Z A P Y T A N I E O I N F O R M A C J Ę

Transkrypt

1 NR BFI 1S/01/10/05/2019 Warszawa, dnia Z A P Y T A N I E O I N F O R M A C J Ę Zwracamy się do Państwa o udzielenie informacji dotyczącej zakupu oprogramowania antywirusowego zgodnie z poniższymi wymaganiami. Wprowadzenie PKP Intercity S.A. rozpoczęło proces wyboru dostawcy licencji oprogramowania antywirusowego na okres 36 miesięcy, wraz z wdrożeniem, instalacją na stacjach roboczych Zamawiającego oraz wsparciem technicznym. W związku z tym prowadzi badanie rynku w zakresie potencjalnych dostawców systemu. W szczególności przedmiot zamówienia obejmuje: I. Ochronę antywirusową stacji roboczych, II. Kontrolę dostępu do stron internetowych, III. Ochronę antywirusowa serwerów, IV. Centralną konsola administracyjną, V. Ochrona przed wyciekiem informacji (DLP), VI. Ochronę poczty ( Security Gateway), VII. Moduł Sandbox, VIII. Analiza przedwdrożeniowa, IX. Usługi wdrożeniowe, X. Usługi szkoleniowe, XI. Usługi wsparcia technicznego.

2 I. Ochrona antywirusowa stacji roboczych. 1. Oprogramowanie antywirusowe ma zapewnić wsparcie platform Windows w wersjach 32 i 64-bitowej Microsoft Windows 7, Microsoft Windows 8, Windows 10, Windows 2008 Server, Windows 2008 R2 Server oraz Windows 2012 Server, Windows 2016 Server. 2. System ma zapewniać przyrostowe aktualizacje baz sygnatur przy użyciu protokołu HTTP przez serwer pośredniczący lub serwer zarządzający: a. serwer centralny musi umożliwiać synchronizację baz sygnatur na wskazane repozytoria wg ustalonego harmonogramu, b. automatyczny wybór najszybszego lub najbliższego repozytorium do ściągnięcia nowych szczepionek/produktów. 3. System ochrony na komputerach ma mieć możliwość pracy bez bezpośredniego połączenia z Internetem. Musi być zapewniona możliwość ręcznej aktualizacji produktów i baz sygnatur antywirusowych. 4. System powinien zapewniać pełną ochronę przed wszystkimi rodzajami wirusów, Trojanów, narzędzi hackerskich, oprogramowania typu spyware i adware, rootkit, autodialerami i innymi potencjalnie niebezpiecznymi programami. 5. Pomoc techniczna oraz dokumentacja dostarczona i świadczona będzie w języku polskim. Zamawiający dopuszcza, aby interfejs zarządzający Systemem był w języku angielskim. 6. Ochrona antywirusowa musi być realizowana na podstawie: a. Sygnatur, b. Heurystyki (z możliwością jej wyłączenia) c. Na bieżąca weryfikowanej informacji o nowych zagrożeniach w bazie producenta dostępnej przez Internet. 7. Moduł musi posiadać możliwość określenia listy reguł, wykluczeni dla wybranych obiektów, rodzajów zagrożeń oraz składników ochrony 8. Moduł musi umożliwiać skanowanie antywirusowe w chwili próby uzyskania dostępu do pliku, na żądanie i według harmonogramu z następującymi warunkami: a. Skanowanie na żądanie i według harmonogramu musi mieć możliwość przerwania w dowolnym momencie. b. Skanowanie na żądanie musi mieć możliwość wstrzymania w przypadku wykrycia pracy na baterii ( dot. Laptopów). c. Skanowanie na żądanie musi mieć możliwość wstrzymania w przypadku wykrycia pracy w trybie pełnoekranowym (np. prezentacja). 9. Moduł musi wykrywać zagrożenia: na dyskach, w plikach, na stronach internetowych, w poczcie przychodzącej do klienta pocztowego instalowanego na stacji, na podłączanych do stacji nośnikach przenośnych (tj. pendrive, dysk zewnętrzny, karta SD, telefon itp.) 10. Moduł musi zawierać opcję ustawienia priorytetu procesu skanowania: a. Na żądanie. b. Według harmonogramu. 11. Możliwość zabezpieczenia programu przed deinstalacją przez niepowołaną osobę, nawet gdy posiada ona prawa lokalnego lub domenowego administratora, przy próbie deinstalacji program powinien pytać o hasło. 12. Praca programu musi być niezauważalna dla użytkownika. 13. Dziennik zdarzeń rejestrujący informacje na temat znalezionych zagrożeń, dokonanych aktualizacji baz wirusów i samego oprogramowania bezpośrednio na stacji roboczej.

3 14. Oprogramowanie zainstalowane na stacji roboczej musi być zarządzane zarówno bezpośrednio z poziomu stacji roboczej, jak i centralnej konsoli zarządzającej. 15. Komunikacja pomiędzy oprogramowaniem na stacji roboczej, a centralną konsolą zarządzającej może odbywać się zarówno bezpośrednio, jak i poprzez doinstalowanie kolejnego oprogramowania tzw. Agenta. 16. Oprogramowanie posiada możliwość ustawienia specjalnego hasła (z poziomu centralnej konsoli zarządzającej) blokującego ustawienia konfiguracyjne dla użytkownika końcowego. 17. System musi posiadać lokalną bazę reputacji o plikach, URL ach, adresach IP. 18. Aktualizacja sygnatur musi się odbywać minimum dwa razy dziennie. 19. Moduł automatycznie definiuje poziom zaufania do pliku i gromadzi te informacje w lokalnej chmurze reputacyjnej. Dodatkowo moduł lokalnej chmury musi posiadać możliwość ręcznej modyfikacji poziomu zaufania do plików. 20. Moduł musi posiadać opcję instalacji na stacji roboczej z poziomu centralnej konsoli zarządzającej. 21. Oprogramowanie antywirusowe musi zapewniać ochronę przed wirusami dla protokołów SMTP, POP3, http, FTP. 22. Usuwanie wirusów, makro wirusów, robaków internetowych oraz koni trojańskich (oraz wirusów i robaków z plików skompresowanych oraz samorozpakowujących się) lub kasowanie zainfekowanych plików. Ochrona przed oprogramowaniem typu spyware i adware, włącznie z usuwaniem zmian wprowadzonych do systemu przez to oprogramowanie tego typu. 23. Rozwiązanie ma zapewniać wysoką skalowalność (obsługa ok stacji) II. Kontrolę dostępu do stron internetowych 1. Moduł powinien zawierać kompatybilne plug-iny do przeglądarek: Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Microsoft Edge działające na stacjach roboczych użytkowników końcowych i ostrzegające ich o złośliwej zawartości strony internetowej. 2. Moduł musi zapewniać ochronę komunikacji przy wykorzystaniu protokołu http w czasie rzeczywistym i niezależnie od przeglądarki. 3. Moduł musi realizować możliwość blokowania (z poziomu centralnej konsoli zarządzającej) stron internetowych na podstawie kategorii strony, np. media społecznościowe. III. Ochrona antywirusowa serwerów. 1. Pełna ochrona przed wirusami, trojanami, robakami i innymi zagrożeniami. 2. Wykrywanie i usuwanie niebezpiecznych aplikacji typu adware, spyware, dialer, phishing, narzędzi hakerskich, backdoor, ransomeware. 3. Skanowanie w czasie rzeczywistym otwieranych, zapisywanych i wykonywanych plików. 4. Możliwość skanowania całego dysku, wybranych katalogów lub pojedynczych plików "na żądanie" lub według harmonogramu. 5. Skanowanie "na żądanie" pojedynczych plików lub katalogów przy pomocy skrótu w menu kontekstowym. 6. Skanowanie plików spakowanych i skompresowanych.

4 7. Oprogramowanie powinno posiadać możliwość zablokowania hasłem odinstalowania programu. 8. Powinny być aktualizowane nie rzadziej niż co 6 godzin. 9. Oprogramowanie powinno posiadać możliwość raportowania zdarzeń informacyjnych. 10. Program musi posiadać możliwość włączenia/wyłączenia powiadomień określonego rodzaju. 11. Program musi mieć wbudowany skaner wyszukiwania rootkitów. 12. Możliwość odblokowania ustawień programu po wpisaniu hasła. 13. Możliwość uruchomienia zadania skanowania z niskim priorytetem. 14. Możliwość ochrony systemu bez instalacji na stacji roboczej silnika antywirusowego. Jego role przejmuje centralny serwer bezpieczeństwa odpowiedzialny za proces skanowania plików. 15. Możliwość skanowania dysków sieciowych i dysków przenośnych. 16. Program ma umożliwiać użytkownikowi blokowanie zewnętrznych nośników danych na stacji w tym przynajmniej: pamięci masowych, płyt CD/DVD i pamięci masowych FireWire. 17. Możliwość skanowania z zastosowaniem algorytmów heurystycznych i sygnatur baz wirusów. 18. System antywirusowy ma mieć możliwość określania automatycznego poziomu obciążenia procesora (CPU) podczas skanowania na żądanie i według harmonogramu. możliwości wykluczania ze skanowania elementów takich jak: konkretne procesy, usługi, katalogi i pliki oraz skanowanie pamięci podręcznej IV. Centralna konsola zarządzająca. 1. Zarządzanie z poziomu centralnej konsoli zarządzającej powinno odbywać się za pomocą interfejsu WWW za pomocą protokołu SSL/TLS 2. Moduł musi zapewnić możliwość instalacji oprogramowania służącego do ochrony stacji roboczych. 3. Moduł musi zapewnić centralne zarządzanie wszystkimi programami służącymi do ochrony stacji roboczych i serwerów. 4. Moduł musi posiadać centralną bazę przechowującą informacje o konfiguracji stacji i urządzeń końcowych. 5. Moduł musi posiadać centralną bazę przechowującą informacje o zdarzeniach i wykrytych zagrożeniach. 6. Oferowane rozwiązanie musi umożliwiać selektywne wskazanie, który konkretnie produkt ma zostać zainstalowany na stacji roboczej. Nie dopuszczalna jest instalacja wszystkich produktów w postaci jednej paczki instalacyjnej. 7. Moduł musi posiadać możliwość synchronizacji z Active Directory w zakresie kont domenowych, nazw stacji roboczych, grup domenowych oraz kontenerów. 8. Rozwiązanie to musi posiadać możliwość generowania raportów. 9. Połączenie pomiędzy centralną konsolą zarządzającą, a oprogramowaniem na stacji musi być szyfrowane. 10. Moduł musi umożliwiać sprawdzenie stanu ochrony wybranej stacji roboczej (aktualnych polityk konfiguracyjnych, wersji oprogramowania, bazy wirusów oraz sprawdzenie wyników skanowania na żądanie lub skanerów rezydentnych).

5 V. Ochrona przed wyciekiem informacji (DLP). 1. Moduł powinien być odpowiedzialny za klasyfikację plików oraz wymuszanie ochrony zaklasyfikowanych plików poprzez kanały wycieku danych. 2. Moduł DLP powinien przeprowadzać klasyfikację plików na dwa sposoby: 2.1 Klasyfikacja w oparciu o etykiety. 2.2 Klasyfikacja w oparciu o typ/zawartość pliku. 3 Klasyfikacja w oparciu o etykiety powinna być nadawana ręcznie lub automatycznie. Powinny być dostępne co najmniej następujące mechanizmy nadawania etykiet: 3.1 Automatyczne nadawanie etykiet w zależności od udziału sieciowego, z którego dany plik został skopiowany na stację roboczą. 3.2 Automatyczne nadawanie etykiet w zależności od aplikacji, która wytworzyła dany plik na danej stacji roboczej. 3.3 Ręczne nadawanie etykiet dla wskazanych w konfiguracji użytkowników. 4 Klasyfikacja w oparciu o typ/zawartość pliku powinna być nadawana w oparciu o następujące parametry: 4.1 Słowa kluczowe występujące w pliku. Powinna być możliwość zdefiniowania ile słów kluczowych musi wystąpić by uznać plik za sklasyfikowany. Powinny być dostępne słowniki predefiniowane oraz możliwość tworzenia własnych. 4.2 Wykrycie fraz w pliku zgodnie ze zdefiniowanym wyrażeniem regularnym. Powinny być predefiniowane wyrażenia wyszukujące co najmniej PESEL, NIP, REGON oraz powinna istnieć możliwość definicji własnych wyrażeń regularnych. 4.3 Podobieństwo do innych, wcześniej zeskanowanych dokumentów. Jeśli dokument zawiera część tekstu zbieżną ze wcześniej zeskanowanym repozytorium dokument powinien być automatycznie klasyfikowany (tzw. fingerprinting). 4.4 Rodzaj pliku poprzez zbadanie faktycznej zawartości pliku niezależnie od rozszerzenia, jakim opatrzony jest dany plik. 4.5 Rozszerzenie pliku niezależnie od zawartości pliku. 4.6 Atrybuty pliku jeśli jest to dokument pakietu Microsoft Office jak co najmniej Autor, Firma, Słowa Kluczowe czy Komentarz. 5 Klasyfikacja danych w oparciu o typ/zawartość powinna być wykonywana dynamicznie przez moduł DLP na stacjach w momencie dostępu do pliku, bez konieczności wykonywania okresowego, masowego znakowania danych. 6 Nazwy etykiet klasyfikacji danych zarówno dotyczących klasyfikacji w oparciu o typ/zawartość jak i klasyfikacji w oparciu o etykiety powinny być konfigurowalne przez administratora. 7 Klasyfikacja w oparciu o etykiety powinna mieć mechanizmu chroniące przed zgubieniem tych etykiet poprzez manipulacje nad plikiem. 7.1 Klasyfikacja takiego pliku nie może się zmieniać (w szczególności być gubiona) w przypadku, co najmniej zmiany nazwy pliku, zmiany formatu/typu pliku. 7.2 W przypadku skopiowania fragmentu tak sklasyfikowanego pliku do innego dokumentu, nowy dokument musi dziedziczyć taką samą klasyfikację jak plik oryginalny. W przypadku późniejszego usunięcia tego fragmentu, który przyczynił się do nadania klasyfikacji klasyfikacja powinna być też usunięta. 7.3 W przypadku przepisania odpowiednio długiego fragmentu pliku do innego dokumentu (bez użycia schowka).

6 8 System powinien chronić dane przed wyciekiem za pomocą następujących kanałów danych: 8.1 Ochrona przed wyciekiem przez wydruk Definiowanie ograniczeń w drukowaniu wskazanych dokumentów sklasyfikowanych, w tym możliwość wskazania, który dokument może być drukowany na której drukarce lokalnej lub sieciowej Monitorowanie, blokowanie drukowania danych na wskazanych drukarkach lokalnych i sieciowych oraz raportowanie takiego zdarzenia obejmujące minimum: nazwę drukarki, nazwę użytkownika, proces, który wysłał dokument do drukowania, IP adres komputera użytkownika, czas zdarzenia oraz zawartość drukowanego pliku. 8.2 Ochrona przed wyciekiem do sieci Web Definiowanie ograniczeń przy wysyłaniu plików sklasyfikowanych z użyciem przeglądarek webowych do Internetu, w tym możliwość wskazania, na jakie adresy powinna być możliwa wysyłka a na jakie nie Monitorowanie, blokowanie wysyłania plików oraz raportowanie takiego zdarzenia obejmującego minimum adres URL, nazwę procesu przeglądarki internetowej oraz zawartość wysyłanego pliku Powinny być wspierane co najmniej przeglądarki: Internet Explorer, Edge, Firefox oraz Chrome. 8.3 Ochrona przed wyciekiem przez pocztę Definiowanie ograniczeń przy wysyłaniu plików sklasyfikowanych z użyciem klientów pocztowych Microsoft Outlook. Możliwość uzależnienie ochrony od domen adresów lub konkretnych adresów Monitorowanie, blokowanie wysyłania plików oraz raportowanie takiego zdarzenia obejmującego minimum docelowy adres , proces klienta pocztowego oraz zawartość plików sklasyfikowanych załączonych do wiadomości Etykiety klasyfikacji plików dołączanych do powinny być przekazywany przez poprzez nadawanie nagłówków do wiadomości lub w inny, podobny sposób tak, by w momencie zapisywania na system plików na innej stacji roboczej odpowiednia klasyfikacja była automatycznie nadawana. 8.4 Ochrona przed generowaniem zrzutów ekranów Definiowanie ograniczeń przy generowaniu zrzutów ekranu, jeśli wyświetlony na nim jest plik sklasyfikowany Monitorowanie, blokowanie realizacji funkcji zrzutu ekranu oraz raportowanie takiego zdarzenia obejmującego minimum aplikację wyświetlającą sklasyfikowaną treść podczas próby zrealizowania zrzutu ekranu oraz sam zrzut ekranu w postaci pliku graficznego. 8.5 Ochrona przed skopiowaniem plików na zewnętrzne nośniki danych Definiowanie ograniczeń przy kopiowaniu sklasyfikowanych plików na zewnętrzne dyski Monitorowanie, blokowanie kopiowania oraz raportowanie takiego zdarzenia obejmującego minimum nazwę pliku kopiowanego, numer seryjny nośnika zewnętrznego oraz zawartość kopiowanych plików. 8.6 Ochrona przed użyciem schowka systemowego Definiowanie ograniczeń przy kopiowaniu fragmentów dokumentu poprzez schowek systemowy do innych dokumentów Funkcja schowka powinna działać w obrębie tego samego dokumentu bez żadnych przeszkód Monitorowanie, blokowanie kopiowania treści oraz raportowanie takiego zdarzenia obejmującego minimum nazwę aplikacji źródłowej i docelowej oraz

7 treść schowka. 8.7 Ochrona przed wysyłką danych poprzez sieć Definiowanie ograniczeń przy dostępnie do sieci dla aplikacji, która wykonuje operacje plikowe na sklasyfikowanych plikach W momencie wykrycia operacji na plikach sklasyfikowanych aplikacja powinna zostać pozbawiona dostępu do sieci, działanie powinno zostać monitorowane oraz zaraportowane minimum nazwę procesu, adres IP źródłowy, adres IP docelowy, port źródłowy, port docelowy i kierunek ruchu. 9 Dostępność różnych rodzajów reakcji modułu DLP na wykryte naruszenie polityki ochrony: 9.1 Blokowanie akcji (np. blokada wysyłki ze sklasyfikowanymi załącznikami). 9.2 Monitorowania akcji (wysłanie incydentu do centralnej konsoli zarządzającej). 9.3 Powiadomienie użytkownika (wyświetlenie użytkownikowi informacji, że podjęta akcja została zablokowana/jest monitorowana przez moduł DLP). 9.4 Zapytanie użytkownika o podanie powodów wykonywania akcji powód wpisany przez użytkownika musi być zachowany na centralnej konsoli zarządzającej. 9.5 Automatyczne szyfrowanie chronionych plików podczas ich przesyłania na katalog sieciowy lub na dysk zewnętrzny USB przy czym administrator systemu ma możliwość wskazania jaki klucz zostanie użyty do szyfrowania i jakie osoby/grupy użytkowników mają prawo dostępu do klucza i zaszyfrowanych danych. 9.6 Zachowanie dowodów - skopiowanie danych, które spowodowały podjęcie akcji przez moduł DLP na wskazany udział sieciowy (w tym też obrazy wykonanych zrzutów z ekranu). Dane kopiowane na udział muszą być szyfrowane, a dostęp do nich możliwy tylko z konsoli systemu zarządzania. 10 System powinien dawać możliwość aplikowania różnych reakcji w zależności od tego, czy system znajduje się w sieci korporacyjnej czy poza nią. Badanie obecności w sieci korporacyjnej powinno odbywać się poprzez badanie otwartości dowolnie wybranego portu na dowolnie wybranym serwerze. 11 System musi znakować czasowo wszystkie zdarzenia napływające do serwera. 12 Wszystkie incydenty związane z naruszeniem danych powinny mieć nadany priorytet w co najmniej pięciostopniowej skali tak, by możliwe było odróżnienie incydentów bardziej istotnych od mniej istotnych. 13 Powinna istnieć możliwość automatycznego przydzielania incydentów do konkretnego właściciela lub grupy właścicieli oraz informować przez nowych właścicieli incydentów. 14 Moduł DLP musi współpracować z systemami RMS (Rights Management System), co najmniej Microsoft RMS Moduł DLP musi umożliwiać sprawdzenie, czy plik posiada przydzieloną politykę z systemu RMS, a jeśli nie zablokować jego wysłanie na zewnątrz Moduł DLP musi umożliwiać automatyczne przydzielenie określonej polityki systemu RMS do plików podlegających ochronie znajdujących się na dysku stacji roboczej użytkownika. 15 Moduł DLP musi umożliwiać natywne, okresowe przeszukiwanie dysków twardych na stacjach roboczych pod kątem występowania tam plików niesklasyfikowanych, a spełniających wymogi do sklasyfikowania. W razie wykrycia takiego pliku powinno być możliwe wykonanie akcji: 15.1 Przesłanie powiadomienia do serwera zarządzającego Przydzielenie do pliku polityki RMS (Rights Management System) Przydzielenie do pliku etykiety klasyfikacji Przeniesienie pliku do lokalnej kwarantanny Plik w kwarantannie musi być chroniony przed niepowołanym dostępem przez zaszyfrowanie Musi być możliwe odzyskanie pliku z kwarantanny przez użytkownika po

8 potwierdzeniu tego przez administratora systemu DLP (proces challenge response). Przy czym wykonanie odzyskania pliku z kwarantanny nie może wymagać podłączenia stacji do sieci firmowej 15.5 Automatyczne szyfrowanie plików przy czym administrator systemu ma możliwość wskazania jaki klucz zostanie użyty do szyfrowania i jakie osoby/grupy użytkowników mają prawo dostępu do klucza i zaszyfrowanych danych. 16 Musi istnieć możliwość definiowania harmonogramu skanowania okresowego w celu przeszukiwania dysków twardych. 17 System powinien posiadać możliwość kontroli urządzeń podłączanych do komputera. Powinna być możliwość kontroli dowolnego urządzenia wykrywanego przez system Windows w ramach urządzeń Plug and Play. 18 W ramach kontroli urządzeń powinna istnieć możliwość wykluczania urządzeń o specyficznych atrybutach lub dopuszczania urządzeń o specyficznych atrybutach jednocześnie wykluczając wszystkie inne. 19 W przypadku przenośnych nośników danych powinna istnieć możliwość blokowania dostępu do takich urządzeń w oparciu o numer seryjny urządzenia lub podmontowanie urządzenia w trybie tylko do odczytu. 20 System DLP po stronie klienta powinien posiadać polski interfejs użytkownika lub co najmniej możliwość spersonalizowania komunikatów wyświetlanych użytkownikowi. 21 System powinien wymuszać politykę DLP nawet w sytuacji, gdy zostanie uruchomiony w trybie awaryjnym (tzw. Safe Mode). 22 System DLP powinien umożliwiać czasowe wyłączenie ochrony na stacji klienckiej poprzez mechanizm challange-response. Wyłączenie funkcjonalności powinno być terminowe na zadany okres czasu od 5 min do jednego dnia. VI. Ochrona poczty. 1. Rozwiązanie ma zapewnić kompleksową ochronę przed zagrożeniami poczty elektronicznej, włączając ochronę przed złośliwym oprogramowaniem wyłudzającym informację. 2. Moduł ma działać na styku pomiędzy serwerem pocztowym, a Internetem. 3. Musi być zgodny z MS Exchange 2016 wykorzystywanym przez Zamawiającego. 4. Musi zapewniać wsparcie dla ról Mailbox, Edge, Hub. 5. Moduł musi zapewniać ochronę przed wszystkimi rodzajami wirusów, trojanów, narzędzi hackerskich, oprogramowania typu spyware i adware, rootkit, auto-dialerami i innymi potencjalnie niebezpiecznymi programami. 6. Ochrona antymalware w czasie rzeczywistym, antywirus antyphising i antyspam bazujące na globalnej sieci. 7. Moduł musi skanować pocztę przychodzącą i wychodzącą na serwerze MS Exchange. 8. Wielowarstwowa ochrona dla komunikacji: antyspam, antyphishing, antywirus, antymalware z analizą behawioralną i ochroną przed nowymi zagrożeniami. 9. Analiza danych w czasie rzeczywistym. 10. System ma zapewnić: Ochronę przed atakami DOS, DDOS, Ochronę przed Advanced Persistent Threats, Ochronę antywirusową, Ochronę przed spamem, Szyfrowanie wiadomości, Licznik wiadomości wysłanych z jednego adresu mailowego, Zbieranie informacji o reputacjach w postaci adresów IP, URL Skanowanie linków zawartych w treściach wiadomości, Blokowanie plików przychodzących do organizacji względem rozszerzeń, np..exe,.pdf.

9 11. Moduł musi być zarządzany poprzez konsolę zarządzającą. Możliwe jest wykorzystanie oddzielnej konsoli, niż do zarządzania pozostałymi produktami. 12. System powinien posiadać możliwość integracji z systemem klasy ATP, aby po analizie załączników do lokalnej bazy reputacyjnej trafiały stosowne informację wykorzystywane w przyszłości. 13. System musi oferować użytkownikowi końcowemu dostęp do portalu, w którym będzie możliwość sprawdzenia jakie maile oraz załączniki znajdują się w kwarantannie. 14. Zwolnienie maila z kwarantanny powinna być tylko z poziomu administratora w konsoli zarządzającej. 15. Zarządzanie systemem, czyli ustawianie odpowiednich polityk konfiguracyjnych powinno się odbywać z poziomu GUI przeglądarkowego. 16. System musi mieć możliwość dodawania oraz ograniczania nagłówków przy wiadomościach wychodzących. 17. Rozwiązanie powinno być możliwość wykrywania ataków typu Business Compromise. 18. Rozwiązanie powinno mieć funkcję Authentication wraz z modułami SPF, DKiM oraz DMARC. 19. System ma możliwość przesyłania podejrzanych plików do sandboxa celem jego analizy. VII. Moduł Sandbox. 1. Moduł Sandbox musi być dostarczony w postaci dwóch maszyn fizycznych, działających w klastrze. W przypadku awarii jednej z maszyn, druga maszyna przejmuje role skanera próbek. 2. Moduł powinien być wyposażony w system, który zapewni równomierne obłożenie maszyn. 3. Moduł powinien mieć wydajność min próbek dziennie. 4. Moduł Sandbox musi dysponować możliwościami analizy rzeczywistej plików. Poprzez analizę rzeczywistą rozumie się uruchomienie pliku w środowisku testowym i wykonanie jego zawartości. Nie dopuszczalne jest rozwiązanie polegające tylko i wyłącznie na sygnaturach, bądź innych mechanizmach bez faktycznego uruchomienia kodu źródłowego. 5. Moduł Sandbox powinien umożliwiać emulowanie łączności z Internetem dla badanych próbek. W razie wysyłania żądania do zewnętrznego serwera WWW ten serwer powinien być emulowany i zwracać odpowiedź. W przypadku żądania ściągnięcia pliku powinien zostać dostarczony plik. Niedopuszczalne jest wysyłanie próbki do chmury (poza instrastrukturę IT Zamawiającego). 6. W ramach analizy plików muszą być wspierane co najmniej następujące formaty plików: 6.1 pliki wykonywalne Windows, 6.2 pliki programów pakietu MS Office, 6.3 pliki PDF, 6.4 pliki wygaszaczy ekranu, 6.5 pliki zarchiwizowane (np. Zip, 7Zip, rar, cab). 7. Oprócz dynamicznej analizy plików moduł Sandbox powinien realizować analizę statyczną. Moduł powinien podjąć próbę dezasemblacji kodu i analizy jego przebiegu. 8. W ramach analizy statycznej moduł Sandbox powinien realizować analizę porównawczą z posiadaną bazą bibliotek i innych zagrożeń. W razie stwierdzenia podobieństwa analizowanego kodu z biblioteką Sandbox wykryje kod jako złośliwy i to odnotuje. 9. Moduł Sandbox musi umożliwiać ręczne wgrywanie próbek do analizy. Wgrywanie próbek powinno się odbywać przez interfejs WWW lub inny zaakceptowany przez Zamawiającego.

10 10. Moduł po analizie plików zwraca reputację pliku oraz przesyła tą informację do lokalnej chmury reputacyjnej. 11. Po analizie i wykryciu zagrożenia wyniki powinne być przedstawione jako: 11.1 Operacje wykonane na zasobach dyskowych, 11.2 Operacje wykonane w rejestrze, 11.3 Operacje sieciowe Opis i sygnatury wszystkich procesów tworzonych przez badany plik 12. W module Sandbox powinna być dostępna opcja panelu prezentującego podstawowe informacje dotyczące stanu tego systemu, ilości obecnie analizowanych próbek. 13. Zarządzanie powinno odbywać się z poziomu konsoli zarządzającej. 14. Rozwiązanie musi być oferowane jako appliance sprzętowy dostosowany do szafy rack. 15. Wykonawca zapewnia wszystkie licencje niezbędne do prawidłowego działania całego modułu Sandbox. 16. Moduł Sandbox umożliwia integrację z pozostałymi modułami wymaganymi przez Zamawiającego. 17. Moduł kontroli antywirusowej musi mieć możliwość współpracy z dedykowaną, komercyjną platformą (sprzętową lub wirtualną) lub usługą w chmurze typu Sandbox w celu rozpoznawania nieznanych dotąd zagrożeń). VIII. Analiza przedwdrożeniowa. 1. Wykonawca potwierdzi analizę aktualnej infrastruktury Zamawiającego w zakresie: 1.1. Licencji, serwerów, użytkowników i stacji roboczych, 1.2. Konieczności odinstalowania lub aktualizacji oprogramowania obecnie wykorzystywanego przez Zamawiającego, 2. Wykonawca określi sposób instalacji poszczególnych komponentów systemu. 3. Wykonawca określi minimalne wymagania sprzętowe infrastruktury serwerowej wraz z określeniem minimalnej przepustowości łącz sieciowych. 4. Analiza przedwdrożeniowa zostanie zakończona Projektem Technicznym, który będzie zweryfikowany i zaakceptowany przez Zamawiającego. IX. Usługi wdrożeniowe. 1. W ramach usług wdrożenia Wykonawca wykona między innymi następujące czynności: 1.1. Instalacja, konfiguracja oraz uruchomienie sprzętu i oprogramowania w środowisku Zamawiającego Wykonanie testów technologicznych wykazujących poprawność wdrożenia i funkcjonowania każdego ze składników dostarczanego rozwiązania (po zakończeniu każdego z testów Wykonawca dostarczy raport z ich wykonania) 1.3. Przygotowanie procedur obsługi awarii, incydentów, kopii zapasowych, administrowania i innych wskazanych przez Zamawiającego, zgodnych z funkcjonującym Systemem Zarządzania Bezpieczeństwem Informacji Wykonanie dokumentacji powdrożeniowej obejmującej między innymi: Dokładny opis zastosowanych produktów i rozwiązań (łącznie z opisem numerów seryjnych, kluczy, licencji itp.), Dokładny opis infrastruktury technicznej,

11 Dokładny opis struktury i konfiguracji oprogramowania (w tym pliki konfiguracyjne, skrypty itp.), Zalecenia w zakresie konserwacji i przeglądu dostarczonych systemów, Procedury niezbędne do obsługi i administrowania systemami (Dokumentację Administratora Systemu, użytkownika systemu) Wykonanie testów technologicznych wykazujących poprawność wdrożenia każdego ze składników dostarczanego rozwiązania (po zakończeniu każdego z testów Wykonawca dostarczy raport z ich wykonania). 2. Usługi instalacyjno-wdrożeniowe zostaną wykonane przez Wykonawcę zgodnie z zaproponowanym przez Wykonawcę i zaakceptowanym przez Zamawiającego Projektem Technicznym. 3. Kryterium poprawności wykonania usług wdrożenia jest nie wykazujące wad, prawidłowe działanie dostarczonych systemów w środowisku Zamawiającego, potwierdzone ww. testami oraz przekazanie Zamawiającemu kompletu dokumentacji. X. Usługi Szkoleniowe. Zamawiający w ramach wdrożenia i przeszkolenia z zakresu dostarczanych rozwiązań, wymaga przeprowadzenia 3 dniowych warsztatów szkoleniowych, trwających 8 godzin każde: 1. Wykonawca przeprowadzi szkolenia w formie warsztatów dla maksymalnie 15 pracowników Zamawiającego w zakresie obsługi podstawowej, zaawansowanej i utrzymania dostarczanego rozwiązania. 2. Warsztaty szkoleniowe z zakresu dostarczanego rozwiązania odbędą się w terminie wskazanym przez Zamawiającego. 3. W ramach warsztatów szkoleniowych Wykonawca zapewni każdemu uczestnikowi materiały szkoleniowe w języku polskim.. 4. Szkolenia odbędą się w języku polskim i będą prowadzone przez osoby będące trenerami producenta lub wykonawcy, posiadającymi kwalifikacje i umiejętności, potwierdzone certyfikatem producenta dostarczanych rozwiązań. 5. Szkolenia będą prowadzone w siedzibie i środowisku Zamawiającego lub innym miejscu uzgodnionym z Zamawiającym. Jeśli decyzją Wykonawcy szkolenia odbędą się poza siedzibą Zamawiającego, Wykonawca pokryje wszystkie koszty związane z organizacją i przebiegiem szkolenia, w tym w szczególności zakwaterowania, materiałów i wyżywienia. 6. Szkolenia mają umożliwić uczestnikom nabycie umiejętności pracy (w tym także administrowania) z systemami dostarczonymi przez Wykonawcę. XI. Usługa wsparcia technicznego 1. Wykonawca zapewni dla wdrażanego rozwiązania wsparcie techniczne od początku usługi wdrożenia, nie krócej jednak niż na okres 12 miesięcy od dnia podpisania przez strony bezusterkowego protokołu odbioru. 2. Wsparcie Zamawiającego w przy konfiguracji i instalacji oprogramowania na serwerach, stacjach roboczych i urządzeniach przenośnych. 3. System musi być objęty wsparciem serwisowym świadczonym w siedzibie Zamawiającego w Dni Robocze w godzinach 7:00-17:00 z maksymalnie 2 godzinnym

12 czasem podjęcia zgłoszenia. Naprawa powinna być zrealizowana w czasie do 3 dni roboczych. 4. Wsparcie techniczne obejmować będzie także: 4.1. Nieodpłatne udostępnienie Zamawiającemu nowych wersji oprogramowania w tym wszelkich poprawek, rozszerzeń i aktualizacji wraz z chwilą ich publikacji 4.2. Nieodpłatny dostęp do witryn internetowych pomocy technicznych producentów dostarczanych rozwiązań, 4.3. Niezwłoczne udzielanie odpowiedzi Zamawiającemu na pytania dotyczące aspektów operacyjnych i technicznych, 4.4. Zapewnienia stałego dostępu do najnowszych wersji elektronicznych dokumentacji rozwiązania, 4.5. Zapewnienie na życzenie Zamawiającego pomocy przy aktualizacji Systemu, 4.6. Wykonanie przez Wykonawcę raz na kwartał przeglądu dostarczonych rozwiązań w ciągu całego czasu trwania umowy z zastrzeżeniem że ostatni czwarty przegląd odbędzie się w ostatnim miesiącu jej obowiązywania. Przegląd obejmie co najmniej: poprawność konfiguracji, zdarzenia w logach, aktualność wersji Systemu. Po każdym przeglądzie Wykonawca sporządzi raport z wykonanych prac i dostarczy go Zamawiającemu nie później niż w ciągu 3 Dni Roboczych od zakończenia przeglądu, 4.7. Bieżącą pomoc w eksploatacji dostarczonych rozwiązań polegającą na konsultacjach w celu identyfikacji i propozycji jego rozwiązania, 4.8. Wykonawca w ramach Czasu Reakcji na zgłoszony Błąd zobowiązuje się na przesłanie do Zamawiającego następujących informacji: data i godzina przyjęcia zgłoszenia, krótki opis problemu, dane kontaktowe osoby po stronie Wykonawcy odpowiedzialnej za obsługę serwisową.. Zamawiający dopuszcza zaproponowanie systemów i modułów wraz z centralnym systemem zarządzania pochodzących od różnych producentów pod warunkiem: - pełnej kompatybilności dostarczonych systemów i modułów zainstalowanych na stacjach roboczych, - dostarczenia oświadczeń wszystkich producentów oferowanych rozwiązań o kompatybilności z innymi dostarczonymi rozwiązaniami, a w przypadku problemów technicznych związanych z prawidłową współpracą dostarczonych systemów i modułów wzięcie pełnej odpowiedzialności za bezpłatne doprowadzenie dostarczonych systemów do stanu pełnej kompatybilności.

13 XII. Odpowiedź powinna zawierać: Lp. Nazwa Ilość Nazwa Cena Podatek Cena rynkowa łączna vat łączna produktu brutto I. Ochrona antywirusowa stacji 2000 roboczych II. Kontrola dostępu do stron 2000 internetowych III. Ochrona antywirusowa 200 serwerów IV. Centralna konsola administracyjna V. Ochrona przed wyciekiem 2000 informacji (DLP) VI. Ochronę poczty ( Security Gateway) VII. Moduł Sandbox VIII. Analiza przedwdrożeniowa IX. Usługa wdrożeniowa X. Usługa szkoleniowa 20 XI. Usługa wsparcia technicznego Nadesłana informacja powinna wskazywać łączny koszt potencjalnego zamówienia, uwzględniający w wyodrębnionych pozycjach informacje zamieszczone w tabeli. Termin składania informacji upływa w dniu r. Odpowiedź proszę przesłać w formie na adres: it@intercity.pl. PKP INTERCITY S.A. zastrzega, że niniejsze zapytanie nie stanowi elementu jakiegokolwiek postępowania o udzielenie zamówienia, wobec czego PKP INTERCITY S.A.

14 nie jest zobligowane do wyboru którejkolwiek oferty. Niniejsze pismo nie stanowi również oferty w rozumieniu Kodeksu Cywilnego.