SPECYFIKACJA ISTOTNYCH ARUNKÓ ZAMÓIENIA na Uruchomienie Systemu HSM w ramach projektu wdrożenia identyfikacyjnej karty korporacyjnej i podpisu elektronicznego w GK PSE Część II OPIS PRZEDMIOTU ZAMÓIENIA Zamówienie niepubliczne, Przetarg nieograniczony. Postępowanie Nr PP/2013/DT/45
stęp SPIS ZAARTOŚCI CZĘŚCI II 1. stęp... 4 1.1. Słownik terminów i skrótów... 4 2. Opis przedmiotu zamówienia... 6 2.1. ymagania funkcjonalne... 6 2.1.1. Funkcje udostępniane (FO)... 6 2.1.2. Funkcje wykorzystywane (FI)... 7 2.1.3. Logika sterowania (FL)... 7 2.1.4. Interfejs użytkownika (FU)... 8 2.1.5. Pielęgnacja i diagnostyka (FM)... 9 2.1.6. Infrastruktura techniczna (FT)... 10 2.2. ymagania pozafunkcjonalne... 11 2.2.1. ygląd i styl (NL)... 11 2.2.2. Pojemność (NC)... 11 2.2.3. ydajność (NP)... 12 2.2.4. Niezawodność (NR)... 12 2.2.5. Użyteczność (NU)... 13 2.2.6. Adaptowalność (NA)... 13 2.2.7. Środowisko fizyczne (NE)... 13 2.2.8. Interfejsy (NI)... 14 2.2.9. Utrzymanie (NO)... 14 2.2.10. Monitorowanie (NM)... 14 2.2.11. sparcie (NK)... 15 2.2.12. Bezpieczeństwo (NS)... 16 2.2.13. Normy i standardy (NN)... 16 2.3. ymagania przejściowe... 17 2.3.1. Dostawy (TL)... 17 2.3.2. Testy (TT)... 17 2.3.3. Dokumentacja (TD)... 18 2.3.4. Instruktaż stanowiskowy (TI)... 18 2.4. Zobowiązania Zamawiającego... 19 2.5. ymagania dotyczące realizacji prac... 19 2.5.1. Ramowy harmonogram... 19 2.5.2. Przebieg wdrożenia... 20 2.5.3. Miejsce wdrożenia... 20 2.6. eryfikacyjne testy funkcjonalne... 20 3. ymagane produkty... 21 4. Produkty... 22 4.1. Projekt Techniczny Systemu... 22 4.2. System zgodny z Projektem Technicznym... 23 4.3. Model Eksploatacji Systemu... 24 4.4. Dokumentacja powykonawcza... 25 4.5. Instruktaż stanowiskowy (IS)... 25 Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 2
stęp 5. ymagania dotyczące powdrożeniowego wsparcia technicznego i gwarancji... 26 Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 3
stęp 1. STĘP 1.1. Słownik terminów i skrótów Tabela 1. Słownik terminów i skrótów Lp. Termin/Skrót Opis 1. AD Active Directory usługa Microsoft zapewniająca LDAP 2. CPD Centrum Przetwarzania Danych (ang. Data Center) ośrodek składający się z jednej lub więcej serwerowni 3. DNS Protokół systemu nazw domenowych (ang. Domain Name System). 4. Dokumentacja standardowa Typowa dokumentacja dostarczana przez ykonawcę lub Producenta wraz z wytwarzanym przez niego oprogramowaniem w celu opisu funkcji i sposobu używania tego oprogramowania w wersji, jaką ykonawca lub Producent zrealizował i oferuje swoim potencjalnym klientom i która będzie stanowiła podstawę jego oferty. 5. Dokumentacja testowa Szczegółowy opis wszystkich testów poszczególnych funkcji aplikacji. Opis każdego testu powinien zawierać: warunki wykonania testu, kroki (czynności) testowe, spodziewane wyniki testu. 6. HSM Sprzętowy moduł zabezpieczeń kryptograficznych (ang. Hardware Security Module) służący do przechowywania kluczy kryptograficznych i certyfikatów. 7. GK PSE Grupa Kapitałowa PSE 8. IP Protokół sieci Internet (ang. Internetwork Protocol). 9. Lokalizacje szystkie siedziby Zamawiającego: Siedziba główna, siedziba zapasowa, Spółki Obszarowe 10. Lokalizacje Centralne Siedziba główna i siedziba zapasowa Zamawiającego 11. Moduł sieciowy HSM Urządzenie udostępniające funkcjonalność HSM poprzez sieć IP. 12. NTP Protokół czasu sieciowego (ang. Network Time Protocol) 13. OCSP Protokół sprawdzania statusu certyfikatu (ang. Online Certitificate Status Protocol). Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 4
stęp Lp. Termin/Skrót Opis 14. PKI Infrastruktura klucza publicznego (ang. Public Key Infrastructure). 15. Producent ytwórca Systemu. 16. Retest Ponowny test wg. uzgodnionego scenariusza testów lub opisu błędu po zgłoszeniu przez ykonawcę błędu do weryfikacji lub po uzgodnieniu ponownego testu przez Zamawiającego lub ykonawcę. 17. Serwerownia ydzielone pomieszczenie będące środowiskiem pracy komputerów pełniących rolę serwerów, a także aktywnych i pasywnych elementów sieci komputerowych (ikipedia). 18. Siedziba główna Zamawiającego 19. Siedziba zapasowa Zamawiającego Oznacza siedzibę Zamawiającego (znajdującą się Konstancinie-Jeziornie, ul. arszawska 165). Rezerwowe Centrum Przetwarzania Danych w arszawie, ul. Mysia 2. 20. SIZ Specyfikacja Istotnych arunków Zamówienia w rozumieniu Regulaminu Udzielania Zamówień w PSE S.A. 21. Spółki Obszarowe Oznacza: PSE - Północ S.A. w Bydgoszczy, PSE - Południe S.A. w Katowicach, PSE - Zachód S.A. w Poznaniu, PSE - schód S.A. w Radomiu, PSE - Centrum S.A. w arszawie. 22. System Zespół/grupa urządzeń realizujących zabezpieczenie kluczy kryptograficznych Zamawiającego zgodnie z niniejszą specyfikacją SIZ. 23. System produkcyjny System zainstalowany i użytkowany przez Zamawiającego w sieci wewnętrznej w Lokalizacjach Centralnych i niebędący przedmiotem SIZ. 24. ykonawca Osoba fizyczna lub prawna dostarczająca, wdrażająca i uruchamiająca System. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 5
2. OPIS PRZEDMIOTU ZAMÓIENIA 2.1. ymagania funkcjonalne 2.1.1. Funkcje udostępniane (FO) 1 FO1. FO2. FO3. FO4. Każdy sprzętowy moduł kryptograficzny (HSM) musi umożliwiać wykonanie przynajmniej następujących operacji: generowanie kluczy kryptograficznych (symetrycznych i par asymetrycznych), fizyczną i logiczną ochronę kluczy kryptograficznych, kontrolę dostępu do kluczy kryptograficznych, wykonywanie działań z użyciem kluczy kryptograficznych, archiwizację kluczy, odtwarzanie kluczy z kopii bezpieczeństwa. System musi składać się z modułów sieciowych HSM, zapewniających bezpieczny dostęp do funkcji generowania i działań z użyciem kluczy kryptograficznych przez sieć IP, zarówno z maszyn fizycznych i maszyn wirtualnych Systemu produkcyjnego. System musi wspierać ochronę kluczy dla systemów Microsoft Active Directory Certificate Services, Microsoft OCSP Responder, Microsoft Internet Information Services, Apache HTTP Server, Microsoft SQL Server, Microsoft Forefront Identity Manager Certificate Module, HID Global ActivID Credential Management System. spółpraca urządzeń HSM Systemu z tymi systemami powinna być udokumentowana przez producenta urządzeń HSM lub producenta oprogramowania wymienionych systemów. Oprogramowanie klienta dostarczone wraz urządzeniami HSM musi obejmować wersje wspierane w następujących systemach operacyjnych: indows Server 2008, 2012; Red Hat Enterprise Linux Server 5 i 6. 1 bezwzględnie wymagane - brak spełnienia wymagania powoduje odrzucenie oferty. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 6
1 FO5. FO6. Urządzenia HSM Systemu muszą wspierać przynajmniej następujące algorytmy: a. Kryptografia symetryczna: AES (128,192,256), Triple DES (112,168); b. Kryptografia asymetryczna: RSA (2048, 3072, 4096), Diffie-Hellman (2048, 3072), ECDSA (P-256, P-384, P- 521); c. Funkcje skrótu: SHA2 (SHA-224, SHA-256, SHA-384, SHA-512). System musi zapewniać tworzenie w urządzeniu HSM eksportowalnych asymetrycznych kluczy prywatnych przeznaczonych do deszyfrowania danych i podlegających archiwizacji w urzędzie certyfikacji AD CS Systemu produkcyjnego. Funkcjonalność taka nie jest wymagana dla testowych modułów sieciowych HSM. Dla prywatnych kluczy eksportowalnych nie musi być zapewniana archiwizacja ani odtwarzanie z kopii bezpieczeństwa. 2.1.2. Funkcje wykorzystywane (FI) FI1. Moduły sieciowe HSM muszą być wyposażone w funkcję synchronizacji ze źródłem czasu NTP. budowany klient NTP musi wspierać uwierzytelnianie serwera kluczem współdzielonym i certyfikatem Autokey. 2.1.3. Logika sterowania (FL) FL1. FL2. FL3. Klucze kryptograficzne muszą być generowane sprzętowo, jako prawdziwie losowy ciąg. Symetryczne i prywatne klucze kryptograficzne nie mogą być dostępne w jawnej postaci na dysku ani w pamięci podręcznej aplikacji. Dostęp do kluczy kryptograficznych musi być chroniony przez uwierzytelnianie każdego węzła klienta i każdej aplikacji korzystającej z Systemu, w sposób zapewniający wyraźny ślad auditowania operacji kryptograficznych. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 7
FL4. FL5. System musi wspierać (dostarczając odpowiednie funkcje) taką implementację operacji z użyciem kluczy symetrycznych i prywatnych (np. deszyfrowanie, powtórne szyfrowanie, podpisywanie), aby nie dochodziło do przekazania kluczy, ani poufnych danych z HSM do aplikacji klienckiej w postaci jawnej. System musi zapewniać funkcje niezbędne do niezaprzeczalnego niszczenia wszystkich kopii chronionych kluczy. Niezaprzeczalne zniszczenie polega na tym, że powstaje ślad auditowy działań administratora, na podstawie którego można wykazać, że żadna kopia klucza nie została zachowana. 2.1.4. Interfejs użytkownika (FU) FU1. FU2. FU3. FU4. Funkcja administrowania konfiguracją urządzeń HSM i funkcja wykorzystania materiału kryptograficznego muszą być rozdzielone w odrębnych rolach operacyjnych, wymagających uwierzytelnienia z wykorzystaniem odrębnych zestawów kluczy sprzętowych (kart inteligentnych lub tokenów). Uwierzytelnienie do administracji każdym urządzeniem HSM, jak i do każdej partycji (domeny zarządzania materiałem kryptograficznym), powinno odbywać się z użyciem mechanizmu silnego uwierzytelniania (np. z użyciem kart inteligentnych lub tokenów) i wspierać mechanizm kworum M z N (do poprawnego uwierzytelnienia wymagane jest przedłożenie N poświadczeń z zestawu M poświadczeń, gdzie N=<M). System musi pozwalać na wykonywanie duplikatu karty inteligentnej lub tokenu w danym zestawie wykorzystywanym do administrowania urządzeniem HSM lub partycją. Moduły sieciowe HSM muszą być wyposażone w zintegrowany wyświetlacz sygnalizujący stan urządzenia, potencjalne awarie, przypadki naruszenia zabezpieczeń fizycznych. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 8
2.1.5. Pielęgnacja i diagnostyka (FM) FM1. FM2. FM3. FM4. FM5. Moduły sieciowe HSM muszą pozwalać na tworzenie logicznych partycji (domen zarządzania) do przechowywania materiału kryptograficznego. Partycje muszą być niezależnie zarządzane (wymagane jest oddzielne uwierzytelnienie do każdej partycji). Partycje muszą pozwalać na całkowitą separację materiału kryptograficznego i zarządzanie nim. dostarczonym Systemie musi się znajdować co najmniej jedna wyodrębniona domena zarządzania (partycja), przeznaczona do specjalnego zabezpieczenia kluczy głównego urzędu certyfikacji w stanie wyłączonym (ang. off-line). Użycie tych kluczy musi być możliwe za każdym razem wyłącznie po zatwierdzeniu przez administratora urządzenia HSM i przez co najmniej dwóch administratorów kluczy urzędu certyfikacji. Musi być zapewniona możliwość prowadzenia prac serwisowych na pojedynczym elemencie Systemu przy zachowaniu dostępności wszystkich usług realizowanych przez System dla Systemu produkcyjnego. Degradacja wydajności realizowanych przez System usług generowania kluczy i podpisywania kluczami asymetrycznymi nie może w takim przypadku przekraczać 50% wydajności w stanie normalnym. Moduły sieciowe HSM muszą pozwalać na rejestrowanie w sposób weryfikowalny i niezaprzeczalny: a. szystkich operacji związanych z administracją modułem HSM (logowanie, wylogowanie, zmiana polityk dostępu, zerowanie, itp.); b. szystkich operacji wykonywanych na kluczach kryptograficznych (tworzenie, niszczenie, użycie). Urządzenia HSM muszą mieć wbudowaną funkcję anulowania zapisanego materiału kryptograficznego bez konieczności włączania zasilania, dołączania do sieci informatycznej, dołączania do innego komputera, ani zastosowania dodatkowych kluczy lub urządzeń. Funkcja ta musi być zabezpieczona przed przypadkowym użyciem. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 9
2.1.6. Infrastruktura techniczna (FT) FT1. Moduły sieciowe HSM muszą korzystać z serwerów DNS do tłumaczenia nazw sieciowych na adresy IP. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 10
2.2. ymagania pozafunkcjonalne 2.2.1. ygląd i styl (NL) NL1. System HSM musi być dostarczony w postaci kompletnych fizycznych modułów, z odpowiednimi procesorami, pamięcią operacyjną i pamięcią masową, gotowych do zainstalowania w środowisku infrastruktury technicznej IT, bez potrzeby instalowania dodatkowego oprogramowania systemowego (wyłączając aplikacje klienckie dla Systemu produkcyjnego) i bez potrzeby rozbudowywania zasobów procesorów ani pamięci w istniejącym Systemie produkcyjnym. 2.2.2. Pojemność (NC) NC1. NC2. NC3. NC4. Klucze kryptograficzne muszą być przechowywane wewnątrz urządzeń HSM. Pojemność każdego modułu sieciowego HSM powinna pozwalać na przechowanie co najmniej 1000 par kluczy RSA o długości 2048 bitów. Moduły sieciowe HSM muszą wspierać obsługę wielu serwerów oraz aplikacji z wielu lokalizacji poprzez sieć IP. Konfiguracja każdego modułu sieciowego HSM dla Systemu produkcyjnego musi zapewniać jednoczesną obsługę co najmniej 10-ciu serwerów (z zainstalowanym oprogramowaniem klienckim HSM działającym w konfiguracji nadmiarowej active-active). Konfiguracja każdego modułu sieciowego HSM musi pozwalać na stworzenie przynajmniej 5-ciu logicznych partycji (domen zarządzania). System musi być wyposażony w co najmniej 60 kluczy sprzętowych (tokenów lub kart inteligentnych) przeznaczonych do odpowiednego podziału cyfrowego klucza operatorów o różnych rolach administracyjnych. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 11
2.2.3. ydajność (NP) NP1. NP2. NP3. NP4. Każdy moduł sieciowy HSM powinien dla jednorodnego obciążenia posiadać wydajność co najmniej: a. 300 podpisów na sekundę kluczem RSA o długości 2048 bitów; b. 300 podpisów na sekundę kluczem o długości 256 bitów dla algorytmu ECDSA. System musi zapewniać generowanie co najmniej 500 podpisów na sekundę kluczem RSA o długości 2048 bitów dla jednorodnego obciążenia układu modułów sieciowych HSM pracujących w trybie active-active. System musi zapewniać generowanie w jednym urządzeniu HSM co najmniej 10 par kluczy RSA o długości 2048 bitów na minutę z eksportowalnym kluczem prywatnym. Oprogramowanie klienckie dla układu modułów sieciowych HSM pracujących w trybie active-active musi samodzielnie dokonywać równoważenie obciążenia pomiędzy węzłami układu nadmiarowego. 2.2.4. Niezawodność (NR) NR1. NR2. NR3. NR4. System HSM składać się będzie z dwóch niezależnych, odseparowanych fizycznie zestawów urządzeń zainstalowanych w Lokalizacjach Centralnych. yposażenie zestawów dla Systemu produkcyjnego (z wyłączeniem modułów testowych) musi być jednakowe we wszystkich Lokalizacjach Centralnych. System wraz z dostarczonym oprogramowaniem musi wspierać pracę w trybie wysokiej dostępności w klastrze typu active-active. Zestawy urządzeń Systemu zainstalowane w różnych Lokalizacjach Centralnych biorą jednoczesny udział w obsłudze sesji klientów. Każdy moduł sieciowy HSM musi być wyposażony w redundantne zasilacze z możliwością wymiany w trakcie działania modułu (hotswap). Każdy moduł sieciowy HSM musi posiadać minimum dwa interfejsy 1000BaseT do podłączenia LAN. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 12
2.2.5. Użyteczność (NU) NU1. NU2. Każdy moduł sieciowy HSM powinien pozwalać na całkowitą zdalną administrację, bez konieczności asysty operatorów przy urządzeniu (np. w celu przedkładania kart lub tokenów do slotu lub czytnika w urządzeniu). yposażenie Systemu musi być dostosowane do jednoczesnego zdalnego zarządzania przez co najmniej trzech operatorów pracujących w dwóch Lokalizacjach, w sposób zapewniający użycie kluczy sprzętowych (tokenów lub kart inteligentnych) do uwierzytelniania w Systemie. 2.2.6. Adaptowalność (NA) NA1. NA2. NA3. NA4. System musi pozwalać na zwiększanie wydajności poprzez rozbudowę układu modułów sieciowych HSM pracujących w trybie active-active o kolejne moduły sieciowe HSM. Oprogramowanie klienckie Systemu musi mieć zdolność wykorzystania co najmniej 4-ech modułów sieciowych HSM w układzie nadmiarowym active-active. Każdy moduł sieciowych HSM musi zapewniać możliwość rozszerzenia liczby partycji (domen zarządzania) co najmniej do 20-tu. Moduły sieciowe HSM muszą mieć dostępną opcję rozbudowy (w miejscu zainstalowania urządzenia) pojemności magazynu kluczy do 5000 par kluczy RSA o długości 2048 bitów. Każdy moduł sieciowy HSM musi mieć dostępną opcję zwiększenia liczby wspieranych połączeń sieciowych dla jednoczesnej obsługi do 50 serwerów i aplikacji. 2.2.7. Środowisko fizyczne (NE) NE1. Moduły sieciowe HSM muszą posiadać obudowę o wysokości nie większej niż 2U, dostosowaną do montażu w szafie stelażowej 19. Dostarczone urządzenia muszą posiadać wszystkie niezbędne elementy (szyny, uchwyty, śruby, itp.) do zamontowania urządzenia w szafie. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 13
NE2. NE3. System musi być dostosowany do zasilania jednofazowego z sieci prądu przemiennego 230 V, 50Hz. System musi tolerować pracę ciągłą w temperaturze powietrza od 10 ºC do 35ºC i przy wilgotności względnej od 10% do 90% (bez kondensacji). 2.2.8. Interfejsy (NI) NI1. Urządzenia HSM wraz z dostarczonym oprogramowaniem muszą pozwalać na wykorzystanie następujących interfejsów programistycznych (API): PKCS#11, Microsoft CAPI i CNG, JCA/JCE, OpenSSL. Z urządzeniem powinny zostać dostarczony pakiet dla twórców oprogramowania (SDK) dla platform MS indows i RH Linux. 2.2.9. Utrzymanie (NO) NO1. NO2. Moduły sieciowe HSM muszą być dostosowane do pracy ciągłej 24 godzin na dobę, 7 dni w tygodniu, 365 dni w roku. System musi zawierać co najmniej jeden moduł sieciowy HSM przeznaczony wyłącznie do testowania procedur eksploatacyjnych i aktualizacji oprogramowania. Moduł testowy HSM musi być dostarczony z wyposażeniem, wersjami oprogramowania i warunkami wsparcia takimi samymi, jak produkcyjne moduły sieciowe HSM w układzie nadmiarowym. Dotyczy to w szczególności odrębnego wyposażenia do tworzenia kopii bezpieczeństwa (zapasowych). Konfiguracja modułu testowego HSM musi zapewniać obsługę co najmniej trzech serwerów w sieci IP. 2.2.10. Monitorowanie (NM) NM1. System musi wspierać monitorowanie stanu modułów sieciowych HSM przez sieć informatyczną IP, za pomocą protokołu SNMPv3. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 14
NM2. System musi wspierać automatyczne eksportowanie przez sieć IP wybranych dzienników zdarzeń modułów sieciowych HSM. 2.2.11. sparcie (NK) szystkie urządzenia Systemu muszą być objęte 3-letnim serwisem gwarancyjnym i opieką wsparcia technicznego producenta, z poziomem obsługi nie gorszym niż: NK1. NK2. NK3. a. przyjmowanie zgłoszeń w dni robocze; b. reakcja następnego dnia roboczego; c. naprawa sprzętu w ciągu 21 dni roboczych od dostarczenia do przedstawiciela producenta. Opieka i serwis sprzętu oraz oprogramowania musi być dostępna w języku polskim przez organizację serwisową producenta lub firmę z nią współpracującą, mającą swoją placówkę serwisową na terenie Polski. szystkie elementy oprogramowania i licencjonowane funkcje Systemu powinny być objęte opieką producenta na okres równy przynajmniej okresowi wsparcia serwisowego sprzętu. arunki opieki powinny zawierać prawo do aktualizacji wersji oprogramowania układowego, klienckiego i zarządzającego. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 15
2.2.12. Bezpieczeństwo (NS) NS1. NS2. Konfiguracja dostarczonego Systemu musi uwzględniać tworzenie kopii bezpieczeństwa (zapasowych) materiału kryptograficznego przechowywanego w modułach sieciowych HSM i na jej odtwarzanie z zachowaniem następujących warunków: a. Kopia bezpieczeństwa musi być wykonywana na dedykowane urządzenie zewnętrzne (np. token, moduł), który może być przechowywane w innej lokalizacji; b. Rozwiązanie powinno pozwalać na wykonywanie kopii bezpieczeństwa w sposób zdalny tj. bez konieczności asysty operatorów bezpośrednio przy urządzeniu i bez konieczności podłączania urządzenia do wykonywania kopii bezpośrednio, lokalnie do HSM. c. Zakresem kopii bezpieczeństwa muszą być objęte wszystkie partycje modułów sieciowych HSM dla Systemu produkcyjnego oraz wszystkie partycje modułów sieciowych HSM przeznaczonych do testowania procedur. Moduły sieciowe HSM wraz z dostarczonym oprogramowaniem muszą pozwalać na zestawienie bezpiecznego kanału komunikacyjnego pomiędzy urządzeniem a serwerem wirtualnym uruchomionym w środowisku VMware. Rozwiązanie musi zapobiegać nawiązywaniu prawidłowego połączenia do HSM z serwerów, które zostały uruchomione jako kopia (clone) lub z obrazu migawkowego (snapshot) serwera podstawowego. 2.2.13. Normy i standardy (NN) NN1. Każdy moduł HSM musi posiadać certyfikat bezpieczeństwa NIST FIPS 140-2 Level 3 lub wyższy. Dopuszcza się, aby certyfikacja dotyczyła właściwego modułu HSM (karty kryptograficznej) wykorzystanego w urządzeniu sieciowym. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 16
2.3. ymagania przejściowe 2.3.1. Dostawy (TL) TL1. TL2. TL3. TL4. Sprzęt dostarczony w ramach realizacji umowy będzie fabrycznie nowy, zakupiony w oficjalnym kanale sprzedaży producenta oraz będzie posiadał stosowny pakiet usług gwarancyjnych, kierowanych również do użytkowników z obszaru Rzeczpospolitej Polskiej, a ykonawca posiadał będzie autoryzację producenta na sprzedaż oferowanych urządzeń. Jeżeli będą konieczne dodatkowe licencje oprogramowania do realizacji Systemu, ykonawca dostarczy te licencje w cenie Umowy. Przed rozpoczęciem wdrożenia systemu dostarczony zostanie komplet nośników oprogramowania niezbędnego do instalacji klientów Systemu oraz zarządzania Systemem. Dopuszcza się udostępnienie aktualizacji oprogramowania w formie elektronicznej do pobrania z witryny internetowej producenta. ykonawca w cenie Umowy zapewnia wszelkie materiały eksploatacyjne niezbędne do montażu, zainicjowania Systemu, oznaczenia kluczy operatorów. 2.3.2. Testy (TT) TT1. TT2. TT3. Testy funkcjonalne, w zakresie użytkowania oprogramowania aplikacyjnego klienta na platformach indows Server 2012 i RHEL 6 oraz zarządzania systemem HSM, przeprowadzone zostaną przed opracowaniem Projektu Technicznego Systemu. Testy integracyjne wykonane będą po zamontowaniu i skonfigurowaniu modułów sieciowych HSM w CPD na podstawie odebranego Projektu Technicznego Systemów. Obejmują one komunikację sieciową, synchronizację czasu, próbne uruchomienie AD CS z OCSP. Testy akceptacyjne obejmują procedury eksploatacyjne systemu i przeprowadzone zostaną na podstawie dostarczonego przez ykonawcę i zatwierdzonego przez Zamawiającego dokumentu Modelu Eksploatacji Systemu. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 17
2.3.3. Dokumentacja (TD) TD1. TD2. TD3. TD4. Dokumentacja standardowa (produktowa) urządzeń musi być dostarczona do wglądu przed zawarciem umowy na dostawę urządzeń. Przed zainstalowaniem urządzeń w CPD musi być sporządzony Projekt Techniczny Systemu, opisujący warunki dołączenia urządzeń do infrastruktury technicznej, oraz parametryzację niezbędną do zainicjowania i uruchomienia układu nadmiarowego. Do przeprowadzenia testów akceptacyjnych ykonawca dostarczy dokument Modelu Eksploatacji Systemu, obejmujący opis proponowanych ról administratorów i użytkowników Systemu, oraz procedur eksploatacyjnych. śród opisanych procedur eksploatacyjnych muszą się znaleźć w szczególności inicjowanie HSM, tworzenie partycji dla kluczy, tworzenie kopii zapasowych ustawień modułów sieciowych oraz materiału kryptograficznego, odtwarzanie kopii zapasowych, dołączanie nowych klientów z systemów operacyjnych indows oraz Linux Dokumentacja powykonawcza musi obejmować opis zastosowanej architektury i konfiguracji, spis dostarczonych elementów Systemu, warunki konserwacji Systemu, oraz protokoły z przeprowadzonych testów. 2.3.4. Instruktaż stanowiskowy (TI) TI1. TI2. Przed rozpoczęciem testów akceptacyjnych musi być przeprowadzony co najmniej 1-dniowy, instruktaż stanowiskowy dla 10-cio osobowej grupy administratorów i użytkowników Systemu z zakresu procedur eksploatacyjnych opisanych w Modelu Eksploatacji Systemu. Instruktaż musi uwzględniać konfigurację wdrożonego Systemu (typy urządzeń i wersje oprogramowania, czytniki kluczy sprzętowych, moduły serwisowe, itd.). Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 18
Instruktaż stanowiskowy musi obejmować wprowadzenie z następującego zakresu: TI3. a. architektura rozwiązań HSM, b. przegląd budowy i cech urządzeń, c. mechanizmy zapewnienia wysokiej dostępności, d. rozwiązania kopii zapasowych, e. używanie powłoki zarządzania, f. zdalne zarządzanie zabezpieczeniami i materiałem kryptograficznym przez sieć informatyczną. 2.4. Zobowiązania Zamawiającego Zamawiający zapewni: dostęp do systemów teleinformatycznych oraz miejsca pracy w siedzibie Zamawiającego inżynierom realizującym prace, dostęp do instalowanego lub konfigurowanego sprzętu z wymaganymi uprawnieniami niezbędnymi do przeprowadzenia prac przez administratora wdrażającego pod nadzorem administratora Zamawiającego, przygotowanie infrastruktury serwerowni tj. okablowania LAN, zasilania elektrycznego oraz szaf teleinformatycznych. 2.5. ymagania dotyczące realizacji prac 2.5.1. Ramowy harmonogram Lp. Etap I - DOSTAA Termin realizacji Dostawa urządzeń zgodnie z SIZ 4 tygodnie od daty zawarcia Umowy 1. Lp. Etap II - DROŻENIE Termin realizacji 1. Opracowanie Projektu Technicznego Systemu z wykorzystaniem dostarczonych przez ykonawcę urządzeń oraz infrastruktury Zamawiającego 6 tygodni od daty zawarcia Umowy Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 19
2. Opracowanie Modelu Eksploatacji Systemu 8 tygodni od daty zawarcia Umowy 3. Instalacja i konfiguracja Systemu oraz testy i instruktaż stanowiskowy 11 tygodni od daty zawarcia Umowy 4. Dostarczenie dokumentacji powykonawczej 12 tygodni od daty zawarcia Umowy 2.5.2. Przebieg wdrożenia ykonawca ma obowiązek wykonać następujące zadania: 1. Opracowanie Projektu Technicznego Systemu, spełniającego wymagania funkcjonalne i pozafunkcjonalne opisane w p.2.1 i p. 2.2 SIZ Cz.II 2. Montaż urządzeń w CPD Lokalizacji Centralnych 3. Skonfigurowanie układu HSM do pracy produkcyjnej 4. Przeprowadzenie testów integracyjnych urządzeń i oprogramowania klienckiego dla AD CS 2012 z OCSP 5. Zainicjowanie magazynu kluczy dla PKI GK PSE 6. ykonanie i dostarczenie Modelu Eksploatacyjnego Systemu 7. Przeprowadzenie testów akceptacyjnych zgodnie z dostarczonym Modelem Eksploatacyjnym Systemu szystkie prace wykonywane przez ykonawcę wykonywane są pod nadzorem Zamawiającego. 2.5.3. Miejsce wdrożenia Dostawa, montaż, instalacja, testy i wszelkie prace wykonywane są przez ykonawcę w Lokalizacjach Centralnych. 2.6. eryfikacyjne testy funkcjonalne Zamawiający rezerwuje sobie prawo do przetestowania wybranych wg. rozdziału 2.1 funkcjonalności zaoferowanego Systemu przed zawarciem Umowy z ykonawcą. przypadku niespełnienia któregokolwiek z obowiązkowych wymagań (oznaczonych symbolem ) Zamawiający rezerwuje sobie prawo do odrzucenia oferty, jako niezgodnej z SIZ. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 20
ymagane produkty 3. YMAGANE PRODUKTY ykonawca dostarczy następujące produkty: Lp. 1. Projekt Techniczny Systemu 2. System zgodny z Projektem Technicznym 3. Model Eksploatacji Systemu 4. Dokumentacja powykonawcza 5. Potwierdzenie przeprowadzenia instruktażu stanowiskowego Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 21
Produkty 4. PRODUKTY 4.1. Projekt Techniczny Systemu Projekt Techniczny Systemu będzie zawierał: Lp. 1. Architekturę rozwiązania i opis poszczególnych elementów funkcjonalnych: Funkcje podstawowe, Mechanizmy niezawodności, Mechanizmy bezpieczeństwa, Koncepcja podziału HSM na domeny zarządzania (partycje), Koncepcja konfiguracji HSM w Lokalizacjach Centralnych. 2. Topologię fizyczną i logiczną Systemu: Połączenie dostarczanych urządzeń, Integracja z istniejącą infrastrukturą sieciową Systemu produkcyjnego. 3. Konfigurację dla poszczególnych urządzeń i oprogramowania oraz wytyczne do ich implementacji: Adresacja urządzeń, Nazewnictwo urządzeń, eryfikacja dostępności wymaganej funkcjonalności w odniesieniu do danego urządzenia i wersji oprogramowania, Korzystanie ze źródła czasu NTP, Monitorowanie przez SNMP, Eksport dzienników systemowych, Zalecany plan kopii zapasowych. 4. Rozlokowanie urządzeń w szafach przemysłowych (rack 19 ) 5. ymagania dotyczące zasilania i klimatyzacji 6. Inne wymagania techniczne niezbędne do realizacji przedmiotu Umowy 7. Szczegółowy harmonogram realizacji zadania z podziałem na poszczególne etapy zadania zakończone testami i odbiorami 8. Opis testów Systemu: Scenariusze testów niezawodnościowych i funkcjonalnych służących do odbiorów poszczególnych zadań, Procedura prowadzenia testów (w tym dokumentowania, poprawiania błędów oraz retestów). Zakres testów: Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 22
Produkty Lp. Testy redundancji całej nowej konfigurowanej infrastruktury, Testy redundancji LAN i zasilania elektrycznego, oraz redundancji na poziomie sprzętowym i programowym. Testy wykonuje Zamawiający, ze strony ykonawcy zapewniona jest asysta. Dotyczy to wszystkich testów. Zakres testów uzgodniony z Zamawiającym przed przystąpieniem do testów. Zakres testów może obejmować wszystkie aspekty wdrożenia. Przed przystąpieniem do testów wykonywanych przez Zamawiającego ykonawca przedstawi uzgodnioną z Zamawiającym dokumentację opisującą przebieg testów i scenariusze, na podstawie której będą wykonywane testy. Projekt powinien być sporządzony w języku polskim. 4.2. System zgodny z Projektem Technicznym ykonawca zapewni realizację następujących prac: Lp. 1. Kompletacja wszystkich dostarczonych podzespołów Systemu 2. Montaż fizyczny wszystkich elementów w szafach montażowych (wskazanych przez Zamawiającego) 3. Podłączenie całości okablowania niezbędnego do pracy Systemu (zasilanie, okablowanie miedziane) w Lokalizacjach 4. Aktualizacja oprogramowania w dostarczonych urządzeniach 5. Implementacja docelowej konfiguracji zgodnie z zatwierdzonym przez Zamawiającego Projektem Technicznym Systemu: Parametryzacja modułów sieciowych HSM, Zainicjowanie HSM, Ustawienie zalecanych polityk zabezpieczeń, Integracja z urzędem certyfikacji MS ADCS i MS OCSP, Podłączenie do systemu monitorowania i zbierania dzienników zdarzeń. 6. Testy rozwiązania (asysta przeprowadza Zamawiający): Testy połączeń między urządzeniami Kopia zapasowa konfiguracji Odtworzenie konfiguracji w przypadku awarii Testy redundancji (pojedyncze urządzenia, klastry) Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 23
Produkty Lp. Testy całości Systemu Testy polityk dostępowych Zdalne zarządzanie szelkie inne testy uzgodnione z Zamawiającym na etapie Projektu Technicznego Systemu Testy będą prowadzone wg. opracowanych scenariuszy testowych a wyniki odnotowywane w arkuszach testowych (produkt Projektu Technicznego Systemu). szelkie błędy będą opisywane w trakcie testów w systemie służącym do śledzenia błędów udostępnionym wg. uzgodnień na etapie Projektu Technicznego Systemu. 7. Korekta konfiguracji i naprawienie błędów oraz ponowne testy w celu weryfikacji poprawności 8. szelkie inne prace niezbędne w celu uruchomienia dostarczonego Systemu 4.3. Model Eksploatacji Systemu ykonawca dostarczy dokumentację Modelu Eksploatacji Systemu, która zostanie zweryfikowana przez Zamawiającego, a ykonawca po przeprowadzeniu tej weryfikacji naniesie w niej stosowne korekty. Model Eksploatacji Systemu będzie zawierać: Lp. 1. Procedury eksploatacyjne: Inicjowanie systemu Administrowanie systemem Konfigurowanie nowych klientów systemu Zarządzanie domenami (partycjami) systemu ykonywanie kopii zapasowych Odtwarzanie po katastrofie Obsługa awarii sprzętu lub oprogramowania Testowanie zmian konfiguracji 2. Opisy ról administratorów i użytkowników: Administratora modułów sieciowych HSM Administratora polityk zabezpieczeń kryptograficznych Administratora domeny zarządzania Użytkownika partycji Auditora systemu Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 24
Produkty 4.4. Dokumentacja powykonawcza Dokumentacja powykonawcza będzie zawierać: Lp. 1. Architekturę rozwiązania 2. Topologię fizyczną i logiczną rozwiązania 3. Adresację IP i nazewnictwo urządzeń 4. Dokumentację konfiguracji poszczególnych urządzeń 5. Spis wszystkich dostarczonych licencji i oprogramowania 6. Rozlokowanie sprzętu w szafach przemysłowych 7. ymagania dotyczące zasilania i klimatyzacji 8. arunki konserwacji urządzeń 9. Protokoły testów obejmujące wszystkie przeprowadzone testy i ich wyniki, opisy wszystkich błędów i sposobów ich korekty/usunięcia oraz wyniki retestów. 4.5. Instruktaż stanowiskowy (IS) ramach wdrożenia ykonawca przeprowadzi instruktaż stanowiskowy dla grupy 10-ciu przedstawicieli Zamawiającego: IS1. IS2. Instruktaż musi być przeprowadzony w siedzibie Zamawiającego lub innym uzgodnionym miejscu, w co najmniej dwóch turach dla personelu administrującego Systemem ze strony Zamawiającego. Instruktaż musi uwzględniać konfigurację wdrożonego Systemu (typy urządzeń i wersje oprogramowania, czytniki kluczy sprzętowych, moduły serwisowe, itd.). Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 25
ymagania dotyczące powdrożeniowego wsparcia technicznego i gwarancji 5. YMAGANIA DOTYCZĄCE PODROŻENIOEGO SPARCIA TECHNICZNEGO I GARANCJI ykonawca zapewni: P1. P2. Pomoc techniczną w rozwiązywaniu problemów technicznych oraz koordynację zgłoszeń realizowanych przez centra wsparcia technicznego poszczególnych producentów. Konsultacje i optymalizację wdrożonego Systemu na miejscu u Zamawiającego 40 godzin w okresie świadczenia wsparcia technicznego. Bank PEKAO SA Oddział w arszawie ul. Nowogrodzka 11, 00-950 arszawa 26