Zamawiający: Al. Solidarności 127 00-898 Warszawa PRZETARG NIEOGRANICZONY na: upgrade urządzenia firewall Fortigate FG-620B, dostawę urządzenia firewall Fortigate FG-300C oraz urządzenia firewall Fortigate FG-200B wraz z aktualnymi oprogramowaniami i konfiguracją, a także aktualizację oprogramowania w urządzeniu FortiAnalizer 1000C wraz konfiguracją, wsparcie techniczne oraz szkolenie z obsługi przedmiotowych urządzeń ZP/OI/54/12 SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA Zgodnie z przepisami ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (tekst jednolity: Dz. U. z 2010 r. Nr 113, poz. 759 z późn. zm.) WARSZAWA GRUDZIEŃ 2012 R.
SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA (SIWZ) ROZDZIAŁ I. INFORMACJE WSTĘPNE 1. Zamawiający: Adres: 00-898 Warszawa, Al. Solidarności 127 Godziny urzędowania od poniedziałku do piątku od godz. 8.00 do godz. 16.00 NIP: 527-20-26-252, Regon: 000324694 www.warszawa.so.gov.pl 2. Postępowanie prowadzi: Oddział Finansowy Sądu Okręgowego w Warszawie Adres: 00-898 Warszawa, Al. Solidarności 127, pokój nr 580 Telefon: 22 440-42-12, Fax: 22 440-50-42 e-mail: rzp@warszawa.so.gov.pl Postępowanie, którego dotyczy niniejszy dokument oznaczone jest znakiem: ZP/OI/54/12 Wykonawcy we wszelkich kontaktach z zamawiającym powinni powoływać się na ten znak. 3. Tryb postępowania 1) Postępowanie o udzielenie zamówienia publicznego prowadzone jest w trybie przetargu nieograniczonego, zgodnie z ustawą z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (tekst jednolity: Dz. U. z 2010 r. Nr 113, poz. 759 z późn. zm.), zwaną dalej ustawą, o wartości szacunkowej zamówienia nieprzekraczającej wyrażonej w złotych równowartości kwoty 130.000 euro. 2) W kwestiach nieuregulowanych w specyfikacji istotnych warunków zamówienia zastosowanie mają przepisy powyższej ustawy oraz przepisy aktów wykonawczych do niej. 4. Informacje ogólne 1) Wszelką pisemną korespondencję do zamawiającego związaną z niniejszym postępowaniem należy kierować na adres: Oddział Finansowy Sądu Okręgowego w Warszawie, Al. Solidarności 127, 00 898 Warszawa, pok. 580. 2) Porozumiewanie się zamawiającego z wykonawcami odbywa się drogą pisemną z dopuszczeniem możliwości przekazywania wniosków, zawiadomień i informacji za pomocą faxu nr 22 440 50 42 lub drogą elektroniczną na adres e-mail: rzp@warszawa.so.gov.pl, przy czym dla swojej ważności ten sposób korespondencji wymaga dotarcia treści pisma do zamawiającego przed upływem terminu. 3) Jeżeli zamawiający lub wykonawca przekazują wnioski, zawiadomienia oraz informacje drogą elektroniczną lub faxem, każda ze stron na żądanie drugiej niezwłocznie potwierdza fakt ich otrzymania. 4) W ramach niniejszego postępowania wszelka korespondencja prowadzona jest w języku polskim. 5) Osobą upoważnioną do bezpośredniego kontaktu z wykonawcami ze strony zamawiającego jest Pani Marta Bicz. ROZDZIAŁ II. PRZEDMIOT I TERMIN REALIZACJI ZAMÓWIENIA 1) Przedmiotem zamówienia jest upgrade urządzenia firewall Fortigate FG-620B, dostawa urządzenia firewall Fortigate FG-300C oraz urządzenia firewall Fortigate FG-200B wraz z aktualnymi oprogramowaniami i konfiguracją, a także aktualizację oprogramowania w urządzeniu FortiAnalizer 1000C wraz konfiguracją, wsparcie techniczne oraz szkolenie z obsługi przedmiotowych urządzeń. Zamówienie numer ZP/OI/54/12 Strona 2 z 38
2) Miejsce realizacji przedmiotu zamówienia: - w zakresie upgrade urządzenia firewall Fortigate FG-620B wraz z aktualizacją i konfiguracją oraz w zakresie aktualizacji oprogramowania w urządzeniu FortiAnalizer 1000C wraz z konfiguracją przy Al. Solidarności 127 w Warszawie; - w zakresie dostawy urządzenia firewall Fortigate FG-300C oraz urządzenia firewall Fortigate FG-200B wraz z aktualnymi oprogramowaniami i konfiguracją Sąd Okręgowy przy ul. Czerniakowskiej 100 w Warszawie, z tym, że urządzenie firewall Fortigate FG-200B z przeznaczeniem dla Sądu Rejonowego m.st. Warszawy na współ-wykorzystanie dla Punktu Przyjmowania Ogłoszeń. 3) Szczegółowy opis przedmiotu zamówienia określony został w Załączniku Nr 1 do SIWZ. 4) Przedmiot zamówienia będzie realizowany zgodnie z postanowieniami projektu umowy, stanowiącego Załącznik Nr 4 do SIWZ. 5) Zamawiający nie przewiduje udzielenia wykonawcy zamówień uzupełniających. 6) Zamawiający nie dopuszcza składania ofert częściowych ani wariantowych. 7) Zamawiający nie przewiduje przeprowadzenia aukcji elektronicznej. 8) Zamawiający dopuszcza możliwość udziału podwykonawców w realizacji niniejszego zamówienia. W takim przypadku wykonawca ma obowiązek wskazać w ofercie, czy powierzy wykonanie zamówienia podwykonawcom i w jakim zakresie. 9) Przedmiot zamówienia zgodnie ze Wspólnym Słownikiem Zamówień - kod CPV: 48730000-4 - pakiety oprogramowania zabezpieczającego, 48732000-8 - pakiety oprogramowania do zabezpieczenia danych, 72260000-5 - usługi w zakresie oprogramowania, 32570000-9 - urządzenia łączności, 72611000-6 - usługi w zakresie wsparcia technicznego, 72700000-7 - usługi w zakresie sieci komputerowej. 2. Wymagany termin realizacji zamówienia: Termin realizacji zamówienia: w terminie do 7 dni od dnia zawarcia umowy. ROZDZIAŁ III. OPIS SPOSOBU PRZYGOTOWANIA OFERTY 1. Informacje ogólne 1) Każdy wykonawca może złożyć tylko jedną ofertę. Złożenie większej liczby ofert lub oferty wariantowej spowoduje odrzucenie wszystkich ofert złożonych przez danego wykonawcę. 2) Oferta musi obejmować cały przedmiot części zamówienia, na którą wykonawca składa ofertę. 3) Wszelkie koszty związane z przygotowaniem oraz dostarczeniem oferty ponosi wykonawca. 2. Wymagania formalne dotyczące oferty 1) Ofertę można złożyć jedynie w formie pisemnej przy użyciu nośnika pisma nieulegającego usunięciu bez pozostawienia śladów. 2) Oferta wraz z załącznikami musi być przygotowana w języku polskim. 3) Dokumenty sporządzone w języku obcym należy złożyć wraz z ich tłumaczeniem na język polski, poświadczonym za zgodność z oryginałem przez wykonawcę. 4) Każda podpisana strona oferty musi być podpisana przez wykonawcę (podpis i pieczątka imienna lub czytelny podpis). Również wszystkie załączniki do oferty (każda zapisana strona) stanowiące oświadczenia wykonawcy, a także wszelkie miejsca, w których wykonawca naniósł zmiany, muszą być podpisane przez wykonawcę i dodatkowo opatrzone datą dokonania poprawki. 5) W przypadku, gdy wykonawcę reprezentuje pełnomocnik, do oferty musi być załączone pełnomocnictwo w oryginale określające jego zakres lub notarialnie poświadczona kopia. 6) Dla celów porządkowych, wszystkie strony oferty należy kolejno ponumerować i uzyskaną liczbę wpisać do formularza oferty. Wszystkie strony oferty powinny być spięte lub zszyte w sposób zabezpieczający przed jej dekompletacją. 3. Zawartość merytoryczna oferty 1) Oferta powinna być sporządzona na formularzu ofertowym stanowiącym Załącznik Nr 2 do specyfikacji istotnych warunków zamówienia, w oparciu o szczegółowy opis przedmiotu Zamówienie numer ZP/OI/54/12 Strona 3 z 38
zamówienia, stanowiący Załącznik Nr 1 do SIWZ i zawierać cenę ofertową wykonania całego przedmiotu zamówienia, w oparciu o ceny jednostkowe za poszczególne elementy przedmiotu zamówienia, z uwzględnieniem warunków określonych w projekcie umowy, stanowiącym Załącznik Nr 4 do specyfikacji istotnych warunków zamówienia. W ofercie należy wskazać modele oraz producenta oferowanych urządzeń. 2) Do oferty należy dołączyć aktualne dokumenty wymagane w Rozdziale IV ust. 3 i ust. 4 specyfikacji istotnych warunków zamówienia. 4. Sposób opakowania i dostarczenia oferty 1) Ofertę (formularz oferty wraz z wymaganymi załącznikami) należy składać w nieprzejrzystym i zamkniętym opakowaniu. Opakowanie powinno być odpowiednio zabezpieczone w sposób uniemożliwiający bezśladowe otworzenie (np. podpisane na wszystkich połączeniach). 2) Opakowanie powinno być zaadresowane do zamawiającego na adres: Oddział Finansowy 00-898 Warszawa, Al. Solidarności 127, pok. 580 z dopiskiem: Upgrade urządzenia firewall Fortigate FG-620B wraz z aktualizacją i konfiguracją, dostawa urządzenia firewall Fortigate FG-300C oraz urządzenia firewall Fortigate FG-200B wraz z aktualnymi oprogramowaniami i konfiguracją, a także aktualizacja oprogramowania w urządzeniu FortiAnalizer 1000C wraz konfiguracją, wsparcie techniczne oraz szkolenie z obsługi przedmiotowych urządzeń. numer zamówienia ZP/OI/54/12 Nie otwierać przed dniem 12 grudnia 2012 roku, godz. 9.30. 3) Opakowanie powinno być opatrzone pełną nazwą i dokładnym adresem wykonawcy składającego daną ofertę (ulica, numer lokalu, miejscowość, numer kodu pocztowego). 4) Zmiana lub wycofanie oferty dokonane przez wykonawcę przed upływem terminu do składania ofert są skuteczne, przy czym: a) zmiany dotyczące treści oferty powinny być przygotowane, opakowane i zaadresowane w ten sam sposób co oferta. Ponadto opakowanie, w którym jest przekazywana zmieniona oferta należy opatrzyć napisem ZMIANA ; b) powiadomienie o wycofaniu oferty powinno być opakowane i zaadresowane w ten sam sposób co oferta. Ponadto opakowanie, w którym jest przekazywane to powiadomienie należy opatrzyć napisem WYCOFANIE. ROZDZIAŁ IV. WARUNKI UDZIAŁU W POSTĘPOWANIU, BRAK PODSTAW DO WYKLUCZENIA ORAZ SPOSÓB DOKONYWANIA OCENY SPEŁNIANIA WARUNKÓW 1. Warunki udziału w postępowaniu 1) O udzielenie zamówienia ubiegać się mogą wykonawcy, którzy spełniają warunki dotyczące: a) posiadania uprawnień do wykonywania określonej działalności lub czynności, jeżeli ustawy nakładają obowiązek ich posiadania, b) posiadania wiedzy i doświadczenia, c) dysponowania odpowiednim potencjałem technicznym oraz osobami zdolnymi do wykonania zamówienia, tj. zamawiający uzna powyższy warunek za spełniony, jeżeli wykonawca wykaże, że dysponuje co najmniej 2 osobami, które odbyły szkolenie w zakresie instalacji i konfiguracji wszystkich funkcjonalności urządzeń producenta firewall, tj. Forti Net lub w przypadku zaoferowania urządzeń równoważnych wykaże, że odbyły szkolenie w zakresie instalacji i konfiguracji wszystkich funkcjonalności urządzeń producenta, którego wykonawca oferuje urządzenia, potwierdzone aktualnym certyfikatem przebytego szkolenia oraz posiadające co najmniej 2-letnie doświadczenie w zakresie instalacji i konfiguracji wszystkich funkcjonalności urządzeń firewall lub równoważnych; d) sytuacji ekonomicznej i finansowej. Zamówienie numer ZP/OI/54/12 Strona 4 z 38
2) Ocena spełniania warunków udziału w postępowaniu będzie dokonywana na zasadzie: spełniania/niespełniania, na podstawie złożonych dokumentów lub oświadczeń wymaganych w postępowaniu. 2. Brak podstaw do wykluczenia O udzielenie zamówienia ubiegać się mogą wykonawcy, wobec których brak jest podstaw do wykluczenia z postępowania o udzielenie zamówienia z powodu niespełniania warunków, o których mowa w art. 24 ust. 1 ustawy. 3. Oświadczenia i dokumenty potwierdzające spełnianie warunków udziału w postępowaniu, o których mowa w art. 22 ust. 1 ustawy oraz brak podstaw do wykluczenia wykonawcy z powodu niespełniania warunków, o których mowa w art. 24 ust. 1 ustawy. 1) W celu potwierdzenia spełniania opisanych warunków oraz braku podstaw do wykluczenia z postępowania, wykonawca zobowiązany jest do dołączenia do oferty wskazanych poniżej dokumentów: a) aktualnego odpisu z właściwego rejestru, jeżeli odrębne przepisy wymagają wpisu do rejestru wystawionego nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert, a w stosunku do osób fizycznych oświadczenia w zakresie art. 24 ust. 1 pkt 2 ustawy, na formularzu stanowiącym Załącznik Nr 3b do specyfikacji istotnych warunków zamówienia; b) wykazu osób, które będą uczestniczyć w wykonywaniu zamówienia, wraz z informacjami na temat ich kwalifikacji i doświadczenia niezbędnych do wykonania zamówienia, numeru oraz daty ważności aktualnego certyfikatu oraz informacją o podstawie do dysponowania tymi osobami, na formularzu stanowiącym Załącznik Nr 5 do specyfikacji istotnych warunków zamówienia, potwierdzającego spełnianie warunku określonego w ust. 1 pkt 1 lit. c; c) oświadczenia o spełnianiu warunków udziału w postępowaniu na formularzu stanowiącym Załącznik Nr 3a do SIWZ; d) oświadczenia o niepodleganiu wykluczeniu z postępowania o udzielenie zamówienia publicznego na formularzu stanowiącym Załącznik Nr 3b do SIWZ. 2) Wszystkie dokumenty muszą być złożone w formie oryginału lub w formie kopii poświadczonej za zgodność z oryginałem przez wykonawcę (każda zapisana strona), z wyjątkiem oświadczenia o spełnianiu warunków udziału w postępowaniu, które musi być złożone w formie oryginału. W przypadku wykonawców wspólnie ubiegających się o udzielenie zamówienia kopie dokumentów dotyczących odpowiednio wykonawcy lub tych podmiotów są poświadczane za zgodność z oryginałem przez wykonawcę lub te podmioty. 4. Warunki dotyczące przedmiotu zamówienia W przypadku oferowania urządzeń równoważnych w celu potwierdzenia, że oferowane dostawy odpowiadają wymaganiom określonym przez zamawiającego, zamawiający wymaga załączenia do oferty Wykazu parametrów technicznych oferowanych urządzeń, na formularzu którego wzór stanowi Załącznik Nr 4 do SIWZ. 5. Wykonawcy wspólnie ubiegający się o udzielenie zamówienia Oświadczenie o spełnianiu warunków udziału w postępowaniu oraz oświadczenie o braku podstaw do wykluczenia z postępowania o udzielenie zamówienia publicznego powinno być złożone przez pełnomocnika wykonawców wspólnie ubiegających się o udzielenie zamówienia. W przypadku wykonawców wspólnie ubiegających się o udzielenie zamówienia, każdy z nich powinien wykazać, że brak jest podstaw do wykluczenia poprzez złożenie dokumentu określonego w ust. 3 pkt 1 lit. a. 6. Oferty składane przez podmioty posiadające siedzibę lub miejsce zamieszkania poza granicami kraju 1) Jeżeli wykonawca ma siedzibę lub miejsce zamieszkania poza terytorium Rzeczypospolitej Polskiej, zamiast dokumentu, o którym mowa w ust. 3 pkt 1 lit. a składa dokument lub dokumenty, wystawione w kraju, w którym ma siedzibę lub miejsce zamieszkania, potwierdzające że nie otwarto jego likwidacji, ani nie ogłoszono upadłości. 2) Dokument, o którym mowa w pkt 1, powinien być wystawiony nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert. Zamówienie numer ZP/OI/54/12 Strona 5 z 38
3) Jeżeli w miejscu zamieszkania osoby lub w kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania, nie wydaje się dokumentów o którym mowa w pkt 1 zastępuje się je dokumentem zawierającym oświadczenie złożone przed notariuszem, właściwym organem sądowym, administracyjnym albo organem samorządu zawodowego lub gospodarczego, odpowiednio miejsca zamieszkania osoby lub kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania, wystawionym w terminie określonym w pkt 2. ROZDZIAŁ V. WADIUM Zamawiający nie wymaga wniesienia wadium. ROZDZIAŁ VI. OPIS SPOSOBU OBLICZENIA CENY 1) Ceny w ofercie powinny zostać wyrażone cyfrowo i słownie. 2) Ceny należy podać w złotych polskich do dwóch miejsc po przecinku. Wszelkie rozliczenia dotyczące realizacji zamówienia dokonywane będą w złotych polskich. Zamawiający nie przewiduje możliwości dokonywania rozliczeń z wykonawcą w walutach obcych. 3) Cena oferty powinna obejmować wszystkie koszty związane z wykonaniem zamówienia wynikające wprost z załączonego szczegółowego opisu przedmiotu zamówienia, jak również w nim nieujęte, a bez których nie można zrealizować przedmiotu zamówienia. W cenie oferty należy uwzględnić warunki realizacji przedmiotu zamówienia opisane w projekcie umowy (Załącznik Nr 4), w tym między innymi: koszty zakupu urządzeń, koszty 12 miesięcznych aktualizacji, koszty konfiguracji, koszty opakowań, koszty dojazdu do miejsca realizacji przedmiotu zamówienia, koszty szkolenia w zakresie obsługi i konfiguracji urządzeń, koszty wsparcia technicznego, koszty gwarancji oraz wszelkie opłaty, w tym ubezpieczenia oraz inne koszty i opłaty niewymienione, a które mogą wystąpić przy realizacji przedmiotu zamówienia, zysk, narzuty, ewentualne opusty, należny podatek VAT, oraz pozostałe składniki cenotwórcze. 4) Ceny za realizację przedmiotu zamówienia pozostaną niezmienne do końca trwania umowy. 5) Wykonawca zobowiązany jest do wyliczenia i wskazania łącznej ceny realizacji zamówienia, w oparciu o ceny jednostkowe za poszczególne elementy przedmiotu zamówienia, w okresie trwania umowy w formularzu ofertowym, stanowiącym Załącznik Nr 2 do SIWZ. ROZDZIAŁ VII. TERMINY 1. Termin związania ofertą 1) Wykonawca składający ofertę pozostaje nią związany przez okres 30 dni. 2) Bieg terminu związania ofertą rozpoczyna się wraz z upływem terminu składania ofert. 2. Termin składania i otwarcia ofert 1) Oferty należy składać w Sądzie Okręgowym w Warszawie, w Oddziale Finansowym Sądu Okręgowego w Warszawie, 00-898 Warszawa, Al. Solidarności 127, p. 580, w terminie do dnia 12 grudnia 2012 r. do godz. 9:00, pod rygorem zwrotu bez otwierania oferty złożonej po tym terminie, bez względu na przyczyny opóźnienia. 2) Dopuszczalne jest składanie ofert drogą pocztową z zastrzeżeniem, że decyduje data i godzina dostarczenia przesyłki na wskazany w pkt 1) adres zamawiającego, a nie data stempla pocztowego (nadania). 3) Otwarcie ofert odbędzie się w dniu 12 grudnia 2012 r. o godz. 9:30 w Oddziale Finansowym Sądu Okręgowego w Warszawie, Al. Solidarności 127, pok. 5103. ROZDZIAŁ VIII. KRYTERIA I SPOSÓB OCENY OFERT 1. Badanie ofert 1) Zamawiający oceni i porówna jedynie te oferty, które nie zostały odrzucone. 2) Kryterium oceny ofert jest cena ryczałtowa (waga kryterium 100 %). 3) Ocenę ostateczną stanowić będzie ilość punktów przyznanych na podstawie ilorazu ceny oferty najtańszej i ceny oferty badanej, przemnożonej przez 100. Zamówienie numer ZP/OI/54/12 Strona 6 z 38
2. Wybór oferty najkorzystniejszej Zamawiający wybierze tę ofertę, która uzyska największą liczbę punktów w kryterium wskazanym w pkt 2. ROZDZIAŁ IX. ZABEZPIECZENIE NALEŻYTEGO WYKONANIA UMOWY Zamawiający nie wymaga wniesienia zabezpieczenia należytego wykonania umowy. ROZDZIAŁ X. FORMALNOŚCI, KTÓRE POWINNY ZOSTAĆ DOPEŁNIONE PO WYBORZE OFERTY, W CELU ZAWARCIA UMOWY 1) Udział w przetargu jest jednoznaczny z przyjęciem warunków umowy zawartych w projekcie umowy, stanowiącym Załącznik Nr 4 do SIWZ. 2) Miejsce i termin podpisania umowy zostaną określone w zawiadomieniu wysłanym do wykonawcy, którego oferta została wybrana. Zamawiający zawiera umowę w sprawie zamówienia publicznego zgodnie z terminami i warunkami określonymi w art. 94 ustawy. 3) Zamawiający, w sytuacji uzasadnionej zmianą przepisów prawa, wystąpieniem okoliczności nie spowodowanych zawinionym działaniem lub zaniechaniem którejkolwiek ze stron umowy, wystąpienia zdarzeń wymuszających przerwę w realizacji umowy, niezależnych od wykonawcy i zamawiającego, przewiduje możliwość zmian istotnych postanowień zawartej umowy w stosunku do treści oferty, na podstawie której dokonano wyboru wykonawcy w zakresie: a) przedmiotu (zakresu) i sposobu realizacji umowy, b) terminu realizacji umowy, c) zmiany osób, przy pomocy których wykonawca realizuje przedmiot umowy, za uprzednią zgodą zamawiającego, d) warunków płatności. Zmiana umowy, za wyjątkiem zmiany dotyczącej osób realizujących umowę, może być dokonana za porozumieniem Stron w formie pisemnego aneksu, pod rygorem nieważności. 4) Zamawiający zastrzega sobie prawo odstąpienia od umowy lub zmniejszenia jej zakresu w przypadku nieotrzymania środków budżetowych od dysponenta właściwego stopnia, koniecznych do realizacji niniejszej umowy, w terminie 7 dni od dnia uzyskania informacji o przedmiotowej okoliczności. ROZDZIAŁ XI. ŚRODKI OCHRONY PRAWNEJ Wykonawcy, a także innemu podmiotowi, jeżeli ma lub miał interes w uzyskaniu danego zamówienia oraz poniósł lub może ponieść szkodę w wyniku naruszenia przez zamawiającego przepisów ustawy, przysługują środki ochrony prawnej przewidziane w Dziale VI ustawy do postępowań o wartości poniżej progu określonego na podstawie art. 11 ust. 8 ustawy. Załączniki do SIWZ: 1) Załącznik Nr 1 Szczegółowy opis przedmiotu zamówienia; 2) Załącznik Nr 2 Formularz Oferta przetargowa; 3) Załącznik Nr 3a Formularz oświadczenie o spełnianiu warunków udziału w postępowaniu; 4) Załącznik Nr 3b Formularz oświadczenie o niepodleganiu wykluczeniu z postępowania; 5) Załącznik Nr 4 Wykaz parametrów technicznych oferowanych urządzeń; 6) Załącznik Nr 5 Projekt umowy; 7) Załącznik Nr 6 Wykaz osób. Zamówienie numer ZP/OI/54/12 Strona 7 z 38
Załącznik Nr 1 do SIWZ Załącznik Nr 1 do umowy SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Przedmiotem zamówienia jest upgrade urządzenia firewall Fortigate FG-620B wraz z aktualizacją i konfiguracją, dostawa urządzenia firewall Fortigate FG-300C oraz urządzenia firewall Fortigate FG-200B wraz z aktualnymi oprogramowaniami i konfiguracją, a także aktualizacja oprogramowania w urządzeniu FortiAnalizer 1000C wraz konfiguracją, wsparcie techniczne oraz szkolenie z obsługi przedmiotowych urządzeń. Termin realizacji zamówienia: w terminie do 7 dni od dnia zawarcia umowy. Miejsce realizacji przedmiotu zamówienia: - w zakresie upgrade urządzenia firewall Fortigate FG-620B wraz z aktualizacją i konfiguracją oraz w zakresie aktualizacji oprogramowania w urządzeniu FortiAnalizer 1000C wraz z konfiguracją przy Al. Solidarności 127 w Warszawie; - w zakresie dostawy urządzenia firewall Fortigate FG-300C oraz urządzenia firewall Fortigate FG- 200B wraz z aktualnymi oprogramowaniami i konfiguracją Sąd Okręgowy przy ul. Czerniakowskiej 100 w Warszawie, z tym, że urządzenie firewall Fortigate FG-200B z przeznaczeniem dla Sądu Rejonowego m.st. Warszawy na współwykorzystanie dla Punktu Przyjmowania Ogłoszeń. Zamawiający informuje, iż jest posiadaczem urządzeń firmy FortiNet w związku z powyższym zaoferowane równoważne urządzenia muszą być kompatybilne ze sobą, muszą wzajemnie ze sobą współpracować, zapewniać prawidłowe ich funkcjonowanie, funkcjonalność zaoferowanych urządzeń musi być nie gorsza niż funkcjonalność urządzeń opisanych przez Zamawiającego, urządzenia muszą zapewniać korzystanie z wszystkich dostępnych funkcji. Na Wykonawcy ciąży obowiązek udokumentowania spełnienia powyższych warunków. Urządzenia muszą być dostarczane w oryginalnych, nieuszkodzonych opakowaniach zewnętrznych producenta z zabezpieczeniami stosowanymi przez producenta (np. hologramy). Oferowane przez Wykonawcę urządzenia muszą posiadać wymagane prawem normy, atesty bezpieczeństwa i certyfikaty, CE. 1. Upgrade urządzenia firewall Fortigate FG-620B (producent FortiNet) do modelu nowszego o parametrach porównywalnych lub lepszych wraz z aktualnym 12 miesięcznym oprogramowaniem, konfiguracją oraz 12 miesięcznym wsparciem technicznym. URZĄDZENIE ZABEZPIECZAJĄCE SIEĆ FortiGate 600 C LUB RÓWNOWAŻNE L.p. Parametr Wymagania techniczne 1. 2. 3. 4. Architektura systemu ochrony System operacyjny Parametry fizyczne systemu Funkcjonalnoś ci podstawowe Główne urządzenie ochronne powinno posiadać pamięć FLASH lub inną nie mechaniczną. Podstawowe funkcje systemu muszą być realizowane (akcelerowane) sprzętowo przy użyciu specjalizowanych układów ASIC. Jednocześnie, dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia technicznego ze strony dostawcy wymaga się aby wszystkie funkcje ochronne oraz zastosowane technologie, w tym system operacyjny pochodziły od jednego producenta, który udzieli odbiorcy licencji bez limitu chronionych użytkowników (licencja na urządzenie). Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenia ochronne muszą pracować w oparciu o dedykowany system operacyjny czasu rzeczywistego. Nie dopuszcza się stosowania systemów operacyjnych ogólnego przeznaczenia. Nie mniej niż 16 akcelerownych portów Ethernet 10/100/1000 Base-TX. Nie mniej niż 4 akcelerownych sprzętowo interfejsów SFP o przepustowości 1Gb Nie mniej niż 2 interfejsy zarządzające w standardzie Ethernet 10/100/1000 Base-TX. Nie mniej niż 2 pary akcelerowanych interfejsów typy bypass (Ethernet 10/100/1000 Base-TX) Obudowa ma mieć możliwość zamontowania w szafie 19. System ochrony musi obsługiwać w ramach jednego urządzenia wszystkie z poniższych funkcjonalności podstawowych: Zamówienie numer ZP/OI/54/12 Strona 8 z 38
5. 6. 7. 8. 9. 10. 11. 12. 13. i uzupełniające Zasada działania (tryby) Polityka bezpieczeństw a (firewall) Wykrywanie ataków Moduł antywirusowy Moduł antyspam Filtracja stron WWW Translacja adresów Wirtualizacja i routing dynamiczny Połączenia VPN kontrolę dostępu - zaporę ogniową klasy Stateful Inspection ochronę przed wirusami antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, IM, NNTP) poufność danych - IPSec VPN oraz SSL VPN ochronę przed atakami - Intrusion Prevention System [IPS/IDS]. oraz funkcjonalności uzupełniających: kontrolę treści i kategoryzację odwiedzanych stron WWW Web\URL Filter kontrolę zawartości poczty antyspam [AS] (dla protokołów SMTP, POP3, IMAP) kontrolę pasma oraz ruchu [QoS, Traffic shaping] kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w tym IM, P2P, VoIP, Web-mail) zapobieganie przed wyciekiem informacji poufnej - DLP (Data Leak Prevention) SSL proxy z możliwością pełniej analizy szyfrowanej komunikacji dla wybranych protokołów Urządzenie powinno dawać możliwość ustawienia jednego z dwóch trybów pracy: jako router/nat (3.warstwa ISO-OSI) lub jako most /transparent bridge/. Tryb przezroczysty umożliwia wdrożenie urządzenia bez modyfikacji topologii sieci niemal w dowolnym jej miejscu. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły i usługi sieciowe, użytkowników aplikacji, domeny, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie, zarządzanie pasmem sieci (m.in. pasma gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). Urządzenie powinno umożliwiać utworzenie nie mniej niż 100 000 polityk firewall a Wykrywanie i blokowanie technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan) i niebezpiecznych komponentów (m.in. Java/ActiveX). Ochronę sieci VPN przed atakami Replay Attack oraz limitowanie maksymalnej liczby otwartych sesji z jednego adresu IP. Nie mniej niż 4000 sygnatur ataków. Aktualizacja bazy sygnatur ma się odbywać ręcznie lub automatycznie Możliwość dodawania własnych sygnatur ataków Możliwość wykrywania anomalii protokołów i ruchu Antywirus powinien mieć możliwość transferu częściowo przeskanowanego plik do klienta w celu zapobiegnięcia przekroczenia dopuszczalnego czasu oczekiwania (timeout). Antywirus powinien przeprowadzać sprawdzanie danych zarówno po bazie sygnatur wirusów jak i heurystycznie. Zawarty moduł antyspamowy powinien pracować w obrębie protokołów SMTP, POP3 i IMAP Klasyfikacja wiadomości powinna bazować na wielu czynnikach, takich jak: sprawdzenie zdefiniowanych przez administratora adresów IP hostów, które brały udział w dostarczeniu wiadomości, sprawdzenie zdefiniowanych przez administratora adresów pocztowych, RBL, ORDBL Sprawdzenie treści pod kątem zadanych przez administratora słów kluczowych Oprócz powyższego mechanizm antyspamowy powinien umożliwiać skorzystanie z zewnętrznej, wieloczynnikowej bazy spamu. Moduł filtracji stron www powinien umożliwiać blokowanie stron w oparciu o: białe i czarne listy URL o zawarte w stronie słowa kluczowe dynamicznie definiowane przez producenta kategorie. Statyczna i dynamiczna translacja adresów (NAT). Translacja NAPT. NAT traversal dla protokołów SIP i H323 Możliwość definiowania w jednym urządzeniu bez dodatkowych licencji nie mniej niż 10 wirtualnych firewalli, gdzie każdy z nich posiada indywidualne tabele routingu, polityki bezpieczeństwa i dostęp administracyjny. Obsługa Policy Routingu w oparciu o typ protokołu, numeru portu, interfejsu, adresu IP źródłowego oraz docelowego. Protokoły routingu dynamicznego, nie mniej niż RIPv2, OSPF, BGP-4 i PIM. Wymagane nie mniej niż: Tworzenie połączeń w topologii Site-to-Site oraz Client-to-Site Dostawca musi udostępniać klienta VPN własnej produkcji realizującego następujące mechanizmy ochrony końcówki: o firewall o antywirus o web filtering o antyspam Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności Konfiguracja w oparciu o politykę bezpieczeństwa (policy based VPN) i tabele routingu (interface based VPN) Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth Zamówienie numer ZP/OI/54/12 Strona 9 z 38
14. Uwierzytelnianie użytkowników 15. Wydajność 16. 17. Funkcjonalność zapewniająca niezawodność Konfiguracja i zarządzanie 18. Raportowanie 19. Serwis oraz aktualizacje 20. Certyfikaty System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie urządzenia haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy danych Rozwiązanie powinno umożliwiać budowę logowania Single Sign On w środowisku Active Directory oraz edirectory bez dodatkowych opłat licencyjnych. Obsługa nie mniej niż 3 000 000 jednoczesnych połączeń i nie mniej 70 000 nowych połączeń na sekundę Przepływność nie mniejsza niż 16 Gb/s dla ruchu nieszyfrowanego i nie mniej niż 8 Gb/s dla VPN (3DES). Obsługa nie mniej niż 50 000 jednoczesnych tuneli VPN Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Możliwość połączenia dwóch identycznych urządzeń w klaster typu Active-Active lub Active- Passive Możliwość konfiguracji poprzez terminal i linię komend oraz konsolę graficzną (GUI). Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone poprzez szyfrowanie komunikacji. Musi być zapewniona możliwość definiowania wielu administratorów o różnych uprawnieniach. Administratorzy muszą być uwierzytelniani za pomocą: haseł statycznych haseł dynamicznych (RADIUS, RSA SecureID) System powinien umożliwiać aktualizację oprogramowania oraz zapisywanie i odtwarzanie konfiguracji z pamięci USB. Jednocześnie, dla systemu urządzenie powinna być dostępna zewnętrzna sprzętowa platforma centralnego zarządzania pochodząca od tego samego producenta. System powinien mieć możliwość współpracy z zewnętrznym, sprzętowym modułem raportowania i korelacji logów umożliwiającym: Zbieranie logów z urządzeń bezpieczeństwa Generowanie raportów Skanowanie podatności stacji w sieci Zdalną kwarantannę dla modułu antywirusowego Dostawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres [1] lat. System powinien być objęty serwisem gwarancyjnym producenta przez okres [1] lat. Dostawca musi zatrudniać minimum dwóch inżynierów posiadających aktualne certyfikaty techniczne producenta. Producent urządzeń musi posiadać certyfikat: ISO 9001, a urządzenie gwarantować UTM NSS Approved, EAL4+, ICSA Labs dla funkcji: Firewall, IPSec, SSL, Network IPS, Antywirus. Warunki wsparcia technicznego: wsparcie realizowane jest przez 8*5, 365 dni w roku, pomoc w konfiguracji wspieranych urządzeń, rekonfiguracja obecnie posiadanego systemu, rozwiązywanie bieżących problemów występujących podczas pracy z systemem, pomoc w przypadku ewentualnych ataków sieciowych, usuwanie skutków awarii systemu do 24 godzin od zgłoszenia, analiza logów systemu, pomoc w opracowaniu metodologii wdrażania nowych funkcjonalności urządzeń, pośrednictwo w kontaktach z producentem urządzeń, zgłoszenia serwisowe przyjmowane telefonicznie, przez pocztę elektroniczną oraz dedykowany portal wsparcia technicznego, czas reakcji na zgłoszenie serwisowe nie przekraczający 4 godzin, w sytuacjach gdy rozwiązanie problemu nie jest możliwe zdalnie, wizyta specjalisty w siedzibie zamawiającego, okresowe wizyty prewencyjne co dwa miesiące, realizowane w czasie dogodnym dla zamawiającego, szkolenia techniczne dla administratorów systemu w formie warsztatów, dostęp do lokalnego portalu wsparcia, oferującego informacje na temat nowych wersji oprogramowania, poprawek, FAQ etc., biuletyn informacyjny dostarczany do określonych odbiorców drogą elektroniczną. Zamówienie numer ZP/OI/54/12 Strona 10 z 38
2. Dostawa urządzenia typu firewall Foritigate FG-300C (producent FortiNet) lub równoważnego wraz z aktualnym 12 miesięcznym oprogramowaniem, konfiguracją oraz 12 miesięcznym wsparciem technicznym. URZĄDZENIE ZABEZPIECZAJĄCE SIEĆ FortiGate 300 C LUB RÓWNOWAŻNE L.p. Parametr Wymagania techniczne 1. 2. 3. 4. 5. 6. 7. 8. Architektura systemu ochrony System operacyjny Parametry fizyczne systemu Funkcjonalności podstawowe i uzupełniające Zasada działania (tryby) Polityka bezpieczeństwa (firewall) Wykrywanie ataków Moduł antywirusowy Główne urządzenie ochronne powinno posiadać pamięć FLASH lub inną nie mechaniczną. Podstawowe funkcje systemu muszą być realizowane (akcelerowane) sprzętowo przy użyciu specjalizowanych układów ASIC. Jednocześnie, dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia technicznego ze strony dostawcy wymaga się aby wszystkie funkcje ochronne oraz zastosowane technologie, w tym system operacyjny pochodziły od jednego producenta, który udzieli odbiorcy licencji bez limitu chronionych użytkowników (licencja na urządzenie). Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenia ochronne muszą pracować w oparciu o dedykowany system operacyjny czasu rzeczywistego. Nie dopuszcza się stosowania systemów operacyjnych ogólnego przeznaczenia. Nie mniej niż 8 portów Ethernet 10/100/1000 Base-TX. Obudowa ma mieć możliwość zamontowania w szafie 19. System ochrony musi obsługiwać w ramach jednego urządzenia wszystkie z poniższych funkcjonalności podstawowych: kontrolę dostępu - zaporę ogniową klasy Stateful Inspection ochronę przed wirusami antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, IM, NNTP) poufność danych - IPSec VPN oraz SSL VPN ochronę przed atakami - Intrusion Prevention System [IPS/IDS]. oraz funkcjonalności uzupełniających: kontrolę treści i kategoryzację odwiedzanych stron WWW Web\URL Filter kontrolę zawartości poczty antyspam [AS] (dla protokołów SMTP, POP3, IMAP) kontrolę pasma oraz ruchu [QoS, Traffic shaping] kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w tym IM, P2P, VoIP, Web-mail) zapobieganie przed wyciekiem informacji poufnej - DLP (Data Leak Prevention) SSL proxy z możliwością pełniej analizy szyfrowanej komunikacji dla wybranych protokołów Urządzenie powinno dawać możliwość ustawienia jednego z dwóch trybów pracy: jako router/nat (3.warstwa ISO-OSI) lub jako most /transparent bridge/. Tryb przezroczysty umożliwia wdrożenie urządzenia bez modyfikacji topologii sieci niemal w dowolnym jej miejscu. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły i usługi sieciowe, użytkowników aplikacji, domeny, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie, zarządzanie pasmem sieci (m.in. pasma gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). Urządzenie powinno umożliwiać utworzenie nie mniej niż 40.000 polityk firewall a Wykrywanie i blokowanie technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan) i niebezpiecznych komponentów (m.in. Java/ActiveX). Ochronę sieci VPN przed atakami Replay Attack oraz limitowanie maksymalnej liczby otwartych sesji z jednego adresu IP. Nie mniej niż 4000 sygnatur ataków. Aktualizacja bazy sygnatur ma się odbywać ręcznie lub automatycznie. Możliwość dodawania własnych sygnatur ataków. Możliwość wykrywania anomalii protokołów i ruchu. Antywirus powinien mieć możliwość transferu częściowo przeskanowanego plik do klienta w celu zapobiegnięcia przekroczenia dopuszczalnego czasu oczekiwania (timeout). Antywirus powinien przeprowadzać sprawdzanie danych zarówno po bazie sygnatur wirusów jak i heurystycznie. Zawarty moduł antyspamowy powinien pracować w obrębie protokołów SMTP, POP3 i IMAP Klasyfikacja wiadomości powinna bazować na wielu czynnikach, takich jak: sprawdzenie zdefiniowanych przez administratora adresów IP hostów, które brały udział w dostarczeniu wiadomości, 9. Moduł antyspam sprawdzenie zdefiniowanych przez administratora adresów pocztowych, RBL, ORDBL Sprawdzenie treści pod kątem zadanych przez administratora słów kluczowych Oprócz powyższego mechanizm antyspamowy powinien umożliwiać skorzystanie z zewnętrznej, wieloczynnikowej bazy spamu. 10. Filtracja stron Moduł filtracji stron www powinien umożliwiać blokowanie stron w oparciu o: Zamówienie numer ZP/OI/54/12 Strona 11 z 38
11. 12. WWW Translacja adresów Wirtualizacja i routing dynamiczny 13. Połączenia VPN 14. Uwierzytelnianie użytkowników 15. Wydajność 16. 17. Funkcjonalność zapewniająca niezawodność Konfiguracja i zarządzanie 18. Raportowanie 19. Serwis oraz aktualizacje 20. Certyfikaty białe i czarne listy URL o zawarte w stronie słowa kluczowe dynamicznie definiowane przez producenta kategorie. Statyczna i dynamiczna translacja adresów (NAT). Translacja NAPT. NAT traversal dla protokołów SIP i H323 Możliwość definiowania w jednym urządzeniu bez dodatkowych licencji nie mniej niż 10 wirtualnych firewalli, gdzie każdy z nich posiada indywidualne tabele routingu, polityki bezpieczeństwa i dostęp administracyjny. Obsługa Policy Routingu w oparciu o typ protokołu, numeru portu, interfejsu, adresu IP źródłowego oraz docelowego. Protokoły routingu dynamicznego, nie mniej niż RIPv2, OSPF, BGP-4 i PIM. Wymagane nie mniej niż: Tworzenie połączeń w topologii Site-to-Site oraz Client-to-Site Dostawca musi udostępniać klienta VPN własnej produkcji realizującego następujące mechanizmy ochrony końcówki: o firewall o antywirus o web filtering o antyspam Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności Konfiguracja w oparciu o politykę bezpieczeństwa (policy based VPN) i tabele routingu (interface based VPN) Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie urządzenia haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy danych Rozwiązanie powinno umożliwiać budowę logowania Single Sign On w środowisku Active Directory oraz edirectory bez dodatkowych opłat licencyjnych. Obsługa nie mniej niż 2.000.000 jednoczesnych połączeń i nie mniej niż 50.000 nowych połączeń na sekundę Przepływność nie mniejsza niż 8 Gbps dla ruchu nieszyfrowanego i 4.5 Gbps dla VPN (3DES). Obsługa nie mniej niż 10.000 jednoczesnych tuneli VPN Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Możliwość połączenia dwóch identycznych urządzeń w klaster typu Active-Active lub Active- Passive Możliwość konfiguracji poprzez terminal i linię komend oraz konsolę graficzną (GUI). Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone poprzez szyfrowanie komunikacji. Musi być zapewniona możliwość definiowania wielu administratorów o różnych uprawnieniach. Administratorzy muszą być uwierzytelniani za pomocą: haseł statycznych haseł dynamicznych (RADIUS, RSA SecureID) System powinien umożliwiać aktualizację oprogramowania oraz zapisywanie i odtwarzanie konfiguracji z pamięci USB. Jednocześnie, dla systemu urządzenie powinna być dostępna zewnętrzna sprzętowa platforma centralnego zarządzania pochodząca od tego samego producenta. System powinien mieć możliwość współpracy z zewnętrznym, sprzętowym modułem raportowania i korelacji logów umożliwiającym: Zbieranie logów z urządzeń bezpieczeństwa Generowanie raportów Skanowanie podatności stacji w sieci Zdalną kwarantannę dla modułu antywirusowego Dostawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres [1] lat. System powinien być objęty serwisem gwarancyjnym producenta przez okres [1] lat. Dostawca musi zatrudniać minimum dwóch inżynierów posiadających aktualne certyfikaty techniczne producenta. Producent urządzeń musi posiadać certyfikat: ISO 9001, a urządzenie gwarantować UTM NSS Approved, EAL4+, ICSA Labs dla funkcji: Firewall, IPSec, SSL, Network IPS, Antywirus. Warunki wsparcia technicznego: wsparcie realizowane jest przez 8*5, 365 dni w roku, pomoc w konfiguracji wspieranych urządzeń, rekonfiguracja obecnie posiadanego systemu, Zamówienie numer ZP/OI/54/12 Strona 12 z 38
rozwiązywanie bieżących problemów występujących podczas pracy z systemem, pomoc w przypadku ewentualnych ataków sieciowych, usuwanie skutków awarii systemu do 24 godzin od zgłoszenia, analiza logów systemu, pomoc w opracowaniu metodologii wdrażania nowych funkcjonalności urządzeń, pośrednictwo w kontaktach z producentem urządzeń, zgłoszenia serwisowe przyjmowane telefonicznie, przez pocztę elektroniczną oraz dedykowany portal wsparcia technicznego, czas reakcji na zgłoszenie serwisowe nie przekraczający 4 godzin, w sytuacjach gdy rozwiązanie problemu nie jest możliwe zdalnie, wizyta specjalisty w siedzibie zamawiającego, okresowe wizyty prewencyjne co dwa miesiące, realizowane w czasie dogodnym dla zamawiającego, szkolenia techniczne dla administratorów systemu w formie warsztatów, dostęp do lokalnego portalu wsparcia, oferującego informacje na temat nowych wersji oprogramowania, poprawek, FAQ etc., biuletyn informacyjny dostarczany do określonych odbiorców drogą elektroniczną. 3. Dostawa urządzenia Foritigate FG-200B lub równoważnego wraz z aktualnym 12 miesięcznym oprogramowaniem, konfiguracją oraz 12 miesięcznym wsparciem technicznym dla Sądu Rejonowego m.st. Warszawy z przeznaczeniem na współwykorzystanie dla Punktu Przyjmowania Ogłoszeń. URZĄDZENIE ZABEZPIECZAJĄCE SIEĆ FortiGate 200B LUB RÓWNOWAŻNE L.p. Parametr Wymagania techniczne 1. 2. 3. 4. 5. 6. 7. Architektura systemu ochrony System operacyjny Parametry fizyczne systemu Funkcjonalności podstawowe i uzupełniające Zasada działania (tryby) Polityka bezpieczeństwa (firewall) Wykrywanie ataków Główne urządzenie ochronne powinno posiadać pamięć FLASH lub inną nie mechaniczną. Podstawowe funkcje systemu muszą być realizowane (akcelerowane) sprzętowo przy użyciu specjalizowanych układów ASIC. Jednocześnie, dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia technicznego ze strony dostawcy wymaga się aby wszystkie funkcje ochronne oraz zastosowane technologie, w tym system operacyjny pochodziły od jednego producenta, który udzieli odbiorcy licencji bez limitu chronionych użytkowników (licencja na urządzenie). Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenia ochronne muszą pracować w oparciu o dedykowany system operacyjny czasu rzeczywistego. Nie dopuszcza się stosowania systemów operacyjnych ogólnego przeznaczenia. Nie mniej niż 8 portów Ethernet 10/100 Base-TX oraz nie mniej niż 8 portów Ethernet 10/100/1000 Base-TX. Obudowa ma mieć możliwość zamontowania w szafie 19. System ochrony musi obsługiwać w ramach jednego urządzenia wszystkie z poniższych funkcjonalności podstawowych: kontrolę dostępu - zaporę ogniową klasy Stateful Inspection ochronę przed wirusami antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, IM, NNTP) poufność danych - IPSec VPN oraz SSL VPN ochronę przed atakami - Intrusion Prevention System [IPS/IDS]. oraz funkcjonalności uzupełniających: kontrolę treści i kategoryzację odwiedzanych stron WWW Web\URL Filter kontrolę zawartości poczty antyspam [AS] (dla protokołów SMTP, POP3, IMAP) kontrolę pasma oraz ruchu [QoS, Traffic shaping] kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w tym IM, P2P, VoIP, Web-mail) zapobieganie przed wyciekiem informacji poufnej - DLP (Data Leak Prevention) SSL proxy z możliwością pełniej analizy szyfrowanej komunikacji dla wybranych protokołów Urządzenie powinno dawać możliwość ustawienia jednego z dwóch trybów pracy: jako router/nat (3.warstwa ISO-OSI) lub jako most /transparent bridge/. Tryb przezroczysty umożliwia wdrożenie urządzenia bez modyfikacji topologii sieci niemal w dowolnym jej miejscu. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły i usługi sieciowe, użytkowników aplikacji, domeny, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie, zarządzanie pasmem sieci (m.in. pasma gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). Urządzenie powinno umożliwiać utworzenie nie mniej niż 6.000 polityk firewall a Wykrywanie i blokowanie technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan) i niebezpiecznych komponentów (m.in. Zamówienie numer ZP/OI/54/12 Strona 13 z 38
8. 9. 10. 11. 12. 13. 14. Moduł antywirusow y Moduł antyspam Filtracja stron WWW Translacja adresów Wirtualizacja i routing dynamiczny Połączenia VPN Uwierzytelniani e użytkowników 15. Wydajność 16. 17. Funkcjonalność zapewniająca niezawodność Konfiguracja i zarządzanie Java/ActiveX). Ochronę sieci VPN przed atakami Replay Attack oraz limitowanie maksymalnej liczby otwartych sesji z jednego adresu IP. Nie mniej niż 4000 sygnatur ataków. Aktualizacja bazy sygnatur ma się odbywać ręcznie lub automatycznie Możliwość dodawania własnych sygnatur ataków Możliwość wykrywania anomalii protokołów i ruchu Antywirus powinien mieć możliwość transferu częściowo przeskanowanego plik do klienta w celu zapobiegnięcia przekroczenia dopuszczalnego czasu oczekiwania (timeout). Antywirus powinien przeprowadzać sprawdzanie danych zarówno po bazie sygnatur wirusów jak i heurystycznie. Zawarty moduł antyspamowy powinien pracować w obrębie protokołów SMTP, POP3 i IMAP Klasyfikacja wiadomości powinna bazować na wielu czynnikach, takich jak: sprawdzenie zdefiniowanych przez administratora adresów IP hostów, które brały udział w dostarczeniu wiadomości, sprawdzenie zdefiniowanych przez administratora adresów pocztowych, RBL, ORDBL Sprawdzenie treści pod kątem zadanych przez administratora słów kluczowych Oprócz powyższego mechanizm antyspamowy powinien umożliwiać skorzystanie z zewnętrznej, wieloczynnikowej bazy spamu. Moduł filtracji stron www powinien umożliwiać blokowanie stron w oparciu o: białe i czarne listy URL o zawarte w stronie słowa kluczowe dynamicznie definiowane przez producenta kategorie. Statyczna i dynamiczna translacja adresów (NAT). Translacja NAPT. NAT traversal dla protokołów SIP i H323 Możliwość definiowania w jednym urządzeniu bez dodatkowych licencji nie mniej niż 10 wirtualnych firewalli, gdzie każdy z nich posiada indywidualne tabele routingu, polityki bezpieczeństwa i dostęp administracyjny. Obsługa Policy Routingu w oparciu o typ protokołu, numeru portu, interfejsu, adresu IP źródłowego oraz docelowego. Protokoły routingu dynamicznego, nie mniej niż RIPv2, OSPF, BGP-4 i PIM. Wymagane nie mniej niż: Tworzenie połączeń w topologii Site-to-Site oraz Client-to-Site Dostawca musi udostępniać klienta VPN własnej produkcji realizującego następujące mechanizmy ochrony końcówki: o firewall o antywirus o web filtering o antyspam Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności Konfiguracja w oparciu o politykę bezpieczeństwa (policy based VPN) i tabele routingu (interface based VPN) Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie urządzenia haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy danych Rozwiązanie powinno umożliwiać budowę logowania Single Sign On w środowisku Active Directory oraz edirectory bez dodatkowych opłat licencyjnych. Obsługa nie mniej niż 500.000 jednoczesnych połączeń i nie mniej niż 15.000 nowych połączeń na sekundę Przepływność nie mniejsza niż 5 Gbps dla ruchu nieszyfrowanego i nie mniejsza niż 2,5 Gbps dla VPN (3DES). Obsługa nie mniej niż 2.000 jednoczesnych tuneli VPN Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Możliwość połączenia dwóch identycznych urządzeń w klaster typu Active-Active lub Active- Passive Możliwość konfiguracji poprzez terminal i linię komend oraz konsolę graficzną (GUI). Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone poprzez szyfrowanie komunikacji. Musi być zapewniona możliwość definiowania wielu administratorów o różnych uprawnieniach. Administratorzy muszą być uwierzytelniani za pomocą: haseł statycznych haseł dynamicznych (RADIUS, RSA SecureID) System powinien umożliwiać aktualizację oprogramowania oraz zapisywanie i odtwarzanie konfiguracji z pamięci USB. Jednocześnie, dla systemu urządzenie powinna być dostępna zewnętrzna sprzętowa platforma Zamówienie numer ZP/OI/54/12 Strona 14 z 38
18. 19. Raportowani e Serwis oraz aktualizacje 20. Certyfikaty centralnego zarządzania pochodząca od tego samego producenta. System powinien mieć możliwość współpracy z zewnętrznym, sprzętowym modułem raportowania i korelacji logów umożliwiającym: Zbieranie logów z urządzeń bezpieczeństwa Generowanie raportów Skanowanie podatności stacji w sieci Zdalną kwarantannę dla modułu antywirusowego Dostawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres [1] lat. System powinien być objęty serwisem gwarancyjnym producenta przez okres [1] lat. Dostawca musi zatrudniać minimum dwóch inżynierów posiadających aktualne certyfikaty techniczne producenta. Producent urządzeń musi posiadać certyfikat: ISO 9001, a urządzenie gwarantować UTM NSS Approved, EAL4+, ICSA Labs dla funkcji: Firewall, IPSec, SSL, Network IPS, Antywirus. Warunki wsparcia technicznego: wsparcie realizowane jest przez 8*5, 365 dni w roku, pomoc w konfiguracji wspieranych urządzeń, rekonfiguracja obecnie posiadanego systemu, rozwiązywanie bieżących problemów występujących podczas pracy z systemem, pomoc w przypadku ewentualnych ataków sieciowych, usuwanie skutków awarii systemu do 24 godzin od zgłoszenia, analiza logów systemu, pomoc w opracowaniu metodologii wdrażania nowych funkcjonalności urządzeń, pośrednictwo w kontaktach z producentem urządzeń, zgłoszenia serwisowe przyjmowane telefonicznie, przez pocztę elektroniczną oraz dedykowany portal wsparcia technicznego, czas reakcji na zgłoszenie serwisowe nie przekraczający 4 godzin, w sytuacjach gdy rozwiązanie problemu nie jest możliwe zdalnie, wizyta specjalisty w siedzibie zamawiającego, okresowe wizyty prewencyjne co dwa miesiące, realizowane w czasie dogodnym dla zamawiającego, szkolenia techniczne dla administratorów systemu w formie warsztatów, dostęp do lokalnego portalu wsparcia, oferującego informacje na temat nowych wersji oprogramowania, poprawek, FAQ etc., biuletyn informacyjny dostarczany do określonych odbiorców drogą elektroniczną. 4. 12 miesięczna aktualizacja urządzenia FortiAnalizer 1000C (producent FortiNet) wraz ze wsparciem technicznym. Warunki wsparcia technicznego: wsparcie realizowane jest przez 8*5, 365 dni w roku, pomoc w konfiguracji wspieranych urządzeń, rekonfiguracja obecnie posiadanego systemu, rozwiązywanie bieżących problemów występujących podczas pracy z systemem, pomoc w przypadku ewentualnych ataków sieciowych, usuwanie skutków awarii systemu do 24 godzin od zgłoszenia, analiza logów systemu, pomoc w opracowaniu metodologii wdrażania nowych funkcjonalności urządzeń, pośrednictwo w kontaktach z producentem urządzeń, zgłoszenia serwisowe przyjmowane telefonicznie, przez pocztę elektroniczną oraz dedykowany portal wsparcia technicznego, czas reakcji na zgłoszenie serwisowe nie przekraczający 4 godzin, w sytuacjach gdy rozwiązanie problemu nie jest możliwe zdalnie, wizyta specjalisty w siedzibie zamawiającego, okresowe wizyty prewencyjne co dwa miesiące, realizowane w czasie dogodnym dla zamawiającego, dostęp do lokalnego portalu wsparcia, oferującego informacje na temat nowych wersji oprogramowania, poprawek, FAQ etc., biuletyn informacyjny dostarczany do określonych odbiorców drogą elektroniczną. Zamówienie numer ZP/OI/54/12 Strona 15 z 38