1. Przedmiotem zamówienia jest zakup licencji na oprogramowanie Firewall aplikacyjny firmy Fortinet - FortiWeb - Web Aplication Firewall - virtual appliance for up to 4 x vCPU core lub dostawa Oprogramowania Równoważnego.
Poprzez dostawę Oprogramowania Równoważnego Zamawiający rozumie: dostawę licencji, wdrożenie, parametryzację oraz takie jego skonfigurowanie, by Zamawiający mógł korzystać z oprogramowania w zakresie wskazanym w niniejszym dziale oraz w sposób określony w SIWZ i Projekcie Umowy. W przypadku dostawy Oprogramowania równoważnego Wykonawca zobowiązany jest również do udzielenia gwarancji i przeprowadzenia szkolenia dla użytkowników końcowych i administratorów.
Oprogramowanie Firewall aplikacyjny firmy Fortinet - FortiWeb - Web Aplication Firewall - virtual appliance for up to 4 x vCPU core /Oprogramowanie równoważne powinno spełniać następujące warunki:
- wszystkie elementy systemu zabezpieczeń muszą być dostarczone przez jednego producenta w formie gotowych maszyn wirtualnych działających w środowisku ESX/ESXi
- system musi działać w następujących trybach pracy: Transparent Bridge (inline warstwa 2 ISO/OSI), Transparent Reverse Proxy – tj praca w trybie proxy nie wymagająca korzystania z nowych adresów IP, Reverse Proxy oraz Sniffing przy czym musi istnieć możliwość działania w trybie Transparent Bridge oraz Transparent Reverse Proxy w obrębie tych samych chronionych aplikacji.
- moduły wykonawcze muszą mieć możliwość pracy w trybie High Availability (HA), powinny zawierać mechanizm ochrony typu Stateful Firewall oraz weryfikować zgodność komunikacji sieciowej ze standardem protokołu tcp/ip, opisanym w RFC.
- system musi mieć wydajność analizy protokołu http/https na poziomie 500Mbps uwierzytelnianie użytkowników oferowanego rozwiązania musi być możliwe za pomocą integracji z Active Directory, LDAP w celu uzyskania dodatkowych informacji w logach na temat użytkownika. Obsługiwane muszą być nie mniej niż następujące metody uwierzytelnienia: formularze html, certyfikat cyfrowy, kerberos, NTLM.
- całość konfiguracji oraz repozytorium logów musi być przechowywane na centralnym serwerze zarządzania
- system powinien na podstawie analizy obserwowanego ruchu zbudować odzwierciedlenie całej struktury aplikacji, składającej się z katalogów, URLi, metod dostępu, parametrów, typów wartości oraz długości ciągów znaków wprowadzanych przez użytkowników w poszczególnych formatkach a w szczególności powinien umożliwiać naukę formularzy, służących do logowania się użytkowników do aplikacji Web.
- system powinien zagwarantować wysoki poziom ochrony serwerów Web oraz serwerów aplikacyjnych ( uwzględniając elementy XML oraz akcje SOAP) przed różnego typu atakami, a także powinien monitorować poprawne zachowanie chronionej aplikacji, a wszelkie próby wyjścia poza to poprawne zachowanie powinien blokować. Wymagane są sygnatury dla nie mniej niż : sieci, aplikacji Web, zapytań Web.
- monitorowanie i kontrolowanie w czasie rzeczywistym wszystkich operacji wykonywanych przez użytkowników. Rozwiązanie musi posiadać możliwość rejestrowania naruszeń bezpieczeństwa oraz udostępniać administratorom co najmniej następujące informacje o zdarzeniach: nazwa użytkownika aplikacyjnego (jeżeli klient zalogował się w systemie przez aplikację Web) , dodatkowe atrybuty użytkownika z zewnętrznych repozytoriów jak baza danych czy LDAP oraz zapytanie HTTP przesłane do serwera aplikacji Web
- musi istnieć możliwość rejestrowania kodu źródłowego strony zwracanej klientowi przez aplikację Web, dostępnego bezpośrednio z interfejsu GUI serwera zarządzającego
- system powinien posiadać GUI dostępne przez przeglądarkę internetową w celu zoptymalizowania pracy, eliminacji konieczności instalacji dodatkowego oprogramowania na stacji administratora a także scentralizować zarządzanie całością rozwiązania
- samoczynne uczenie się "normalnych" zachowań aplikacji umożliwiając przegląd zestawienia zachowań użytkowników z informacją o zagrożeniach
- kontrolowanie dostępu do danych wrażliwych występujących w aplikacjach ,które system ma chronić
- przyśpieszenie procesów reagowania na incydenty naruszenia bezpieczeństwa oraz procesów śledczych dzięki zastosowaniu technik analitycznych
- automatyczne uczenie się struktury danej aplikacji webowej oraz zachowań użytkowników, profil aplikacji Web musi być budowany w sposób automatyczny poprzez analizę ruchu sieciowego. Musi istnieć możliwość automatycznej aktualizacji profilu w przypadku wystąpienia zmiany w strukturze aplikacji.
- system musi posiadać możliwość sprawdzenia, które z wykorzystywanych pól aplikacji są typu „read-only” i nie mogą być zmieniane przez klientów
- wykrywanie ruchu sieciowego pochodzącego z potencjalnie niebezpiecznych źródeł w tym sieci TOR- ukrywania źródła ataku, szkodliwe adresy IP z których wielokrotnie zaatakowano inne strony Internetowe
- tworzenie wirtualnych poprawek dla aplikacji poprzez integrację ze skanerem podatności
- musi istnieć możliwość tworzenia własnych raportów, zarówno w formie tekstowej jak i reprezentacji graficznej bezpośrednio z centralnego serwera zarządzającego oraz możliwość cyklicznego wysyłania raportów wiadomością e-mail. Rozwiązanie musi posiadać funkcję wysyłania informacji o zdarzeniach: poprzez protokół SNMP. System musi posiadać możliwość wygenerowania gotowych raporty dotyczących: alarmów bezpieczeństwa, zdarzeń systemowych, zmian w profilach aplikacji, ostrzeżeń, ataków, prób włamań
- tworzenie tzw. "białej listy" akceptowanych zachowań użytkownika (profilowanie chronionych aplikacji), nie może dodawać do profilu informacji pochodzących z przeprowadzanych ataków.
- automatyczne wykrywanie niepożądanych atrybutów, niezgodnych z protokołem http
- system powinien analizować słabe punkty zgłaszane przynajmniej przez Bugtraq, CVE, Snort
- powinien posiadać ochronę przed botami
- powinien posiadać możliwość geolokalizacji adresów IP – położenie geograficzne będące źródłem ataków i blokady dostępu
- system w przypadku ataku powinien umożliwić: blokowanie pakietu oraz źródła ataku w postaci adresu IP, nazwy użytkownika lub sesji (jeżeli użytkownik uwierzytelnił się w systemie)
- wykryć adresy z których wykonywane są krytyczne incydenty SQL Injection oraz Remote File Inclusion, anonimowe proxy maskujące tożsamość użytkowników oraz adresy IP znane ze spamowania na forach internetowych. Baza adresów IP musi być pogrupowana według zagrożeń a także automatycznie aktualizowana.
- rozwiązanie musi posiadać reguły dotyczące identyfikacji incydentów typu web scraping poprzez zliczanie ilości odwołań do serwisu, oraz identyfikację ataków z sieci Bot dzięki wykorzystaniu skryptów java wykonywanych w przeglądarce klienta
- ochrona przed atakami CSRF bez modyfikacji ruchu http
- aktualizacja systemu musi być dostępna zarówno poprzez ręczne pobranie zawartości ze strony producenta jak i automatycznie, poprzez zdefiniowanie terminów wykonania procedury aktualizacji.
- powinien posiadać możliwość integracji z systemem SIEM (syslog) –
- tworzenie wirtualnych poprawek dla aplikacji poprzez integrację ze skanerami podatności
2. Przedmiot zamówienia należy wykonać zgodnie z warunkami określonymi w niniejszej SIWZ, Projekcie umowy stanowiącym Załącznik nr 1 do SIWZ, w załącznikach do umowy oraz zgodnie z ofertą.
4. Równoważność
a. Zamawiający dopuszcza możliwość złożenia oferty na Oprogramowanie Równoważne - zgodne z minimalnymi wymogami określonymi w pkt.1 niniejszego działu oraz na warunkach określonych w Projekcie umowy stanowiącym Załącznik nr 1 do SIWZ.
b. Zamawiający uzna, że zaoferowane rozwiązanie posiada równoważne cechy z przedmiotem zamówienia jeżeli będzie ono zawierało funkcjonalności co najmniej tożsame lub lepsze od określonych w pkt. 1 niniejszego działu w zakresie posiadanej funkcjonalności i będzie kompatybilne w 100% z oprogramowaniem posiadanym przez Zamawiającego.
c. Wykonawca w formularzu ofertowym winien wskazać jaki rodzaj oprogramowania oferuje. W przypadku, gdy Wykonawca oferuje Oprogramowanie Równoważne Zamawiający wymaga, aby wraz z ofertą Wykonawca dołączył dokumenty potwierdzające, że oferowane przez niego oprogramowanie spełniają wymagania w zakresie równoważności, zgodne z wymogami określonymi w SIWZ, w tym w pkt.1 niniejszego działu .
d. W przypadku, gdy zaoferowane przez Wykonawcę Oprogramowanie Równoważne nie będzie właściwie współdziałać ze sprzętem i oprogramowaniem funkcjonującym u Zamawiającego lub spowoduje zakłócenia w funkcjonowaniu pracy środowiska sprzętowo-programowego u Zamawiającego, Wykonawca pokryje wszystkie koszty związane z przywróceniem i sprawnym działaniem infrastruktury sprzętowo-programowej Zamawiającego oraz na własny koszt dokona niezbędnych modyfikacji przywracających właściwe działanie środowiska sprzętowo-programowego Zamawiającego, również po odinstalowaniu Oprogramowania Równoważnego.
W przypadku Oprogramowania Równoważnego Wykonawca zobowiązany jest do wdrożenia i przeniesienia obecnie funkcjonującej konfiguracji systemu na nowe środowisko oraz przeprowadzenie szkolenia dla użytkowników końcowych i administratorów w zakresie obsługi, administracji i utrzymania systemu.
e. Zgodnie z dyspozycją art. 30 ust. 5 ustawy Pzp na Wykonawcy ciąży obowiązek, wykazania, że Oprogramowanie Równoważne spełniają wymagania postawione przez Zamawiającego.
f. Zamawiający zastrzega sobie w przypadku jakichkolwiek wątpliwości, prawo sprawdzenia pełnej zgodności warunków i zakresu równoważności oferowanego Oprogramowania Równoważnego. W takim wypadku, Zamawiający wezwie Wykonawców do przedstawienia dodatkowych dokumentów danego Oprogramowania w celu potwierdzenia spełnienia wymagań w zakresie równoważności oraz próbek oferowanego rozwiązania, dla celów wykonania testów w środowiskach Zamawiającego wraz dokonaniem faktycznej oceny równoważności i kompatybilności z posiadanym przez Zamawiającego oprogramowaniem. Sprawdzenie to, będzie polegać na przeprowadzeniu testów dostarczonego do Zamawiającego oprogramowania. Wykonawca Oprogramowania Równoważnego dostarczy na płycie CD/DVD i dokona bądź umożliwi dokonanie Zamawiającemu bezpośrednią i niewymagającą jakichkolwiek dodatkowych uprawnień, urządzeń lub infrastruktury instalację tego oprogramowania w środowisku Zamawiającego. Zamawiający po zainstalowaniu oprogramowania a następnie wstępnej konfiguracji dokona weryfikacji funkcjonalności dostarczonego oprogramowania pod kątem zgodności z wymaganiami w pkt. 1 oraz pod kątem kompatybilności z oprogramowaniem posiadanym przez Zamawiającego. Dostarczone oprogramowanie zostanie zainstalowane na infrastrukturze Zamawiającego na środowisku wirtualnym. W tym celu Wykonawca na każde wezwanie Zamawiającego dostarczy do siedziby Zamawiającego w terminie 3 roboczych dni od daty otrzymania wezwania, płytę CD/DVD wraz z plikami/pilikiem instalacyjnym/nymi Oprogramowania Równoważnego, zgodnego w wymaganiami pkt. 1 niniejszego działu, wobec którego Zamawiający powziął wątpliwość co do jego zgodności z wymaganiami SIWZ. W odniesieniu do tego Oprogramowania Równoważnego mogą zostać dostarczone licencje tymczasowe, w pełni zgodne z oferowanymi. W przypadku gdy jest to niezbędne do instalacji i uruchomienia Oprogramowania Równoważnego Wykonawca zobowiązuje się również dostarczyć klucze testowe na okres przeprowadzenia testów. Jednocześnie Zamawiający zastrzega sobie możliwość odwołania się do oficjalnych, publicznie dostępnych stron internetowych Producenta weryfikowanego przedmiotu oferty. Nieprzedłożenie oferowanego Oprogramowania Równoważnego do przetestowania w ww. terminie zostanie potraktowane, jako negatywny wynik sprawdzenia.
g. Negatywny wynik sprawdzenia oferty w zakresie równoważności oferowanych Produktów skutkować będzie odrzuceniem tej oferty. |
| GuidZP400 |
9598cfdb-3cb9-4113-957c-d7ea862e489c
|
| Biuletyn |
590393-N-2019
|
| Zamawiajacy nazwa |
Centrum Usług Informatycznych we Wrocławiu
|
| Regon |
22287361000000
|
| Zamawiajacy adres ulica |
Namysłowska
|
| Zamawiajacy adres numer domu |
8
|
| Zamawiajacy miejscowosc |
Wrocław
|
| Zamawiajacy kod pocztowy |
50-304
|
| Zamawiajacy panstwo |
Polska
|
| Zamawiajacy wojewodztwo |
dolnośląskie
|
| Zamawiajacy telefon |
71 777 90 23,
|
| Zamawiajacy fax |
-
|
| Zamawiajacy email |
cui@cui.wroclaw.pl,
|
| Adres strony url |
bip.cui.wroclaw.pl
|
| Zamieszczanie obowiazkowe |
1
|
| Ogloszenie dotyczy |
1
|
| Czy finansowane z unii |
2
|
| Czy ubiegac zaklady pracy |
2
|
| Minimalny procent zatrudnienia |
0%
|
| Informacje dodatkowe zamawiajacy |
Informacje podstawowe dotyczące przetwarzania Twoich danych osobowych Administrator Danych Osobowych (ADO) Administratorem Twoich
danych osobowych jest Gmina Wrocław - Centrum Usług Informatycznych we Wrocławiu. Możesz się z nami skontaktować w następujący sposób: • listownie na adres: ul.
Namysłowska 8, 50-304 Wrocław • przez e-mail: sekretariat@cui.wroclaw.pl • telefonicznie: +48 71 777 90 32 Inspektor Ochrony Danych Wyznaczyliśmy Inspektora
Ochrony Danych. Inspektor to Osoba, z którą możesz się kontaktować we wszystkich sprawach dotyczących przetwarzania Twoich danych osobowych oraz korzystania z
przysługujących Ci praw związanych z przetwarzaniem danych. Możesz się z nim kontaktować w następujący sposób: • listownie na adres: ul. Namysłowska 8, 50-304
Wrocław • przez e-mail: iod@cui.wroclaw.pl • telefonicznie: +48 71 777 90 32. Cele przetwarzania Twoich danych osobowych Będziemy przetwarzać Twoje dane w celu
związanym z postępowaniem o udzielenie zamówienia publicznego. Obowiązek podania przez Ciebie danych osobowych bezpośrednio Ciebie dotyczących jest wymogiem
ustawowym określonym w przepisach ustawy z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (Dz. U. z 2018 r. poz. 1986), dalej „ustawa Pzp”, związanym z
udziałem w postępowaniu o udzielenie zamówienia publicznego; konsekwencje niepodania określonych danych wynikają z ustawy Pzp; Podstawa prawna przetwarzania
Twoich danych osobowych Będziemy przetwarzać Twoje dane osobowe na podstawie art. 6 ust. 1 lit. C RODO oraz ustawy Pzp Okres przechowywania Twoich danych
osobowych Twoje dane osobowe będą przetwarzane przez Centrum Usług Informatycznych we Wrocławiu przez minimum 5 lat, następnie Archiwum Państwowe po
ekspertyzie dokumentów może podjąć decyzję o ich zniszczeniu lub przekwalifikować na kategorię A i wtedy Twoje dane osobowe będą przetwarzane przez Centrum Usług
Informatycznych we Wrocławiu przez 25 lat od stycznia kolejnego roku po zakończeniu Twojej sprawy a następnie zostaną przekazane do Archiwum Państwowego we
Wrocławiu, gdzie będą przetwarzane wieczyście. Odbiorcy Twoich danych osobowych Twoje dane zostaną udostępnione podmiotom lub osobom, którym udostępniona
zostanie dokumentacja postępowania w oparciu o art. 8 oraz art. 96 ust. 3 ustawy Pzp, a także podmiotom upoważnionym na podstawie przepisów prawa. Twoje prawa
związane z przetwarzaniem danych osobowych Przysługują Ci następujące prawa związane z przetwarzaniem danych osobowych: • prawo dostępu do Twoich danych
osobowych na podstawie art. 15 RODO, • prawo żądania sprostowania i uzupełnienia niekompletnych Twoich danych osobowych na podstawie art. 16 RODO 1, • prawo
żądania ograniczenia przetwarzania Twoich danych osobowych na podstawie art. 18 RODO z zastrzeżeniem przypadków, o których mowa w art. 18 ust. 2 RODO 2, W
odniesieniu do Twoich danych osobowych decyzje nie będą podejmowane w sposób zautomatyzowany, stosowanie do art. 22 RODO. Aby skorzystać z powyższych praw,
skontaktuj się z Inspektorem Ochrony Danych (dane kontaktowe powyżej). Prawo wniesienia skargi W przypadku nieprawidłowości przy przetwarzaniu Twoich danych osobowych, przysługuje Ci także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, tj. Prezesa Urzędu Ochrony Danych
Osobowych. Wyjaśnienie1: skorzystanie z prawa do sprostowania nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego ani zmianą
postanowień umowy w zakresie niezgodnym z ustawą Pzp oraz nie może naruszać integralności protokołu oraz jego załączników. Wyjaśnienie2: prawo do ograniczenia
przetwarzania nie ma zastosowania w odniesieniu do przechowywania, w celu zapewnienia korzystania ze środków ochrony prawnej lub w celu ochrony praw innej osoby
fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii Europejskiej lub państwa członkowskiego. Wszystkie informacje na temat przetwarzania
danych osobowych i praw podmiotu danych można znaleźć na stronie BIP www.bip.cui.wroclaw.pl w zakładce - Ochrona Danych Osobowych. Zgodnie z ustawą z dnia 21
lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych)- dalej ”RODO” Zamawiający informuje, że: a) w przypadku gdy wykonanie obowiązków zamawiającego w związku z realizacja
prawa osoby, której dane dotyczą, o których mowa w art. 15 ust. 1-3 RODO (prawo dostępu do danych): - w trakcie prowadzonego postępowania o udzielenie zamówienia
publicznego, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu
sprecyzowanie żądania, w szczególności podania nazwy lub daty postępowania o udzielenie nin. zamówienia publicznego. - po zakończeniu postępowania o udzielenie
zamówienia publicznego, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą wskazania dodatkowych informacji
mających w szczególności na celu sprecyzowanie nazwy lub daty zakończonego postępowania o udzielenie zamówienia. wystąpienie z żądaniem, o którym mowa w art. 18
ust. 1 RODO (prawo do ograniczonego przetwarzania danych), nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania o udzielenie nin.
zamówienia.
|
| Rodzaj zamawiajacego |
2
|
| Czy zamieszczona bedzie specyfikacja |
1
|
| Zamieszczona bedzie specyfikacja |
http://bip.cui.wroclaw.pl/?app=przetargi
|
| Czy wymagane przeslanie ofert |
1
|
| Wymagane przeslanie ofert inny |
Zamawiający wymaga złożenia oferty w niniejszym postępowaniu po rygorem nieważności w formie pisemnej
|
| Dopuszczone wymagane przeslanie ofert adres |
Centrum Usług Informatycznych we Wrocławiu, ul. Namysłowska 8, 50-304 Wrocław, Sekretariat IV piętro
|
| Nazwa nadana zamowieniu |
Zakup licencji na oprogramowanie Firewall aplikacyjny Fortinet – WAF lub dostawa Oprogramowania równoważnego
|
| Numer referencyjny |
CUI-DNZ.320.24.2019
|
| Rodzaj zamowienia |
1
|
| Okreslenie przedmiotu |
1. Przedmiotem zamówienia jest zakup licencji na oprogramowanie Firewall aplikacyjny firmy Fortinet - FortiWeb - Web Aplication Firewall - virtual appliance for up to 4 x vCPU core lub dostawa Oprogramowania Równoważnego.
Poprzez dostawę Oprogramowania Równoważnego Zamawiający rozumie: dostawę licencji, wdrożenie, parametryzację oraz takie jego skonfigurowanie, by Zamawiający mógł korzystać z oprogramowania w zakresie wskazanym w niniejszym dziale oraz w sposób określony w SIWZ i Projekcie Umowy. W przypadku dostawy Oprogramowania równoważnego Wykonawca zobowiązany jest również do udzielenia gwarancji i przeprowadzenia szkolenia dla użytkowników końcowych i administratorów.
Oprogramowanie Firewall aplikacyjny firmy Fortinet - FortiWeb - Web Aplication Firewall - virtual appliance for up to 4 x vCPU core /Oprogramowanie równoważne powinno spełniać następujące warunki:
- wszystkie elementy systemu zabezpieczeń muszą być dostarczone przez jednego producenta w formie gotowych maszyn wirtualnych działających w środowisku ESX/ESXi
- system musi działać w następujących trybach pracy: Transparent Bridge (inline warstwa 2 ISO/OSI), Transparent Reverse Proxy – tj praca w trybie proxy nie wymagająca korzystania z nowych adresów IP, Reverse Proxy oraz Sniffing przy czym musi istnieć możliwość działania w trybie Transparent Bridge oraz Transparent Reverse Proxy w obrębie tych samych chronionych aplikacji.
- moduły wykonawcze muszą mieć możliwość pracy w trybie High Availability (HA), powinny zawierać mechanizm ochrony typu Stateful Firewall oraz weryfikować zgodność komunikacji sieciowej ze standardem protokołu tcp/ip, opisanym w RFC.
- system musi mieć wydajność analizy protokołu http/https na poziomie 500Mbps uwierzytelnianie użytkowników oferowanego rozwiązania musi być możliwe za pomocą integracji z Active Directory, LDAP w celu uzyskania dodatkowych informacji w logach na temat użytkownika. Obsługiwane muszą być nie mniej niż następujące metody uwierzytelnienia: formularze html, certyfikat cyfrowy, kerberos, NTLM.
- całość konfiguracji oraz repozytorium logów musi być przechowywane na centralnym serwerze zarządzania
- system powinien na podstawie analizy obserwowanego ruchu zbudować odzwierciedlenie całej struktury aplikacji, składającej się z katalogów, URLi, metod dostępu, parametrów, typów wartości oraz długości ciągów znaków wprowadzanych przez użytkowników w poszczególnych formatkach a w szczególności powinien umożliwiać naukę formularzy, służących do logowania się użytkowników do aplikacji Web.
- system powinien zagwarantować wysoki poziom ochrony serwerów Web oraz serwerów aplikacyjnych ( uwzględniając elementy XML oraz akcje SOAP) przed różnego typu atakami, a także powinien monitorować poprawne zachowanie chronionej aplikacji, a wszelkie próby wyjścia poza to poprawne zachowanie powinien blokować. Wymagane są sygnatury dla nie mniej niż : sieci, aplikacji Web, zapytań Web.
- monitorowanie i kontrolowanie w czasie rzeczywistym wszystkich operacji wykonywanych przez użytkowników. Rozwiązanie musi posiadać możliwość rejestrowania naruszeń bezpieczeństwa oraz udostępniać administratorom co najmniej następujące informacje o zdarzeniach: nazwa użytkownika aplikacyjnego (jeżeli klient zalogował się w systemie przez aplikację Web) , dodatkowe atrybuty użytkownika z zewnętrznych repozytoriów jak baza danych czy LDAP oraz zapytanie HTTP przesłane do serwera aplikacji Web
- musi istnieć możliwość rejestrowania kodu źródłowego strony zwracanej klientowi przez aplikację Web, dostępnego bezpośrednio z interfejsu GUI serwera zarządzającego
- system powinien posiadać GUI dostępne przez przeglądarkę internetową w celu zoptymalizowania pracy, eliminacji konieczności instalacji dodatkowego oprogramowania na stacji administratora a także scentralizować zarządzanie całością rozwiązania
- samoczynne uczenie się "normalnych" zachowań aplikacji umożliwiając przegląd zestawienia zachowań użytkowników z informacją o zagrożeniach
- kontrolowanie dostępu do danych wrażliwych występujących w aplikacjach ,które system ma chronić
- przyśpieszenie procesów reagowania na incydenty naruszenia bezpieczeństwa oraz procesów śledczych dzięki zastosowaniu technik analitycznych
- automatyczne uczenie się struktury danej aplikacji webowej oraz zachowań użytkowników, profil aplikacji Web musi być budowany w sposób automatyczny poprzez analizę ruchu sieciowego. Musi istnieć możliwość automatycznej aktualizacji profilu w przypadku wystąpienia zmiany w strukturze aplikacji.
- system musi posiadać możliwość sprawdzenia, które z wykorzystywanych pól aplikacji są typu „read-only” i nie mogą być zmieniane przez klientów
- wykrywanie ruchu sieciowego pochodzącego z potencjalnie niebezpiecznych źródeł w tym sieci TOR- ukrywania źródła ataku, szkodliwe adresy IP z których wielokrotnie zaatakowano inne strony Internetowe
- tworzenie wirtualnych poprawek dla aplikacji poprzez integrację ze skanerem podatności
- musi istnieć możliwość tworzenia własnych raportów, zarówno w formie tekstowej jak i reprezentacji graficznej bezpośrednio z centralnego serwera zarządzającego oraz możliwość cyklicznego wysyłania raportów wiadomością e-mail. Rozwiązanie musi posiadać funkcję wysyłania informacji o zdarzeniach: poprzez protokół SNMP. System musi posiadać możliwość wygenerowania gotowych raporty dotyczących: alarmów bezpieczeństwa, zdarzeń systemowych, zmian w profilach aplikacji, ostrzeżeń, ataków, prób włamań
- tworzenie tzw. "białej listy" akceptowanych zachowań użytkownika (profilowanie chronionych aplikacji), nie może dodawać do profilu informacji pochodzących z przeprowadzanych ataków.
- automatyczne wykrywanie niepożądanych atrybutów, niezgodnych z protokołem http
- system powinien analizować słabe punkty zgłaszane przynajmniej przez Bugtraq, CVE, Snort
- powinien posiadać ochronę przed botami
- powinien posiadać możliwość geolokalizacji adresów IP – położenie geograficzne będące źródłem ataków i blokady dostępu
- system w przypadku ataku powinien umożliwić: blokowanie pakietu oraz źródła ataku w postaci adresu IP, nazwy użytkownika lub sesji (jeżeli użytkownik uwierzytelnił się w systemie)
- wykryć adresy z których wykonywane są krytyczne incydenty SQL Injection oraz Remote File Inclusion, anonimowe proxy maskujące tożsamość użytkowników oraz adresy IP znane ze spamowania na forach internetowych. Baza adresów IP musi być pogrupowana według zagrożeń a także automatycznie aktualizowana.
- rozwiązanie musi posiadać reguły dotyczące identyfikacji incydentów typu web scraping poprzez zliczanie ilości odwołań do serwisu, oraz identyfikację ataków z sieci Bot dzięki wykorzystaniu skryptów java wykonywanych w przeglądarce klienta
- ochrona przed atakami CSRF bez modyfikacji ruchu http
- aktualizacja systemu musi być dostępna zarówno poprzez ręczne pobranie zawartości ze strony producenta jak i automatycznie, poprzez zdefiniowanie terminów wykonania procedury aktualizacji.
- powinien posiadać możliwość integracji z systemem SIEM (syslog) –
- tworzenie wirtualnych poprawek dla aplikacji poprzez integrację ze skanerami podatności
2. Przedmiot zamówienia należy wykonać zgodnie z warunkami określonymi w niniejszej SIWZ, Projekcie umowy stanowiącym Załącznik nr 1 do SIWZ, w załącznikach do umowy oraz zgodnie z ofertą.
4. Równoważność
a. Zamawiający dopuszcza możliwość złożenia oferty na Oprogramowanie Równoważne - zgodne z minimalnymi wymogami określonymi w pkt.1 niniejszego działu oraz na warunkach określonych w Projekcie umowy stanowiącym Załącznik nr 1 do SIWZ.
b. Zamawiający uzna, że zaoferowane rozwiązanie posiada równoważne cechy z przedmiotem zamówienia jeżeli będzie ono zawierało funkcjonalności co najmniej tożsame lub lepsze od określonych w pkt. 1 niniejszego działu w zakresie posiadanej funkcjonalności i będzie kompatybilne w 100% z oprogramowaniem posiadanym przez Zamawiającego.
c. Wykonawca w formularzu ofertowym winien wskazać jaki rodzaj oprogramowania oferuje. W przypadku, gdy Wykonawca oferuje Oprogramowanie Równoważne Zamawiający wymaga, aby wraz z ofertą Wykonawca dołączył dokumenty potwierdzające, że oferowane przez niego oprogramowanie spełniają wymagania w zakresie równoważności, zgodne z wymogami określonymi w SIWZ, w tym w pkt.1 niniejszego działu .
d. W przypadku, gdy zaoferowane przez Wykonawcę Oprogramowanie Równoważne nie będzie właściwie współdziałać ze sprzętem i oprogramowaniem funkcjonującym u Zamawiającego lub spowoduje zakłócenia w funkcjonowaniu pracy środowiska sprzętowo-programowego u Zamawiającego, Wykonawca pokryje wszystkie koszty związane z przywróceniem i sprawnym działaniem infrastruktury sprzętowo-programowej Zamawiającego oraz na własny koszt dokona niezbędnych modyfikacji przywracających właściwe działanie środowiska sprzętowo-programowego Zamawiającego, również po odinstalowaniu Oprogramowania Równoważnego.
W przypadku Oprogramowania Równoważnego Wykonawca zobowiązany jest do wdrożenia i przeniesienia obecnie funkcjonującej konfiguracji systemu na nowe środowisko oraz przeprowadzenie szkolenia dla użytkowników końcowych i administratorów w zakresie obsługi, administracji i utrzymania systemu.
e. Zgodnie z dyspozycją art. 30 ust. 5 ustawy Pzp na Wykonawcy ciąży obowiązek, wykazania, że Oprogramowanie Równoważne spełniają wymagania postawione przez Zamawiającego.
f. Zamawiający zastrzega sobie w przypadku jakichkolwiek wątpliwości, prawo sprawdzenia pełnej zgodności warunków i zakresu równoważności oferowanego Oprogramowania Równoważnego. W takim wypadku, Zamawiający wezwie Wykonawców do przedstawienia dodatkowych dokumentów danego Oprogramowania w celu potwierdzenia spełnienia wymagań w zakresie równoważności oraz próbek oferowanego rozwiązania, dla celów wykonania testów w środowiskach Zamawiającego wraz dokonaniem faktycznej oceny równoważności i kompatybilności z posiadanym przez Zamawiającego oprogramowaniem. Sprawdzenie to, będzie polegać na przeprowadzeniu testów dostarczonego do Zamawiającego oprogramowania. Wykonawca Oprogramowania Równoważnego dostarczy na płycie CD/DVD i dokona bądź umożliwi dokonanie Zamawiającemu bezpośrednią i niewymagającą jakichkolwiek dodatkowych uprawnień, urządzeń lub infrastruktury instalację tego oprogramowania w środowisku Zamawiającego. Zamawiający po zainstalowaniu oprogramowania a następnie wstępnej konfiguracji dokona weryfikacji funkcjonalności dostarczonego oprogramowania pod kątem zgodności z wymaganiami w pkt. 1 oraz pod kątem kompatybilności z oprogramowaniem posiadanym przez Zamawiającego. Dostarczone oprogramowanie zostanie zainstalowane na infrastrukturze Zamawiającego na środowisku wirtualnym. W tym celu Wykonawca na każde wezwanie Zamawiającego dostarczy do siedziby Zamawiającego w terminie 3 roboczych dni od daty otrzymania wezwania, płytę CD/DVD wraz z plikami/pilikiem instalacyjnym/nymi Oprogramowania Równoważnego, zgodnego w wymaganiami pkt. 1 niniejszego działu, wobec którego Zamawiający powziął wątpliwość co do jego zgodności z wymaganiami SIWZ. W odniesieniu do tego Oprogramowania Równoważnego mogą zostać dostarczone licencje tymczasowe, w pełni zgodne z oferowanymi. W przypadku gdy jest to niezbędne do instalacji i uruchomienia Oprogramowania Równoważnego Wykonawca zobowiązuje się również dostarczyć klucze testowe na okres przeprowadzenia testów. Jednocześnie Zamawiający zastrzega sobie możliwość odwołania się do oficjalnych, publicznie dostępnych stron internetowych Producenta weryfikowanego przedmiotu oferty. Nieprzedłożenie oferowanego Oprogramowania Równoważnego do przetestowania w ww. terminie zostanie potraktowane, jako negatywny wynik sprawdzenia.
g. Negatywny wynik sprawdzenia oferty w zakresie równoważności oferowanych Produktów skutkować będzie odrzuceniem tej oferty.
|
| Cpv glowny przedmiot |
48900000-7
|
| Szacunkowa wartosc zamowienia calosc |
0,00
|
| Okres w dniach |
5
|
| Informacje na temat katalogow |
Wykonawca zobowiązany jest zrealizować przedmiot zamówienia w następującym terminie :
Termin rozpoczęcia: od dnia zawarcia Umowy
Termin zakończenia:
Dostawa* Systemu (licencji) o których mowa w projekcie umowy nastąpi w nieprzekraczalnym terminie zgodnym ze złożoną ofertą tj.
do 5 dni roboczych od daty podpisania umowy lub
do 3 dni roboczych od daty podpisania umowy lub
do 1 dnia roboczego od daty podpisania umowy .
UWAGA:
*Poprzez dostawę systemu Zamawiający rozumie, dostarczenie licencji lub w przypadku równoważności dostarczenie i wdrożenie systemu oraz takie jego skonfigurowanie, by Zamawiający mógł korzystać z sytemu w zakresie i terminach wskazanych w projekcie umowy.
Przedłużenie licencji na oprogramowanie FortiWeb - Web Aplication Firewall - virtual appliance for up to 4 x vCPU core /aktywacja licencji Oprogramowania równoważnego dla Systemu informatycznego nastąpi nie później niż 13.10.2019
Okres trwania licencji oraz Wsparcia Strony ustalają na 24 kolejnych miesięcy od dnia wygaśnięcia obecnie obowiązujących licencji z zastrzeżeniem informacji powyżej.
|
| Okreslenie warunkow |
Zamawiający nie wyznacza szczegółowego warunku w tym zakresie.
|
| Sytuacja finansowa okreslenie warunkow |
Zamawiający nie wyznacza szczegółowego warunku w tym zakresie.
|
| Zdolnosc techniczna okreslenie warunkow |
Zamawiający wyznacza szczegółowy warunek w tym zakresie tj: Warunek ten zostanie spełniony jeżeli Wykonawca ubiegający się o zamówienie wykaże się, że w okresie ostatnich trzech lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wykonał lub wykonuje w sposób należyty dostawy o charakterze zbliżonym do przedmiotu zamówienia tj. wykaże co najmniej trzy dostawy licencji Web Aplication Firewall wraz z usługą wdrożenia.
|
| Czy oswiadczenie niepodleganiu wykluczenia |
1
|
| Zakresie warunkow udzialu |
Wykazu dostaw wykonanych, a w przypadku świadczeń okresowych lub ciągłych również wykonywanych, w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy - w tym okresie, wraz z podaniem ich przedmiotu, dat wykonania i podmiotów, na rzecz których dostawy zostały wykonane, oraz załączeniem dowodów określających, czy te dostawy zostały wykonane lub są wykonywane należycie – potwierdzające spełnienie warunku opisanego w dziale VII pkt 1 ppkt 2.3.1) SIWZ – wzór stanowi Załącznik nr 2.4 do SIWZ.
Dowodami, o których mowa w zdaniu poprzednim, są referencje bądź inne dokumenty wystawione przez podmiot, na rzecz którego usługi były wykonywane, a w przypadku świadczeń okresowych lub ciągłych są wykonywane, a jeżeli z uzasadnionej przyczyny o obiektywnym charakterze Wykonawca nie jest w stanie uzyskać tych dokumentów – oświadczenie Wykonawcy;
UWAGA: w przypadku świadczeń okresowych lub ciągłych nadal wykonywanych referencje bądź inne dokumenty potwierdzające ich należyte wykonywanie powinny być wydane nie wcześniej niż 3 miesiące przed upływem terminu składania ofert.
|
| Wykaz potwierdzenie okolicznosci |
W przypadku zaoferowania Oprogramowania Równoważnego: Zamawiający zastrzega sobie w przypadku jakichkolwiek wątpliwości, prawo sprawdzenia pełnej zgodności warunków i zakresu równoważności oferowanego Oprogramowania Równoważnego. W takim wypadku, Zamawiający wezwie Wykonawców do przedstawienia dodatkowych dokumentów danego Oprogramowania w celu potwierdzenia spełnienia wymagań w zakresie równoważności oraz próbek oferowanego rozwiązania, dla celów wykonania testów w środowiskach Zamawiającego wraz dokonaniem faktycznej oceny równoważności i kompatybilności z posiadanym przez Zamawiającego oprogramowaniem. Sprawdzenie to, będzie polegać na przeprowadzeniu testów dostarczonego do Zamawiającego oprogramowania. Wykonawca Oprogramowania Równoważnego dostarczy na płycie CD/DVD i dokona bądź umożliwi dokonanie Zamawiającemu bezpośrednią i niewymagającą jakichkolwiek dodatkowych uprawnień, urządzeń lub infrastruktury instalację tego oprogramowania w środowisku Zamawiającego. Zamawiający po zainstalowaniu oprogramowania a następnie wstępnej konfiguracji dokona weryfikacji funkcjonalności dostarczonego oprogramowania pod kątem zgodności z wymaganiami w pkt. 1 oraz pod kątem kompatybilności z oprogramowaniem posiadanym przez Zamawiającego. Dostarczone oprogramowanie zostanie zainstalowane na infrastrukturze Zamawiającego na środowisku wirtualnym. W tym celu Wykonawca na każde wezwanie Zamawiającego dostarczy do siedziby Zamawiającego w terminie 3 roboczych dni od daty otrzymania wezwania, płytę CD/DVD wraz z plikami/pilikiem instalacyjnym/nymi Oprogramowania Równoważnego, zgodnego w wymaganiami pkt. 1 niniejszego działu, wobec którego Zamawiający powziął wątpliwość co do jego zgodności z wymaganiami SIWZ. W odniesieniu do tego Oprogramowania Równoważnego mogą zostać dostarczone licencje tymczasowe, w pełni zgodne z oferowanymi. W przypadku gdy jest to niezbędne do instalacji i uruchomienia Oprogramowania Równoważnego Wykonawca zobowiązuje się również dostarczyć klucze testowe na okres przeprowadzenia testów. Jednocześnie Zamawiający zastrzega sobie możliwość odwołania się do oficjalnych, publicznie dostępnych stron internetowych Producenta weryfikowanego przedmiotu oferty. Nieprzedłożenie oferowanego Oprogramowania Równoważnego do przetestowania w ww. terminie zostanie potraktowane, jako negatywny wynik sprawdzenia.
|
| Inne dokumenty niewymienione |
Wykonawca zobowiązany jest, w terminie 3 dni od dnia
zamieszczenia na stronie internetowej Zamawiającego http://www.bip.cui.wroclaw.pl/?app=przetargi&status=1, informacji o której mowa w art. 86 ust. 5 ustawy Pzp tj. informacji z otwarcia ofert, do przekazania Zamawiającemu bez dodatkowego wezwania oświadczenia o przynależności albo braku przynależności do tej samej grupy kapitałowej z Wykonawcami, którzy złożyli odrębne oferty (wzór – Załącznik nr 2.3 do SIWZ).
W przypadku przynależności do tej samej grupy kapitałowej Wykonawca może przedstawić wraz z ww. oświadczeniem dowody, że powiązania z innym Wykonawcą nie prowadzą do zakłócenia konkurencji w niniejszym postępowaniu.
UWAGA: W przypadku wpłynięcia tylko jednej oferty w ramach niniejszego postępowania złożenie ww. oświadczenia nie jest wymagane.
W przypadku wspólnego ubiegania się o udzielenie zamówienia przez Wykonawców oświadczenie składa każdy z Wykonawców wspólnie ubiegających się o zamówienie.
|
| Zastosowanie procedury pzp |
1
|
| Zmiana umowy |
1
|
| Zmiana umowy tekst |
1) Zmiana treści umowy może nastąpić wyłącznie w granicach unormowania art. 144 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych i pod rygorem nieważności wymaga formy pisemnego aneksu skutecznego po podpisaniu przez obie Strony.
2) Zamawiający informuje, iż przewiduje możliwość zmiany postanowień zawartej umowy w stosunku do treści oferty, na podstawie, której dokonano wyboru Wykonawcy, w przypadku wystąpienia, co najmniej jednej z okoliczności wymienionych w Projekcie umowy stanowiącym Załącznik nr 1 do SIWZ, z uwzględnieniem podawanych warunków ich wprowadzenia.
3) Wszelkie zmiany muszą być dokonywane z zachowaniem przepisu art. 140 ust. 1 ustawy Pzp i art. 140 ust. 3 ustawy Pzp stanowiącego, że umowa podlega unieważnieniu w części wykraczającej poza określenie przedmiotu zamówienia zawartego w Specyfikacji Istotnych Warunków Zamówienia, z uwzględnieniem art. 144 ustawy Pzp.
4) W przypadku zmian formalno-organizacyjnych, Zamawiający wprowadzi zmianę danych do umowy aneksem.
5) Nie stanowi zmiany umowy w rozumieniu art. 144 ustawy Pzp: zmiana danych związanych z obsługą administracyjno-organizacyjną Umowy, zmiany danych teleadresowych, zmiany osób wskazanych do kontaktów między Stronami.
Zaistnienie okoliczności, o których mowa w niniejszym punkcie wymaga jedynie niezwłocznego pisemnego zawiadomienia drugiej Strony.
6) Wszelkie zmiany i uzupełnienia umowy wymagają formy pisemnej pod rygorem nieważności za zgodą obu stron.
|
| IV 4 4 data |
2019-09-05T00:00:00+02:00
|
| IV 4 4 godzina |
08:45
|
| IV 4 4 jezyki |
język polski
|
| IV 4 5 okres |
30
|
