KUPNÍ SMLOUVA
KUPNÍ SMLOUVA
na Dodávku a implementaci řešení zabezpečení mailové komunikace
formou sandboxingu-2
č. INV-2020-00060-0216
uzavřená podle ustanovení § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník
I. Smluvní strany
Organizace: Český metrologický institut
Sídlo: Okružní 31, 638 00 Brno
IČO: 00177016
DIČ: CZ00177016
Zastoupena: RNDr. Xxxxx Xxxxxxxxx, generální ředitel
Bankovní spojení: 198139621/0710
(dále jen „Objednatel“)
a
Společnost: SONPO, a.s.
Sídlo: Klapkova 546, 000 00, Xxxxx 0
IČO: 27571505
DIČ: CZ27571505
Zastoupena: Xxxxxx Xxxxxxxxx, statutárním ředitelem Bankovní spojení: 2517736001/5500
zapsaná v obchodním rejstříku, vedeném Městským soudem v Praze, pod spisovou značkou B 10882
(dále jen „Dodavatel“)
II. Předmět plnění
1) Předmětem smlouvy je dodávka a implementace komplexního řešení zabezpečení mailové komunikace formou sandboxingu - 2, na základě výsledků zadávacího řízení dle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů v rozsahu technických požadavků Objednatele, uvedených v Příloze 1 Zadávací dokumentace veřejné zakázky.
2) Předmětem smlouvy je dodání zařízení pro ochranu SMTP komunikace, samostatného zařízení zajišťující ochranu formou sandboxingu a plně funkčního Administrátorského aplikačního rozhraní k dodanému sandbox zařízení umožňující prostřednictvím API výše uvedeného zařízení pro tzv. „sandbox“ kontrolu souborů, kompletní služby implementace všech dodaných částí řešení a jejich plné zprovoznění dle požadavků Objednatele, integrace celého dodaného řešení do ICT prostředí Objednatele, zajištění školení uživatelů a správců pro vybrané pracovníky Objednatele a komplexní end-to-end otestování dodaného a implementovaného řešení. Součástí dodávky je také zajištění SW a HW maintenance výrobců všech dodávaných
komponent na 5 let. Detailní popis dodávek dle této Smlouvy a také detailní přehled splnění technických požadavků Objednatele je uveden v Příloze č.1 této Smlouvy - Specifikace a Technické parametry předmětu plnění.
3) Touto smlouvou se Dodavatel zavazuje Objednateli dodat a implementovat komplexní řešení zabezpečení mailové komunikace formou sandboxingu (včetně souvisejícího HW, SW a potřebných licencí) a umožnit jeho řádné a nerušené využívání a Objednatel se zavazuje při dodržení podmínek této smlouvy za smluvené služby zaplatit dohodnutou cenu.
III. Doba, místo a převzetí plnění
1) Dodávku technických zařízení a implementaci komplexního řešení zabezpečení mailové komunikace formou sandboxingu podle článku II. této smlouvy je Dodavatel povinen realizovat v průběhu měsíce ledna 2021 (s datem zdanitelného plnění nejdříve 4.1.2021 a nejpozději 29.1.2021). Vybraný dodavatel bude poskytovat služby podpory dle servisní smlouvy na dobu neurčitou, přičemž dodavatel nebude moci servisní smlouvu vypovědět dříve než po 4 letech od předání předmětu kupní smlouvy s výpovědní lhůtou 1 rok.
2) Místem plnění je je sídlo Českého metrologického institutu, Úsek fundamentální metrologie, Hvožďanská 0, 000 00 Xxxxx 0, nebo sídlo Dodavatele uvedené v záhlaví této Smlouvy, případně budou služby poskytovány vzdáleně s využitím telekomunikačních či jiných technických prostředků.
3) O úspěšné realizaci dodávky Dodavatele dle článku II. smlouvy bude mezi smluvními stranami sepsán Akceptační protokol, jehož návrh předloží Dodavatel. Do akceptačního protokolu budou zaznamenány případné vady a nedodělky nebránící užívání předmětu plnění včetně termínu jejich odstranění dodavatelem, ne delším než 15 pracovních dní.
4) Zodpovědným zástupcem Objednatele pro akceptaci plnění je pan xxx, xxx.
IV. Cena plnění
1) Cena plnění je oběma smluvními stranami sjednána dohodou na základě výsledků výběrového řízení ve výši: 3.032.600,-Kč bez DPH (slovy třimilionytřicetdvatisícšestset korun českých)
2) Cena za jednotlivé položky předmětu plnění je cenou konečnou, nejvýše přípustnou a nelze ji překročit; cenu bude možné měnit pouze v případě změny zákonných sazeb DPH
3) Podrobný položkový rozpis předmětu a ceny plnění:
Položka | Cena v Kč nebo EUR bez DPH za měrnou jednotku (dle příslušné smlouvy) | Měrná jednotka | Předpokládaný počet měrných jednotek za dobu trvání smluv *) | Náklady celkem (v Kč nebo EUR bez DPH) |
Položky dle kupní smlouvy | ||||
Fortinet FortiMAIL 200F | 71 500,00 | ks | 1 | 71 500,00 |
5 let maintenace - Fortinet FortiMAIL 200F (5 Years 24x7 FortiCare and FortiGuard Base Bundle Contract) | 138 800,00 | ks | 1 | 138 800,00 |
Fortinet FortiSANDBOX 1000F | 1 475 300,00 | ks | 1 | 1 475 300,00 |
5 let maintenance - Fortinet FortiSANDBOX 1000F (5 Years 24x7 FortiCare plus FortiGuard Threat Intelligence - AV, IPS, Web Filtering, File Query and SandBox Engine Updates) | 1 184 000,00 | ks | 1 | 1 184 000,00 |
SW Administrátorské aplikační rozhraní VM | 30 000,00 | ks | 1 | 30 000,00 |
5 let maintenance - SW Administrátorské aplikační rozhraní VM | 30 000,00 | ks | 1 | 30 000,00 |
Jednorázové odborné služby instalace, konfigurace a zprovoznění | 89 000,00 | soubor | 1 | 89 000,00 |
zaškolení uživatelů a správců | 14 000,00 | soubor | 1 | 14 000,00 |
V. Platební podmínky
1) Platba za plnění předmětu smlouvy bude realizována bezhotovostním převodem na účet Dodavatele na základě faktury, kterou vystaví Dodavatel do 10 kalendářních dnů od vzniku práva fakturovat. Podmínkou pro vznik oprávnění dodavatele vystavit fakturu za poskytnutí plnění podle smlouvy je dokončení implementace dodaného řešení, zaškolení uživatelů a správců a podpis akceptačního protokolu zástupcem Zadavatele. Přílohou faktury bude kopie dokladu o předání a převzetí plnění – Akceptačního protokolu.
2) Faktura musí obsahovat náležitosti stanovené zákonem č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů a zákonem č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů.
3) Splatnost faktury se sjednává na 21 dnů od obdržení daňového dokladu Objednatelem.
4) Fakturovaná částka se považuje za uhrazenou okamžikem odepsání příslušné finanční částky z bankovního účtu Objednatele uvedeného ve smlouvě ve prospěch bankovního účtu Dodavatele uvedeného na faktuře.
5) Objednatel je oprávněn do lhůty splatnosti vrátit bez zaplacení Dodavateli fakturu, která neobsahuje náležitosti stanovené Smlouvou nebo fakturu, která obsahuje nesprávné cenové údaje, a to s uvedením důvodu vrácení. Dodavatel je v případě vrácení faktury povinen do 10 pracovních dnů ode dne doručení vrácené faktury fakturu opravit nebo vyhotovit fakturu novou. Oprávněným vrácením faktury přestává běžet lhůta splatnosti; nová lhůta v původní délce splatnosti běží znovu ode dne prokazatelného doručení opravené nebo nově vystavené faktury Objednateli. Faktura se považuje za vrácenou ve lhůtě splatnosti, je-li v této lhůtě odeslána, není nutné, aby byla v téže lhůtě doručena Xxxxxxxxxx, který ji vystavil.
VI. Záruka a odstranění závad
1) Dodavatel poskytuje na předmět smlouvy záruku za jakost v délce trvání 60 měsíců ode dne podpisu Akceptačního protokolu.
2) V rámci záruky je Xxxxxxxxx povinen zahájit práce na odstranění nahlášené vady (nahlášené na helpdesk Dodavatele) nejpozději do 4 hodin (v pracovní dny v čase 9:00-17:00) od okamžiku přijetí hlášení o vadě a odstranit závadu, na kterou se vztahuje záruka, do 30 kalendářních dnů, pokud se strany vzhledem k povaze závady nedohodnou jinak.
VII. Sankce
1) Pokud bude Dodavatel v prodlení s dodávkou předmětu plnění dle této smlouvy, je povinen zaplatit Objednateli za každý i započatý den tohoto prodlení smluvní pokutu ve výši 0,05% ze smluvní ceny bez DPH.
2) V případě prodlení Objednatele s úhradou faktury je Dodavatel oprávněn uplatnit vůči Objednateli smluvní pokutu ve výši 0,05% z fakturované ceny bez DPH za každý i započatý den prodlení.
3) V případě nedodržení dohodnutého termínu odstranění vad a nedodělků nebránících užívání předmětu plnění, za nedodržení termínu zahájení práce na odstranění závady nebo za nedodržení termínu odstranění závady, na kterou se vztahuje záruka je povinen zaplatit Objednateli smluvní pokutu ve výši 0,05% z celkové ceny předmětu plnění bez daně z přidané hodnoty za každý i započatý den prodlení.
4) Úrok z prodlení a smluvní pokuta jsou splatné do 30 kalendářních dnů od data, kdy byla povinné straně doručena oprávněnou stranou písemná výzva k jejich zaplacení, a to na bankovní účet oprávněné strany uvedený v písemné výzvě.
5) Smluvní pokuty mohou být kombinovány (tzn., že uplatnění jedné smluvní pokuty nevylučuje souběžné uplatnění jakékoliv jiné smluvní pokuty). Ustanovením o smluvní pokutě není dotčeno právo oprávněné strany na náhradu škody v plné výši.
VIII. Důvěrnost informací
1) Každá ze smluvních stran se zavazuje zachovávat v tajnosti všechny informace důvěrného charakteru, týkající se vlastního plnění této smlouvy. Smluvní strany se zavazují, že veškeré důvěrné informace, které jim budou poskytnuty, nesdělí ani jinak nezpřístupní třetím osobám s výjimkou osob zúčastněných na poskytování plnění dle této smlouvy. Povinnost zachovávat závazek mlčenlivosti ve vztahu k důvěrným informacím trvá po celou dobu existence smluvního vztahu, tak i po jeho zániku do té doby, nežli se důvěrné informace stanou veřejně známými, aniž by smluvní strana porušila své povinnosti podle této smlouvy.
2) Výše uvedené ustanovení a z nich vyplývající závazky se nevztahují na informace, k jejichž sdělení je smluvní strana povinna podle obecně závazného právního předpisu nebo rozhodnutí soudu či příslušného kontrolního nebo správního orgánu.
IX. Ustanovení o GDPR
1) Obě smluvní strany se zavazují zpracovávat osobní údaje za účelem plnění předmětného smluvního vztahu, v souladu se zákonem 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů (dále jen „Zákon“), a nařízením Evropského parlamentu a Rady (EU) č. 2016/679 (dále jen „GDPR“).
2) Osobní údaje budou smluvními stranami zpracovávány pouze v rozsahu nutném pro naplnění výše uvedeného účelu a pouze po dobu nutnou pro dosažení výše uvedených účelů, nejdéle však po dobu stanovenou příslušnými právními a interními předpisy a v souladu s nimi.
3) Každá ze smluvních stran je správcem ve smyslu ustanovení platných právních předpisů. K osobním údajům mají přístup pouze správce a osoby, které jsou ve vztahu k němu v pracovněprávním poměru nebo zpracovatel na základě smluvního vztahu se správcem a pouze za výše uvedenými účely zpracování. Přístup a nakládání s osobními údaji zpracovávanými každým ze správců podléhají interním předpisům daného správce.
4) Smluvní strany jsou povinny seznámit subjekty údajů (např. kontaktní osoby) s tím, že jejich osobní údaje mohou být zpracovány za účelem plnění předmětné smlouvy. Zároveň jsou povinny informovat subjekty údajů o možnosti uplatnění jejich práv u správce, a to na:
• právo na přístup k osobním údajům, na jejich opravu nebo výmaz, právo na omezení zpracování a právo vznést námitku proti nezákonnému zpracování;
• právo podat stížnost u dozorového úřadu.
X. Odstoupení od Smlouvy
1) Objednatel má právo odstoupit od smlouvy v případě, že Dodavatel ve faktuře uvede jiné ceny, než které jsou uvedeny ve Smlouvě, a i přes upozornění Objednatele chybnou fakturu neopraví.
2) Objednatel má právo odstoupit od smlouvy v případě, že Dodavatel bude v prodlení
s předmětem plnění nebo jeho dílčí části delším než 3 měsíce.
3) Objednatel má právo odstoupit od Smlouvy v případě, že Dodavatelem dodaný předmět plnění nebude splňovat všechny požadavky Objednatele uvedené v zadávací dokumentaci této veřejné zakázky, zejména technické podmínky.
4) Dodavatel má právo odstoupit od smlouvy v případě, že Objednatel bude v prodlení s úhradou faktury o více než 3 měsíce. Podmínkou odstoupení je, že Xxxxxxxxx písemně upozorní Objednatele na neuhrazenou fakturu po splatnosti alespoň 15 dní před koncem této tříměsíční lhůty.
XI. Součinnost Objednatele
1) Při vykonávání své činnosti je Dodavatel oprávněn jednat se všemi kompetentními zaměstnanci Objednatele zainteresovanými na plnění dle této Smlouvy.
2) Dodavatel je oprávněn požadovat od Objednatele, prostřednictvím kontaktní osoby uvedené v bodě III.4) této Smlouvy, součinnost potřebnou pro vykonávání činnosti. Objednatel zejména:
- Poskytne informace, materiály a stanoviska, které přímo souvisí s plněním dle této
Smlouvy.
- Poskytne všechny informace a podklady nezbytné k validní konfiguraci dodávaného řešení a jednotlivých zařízení a software
- Zajistit VPN vzdálený přístup k dodaným zařízením pro pověřené pracovníky Dodavatele (FortiMail 200F, FortiSandbox 1000F, Administrátorské rozhraní) – nejpozději do 10 dní od podpisu Smlouvy
- Zajistí fyzický přístup do svých prostor pro pracovníky Dodavatele v případě potřeby
- Bude naplňovat obecné zásady řízení projektu a vytvářet předpoklady pro plnění závazků vyplývajících ze Smlouvy tak, aby nedocházelo k prodlení s plněním jednotlivých termínů pro poskytnutí dodávek a služeb.
- Poskytovat konzultace k požadavkům na vlastnosti Služeb v průběhu realizace Služeb nejpozději do dvou (2) pracovních dnů od písemného vyzvání k projednání
- Vytvoří podmínky pro testování a to jak pro interní testy Dodavatele, tak pro akceptační
testy.
- Zajistí přístup na stávající e-mail gateway Objednatele pro pověřené pracovníky Dodavatele (administrátorský účet pro analýzu konfigurace pro instalaci FortiMail 200F a následné integrační služby) – nejpozději do 2 dnů od podpisu Smlouvy
- Zajistí přístup na portálové servery Objednatele pro pověřené pracovníky Dodavatele, pro analýzu konfigurace, instalaci a implementaci dodávaného softwarového řešení Administrátorského rozhraní, a integrační práce s FortiSandbox 1000F – nejpozději do 2 dnů od podpisu Smlouvy
- Hlásit případné závady, problémy či požadavky na změny prostřednictvím helpdesku
Dodavatele na e-mail: xxx nebo telefon: xxx
XII. Závěrečná ustanovení
1) Dodavatel bude při plnění předmětu smlouvy postupovat s odbornou péčí, podle nejlepších znalostí a schopností, sledovat a chránit oprávněné zájmy zadavatele a postupovat v souladu s jeho pokyny nebo s pokyny jím pověřených osob.
2) Tato Smlouva nabývá platnosti dnem podpisu smlouvy oběma smluvními stranami a účinnosti dnem uveřejnění smlouvy v registru smluv
3) Tato smlouva se řídí právem České republiky, zejména zákonem č. 89/2012 Sb., občanský zákoník. Veškeré spory vzniklé z této smlouvy jsou příslušné řešit soudy České republiky.
4) Dodavatel bere na vědomí, že se realizací této veřejné zakázky stane v souladu s ustanovením § 2 písm. e) zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů, ve znění pozdějších předpisů, osobou povinnou spolupůsobit při výkonu finanční kontroly prováděné v souvislosti s úhradou zboží nebo služeb z veřejných výdajů nebo veřejné finanční podpory.
5) Tato smlouva bude zveřejněna v registru smluv podle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv).
6) Smlouva může být změněna pouze písemnými, vzestupně očíslovanými dodatky.
7) Dodavatel bez předchozího výslovného písemného souhlasu Objednatele nepostoupí ani nepřevede jakákoliv práva či povinnosti vyplývající ze smlouvy na jakoukoliv třetí osobu.
8) Tato Smlouva se vyhotovuje buď elektronicky nebo ve 2 identických listinných stejnopisech, z nichž Objednatel obdrží po jejich podpisu 1 stejnopis a Dodavatel obdrží 1 stejnopis
9) Smluvní strany prohlašují, že si tuto smlouvu přečetly, s jejím obsahem souhlasí a že byla sepsána na základě jejich pravé a svobodné vůle, a na důkaz toho připojují své podpisy
10)Nedílnou součásti smlouvy je příloha 1 – Specifikace a technické parametry dodávky
V Praze dne................................ V Brně dne ……………………
za Dodavatele: za Objednatele:
………………………………………… ……………………………………...............
Xxxx Xxxxxxx, statutární ředitel RNDr. Xxxxx Xxxxxxxxx, generální ředitel
Příloha č.1 Xxxxxxx
Specifikace a Technické parametry předmětu plnění
Nejvhodnějším řešením ochrany mailové komunikace je kombinace klasických metod (na bázi AV kontrol) a tzv. sandboxingu. Sandboxing je jedno z dalších bezpečnostních řešení, které sofistikovaným způsobem dokáže eliminovat riziko škodlivého software. Jde o řešení pro ochranu před pokročilými typy hrozeb, založené na analýze reálného chování podezřelého kódu v reálném čase. Díky tomu je možné v rámci sandboxingu detekovat i zcela nové, pro tradiční antivirové(AV) systémy zcela neznámé typy malware a ransomware. Sandboxing tedy do značné míry dokáže eliminovat i tzv. dosud neznámé typy útoků (zero-day útoky), tedy útoky, které nejsou ještě detekovatelné klasickými AV systémy ochrany. Požadavky na efektivní ochranu emailové komunikace logicky vycházejí jak z požadavků zákona č. 181/2014 Sb. o kybernetické bezpečnosti (ZoKB), tak z normy ČSN ISO/IEC 27001:2014.
Nabízíme implementaci řešení komplexní ochrany před škodlivým software šířeným prostřednictvím infikovaných souborů. Na základě požadavků Zadavatele navrhujeme implementovat ucelené řešení, které bude postaveno na moderních produktech bezpečnostní platformy společnosti Fortinet. Pro požadovanou ochranu e-mailů jsme vybrali produkt FortiMail 200F, který bude vhodně doplněn produktem FortiSandbox 1000F. Vlastnosti a funkce zmiňovaných produktů se doplňují a poskytují velmi efektivní ochranu e-mailu proti požadovaným hrozbám (antivir, antispam, zero-day malware).
Seznam a specifikace dodávaných komponent
Název komponenty | počet ks |
Fortinet FortiMAIL 200F + 5Y FortiCare 24x7 | 1 |
Fortinet FortiSANDBOX 1000F + 5Y FortiCare 24x7 | 1 |
SW Administrátorské aplikační rozhraní + 5Y SW maintenance | 1 |
1) Detailní specifikace zařízení pro ochranu SMTP komunikace – FortiMail 200F
Jako nejvhodnější zařízení pro zajištění ochrany SMTP komunikace jsme vybrali zařízení společnosti Fortinet – FortiMail 200F.
FortiMail je bezpečnostní zařízení společnosti Fortinet, jde v podstatě o transparentní mailovou gateway zajišťující bezpečnostní kontrolu kompletní emailové komunikace, včetně antivirové a antispamové kontroly, a také ochrany proti malware.
FortiMail je účelové HW zařízení/appliance pro náročné komunikační systémy, které ochrání proti spamu, malwaru a dalším e-mailovým hrozbám. V příchozím směru FortiMail efektivně blokuje spam a malware (škodlivý software). V odchozím směru kontroluje jednotlivé zprávy, tak aby nedošlo k zařazení vašeho systému do blacklistu. FortiMail umožňuje dynamicky i staticky kontrolovat jednotlivé uživatele vlivem čehož získáte kompletní kontrolu nad bezpečnostními politikami a uživateli.
Všechny e-mailové servery na trhu se nasazují v serverovém režimu některé i v gateway režimu. Fortinet je jedinou společností, která nabízí i tzv. transparentní režim, který umožňuje, aby FortiMail zachytil e-maily, aniž by bylo nutné měnit DNS MX záznamy nebo měnit stávající konfiguraci poštovního serveru v síti. Zařízení zajišťuje kompletní vícevrstvou antivirovou, antispamovou, antispyware a antiphishing ochranu pro neomezený počet uživatelů v ceně zařízení.
S FortiMail zařízením můžete zabránit tomu, aby byl váš systém i lidské zdroje zahlceni nevyžádanou poštou. V příchozím směru FortiMail efektivně blokuje spam a malware. V odchozím směru kontroluje jednotlivé zprávy, tak aby nedošlo k zařazení vašeho systému do blacklistu.
Fortimail umožňuje dynamicky i staticky kontrolovat jednotlivé uživatele vlivem čehož získáte kompletní kontrolu nad bezpečnostními politikami a uživateli. FortiMail poskytuje Identity-Based Encryption (IBE), které lze použít pro bezpečné doručení zpráv (metoda push nebo pull).
Splnění parametrů požadovaných Objednatelem:
Požadavek Zadavatele | Splnění požadavků nabízeným zařízením |
Podpora VLAN | ANO splňuje |
Podpora IPv4, IPv6 | ANO splňuje |
Možnost nasazení v režimu gateway/MTA, transparent | ANO splňuje |
Architektura MTA musí umožnit provést Antivirovou a Antispamovou kontrolu emailu bez ukládání do fronty | ANO splňuje |
Zařízení musí umožňovat správu pomocí web GUI (HTTP(s)) a CLI (ssh, telnet) | ANO splňuje |
Podpora protokolů SNMP a syslog pro možnost začlenění do monitorovacího systému | ANO splňuje |
Antispamová kontrola s podporou minimálně následujících metod: | ANO splňuje |
o kontrola na úrovni spojení i obsahu emailové zprávy; každá kontrola samostatně konfigurovatelná včetně reakce na detekovaný spam | ANO splňuje |
o kontrola příloh (včetně analýzy obrázků, PDF) | ANO splňuje |
o porovnání proti signaturové databázi známých spamových zpráv, automatická aktualizace databáze (spam checksum database) | ANO splňuje |
o porovnání proti databázi blacklist IP adres a botnet IP adres (včetně automatických aktualizací databáze) | ANO splňuje |
o lokální dynamická reputace klientů (udržování dynamického reputačního skóre na základě reálného chování email klienta) | ANO splňuje |
o podpora greylistingu | ANO splňuje |
o lokální black/white listy spravované administrátorem | ANO splňuje |
o ověření příjemce (recipient verification) minimálně proti email serveru a LDAPu | ANO splňuje |
o Podpora DMARC (SPF a DKIM) | ANO splňuje |
o heuristická antispam kontrola | ANO splňuje |
o podpora bayesovské databáze (centrální i per-domain) | ANO splňuje |
o podpora SURBL/RBL | ANO splňuje |
o analýza na základě kategorie vložených URL (za využití databáze pro URL filtraci) | ANO splňuje |
o anti-spoofing (reverzní DNS kontrola) | ANO splňuje |
o detekce emailů Kategorie “newsletter” a práce s nimi (např. přidání tagu) | ANO splňuje |
Reakce na detekovaný spam minimálně: | ANO splňuje |
o přidání tagu | ANO splňuje |
o přidání hlavičky | ANO splňuje |
o přeposlání emailu na jiný SMTP server | ANO splňuje |
o odmítnutí (reject) | ANO splňuje |
o zahození (discard) | ANO splňuje |
o uložení do karantény | ANO splňuje |
o přepsání adresy příjemce | ANO splňuje |
Podpora antivirové kontroly | ANO splňuje |
o kontrola pomocí signaturové databáze | ANO splňuje |
o kontrola archivů a vnořených archivů | ANO splňuje |
o detekce malware | ANO splňuje |
Reakce na detekovaný virus/škodlivý kód minimálně: | ANO splňuje |
o přidání tagu | ANO splňuje |
o vložení nové hlavičky | ANO splňuje |
o odmítnutí (reject) | ANO splňuje |
o zahození (discard) | ANO splňuje |
o uložení do karantény | ANO splňuje |
o náhrada zavirovaného obsahu | ANO splňuje |
o přepsání adresy příjemce | ANO splňuje |
o přeposlání emailu na jiný SMTP server | ANO splňuje |
Kontrola typu souboru v příloze mailů | ANO splňuje |
Kontrola obsahu (předdefinované slovníky HIPAA, GLBA, SOX) | ANO splňuje |
Ochrana proti phishingu | ANO splňuje |
Možnost vytváření pravidel na základě IP, domén, i emailových adres | ANO splňuje |
Podpora šifrování emailové komunikace pro příjemce bez nutnosti instalovat na klienty dodatečný software nebo využívat HW řešení | ANO splňuje |
Podpora SMTP autentizace pomocí LDAP, RADIUS, IMAP a POP3 | ANO splňuje |
Podpora karantény přímo na daném zařízení, podpora pravidelného reportu jednotlivým uživatelům (report zasílaný emailem, musí obsahovat minimálně akce ”smazat zprávu” a “vyjmout z karantény”) | ANO splňuje |
Podpora S/MIME | ANO splňuje |
2) Detailní specifikace zařízení zajišťující ochranu formou sandboxingu –
FortiSandbox 1000F
Jako nejvhodnější zařízení pro zajištění ochrany formou sandboxingu jsme vybrali zařízení společnosti Fortinet – FortiSandbox 1000F.
FortiSandbox je nástroj pro detekci
pokročilých forem škodlivého kódu, jako jsou různé druhy malware, ransomware, spyware atp. Jeho hlavní výhodou v porovnání s tradičními antivirovými systémy je schopnost detekovat nové, doposud neznámé formy malware (tzv. zero-day útoky) a přesně cílené útoky, vyvíjené s cílem napadnout jeden konkrétní subjekt.
To jsou oblasti, ve kterých tradiční anti-malware systémy selhávají, protože se opírají primárně o signaturové databáze, popisující známý škodlivý kód. Platforma Fortisandbox ovšem podezřelý soubor spustí v reálném operačním systému a sleduje jeho skutečné chování. Díky podpoře celé řady aplikací se neomezuje pouze na spustitelné soubory a systémové knihovny, ale dokáže kontrolovat celou řadu různých typů souborů v jejich nativních aplikacích (MS Word, Excel, PowerPoint, Adobe Acrobat, …). Na základě analýzy reálného chování pak určí, zda se jedná o běžný soubor, nebo škodlivý kód. Velmi zajímavou funkcí je možnost vytvořit tzv. zákaznický VM obraz, tedy vlastní konfiguraci operačního systému a aplikací, ve kterých budou podezřelé soubory testovány a které plně modelují zákaznické prostředí. Tímto způsobem lze maximalizovat šanci účinně bránit konkrétní zákaznickou infrastrukturu.
Klíčové vlastnosti zařízení FortiSandbox:
• Umožňuje detekci škodlivého kódu pomocí
kombinace klasické AV kontroly a
plnohodnotného sandboxu. Podezřelý kód je spuštěn v reálném operačním systému a sleduje se jeho skutečné chování. Na základě této analýzy je pak automaticky určeno, zda se jedná o neškodný kód, nebo virus.
• Hlavním přínosem je schopnost detekovat doposud neznámé verze škodlivého kódu,
včetně útoků přesně vyvinutých a cílených na konkrétního zákazníka.
• Využívá centrální Fortinet databázi pro získávání aktualizací pro okamžité odhalování potenciálních hrozeb (zvyšování rychlosti kontroly).
• Integruje celou řadu tzv. anti-evasion technik a tím efektivně čelí i variantám škodlivého kódu, které využívají ochranu před sandboxingem.
• Poskytuje plně virtualizované prostředí pro analýzu riskantních kódů a zkoumání životního
cyklu hrozeb.
• Umožňuje zákazníkům nakonfigurovat vlastní verzi operačního systému a aplikací, ve kterých budou hrozby zkoumány a tak v maximální míře emulovat reálné prostředí zákazníka.
• Kategorizuje síťové aplikace, systémy a aktivity souborů dle potenciální rizikovosti.
• Detekuje podezřelou komunikaci, například síťové požadavky k návštěvám škodlivých webových stránek nebo komunikace typické pro řízení botnetů.
• Ve výsledku tak maximalizuje šanci detekovat a zablokovat hrozbu ještě před jejím spuštěním ze strany uživatele.
Splnění parametrů požadovaných Zadavatelem:
Požadavek Zadavatele | Splnění požadavků nabízeným zařízením |
Všechny prvky ochrany musí být poskytovány lokálně, nikoliv jako cloudová služba | ANO splňuje, jde o HW zařízení s integrovaným SW řešením |
Je požadováno řešení ve formě HW appliance. | ANO splňuje |
Součástí dodávky musí být licence na min. 12 virtuálních systémů/serverů. | ANO splňuje, obsahuje licence pro 14 virtuálních systémů/serverů |
Vše musí být součástí jednoho zařízení. | ANO splňuje |
integrace v režimu sniffer | ANO splňuje |
integrace formou on demand scan (předání souborů přes GUI) | ANO splňuje |
integrace se SMTP GW platformou | ANO splňuje (integrace s FortiMail) |
integrace se síťovým diskem | ANO splňuje a bude implementováno |
integrace pomocí API | ANO splňuje (bude integrováno s portálovým řešením prostřednictvím API) |
Řešení musí nabízet otevřené API jak pro možnost získaní informací o prováděných inspekcích a detekovaných hrozbách, tak pro možnost integrace s dalšími aplikacemi zákazníka za účelem zkoumání potencionálně nebezpečných vzorků. API proto musí umožňovat předat zařízení soubory k inspekci a následně získat informaci o výsledku včetně detailů o inspekci (detekované chování, screenshoty, logy, atd…). Počet takto připojených aplikací nesmí být licenčně omezen ani nesmí způsobit dodatečné náklady na zalicencování. Pokud tato funkce vyžaduje samostatnou licenci, tak tato musí být součástí dodávky | ANO splňuje |
Podporované operační systémy: Windows 7, Windows 8.1, Windows 10, Linux, Android | ANO splňuje |
Podpora zákaznické konfigurace Windows VM – možnost instalovat vlastní VM image (zadavateli musí být umožněno si ve spolupráci s výrobcem technologie sandbox připravit specifickou konfiguraci OS využívanou jako standard v prostředí zadavatele). | ANO splňuje |
Ochrana proti zjištění běhu v sandbox prostředí (anti-evasion techniky). | ANO splňuje |
Detekce komunikace s C&C (command-and- control) servery. | ANO splňuje |
Podpora detekce přístupu na kompromitované URL. | ANO splňuje |
Podpora reportování ve standardních formátech (HTML, CSV, PDF, XML, …) | ANO splňuje |
Funkce reportingu nalezených problémů (součástí výsledné informace nesmí být pouze status čistý/škodlivý kód, ale kompletní informace včetně detailního popisu chování, packet capture, a v případě projevu malware v GUI také screenshoty). | ANO splňuje |
Podpora kontroly minimálně: spustitelných souborů, MS Office souborů, Adobe Flash souborů, JAR souborů, skriptů (např. vbs), archivů a multimediálních soborů. (minimálně asf, chm, com, dll, doc, docx, exe, gif, hip, htm, ico, jar, jpeg, jpg, mov, mps, mp4, pdf, png, ppsx, ppt, pptx, qt, rm, rtf, swf, tiff, url, vbs, vcf, xls, xlsx, bat, cmd, js, wsf, xml, flv, wav, avi, mpg, midi, vcs, lnk, csv, rm, zip, rar, 7z, tnef) | ANO splňuje pro všechny uvedené typy souborů |
Podpora režimu vysoké dostupnosti pro zvýšení spolehlivosti. | ANO splňuje |
Oddělená konektivita pro systémovou/management komunikaci a pro komunikaci virtuálních strojů do Internetu. | ANO splňuje |
Automatická aktualizace signaturových databází. | ANO splňuje |
Automatická aktualizace VM zveřejněných výrobcem. | ANO splňuje |
Certifikace ICSA Labs | ANO splňuje |
3) Detailní specifikace Administrátorského aplikačního rozhraní k FortiSandbox
V rámci nabízeného řešení bude dodáno a implementováno Administrátorské aplikační rozhraní k zařízení FortiSandbox zajišťující přehledné administrátorské rozhraní a nadstavbové bezpečnostní funkce. Nadstavbové Portálové řešení je vyvinuto nad rozhraním JSON API zařízení FortiSandbox.
Požadavek Zadavatele | Splnění požadavků nabízeným SW |
Musí umožňovat automatizovat procesy kontroly a ochrany v aplikacích/portálech Zadavatele | ANO splňuje |
Musí umožňovat odesílat soubory do uvedeného portálového řešení z jiných aplikací/portálů (nebo jiných serverů) Zadavatele/třetích stran pro zajištění bezpečnostní kontroly (zero-day útoky a malware) | ANO splňuje |
Každý vložený soubor vložený prostřednictvím tohoto dodaného portálového řešení bude kontrolován sandbox zařízením a bude analyzován na škodlivý kód. V případě detekovaného škodlivého kódu bude přijetí/další zpracování souboru zamítnuto a uživateli bude zobrazeno upozornění s přesným zdůvodněním. | ANO splňuje |
Administrátor systému bude upozorněn alertem (e-mail, SMS, SIEM) včetně podrobné analýzy detekovaného malware | ANO splňuje |
Administrátorské aplikační rozhraní musí komunikovat v českém jazyce a být přístupné přes webový prohlížeč | ANO splňuje |
Specifikace Záruky a HW a SW maintenance k výše dodávaným komponentám
V rámci plnění Smlouvy jsou všechny výše uvedené komponenty řešení, tedy:
• FortiMail 200F
• FortiSandbox 1000F
• Administrátorské aplikační rozhraní
Dodány včetně předplacené SW a HW maintenance výrobců (vč. upgrade a update) a to na období 5 let.
Záruka výrobců za všechny uvedené komponenty řešení je tedy 5 let od předání komponent
Objednateli.
Specifikace Jednorázových služeb souvisejících s dodávkou řešení
V rámci plnění předmětu Smlouvy budou poskytnuty následující jednorázové odborné služby:
• Realizace Prováděcího projektu nasazení technického řešení popsaného výše
• Kompletní služby implementace všech dodaných částí řešení, a jejich plné zprovoznění
• Integrace celého dodaného řešení do ICT prostředí Objednatele
• Zajištění školení uživatelů a správců pro vybrané pracovníky Zadavatele na pracovišti ČMI v Praze – rozsah školení Administrátorů - 1 člověkoden. S dodaným systémem přímo mohou pracovat pouze IT administrátoři/správci, není přístupný uživatelům.
• Komplexní end-to-end otestování dodaného a implementovaného řešení