Przedmiotem zamówienia jest zaprojektowanie i wdrożenie systemu zdalnego, bezpiecznego dostępu do zasobów wewnętrznej sieci teleinformatycznej z poziomu urządzeń typu notebook. Wymagania dla systemu: 1. System powinien pozwalać na bezpieczne korzystanie z aplikacji firmowych poza centralą jak i wewnątrz sieci Zamawiającego. 2. System powinien umożliwić połączenie VPN do wewnętrznej domeny AD Zamawiającego za pomocą pojedynczego logowania (SSO), przy wykorzystaniu certyfikatu na karcie inteligentnej. 3. Wykonawca dostarczy wszelkie wymagane licencje dla 100 użytkowników. 4. Wykonawca może wykorzystać posiadane przez Zamawiającego tokeny Safenet etoken NG-OTP 72k (java). W przypadku braku możliwości wykorzystania tokenów zamawiającego, Wykonawca dostarczy 100 tokenów USB. 5. Tokeny muszą umożliwić logowanie do domeny AD zarówno w sieci Zamawiającego jak i podczas pracy zdalnej. 6. System powinien wykorzystywać używane obecnie urządzenie typu firewall/vpn firmy Palo Alto. 7. System powinien zapewniać funkcjonalność NAC przy dostępie do VPN oraz przy połączeniu lokalnym. 8. System powinien zabraniać bezpośredniego dostępu do Internetu podczas połączenia VPN z systemami centralnymi. 9. System powinien korzystać z obecnie używanej usługi Active Directory do zarządzania uprawnieniami użytkowników zdalnych. 10. System powinien posiadać maksymalne możliwe środki ochrony informacji, jednocześnie nie wpływając w znaczący sposób na komfort pracy użytkowników. 11. Architektura systemu powinna umożliwiać szyfrowanie dysków wraz z możliwością odzyskania kluczy. 12. System powinien zapewniać zarządzanie czasem życia certyfikatu, oraz umożliwiać generowanie powiadomień mailowych dla użytkowników, informujących o zbliżającej się dacie wygaśnięcia certyfikatów. 1
13. Bezpieczeństwo systemu powinno opierać się na systemie PKI, z uwzględnieniem wykorzystania eksploatowanego przez Zamawiającego serwera Root CA firmy Microsoft. 14. Budowane na potrzeby nowego systemu CA powinno współpracować z posiadanym przez zamawiającego urządzeniem typu Network HSM. 15. System powinien zapewnić możliwość zdalnego odblokowania zablokowanych tokenów użytkowników. 16. System powinien zapewnić możliwość zdalnej recertyfikacji certyfikatów użytkowników. 17. System powinien posiadać możliwość zdalnego odzyskania kluczy szyfrujących w przypadku zniszczenia lub utraty tokenu. 18. System powinien umożliwić pobranie online" starych lub utraconych kluczy szyfrujących, podczas próby odszyfrowania starych wiadomości w programie MS Outlook. 19. Wykonawca zapewni min. 3 letnie wsparcie powdrożeniowe. Wsparcie będzie liczone od daty podpisania protokołu odbioru systemu. 20. Wykonawca zobowiązany jest do przygotowania i przekazania Zamawiającemu kompletu dokumentacji oraz przygotowania i przećwiczenia procedur operacyjnych po wdrożeniu systemu. Dokumentacja powinna składać się m.in. z: 20.1. Dokumentacji projektowej: 20.2. Analizę bieżącego systemu w zakresie niezbędnym do aktualizacji, 20.3. Projekt techniczny szczegółowa konfiguracja systemu docelowego, 20.4. Plan prac wdrożeniowych lub migracyjnych wraz z harmonogramem, 20.5. Scenariusze i procedury testowe. 20.6. Dokumentacja powdrożeniowa: 20.7. Finalna konfiguracja systemu, 20.8. Szczegółowy harmonogram testów wraz z wnioskami po testach, 20.9. Napotkane problemy podczas wdrożenia i sposób ich rozwiązania, 20.10. W odrębnym punkcie wszystkie niestandardowe ustawienia systemu lub zastosowane obejścia, 20.11. Wszystkie skrypty lub procesy automatyzujące pracę systemu wraz z celem, opisem działania i harmonogramem uruchomień. 20.12. Procedury operacyjne: 20.13. Procedury sprawdzania dostępności systemu 20.14. Procedury backupu systemu 20.15. Szczegółowa procedura wykonywania kopii bezpieczeństwa z 2
wykorzystaniem oprogramowania będącego w posiadaniu Zamawiającego. 20.16. Szczegółowa procedura sprawdzania poprawności wykonania backupu 20.17. Sugerowany schemat i harmonogram backupu 20.18. Procedury odtworzenia poszczególnych elementów systemu: 20.19. Szczegółowe procedury utrzymaniowe systemu dla administratorów. Poziom szczegółowości powinien umożliwiać zdiagnozowanie gdzie dokładnie jest problem, bez opisu wszystkich możliwych scenariuszy jego naprawy: 20.20. Schemat powiązań systemu z innymi systemami (wraz z infrastrukturą techniczną) 20.21. Spisy zawierający sugerowane utrzymaniowe czynności administracyjne dla danego systemu wraz z ich interwałami czasowymi, np.: 20.22. Częstotliwość kontroli poprawności backupu, 20.23. Opis zawartości logów (kody i opisy błędów pojawiających się w logach dotyczących systemu), 20.24. Lista elementów (serwisy, logi, liczniki wydajności) do monitorowania systemu oraz ich wartości progowe, ostrzegawcze, krytyczne. 20.25. Szczegółowe procedury monitorowania systemu 20.26. Szczegółowe procedury konfiguracji poszczególnych komponentów systemu krok po kroku. 21. Wykonawca przystąpi do wdrożenia systemu zgodnie z przygotowanym projektem, zaakceptowanym przez Zamawiającego, we współpracy z przedstawicielami zamawiającego. 22. Wszystkie produkty wykorzystane do budowy systemu będą dostarczone Zamawiającemu wraz z wymaganymi licencjami zapewniającymi wykorzystanie pełnej funkcjonalności bez ograniczenia czasowego. 20. Wykonawca zapewni usługę rozwoju wdrożonego rozwiązania. W ramach usługi, Zamawiający będzie miał do dyspozycji 1000 osobogodzin do wykorzystania w okresie trzech lat od daty podpisania protokołu odbioru systemu. Płatność będzie dokonywana za wykorzystane osobogodziny na podstawie wystawionej faktury wraz z protokołem odbioru zamówionej usługi podpisanym przez zamawiajcego. 21. Wymagane jest przeprowadzenie 5-dniowych warsztatów w zakresie administracji i konfiguracji systemu (warsztaty przeprowadzi trener autoryzowany przez producenta oferowanego rozwiązania), dla 7-u osób wskazanych przez Zamawiającego. Warsztaty muszą być przeprowadzone w języku polskim w ośrodku szkoleniowym na terenie Warszawy. 3
OPIS WARUNKÓW UDZIAŁU W POSTĘPOWANIU ORAZ SPOSOBU DOKONYWANIA OCENY SPEŁNIENIA WARUNKÓW UDZIAŁU W POSTĘPOWANIU 1. Posiadanie przez Wykonawcę wiedzy i doświadczenia. Zamawiający uzna za spełniony warunek posiadania wiedzy i doświadczenia w przypadku, gdy Wykonawca wykaże, iż w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie: 1.1 wykonał i wdrożył minimum 1 system wykorzystujący oprogramowanie szyfrujące, dla potrzeb co najmniej 50 użytkowników, 1.2 zaprojektował, wykonał i wdrożył minimum 1 system infrastruktury klucza publicznego (PKI) dla co najmniej 50 użytkowników, Wymagane jest potwierdzanie powyższych wymogów doświadczenia, referencjami lub poświadczeniami o ich należytym wykonaniu. 2. Dysponowanie przez Wykonawcę odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia. Zamawiający uzna za spełniony warunek dysponowania odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia, które będą uczestniczyć w wykonywaniu zamówienia, jeżeli Wykonawca wykaże, że dysponuje co najmniej nw. 2.1. Kierownikiem Projektu (jedna osoba): a) w ciągu ostatnich 5 lat brał udział w charakterze kierownika projektu w realizacji co najmniej 3 projektów zaprojektowania i wdrożenia systemu teleinformatycznego; b) posiada znajomość metodyk zarządzania projektami potwierdzoną posiadaniem aktualnego certyfikatu Prince2 Foundation lub aktualnym certyfikatem PMP (Project Management Professional) lub równoważnym, wydanym przez uprawniony podmiot na podstawie 4
zdanego egzaminu. Jako równoważne Zamawiający uzna aktualne certyfikaty potwierdzające wiedzę w zakresie właściwym dla wskazanego certyfikatu Jako równoważne Zamawiający uzna w szczególności certyfikaty przyznawane przez Project Management Institute (PMI) co najmniej na poziomie Project Management Professional (PMP) lub certyfikaty nadawane przez International Project Management Association (IPMA) co najmniej na poziomie C. 3.2 Inżynier ds. wdrożenia i utrzymania (jedna osoba): a) w ciągu ostatnich 5 lat brał udział w charakterze Inżynier ds. wdrożenia i utrzymania w realizacji co najmniej 3 projektów zaprojektowania i wdrożenia systemu teleinformatycznego; b) posiada znajomość technologii PKI jaka będzie wykorzystana w projekcie potwierdzoną posiadaniem aktualnego certyfikatu. 3.3 Audytora - specjalista bezpieczeństwa (1 osoba): a) w ciągu ostatnich 5 lat brał udział w realizacji co najmniej 2 projektów zaprojektowania systemu i 1 projektu wdrożenia systemu teleinformatycznego; b) posiada wiedzę ekspercka z zakresu bezpieczeństwa informacji potwierdzoną certyfikatem aktualnego certyfikatu CISSP lub CISA lub CISM lub równoważnego, posiada co najmniej 5 lat doświadczenia zawodowego zakresie projektowania i budowania rozwiązań bezpieczeństwa na potrzeby administracji publicznej, poświadczone uczestniczeniem w tym okresie w 1 projekcie, którego celem było dostarczenie rozwiązań bezpieczeństwa; c) pełnił rolę eksperta ds. bezpieczeństwa i uczestniczył we wdrożeniu wymagań dla systemu zarządzania bezpieczeństwem informacji wg normy PN-ISO/IEC 27001 w zakresie utrzymania systemów i posiada ważny certyfikat Audytora Wiodącego normy PN-ISO/IEC 27001 wydany przez organizację certyfikującą akredytowaną przez IRCA). 3.4 Konsultant techniczny (jedna osoba): 5
a) w ciągu ostatnich 5 lat brał udział w przynajmniej 1 projekcie dot. audytu bezpieczeństwa teleinformatycznego i w przynajmniej 1 projekcie jako ekspert ds. wdrożenia i utrzymania systemu teleinformatycznego dla minimum 50 użytkowników; b) Posiada certyfikat CISSP* lub CEH; c) Posiada wiedzę z zakresu systemów operacyjnych i narzędziowych (baz danych, serwerów aplikacyjnych, serwerów WWW, narzędzi integracyjnych, zabezpieczeń) oraz urządzeń sieciowych wraz z umiejętnością ich konfiguracji; d) Posiada 5 letnie doświadczenie w zakresie projektowania i wdrażania systemów zapewnienia ciągłości funkcjonowania (synchronizowanie i przełączanie ośrodków przetwarzania, systemy backupu, systemy do odtwarzania po awarii, rozwiązania o wysokiej niezawodności i dostępności); e) Posiada doświadczenie w opracowaniu Planu Ciągłości Działania. TERMIN WYKONANIA ZAMÓWIENIA 1. Realizacja zamówienia nastąpi po zawarciu umowy. 2. Przedmiot zamówienia wykonany ma być nie później niż 30 dni roboczych od dnia podpisania umowy. 6