Příloha č. 3.a Zadávací dokumentace veřejné zakázky „Kybernetická bezpečnost" TECHNICKÁ SPECIFIKACE

Příloha č. 3.a Zadávací dokumentace veřejné zakázky „Kybernetická bezpečnost"

TECHNICKÁ SPECIFIKACE

Vymezení předmětu plnění veřejné zakázky

1. Předmět plnění veřejné zakázky

   1. Předmětem plnění veřejné zakázky jsou dodávky zařízení a návazných služeb (dále také jen „řešení“) pro zvýšení úrovně kybernetické bezpečnosti informačních systému zadavatele a souvisejícího rozšíření Technologického centra ORP, včetně školení uživatelů.

   2. Předmětem plnění veřejné zakázky jsou dodávky a služby (komodity) uvedené v následující tabulce. Podrobná specifikace dodávek a služeb je uvedena v kapitole 3 tohoto dokumentu.

      Označení	Zařízení	Počet
      K1	Rozšíření kapacit Technologického centra ORP	1
      K2	SIEM a NBA	1
      K3	Správa identit	1
      K4	Školení kybernetické bezpečnosti	1

2. Popis výchozího stavu

1. Popis organizace a její členění

1. Organizace Magistrát města Karlovy Vary (dále MMKV) sídlí ve 2 administrativních budovách, kde pracuje většina zaměstnanců a je zde umístěná převážná část IT technologií. Organizace je zřizovatelem organizací v oblasti dopravy, kultury, správy majetku, školství, sociální a zdravotní.

2. Popis lokalit

1. Z pohledu IT jsou pro MMKV nejvýznamnějšími lokalitami budova Moskevská 2035/21, 361 20 Karlovy Vary a budova U Spořitelny 538/2, 361 20 Karlovy Vary. V těchto lokalitách jsou umístěny ICT technologie. Projekt bude realizován v obou lokalitách.

3. Popis stávajícího HW prostředí

1. Technologické centrum ORP (dále TC ORP nebo TC) je infrastrukturním základem pro poskytování IT služeb. Cílem je zajištění co nejlepších podmínek provozu informačních systémů v režimu 5×12. V současné době je Technologické centrum ORP situováno v lokalitě Moskevská.

2. Technologické centrum bylo vybudováno z původní serverovny úřadu v roce 2012 v rámci Výzvy 06 IOP, dále rozšířeno v rámci Výzvy 09 IOP, kdy byly vybudován i softwarové platformy pro správu dokumentů, identit a archivaci. V roce 2014 prošlo TC zatím poslední modernizací – doplněním síťových firewallů, konsolidací zálohování, modernizací groupware a systému řízení tisku a zavedením provozního monitoringu.

3. Hlavní serverová infrastruktura je tvořena 2 ks HP Blade šasi. Šasi jsou osazena devíti kusy dvouprocesorových Blade serverů BL460 G7 a G8. Pro řízení zálohování a další pomocné úlohy slouží samostatný fyzický server HP DL380 G8.

4. SAN infrastruktura je tvořena optickými SAN přepínači – 2 kusy v každém HP Blade šasi a 2 kusy HP 8/24 Base SAN Switch. Do SAN infrastruktury jsou zapojena 4 externí disková pole MSA2000G3 s expanzními policemi, dále dvě páskové knihovny MSL 2024 a 4048, obě Blade šasi, zálohovací server a 2 appliance diskové virtualizace FalconStor NSS GA700 s externími rychlými vyrovnávacími pamětmi (cache) tvořenými servery HP DL380p G8 s rychlými flash úložišti. Účelem diskové virtualizace je zajištění pokročilých služeb – zejména zrcadlení úložišť, zajištění vysoké dostupnosti úložišť a abstrakce úložišť vůči fyzickým i virtuálním serverům.

5. V TC ORP je využívána serverová virtualizační technologie VMware vSphere, aktuálně ve verzi 5.1 v edici Enterprise Plus (16 CPU). Pro správu prostředí slouží vSphere vCenter Standard. Jsou využívány rozšířené funkce virtualizační platformy High-availability, Vmotion, DRS.

6. Pro napájení technologií je v lokalitě Moskevská k dispozici zálohované napájení o výkonu 40 kVA zajišťované UPS Xxxxx 93PM. UPS je vybavena externím bypassem a systémem nouzového odstavení. Pro správu UPS a automatické řízení virtualizační platformy při výpadku a obnově napájení je používán systém Xxxxx Intelligent power manager. UPS splňuje požadavky na spolehlivé zajištění nepřetržitého napájení TC a má výkonovou rezervu pro zálohování poptávaných technologií.

7. TC ORP je navrženo a budováno pro poskytování vysoce dostupných služeb. Klíčové prvky TC ORP jsou redundantní a jsou implementovány technologie umožňující automatické překlenutí odstávky (plánované i neplánované) klíčového prvku s žádným nebo minimálním (v řádu jednotek minut) výpadkem služeb.

8. TC ORP je primárně zálohováno systémem Veeam Backup & Replication s ukládáním záloha na diskové pole a páskovou knihovnu MSL 2024. Některé zálohy a archivy, popř. méně důležitá data (např. instalační zdroje) jsou ukládány na úložišti typu NAS Windows Storage Server.

9. Hlavním databázovým úložištěm MMKV je Microsoft SQL Server, aktuálně ve verzi 2008.

10. Síťová infrastruktura LAN je osazena převážně aktivními prvky HP (HPE) řad 51xx a 55xx.

11. Zabezpečení přístupu k Internetu využívá dvou firewallů Fortinet FortiGate FG-240D v režimu vysoké dostupnosti (clusteru) včetně rozšiřujících bezpečnostních UTM funkcí.

12. Groupwarové služby zajišťuje systém Exchange 2013 s doplňkovými nástroji pro bezpečnostní kontrolu příchozích a odchozích zpráv (antivir, antispam). Systém zajišťuje i obsluhu mobilních zařízení.

13. Většina uživatelů využívá pro přístup k aplikacím tenké klienty HP. Aplikace jsou doručovány technologií Citrix Presentation Server 4 provozovanou na virtuálních serverech Windows 2003 R2. Pro vzdálený přístup k aplikacím je využívána technologie Citrix Secure Gateway.

14. V prostředí TC ORP je implementován systém SafeQ pro řízení tiskového prostředí. Tiskové prostředí je tvořeno zejména tiskárnami a multifunkčními stroji HP LJ 3035, HPLJ4350dtn, HPLJP2055dn, Develop INEO 353 a osobními tiskárnami uživatelů, převáženě značky HP. Celkový počet tiskových zařízení je cca. 100.

15. Provoz TC ORP je monitorován dohledovým systémem, který vychází ze systému Nagios. Systém monitoruje dostupnost a parametry služeb, aplikací, operačních systémů a zařízení včetně speciálních – docházkové terminály, kamerové systémy a další. Systém provádí i environmentální monitoring.

16. MMKV disponuje optickou komunikační infrastrukturou (dále KI) typu MAN (metropolitan area network) propojující většinu městských organizací a také obě lokality MMKV (délka spoje mezi lokalitami je < 1 km, k dispozici je min.8 single modových vláken). KI prochází kontinuálním rozvojem ve dvou klíčových oblastech – připojování dalších městských organizací a zavádění služeb pro tyto organizace. Komunikace mezi KI a TC ORP i komunikace s externími sítěmi (Internet, RKI Karlovarského kraje apod.) je řízena clusterem firewallů Fortinet FortiGate FG-240D. MAN je provozována na aktivních prvcích HP (HPE) řad 55xx a 75xx a je monitorována HP Intelligent Management Center, který je částečně využíván i pro monitoring LAN.

17. V prostorách MMKV je vybudován přípojný uzel krajské Regionální komunikační infrastruktury (dále RKI) vlastněné a provozované Karlovarským krajem. RKI propojuje všechny ORP Karlovarského kraje a významné organizace Karlovarského kraje (nemocnice, střední školy, SÚS (Správa a údržba silnic) a další). RKI je připojena k národním a resortním sítím – např. KIVS. RKI prochází kontinuálním rozvojem obdobně jako KI.

18. Pro účely správy dokumentů a provoz specifických aplikací (např. Registr dlužníků) využívá MMKV platformy Microsoft Sharepoint Foundation 2010 s rozšířením Nintex Workflow a Nintex Forms v edici Workgroup.

19. Pro účely archivace dokumentů (např. stavebního archivu) využívá MMKV platformu IBM FileNet (Business proces manager a Content Collector for E-mail).

20. Pro evidenci organizační struktury a vytváření uživatelských účtů na základně informací z personálního systému FLUXPAM (FLUX, spol. s r.o.) je využíván systém EOS (Evidence organizační struktury – MARBES CONSULTING s.r.o.)

21. Hlavním informačním systémem využívaným úřadem je GINIS (GORDIC spol. s r.o.).

22. Pro správu dokumentů a spisů je využívána elektronická spisová služba AthenA s rozšiřujícím modulem iUsnesení pro správu dokumentů rady a zastupitelstva (PilsCom s.r.o.).

23. Standardním kancelářským balíkem využívaným pro potřeby MMKV je Microsoft Office, s ohledem na sjednocení uživatelského rozhraní a kompatibilitu dokumentů ve verzi 2007 a vyšší. Standardně jsou využívány aplikace Word, Excel, Outlook a OneNote. Nabízená řešení a produkty musí být s používaným kancelářským balíkem plně kompatibilní.

4. Popis dokumentace

1. K provozování a řízení rozvoje TC je využívána a udržována Provozní dokumentace.

2. Provozní dokumentace popisuje základní nastavení technologií, hardwarových a softwarových systémů a je tvořena souborem dokumentací zpracovaných v průběhu realizovaných implementačních ICT projektů.

3. Citlivé údaje (přístupové účty apod.) jsou uloženy odděleně od Provozních dokumentací.

4. Uchazeč je povinen v rámci zakázky zajistit nezbytné doplnění Provozní dokumentace reflektující provedené změny.

5. Popis způsobu řešení incidentů

   1. Zadavatel pro řešení incidentů a podporu uživatelů využívá vlastní systém Helpdesk.

   2. Zadavatel zajišťuje podporu 1. úrovně a většinu běžných problémů jsou schopni vyřešit interní pracovníci zadavatele.

   3. Incidenty a požadavky, které nevyřeší interní specialisté, jsou zadávány do helpdeskových systémů dodavatele systému, který vykazuje incident nebo na který směřuje požadavek uživatele. Hlášení incidentů a požadavků je prováděno telefonicky, emailem nebo přímo zadáním ticketu/požadavku do helpdeskového systému dodavatele.

6. Popis servisních oken

TC nemá pevně definovaná pravidelná servisní okna. Aplikace aktualizací a oprav virtuálních serverů provádějí specialisté Města dle potřeby a s přihlédnutím k minimalizaci omezení uživatelů.

3. Povinné parametry technického řešení

1. Obecné požadavky

1. Uchazeč v rámci zakázky navrhne:

   1. způsob rozšíření kapacit TC ORP a LAN pro implementaci a spolehlivý provoz nabízených komodit,

   2. způsob sběru logů systémů úřadu, jejich vyhodnocování a detekci bezpečnostních událostí,

   3. způsob automatizace správy identit a uživatelských účtů včetně způsobu napojení na SIEM,

   4. obsah uživatelských školení pro zvýšení povědomí uživatelů o kybernetických hrozbách a způsobech předcházení bezpečnostním událostem a incidentům,

2. Uchazeč v rámci zakázky provede po schválení návrhů z předchozího bodu jejich realizaci.

3. Serverová infrastruktura je virtualizována a provozována v TC s využitím všech jeho výhod (vysoká dostupnost, bezpečnost, zálohování, trvalý monitoring a správa).

4. Zadavatel při výstavbě, správě a provozu ICT technologií striktně dodržuje hledisko technologické neutrálnosti, tj. využití technologií takovým způsobem, který neomezuje implementaci technologií různých výrobců – tuto strategii musí splňovat i řešení dodané v rámci této veřejné zakázky.

5. V technickém popisu mohou být uvedeny značky, či přímo názvy řešení, a to v případě, že Město považuje za odůvodněné, že řešení rozšiřuje stávající funkcionalitu, doplňuje funkčně stávající řešení, či požaduje řešení minimálně s vlastnostmi řešení uvedeného a konkrétní popis by byl nad rámec tohoto dokumentu.

6. Technické řešení musí zohledňovat podmínky již realizovaných investic zadavatele vč. udržitelnosti minulých dotačních projektů a v jejich souvislostech i povinnosti s hospodařením s majetkem v těchto projektech pořízených. Použití odkazů na konkrétní obchodní značky znamená v rámci této Technické specifikace povinnost respektovat kompatibilitu s takto odkázaným zařízením.

7. Dodavatel ve své nabídce detailně popíše vazby na stávající systémy zadavatele, které jsou nezbytné pro správné fungování řešení nabízeného Dodavatelem.

8. Pokud uchazečem navržené řešení vyžaduje využití konkrétních softwarových produktů, neobsažených v popisu předmětu plnění, a jím zvolený přístup k řeše zadání je na takových konkrétních řešeních závislý, musí jejich pořízení zahrnout ve své nabídce v potřebném rozsahu a v rámci nabídnuté ceny.

9. Pokud uchazečem navržené řešení vyžaduje fyzickou infrastrukturu (např. servery, síťové prvky atp.) neobsaženou v popisu předmětu plnění, zahrne uchazeč do své ceny všechny náklady na její pořízení, instalaci, konfiguraci a další služby potřebné pro uvedení do provozu.

10. Pro každý softwarový produkt, který uchazeč nabídne v rámci svého řešení, budou v nabídce výslovně uvedeny všechny licenční nebo výkonové požadavky spojené s instalací a provozem řešení, včetně uvedení konkrétní infrastruktury, na které bude řešení provozováno.

11. zadavatel z důvodů co nejjednodušší a jednotné správy a minimalizace provozních nákladů vyžaduje využití stávajících prostředků a používaných technologií. V případě, že uchazeč vyžaduje ve svém řešení stejné nebo podobné funkce, jaké poskytují stávající prostředky a technologie, je povinen využít nebo vhodným způsobem rozšířit stávající prostředky-není přípustné implementovat např. další serverovou virtualizační platformu apod.

12. Uchazeč bude při implementaci respektovat provozní řád TC, vítězný uchazeč bude s provozním řádem TC seznámen před podpisem Smlouvy o dílo.

13. Veškeré produkty, které uchazeč dodává v rámci plnění zadavateli, musí splňovat následující podmínky:

    1. jsou nové, byly oprávněně uvedeny na trh v EU nebo pochází z autorizovaného prodejního kanálu výrobce,

    2. mají plnou záruku od výrobce,

    3. mohou být podporovány výrobcem a mohou být součástí servisního a podpůrného programu výrobce,

    4. obsahují všechny nezbytné licence na používání příslušného softwaru,

    5. jsou v databázi výrobce uvedeny jako prodaná kupujícímu,

    6. jsou určeny pro provoz v České republice.

Tyto skutečnosti dodavatel doloží čestným prohlášením výrobce/distributora, popř. uchazečem samotným, nelze-li prohlášení distributora získat.

Zadavatel si vyhrazuje právo na zjištění původu výrobků při jejich předávání, a to dle příslušných sériových čísel a právo podpisu akceptačního protokolu, osvědčujícího převzetí dodávky, až po ověření původu výrobku.

14. Veškerá dokumentace vytvořená v rámci veřejné zakázky, musí být zhotovena výhradně v českém jazyce, bude dodána v elektronické formě ve standardních formátech (např. MS Office, PDF) používaných zadavatelem na datovém nosiči a 1x v papírové formě. Papírová forma bude logicky a věcně strukturovaná, bude připravena pro použití (např. provozní dokumentace ve formě vhodné pro použití administrátory v serverovně). Struktura i forma dokumentace musí být před předáním předána ke kontrole a výslovně schválena zadavatelem.

2. Specifické požadavky K1 – Rozšíření kapacit Technologického centra ORP

1. Cílem rozšíření kapacit TC ORP je doplnění stávajících technologií tak, aby zajistily dostatek výpočetních zdrojů a diskových úložných kapacit pro dlouhodobě spolehlivý provoz nabízených komodit.

2. Součástí rozšíření kapacit diskových polí bude i provedení odpovídajících změn konfigurace navázaných systémů – diskové a serverové virtualizace.

3. Bude provedena modernizace síťové vrstvy „core“ LAN. Modernizací bude navýšena kapacita páteřních tras na 10 Gb a doplněna možnost exportu síťových toků pro SIEM.

4. Pro začlenění serveru budou využity stávající licence VMware vSphere a Veeam Backup & recovery.

5. Implementace předmětu plnění nesmí negativně ovlivnit dostupnost ani omezit funkčnost aplikací uživatelů. Součástí návrhu a realizace musí být vhodný scénář postupu implementačních prací zpracovaný v Prováděcí dokumentaci

1. Specifické požadavky K2 – SIEM a NBA

   1. Implementací systému SIEM (Security Information and Event Management) dojde k zastřešení infrastrukturních, informačních a bezpečnostních systémů úřadu a získání přehledu o jejich provozu.

   2. Informace o provozu a potenciálních zranitelnostech informačních systémů umožní zavádění preventivních opatření a předcházení případným bezpečnostních incidentů.

   3. Zavedením systému úřad také získá schopnost detekce bezpečnostních incidentů a informace pro jejich rychlejší a efektivnější řešení.

   4. Reporty systému budou sloužit pro přehlednou kontrolu stavu a chování informačních systémů a uživatelů za určité období (typicky 1 měsíc) a ke kontrole dodržování compliance („jednání v souladu s pravidly") organizace.

   5. Systém umožní provádění tzv. NBA (Network Behavioral Analysis), tj. automatického trvalého monitorování síťového provozu, stavu a činností sledovaných zařízení s cílem detekce (potenciálně) nebezpečného provozu, stavu či chování.

   6. Data uložená v systému a systémem archivovaná budou zajištěna a zabezpečena před neoprávněnou změnou i pro účely vyšetřování případného bezpečnostního incidentu.

   7. Implementace systému bude v provedena v souladu s § 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí Vyhlášky č.316/2014 Sb. k Zákonu č. 181/2014 Sb., o kybernetické bezpečnosti.

2. Specifické požadavky K3 – Správa identit

1. Cílem je zavedení správy interních a externích elektronických identit a souvisejících uživatelských účtů a oprávnění v aplikacích a automatizace řízení jejich životního cyklu.

2. Automatizace zajistí kontrolu nad tokem a využitím informací zpracovávaných v informačních systémech s cílem zamezit jejich neoprávněnému použití či zcizení.

3. Součástí systému pro správu identit bude detailní logování prováděných změn pro možnost zjištění uživatelských oprávnění v libovolném času v minulosti (od nasazení systému).

4. Systém pro správu identit bude čerpat data o uživatelích (identitách) z personálního systému FLUXPAM.

5. Systém pro správu identit bude integrován s klíčovými systémy MMKV a v těchto systémech bude spravovat uživatelské účty, jejich oprávnění a další parametry vázané na uživatele či jejich skupiny - např. zakládání e-mailových schránek.

6. Součástí dodávky bude i zajištění potřebné funkcionality včetně případné licence na straně integrovaných systémů. Případné související náklady zahrne uchazeč do své nabídky.

7. Automatizací správy identit dojde k odstranění nebo alespoň významnému omezení rutinních činností správců systémů spojených se správou identit a dále ke zrychlení reakcí na změny v organizace (např. změny oprávnění v systémech při změně pozice zaměstnance), snížení chybovosti způsobené ručním zadáváním údajů do systémů a/nebo nedodržením procesů (např. včasným nenahlášením odchodu zaměstnance všem správcům systémů nedojde včas nebo vůbec ke zrušení přístupových účtů zaměstnance) a získání okamžitého detailního přehledu o stavu identit a jejich oprávnění v systémech MMKV.

8. Implementace systému bude v provedena v souladu s § 19 Nástroj pro řízení přístupových oprávnění Vyhlášky č.316/2014 Sb. k Zákonu č. 181/2014 Sb., o kybernetické bezpečnosti.

5. Specifické požadavky K4 – Školení kybernetické bezpečnosti

1. Náplní komodity je proškolení zaměstnanců MMKV a příspěvkových organizací (celkem cca. 600 zaměstnanců) na problematiku kybernetické bezpečnosti. Seznam příspěvkový organizací je k dispozici na xxxxx://xxxx.xx/xx/xxxxxxxxxxx-xxxxxxxxxx.

2. Před zahájením školení proběhne test phishingu (podvodné a nebezpečné jednání, typicky škodlivý odkaz nebo příloha v emailu), na školení bude provedeno seznámení s výsledky a vysvětlení, jak se bránit phishingu, po cca 5-6 měsících bude provedeno opakované provedení obsahově odlišného testu a jeho vyhodnocení.

3. Kurz bude koncipovaný jako kombinace e-learningového vzdělávací program (webináře) a prezenčních workshopů.

4. Před zahájením školení bude obsah kurzu upraven dle specifické bezpečnostní politiky MMKV a bude nastaveno prostředí webináře.

5. Uchazeč zajistí provedení 10 prezenčních workshopů, každý bude v délce minimálně 4 výukových hodin, realizace bude po skupinách max. 60 osob. Každý účastník tak absolvuje e-learning v rozsahu minimálně 2 výukových hodin a dále prezenční workshop v rozsahu minimálně 4 výukových hodin, účastník tedy absolvuje celkem alespoň 6 výukových hodin. Workshopy budou probíhat v sídle zadavatele nebo jiných vhodných prostorách určených zadavatelem v lokalitě Karlovy Vary.

6. Zadavatel si vyhrazuje možnost po dohodě s dodavatelem přizpůsobit skupiny účastnící se vzdělávání, tj. počet i složení účastníků, stanovit termíny jednotlivých aktivit.

7. E-learningový webinář, jehož obsahem budou prezentované informace a bude zakončen povinným obecným bezpečnostním testem v rozsahu 20 otázek s možností volby mezi připravenými odpověďmi, bude dostupný na internetu po dobu minimálně 3 měsíců od prvního workshopu (očekává se průběžné skládání testů skupinami zaměstnanců, kteří budou absolvovat konkrétní běh školení). Každý zaměstnanec absolvuje školení formou webináře včetně závěrečného testu. Po 5-6 měsících budou muset zaměstnanci provést opakovaný test a případně pro připomenutí zopakovat webinář (musí být přístupný po dobu minimálně 3 měsíců od opakovaného testu). Předpokládá se, že každý účastník bude absolvovat e-learningový webinář samostatně.

8. Součástí plnění bude poskytnutí studijních materiálů pro prezenční workshopy. Obsah studijního materiálu musí odpovídat rozsahu vzdělávaného tématu. Studijní materiály budou obsahovat mimo jiné kontakt na odborné realizátory (lektory) vzdělávání tak, aby je v případě potřeby mohli účastníci kontaktovat i po skončení kurzu. Studijní materiály budou poskytnuty všem účastníkům vzdělávací aktivity v elektronické podobě. Současně budou studijní materiály poskytnuty v listinné podobě účastníkům, a to přímo na daném workshopu.

9. Pro každý workshop (každé prezenční školení) zpracuje poskytovatel prezenční listinu, která bude vlastnoručně podepsána účastníky kurzu a lektorem/lektory. Všichni účastníci musí po absolvování vzdělávacího programu obdržet osvědčení o účasti. Poskytovatel zajistí rovněž fotodokumentaci aktivity, která bude prokazatelně evidovat, že aktivita proběhla — min. budou zaznamenáni lektoři, účastníci workshopu, aktivity. Prezenční listiny z proběhlých aktivit budou zahrnovat: datum realizace aktivity, jméno a příjmení osob účastníků kurzů, název aktivity, místo poskytování aktivity a podpis účastníků a lektora/ů.

Součástí plnění je provedení evaluace - získání zpětné vazby ze strany účastníků školení, kteří se zúčastní se vzdělávacích aktivit. Průběh evaluace bude probíhat dle uvážení uchazeče, a to např. formou dotazníku ihned po ukončení dílčí části. Výstupy budou zadavateli dodány v elektronické podobě ve formátu MS Word/ Excel nejpozději do 20 dnů od ukončení každé dílčí části.

6. Popis povinných parametrů dodávaného řešení

   1. V dále uvedené tabulce tabulkách jsou uvedeny minimální povinné parametry dodávaného řešení.

Uchazeč musí všechny povinné parametry splnit, v případě nesplnění je jeho nabídka vyloučena

Komodita K1 - Rozšíření kapacit Technologického centra
Část	Xxxxxxxx	Popis povinného parametru	Uchazeč popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
					Virtualizační server 1 ks	Provedení	Blade server
Procesor	2x procesor osmi-jádrový (dohromady 16 jader), nominální frekvence min. 3.2 GHz, automatické zvýšení frekvence jádra až o 0,5 GHz při nevyužití ostatních jader)
Pevné disky	2x SSD, min. 140 GB pro hypervizor
Řadič disků	min. RAID 0,1, zálohovaná cache pro zápis min. 1 GB
Paměť	minimálně 320 GB RAM, min. 2600 MT/s
Rozšiřitelnost	rozšiřitelnost RAM min. na 700 GB bez výměny RAM modulů
RAID	řadič RAID 0,1, 10, zálohovaná vyrovnávací paměť pro zápis min. 1 GB
LAN porty	LAN 2x10Gb s podporou iSCSI a virtualizace VMware NetQueue, Microsoft VMQ. Podpora partitioningu - rozdělení fyzického LAN adaptéru na více virtuálních adaptérů - min. 4 virtuální adaptéry na každý port
FC porty	2x FC (fibre channel) port min. 16 Gb
Vzdálená správa	Podpora vzdálené klávesnice, myši a obrazovky bez nutnosti běhu OS, možnost zapínat a vypínat server, možnost bootování se vzdáleného média.
Kompatibilita	Podpora nejrozšířenějších operačních systémů (Windows, Linux) a hypervizorů (Hyper-V, VMware)
Kompatibilita	Plně kompatibilní se stávajícím Blade šasi HP C7000 na fyzické i elektrické úrovni
Vysoká dostupnost	Podpora a licence pro clusterový provoz
Management	Plná integrace s management modulem HP Blade šasi HP 7000
Záruka	Záruka 60 měsíců, oprava následující pracovní den v místě instalace
SW licence operačních systémů	Operační systémy	Licence 64 - bitového serverového operačního systému v aktuální verzi pro nabízený server. Licence musí umožnit provoz neomezeného počtu virtuálních serverů stejné verze v prostředí stávající serverové virtualizace, dále provoz všech nabízených aplikací, management nástrojů.
Síťové přepínače a sondy síťových toků 4 kusy	Společné parametry
	Provedení	do racku, rozměr max. 1RU, včetně montážního materiálu do racku
	Určení	L2, L3 switch (přepínač), spravovatelný
	Porty	4x 10 GbSFP+, 16x 1 Gb SFP, 48x 1Gb RJ-45, optické a metalické porty nesdílené
	Podavač	podpora směrování a dynamických směrovacích protokolů (min. OSPF)
	VLAN	podpora min. 1000 aktivních VLAN a to včetně L3 směrovaných rozhraní
	Routování	podpora tvorby virtuálních směrovacích tabulek (VRF, virtual router apod.)
	QoS	podpora QoS (min. 8 front na port)
	Bezpečnost	podpora 802.1x
	Rozšířené funkce	podpora MPLS a VPLS, včetně routování pro napojení na MAN
	IPV6	plný dual stack IPv4 a IPv6 včetně všech služeb směrování
	Výkon	přepínání a routování min. 200 Gb/s a 150 Mp/s
	Sledování toků	integrovaná podpora sledování toků technologie sFlow a exportu toků protokolem Netflow nebo kompatibilním.
	Stohování	podpora rozšířeného stohování po standardizovaných 10Gb portech do minimálního počtu 8 přepínačů (technologie ekvivalentní s technologiemi VSS, IRF nebo VirtualChasis)
	Linková agregace	Agregace portů napříč stohem včetně kombinace 10 Gb a 1 Gb, podpora LACP
	Správa	podpora SNMP, Syslog, CLI
	Záruka	Min. 5 let včetně nároku na nové verze firmware, oprava do 2 pracovních dnů v místě instalace
	Specifické parametry
	Porty	2 přepínače - 4x 10 Gb SFP+, 16x 1 Gb SFP, 24x 1Gb RJ-45, optické a metalické porty nesdílené
	Porty	2 přepínače - 8x 10 Gb SFP+, 24x 1Gb RJ-45, optické a metalické porty nesdílené
Kabely, optické moduly	Optické moduly	32x 1Gb SFP SM pro nabízené přepínače 8x 10 Gb SPF+ MM pro nabízené přepínače 2x 10 Gb SPF+ SM BiDi, 10 km, pro nabízené přepínače, shodné vlnové délky 2x 10 Gb SPF+ SM BiDi, 10 km, pro stávající přepínače HPE 5130 (JG934A) - komplementární vlnové délky k předchozím modulům optický konektor modulů LC záruka min. 36 měsíců
	Kabely	4x optický patch kabel 3m MM - LC-LC 36x optický patch kabel 3m SM - LC-SC záruka min. 36 měsíců
Rozšíření kapacity síťového úložiště NAS pro archivaci SIEM	HDD	12x 4TB HDD SATAIII/128 MB cache. Disky musí být výrobcem určeny pro nepřetržitý provoz v NAS, nejsou přípustné disky určené pro jiné využití - např. desktopy, kamerové systémy apod.
	Záruka	Záruka výrobce min. 5 let
Rozšíření kapacit diskových polí pro SIEM	HDD 3,5"	6 ks HDD MDL 3TB GB / 7200 ot. min, SAS min. 6 Gb
	Kompatibilita	Plná kompatibilita s diskovými poli HP MSA 2000G3
	Záruka	Záruka min. 3 roky s výměnou v místě instalace

Komodita K2 -SIEM a NBA
Část	Xxxxxxxx	Popis povinného parametru	Uchazeč popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
					SIEM & NBA	Základní funkce	Integrovaný systém pracování logů a událostí z definovaných zdrojů napříč výrobci aplikací, operačních systémů a síťového hardware a sledování síťových toků a detekce anomálií
Ovládání	Uživatelsky přívětivý přístup ke všem komponentám systému z jednotného grafického uživatelského rozhraní (GUI). Konfigurace, definice zdrojů logů, definice korelačních pravidel, tvorba reportů, řešení událostí a další běžné operace musí probíhat z jediné řídící konzole s jednotným GUI.
Správa prvků	Automatické jednorázové i plánovatelné vyhledávání i ruční přidávání Prvků a detekce jejich typů a vlastností. Prvkem se rozumí hw i sw (např. OS) s IP adresou. Prvky jsou typicky zdroji dat - logů a událostí.
Skupiny Prvků	Podpora zařazování Prvků do skupin/kategorií dle vlastností (typ, operační systém, dostupné služby, síť apod.) i metadat (umístění, hodnota apod.)
Metadata Prvků	Možnost konfigurace metadat Prvku - min. hodnota, priorita a spolehlivost (věrohodnost) událostí
Monitorování Prvků	Automatické monitorování stavu Prvku - min. dostupnost poskytované služby a základní dostupnost (odezva na ping)
Vyhledávání Prvků	Víceparametrové vyhledávání a filtrování Prvků podle vlastností i metadat, export do souboru v běžném strojově zpracovatelném formátu (např. csv, xml apod.)
Vazby	Detekce síťových prvků standardními protokoly a mapovaní jejich vazeb
Detekce zranitelností	Automatická ruční i plánovaná detekce zranitelností Prvků (i nezařazených) - porovnání stavu Prvků s databází známých zranitelností průběžně aktualizovanou výrobcem
Profily zranitelností	Vestavěné i uživatelsky definované profily detekce zranitelností – definice typů zranitelností, které mají být kontrolovány.
Autentizace	Podpora detekce zranitelností s i bez přihlášení (autentizací) ke kontrolovanému Prvku.
Detekce průniku	Víceúrovňová detekce průniku (intrusion detection) - min. na úrovni sledování síťového provozu a na úrovní Prvků.
Instalace agentů	Podpora vzdálené instalace ID agentů (intrusion detection) min. pro operační systémy Microsoft Windows
Detekce průniku – assety	Monitoring a analýza uživatelských aktivit, logů, integrity souborů a registrů, rootkitů či obdobného škodlivého kódu
Detekce průniku – síť	Analýza monitorovaných síťových toků a detekce anomálií indikující možné narušení bezpečností politiky (NBA - Network Behavior Analysis)
Detekce anomálií	Monitorování síťových toků technologií netflow (min. verze 5,9,10) či kompatibilní (ipfix, netstream) dle nabízených sond a přepínačů.
Síťové toky hypervizor	Podpora sledování síťových toků (netflow či kompatibilní) virtuálních síťových přepínačů VMware vSphere
Viditelnost síťových toků	Viditelnost síťového provozu - zobrazení, prohledávání, filtrování síťových toků včetně historie
IP reputace	Integrovaná služba aktualizovaná výrobcem ohodnocující reputaci a spolehlivost veřejné IP adresy s možností změny priorit událostí, alarmů apod. Reputace založena na detekovaných (aktivitách IP adresy (spam, skenování, phising, distribuce malware, botnet apod.
Protokoly	podporované protokoly min. syslog, windows events collection (pomocí agenta i bezagentově (např. WMI), snmp, s/ftp, nfs, cifs, netflow
Ukládání logů	Bezpečné ukládání logů s řízeným přístupem v nezměněné (nefiltrované) podobě (tzv. raw logy)
Zpracování logů	Centrální zpracování logů, jejich normalizace, korelaci, grafická interpretace a archivace, včetně logů generovaných samotným řešením
Rozšíření logů	Vytváření vlastních atributů v událostech. Automatické doplňování atributů aktuálními hodnotami z externího zdrojů. Podpora atributů v celém systému - vyhledávání, filtrace, korelace atd.
Prohledávání logů	Pokročilé prohledávání a filtrování raw logů, podpora indexování pro zrychlení hledání
Expirace logů	Podpora automatické rotace raw logů s nastavením doby expirace
Zálohování logů	Podpora zálohování logů na externí síťové úložiště
Ochrana logů	Zajištění integrity raw logů aplikací digitální podpisu. Možnost jednoduchého uživatelského ověření integrity.
Centralizace logů	Konsolidace logů na jednom centrálním místě.
Geolokace	Automatické doplňování geolokačních informací k událostem a jejich grafické znázornění na mapě
Doplňování názvů	Automatické doplňování reverzních DNS a hostname záznamů k IP adresám.
Indentifikace MAC	Automatické doplňování výrobce zařízení podle MAC adresy
Grafy událostí	Grafické znázornění událostí - četnost, typ, časová osa
Parsery	Možnost vytváření uživatelských parserů bez nutnosti externí spolupráce
Ladění parserů	On-line ladění uživatelsky vytvářených parserů v reálném čase- okamžité zobrazení rozparsovaných dat při vložení testovací zprávy/události.
Standardizace logů	Standardizace přijatých logů do jednotného formátu, parsování parametrů do předepsaných polí
Pohledy	Předpřipravené pohledy a podpora vytváření vlastních pohledů na data uživateli a jejich ukládání pro pozdější využití a zpracování dat. Včetně grafické reprezentace dat - grafy, mapy apod.
Reporty	Integrovaný reportovací nástroj s přednastavenými obvyklými reporty a možností vlastních úprav a vytvoření nových reportů. Včetně grafické reprezentace dat - grafy, mapy apod.
Upozornění	Zasílání uživatelsky vytvořených upozornění podle uživatelsky definovaných podmínek. Možnost zahrnutí přijatých rozparsovaných dat do upozornění.
Správa uživatelů	Správa uživatelů systému musí umožnit integraci s MS Active Directory. Systém musí umožňovat i přihlašování pomocí lokálních účtů. Podpora granulárního (lokálního) nastavení uživatelských oprávnění.
Tikety	Možnost vytváření tiketů k bezpečnostním událostem s možností přiřazení řešiteli. Možnost sledování průběhu tiketů včetně historie - obsah, vykonané činnosti, eskalace. Podpora jednoduchého manuálního vytváření tiketů v průběhu vyšetřování incidentu.
Automatizace tiketů	Tickety lze vytvářet automaticky na základě vytvořené politiky k jednotlivým událostem / zranitelnostem.
Politiky	Podpora vestavěných a tvorby vlastních komplexních politik zpracování událostí. Politiky musí umožnit spustit minimálně následující akce: odeslání emailu, vytvoření ticketu, spuštění skriptu.
Korelace	Podpora korelací události na základě definovaných parametru bez závislosti na typu zdroje. Vestavěné a výrobcem aktualizované korelace, podpora vytváření vlastních
Rozšířené korelace	Systém musí umožňovat tvorbu korelací nejen napříč zdroji, ale také napříč daty z interních subsystémů (např. detekce zranitelnosti, průniků, IP reputace). V závislosti na datech interních subsystémů je případně upravena vážnost incidentu (oproti standardní korelaci).
Upozornění	Podpora vytvářet upozornění (alertů) na základě korelovaných událostí včetně zahrnutí rozšířených korelací. Vestavěná upozornění i podpora ručního vytváření.
IT Compliance	Podpora compliance (jednání v souladu s „pravidly") - certifikace dle obvyklých bezpečnostních standardů a norem PCI DSS, HIPAA
Auditní reporty	Vestavěné, výrobcem aktualizované šablony reportů pro podporů kontrolních a certifikačních auditů - min. dle standardů PCI DSS, HIPAA, NIST CSF, ISO 27001
Legislativa	Systém musí zajistit bezpečné, úplné a nezpochybnitelné ukládání, vyhodnocování a archivaci logů ICT prostředí zadavatele a naplnění požadavků dle zákona č. 181/2014 Sb. (ZKB) a vyhlášky č.316/2014 Sb. (VKB), o kybernetické bezpečnosti, a to v platných zněních
Provedení	Centrální část systému bude realizována jako jedna virtuální appliance
Licence	Licence pro neomezený počet sledovaných systémů (Prvků), bez licenčního omezení velikosti aktivních i archivních dat či jiných funkcionalit systému. Součástí licence bude centrální část systému a dále samostatný (sub)systém (virtuální appliance) zajišťující sběr dat a vykonávání funkcí systému (např. detekci Prvků, testy zranitelností, monitoring síťových tok, aběr logů atd.) lokálně ve vzdálené lokalitě (U spořitelny) a předávání dat a událostí do centrální části systému).
Výkon	Trvalé zpracování AIO 1500 EPS (events per second - událostí za sekundu) - celkem z obou lokalit - Moskevská a U spořitelny
Škálovatelnost	Možnost zvýšení výkonu doplněním dalších appliance pro sběr dat a vykovávání funkcí systémů, popřípadě rozdělením systému na více serverů.
Vysoká dostupnost	Integrovaná podpora pro možnost doplnění dalšího systému (nodu) a sestavení clusteru – min. 2 systém min, režim active/passive
Záruka	Min. 12 měsíců včetně nároku na nové verze software a včetně aktualizací bezpečnostní a funkčních signatur (zranitelnosti, korelační pravidla, detekce průniku, detekce Prvků (typy zařízení, aplikace, operační systémy), aktualizací reportů popř. další.

Komodita K3 - Správa identit
Část	Xxxxxxxx	Popis povinného parametru	Uchazeč popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Systém pro správu identity (Identity management - IDM)	Základní funkce	IDM (dále IDM nebo Systém) bude udržovat a spravovat identity a organizační strukturu organizace. Spravované identity budou sloužit jako referenční identity pro ostatní vnitřní i vnější informační systémy. Identity budou ukládány v databázi.
	Licence	Poskytnutá licence umožní nasazení a provoz IDM bez omezení na počet uživatelů, spravovaných identit a napojených systémů. Nejsou přípustná žádná další omezení omezující obvyklé nasazení a provoz s ohledem na charakter organizace Zadavatele (počet záznamů, velikost databází atd.). Předpokládaný počet uživatelů je do 500.
	Škálovatelnost	Systém musí umožnit zvyšování výkonu (zlepšování odezvy) rozložením komponent Systému na více serverů - minimálně oddělení rolí (serverů) uživatelského rozhraní od výkonu integračních a provozních úloh.
	Evidence aplikací a rolí	Integrovaný registr aplikací a informačních systémů (souhrnně IS) a jejich uživatelských rolí včetně možnosti importu rolí přes webové služby.
	Uživatelské role	Integrovaná správa uživatelských rolí, včetně zařazení uživatele do odpovídající role v příslušných IS.
	Historizace	Vestavěná detailní databázové historizace pro evidenci změn identit včetně referenčních objektů a vazeb mezi nimi. Historizace poskytne data v libovolném časovém okamžiku - aktuálním nebo zpětně v minulosti.
	Automatizace	Podpora intuitivní tvorby pravidel v grafickém prostředí pro automatické vytváření uživatelských účtů, začleňování uživatelů do skupin a přiřazování aplikačních rolí uživatelům na základě libovolných atributů identity a přidružených referenčních objektů (organizační jednotka, aplikační role, systematizované místo atd.).
	Logování SIEM	Systém bude poskytovat auditní logy pro systém typu SIEM
	Logování systému	Systém obsahuje logování min. následujících typů událostí: - události systému (aplikační log) - změny entit evidovaných systémem a změny konfigurace systému (auditní log) - synchronizace s napojenými systémy (synchronizační log) - odeslané notifikace a upozornění (notifikační log)
	Správa identit	Systém bude spravovat organizační strukturu obsahující interní a externí identity jako samostatné větve struktury.
	Systematizovaná místa	Systém bude implementovat princip systemizovaných míst. Umožní systemizaci pracovních míst v souladu se strukturou organizace a bude spravovat jednotlivá systematizovaná místa a sadu oprávnění a rolí pro jednotlivé IS organizace vztažené ke konkrétnímu systemizovanému místu.
	Podpora eIDAS	Systém umožní implementaci procesů a rozhraní, která jsou vyžadována v Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
	Vysoká dostupnost	Systém musí být možno nasadit na více serverů v režimu vysoké dostupnosti.
	Požadavky na portál - obecné	IDM bude obsahovat webový portál (dále jen Portál), který bude sloužit jako hlavní rozhraní pro uživatele i správce pro přístup k datům, funkcím, správu a konfiguraci Systému.
	Podpora mobilních zařízení	Portál bude implementován s responzivním designem (přizpůsobení vzhledu typu zařízení, ze kterého je k portálu přistupováno)
	Správa referenčních objektů	Portál bude umožňovat přehlednou správu samostatných identifikovatelných objektů - referenčních objektů, na které se identity mohou odkazovat: min. systematizované místo, organizační jednotka, skupina, agenda, agendová činnostní role, aplikace, skupina aplikací, aplikační role, certifikát.
	Referenční objekty	Systém umožní přidávání a správu dalších typů referenčních objektů a to i v průběhu správy konkrétní identity s možností okamžitého použití referenčního objektu u spravované identity
	Zabezpečení referenčních objektů	Systém umožní nastavení samostatných nezávislých administrátorských oprávnění pro správu jednotlivých referenčních objektů
	Rozšiřující atributy	Systém umožní dodatečné rozšiřování identit a referenčních objektů o další atributy a zajistí publikaci těchto nových atributů externím aplikacím prostřednictvím rozhraní webových služeb IDM.
	Přehledné zobrazení	Portál umožní grafické zobrazení a současné vyhledávání identit / uživatelských účtů ve stromové organizační struktuře a prohledávání organizační struktury včetně systematizovaných míst až do úrovně jednotlivých uživatelských účtů (identit).
	Vyhledávání - diakritika	Portál bude umožňovat vyhledávat i bez diakritiky (např. zadání Xxxxxxx vyhledává x Xxxxxxx apod.)
	Správa certifikátů	Správa uživatelů (identit) bude umožňovat i správu údajů o uživatelských digitálních certifikátech. Data o certifikátech bude možné nahrávat do systému prostřednictvím rozhraní webových služeb. Systém umožní automatické zneplatnění uložených certifikátů po vypršení data platnosti.
	Obrázky	Systém umožní k jednotlivým účtům (identitám) přikládat obrázky - fotografie.
	Přesun identit	Systém umožní přesun identit mezi jednotlivými organizacemi či jejich odděleními.
	Kopírování rolí	Systém umožní kopírovaní aplikačních rolí, agendových činnostních rolí mezi jednotlivými systematizovanými místy.
	Ochrana proti chybám	Systém bude obsahovat mechanismus zabránění hromadným změnám z důvodu případných chybných vstupních dat (např. z personálního systému), aby nedošlo k hromadným nežádoucím změnám (například smazání objektů v Active Directory apod).
	Aktivní uživatelé	Systém bude obsahovat přehled uživatelů aktuálně pracujících s Portálem
	Slučování identit	Systém umožní sjednocení více uživatelů (identit) do jedné a odpovídající sjednocení spravovaných účtů.
	Export údajů	Vestavěný export přehledů a seznamů zobrazených na portále do souborů CSV nebo obdobného strojově zpracovatelného a současně běžně čitelného formátu
	Filtrování	Vestavěný editor filtrů pro vyhledávání identit a referenčních identit. Možnost filtrování libovolných atributů identity včetně přidružených referenčních objektů. Možnost uložení filtrů pro opakované použití.
	Správa oprávnění	Víceúrovňová správa administrátorských oprávnění s možností nastavení oprávnění min. na úrovni organizační jednotky (nebo hlouběji) a detailní přiřazení rolí a oprávnění (např. přiřazení činnostní role, přiřazení aplikační role, editace identity apod.)
	Granularita oprávnění	Oprávnění přidělovaná uživatelům a správcům bude možné definovat a přidělovat pro jednotlivé části systému (identity, referenční objekty, notifikací, synchronizací, konfigurace systému, reporty, workflow, webové služby atd.). U jednotlivých částí bude možnost definovat akce, které může uživatel s přidělenými oprávnění v konkrétní části IDM provádět.
	Oprávnění k atributům	Pro identity a referenčních objektů bude možná definovat oprávnění k jejich atributům včetně možností zobrazení / nezobrazení daného atributu, možnosti editace atributu uživatelem, povinnosti nastavení/vyplnění atributu, pořadí zobrazení atributů.
	Kontextový výběr	Na úrovní organizační jednotky bude možné pro výběr a přiřazování rolí nastavit sady povolených aplikační rolí, skupiny, agendových rolí, systematizovaných míst dostupných pro identity z dané organizační jednotky.
	Správa licencí	IDM umožní spravovat licence pro jednotlivé evidované aplikace a přiřazovat je jednotlivým uživatelům (identitám). Pro schvalování přiřazování licencí bude IDM obsahovat workflow platformu s možností vytvářeni víceúrovňových schvalovacích workflow.
	Časová omezení	IDM bude umožňovat přiřazení rolí konkrétní identitě, systemizovanému místu, skupině a organizační jednotce včetně možnosti nastavení data a času vypršení platnosti přiřazení. Po vypršení platnosti přiřazení IDM rolí přiřazenému objektu automaticky odebere.
	Vícenásobné vazby	Možnost přiřazení identit k systematizovaným místům ve vazbě M:N. Identita může být v IDM evidována na více systematizovaných místech a současně na systematizovaném místě může být evidováno více identit.
	Přehled rolí	Možnost zobrazení přidělených rolí k jednotlivým identitám s přehledným rozlišením rolí navázaných na systemizované místo, rolí navázaných na identitu, rolí navázaných na organizační jednotku, rolí navázaných na skupinu a delegovaných role.
	Přehled dědičností	IDM umožní evidenci a přehledné souhrnné zobrazení všech rolí včetně informace, odkud uživatel roli zdědil (z organizační jednotky, systematizovaného místa, skupiny) nebo zda má nějakou roli od někoho delegovánu.
	Skupiny	IDM bude obsahovat správu skupin s možností začleňovat více skupin do sebe, přiřazovat do skupin jednotlivé uživatele i systematizovaná místa.
	Zastupitelnost	IDM bude obsahovat správu vztahů zastupitelnosti mezi uživateli. Musí umožnit uživatelům, aby v souladu se strukturou organizace mohli uživatelé delegovat v případě potřeby (dovolená, služební cesta) svoje role, nebo jejich část na jiné pověřené osoby a to i v režimu, kdy jeden uživatel může mít pro každou svou činnost nastaveného jiného uživatele jako zástupce.
	Delegování oprávnění	Možnost delegování administrátorských práv.
	Správa osobních údajů	IDM umožní správu evidence osobních údajů - bude obsahovat správu evidence subjektů údajů a evidenci jejich osobních údajů včetně jejich kategorií a klasifikací.
	Osobní údaje	IDM bude obsahovat evidenci účelů pro nakládání s osobnímu údaji subjektů údajů. V rámci daného účelu budou definována oprávnění, aplikační role pro přístup k osobním údajům.
	Osobní údaje - automatizace	IDM bude obsahovat workflow pro správu životního cyklu osobních údajů subjektu údajů.
	Obnovení hesla	IDM bude obsahovat samoobslužné uživatelské rozhraní pro reset hesla jednotlivých účtů daného uživatele. Zasílání kódů pro reset hesla danému uživatele musí být možnou provádět pomocí SMS (tj. IDM musí být možné na SMS bránu či službu napojit). Rozhraní musí umožnit i běžnou změnu hesla (bez resetu).
	Žádosti	IDM bude obsahovat samoobslužné uživatelské rozhraní pro zadávání žádostí o přidělení jednotlivých aplikačních rolí a členství ve skupinách. Role a skupiny budou kategorizovány a kategoriím bude možné přidělit schvalovací workflow nebo může žádost vyřízena automaticky bez schválení.
	Externí subjekty	IDM bude obsahovat samoobslužné uživatelské rozhraní s konfigurovatelnými registračními formuláři pro registraci externích organizací a identit i jejich žádostí o konkrétní aplikační role nebo přiřazení do skupin.
	Kontextový výběr	Samoobslužné rozhraní umožní na úrovní organizace a organizační jednotky definovat seznam rolí a skupin, o které mohou žadatelé požádat.
	Individualizace	IDM umožní uživatelům individuálně nastavit vlastní zobrazení rozhraní - min. zobrazení / skrytí sloupců u všech seznamů, počet zobrazených záznamů na stránku - vždy pro každý seznam samostatně.
	Workflow	Integrované workflow pro řízení životního cyklu změn identit a schvalování změn. Funkční požadavky: - Zadávání požadavků uživatelů na změny v přiřazení rolí a skupin ke schválení nadřízeným - Možnost sledování stavu svých požadavků uživateli - E-mailové upozornění schvalovatele na požadavek ke schválení - Přehled úloh ke schválení pro každého schvalovatele - Schvalování či zamítnutí požadavků včetně uvedení zdůvodnění - Podporova vícekrokového schvalování - Podpora schvalování jedním nebo více schvalovateli (skupinou schvalovatelů) - Správce IDM může pracovat se všemi úlohami - Možnost větvení pro ošetření výjimek vzniklých při schvalování - Řešení zastupitelnosti - Eskalace - upozornění při překročení termínu splnění - Možnost vkládání systémových kroků s voláním webových služeb a spuštěním skriptů
	Workflow - sledování	Průběh workflow bude možné sledovat v grafické podobě ve formě diagramu, ve kterém bude zřejmý stav probíhajícího workflow. Diagram bude ve obvyklém formátu pro zobrazní workflow např. aktivity diagram, BPMN nebo Archimate
	Upozornění	IDM zajistí zasílání konfigurovatelných emailových upozornění min. pro následující události: vytvoření a změna identity, referenčního objektu (systematizované místo, organizační jednotka, skupina, agenda, agendová činnostní role, aplikace, skupina aplikací, aplikační role atd.), problém při synchronizaci, vypršení hesla v Active Directory, vypršení platnosti certifikátu.
	Včasná upozornění	Upozornění na vypršení časových termínů musí být možno zasílat v předstihu. Velikost předstihu (např. 10 dnů) musí být možno konfigurovat pro každý typ upozornění samostatně.
	Šablony upozornění	Šablony upozornění umožní definovat příjemce, předmět a obsah upozornění. U upozornění vázaného k identitám musí být možné nastavovat různé příjemce pro různé části organizační struktury (např. odbor, oddělení) apod. Šablony musí umožnit vložit do obsahu upozornění libovolný atribut identity a/nebo referenčního objektu.
	Kontext upozornění	Pro zasílání jednotlivých typů upozornění bude možno konfigurovat kontext, resp. podmínky, za jakých bude upozornění zasláno. V konfiguraci bude možné využít atributů identit a referenčních objektů. Příklad: notifikace budou generovány pouze pro identity v konkrétních uvedených skupinách, které mají uvedenu konkrétní aplikační role a konkrétní atribut atd.
	Logování	Veškeré změny vyvolané požadavky uživatele a administrátorů/správců IDM budou provedeny transakčně. Budou logovány tak, aby bylo možné zpětně prokázat co, kdo a kdy měnil v identitách a referenčních objektech i v administraci a konfiguraci IDM. Záznam v logu bude obsahovat původní i novou hodnotu.
	Důvěryhodnot logování	Veškeré požadavky na změny v IDM bude možné zadávat výhradně prostřednictvím Portálu. Není přípustné realizovat požadavky ručními změnami textových soubory jako XML, CSV, atd. z důvodu zajištění zajištění úplného logování všech změn jednotlivých konfigurovaných parametrů IDM.
	Auditní report	IDM umožní export auditního reportu z údajů o identitách uložených v IDM a to i historických. Auditní reporty budou minimálně ve formátu XML nebo CSV a budou obsahovat souhrnné zobrazení daných uživatelů (identit) a jejich rolí v IS napojených na IDM, agendových rolí, přiřazených skupin ve vybraném časovém okamžiku od aktuálního času do minulosti.
	Auditní report - výběr	Identity pro generování auditního reporty musí být možné vybrat (filtrovat) dle libovolných atributů identity včetně přidružených referenčních objektů.
	Report RPP	Vestavěný report pro ohlašování působnosti v Registru práv a povinností. Bude obsahovat aktuální počty úředníků na agendových rolích a možnost porovnání s počtem úředníků k vybranému, dříve vygenerovanému, reportu. Report bude exportovatelný do CSV souboru.
	Reporty uživatelů	Vestavěné reporty obsahující uživatele s přímo přiřazenými aplikačními rolemi a s aplikačními rolemi delegovanými od jiných uživatelů. Reporty budou exportovatelný do CSV souboru.
	Reporty - zasílání	Reporty bude možné zasílat automaticky e-mailem na základě konfigurovatelných pravidel.
	Reporty - historie	Automatické ukládání vygenerovaných reportů s možností pozdějšího zobrazení či stažení.
Reporty - porovnání	Snadné porovnání změn mezi vygenerovanými reporty stejného typu v prostředí Portálu.
Webové služby (WS)	IDM bude poskytovat rozhraní webových služeb pro napojení dalších systémů s možností konfigurace v Portálu.
Standardy WS	Webové služby IDM budou definované v rozšířeném standardu WSDL a podporovat protokol SOAP.
Bezpečnost WS	Konfigurace webových služeb umožní konfigurovat přístup pro volání jednotlivých vybraných služeb pro každý odpovídající systémový účet samostatně.
Logování WS	Volání webových služeb bude logováno a bude možné je zobrazit v prostředí Portálu
Služby rozhraní WS	Rozhraní bude poskytovat minimálně následující služby: - Získání organizační struktury - Získání hierarchie systematizovaných míst - Získání seznamu identit - Získání nadřízené osoby pro daného zaměstnance - Získání seznamu aplikační rolí - Získání seznamu uživatelů dané aplikace - Získání seznamu agend a agendových rolí přiřazených dané aplikaci - Zápis seznamu aplikačních rolí do IDM - Zápis certifikátů do IDM - Zápis a změna identit
Služby rozhraní WS pro ISZR	Služba pro autorizaci pro ISZR (Informační systém základních registrů) – služba ověří validnost volání služby ISZR. Služba dále ověří v IDM: - Zda je evidován uživatel v IDM, který je součástí požadavku na ISZR - Zda je evidována aplikace v IDM, která je součástí požadavku na ISZR - Zda má tento uživatel v IDM nastaven přístup do aplikace, která je součástí požadavku na ISZR - Zda existuje v IDM v rámci evidence organizační struktury také evidence pro dané OVM, které je uvedeno v požadavku na ISZR - Zda má aplikace, která je součástí požadavku na IZSR, v IDM povolenu agendovou činnostní roli a agendu, které jsou rovněž uvedeny v požadavku na ISZR.
Synchronizace	Ruční i automatické spuštění synchronizací s propojenými systémy.
Synchronizace - simulace	Spuštění synchronizací i v simulačním režimu pro ověření dopadu reálného spuštění bez ovlivnění produkčních dat a napojených systémů. Simulační logy budou zobrazitelné v Portálu.
Simulace - průběh	Zobrazení jednotlivých stavů průběhu synchronizace bude k dispozici v přehledné grafické podobě.
Synchronizace - režimy	Pro napojení na jednotlivé systémy a implementaci jejich synchronizací s IDM umožní IDM u každého systému využít více režimů synchronizací (za předpokladu podpory napojovaného systému): - Plná synchronizace – prochází všechny objekty v IDM a synchronizuje je s objekty daného systému - Změnová synchronizace – synchronizuje vždy jen změny od poslední spuštěné synchronizace. - Okamžitá synchronizace konkrétní identity na vyžádání – synchronizuje okamžitě pouze vybranou identitu. - Rekonciliační synchronizace – synchronizace vytvoří rekonciliační report pro porovnání změn mezi nastavením identit a jejich oprávnění pro daný systém v IDM vs. nastavení identit a oprávnění přímo v připojeném systému. - Simulační synchronizace – synchronizace vytvoří report očekávaných změn v napojeném systému pro provedení ostré synchronizace. Report změn bude evidován jako pohled nebo přehledná souhrnná tabulka. - Historie běhu synchronizací – jednotlivé běhy synchronizací budou zaznamenány v historii dostupné v Portálu. Historie plné synchronizace bude obsahovat odkazy na objekty, které byly synchronizovány a log, co bylo u těchto objektů změněno v synchronizovaném systému. V případě změnové synchronizace pak bude v historii dále informace o události, která změnovou synchronizaci vyvolala.
Synchronizace - správa	Vestavěná správa jednotlivých synchronizací včetně nastavení připojení na synchronizované systémy, nastavení plné a změnové synchronizace, počet změn, které je možné zpracovat, nastavení časového intervalu spouštění, nastavení intervalu odstávky. U jednotlivých synchronizací je rovněž požadováno, aby bylo možné vybírat organizace, které se mají z IDM synchronizovat s danými systémy. Správa bude součástí Portálu.
Obecné konektory	Vestavěné obecné konektory pro správu identit v napojených systémech: - konektor pro spouštění CMD příkazů - konektor pro práci s CSV soubory - konektor pro práci s databázi Microsoft SQL - konektor pro napojení na SOAP webové služby - konektor pro napojení na REST webové služby - konektor pro napojení na LDAP server s podporou LDAP v3
Aplikační konektory	IDM bude spravovat identity a řídit oprávnění v dále vyjmenovaných systémech. V těchto systémech bude IDM vytvářet, aktualizovat, vytvářet uživatele a nastavovat jim oprávnění k rolím. - Microsoft Active Directory - Informační systém Ginis (GORDIC spol. s r.o.) - Microsoft Exchange, včetně vytváření schránek uživatelům - elektronická spisová služba AthenA vč. modulu iUsnesení (PilsCom, s.r.o.)
Konektory pro centrální systémy - RPP	IDM bude obsahovat evidenci matice práv a rolí dle Informačního systému základních registrů (ISZR-RPP - matice RPP) s následujícími funkcemi: - vedoucí pracovníci mohou zadávat k jednotlivým činnostem konkrétní uživatele (systemizovaná místa) - přidělování/odebírání agend/činností zaměstnancům vedoucími zaměstnanci s vazbou na systemizovaná místa - udržování a poskytování přehledu o oznámených působnostech, jejich stavech, kontrole přeregistrace a změnách - evidence přehledu legislativy včetně vazby na jednotlivé činnosti/agendy
Napojení na centrální systémy - JIP	IDM bude obsahovat správu identit, rolí a systémů evidovaných v systému JIP (Jednotní identitní prostor) s následujícími funkcemi: - Obousměrná synchronizace s JIP. - Automatické pravidelné načítání aplikací a rolí z JIP do IDM. - Automatické předávání identity včetně vazby na jednotlivé aplikační a agendové činnostní role z IDM do JIP. - Možnost změny hesla uživatele v JIP prostřednictvím Portálu.
Zdrojový systém	IDM bude napojeno na personální systém FluxPaM (FLUX, spol. s r.o.). Z personálního systému budou načítány údaje o organizační struktuře, hierarchii pracovních míst, osobách a tyto údaje budou pro IDM sloužit jako zdrojové

Komodita K4 - Školení kybernetické bezpečnosti
Část	Xxxxxxxx	Popis povinného parametru	Uchazeč popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Obsah školení	Legislativní rámec	Zákon č.181/2014 Sb., a informační bezpečnost v organizaci
	GDPR	Základní seznámení s nařízením GDPR (General Data Protection Regulation) - Obecným nařízení o ochraně osobních údajů- viz např. xxxxx://xxx.xxxx.xx/xxxx-x-xxxxxxxx/x-00000
	Škodlivý software	projevy, druhy, obrana, preventivní chování, praktická ukázka provádění kontroly antivirovým programem
	Elektronická komunikace s úřady	datová schránka — co to je, k čemu slouží, zřízení a práce s datovou schránkou, elektronický podpis — co to je, jak s ním pracovat, jeho výhody a nevýhody
	Data vs. informace	kategorizace (osobních) dat, zásady a povinnosti zpracování z pohledu zaměstnavatele a zaměstnance, šifrování, praktická ukázka šifrování dat
	Ochrana dat	zálohování, archivace a mazání dat, praktická ukázka zálohování dat
	Přístup k síti	PIN / heslo a jeho uložení, správné heslo, zásada prázdného stolu
	Web	Používání webu, HTTPS, chatování, Skype, Facebook, výhody a rizika sociálních sítí, praktické ukázky
	Elektronická identita	ztráta identity se mě (ne)týká?
	Mobilita	Používání mobilních zařízení, používání veřejných sítí a WIFI
	Mailování bezpečně	co e-mailem nikdy neposílat, spamy, phishing, hoax, bezpečné přihlášení/odhlášení, zálohování e-mailů, phishing
	Kyberšikana	co to je, jaké jsou její formy a jaká preventivní opatření
	Incidenty	bezpečnostní incidenty a události, hlášení v organizaci,
	Závěr	obecný bezpečnostní test

7. Požadavky na architekturu technického řešení

1. Architektura komodit musí navržena tak, aby vhodně využívala a doplňovala stávající prostředky TC.

1. Požadavky na rozhraní

1. Veškeré nabízené aktivní hardwarové produkty musí disponovat rozhraním SNMP min v2 pro management a vzdálenou správu.

1. Požadavky na kompatibilitu s ostatními systémy

1. Veškeré softwarové komponenty nabízeného řešení budou provozovány ve virtuálním prostředí VMware vSphere a musí být pro běh v tomto prostředí výrobcem podporovány.

2. LAN přepínače budou kompatibilní s provozovaným systémem HP Intelligent Management Center.

3. Řešení komodity K3 Správa identit bude kompatibilní s řešením komodity K2 SIEM min. na úrovni sběru logů

1. Požadavky na typy klientů

1. Webová rozhraní komodit K2 a K3 budou kompatibilní s prohlížeči Internet Explorer, Firefox a Chrome v aktuálních verzích.

1. Požadavky na bezpečnost informací

1. Veškeré nástroje pro správu hardware musí umožňovat správu interních účtů (min. jméno a heslo) a/nebo napojení na Active Directory.

2. Veškeré nástroje pro správu hardware musí umožňovat definici s minimálně 2 úrovněmi oprávnění – monitoring (pouze čtení), administrátor (plná správa).

3. Veškeré nástroje pro správu hardware musí komunikovat se zařízeními šifrovanými protokoly (SSH apod.). Také v případě vestavěných nástrojů (např. www rozhraní hardware) musí být použita šifrovaná komunikace (např. HTTPS).

4. Hodnocené parametry technického řešení

1. Požadavky na vlastnosti technického řešení

1. Zadavatel požaduje kromě splnění minimálních povinných parametrů také další funkční vlastnosti nabízeného řešení. Na rozdíl od povinných parametrů není uchazeč při nesplnění některého z požadovaného hodnoceného parametru vyloučen. Způsob hodnocení je uveden v ZD.

Hodnocené parametry
Parametr	Popis	Uchazeč popíše způsob naplnění tohoto hodnoceného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Snížení nároků na správu systému
1	Systém pro správu identit komodity K3 bude využívat pro ukládání dat databázový server MS SQL
Uživatelské přívětivost a snížení nároků na správu
2	Kompletní uživatelské prostředí i prostředí pro běžnou správu a konfiguraci systému pro správu identit komodity K3 bude v českém jazyce

5. Implementační služby

1. Obecné požadavky

1. Zadavatel požaduje provést minimálně následující implementační práce. Uchazeč je dále povinen zahrnout do nabídky veškeré další činnosti a prostředky, které jsou nezbytné pro provedení díla v rozsahu doporučeném výrobci a dle tzv. nejlepších praktik, i v případě, pokud nejsou explicitně uvedeny, ale jsou pro realizaci předmětu plnění podstatné.

2. V rámci implementace předmětu plnění uchazeč realizuje následující služby:

   1. Provedení předimplementační analýzy a zpracování finálního návrhu cílového stavu. Výstupem bude prováděcí dokumentace, která představuje projektovou dokumentaci, podle které se projekt bude realizovat. Prováděcí dokumentace musí být zpracována před zahájením realizace dodávek, tzn. po provedení předimplementační analýzy a zpracování finálního návrhu cílového stavu a musí být výslovně schválena zadavatelem.

   2. Dodávka a implementace předmětu plnění včetně technické podpory podle prováděcí dokumentace.

   3. Zajištění projektového vedení realizace předmětu plnění.

   4. Zpracování provozní dokumentace v rozsahu detailního popisu skutečného provedení a popisu činností běžné údržby a administrace systémů a činností pro spolehlivé zajištění provozu.

   5. Zpracování materiálů pro školení a provedení školení

   6. Zajištění zkušebního provozu

   7. Návrh a provedení akceptačních testů.

   8. Předání do plného provozu.

3. Náklady na provedení implementačních služeb musí být zahrnuty v nabídkové ceně k položce, ke které se vztahují (nevyčísluje se zvlášť).

4. Uchazeč dle svého uvážení může doplnit v nabídce další služby, které jsou dle jeho názoru potřebné pro úspěšnou realizaci zakázky.

5. Činnost omezující práci uživatelů musí být prováděny mimo běžnou pracovní MMKV, tj. mimo pracovní dny 7 – 17 hod.

6. Uchazeč je dále povinen zahrnout do nabídky další specifické služby a požadavky (k výše uvedeným v čl. 4 a 5) specifikované v následujících tabulkách.

K1: Rozšíření kapacit Technologického centra

1. Vytvoření detailního návrhu rozšíření kapacit Technologického centra

2. Začlenění nabízených technologií do prostředí Technologického centra

3. Návrh a provedení potřebných konfiguračních změn souvisejících systémů – Blade šasi, disková pole, disková i serverová virtualizace, aktivní prvky LAN a SAN, zálohovací systém, řízení UPS, monitoring, popř. dalších dle návrhu uchazeče

4. Příprava prostředí pro implementaci navazujících komodit

5. Návrh a provedení akceptačních testů, musí zahrnovat výkonové testy a testy vysoké dostupnosti

K2: SIEM a NBA

1. Detailní analýza – identifikace zdrojů dat, jejichž provozně bezpečnostní informace bude nutné popř. vhodné sbírat, korelovat a analyzovat

2. Zdroje dat pro budou vybrány z tzv. primárních a podpůrných (technických) aktiv zadavatele. K jejich určení bude využito Vyhlášky č.317/2014 Sb. o významných informačních systémech a jejich určujících kritérií přiměřeně uzpůsobených a aplikovaných na prostředí zadavatele (zadavatel neprovozuje významný informační systém). Dále bude pro určení zdrojů dat využito vstupního osobního setkání (workshopu) se správci provozovaných informačních a komunikačních systémů v rozsahu jednoho pracovního dne.

3. Předimplementační analýza bude obsahovat následující oblasti specifické pro komoditu:

1. specifikace profilu pro každý napojovaný zdroj dat, včetně určení vhodné úrovně detailu logování, odpovídající jeho roli v infrastruktuře,

2. klasifikaci zdrojů informací pro stanovení priority události (stejná událost z různých zdrojů může mít různou prioritu) a z hlediska poskytovaných logů (obsažené informace, struktura logu),

3. doporučení nastavení logování pro jednotlivé zdroje,

4. výběr událostí a parametry jejich záznamů a metody sběru z jednotlivých zdrojů,

5. návrh parserů pro zdroje, které nebudou systéme přímo podporovány,

6. návrh doplňování logovaných informací z dalších zdrojů pro zlepšení jejich relevantnosti či srozumitelnosti,

7. metody a pravidla identifikace, zpracování a vyhodnocování událostí, návrhy korelací,

8. pravidla pro vznik varováni, upozornění, incidentů včetně priority,

9. doporučenou strukturu oprávnění a řízení přístupových práv

10. proaktivní a reaktivní procesy (aktivity, role, výstupy, doba odezvy) v případě výskytu varování, upozornění, incidentu a apod.

11. popis zajištění autentičnosti logů,

12. definice pohledů na události v konzoli uživatelů (např. setřídění událostí podle zdroje, typu, priority, stupně důležitosti, času vzniku apod.),

13. návrh zálohování konfigurace a dat,

14. návrh průběhu Zkušebního provozu pro ověření funkčnosti systému v reálném provozu,

15. návrh retence logů a archivů,

16. návrh způsobu napojení řešení na monitorovací systém uchazeče a definice procesů reakce, které jsou v souladu s platnou legislativou a bezpečnostní politikou MMKV,

17. popis monitorovaných aktivit přispívajících k naplnění požadavků dle zákona č.101/2000 Sb. v aktuálním znění a k naplnění požadavků dle Nařízení evropského parlamentu a rady EU 2016/679 o Zabezpečení zpracování osobních údajů (GDPR),

4. Návrh a provedení konfigurací dotčených a souvisejících systémů

5. Návrh a provedení akceptačních testů, musí zahrnovat výkonové testy, testy archivace a obnovy logů a ověření detekce jejich neoprávněně modifikace.

K3: Správa identit

1. Předimplementační analýza bude obsahovat následující oblasti specifické pro komoditu:

1. analýzu procesů a aplikací MMKV se zaměřením na oblast správy uživatelských účtů, přidělování oprávnění a rolí,

2. analýzu požadavků MMKV zasílaných centrálním informačním systémům, základním registrům a dalších informačních systémů s požadavkem na autorizaci a autentizaci,

3. technologický popis stávajících technologií s vazbou na systém správy identit

4. analýzu možností správy výstupních struktur,

5. analýzu evidenčních údajů a logů,

6. návrh životního cyklu identity uživatelů,

7. model organizační struktury,

8. seznam systemizovaných pracovních pozic,

9. přiřazení pracovníků k pracovním pozicím,

10. atributy poskytované personálním systémem v souladu s potřebami obsluhovaných systémů a návrh jejich využití,

11. manažerský souhrn vhodný pro prezentaci výstupů analýzy vedení MMKV.

2. Návrh a provedení akceptačních testů, musí zahrnovat výkonové testy a prokázat plnou funkčnost integrací v obvyklých scénářích použití.

K4: Školení kybernetické bezpečnosti

1. Analýza charakteru elektronické komunikace MMKV a uživatelského chování a návrh vhodného obsahu a provedení phishingových testů včetně seznamu příjemců.

2. Návrh harmonogramu workshopů a způsobu jejich organizace včetně zvacího procesu uživatelů a evidence přihlášených,

3. Přizpůsobení obsahu prezenčních workshopů a e-learningových webinářů specifickým požadavkům MMKV,

2. Požadavky na předimplementační analýzu – společné pro komodity K1 – K3

1. Před implementací řešení zpracuje uchazeč předimplementační analýzu, minimálně pro následující oblasti a pro oblasti specifické pro jednotlivé komodity (viz. 5.1.):

   1. detailní popis stávajícího stavu, identifikaci slabých míst a bezpečnostních rizik, včetně vazeb na HW a SW systémy TC.

   2. Způsob začlenění nabízených komodit do prostředí TC.

   3. Síťová infrastruktura ve vztahu k plánovanému využití.

   4. SAN infrastruktura ve vztahu k plánovanému využití.

   5. Virtualizační infrastruktura (serverová, disková) ve vztahu k plánovanému využití.

   6. Integrace nabízených softwarových systémů.

   7. Rekonfigurace stávajících systémů.

   8. Dopady implementace na dostupnost a funkčnost stávajících služeb.

   9. Posouzení dopadů na non-IT technologie (spotřeba energií, tepelný výkon).

   10. Požadované součinnosti zadavatele a jejich rozsah.

   11. Návrh opatření k odstranění neshod zjištěných v průběhu analýzy.

2. Výstupem předimplementační analýzy bude písemná zpráva, která podléhá schválení zadavatelem.

3. Požadavky na zpracování prováděcí dokumentace – společné pro komodity K1 – K3

1. Uchazeč před zahájením implementačních prací zpracuje prováděcí dokumentaci, která bude důsledně vycházet z předimplementační analýzy a bude zahrnovat všechny aktivity potřebné pro řádné zajištění implementace předmětu plnění do stávajícího prostředí technologického centra.

2. Prováděcí dokumentace musí být před zahájením prací schválena zadavatelem.

3. Prováděcí dokumentace musí zohlednit podmínky stávajícího stavu, požadavky cílového stavu a musí obsahovat minimálně tyto části:

   1. Detailní popis cílového stavu včetně funkcionalit jednotlivých částí systému,

   2. Nutné a doporučené optimalizační a konfigurační změny dodávaných systému i všech navázaných systémů TC ORP (vSphere, LAN, SAN, zálohování, monitorování atd.),

   3. Způsob zajištění potřebného HW a SW,

   4. Způsob zajištění koordinace realizace předmětu plnění s běžným provozem,

   5. Detailní návrh a popis postupu implementace předmětu plnění,

   6. Detailní popis zajištění bezpečnosti informací,

   7. Detailní harmonogram realizace včetně uvedení kritických milníků,

   8. Návrh designu síťového a bezpečnostního řešení a jeho konfigurace,

   9. Návrh designu aplikačních řešení,

   10. Vazby na stávající systémy a jejich konfigurace,

   11. Návrh akceptačních kritérií a akceptačních testů.

4. Požadavky na zajištění projektového vedení

1. Uchazeč zajistí projektové vedení po celou dobu realizace zakázky certifikovaným specialistu. Součástí nabídky bude popis metodiky, která bude pro projektové řízení použita.

2. Zadavatel vyžaduje dodržení následujícího harmonogramu plnění – zde jsou uvedeny maximální možné lhůty pro jednotlivé kritické milníky. Údaj D značí datum podpisu smlouvy o dílo. Čísla značí počet kalendářních dnů.

Č.	Etapa projektu – činnost	Zahájení etapy	Ukončení etapy
1	Předimplementační analýza a zhotovení Prováděcí dokumentace	D	D+20
2	Předání Prováděcí dokumentace Xxxxxxxxxx, připomínkové řízení	D+20	D+30
3	Zapracování připomínek a předání finální verze Prováděcí dokumentace – akceptace Zadavatelem	D+30	D+40
4	Dodávky a implementace	D+40	D+120
5	Školení kybernetické bezpečnosti	D+40	D+150
6	Školení administrátorů	D+90	D+120
7	Zkušební provoz	D+90	D+130
8	Akceptační testy	D+100	D+140
9	Zahájení plného provozu	D+150	-
10	Provedení opakovaných phishingových testů a případné opětovné absolvování webinářů	D+200	D+300

3. Uchazeč může dle svého uvážení výše uvedené maximální lhůty trvání zkrátit při dodržení všech částí předmětu plnění a bez snížení kvality dodávaných služeb.

4. Maximální lhůty trvání nesmí uchazeč při tvorbě detailního harmonogramu prodloužit.

5. Uchazeč uvede závazný harmonogram plnění ve své nabídce a zároveň v návrhu smlouvy o dílo.

6. Uchazeč uvede potřebnou součinnost zadavatele pro splnění harmonogramu plnění ve své nabídce.

1. Požadavky na školení

1. Uchazeč zajistí školení pracovníků zadavatele – administrátorů – na zařízení a systémy, dodávané v rámci této veřejné zakázky, a to minimálně v rozsahu předávané provozní dokumentace.

2. Školení zajistí seznámení pracovníků zadavatele se všemi podstatnými částmi díla v rozsahu potřebném pro provoz, údržbu a identifikaci nestandardních stavů systému a jejich příčin.

3. Minimální rozsah školení je 24 hodin.

4. Školení bude probíhat v sídle zadavatele.

5. Předpokládá se účast max. 4 administrátorů.

6. Náklady na školení musí být zahrnuty v nabídkové ceně k položce, ke které se vztahují a nelze je vyčíslit zvlášť.

1. Požadavky na testovací prostředí

1. Zadavatel nedisponuje testovacím prostředím.

2. Vyžaduje-li uchazeč pro realizaci zakázky testovací prostředí, zahrne do nabídky náklady na jeho vybudování a požadovanou součinnost zadavatele.

1. Požadavky na provedení akceptačních testů, zkušební provoz a přechod do ostrého provozu

1. Uchazeč navrhne způsob a provedení akceptačních testů.

2. Součástí akceptačních testů musí být pro každou komoditu minimálně:

   1. Prokázání kompletnosti dodávky a splnění povinných i hodnocených požadavků.

   2. Prokázání vysoké dostupnosti u řešení, která jsou takto koncipována.

   3. Prokázání aktivací software i hardware aktivačními klíči či jinými prostředky, je-li aktivace potřebná.

3. Pro každou komoditu navrhne uchazeč vhodné doplňující testy a kritéria, kterými bude prokázána bezproblémová funkčnost a odpovídající výkon a stabilita dodaného řešení.

4. O provedení akceptace a jejím výsledku musí být vyhotoven písemný protokol.

5. Uchazeč zajistí zkušební provoz v délce minimálně 20 dnů včetně technické podpory minimálně 1 specialisty na dodané řešení s dojezdem maximálně do 2 hodin od nahlášení požadavku v pracovní den v době od 8h do 17h.

6. Přechodem do ostrého provozu se rozumí okamžik úspěšné akceptace díla včetně vypořádání všech vad a nedodělků.

1. Záruky a servisní podmínky

   1. Zadavatel požaduje záruku na veškeré dodané služby v délce trvání minimálně 3 měsíců a zařízení minimálně 24 měsíců (není-li u konkrétní komodity uvedeno jinak) od okamžiku ukončení implementace a předání do produkčního provozu.

   2. Není-li u konkrétní komodity uvedeno jinak, požaduje zadavatel provedení záruční opravy do 5-ti pracovních dnů nebo poskytnutí náhradního prvku shodných nebo lepších parametrů po dobu opravy.

   3. Veškeré opravy po dobu záruky budou bez dalších nákladů pro provozovatele.

   4. Uchazeč ve své nabídce výslovně uvede všechny podmínky záruk.

   5. Zadavatel požaduje bezplatný (zahrnutý v ceně zakázky) přístup k aktualizacím software a firmware dodaných komodit minimálně po dobu záruky.

   6. Veškeré opravy po dobu záruky budou provedeny bez dalších nákladů pro zadavatele.

   7. Veškeré komponenty, náhradní díly a práce, poskytnuté v rámci záruky budou poskytnuty bezplatně.

   8. Součástí technické podpory bude spolupráce s administrátory zadavatele při řešení nekompatibilit aplikací a systémů.

   9. Pro hlášení servisní požadavků zajistí uchazeč Zhotoviteli přístup ke svému helpdeskovému systém s on-line přístupem pro kompletní správu požadavků včetně uchování historie požadavků a jejich řešení. Detailní popis helpdeskového systému a jeho obsluhy musí být součástí nabídky. Provozní doba helpdeskového systému musí být minimálně 7-17 hod. v pracovních dnech.

2. Požadavky na zabezpečení provozu

Zadavatel požaduje detailní návrh podmínek podpory zajištění provozu, zajišťující garantovanou úroveň služeb podpory zajištění provozu předmětu plnění a také stávajících technologií TC ORP od doby předání do plného provozu. uchazeč podle svého uvážení může provést úpravu parametrů, pokud takové úpravy nepovedou ke zhoršení podmínek zajištění podpory provozu.

1. Definice

   1. 24x7 – služba nebo zařízení je v provozu/dostupné 24 hodin a 7 dní v týdnu s garancí minimálně 95% dostupnosti

   2. 9x5 - služba nebo zařízení je v provozu/dostupné 9 hodin denně v běžnou pracovní dobu po všechny pracovní dni v týdnu s garancí minimálně 95% dostupnosti

   3. BD – Business Day – standartní pracovní den

   4. BE (Best Effort) - uchazeč vyvine maximální možné úsilí na provedení požadavku a zejména na zajištění požadovaných parametrů Prvku IT v nejkratší možné době.

   5. Běžná pracovní doba – čas mezi 8:00 a 17:00 v Pracovní dny.

   6. Člověkohodina - práce Pracovníka uchazeče v rozsahu jedné (1) hodiny v rámci Pracovního dne.

   7. Člověkoden - práce Pracovníka uchazeče v rozsahu jednoho (1) Pracovního dne.

   8. Doba odezvy (Response time – R) – metrika definující čas, který uplyne od nahlášení Požadavku na Servisní službu do začátku provádění Servisní služby. Do Doby odezvy se započítává pouze čas, určený Servisním kalendářem k řešení daného Požadavku. Za odezvu se považuje jakákoliv prokazatelná reakce servisního pracovníka Dodavatele směřující k odstranění incidentu, zodpovězení Dotazu nebo přípravy Nového požadavku.

   9. Dotaz – funkce v systému existuje, Prvek IT pracuje v souladu s Prováděcí dokumentací, ale pověřená osoba zákazníka s ní není dostatečně seznámena a podá Požadavek - Dotaz na Hot-line nebo HelpDesk

   10. HelpDesk – nepřetržitě dostupný automatizovaný systém pro vzdálené zadávání a správu požadavků,

   11. Hot-line –pracoviště uchazeče přijímající Požadavky od zadavatele na definovaných telefonních číslech nebo elektronických komunikačních kanálech.

   12. Incident- událost způsobující odchylku od očekávané funkce Prvku IT, která způsobuje nebo může způsobit přerušení anebo snížení kvality této funkce.

   13. Priorita incidentu - závažnost incidentu dle klasifikace Kontaktní osoby zadavatele.

   14. Koncová zařízení - počítače uživatelů, jejich programové vybavení a periferní zařízení k počítačům připojená (např. tiskárny, skenery).

   15. Monitorování - sledování prvků IT prostředky Vzdáleného přístupu, zda jsou funkční. Sledování, zda provozní charakteristiky prvků IT nepřesahují stanovené hodnoty, eventuálně neklesají pod stanovené hodnoty. Monitorováním se případně rozumí sledování a archivování jejich provozních charakteristik.

   16. Proaktivní monitorování-monitorování prováděné dle charakteru provozu a činnosti Prvku IT v režimu 24x7 (komunikační infrastruktura) nebo v režimu 9x5 (technologické centrum).

   17. Náhradní zařízení – zařízení podobných vlastností (parametrů).

   18. Požadavek - žádost o provedení Servisní služby na jednom nebo více Prvcích IT.

Požadavek může zahrnovat:

1. žádost o odstranění závady (nefunkční Prvek IT nebo nesprávná činnost Prvku IT) - incidentu

2. žádost o poskytnutí konzultace

3. žádost o provedení Změny

Požadavek může:

4. být zadán zadavatelem jako jednorázový

5. být zadán zadavatelem jako opakující se činnost

6. vzniknout jako výstup Monitorování

7. vzniknout na základě Správy a údržby Prvku IT

1. NBD-Next Business Day – následující pracovní den

2. Neprodleně – bez zbytečného odkladu, s vyvinutím maximálního úsilí na zjednání nápravy nebo zajištění činnosti, nejpozději však následující Pracovní den.

3. Pracovní dny - všechny dny, kromě sobot a nedělí nebo zákonem stanovených svátků a dnů pracovního klidu, během nichž dohodnuté pracovní činnosti budou prováděny v čase od 8:00 do 17:00 hodin.

4. Prvek IT - zařízení (Koncové zařízení, server či jiný hardware), program (software) nebo komunikační linka.

5. Rozsah poskytovaných služeb – specifikace Služby a kvantifikace rozsahu Služby

6. Řešitel - Pracovník uchazeče, podílející se na řešení Požadavku.

7. Report – přehledový dokument, ve kterém je popsán průběh realizace Plnění za uplynulé období a hodnoty sledovaných parametrů.

8. SLA (Service Level Agreement) - definice kvalitativních parametrů/metrik Služby

9. Správa a údržba - provádění činností, které jsou nutné ke správné a bezchybné funkci Prvku IT. Zpravidla se jedná o pravidelnou kontrolu stavu prvků IT a provádění takových Změn, které se pravidelně opakují, nebo jsou provedeny na základě kontroly stavu Prvku IT.

10. Služby – činnosti potřebné pro řádné zabezpečení podpory provozu díla

11. Úplné odstranění závady - se rozumí dosažení stavu, který byl akceptován v rámci smlouvy o dílo nebo je popsán v Prováděcí dokumentaci popř. v dokumentaci Prvku IT.

12. Vzdálená správa – provádění činností na Prvcích IT, přičemž činnosti nejsou prováděny v místě provozovny zadavatele, ale prostřednictvím Vzdáleného přístupu z místa provozovny uchazeče.

13. Vzdálený přístup – připojení z provozovny uchazeče k zařízení zadavatele pomocí komunikační linky, na které je vytvořeno dočasné nebo trvalé spojení.

14. Zprovoznění náhradním způsobem - se rozumí zajištění základních funkcí systému, tedy dosažení stavu, kdy není vážně omezena funkčnost informačního systému nebo jeho částí.

15. Změna - změna parametrů Prvku IT nebo instalace, přemístění či odinstalace Prvku IT.

16. Legislativní servis - legislativním servisem se rozumí úprava stávající funkčnosti stávajícího systému (software), kterou je nutné provést, protože stávající funkcionalita by nutila zákazníka konat v rozporu s novou legislativní úpravou. Legislativní úpravou v žádném případě není doplnění funkcionality (řešené oblasti), kterou stávající systém (software) nepokrýval.

17. Reklamace - reklamací je požadavek vznesený na přezkoumání a odstranění vlastnosti Prvku IT v čase záruční doby, která je v rozporu:

    1. se standardní funkčností Prvku IT a tento rozpor je vůči uživatelské dokumentaci produktu,

    2. s funkcionalitou definovanou ve smlouvě (jejích přílohách), případně akceptačním protokolu funkcionality Prvku IT,

    3. s platnou legislativou ČR k datu podání požadavku.

18. Konfigurační management - jde o službu poskytovanou za účelem udržení aktuální technické dokumentace. V případě jakékoliv provedené změny, bude aktualizována provozní dokumentace o konfiguraci systému včetně zaznamenaných změn. Dokumentace je uložena u uchazeče i zadavatele. Poskytuje informace o Prvcích IT a službách včetně informací o aktuálních verzích. Zahrnuje rovněž správu veškeré dokumentace ke všem prvkům infrastruktury a služeb. Obvykle je využíván automatizovaný nástroj pro sběr a aktualizaci většiny údajů v konfigurační databázi.

19. Patch Management - jedná se o preventivní činnost týkající se především operačních systémů a instalace opravných balíčků, kde hlavním cílem je udržet systém v aktuálním stavu a s nainstalovanými aktuálními softwarovými komponentami.

20. Hotline podpora - jde o službu zajišťující poradenství po telefonu nebo elektronické komunikaci

21. Maintenance – jedná se o zajištění nových a opravných verzí software (včetně hlavních verzí), nových verzí firmware, přístupu k technické podpoře výrobce a přístupu k databázi řešených problémů.

22. Monitorování – jedná se o službu nepřetržitého online monitorování systémů s upozorněním na kritické nebo neobvyklé události, upozornění budou automaticky zasílána oprávněným pracovníkům zadavatele. Součástí služby je vzdálený přístup k aktuálním i historickým údajům o stavu systému. Monitorování je souborem takových opatření, která umožňují v kterémkoli čase znát stav Systému a Systémů třetích stran, minimálně v rozsahu:

    1. monitoring operačních systémů,

    2. monitoring sítě a síťových propojení Systému a Systémů třetích stran,

    3. monitoring databázových systémů,

    4. monitoring diskových úložišť,

    5. monitoring prvků IT třetích stran, které mohou ovlivňovat chod Systému, pokud jsou tyto Prvky IT součástí Dodávky nebo mohou mít na funkci a/nebo dostupnost Prvku IT negativní vliv způsobující incident kategorie A nebo B.

23. Profylaxe - profylaxe zahrnuje aktualizace firmware zařízení, aktualizace administrátorských nástrojů, kontrolu logů, kontrolu vytížení a využití, kontrolu kapacit.

1. Specifikace rozsahu požadované podpory provozu

   1. Základní rozsah systémové podpory v rámci měsíčního paušálu:

      1. Pravidelné servisní prohlídky a revize předepsané výrobci

      2. Průběžné monitorování prvků IT pokrývaných touto smlouvou dalších popř. prvků IT, které mohou ovlivnit jejich chod. Počet sledovaných parametrů nesmí být prakticky omezen (min. stovky), administrátoři MMKV musí mít přístup ke sledovaným parametrům alespoň v režimu čtení.

      3. Provádění hardwarových oprav IT prvků pokrývaných v rámci smlouvy minimálně v kvalitě a parametrech jako po dobu záruky. Cena náhradních dílů je zahrnuta v paušální ceně.

      4. Řešení Požadavků a incidentů – dle podmínek SLA

      5. Profylaxe - minimálně každých 6 měsíců

      6. Hotline podpora v režimu 9x5

      7. Patch management

      8. Odborná podpora v režimu 9x5 – vzdálené konzultace pro podporované služby/produkty.

      9. Celkový rozsah služeb Hotline a Odborné podpory v rámci měsíčního paušálu 8 hodin. Minimální dostupnost podpory v režimu 9x5.

   2. Další služby v rámci měsíčního paušálu

      1. Zajištění tj. dodávku, instalaci a zprovoznění maintenance a aktualizací (včetně bezpečnostních signatur apod.) pro veškerý dodaný software – min. 1x ročně a v případech vynucených změnou legislativy či změnou navázaného systému. Pro operační systém serveru jsou požadovány pouze aktualizace, nikoli nové verze.

      2. Zajištění tj. instalaci a zprovoznění maintenance (nových verzí firmware a ovládacího software a přístupu k technické podpoře výrobce) a aktualizací pro veškerý hardware dodaný v rámci této zakázky – min. 1x ročně

      3. Helpdeskový systém s on-line přístupem pro kompletní správu požadavků včetně uchování historie požadavků a jejich řešení.

      4. Rozšířený monitoring systému a zpracovávaných dat a specifické služby provozního zajištění komodity K2 SIEM a NBA v rozsahu potřebném pro provádění následujících služeb v režimu 9x5:

         1. Informování odpovědných osob zadavatele o vzniku bezpečnostního incidentu v reálném čase za pomocí základních komunikačních nástrojů (mail / SMS /tel)

         2. Zahájení řešení bezpečnostního incidentu do 4hodin od vzniku, řízení souvisejících činností správců a případných dalších dotčených osob.

         3. Zakládání tiketů, proaktivní komunikace o jejich řešení.

         4. Komunikace s třetí stranou jako NBU, NCKB, CSIRT atd.

         5. Rozšířený reporting - detailní report o událostech a incidentech s návrhy systematických opatření 1x měsíčně. Vzdálená prezentace reportu např. formou videokonference.

         6. Pravidelné skenování aktiv a zranitelností min. 1x týdně.

   3. Uchazeč zpracuje a poskytne zadavateli každý měsíc Report, ve kterém je popsán průběh realizace Plnění za uplynulé období, provedené služby a návrh doporučených opatření pro další období pro zvýšení bezpečnosti a dostupnosti TC ORP a prevenci incidentů.

   4. Seznam prvků pokrývaných službou zabezpečení provozu je uveden v 7.4..

2. Způsob poskytování plnění

   1. Plnění je poskytováno zejména následujícím způsobem:

      1. Prostřednictvím pracovníka uchazeče přímo na pracovišti zadavatele,

      2. Prostřednictvím pracovníka uchazeče Vzdálenou správou,

      3. Prostřednictvím pracovníka uchazeče formou vzdálené konzultace,

      4. Po dohodě smluvních stran automatizovanými nástroji při Monitorování, umožňují-li to technické prostředky na straně zadavatele.

   2. Xxxxxxx provede písemný záznam o provedení Služby na pracovišti zadavatele, který předá zadavateli a nechá si ho od něj potvrdit. Servisní služby, které jsou poskytovány vzdálenou formou, mohou být evidovány v elektronickém seznamu provedených úkonů.

   3. Zadavatel je povinen zabezpečit uchazeči podmínky pro řádné plnění, zejména

      1. v případě Monitorování a Vzdálené správy zajistit a udržovat podmínky pro Vzdálený přístup uchazeče k prvkům IT,

      2. zajistit dostupnost nebo odpovídající zástup Odpovědné osoby zadavatele, vyhrazení odpovídajících časových kapacit Odpovědné osoby zadavatele a zajištění efektivní součinnosti odborných pracovníků zadavatele,

      3. zajistit přístup k Provoznímu prostředí, který je nezbytný pro poskytování Služeb, včetně přístupu do prostor v objektu, kde je předmětný Prvek IT umístěn, případně přístup do prostor, v nichž jsou umístěna zařízení související s podporovaným systémem,

      4. zabezpečit přítomnost kvalifikované osoby, která poskytne pracovníku uchazeče veškeré informace či přístupy potřebné k podpoře předmětného systému, resp. informace o zařízeních a programovém vybavení souvisejícím s předmětným systémem,

      5. umožnit uchazeči v případě nutnosti a po předchozím oznámení odstavení technických prostředků z běžného provozu,

      6. zajistit součinnost třetí strany, jestliže je to pro provedení služby potřebné.

   4. V případě, že nebudou uvedené podmínky zadavatelem prokazatelně zabezpečeny, lhůta pro vyřešení případného incidentu se zastaví a počítat se bude až po obnovení zabezpečení uvedených podmínek.

   5. Uchazeč je v případě potřeby též z vlastní iniciativy oprávněn požádat zadavatele o dodatečné údaje o incidentu a o nezbytnou součinnost zadavatele na řešení incidentu, bez které nelze zahájit či pokračovat v řešení incidentu. Tím se zastavuje započítávání času, což je rozhodující pro určení čistého času řešení incidentu při hodnocení úrovně poskytovaných služeb (SLA).

   6. Zadavatel je povinen

      1. písemně či elektronicky potvrdit uchazeči provedení služby,

      2. zajistit zálohování dat i programů a výměnu zálohovacích médií dle zálohovacího plánu, jejich dostupnost v případě potřeba a jejich uložení na bezpečných místech tak, aby bylo nešlo k jejich ztrátě nebo poškození,

      3. poskytovat potřebné nebo vyžádané informace a podklady včetně dokumentace k předmětnému systému nebo zařízení a programovému vybavení, které s ním souvisí, nejpozději do tří (3) Pracovních dnů po jejich písemném či ústním vyžádání, pokud se o obě strany nedohodnou jinak.

3. Seznam prvků IT

Následující tabulka obsahuje seznam prvků IT, u niž je požadováno Zabezpečení provozu

Prvky IT
Prvek	Popis	Počet	Platná záruka	Poznámka
Hardware
1	Veškeré hardwarové prvky dodané v rámci této zakázky	x	dle nabídky
Software
2	Systém SIEM a NBA komodity K2	x	dle nabídky
3	Systém pro správu identity komodity K3	x	dle nabídky	Platnost maintenence integrovaných systémů zajišťuje zadavatel na vlastní náklady mimo tuto zakázky, poskytne přístup uchazeči

5. Postup při řešení požadavků

   1. Zadavatel bude požadavek oznamovat uchazeči bez zbytečného odkladu jedním ze způsobů a na kontaktních místech uvedených ve Smlouvě o zabezpečení provozu, kam budou mít zajištěny přístup pověřené osoby zadavatele. Momentem nahlášení požadavku zadavatelem na hot-line nebo zadáním požadavku do HelpDesk začíná běžet lhůta pro Dobu odezvy.

   2. Součástí nahlášení požadavku zadavatelem musí být:

      1. navrhovaná kategorizace a závažnost,

      2. popis incidentu nebo Požadavku,

      3. jiné relevantní upřesňující informace, včetně případných textových či obrazových příloh,

      4. kontaktní osoba.

   3. Uchazečem používaný systém pro HelpDesk musí pokrýt uvedené informace pro nahlášení požadavku.

   4. Incidenty musí být před jejich nahlášením začleněny do skupin, viz dále a dle těchto skupin bude Uchazeč přistupovat k jejich řešení:

Incident/vada kategorie A

Prvek IT/služba není použitelná ve svých základních funkcích nebo se vyskytuje funkční závada znemožňující používání služby. Tento stav může ohrozit běžný provoz, případně může způsobit větší finanční nebo jiné škody.

Incident/vada kategorie B

Prvek IT/služba je ve svých funkcích degradována tak, že tento stav omezuje běžný provoz.

Incident/vada kategorie C

Ostatní - drobné incidenty/vady, které nespadají do kategorií A a/nebo B a které nejsou způsobeny software třetích stran.

Incident/vada kategorie D

Incidenty/vady, které jsou způsobeny software třetích stran.

5. Uchazeč potvrdí obdržení požadavku dle podmínek SLA a bez ohledu na způsob nahlášení provede evidenci Požadavku v systému HelpDesk a poskytne zadavateli informace o předpokládaném způsobu řešení požadavku, požadavcích na součinnost zadavatele a předpokládaný termín vyřešení požadavku.

6. Uchazeč v průběhu řešení požadavku, pokud mu to charakter požadavku a způsob řešení umožňuje, průběžně informuje zadavatele o aktuálním stavu a případných změnách v předpokládaném způsobu, požadované součinnosti a termínů vyřešení. V případě že uchazeč v průběhu řešení požadavku zjistí, že se jedná o incident, jehož zdroj je prvek třetích stran, informuje zadavatele o této skutečnosti, předpokládaném způsobu, požadované součinnosti a termínů vyřešení – zároveň přeřadí incident do kategorie D a pokračuje v řešení v režimu BE (Best Effort).

7. Zjistí-li uchazeč v průběhu řešení incidentu, že incident je neodstranitelný, je v rámci Běžné pracovní doby povinen nepřetržitě pracovat na náhradním řešení a informovat o tomto stavu zadavatele. Výskyt neodstranitelného incidentu může být ze strany zadavatele považován za podstatné porušení této smlouvy v případech, že incident byl způsoben předchozím přímým jednáním uchazeče, pokud o nich mohl mít s vynaložením veškeré odborné péče povědomost.

8. Zjistí–li uchazeč v průběhu řešení incidentu, že incident má přímou souvislost s neodborným či neoprávněným jednáním osob zadavatele případně byl incident vyvolán produkty či službami třetí osoby, je uchazeč povinen bezodkladně informovat o tomto stavu zadavatele. zadavatel se zavazuje bezodkladně uhradit v plné výši náklady nad rámec této smlouvy uchazečem prokazatelně vynaložené k řešení incidentu, přičemž samotná identifikace incidentu je součástí plnění této smlouvy.

9. Zadavatel je oprávněn dořešení incidentu kdykoliv zastavit či pozastavit, přičemž nárok uchazeče na úhradu již vynaložených prostředků zůstává nedotčen. Incident je v tomto případě považován za vyřešený.

10. V případě úspěšného vyřešení požadavku, je řešitel před ukončením požadavku povinen provést ověření funkčnosti služby (pokud je to možné). Iniciátora incidentu informuje o:

    1. čase vyřešení požadavku,

    2. v případě incidentu specifikuje příčinu (pokud je známa),

    3. vyzve iniciátora k ověření funkčnosti služby.

11. Po ověření funkčnosti ze strany zadavatele se Požadavek považuje za vyřešený.

12. Po vyřešení požadavku uchazeč požadavek uzavře v systému HelpDesk a informuje zadavatele. V případě incidentu kategorie A zasílá návrh opatření pro snížení nebo eliminaci možnosti opakování stejného incidentu.

13. Zadavatel má právo ve lhůtě 10 dnů od uzavření požadavku vznést výhrady nebo připomínky ke způsobu řešení nebo k výslednému stavu Prvku IT; v takovém případě se požadavek nepovažuje za uzavřený a Strany se zavazují zahájit společné jednání za účelem odstranění veškerých vzájemných rozporů a nalezení shody nad ke způsobem řešení nebo výsledném stavu Prvku IT, a to nejpozději do pěti (5) pracovních dnů od výzvy kterékoliv Strany.

1. Podmínky SLA

   1. Uchazeč se zavazuje dodržovat při řešení požadavků následující parametry (SLA).

Kategorie incidentu	Garantovaná doba přijetí a akceptace hlášeného incidentu	Garantovaná doba zahájení prací na řešení incidentu po řádném nahlášení	Garantovaná doba ukončení incidentu po řádném nahlášení
A	15 min	1 hod	Nejpozději do 24 hod
B	15 min	4 hod	NBD
C	15 min	NBD	5BD
D	15 min	NBD	BE

2. Pro předání požadavků na plnění závazků vyplývajících z SLA, je požadováno použití technologie umožňující nepřetržitý dálkový přístup v českém jazyce.

3. V rámci vymezení předmětu SLA uchazeč nejlépe v technické příloze dostatečně přesně popíše, jaké služby a činnosti zadavatele jsou pro plnění SLA zcela zásadní a kritické, respektive na jakých aplikacích a službách je provoz systémů závislý. Dále uchazeč popíše, jakým způsobem zajistí dosažení podmínek SLA, možnosti měření SLA a možnosti ověření dosahování SLA, které bude mít zadavatel k dispozici.

Strana 7 z 37