Pořízení HW a SW pro oddělení REMIT
Basic Information
PROCUREMENT PROCEDURE NAME
Pořízení HW a SW pro oddělení REMIT
Contracting authority
Energetický regulační úřadNEN system number
N006/20/V00023656
CURRENT STATUS OF THE PROCUREMENT PROCEDURE
Not terminated
DIVISION INTO LOTS
No
PROCUREMENT PROCEDURE ID ON THE CONTRACTING AUTHORITY'S PROFILE
P20V00023656
Public contract regime
Small-scale public contract
PROCUREMENT PROCEDURE TYPE
Otevřená výzva
SPECIFICATIONS OF THE PROCUREMENT PROCEDURE
Zakázka malého rozsahu
Type
Public supply contract
DATE OF PUBLICATION ON PROFILE
15. 09. 2020 10:48
Submission Specifications
DEADLINE FOR SUBMITTING TENDERS
24. 09. 2020 09:00
Contact Person of the Contracting Authority
Name
Pavel
Surname
Kutiš
pavel.kutis@eru.cz
Phone 1
+420 564578668
Subject-Matter
SUBJECT-MATTER DESCRIPTION
A) Serverová skříň B) Firewall C) Elektronický zabezpečovací systém do racku D) Kamera E) Nástroj pro prevenci ztráty dat - DLP + roční podpora F) Nástroj pro řízení privilegovaných účtů - PAM/PIM + roční podpora
Code from the NIPEZ code list
48730000-4
Name from the NIPEZ code list
Balík programů pro zabezpečení
Main place of performance
Kraj Vysočina
Code from the CPV code list
48730000-4
Name from the CPV code list
Balík programů pro zabezpečení
Text field for describing the place of performance
Tolstého 15, 586 01 Jihlava
Subject-Matter Items
| Show detail | ITEM DESCRIPTION | |||
|---|---|---|---|---|
| A) Serverová skříň | 48821000-9 | Síťové servery | Serverová skříň – 1 kus • 19" datový rozvaděč s celosvařovanou konstrukcí • výška 42U • rozměr 800 (šířka) x 1000 (hloubka) mm • nosnost 1500kg • 2 páry posuvných 19" vertikálních lišt • Přední dveře o Dveře s perforací – míra perforace 86 % o Výklopná páková klika – profil DIN, univerzální klíč 333, vícebodový o Úhel otevření dveří 180° o Možnost změny zavěšení pro pravé nebo levé • Zadní dveře o Dveře s perforací – míra perforace 86 % o Výklopná páková klika – profil DIN, univerzální klíč 333, vícebodový • Boční panely odnímatelné, se zámky • Horní a dolní kryt odnímatelný, s otvory pro kabely krytými odnímatelnými záslepkami • Výškově nastavitelné nohy • 100 ks montážní materiál M5 do racku | |
| B) Firewall | 32420000-3 | Síťová zařízení | Firewall – 1 kus • HW appliance • Porty: o 5x síťové rozhraní copper RJ45 10/100/1000 o Konzolový port pro management o USB 3.0 port pro zálohu konfigurace • Výkonnostní parametry: o Propustnost FW (stavové filtrování, UDP paket) paket o velikosti 1518 B, 512 B, 64 B- min 4500 Mbps, 4500 Mbps, 4500 Mbps o Latence firewallu (64 B UDP paket) - max 5 mikro sec o Výkon firewall – 700000 paketů / s o Počet naráz otevřených spojení – min 650 000 o Počet nových spojení za sekundu - min. 32 000 o Počet firewall pravidel až 5 000 o Podpora virtualizace (min 10 virtuálních kontextů) • Funkce Networking a High Availibility o Podpora režimu vysoké dostupnosti, L2, Active Active, Active Passive, full mesh HA, VRRP, synchronizace stavové tabulky a IPsec SAs mezi nódy v clusteru o Režim fungování L2 – transparentní režim, L3 – NAT/Router o Podpora VLAN o Podopora multicast, vytváření politiky pro multicast routování o Podpora 802.3ad link aggregation o Funkce Load Balancing – možnost rozdělování zátěže směrující na virtuální IP na reálně servery, podpora health check funkcí, podpora SSL offloading o Podpora centrální NATovácí tabulky, stavová inspekce SCTP komunikace o Podpora dynamických routovacích protokolů BGP, OSPF, ISIS, RIP o Policy-based routing o Funkce SD WAN – možnost rozkládání provozu mezi více linek na základě aplikačních signatur, IP adres a portů u známých aplikací, kvality linky včetně automatické detekce nefunkčnosti linky • Funkce SSL VPN o Podpora klientského i bezklientského (portálového) režimu o Minimální počet současně navázaných SSL VPN tunelů: 180 o Minimální propustnost SSL VPN: 450Mbps • Funkce IPSEC VPN o podpora site-to-site VPN o podpora klientských VPN o dostupnost VPN klienta pro koncové stanice (Windows, MacOS) o funkce klientských IPSec VPN nesmí být licencovaná na počet uživatel. V opačném případě požadujeme dodání neomezené licence. o Minimální počet IPSEC VPN tunelů typu lokalita-lokalita: 180 o Minimální počet klientských IPSEC VPN tunelů: 220 o propustnost IPSec VPN min. 4 Gbps (měřeno při AES256-SHA256) o podpora konfigurace redundatních IPSec VPN tunelů za pomoci statického směrování o podpora konfigurace redundatních IPSec VPN tunelů za pomoci dynamického směrování o podpora funkce dynamického navazování IPsec tunelů dle potřeby komunikace • Podpora VXLAN • podpora dynamických routovací protokolů OSPF, BGP ve VPN IPsec • Aplikace firewall policy na známé internetové služby, kde databáze těchto služeb je pravidelně aktualizována výrobcem • Podpora Identity based policy – nastavení bezpečnosti uživateli na základě členství ve skupině na doménovém kontroléru • Viditelnost do provozu na aplikační úrovni • Možnost definice FW pravidel v tzv. NGFW režimu (tj. součástí základní definice FW pravidla je kromě zdroje/cíle také typ aplikace (definované v rámci funkce application control, nikoliv pouhý TCP/UDP port) resp. kategorie URL filteringu (nikoliv jako AppCtrl resp URL filtering profil aplikovaný na dané pravidlo). • Ověřování uživatelů LDAP, Active Directory, Single Sign On, Radius, TACACS+, Ověřování na základě certifikátu • Dynamické profily – možnost přiřadit konkrétní profil uživateli na základě jeho ověření. • Traffic Shaping, QoS s podporou priroritizace provozu na základě DSCP markování a ToS, aplikace traffic shaping na konkrétní aplikaci nebo webovou kategorii • Podpora funkce reverzní proxy • Podpora silné autentizace uživatelů – integrovaná podpora generátor jednorázových hesel (OTP) – pro dvoufaktorovou autentizaci, podpora certifikátů pro ověření uživatelů • Funkce detekce aplikací na L7 (Application Control) • Funkce detekce a potlačení narušení (IPS/IDS) • Funkce antivirové kontroly • Funkce kategorizace webových stránek • Funkce DNS filtru • Podpora SSL dekrypce/SSL inspekce s minimální propustností 300Mbps • DoS Policy prevence proti základním útokům typu DoS Záruka HW a licenční pokrytí všech požadovaných funkcionalit po dobu 5 let | |
| C) Elektronický zabezpečovací systém do racku | 32420000-3 | Síťová zařízení | EZS do racku – 1 ks • Zabezpečovací ústředna s 6-ti zónami na základní desce s možností rozšíření až do maximálního počtu 16 zón pomocí drátových zón a nebo bezdrátových zón, dělitelná na 2 podsystémy (bloky) • 2 PGM výstupy: rozšiřitelná až na 22 • Ovládání pomocí aplikace po IP a přes SMS, • Dodávka včetně akumulátoru a příslušenství pro připojení čidel. • Ústředna umístěna v samostatné krabici. • IP komunikátor + GSM/GPRS/3G, umožňuje přenos na PCO, vzdálené programování a dohled SG-System I, SG-System II nebo SG-System III s TCP/IP kartou • LCD alfanumerická klávesnice s krytem kláves, velký 32 znakový displej, 1 zónový vstup/výstup, zobrazení stavu 128 zón, v globálním režimu zobrazení stavu 8 bloků vč. ovládání zobrazení stavu systému, poruchové stavy, podporuje prohlížení paměti událostí, 5 prog. tlačítek, 3 tísňová tlačítka, podsvícení kláves, vestavěný piezo-elektrický bzučák s volbou tónů Součást dodávky: • 9 ks magnetický sběrnicový kontakt pro povrchovou montáž, skryté všechny šrouby, použití i na kovové dveře, bílá barva • 10 ks bezkontaktní přívěsky RFID • 1 ks Venkovní digitální zálohovaná siréna s blikačem, 104-106 dB (3 m), volba tónu, včetně baterie • 1 ks Otřesový detektor s autokalibrací a vizuální indikací a pamětí poplachu. | |
| D) Kamera | 30237240-3 | Webová kamera | IP kamera – 2 ks • Síťová bezpečnostní kamera • Pevné ohnisko • Rozlišení 1920 x 1080 • Videoformát: MPEG-4, MJPEG, H.264 • Rychlost snímků: 30 obr./s • Horizontální zobrazení pole (úhel): 110° • Vertikální zobrazení pole (úhel): 61° • Minimální osvětlení: o 0.25 lux - barevný - F2.0 - 50 IRE o 0.05 lux - ČB - F2.0 - 50 IRE o 0 lux – IR, dosah vestavěného IR min. 6m • Připojení Ethernet 10Base-T/100Base-TX (konektor RJ-45) • Napájení PoE+ (injektor součástí dodávky) • Funkce: nastavení ostrosti, vyrovnání bílé, ovládání automatické expozice, nastavení barev, nastavení jasu, nastavení kontrastu, Wide Dynamic Range (WDR), infračervený filtr (ICR), digitální funkce PTZ, ochrana heslem, objektiv IR-corrected • Síťové protokoly: DDNS, DHCP, DNS, FTP, HTTP, NTP, SMTP, TCP/IP, UDP/IP, ARP, ICMP, SNMP 1, SNMP2c, SNMP3, SOCKS, RTSP, RTP, HTTPS, UPnP, TLS, IPv4, IPv6, Bonjour, RTCP, SMB, IGMP, SSH, SSL, QOS, CIFS, SFTP • Provozní teplota 0°-40°C | |
| E) Nástroj pro prevenci ztráty dat - DLP + roční podpora | 72310000-1 | Zpracování dat | DLP systém Licence pro 10 uživatelů – předplatné na 1 rok Obecné požadavky • Integrace s MS Active Directory • Podpora pro MS SQL 2012 nebo novější • Podpora operačních systémů Windows 7, 8.1 a 10 • Podpora serverových operačních systémů Windows Server 2008 R2 nebo novějších. • Podpora terminálových prostředí • Centrální administrátorská konzole • Řízená uživatelská práva do nastavení konzole, k výsledným logům a administraci řešení • Skrytý režim na koncové stanici včetně procesů a složek, a to včetně lokálních i doménových administrátorů • Ochrana proti zastavení systému • Ochrana proti zastavení systému musí být aktivní u běžného uživatele, lokálního i doménového administrátora • Ochrana proti zastavení procesů; V případě vyšších uživatelských práv dojde k restartu zastavených procesů či k použití jiných způsobů pro obnovu služby • Ochrana proti odinstalaci řešení bez potřebné autorizace • Ochrana proti editaci registrů, systémových komponent či DLL knihoven • Ochrana proti změně nastavení na koncové stanici • Nutná možnost ochrany i u operačního systému v režimu “safe mode” • Všechny funkcionality musí být zachovány i v offline módu, např. když koncová stanice není připojena k firemní síti nebo k internetu • Možnost pracovat s historickými daty • Řešení musí podporovat možnost poskytnutí záloh vlastních komponent, převážně pak všech záznamů a nastavení • Automatické generování emailových varování v případě incidentů, možnost změnit citlivost a specifikace incidentu • Automatické generování emailových reportů s možností úprav obsahu (množství informací, množina uzlů, frekvence odesílání, příjemci) • Možnost zasílání reportů do SIEM systémů Datový Audit Všeobecně: • Detailní informace o aplikacích, jako čas spuštění a jejich aktivním využití. Aplikace jsou rozděleny do kategorií pro přehlednou správu • Detailní informace o webech, jako jejich aktivní využitím, informacích o URL, použitém protokolu, hlavičky webu, a to bez ohledu na použitý prohlížeč. Weby jsou rozděleny do kategorií pro přehlednou správu • Detailní informace o práci se soubory, jako přehled uživatelů a aplikací pracujících se soubory, souborové operace (otevření, přejmenování, kopírování, smazání, …), a informace o cestách (systémové, externí, webové, cloudové, …) • Lokální souborové operace – kopírování, přesouvání, stahování z webu, FTP, smazání, vytvoření, otevření, a to včetně zdrojové a cílové identifikace: cesta, typ zařízení, jedinečný identifikátor • Logování tiskových úloh • Možnost exportu reportů do XLS, PDF Zaznamenávání komunikace • Podpora POP3, IMAP, MAPI / Exchange protokolů včetně SSL šifrování • Podpora desktopových emailových klientů (Microsoft Outlook, Mozilla Thunderbird,…) - řešení je schopno zaznamenávat emaily nezávisle na použité aplikaci • Podpora zaznamenávání souborů odeslaných přes web mailové klienty • Podpora zaznamenávání souborů odeslaných přes IM komunikační nástroje Aktivita koncových stanic • Log ze zapnutí/vypnutí PC • Log z přihlášení/odhlášení uživatele • Log z uspání/probuzení PC Síťová aktivita: • Množství odeslaných/stažených dat Ochrana Dat Všeobecně: • Ochrana nezávisle na použitém SW, protokolu, včetně šifrovaných spojení • Řešení podporuje zabezpečení dat i v případě pokusu o porušení ochrany, např. Pomocí symbolických odkazů na složku s daty apod. Šifrování: • Šifrování celých disků včetně systémových • Šifrování externích USB disků Obecná ochrana • Definice kategorií citlivých dat dovoluje omezení pohybu a práce s těmito daty; určuje, která média mohou být použita pro přenos, které sítě mohou být použity pro upload, na které emailové adresy mohou být data odeslána, které aplikace mohou s daty pracovat • Možnost aplikace politik pro konkrétní aplikace – definice zdroje a cíle (přístup na externí zařízení, síť, tisk, virtuální tisk) a správa uživatelských operací (použití schránky, snímání obrazovky) • Možnost správy nepovolených cloudových úložišť • Možnost úplné blokace uživatelských akcí, informativní notifikace uživatele či pouhého logování uživatelských akcí • Ochrana citlivých dat • Možnost definice citlivých dat pomocí předdefinovaných slovníků a algoritmů • Možnost definice citlivých dat pomocí vlastních řetězců či regulárních výrazů • Možnost importu vlastních slovníků • Možnost nastavení počtu výskytů citlivých údajů • Dynamické restrikce nad soubory a aplikacemi, pokud je detekován citlivý obsah • Blokace odeslání dat s citlivým obsahem mimo koncovou stanici – správa běžných komunikačních kanálů: e-mail, web upload, externí zařízení, IM komunikační nástroje, synchronizace s cloudovými aplikacemi • Detekce dat obsahujících citlivý obsah, uložených na koncové stanici nebo na sdíleném síťovém disku • Možnost integrace s klasifikací třetích stran uložených v metadatech souborů Správce zařízení • Restrikce pro USB zařízení, paměťové karty, Bluetooth zařízení, optické disky či FireWire • Možnost vynucení režimu Pouze pro čtení u připojených zařízení • Zaznamenávání všech připojených zařízení včetně monitorů, myší a klávesnic • Správa mobilních zařízení – MDM (Android, iOS) | |
| F) Nástroj pro řízení privilegovaných účtů - PAM/PIM + roční podpora | 48730000-4 | Balík programů pro zabezpečení | PAM/PIM systém Licence pro 5 uživatelů a 50 zařízení nebo 5 souběžných připojení. Včetně SW maintenance výrobce na 1 rok • Systém podporuje instalaci v režimu vysoké dostupnosti. • Nástroj musí být dodán jako fully packaged software (obsahuje i OS) s podporou pro virtuální prostředí VMWARE. • Nástroj musí fungovat jako přístupová proxy s podporou minimálně SSH a RDP protokolů na primárním spojení (mezi privilegovaným uživatelem a proxy). • Nástroj musí podporovat sekundární připojení (mezi proxy a monitorovaným systémem) minimálně prostřednictvím protokolů SSH, RDP, VNC a TELNET. • Nástroj nesmí vyžadovat žádné instalace software (agentů) na monitorovaný systém. • Nástroj musí umožnit zaznamenávání administrativních relací jakožto síťového provozu a následně poskytnout prostřednictvím webového rozhraní možnost shlédnutí záznamu relace • Nástroj musí umožnit následný export videozáznamu do běžně podporovaného typu souboru (.mp4 či .flv) • Nástroj musí zaznamenávat a uchovávat všechny uživatelem zadané příkazy v průběhu SSH a RDP relací. • Nástroj musí umožnit zaznamenávat a uchovávat názvy všech oken otevřených v průběhu RDP relace • Nástroj musí umožnit sběr metadata v průběhu RDP relace alespoň v rozsahu: změna aktivního okna, operace s tlačítkem v okně, volba na radio buttonu či check boxu v okně, změna obsahu textového pole v okně, změna rozložení kláves, začátky a ukončení procesů, manipulace se soubory prostřednictvím clipboardu, manipulace se soubory prostřednictvím přesměrovaných lokálních diskových jednotek. • Nástroj musí podporovat integraci se SIEM/SYSLOG. • Nástroj musí umožnit nastavení blokace všech, či vybraných TCP spojení zahájených z monitorovaného RDP serveru za účelem navázání neautorizovaných spojení. • Nástroj musí poskytnout ochranu hesel zadávaných v průběhu RDP relace prostřednictvím detekce vstupu kurzoru do pole pro vyplnění hesla či UAC (User Account Control) okna. • Nástroj musí podporovat integraci s externím uživatelským adresářem v minimálním rozsahu LDAP/LDAPS/Microsoft Active Directory/RADIUS/KERBEROS/TACACS+ • Integrace s LDAP či Active Directory nesmí záviset na periodických synchronizacích. Systém musí mapovat schémata uživatelských skupin z LDAP/AD do lokálních PAM skupin. • Nástroj musí poskytovat různé metody autentizace privilegovaných uživatelů na monitorovaných systémech, minimáně: o Autentizace privilegovaného uživatele na monitorovaném systému pomocí stejných přihlašovacích údajů, které byly využity pro autentizaci na proxy. o Autentizace privilegovaného uživatele na monitorovaném systému pomocí statických a bezpečně uložených přihlašovacích údajů. (např. root, admin, privilegovaný lokální účet). o Vyzváním uživatele k opětovnému zadání přihlašovacích údajů k monitorovanému systému, bez jejich zaznamenání. • Nástroj musí umožnit nastavení časových rámců, ve kterých nebude možné navázat spojení (den/čas). • Nástroj musí umožňovat schvalování přístupu privilegovaného uživatele k určitým monitorovaným systémům. Schvalování přístupu musí fungovat minimálně v následujícím rozsahu: o Privilegovaný uživatel požádá o přístup. o Určitý počet PAM administrátorů obdrží žádost o přístupu. o Minimální definovaný počet PAM administrátorů schválí žádost. o Privilegovaný uživatel získá přístup k monitorovanému systému. • Nastroj musí umožňovat ukládání zaznamenaných relací lokálně či na externí úložiště CIFS/NFS. • Správce nástroje / auditor musí mít možnost pozorovat probíhající relace v reálném čase, včetně možnosti pozorovanou relaci uknočit. • Při auditu či kontrole proběhlé relace nástroj musí mít možnost zobrazit metadata a videozáznam relace na jedné stránce. • Licencování nástroje nesmí být omezeno na počet jeho instancí nainstalovaných v infrastruktuře zadavatele. • Systém musí podporovat shodu se standardy minimálně ISO 27001, HIPAA, SOX, PCI-DSS a další • Systém dokáže fungovat jako jednotný přístupový bod pro několik instancí v necentralizované infrastructure • Systém poskytuje schopnost pracovat se sdílenými účty • Systém je spravován pomocí jednotné centrální konzole |
Place of Performance
| CZ063 | Kraj Vysočina |
Additional Information
AWARDED ON THE BASIS OF A FRAMEWORK AGREEMENT
No
AWARDED IN A DNS
No
THE RESULT OF THE PP WILL BE THE IMPLEMENTATION OF A DNS
No
This is a framework agreement
No
Imported public contract
No
Publication Records in the NEN System
| Show detail | ||||
|---|---|---|---|---|
| 15. 09. 2020 10:48 | Uveřejnění zadávacích podmínek |