie Umowy przez Wykonawcę było
następstwem niewykonania lub nienależytego wykonania zobowiązań wobec Wykonawcy
przez podwykonawców.
2.
16
1.
2.
UDZIELENIE UPRAWNIEŃ
Wykonawca zapewnia, że korzysta z praw do przedmiotów własności przemysłowej
i intelektualnej, związanych z przedmiotem niniejszej urnowy w sposób zgodny z ustawą z
dnia 30 czerwca 2000 r. Prawo własności przemysłowej (Dz. U. z 2003 r. Nr 119, poz. 1117
z, późn. zm) oraz ustawą z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych
(Dz. U. z 2006 r. Nr 90, poz. 631, z późn. zm.). Wszelkie zobowiązania wynikające z praw
własności przemysłowej, w szczególności patentów, praw ochronnych, jak również praw
autorskich oraz praw pokrewnych, ponosi Wykonawca.
W wyniku realizacji niniejszej Umowy Użytkownikowi zostanie udzielona licencja na
korzystanie z oprogramowania na zasadach i warunkach określonych przez producenta
oprogramowania, z zastrzeżeniem że musi być licencją udzieloną na czas nieoznaczony,
licencją niewyłączną oraz:
1) Licencja zostanie udzielona najpóźniej z dniem dostarczenia Oprogramowania do
Odbiorcy;
2) Licencja jest udzielana na następujących polach eksploatacji: trwałe lub czasowe
zwielokrotnianie programu komputerowego w całości lub w części jakimikolwiek
środkami i wjakiejkolwiek formie;
3) Zamawiający ma prawo korzystać z oprogramowania w każdym miejscu na terytorium
tU/20 ł/VII-5 1/ZOfPN/AE/DOS/KJ2O 12
Strona 8
Załączrikiir2doSIWZ
Rzeczypospolitej Polskiej lub innym obszarze (terytorium) gdzie Siły Zbrojne RP
prowadzą lub będą prowadzić jakiekolwiek działania. Uprawnienie powyższe, w
każdym przypadku obejmuje również wykorzystanie oprogramowania w sieciach
komputerowych.
17
2.
3.
4.
Wszelkie oświadczenia, zawiadomienia, itp. składane przez Zamawiającego lub jednostki
(komórki) organizacyjne MON lub Sił Zbrojnych i Wykonawcę mogą być dokonywane w
formie pisenmej, faksem lub za pośrednictwem poczty internetowej (email), chyba że ze
szczególnych postanowień Umowy wynika inaczej.
Jeżeli ze szczególnych postanowień Umowy nie wynika inaczej, wszelkie powiadomienia,
zawiadomienia, itp. winny być składane na adres:
1) dla Wykonawcy
2) dla Zamawiającego: Inspektorat Uzbrojenia, ul. Królewska 1/7, OO-909 Warszawa,
nr faksu (+ 48) 22 6873297, e-mail: iu.oiizemon.goy.pl,
3) dla Odbiorcy
Z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa oraz jeżeli ze szczególnych
postanowień Umowy nie wynika inaczej, jakiekolwiek oświadczenia skierowane pod inny
adres niż określony w ust. 2 nie wywołują skutków prawnych ani faktycznych.
W przypadku zmian adresu, faksu, adresu emafl lub numeru telefonu Wykonawcy, o których
nie powiadomił Zamawiającego, korespondencję uznaje się za doręczoną, jeśli została
przekazana na adres Wykonawcy wskazany w Umowie.
*18
2.
3.
4.
5.
DORĘCZENIA
INNE POSTANOWIENIA
Niniejsza Umowa oraz wszelkie roszczenia z niej wynikające podlegają tylko i wyłącznie
prawu polskiemu i zgodnie z nim będą interpretowane.
Wykonawca powiadomi Zamawiającego na czternaście (14) dni przed terminem zawartym
w 3, o stanie realizacji Umowy oraz niezwłocznie, gdy pojawi się zagrożenie wykonania
Umowy bądź jej części.
Wykonawca zobowiązany jest dostarczyć Odbiorcy i Użytkownikowi kopię Umowy siedem
(7) dni po jej zawarciu.
Wykonawca dostarczy Zamawiającemu (celem uzgodnienia), na siedem (7) dni przed
przekazaniem sprzętu Odbiorcy, wzór „Karty Gwarancyjnej” wraz z „Protokołem reklamacji”
dołączane do każdego egzemplarza sprzętu. Karta Gwarancyjna musi zawierać zapisy o
których mowa w 8.
Zabezpieczenie należytego wykonania Umowy wynosi
zł (słownie:
) 10% łącznej wartości brutto określonej w 2 ust. 1, z czego:
1) siedemdziesiąt procent tej kwoty, tj
zł (słownie
)„ zostanie
zwrócone Wykonawcy niezwłocznie po otrzymaniu protokołów o których mowa w
ust 1 i 2, umożliwiającym stwierdzenie należytego wykonania systemu kontroli ruchu
sieciowego w sieci INTER-MON, o ile nie zaistnieją przesłanki wynikaj ące z 12 i 14
niniejszej Umowy;
trzydzieści procent tej kwoty, tj
2)
zł (słownie
) zostanie
zwrócone wraz z otrzymaniem dokumentów, umożliwiających stwierdzenie należytego
wykonania postanowień umowy i usług o których mowa w 5 ust. 2 pkt 5) i 5 ust. 3
pkt 7 i 8) i 5 ust. 4 pkt 5 i 8 oraz po wygaśnięciu wszystkich uprawnień z tytułu
gwarancji rękojmi za wady w terminie trzydziestu (30) dni po terminie określonym w
S ust. 2 pkt 5), 5 ust. 3 pkt 7 i 8), 5 ust. 4 pkt 5 i 8. W przypadku wystąpienia ww.
przesłanek Zamawiający zwróci pozostałą część zabezpieczenia po uiszczeniu przez
Wykonawcę należności, o których mowa w
12 lub potrąci należności
-
IU/20 lNu-5 I JZO/PN/AE/DOSJK/2012
Strona 9
6.
7.
8.
z zabezpieczenia.
W sprawach nie uregulowanych niniejszą Umową mają zastosowanie przepisy:
1) kodeksu cywilnego;
2) innych obowiązujących w tym zakresie aktów prawnych.
Zmiany postanowień Umowy dopuszczalne są w formie pisenmej pod rygorem ich
nieważności z zastrzeżeniem, że zmiany skutkujące zmianą terminu realizacji Umowy
i wartości Umowy wymagają formy aneksu.
W przypadku, kiedy Zamawiający będzie realizował swoje uprawnienie wynikające art. 67
ust. 1 pkt 7 ustawy z dnia 29 stycznia 2004 roku Prawo zamówień publicznych (t.j. Dz. U. z
2010 r. nr 113, poz. 759, z późn. zm.), tj.: „zamówień uzupełniających”, Wykonawca
zobowiązuje się do zachowania cen poszczególnych elementów składowych przez okres 3 lat
od daty zawarcia niniejszej Umowy.
Spory wynikłe z niniejszej Umowy rozstrzygać będzie sąd powszechny właściwy dla siedziby
Zamawiającego.
Umowę niniejszą sporządzono w dwóch jednobrzmiących egzemplarzach z przeznaczeniem
po jednym dla każdej ze stron.
Załączniki stanowią integralną część Umowy.
Umowa wchodzi w życie z dniem jej podpisania przez obydwie Strony.
-
9.
10.
11.
12.
Załączniki:
Załącznik nr 1
Załącznik nr 2
Załącznik nr 2A
specyfkacj a techniczna i ilościowa;
wzór protokołu przyjęcia/przekazania;
wzór protokołu wykonania usług.
WYKONAWCA
IU/201Jy11-5 1/ZO/PN/AE/DOSJKJ2O12
ZAMAWIAJĄCY
Strona O
-
FORMULARZ OFERTY
INSPEKTORAT UZBROJENIA
PAŃSTWA
ul. Królewska 1/7, OO-909 WARSZAWA
SKARB
2
1
L.p.
—
System
równoważnego wraz z oprogramowaniem oraz platformą klasy
appliance i systemem raportowania w trybie „offbox”.
Ochrony Web) na bazie McAfee Web Gateway lub rozwiązania
dostawa i wdrożenie systemu ochrony ruchu web (SOW
równoważnego,
dostawa urządzeń IPS (Intrusion Preyention System) wraz ze
wsparciem technicznym producenta przez okres 3 lat celem
rozbudowy posiadanego systemu kontroli lub rozwiązania
równowaŻnego,
dostawa urządzeń firewall wraz z rozwiązaniem do centrahego
zarządzania firewallami oraz wdrożeniem, szkoleniem i wsparciem
technicznym producenta przez okres 5 lat lub rozwiązania
Nazwa przedmiotu zamówienia
Nazwa oferowana
RAZEM
Strona 1
Wartość brutto z VAT
Oferujemy wykonanie przedmiotu zamówienia, w pełnym zakresie określonym w załączniku 1 do SIWZ za łączną wartość
brutto, w tym:
IU/20 1/VII-5 [/ZOJPN/AE/DOS/K120 12
1.
W związku z ogłoszeniem o postępowaniu numer
prowadzonym w trybie przetargu nieograniczonego
na dostawę „systemu kontroli ruchu sieciowego w sieci INTER-MON”- ogłoszenie o zamówieniu opublikowane zostało w Dzienniku
Urzędowym Wspólnot Europejskich (
).
REGON:
NIP:
adres firmy:
nr telefonu:
nr faksu:
ZAMAWIAJĄCY
Nazwa ftrmy
WYKONAWCA:
Oświadczamy, że istotne postanowienia umowy i zawarte w nim waruiiki płatności, stanowiący załącznik nr 2 do SIWZ został przez nas
zaakceptowany.
Informujemy, że ofertę zabezpieczyliśmy wadium nr 7058 o wartości
Zobowiązujemy się, w przypadku wyboru naszej oferty, do zawarcia umowy na określonych w SIWZ, w miejscu i terminie wyznaczonym przez
Zamawiającego.
Oświadczamy, że czujemy się związani niniejszą ofertą przez czas wskazany w SIWZ, tj. przez okres
dni, gdzie bieg terminu
związania ofertą rozpoczyna się wraz z upływem terminu składania ofert.
(*)
Oświadczamy,
że
realizację
zamówienia
przedmiotu
będziemy/nie
będziemy
powierzać
podwykonawcom
4.
5.
6.
7.
Pi ni metr
y. yini iw
IU/201fV11-5 IJZOIPNIAE/DOSIKJ2OI2
*niepotrzebne skreślić
priez Zi In:Lwiajceo opisane w ZI:
czii iLu ur 1 do SI WZ
1
techniczne
—
V. yiniga nii
Specyfikacja Techniczna oferowanego przedmiotu zamówienia:
IikaĘ5 leeli uikzna olcrowi I1CuI przed miotu
Podpis (podpisy) osób uprawnionych
do reprezentowania Wykonawcy
pe
i iiióis icnia
Strona 2
UWAGA: Wykonawcy powierzający wykonanie części przedmiotu zamówienia podwykonawcom zobowiązani są podać zakres powierzonych im
czynności.
Miejscowość, data
9.
8.
Oświadczamy, że zapoznaliśmy się ze wszystkimi warimkami zamówienia, SIWZ wraz z załącznikami, ich modyfikacjami, wyjaśnieniami
i akceptujemy je bez jakichkolwiek zastrzeżeń.
3.
zł., które wnieśliśmy w następującej formie:
Realizację przedmiotu zamówienia, w pełnym zakresie określonym w SIWZ, zrealizujemy w terminie do
2.

Modyfikacja SIWZ - Inspektorat Uzbrojenia

Transkrypt

Podobne dokumenty

Załącznik nr 2 do SIWZ

UMOWA Nr Zawarta w dniu w Pile , pomiędzy Gminą Piła , którą

Załącznik nr 1 do siwz ZP 18/2013/CES Opis przedmiotu

Instrukcja otwarcia załącznika nr 5 do SIWZ

Protokół otwarcia ofert z informacją o wyborze oferty

WYKONAWCA Nazwa firmy: . REGON . NIP . adres firmy: . tel/fax

cena *jednostkowa netto w zł