URZĄD GMINY KRASNE Załącznik nr 2 do Regulaminu ramowych procedur udzielania zamówień publicznych na dostawy, usługi i roboty budowlane, których wartość szacunkowa nie przekracza wyrażonej w złotych równowartości kwoty 14 000 euro Krasne, dnia 02.07.2012 Jednostka prowadząca sprawę OGŁOSZENIE Gmina Krasne - Urząd Gminy w Krasnem/jednostka organizacyjna/* informuje, że są przyjmowane oferty na wykonanie zamówienia: Modernizacja oraz rekonfiguracja infrastruktury sprzętowej Kod CPV 32.42.00.00 (urządzenia sieciowe) Przedmiotem zamówienia jest modernizacja oraz rekonfiguracja infrastruktury sprzętowej w celu zapewnienia zgodności funkcjonującej u Zamawiającego, infrastruktury z wymaganiami następujących przepisów prawa: Ustawa z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późniejszymi zmianami), z uwzględnieniem nowelizacji do ustawy z dnia 7 marca 2011; Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024); Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536). Zakres szczegółowy W zakres przedmiotu zamówienia wchodzą wszystkie dostawy fabrycznie nowych urządzeń i prace niezbędne do oddania do eksploatacji przedmiotu zamówienia, według poniższej specyfikacji. Zakres prac obejmuje również montaż urządzeń, konfigurację zgodnie ze szczegółowymi wymaganiami, szkolenia oraz sporządzenie dokumentacji powykonawczej.
1. Dostawa, instalacja oraz konfiguracja systemu zabezpieczeń: Lp. Parametr Opis 1. Liczba sztuk 1 (jeden) 2. Architektura systemu ochrony System ochrony musi być zbudowany przy użyciu minimalnej ilości elementów ruchomych, krytycznych dla jego działania. Dlatego, główne urządzenie ochronne [gateway] nie może posiadać twardego dysku, w zamian używać pamięci FLASH. Podstawowe funkcje systemu muszą być realizowane (akcelerowane) sprzętowo przy użyciu specjalizowanego układu ASIC. Jednocześnie, dla zapewnienia bezpieczeństwa inwestycji i szybkiego wsparcia technicznego ze strony dostawcy wymaga się aby wszystkie funkcje ochronne oraz zastosowane technologie, w tym system operacyjny pochodziły od jednego producenta, który udzieli odbiorcy licencji bez limitu chronionych użytkowników (licencja na urządzenie). 3. System operacyjny Dla zapewnienia wysokiej sprawności i skuteczności działania systemu urządzenia ochronne muszą pracować w oparciu o dedykowany system operacyjny czasu rzeczywistego. Nie dopuszcza się stosowania komercyjnych systemów operacyjnych, ogólnego przeznaczenia. 4. Ilość/rodzaj portów Nie mniej niż 8 portów Ethernet 10/100 Base-TX, 2 portów Ethernet 10/100/1000 Base-TX. Nie mniej niż 4000 interfejsów wirtualnych definiowanych jako VLANy w oparciu o standard IEEE802.1q. 5. Funkcjonalności podstawowe i uzupełniające 6. Zasada działania (tryby) 7. Polityka bezpieczeństwa (firewall) System ochrony musi obsługiwać w ramach jednego urządzenia wszystkie z poniższych funkcjonalności podstawowych: kontrolę dostępu: zaporę ogniową klasy Stateful Inspection, ochronę przed wirusami antywirus [AV] (dla protokołów SMTP, POP3, IMAP, HTTP, FTP, IM), poufność danych: IPSec VPN oraz SSL VPN, ochronę przed atakami: Intrusion Prevention System [IPS/IDS], oraz funkcjonalności uzupełniających: kontrolę treści: Web Filter [WF], kontrolę zawartości poczty: antyspam [AS] (dla protokołów SMTP, POP3, IMAP), kontrolę pasma oraz ruchu [QoS i Traffic shaping], kontrolę aplikacji (wsparcie dla co najmniej tysiąca aplikacji w tym IM oraz P2P), zapobieganie przed wyciekiem informacji poufnej DLP (Data Leak Preention), SSL proxy z możliwością pełniej analizy szyfrowanej komunikacji dla wybranych protokołów. Urządzenie powinno dawać możliwość ustawienia jednego z dwóch trybów pracy: jako router/nat (3.warstwa ISO-OSI) lub jako most /transparent bridge/. Tryb przezroczysty umożliwi wdrożenie urządzenia bez modyfikacji topologii sieci niemal w dowolnym jej miejscu. Polityka bezpieczeństwa systemu zabezpieczeń musi uwzględniać adresy IP, interfejsy, protokoły i usługi sieciowe, użytkowników sieci, reakcje zabezpieczeń, rejestrowanie zdarzeń i alarmowanie oraz zarządzanie pasmem (m.in. pasmo gwarantowane i maksymalne, priorytety, oznaczenia DiffServ). 8. Wykrywanie ataków Wykrywanie i blokowanie technik i ataków stosowanych przez hakerów (m.in. IP Spoofing, SYN Attack, ICMP Flood, UDP Flood, Port Scan) i niebezpiecznych komponentów (m.in. Java/ActiveX). Ochronę sieci VPN przed atakami Replay Attack oraz limitowanie maksymalnej liczby otwartych sesji z jednego adresu IP. Nie mniej niż 4000 sygnatur ataków. Aktualizacja bazy sygnatur ma się odbywać ręcznie lub automatycznie.
Możliwość wykrywania anomalii protokołów i ruchu. 9. Translacja adresów Statyczna i dynamiczna translacja adresów (NAT). Translacja NAPT. 10. Wirtualizacja i routing dynamiczny Możliwość definiowania w jednym urządzeniu bez dodatkowych licencji nie mniej niż 10 wirtualnych firewalli, gdzie każdy z nich posiada indywidualne ustawienia wszystkich funkcji bezpieczeństwa i dostęp administracyjny. Obsługa Policy Routingu w oparciu o typ protokołu, numeru portu, interfejsu, adresu IP źródłowego oraz docelowego. Protokoły routingu dynamicznego, nie mniej niż RIPv2, OSPF, BGP-4 i PIM. 11. Połączenia VPN Wymagane nie mniej niż: Tworzenie połączeń w topologii Site-to-site oraz Client-to-site. Dostawca musi udostępniać klienta VPN własnej produkcji realizującego następujące mechanizmy ochrony końcówki: firewall antywirus web filtering antyspam Monitorowanie stanu tuneli VPN i stałego utrzymywania ich aktywności. Konfiguracja w oparciu o politykę bezpieczeństwa (policy based VPN) i tabele routingu (interface based VPN). Obsługa mechanizmów: IPSec NAT Traversal, DPD, XAuth. 12. Uwierzytelnianie użytkowników System zabezpieczeń musi umożliwiać wykonywanie uwierzytelniania tożsamości użytkowników za pomocą nie mniej niż: haseł statycznych i definicji użytkowników przechowywanych w lokalnej bazie urządzenia, haseł statycznych i definicji użytkowników przechowywanych w bazach zgodnych z LDAP, haseł dynamicznych (RADIUS, RSA SecureID) w oparciu o zewnętrzne bazy danych. Rozwiązanie powinno umożliwiać budowę logowania Single Sign On w środowisku Active Directory oraz edirectory bez dodatkowych opłat licencyjnych. 13. Wydajność Obsługa nie mniej niż 350000 jednoczesnych połączeń i 10000 nowych połączeń na sekundę. Przepływność nie mniejsza niż 450 Mbit/s dla ruchu nieszyfrowanego i 100Mbit/s dla VPN (3DES). Obsługa nie mniej niż 300 jednoczesnych tuneli VPN. 14. Funkcjonalność zapewniająca niezawodność 15. Konfiguracja i zarządzanie Monitoring i wykrywanie uszkodzenia elementów sprzętowych i programowych systemu zabezpieczeń oraz łączy sieciowych. Możliwość połączenia dwóch identycznych urządzeń w klaster typu Active-Active lub Active-Passive. Możliwość konfiguracji poprzez terminal i linię komend oraz wbudowaną konsolę graficzną (GUI). Dostęp do urządzenia i zarządzanie z sieci muszą być zabezpieczone poprzez szyfrowanie komunikacji. Musi być zapewniona możliwość definiowania wielu administratorów o różnych uprawnieniach. Administratorzy muszą być uwierzytelniani za pomocą: haseł statycznych, haseł dynamicznych (RADIUS, RSA SecureID). System powinien umożliwiać aktualizację oprogramowania oraz zapisywanie i odtwarzanie konfiguracji z pamięci USB. Jednocześnie, dla systemu bezpieczeństwa powinna być dostępna zewnętrzna sprzętowa platforma centralnego zarządzania pochodząca od tego samego producenta. 16. Zarządzanie System powinien mieć możliwość współpracy z zewnętrznym, sprzętowym modułem centralnego zarządzania umożliwiającym: Przechowywanie i implementację polityk bezpieczeństwa dla urządzeń i grup urządzeń z możliwością dziedziczenia ustawień po grupie nadrzędnej;
Wersjonowanie polityk w taki sposób aby w każdej chwili dało się odtworzyć konfigurację z dowolnego punktu w przeszłości; Zarządzanie wersjami firmware u na urządzeniach oraz zdalne uaktualnienia; Zarządzenie wersjami baz sygnatur na urządzeniach oraz zdalne uaktualnienia; Monitorowanie w czasie rzeczywistym stanu urządzeń (użycie CPU, RAM); Zapis i zdalne wykonywanie skryptów na urządzeniach. 17. Raportowanie System powinien mieć możliwość współpracy z zewnętrznym, sprzętowym modułem raportowania i korelacji logów umożliwiającym: Zbieranie logów z urządzeń bezpieczeństwa; Generowanie raportów; Skanowanie podatności stacji w sieci; Zdalną kwarantannę dla modułu antywirusowego. 18. Integracja systemu zarządzania 19. Serwis oraz aktualizacje Zgodnie z zaleceniami normy PN-ISO/17799 zarówno moduł centralnego zarządzania jak i raportowania muszą być zrealizowane na osobnych urządzeniach sprzętowych. Jednocześnie administrator powinien mieć do dyspozycji jedną konsolę zarządzającą do kontroli obu podsystemów. Dostawca powinien dostarczyć licencje aktywacyjne dla funkcji bezpieczeństwa na okres 1 roku. System powinien być objęty serwisem gwarancyjnym producenta przez okres 1 roku. 2. Dostawa, instalacja oraz konfiguracja sprzętu sieciowego: Lp. Parametr Opis 1. Liczba sztuk 1 (jeden) 2. Ilość portów min. 44 porty 10/100/1000, + min.4 porty dual-personality 10/100/1000 lub mini-gbic 3. Obudowa wieżowa 1U umożliwiająca instalację w szafie 19" 4. Pamięć Min 64 MB SDRAM, FLASH 16MB 5. Rozmiar tablicy min. 8000 adresów MAC 6. Zarządzanie CLI, WWW, pozapasmowe (port konsoli RJ-45) 7. Warstwa przełączania 2 8. Prędkość magistrali min. 96 Gbps 9. Przepustowość min. 71,4 mpps 10. Ilość obsługiwanych VLAN-ów min. 64 (802.1Q), GVRP 11. Funkcje wysokiej dostępności Spanning Tree (802.1d), MSTP (802.1s) 12. Bezpieczeństwo Radius, Multiple 802.1X, ochrona przed atakiem piggyback, SSHv2, SSL, SNMPv3, web based authentication, TACACS+, MAC authentication, BPDU protection. 13. Agregacja portów zgodna z 802.3ad 14. QoS/CoS Priorytetyzacja zgodna z 802.1p 15. Monitorowanie RMON 4 grupy statistics, history, alarm, events 16. OS Aktualizacje OS dostępne na stronie producenta bezpłatnie przez cały czas eksploatacji urządzenia. 17. Oprogramowanie do zarządzania Możliwość rozszerzenia w przyszłości o funkcje integracji z OV NNM. 18. Gwarancja Wieczysta 19. Serwis Wysyłka sprawnego urządzenia następnego dnia roboczego. Standardowy pakietem usług gwarancyjnych zawartych w cenie sprzętu i świadczonych przez sieć serwisową producenta na terenie Polski
20. Inne CDP, dual flash images, ingress/egress port monitoring, mozliwosc zarzadzania grupa do 16 przelacznikow za pomoca jednego adresu IP, 802.1AB LLDP, RFC 2030 Simple Network Time Protocol (SNTP) v4, RFC 33, IGMP v3. 3. Dostawa oraz instalacja szafy stojącej serwerowej wraz z przekładką istniejącej infrastruktury Lp. Parametr Opis 1. Liczba sztuk 1 (jeden) 2. Typ Szafa stojąca serwerowa 19 3. Szerokość 800 mm 4. Głębokość 800 mm 5. Wysokość 42U 6. Zamykanie/Tył drzwi blacha/szkło, tył pełny 7. Wyposażenie dodatkowe Organizator poziomy kabli 19 z metalowymi uszami 1U 5 szt. Wieszak kablowy 40x40mm 5 szt. Śruba montażowa (śruba M6, podkładka, nakrętka koszykowa) 100 szt. Listwa zasilająca 19 RACK do szafy, min. 9 gniazd z bolcem, aluminiowa obudowa 4. Specyfikacja usług: A. Inwentaryzacja sieci: Wykonawca zobowiązany jest do wykonania inwentaryzacji sieci LAN. Wynikiem przeprowadzonej inwentaryzacji sieci LAN ma być dostarczenie odbiorcy mapy sieci połączeń pomiędzy urządzeniami aktywnymi wraz z rozrysowanymi patch-pannel ami. B. Wykonanie projektu: Wykonawca zobowiązany jest do wykonania projektu wdrożenia dostarczonych urządzeń oraz przedstawienia jego do akceptacji przez Zamawiającego. W przypadku braku akceptacji Wykonawca zobowiązany jest do wprowadzenia zmian w proponowanym projekcie, zgodnie z sugestią Zamawiającego. C. Ustalenia projektowe winny się składać z następujących czynności: Określenie założeń dotyczących implementacji nowych urządzeń; Analiza obecnie funkcjonującej infrastruktury; Uwzględnienie funkcjonujących u Zamawiającego dokumentów Polityki Bezpieczeństwa Danych Osobowych oraz Instrukcji Zarządzania Systemem Informatycznym. Uwzględnienie wymagań Ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych oraz przepisów wykonawczymi do Ustawy, w tym Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; Przeprowadzenie stosownych uzgodnień wdrożeniowych; Dobór optymalnego sposobu implementacji; Uzgodnienie reguł polityk bezpieczeństwa;
Wykonanie obligatoryjnych schematów sieci; Wprowadzenie stosownego nazewnictwa i symboliki; Opracowanie adresacji logicznej; Określenie zasad integracji z obecną infrastrukturą. D. Instalacja i konfiguracja dostarczonych urządzeń: Instalacja i konfiguracja urządzeń zgodnie z wcześniej opracowanym i zatwierdzonym planem i harmonogramem; Konfiguracja parametrów sieciowych dostarczonych urządzeń; Przeniesienie paneli (demontaż z szafy, demontaż szafy, przeniesienie paneli do nowej szafy); Usunięcie kolizji instalacji zasilającej (koliduje z nową planowaną szafą); Integracja z obecną infrastrukturą podczas wyznaczonych tzw. okien serwisowych ; Weryfikacja po integracji poprawnego działania wszystkich wykorzystywanych aktualnie w sieci usług. E. Szkolenie administratora systemu: Wykonawca zobowiązany jest do przeprowadzenia szkolenia omawiającego proces wdrożenia, a także zaimplementowanych technologii i konfiguracji. F. Dokumentacja techniczna: Po zakończeniu wszystkich czynności wdrożeniowych Wykonawca powinien przedłożyć dokumentację powdrożeniową, która omawiać będzie wszystkie etapy projektu. Termin dostawy i realizacji usług 30 dni od daty zamówienia Wymagania 1. W postępowaniu o udzielenie zamówienia mogą uczestniczyć wykonawcy, którzy wykonali w ciągu dwóch ostatnich lat, a jeżeli okres prowadzenia jest krótszy, to w tym okresie, co najmniej trzy dostawy o charakterze i zakresie podobnym do powyższej specyfikacji. 2. Dostarczany sprzęt oraz wykonana konfiguracja muszą być zgodne z wymaganiami Ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późniejszymi zmianami) oraz przepisami wykonawczymi do Ustawy, w tym Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 3. Dostawca zapewnieni autorskie szkolenia z zakresu konfiguracji i zarządzania zaproponowanego sprzętu. Szkolenie powinno być przeprowadzone w siedzibie zamawiającego dla 1 osoby w języku polskim. 4. Dostawca powinien posiadać min. jednego inżyniera z najwyższym certyfikatem producenta proponowanego sprzętu. 5. Dostarczony sprzęt musi być fabrycznie nowy, musi pochodzić z oficjalnego kanału sprzedaży producenta na rynek polski (wymagane oświadczenie producenta). 6. Dostawca zobowiązany jest dostarczyć wraz z ofertą, szczegółową specyfikację techniczną oferowanego sprzętu. 7. W celu zapewnienia odpowiedniej jakości świadczonych usług w ramach projektu oraz zachowania zgodności z obowiązującymi standardami w zakresie bezpieczeństwa
informacji oraz tzw. dobrych praktyk, wymagane jest posiadanie przez jednego z pracowników po stronie Dostawcy uprawnień audytora wiodącego Systemu Zarządzania Bezpieczeństwem Informacji, potwierdzonych otrzymaniem certyfikatu zarejestrowanego przez organizację IRCA (ang. International Register of Certificated Auditors) lub równorzędną lub wyższego poziomu. Oferenci, którzy nie spełniają wyżej wymienionych wymagań, podlegać będą wykluczeniu z udziału w postępowaniu. Termin składania ofert: 09.07.2012 do godziny 11:00 Miejsce składania ofert: Urząd Gminy Krasne, 36-007 Krasne 121, Pokój nr 18 - sekretariat Forma składania ofert: Ofertę należy złożyć w nieprzejrzystym opakowaniu / zamkniętej kopercie z napisami: Modernizacja oraz rekonfiguracja infrastruktury sprzętowej, nie otwierać przed upływem dnia 09.07.2012 godz. 11:00 Wymagane załączniki: brak Informacje szczegółowe na temat zamówienia dostępne są: na stronie internetowej: www.gmina-krasne.un.pl/bip/przetargi i konkursy Jacek Żurawski podinspektor, tel 17 855 59 26, e-mail informatyk@krasne.un.pl Wybór oferty nastąpi zgodnie z Regulamin udzielania zamówień publicznych o wartości szacunkowej nieprzekraczającej równowartości kwoty 14.000 euro, wprowadzonym Zarządzeniem Wójta Gminy Krasne nr.17/2011 z dnia ZAMAWIAJĄCY: w dniu 02.07.2012 URZĄD GMINY KRASNE * wpisać nazwę jednostki