SMLOUVA O DÍLO
SMLOUVA O DÍLO
číslo: 0062/2S/2024
„Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti“
uzavřená níže uvedeného dne, měsíce a roku podle § 2586 a násl. zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů a podle zákona č. 121/2000 Sb. (autorský zákon), ve znění pozdějších předpisů
Čl. 1.Smluvní strany
1.1. Město Slaný
se sídlem:
IČ:
DIČ:
zastoupené: bankovní spojení:
č.ú.:
kontaktní osoba:
telefon:
Xxxxxxxxx 000, 000 00 Xxxxx 00234877
CZ00234877
Mgr. Martinem Hrabánkem, starostou města Česká spořitelna, a.s., Kladno
e-mail:
(dále jen „objednatel“, „zadavatel“)
a
se sídlem / místem podnikání: Xxxxxxxxxx 0000/00, Xxxxxxxx Xxxxxxx, 000 00 Xxxxxxx
zapsán v obchodním rejstříku, vedeném Krajským soudem v Ostravě, sp. zn. B.11012
IČ:
DIČ:
zastoupený/jednající: bankovní spojení: č.ú.:
Ano 04308697
CZ04308697
Česká spořitelna, a.s.
zhotovitel je plátce DPH: kontaktní osoba: telefon:
e-mail:
(dále jen „zhotovitel“, „uchazeč“, „účastník zadávacího řízení“)
Tato smlouva je uzavírána v návaznosti na veřejnou zakázku s názvem „Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti“, zadávanou objednatelem jakožto zadavatelem.
Čl. 2.Předmět smlouvy
2.1.1. Předmětem plnění této smlouvy je dodávka a implementace zařízení a licencí do prostředí objednatele za účelem zvýšení kybernetické bezpečnosti, a to včetně nedílně souvisejících požadavků typu zaškolení, dodání příslušenství a zpracování dokumentace.
2.2. Předmětem díla jsou následující dodávky a činnosti zhotovitele:
2.2.1. Dodávka zařízení a licencí a jejich implementace za účelem zvýšení kybernetické bezpečnosti prostředí objednatele, testovací provoz a předání do řádného užívání.
2.2.2. Pro výše uvedený rozsah plnění:
• začlenění dodávaných technologií do stávajícího prostředí,
• úprava dodaného řešení dle potřeb a požadavků objednatele,
• zaškolení IT administrátorů objednatele.
2.2.3. Dále je předmětem plnění dodávka
• dokumentace k dodanému plnění v požadovaném rozsahu,
• dalších licencí potřebných pro provoz SW komponent,
• dodávka montáž příslušenství dodaných technologií,
• listinného potvrzení dodaných licencí co do jejich počtu a rozsahu.
2.2.4. Detailní předmět plnění je uveden v příloze č. 1 této smlouvy - Technické dokumentaci.
2.2.5. Předmět smlouvy rovněž obsahuje plnění, které není uvedeno v příloze č. 1 této smlouvy - Technické dokumentaci, ale jehož realizace je nezbytná pro provedení díla a jeho částí, tj. pro řádné a včasné dokončení díla a jeho částí v souladu s touto smlouvou. Zahrnuje veškerá plnění včetně software pro zajištění 100% funkčnosti a provozuschopnosti nových technologií pro zvýšení kybernetické bezpečnosti a dalších komponent na základě této smlouvy o dílo.
2.3. Rozdělení předmětu díla na části
2.3.1. Předmět díla je rozdělen na jednotlivé části, které mají za úkol zvýšit kybernetickou bezpečnosti v jednotlivých oblastech určení a dále jednu samostatnou část, která slouží ke zvýšení serverových systémových prostředků pro provoz nově nasazovaných technologií v rámci projektu IROP (viz. bod 6.1.4 smlouvy), kterým je plnění této smlouvy na strany objednatele kofinancováno.
2.3.2. Části díla podle této smlouvy a přílohy č. 1 této smlouvy jsou následující
• Oblast Zvýšení zabezpečení komunikační sítě
• Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů
• Oblast Zavedení nástroje pro ověřování identit uživatelů a správců IS
• Oblast Vytvoření záložní lokality pro zajištění kontinuity provozu IS
• Oblast bezpečnost technologických místností
• Oblast sdílené systémové prostředky
2.3.3. Výše uvedené části díla stojí samostatně, s výjimkami tam, kde je to v této smlouvě nebo v příloze č. 1 této smlouvy výslovně uvedeno, vždy však za účelem maximalizace dopadů realizovaného plnění z pohledu zvýšení kybernetické bezpečnosti objednatele.
2.4. Vzdálený přístup do prostředí objednatele
2.4.1. Předmětem této smlouvy je dále i zajištění a sjednání podmínek vzdáleného přístupu zhotovitele bez aktivní účasti objednatele do prostředí objednatele za účelem plnění této smlouvy.
2.4.2. Objednatel se zavazuje, že umožní zhotoviteli vzdálený přístup k serverovému a síťovému prostředí za účelem plnění této smlouvy nejpozději do 10 pracovních dnů ode dne uzavření této smlouvy.
Čl. 3.Doba a místo plnění
3.1.1. Plnění díla bude zahájeno ihned po nabytí účinnosti této smlouvy.
3.1.2. Plnění předmětu díla této smlouvy bude dokončeno jeho řádným zhotovením ze strany zhotovitele a řádnou a bezvýhradnou akceptací se strany objednatele. S výjimkou ustanovení týkajících se vzdáleného přístupu, který je předmětem této smlouvy.
3.2.1. Místem plnění díla je sídlo objednatele na adrese Xxxxxxxxx 000, 000 00 Slaný a jeho technologické místnosti a budovy uvedené v příloze č. 1 této smlouvy.
3.3.1. Řádně zhotovené a dokončené dílo bude předáno objednateli nejpozději do 25 týdnů od nabytí účinnosti smlouvy.
3.3.2. Detailní závazný harmonogram plnění včetně dílčích milníků, na jejichž splnění v daném pořadí a čase objednatel bude trvat, je obsažen v příloze č. 1 této smlouvy o dílo - Technické dokumentaci.
Čl. 4.Práva a povinnosti smluvních stran
4.1.1. Zhotovitel se zavazuje za podmínek stanovených touto smlouvou na svůj náklad a na své nebezpečí ve sjednaném termínu splnit celý předmět smlouvy. Zhotovitel se dále zavazuje dodat řádně a včas plnění podle této smlouvy bez právních a faktických vad.
4.1.2. Při zhotovování díla se zhotovitel zavazuje počínat si s odbornou péčí tak, aby byl zcela naplněn předmět a účel smlouvy.
4.1.3. Zhotovitel je povinen vynaložit maximální úsilí, aby docílil nejlepšího možného výsledku při plnění předmětu této smlouvy prostřednictvím využití svých znalostí a zkušeností.
4.1.4. Při provádění díla postupuje zhotovitel samostatně, je však vázán zejména písemnými pokyny objednatele. Zhotovitel je povinen bez zbytečného odkladu písemně upozornit objednatele na nevhodnost jeho pokynů k provedení díla. Pokud nevhodné pokyny brání v řádném provádění díla, je zhotovitel povinen v nezbytně nutném rozsahu přerušit provádění díla do doby změny
pokynů objednatele nebo písemného sdělení, že objednatel trvá na provádění díla dle svých pokynů. V souvislosti s realizací díla po dobu takového přerušení má zhotovitel nárok na prokazatelně vynaložené náklady.
4.1.5. Zhotovitel je povinen v průběhu provádění díla dodržovat obecně závazné předpisy a normy, postupovat s náležitou odbornou péčí, podle nejlepších znalostí a schopností, sledovat a chránit oprávněné zájmy objednatele.
4.1.6. Zhotovitel je povinen v průběhu provádění díla neprodleně informovat objednatele o všech skutečnostech, které mají nebo mohou mít vliv na provedení díla.
4.1.7. Pokud objednatel zjistí, že zhotovitel provádí dílo v rozporu se svými povinnostmi, je oprávněn požadovat, aby zhotovitel odstranil v objednatelem stanovené lhůtě vzniklé vady a dílo prováděl řádným způsobem.
4.1.8. Zhotovitel se zavazuje v průběhu provádění díla postupovat v souladu se zásadami projektového řízení a zejména jejich jednotlivými konkrétními pokyny zanesenými objednatelem v příloze č. 1 této smlouvy - Technické dokumentaci v kapitole s názvem Projektové řízení.
4.1.9. Objednatel se zavazuje řádně a včas dokončený předmět smlouvy od zhotovitele protokolárně převzít a zaplatit zhotoviteli sjednanou cenu.
4.2.1. Objednatel požaduje, aby maximum práce odvedl zhotovitel samostatně, bez zatěžování pracovníků objednatele. Součinnost objednatele bude omezena na nezbytnou míru a bude se vztahovat především na schvalování výstupů zhotovitele v předem definovaných kontrolních dnech a na nezbytnou IT podporu nutnou k nasazení řešení a realizaci vazeb.
4.2.2. Rozsah součinnosti bude odsouhlasen při zahájení realizace jako součást Prováděcí dokumentace (v detailu viz. příloha č. 1 této smlouvy - Technická dokumentace), včetně termínů jejího poskytování.
4.2.3. V případě následného požadavku zhotovitele na součinnost nad dohodnutý rámec má objednatel právo součinnost odmítnout, případně ji poskytnout v termínu a rozsahu dle svých možností, a to bez dopadu na harmonogram realizace a z něj vyplývající sankce za nedodržení termínů.
4.2.4. Neposkytnutí součinnosti jako důvod pro posun smluvních termínů bude akceptován pouze tam, kde byla součinnost objednatelem přislíbena při zahájení realizace.
4.3.1. Xxxxxxxxxx se zavazuje předmět plnění smlouvy realizovat prostřednictvím projektového týmu, kterým prokázal kvalifikaci ve veřejné zakázce, na jejímž základě je uzavírána tato smlouva o dílo. Projektový tým zhotovitele je odpovědný za plnění této smlouvy o dílo.
4.3.2. Xxxxxxxxxx se zavazuje realizovat předmět plnění této smlouvy prostřednictvím projektového týmu v tomto složení na těchto pozicích:
A. Projektový manažer -
B. Technický specialista - architekt podnikové ICT architektury -
C. Technický specialista - kybernetická bezpečnost -
D. Technický specialista - správa logů -
E. Technický specialista - síťová infrastruktura -
F. Technický specialista - ověřovací systémy -
4.3.3. Změna konkrétní osoby na pozici člena projektového týmu zhotovitele je možná pouze za předpokladu prokázání potřebné kvalifikace novou osobou v rozsahu stanoveném pro danou pozici člena projektového týmu stanovenou ve veřejné zakázce, na jejímž základě je uzavřena tato smlouva. Taková změna musí být zhotovitelem řádně iniciována písemně dokladována a prokázána kvalifikace nové osoby na pozici člena projektového týmu před jeho zapojením do realizace plnění dle této smlouvy (včetně všech souvisejících požadavků na projektový tým stanovený v zadávacích podmínkách, na jejichž základě je uzavřena tato smlouva, jako např. max. počet pozic obsazených jednou osobou apod.).
Čl. 5.Cena díla
5.1.1. Cena za zhotovení díla a jeho částí představuje objednatelem /jakožto zadavatelem/ akceptovanou nabídkovou cenu, předloženou zhotovitelem /jakožto uchazečem/ v nabídce na veřejnou zakázku „Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti“.
5.1.2. Zhotovitel výslovně prohlašuje, že nabídková cena, cena díla a cena jednotlivých částí díla obsahuje veškeré práce a dodávky, poplatky a jiné náklady nezbytné pro řádnou a úplnou realizaci sjednaného předmětu plnění a veškeré náklady včetně všech rizik a vlivů souvisejících s plněním předmětu smlouvy.
5.1.3. Objednatel a zhotovitel se dohodli, že cena za řádné a včasné provedení jednotlivých částí díla specifikovaného v čl. 2 této smlouvy činí částku:
Část díla včetně implementace a příslušenství | Cena v Kč bez DPH | sazba DPH v % | Cena v Kč včetně DPH |
Oblast Zvýšení zabezpečení komunikační sítě | 2 007 860 Kč | 421 651 Kč | 2 429 511 Kč |
Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů | 325 783 Kč | 68 414 Kč | 394 197 Kč |
Oblast Zavedení nástroje pro ověřování identit uživatelů a správců IS | 1 077 354 Kč | 226 244 Kč | 1 303 598 Kč |
Oblast Vytvoření záložní lokality pro zajištění kontinuity provozu IS | 1 544 950 Kč | 324 440 Kč | 1 869 390 Kč |
Oblast bezpečnost technologických místností | 734 262 Kč | 154 195 Kč | 888 457 Kč |
Oblast sdílené systémové prostředky | 456 500 Kč | 97 755 Kč | 563 255 Kč |
Oblast Zvýšení zabezpečení komunikační sítě | 6 155 709 Kč | 1 292 699 Kč | 7 448 408 Kč |
5.1.4. Detail cenové skladby jednotlivých částí díla, včetně jejich jednotlivých komponent je obsažen v příloze č. 3 této smlouvy.
5.1.5. Tato cena jednotlivých částí díla je stanovena jako cena konečná a úplná.
5.1.6. Zhotovitel není oprávněn požadovat po objednateli poskytnutí zálohy.
5.1.7. Zhotovitel na sebe výslovně bere odpovědnost za to, že sazba a výše daně z přidané hodnoty bude stanovena v souladu s platnými právními předpisy.
5.1.8. Daň z přidané hodnoty bude připočtena k ceně díla ve výši dle právní úpravy platné ke dni uskutečnění zdanitelného plnění.
5.1.9. Sjednaná cena částí díla dle této smlouvy je cenou nejvýše přípustnou, kterou je možné překročit pouze v případě zvýšení sazby DPH, a to tak, že zhotovitel ke sjednané ceně bez DPH připočítá DPH v procentní sazbě odpovídající zákonné úpravě účinné k datu uskutečnitelného zdanitelného plnění.
Čl. 6.Platební podmínky
6.1.1. Cena částí díla bude objednatelem uhrazena jednorázovou platbou na základě zhotovitelem vystavené faktury s uvedením konkrétních částí díla, ke kterým se vztahuje.
6.1.2. Fakturu je zhotovitel oprávněn vystavit nejdříve následující den po dni uskutečnění zdanitelného plnění, jímž se pro účely této smlouvy rozumí řádná realizace konkrétní části díla definované v čl. 2 této smlouvy.
6.1.3. Podkladem pro vystavení faktury je podepsaný Akceptační protokol na základě realizovaného akceptačního řízení podle přílohy č. 1 této smlouvy.
6.1.4. Všechny faktury dle této smlouvy musí obsahovat název a registrační číslo projektu „Zvýšení kybernetické bezpečnosti města Slaný,“ č. projektu CZ.06.01.01/00/22_004/0000108.
6.1.5. Splatnost faktury činí 30 dnů ode dne jejího prokazatelného doručení na adresu sídla
objednatele.
6.1.6. Faktura bude mít náležitosti daňového dokladu dle platných právních předpisů (zákona č. 563/1991 Sb., o účetnictví, v platném znění a zákona č. 235/2004 Sb., o dani z přidané hodnoty, v platném znění).
6.1.7. Faktury musí obsahovat označení smlouvy, číslo účtu zhotovitele a všechny údaje uvedené v § 28 odst. 2 zákona č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů.
6.1.8. Součástí faktury bude specifikace dodaného plnění tak, aby byla v souladu s platnými účetními a daňovými předpisy, a to za účelem řádného vedení evidence majetku objednatele v souladu s těmito právními předpisy.
6.1.9. V případě, že faktura - daňový doklad nebude obsahovat stanovené náležitosti nebo v něm nebudou správně uvedené údaje, je objednatel oprávněn ji vrátit ve lhůtě splatnosti zpět zhotoviteli s uvedením chybějících náležitostí nebo nesprávných údajů. V takovém případě se přeruší běh lhůty splatnosti a nová lhůta splatnosti počne běžet doručením opravené faktury - daňového dokladu.
6.1.10. Po vzniku práva fakturovat je zhotovitel povinen vystavit a objednateli předat fakturu.
6.1.11. Cena bude zhotoviteli zaplacena bezhotovostní formou převodem na jeho bankovní účet. Faktura je považována za proplacenou okamžikem odepsání příslušné částky z účtu objednatele ve prospěch zhotovitele.
6.1.12. Xxxxxxxxxx souhlasí s tím, aby subjekty oprávněné dle zák. č. 320/2001 Sb., o finanční kontrole ve
veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů, provedly finanční kontrolu závazkového vztahu vyplývajícího ze smlouvy s tím, že se zhotovitel podrobí této kontrole, a bude spolupůsobit jako osoba povinná ve smyslu ust. § 2 písm. e) uvedeného zákona při výkonu finanční kontroly prováděné v souvislosti s úhradou služeb z veřejných výdajů.
6.1.13. Pro případ, že zhotovitel je, nebo se od data uzavření smlouvy do dne uskutečnění zdanitelného plnění stane na základě rozhodnutí správce daně „nespolehlivým plátcem“ ve smyslu ustanovení
§ 106a zákona č. 235/2004 Sb., o DPH, ve znění pozdějších předpisů, souhlasí zhotovitel s tím, že mu objednatel uhradí cenu plnění bez DPH a DPH v příslušné výši odvede za nespolehlivého plátce přímo příslušnému správci daně. V souvislosti s tímto ujednáním nebude zhotovitel vymáhat od objednatele část z ceny plnění rovnající se výši odvedeného DPH a souhlasí s tím, že tímto bude uhrazena část jeho pohledávky, kterou má vůči objednateli, a to ve výši rovnající se výši odvedené DPH.
6.1.14. Zhotovitel je povinen uchovávat veškerou dokumentaci související s realizací projektu (předmětu plnění této smlouvy) včetně účetních dokladů minimálně do konce roku 2040.
6.1.15. Zhotovitel je poskytovat požadované informace a dokumentaci související s realizací projektu (předmětu plnění této smlouvy) zaměstnancům nebo zmocněncům pověřených orgánů (CRR, MMR ČR, MF ČR, Evropské komise, Evropského účetního dvora, Nejvyššího kontrolního úřadu, příslušného orgánu finanční správy a dalších oprávněných orgánů státní správy) a je povinen vytvořit výše uvedeným osobám podmínky k provedení kontroly vztahující se k realizaci projektu (předmětu plnění této smlouvy) a poskytnout jim při provádění kontroly součinnost.
Čl. 7.Předání díla
7.1.1. Xxxxxxxxxx splní svoji povinnost zhotovit dílo a jeho jednotlivé části jeho řádným a včasným dokončením v souladu s podmínkami této smlouvy a předáním hotového díla a jeho částí objednateli.
7.1.2. Předání a převzetí díla je rozděleno do několika částí označených jako „milníky“ podle harmonogramu obsaženého v příloze č. 1 této smlouvy - Technické dokumentaci. Akceptace
díla jako celku je podmíněna dílčími akceptacemi jednotlivých milníků harmonogramu s výsledkem „Splněno“.
7.1.3. Specifické podmínky stanovené pro akceptační řízení jsou dále detailně rozpracovány v příloze č. 1 této smlouvy - Technické dokumentaci v kapitole s názvem Akceptační řízení.
7.1.4. Objednatel prohlašuje, že převezme pouze dokončené dílo a jeho části bez zjevných vad, nedodělků a podstatných vad bránících funkcionalitě předávaného díla a jeho částí. V opačném případě si objednatel vyhrazuje právo převzetí díla nebo i jen jeho jednotlivých částí odmítnout, bez nároku na navýšení ceny díla nebo ceny jednotlivých částí díla.
7.1.5. Předání a převzetí díla proběhne na základě porovnání skutečných vlastností díla dle specifikace díla uvedené v čl. 2. této smlouvy. Plnění bude potvrzeno podpisem akceptačního protokolu díla nebo jeho jednotlivých částí Objednatelem. Součástí akceptačního protokolu bude jednoznačná identifikace předávaného díla nebo jeho částí.
7.1.6. Zjistí-li objednatel nedostatky, nedodělky, či vady, oznámí to písemnou formou bez zbytečného odkladu zhotoviteli.
7.1.7. Místem předání díla je sídlo objednatele.
7.1.8. Za objednatele je oprávněn jednotlivé milníky dle harmonogramu díla, jednotlivé části díla a hotové dílo převzít a akceptačního protokol podepsat
7.1.9. Vlastnické právo k jednotlivým částem díla přechází na objednatele okamžikem předání jednotlivých částí díla objednateli. Práva z poskytnuté licence objednatel nabývá okamžikem převzetí části díla od zhotovitele.
Čl. 8.Záruka za dílo a podpora
8.1. Záruka na části díla jako funkční celky
8.1.1. Zhotovitel poskytuje záruku na jednotlivé části díla jako na funkční celky, které mají plnit požadavky na zvýšení kybernetické bezpečnosti objednatele stanovené v této smlouvě a jejích přílohách. Předmětem záruky je proto realizované plnění části díla jako celek, tedy včetně provedených konfiguračních prací a konkrétní formy implementace.
8.1.2. Zhotovitel poskytuje objednateli záruku v délce trvání 2 let. Jednotlivé části díla dle této smlouvy budou ke dni předání a převzetí objednatelem způsobilé k řádnému užití a budou mít vlastnosti stanovené touto smlouvou.
8.1.3. Zhotovitelem poskytovaná záruka se vztahuje na kompletní funkčnost jednotlivých částí díla, jakož i na jejich vlastnosti požadované objednatelem.
8.1.4. Záruční doba začíná běžet ode dne převzetí jednotlivé části díla objednatelem. Záruční doba se prodlužuje o dobu, po kterou měla část dílo vadu bránící jejímu řádnému užívání objednatelem, nebo po kterou bylo plnění mimo provoz z důvodu vady, na kterou se vztahuje záruka.
8.1.5. Veškeré zjištěné nedostatky, nedodělky a vady díla, které se vyskytnou v záruční době, je objednatel povinen bez zbytečného odkladu písemně oznámit zhotoviteli.
8.1.6. Vadou díla se pro účely této smlouvy rozumí rozpor mezi sjednanými podmínkami provedení díla, jeho parametry a skutečným stavem díla.
8.1.7. Objednatel má vůči zhotoviteli tato práva z odpovědnosti za vady:
• právo na bezplatné odstranění reklamovaných vad, a to bezprostředně po oznámení vady objednatelem, nejpozději ve lhůtě 15 dnů od oznámení vady objednatelem,
• právo na poskytnutí přiměřené slevy z ceny odpovídající rozsahu reklamovaných vad či nedodělků,
• právo na odstoupení od smlouvy, kdy vady či nedodělky jsou takového charakteru, že ztěžují či dokonce brání v užívání díla, nebo
• právo na zaplacení nákladů na odstranění vad v případě, kdy si objednatel vadu či nedodělek odstraní sám nebo použije třetí osoby k jejich odstranění.
8.1.8. Uplatněním nároků z odpovědnosti za vady není dotčeno právo na náhradu škody. Zhotovitel odpovídá objednateli za případnou škodu, která mu vznikne z titulu neodstranění vady díla zhotovitelem ve stanoveném termínu.
8.1.9. Záruka je poskytována v souladu s ustanovením § 2113 a násl. zákona č. 89/2012 Sb., občanského
zákoníku, v platném znění.
8.2.1. Na jednotlivá zařízení, která budou dodána jako součást částí díla, čí díla jako celku, požaduje objednatel záruku definovanou v příloze č. 1 této smlouvy specificky. Jedná se typicky o záruku a záruční servis výrobce daného zařízení a technologie, kterou je možné odebrat a dodat jako příslušenství.
8.2.2. Objednatel požaduje, aby taková záruka a záruční servis byly zajištěny v minimálním standardu požadovaném v příloze č. 1 této smlouvy, včetně parametrů pro tento typ služby uvedených.
8.3. Záruka na příslušenství
8.3.1. Součástí jednotlivých částí díla a v rámci nich dodaných technologií bude i příslušenství.
8.3.2. Specifikace příslušenství k jednotlivým zařízením je uvedena v příloze č. 1 této smlouvy, včetně požadované délky záruky na toto příslušenství.
8.3.3. Forma hlášení, doba pro odstranění vad a proces odstraňování vad příslušenství je stanoven totožně jako v článku 8.1 Záruka na části díla jako funkční celky.
8.4. Podpora výrobce zařízení a software
8.4.1. Objednatel požaduje, aby jako součást plnění byl poskytnut nárok objednateli na podporu výrobce zařízení a software v rozsahu a podobě tak, jak vždy u konkrétní technologie konkrétní části díla objednatel uvádí v příloze č. 1 této smlouvy a to vždy po stanovenou dobu.
Čl. 9.Licenční ujednání
9.1.1. Zhotovitel v rámci plnění předmětu této smlouvy vytvoří dílo podléhající ochraně podle zákona č. 121/2000 Sb., o právu autorském (autorský zákon), a zákona č. 89/2012 Sb., občanského zákoníku, a tak poskytuje objednateli licenci - tj. oprávnění k výkonu práva užívat jím vytvořené autorské dílo.
9.2. Zhotovitel poskytuje licenci jako:
> nevýhradní licenci k veškerým známým způsobům užití takového díla, zejména,
nikoliv však výlučně k účelu, ke kterému bylo takové dílo zhotovitelem vytvořeno v
souladu se smlouvou a to v rozsahu minimálně nezbytném pro řádné užívání díla
objednatelem,
> licenci neomezenou územím výkonu působnosti objednatele,
> licenci co do rozsahu oprávněného počtu uživatelů k užívání informačního systému a jeho jednotlivých oblastí neomezenou;
> neomezenou způsobem nebo rozsahem užití;
> licenci udělenou na dobu určitou, a to po celou dobu trvání majetkových práv k dílu;
> licenci, kterou není objednatel povinen využít.
9.2.1. Povinnost týkající se licence platí pro zhotovitele i v případě zhotovení části díla poddodavatelem.
9.2.2. Licence je poskytnutá v maximálním rozsahu povoleném platnými právními předpisy.
9.2.3. Zhotovitel je povinen zajistit, aby výsledkem jeho plnění nebo jakékoliv jeho části nebyla porušena práva třetích osob. Pro případ, že užíváním předmětu plnění nebo jeho dílčí části nebo prostou existencí předmětu plnění nebo jeho dílčí části budou v důsledku porušení povinností zhotovitele dotčena práva třetích osob, nese zhotovitel vedle odpovědnosti za takovéto vady plnění i odpovědnost za veškeré škody, které tím objednateli vzniknou.
9.2.4. Smluvní strany sjednaly, že odměna za poskytování a užívání licence poskytnuté podle této smlouvy je již obsažena v ceně díla podle čl. 5. této smlouvy.
Čl. 10. Odpovědnost za škodu
10.1.1. Smluvní strany nesou odpovědnost za způsobenou škodu v rámci platných právních předpisů a této smlouvy.
10.1.2. Smluvní strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod.
Čl. 11. Podmínky pro vzdálený přístup do prostředí objednatele
11.1.1. Vzdálený přístup je poskytován výhradně zhotoviteli a nelze ho dále převádět na jinou osobu nebo osoby. Porušení této povinnosti bude považováno za podstatné porušení této smlouvy.
11.1.2. Zhotovitel se zavazuje, že vzdálený přístup k informačním systémům a aplikacím v prostředí počítačové sítě objednatele na základě této smlouvy bude využívat jen za účelem dodávky těchto informačních systémů a aplikací a poskytování služeb uvedených v této smlouvě a samostatné smlouvě o technické podpoře a rozvoji k předmětnému informačnímu systému. Porušení této povinnosti bude považováno za podstatné porušení smlouvy.
11.1.3. Zhotovitel se zavazuje postupovat při realizaci svých práv a povinností vyplývajících z této smlouvy tak, aby v počítačové síti objednatele nezpůsobil poškození, ztrátu nebo odcizení dat. Pokud by se tak stalo, zavazuje se na vlastní náklady takto vzniklé závady odstranit v co nejkratším termínu, nejpozději však do 5 pracovních dnů.
Čl. 12. Sankční ujednání
12.1.1. Dojde-li k prodlení s úhradou daňového dokladu - faktury, je zhotovitel oprávněn účtovat objednateli úrok z prodlení ve výši 0,05 % z dlužné částky za každý započatý den prodlení po termínu splatnosti až do doby zaplacení dlužné částky.
12.1.2. Nesplní-li zhotovitel svůj závazek vycházející z každého z dílčích termínů milníků harmonogramu, který je součástí přílohy č. 1 této smlouvy - Technické dokumentace, je oprávněn objednatel požadovat po zhotoviteli zaplacení jednorázové smluvní pokuty ve výši 5.000,- Kč za nedodržení termínu plnění každého z těchto milníků.
12.1.3. Nesplní-li zhotovitel svůj závazek v rozsahu a čase plnění sjednaném touto smlouvou, je oprávněn objednatel požadovat po zhotoviteli nad rámec nedodržení plnění dle milníků harmonogramu dle bodu 12.1.2 této smlouvy zaplacení jednorázové smluvní pokuty ve výši 10.000,- Kč za nedodržení termínu plnění pro každou část díla dle bodu 3.3.1 této smlouvy a dále smluvní pokuty ve výši 0,2
% ze sjednané ceny plnění každé části díla dle této smlouvy za každý započatý den prodlení, až do řádného dokončení a předání každé celé části díly a zhotovitel je povinen takto požadovanou smluvní pokutu zaplatit.
12.1.4. Nesplní-li zhotovitel v dohodnutém termínu svůj závazek odstranit vady a nedodělky vytknuté při akceptačním řízení nebo v průběhu záruční doby, je objednatel oprávněn požadovat na zhotoviteli zaplacení smluvní pokuty ve výši 0,05 % ze sjednané ceny části díla jako celku za každý započatý den prodlení až do jejich úplného odstranění a zhotovitel se zavazuje takto požadovanou smluvní pokutu objednateli zaplatit.
12.1.5. V případě prodlení zhotovitele s odstraněním nahlášené závady v rámci záruky na zařízení dle článku 8.2 této smlouvy je objednatel oprávněn vyúčtovat smluvní pokutu ve výši 500,- Kč za každou, i započatou, hodinu prodlení prodávajícího s odstraněním nahlášené závady, max. však do výše 100 % pořizovací ceny daného zařízení.
této smlouvy se stanovuje smluvní pokuta ve výši 200,- za každý celý kalendářní týden prodlení.
12.1.7. Nesplní-li zhotovitel řádně podmínky projektového řízení dle přílohy č. 1 této smlouvy - Technické dokumentace zejména v případě zápisů ze schůzek a pracovních jednání, v případě účasti odpovědné osoby zhotovitele na kontrolních dnech a v případě pravidelného reportingu, je objednatel oprávněn požadovat po zhotoviteli smluvní pokutu ve výši 500,- Kč za každý případ takového pochybení a to i opakovaně.
12.1.8. Pokud zhotovitel nesplní svůj závazek vyplývající ze vzdáleného přístupu na základě této smlouvy, zejména v oblasti odstranění vzniklých závad v souvislosti s jeho vzdáleným přístupem do počítačové sítě objednatele, zavazuje se uhradit objednateli nutné náklady spojené s uvedením počítačové sítě do původního stavu a navíc se zavazuje zaplatit smluvní pokutu ve výši 10.000,- Kč za každý zjištěný a prokázaný případ porušení povinnosti spojené se vzdáleným přístupem do počítačové sítě objednatele.
12.1.9. V případě realizace předmětu plnění této smlouvy projektovým týmem zhotovitele v jiném složení, než které je uvedeno v článku 4.3.2 této smlouvy, je objednatel oprávněn požadovat po zhotoviteli zaplacení smluvní pokuty ve výši 20.000,- Kč za každý zjištěný případ.
12.1.10. Zaplacením smluvní pokuty není dotčeno právo poškozené strany na náhradu vzniklé škody. Výši smluvních pokut považují obě smluvní strany shodně za přiměřené.
12.1.11. Základem pro výpočet smluvní pokuty je na základě dohody smluvních stran cena v Kč včetně DPH.
12.1.12. Smluvní pokuty a úroky z prodlení podle tohoto článku jsou splatné do 30 dnů ode dne doručení jejich vyúčtování.
Čl. 13. Ukončení smlouvy
13.1.1. Tuto smlouvu lze ukončit dohodou smluvních stran. Dohoda o ukončení smluvního vztahu musí být písemná, jinak je neplatná.
13.1.2. Od této smlouvy lze odstoupit v případě podstatného porušení povinností jednou smluvní stranou, jestliže je takové porušení povinnosti označeno za podstatné touto smlouvou nebo zákonem. Odstoupení od smlouvy je účinné dnem doručení písemného oznámení o odstoupení
druhé smluvní straně.
13.1.3. Smluvní strany se dohodly, že za podstatné porušení této smlouvy ze strany zhotovitele považují:
• dodání nebo zhotovení vadného předmětu plnění, resp. jednotlivé části díla,
• prodlení s plněním závazku vyplývajícího z této smlouvy po dobu delší než třicet (30) dní a nezjednání nápravy ani do patnácti (15) dní od doručení oznámení objednatele o prodlení s plněním závazku,
• další dílčí konkretizovaná porušení označená za podstatná uvedená v příloze č. 1 této smlouvy
- Technické dokumentaci.
13.1.4. Smluvní strany se dohodly, že za podstatné porušení této smlouvy ze strany objednatele považují:
• prodlení se zaplacením vyfakturované ceny díla (jeho části) delší než třicet (30) kalendářních dnů.
13.1.5. Porušení jakékoliv jiné povinnosti objednatele nebo zhotovitele, vyplývající z této smlouvy, je třeba zhojit v dodatečné přiměřené lhůtě k tomu poskytnuté.
13.1.6. Odstoupením od této smlouvy nejsou dotčena ustanovení týkající se smluvních pokut a úroků z prodlení a stejně tak práva a povinnosti smluvních stran vzniklá do okamžiku účinnosti odstoupení od smlouvy.
Čl. 14. Závěrečná ustanovení
14.1.1. Zhotovitel prohlašuje, že je seznámen se skutečností, že Město Slaný je jako územní samosprávný celek povinno uveřejňovat uzavřené smlouvy v registru smluv zřízeného dle zákona č. 340/2015 Sb., o zvláštních podmínkách účinnosti některých smluv, uveřejňování těchto smluv a o registru smluv (zákon o registru smluv), v platném znění (dále jen „zákon o registru smluv“).“
14.1.2. Zhotovitel dále prohlašuje, že je seznámen se skutečností, že Město Slaný je jako územní samosprávný celek povinno poskytovat informace vztahující se k jeho působnosti podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, v platném znění (dále jen „zákon o svobodném přístupu k informacím“)“
14.1.3. Smluvní strany dále prohlašují, že pokud některé skutečnosti uvedené v této smlouvě považují za své obchodní tajemství ve smyslu § 504 zákona č. 89/2012 Sb., občanský zákoník, v platném znění, nepodléhající uveřejnění v registru smluv dle zákona o registru smluv či zpřístupnění dle zákona o svobodném přístupu k informacím, sdělily je písemně druhé smluvní straně před podpisem této smlouvy.“
14.1.4. Smluvní strany sjednávají, že pro případ, že tato smlouva podléhá uveřejnění v registru smluv dle zákona o registru smluv, odešle tuto smlouvu správci registru smluv k uveřejnění město Slaný, a to bez zbytečného odkladu, nejpozději však do 30 dnů od uzavření této smlouvy.
14.1.5. Vztahuje-li se na tuto smlouvu povinnost uveřejnění prostřednictvím registru smluv dle zákona o registru smluv, nabývá tato smlouva účinnosti dnem jejího uveřejnění prostřednictvím registru smluv, není-li v této smlouvě sjednán pozdější den účinnosti
14.1.6. Tato smlouva je vyhotovena ve čtyřech stejnopisech, které mají platnost originálu a z nichž zhotovitel obdrží jeden stejnopis a objednatel tři stejnopisy.
14.1.7. Obě smluvní strany prohlašují, že tato smlouva byla sepsána na základě jejich pravé a svobodné
vůle, nikoliv v tísni nebo za jinak nevýhodných podmínek. Její text si přečetly a s jeho obsahem souhlasí, což stvrzují svými vlastnoručními podpisy.
14.1.8. Zhotovitel se zavazuje dodržovat všechna ustanovení vyplývající z Nařízení Evropského parlamentu a Rady EU 679/2016 o Ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, dále jen „GDPR“ a ze zákona č. 101/2000 Sb., o ochraně osobních údajů.
14.1.9. Uzavření smlouvy schválila rada města dne 21. 02. 2024 pod číslem usnesení
06/37/2024/RM.
14.1.10. Práva a povinnosti smluvních stran v této smlouvě výslovně neupravené a z ní
vyplývající nebo s ní související se řídí zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů a zákonem č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů.
14.1.11. V případě rozporu technické dokumentace objednatele (zadavatele) a technické
nabídky (technického řešení) zhotovitele platí, není-li uvedeno v této smlouvě jinak, technická dokumentace objednatele tj. příloha č. 1 - Technická dokumentace.
14.1.12. Pokud jakýkoli závazek dle smlouvy nebo kterékoli ustanovení smlouvy je nebo se
stane neplatným či nevymahatelným, nebude to mít vliv na platnost a vymahatelnost ostatních závazků a ustanovení dle smlouvy a smluvní strany se zavazují takovýto neplatný nebo nevymahatelný závazek či ustanovení nahradit novým, platným a vymahatelným závazkem, nebo ustanovením, jehož předmět bude nejlépe odpovídat předmětu a ekonomickému účelu původního závazku či ustanovení.
14.1.13. V případě, že po podpisu této smlouvy na zhotovitele anebo jeho poddodavatele
budou dopadat mezinárodní sankce podle zákona upravujícího provádění mezinárodních sankcí č. 69/2006 Sb. ve smyslu zákona č. 240/2022 Sb. účinného od 1. 9. 2022, je povinen to zhotovitel písemně oznámit objednateli. V případě, že oznámení neprovede a objednatel zjistí, že na zhotovitele anebo jeho poddodavatele mezinárodní sankce dopadají, vyzve dodavatele k vysvětlení nebo nápravě formou vyjmutí osoby ze sankčního seznamu. V případě že náprava není možná, odstoupí objednatel od této smlouvy, přičemž účinnost odstoupení nastává doručením odstoupení zhotoviteli.
14.1.14. Vzhledem k charakteru objednatele zhotovitel výslovně souhlasí se zveřejněním smluvních podmínek obsažených v této smlouvě v rozsahu a za podmínek vyplývajících z příslušných právních předpisů. A to včetně uveřejnění kompletního znění smlouvy na základě zákonné povinnosti objednatele jako veřejnoprávního subjektu.
14.1.15. Tato smlouva je vyhotovena v jediném elektronickém vyhotovení. Každá ze smluvních stran obdrží toto elektronické vyhotovení.
14.1.16. Tuto smlouvu je možno platně měnit pouze na základě dohody smluvních stran, formou písemných a vzestupně číslovaných dodatků, podepsaných oběma smluvními stranami.
14.1.17. Tato smlouva nabývá platnosti dnem podpisu druhou ze smluvních stran a účinnosti uveřejněním v registru smluv. Uveřejnění v registru smluv zajistí objednatel.
14.2. Nedílnou součástí této smlouvy jsou její přílohy:
• příloha č.1 Technická dokumentace objednatele
• příloha č.2 Technická dokumentace zhotovitele (technické řešení z nabídky účastníka)
• příloha č. 3 - Cenová tabulka obsahující skladbu nabídkové ceny z nabídky zhotovitele
14.2.1. Smluvní strany prohlašují, že tuto smlouvu před jejím podpisem přečetly, zcela rozumí jejímu obsahu a s celým jejím obsahem souhlasí. Dále prohlašují, že tato smlouva vyjadřuje jejich pravou a svobodnou vůli. Na důkaz toho připojují vlastnoruční podpisy svých oprávněných zástupců.
V ............. dne.................
Za zhotovitele
Ve Slaném dne ..................
Za objednatele
Příloha č. 1 Zadávací dokumentace - Technická dokumentace zadavatele Příloha č. 1 Smlouvy o dílo - Technická dokumentace objednatele
1 Technická dokumentace zadavatele (objednatele)
Zadavatel požaduje dodávku jednotlivých komponent dle této technické dokumentace včetně příslušenství v níže uvedené minimální specifikaci.
Musí se jednat o zařízení nová, nepoužitá, nerepasovaná a určená pro prodej v České republice. Součástí dodávky níže uvedených technologií budou i dále uvedené služby.
Součástí dodávky bude dále dodávka dokumentace a nezbytné zaškolení administrátorů v prostředí kupujícího k běžnému provozu a ovládání dodaných technologií včetně specifik a konfigurace provedené v prostředí kupujícího.
Nabízené zboží musí být standardní, běžně dostupné a určené k produkčnímu použití. Není dovoleno použití beta-verzí, kódu s custom úpravami či neoficiálních verzí.
Veškeré nabízené zboží musí být pokryto oficiálním supportem, přičemž požadavek na provedení bezplatného servisního zásahu musí být možné kdykoliv vznést přímo na výrobce zařízení.
Veškeré deklarované funkce a technické parametry nabízeného zboží musí být dostupné nejpozději dnem podání nabídky.
Deklarované funkce a technické parametry nabízeného zboží musí být ověřitelné prostřednictvím oficiálních datasheetů, release notes či manuálů vydaných výrobcem.
Užité pojmy níže:
• NBD - další pracovní den, tzn. například realizace opravy zařízení nejpozději další pracovní den od nahlášení
• x BD - x pracovních dnů, tzn. například realizace opravy zařízení nejpozději poslední pracovní den dané lhůty od nahlášení
• on-site - realizace například opravy zařízení v místě dodávky
Z důvodu kompatibility se stávající infrastrukturou a proškolených správců počítačové sítě, mohou být v zadávací dokumentaci uvedeny konkrétní značky výrobků, nebo určitý výrobce. Tyto důvody jsou vždy uvedeny v konkrétní části specifikace tam, kde dochází k uvedení konkrétního produktového názvu. V souladu s § 89 odst. 6 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, zadavatel připouští možnost dodávky rovnocenného řešení, které však musí zajistit celý komplex služeb, který je kompatibilitou vyžadován, tedy komplexní řešení agendových informačních systémů nad touto platformou vybudovaných a provozovaných, které předmětnou infrastrukturu užívají a slouží k výkonu veřejné správy zadavatele.
Propojení zařízení - SFP moduly a kabely
Všechny dodané technologie musejí být v rámci dodávky propojeny odpovídajícím způsobem a technologií, tedy zejména pro všechny síťové karty jednotlivých zařízení musejí být dodány i SFP a obdobné moduly a kabely do serverovny kupujícího, které takové propojení v kvalitě požadované u každého ze zařízení umožní. V případě 10Gbit karet musí být dodány SFP prvky a kabely umožňující využití této maximální rychlosti karty, v případě jiných rychlostí toto pravidlo musí být dodrženo stejně.
Obsah
1 TECHNICKÁ DOKUMENTACE ZADAVATELE (OBJEDNATELE) 1
2 POPIS STÁVAJÍCÍHO PROSTŘEDÍ A POŽADAVKY NA JEHO ÚPRAVU V SOUVISLOSTI S DODÁVKOU NOVÝCH ZAŘÍZENÍ A LICENCÍ 3
2.1 Architektura stávajícího prostředí ve vazbě na realizované plnění 3
2.2 Popis plnění dle této technické dokumentace 4
3 POŽADAVKY NA TECHNICKÉ ŘEŠENÍ 5
4 OBECNÉ POŽADAVKY NA JEDNOTLIVÉ ČÁSTI DÍLA 6
5 FUNKČNÍ POŽADAVKY NA JEDNOTLIVÉ ČÁSTIDÍLA 8
5.1 Oblast Zvýšení zabezpečení komunikační sítě 8
5.2 Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jehouživatelů a administrátorů 14
5.3 OBLAST ZAVEDENÍ NÁSTROJE PRO OVĚŘOVÁNÍ IDENTIT UŽIVATELŮ A SPRÁVCŮ IS 16
5.4 OBLAST VYTVOŘENÍ ZÁLOŽNÍ LOKALITY PRO ZAJIŠTĚNÍ KONTINUITY PROVOZU IS 18
5.5 Oblast bezpečnost technologických místností 22
5.6 Oblast sdílené systémové prostředky 26
6 POŽADAVKY NA IMPLEMENTACI JEDNOTLIVÝCHČÁSTÍ DÍLA 27
6.1 Obecné požadavky na instalační a implementační služby 27
6.2 Podrobný popis instalační a implementačních služeb 27
7 DOKUMENTACE K DODÁVANÉMU ŘEŠENÍ 29
8 ZAŠKOLENÍ IT ADMINISTRÁTORŮ 30
10.1 Dílčí akceptační řízení 30
10.2 Souhrnné akceptační řízení - akceptace 31
10.3 Opakované akceptační řízení 31
12 PROJEKTOVÉ ŘÍZENÍ 32
2 Popis stávajícího prostředí a požadavky na jeho úpravu v souvislosti s dodávkou nových zařízení a licencí
2.1 Architektura stávajícího prostředí ve vazbě na realizované plnění
Zadavatel provozuje jedno datová centrum, ze kterého poskytuje služby uživatelům prostřednictvím lokální sítě v lokalitě „Velvarská“ a prostřednictvím 100 Mbit optického spoje též uživatelům v lokalitě
„Masarykovo náměstí“.
Stávající vybavení datového centra Velvarská | |
Název komponenty | Typ / model |
Hyper-V servery | 2x DELL PowerEdge R740, HPE Proliant DL20 Gen10 |
Virtuální servery | GIS, Active Directory, VERA, SQL, BACKUP |
Soubor NAS | Synology DS-216, DS-218, DS-240, QNAP-TSX73 |
Firewall | Sophos SG230 |
UPS | XXXXX 5PX 2200 + EBM |
switche | 2x DELL N3024, 4x Cisco SF300 |
Stávající vybavení lokality Masarykovo náměstí | |
Název komponenty | Typ / model |
switche | 7x TP-LINK (SG2424P a T1600G-28S, 7x Cisco SF300- 24, 2x 3COM Baseline 2226 Plus |
UPS | TENDA TEF1110P-8-102W |
2.2 Popis plnění dle této technické dokumentace
Předmětem plnění této technické dokumentace je dodávka a implementace opatření v oblasti kybernetické bezpečnosti pro město Slaný, a to včetně nedílně souvisejících požadavků typu dodání licencí, zaškolení a zpracování dokumentace. Plánovaná IT architekturu MěÚ Slaný po zavedení technických opatření je schematicky znázorněna níže. Komponenty nově pořizované v rámci navržených opatření jsou vyznačeny oranžově.
Objednatel požaduje dodávku následujících zařízení a SW licencí:
Oblast kybernetické bezpečnosti / část díla | Typ | Název položky |
Oblast Zvýšení zabezpečení komunikační sítě | SW | SW pro řízení přístupu do sítě 802.1x |
HW | Páteřní přepínače s příslušenstvím Přístupové přepínače s příslušenstvím Přístupové bod WiFi s příslušenstvím Next-generation Firewally s příslušenstvím | |
Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů | SW | SW pro komplexní správu logů |
HW | Server prologování Úložiště pro logování | |
Oblast Zavedení nástroje pro ověřování identit uživatelů a správců IS | SW | SW pro autentizaci uživatelů pomocí identifikačních karet |
HW | USB čtečky Hybridní karty | |
Oblast Vytvoření záložní lokality pro zajištění kontinuity provozu IS | SW | Licence SW pro ukládání záloh do zabezpečené úložiště |
Licence SW pro replikaci virtuálních serverů do záložní lokality Licence oper. systému včetně hypervizoru pro replikované virtuální servery Klientské licence operačních systémů | ||
HW | Zabezpečené úložiště pro záložní lokalitu s příslušenstvím Server - produkční pro redundantní prostředí (druhá lokalita) UPS s příslušenstvím | |
Oblast Bezpečnost technologických místností | SW | Systém pro řízení přístupových terminálů Centrální monitorovací systém pro RMS |
HW | Přístupový terminál s biometrickým ověřováním, včetně elektronického zámku s příslušenstvím Bezpečnostní IP kamera s příslušenstvím Systém pro správu kamer a nahrávání Rack Management Systém s příslušenstvím Zhášecí systém s příslušenstvím | |
Oblast Sdílené systémové prostředky | SW | SW pro serverovou virtualizaci pro server určený k rozšíření stávajících serverových systémových prostředků |
HW | Server určený k rozšíření stávajících serverových systémových prostředků | |
a související příslušenství |
3 Požadavky na technické řešení
Hlavním cílem je zvýšení kybernetické bezpečnosti a naplnění požadavků daných zákonem číslo 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), tj. v souhrnu zajištění a zvýšení bezpečnosti informačních a komunikačních systémů objednatele.
Pokud zhotovitel vyžaduje využití konkrétních softwarových produktů a jím zvolený přístup k realizaci zadání je na takových konkrétních řešeních závislý, musí jejich pořízení zahrnout ve své nabídce v potřebném rozsahu a v rámci nabídnuté ceny.
Pokud zhotovitel nabízené řešení vyžaduje komponenty nebo služby neobsažené v požadavcích zadání, zahrne zhotovitel do své ceny všechny náklady na jejich pořízení, instalaci, konfiguraci a další služby potřebné pro uvedení do provozu.
Zadavatel z důvodů jednotné správy IT infrastruktury a minimalizace provozních nákladů vyžaduje využití stávajících prostředků a používaných technologií. V případě, že zhotovitel vyžaduje ve svém řešení stejné nebo podobné funkce, jaké poskytují stávající prostředky a technologie, je povinen využít nebo vhodným způsobem rozšířit stávající prostředky.
Veškeré komponenty, které zhotovitel dodává v rámci předmětu plnění, musí splňovat následující podmínky: Jedná se o nové a nerepasované komponenty. Byly oprávněně uvedeny na trh v EU nebo pochází z autorizovaného prodejního kanálu výrobce.
Mají plnou záruku od výrobce.
Mohou být podporovány výrobcem a mohou být součástí servisního a podpůrného programu výrobce.
Obsahují všechny nezbytné licence na používání příslušného softwaru. Jsou v
databázi výrobce uvedeny jako prodaná kupujícímu - zadavateli. Zadavatel si vyhrazuje právo na zjištění původu výrobků při jejich předávání, a to dle příslušných sériových čísel a právo podpisu akceptačního protokolu, osvědčujícího převzetí dodávky, až po ověření původu výrobku.
4 Obecné požadavky na jednotlivé části díla
Oblast Zvýšení zabezpečení komunikační sítě provedena výměna části stávajících přístupových přepínačů pro možnost plošné implementace technologie 802.1X Budou dodány a implementovány přístupové body WiFi s centrální správou.
Bude
Architektura WiFi bude založena na řešení s centrální správou prováděnou kontrolérem (řadičem), který bude součástí firmwaru síťových prvků a zajistí automatické rozložení zátěže klientů, roaming mezi spravovanými přístupovými body a automatickou detekci a reakci na rušení cizím signálem.
V celé LAN bude implementováno řízení přístupů k mediu (síti) na základě rolí a členství v uživatelské skupině adresářové služby Active Directory založené na standardu IEEE 802.1X. Stejný standard řízení přístupů bude implementován i pro zařízení bez podpory Active Directory, pouze pro autentizaci bude využit jiný, zařízením podporovaný, způsob - certifikát apod. Bude implementován vysoce dostupný síťový / perimetrový firewall pro provádění hloubkové kontroly komunikace mezi interními subjekty (uživatel, zaměstnanec, server), ověřování validity komunikačních a aplikačních protokolů, filtrací nežádoucích adres a antimalwarovou kontrolou. Ochrání tak interní systémy před zavlečením škodlivého kódu z prostředí internetu či jiných veřejných/externích sítí. Bude poskytovat také prostředky VPN pro vzdálený přístup uživatelů a ochranu aplikací publikovaných z interní sítě do internetu.
Ověřování přístupu do LAN bude realizováno protokolem 802.1X vůči adresářové službě prostřednictvím protokolů radius a P/EAP. Neověřená zařízení nezískají přístup do sítě vůbec nebo jim bude zpřístupněna pouze VLAN s omezeným přístupem (např. Intranet). Spolu s ověřováním (autentizací) bude implementována i autorizace, tedy dynamické zařazení klientského zařízení nebo uživatele do určené VLAN. Součástí dodávky bude vzorová konfigurace 802.1x na všech typech koncových zařízení Objednatele. Ověřování přístupu do WiFi sítě bude realizováno na stejném principu jako LAN (tj. protokol 802.1X + radius). Wifi bude nabízet více SSID (např. zaměstnanci, hosté, veřejnost), které budou obsluhovány samostatnými VLAN a budou napojeny na radius servery. Zaměstnanci budou prostřednictvím radius serveru ověřováni v adresářové službě. Zabezpečení vnitřních sítí (BSSID) bude provedeno dle 802.1i, tedy
- WPA2/3 s AES šifrováním a konfigurováno shodně pro obě frekvenční pásma. Výjimkou bude síť určená výhradně pro hosty popř. veřejnost, kde bude realizován tzv. captive portál zajišťující webovou autentizaci hostů pomocí přidělených účtů nebo za pomoci před-generovaných číselných kupónů. Preferován bude captive portál firewallu s tzv. lobby přístupem pro správu a generování účtů/kupónů ne- technickou osobou. Pro hosty a veřejnost budou zřízeny samostatná VLAN (, které bude komunikačně odděleny od vnitřních sítí organizace. Tyto VLAN bude mít své L3 rozhraní až na úrovní stávajícího firewallu tak, aby bylo možné komunikaci podrobit kontrole za pomoci UTM nástrojů (min. AV, IPS, kategorizace obsahu) a mohl jí být přiřazen samostatný profil odlišný od profilů pro zaměstnance. Řízení provozu v LAN bude realizováno vytvořením VLAN (802.1Q), segmentací sítě s přepínáním provozu mezi VLAN na úrovni centrálního přepínače s nastavitelnými ACL. Pro řízení provozu na úrovni kvality služeb bude k dispozici technologie QoS (Quality of Services). Pro zajištění vysoké dostupnosti služeb budou klíčové aktivní prvky propojeny duálními trasami s automatickým rozkládáním zátěže a převzetím služeb v případě výpadku jedné trasy.
Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů Bude
implementován nástroj pro správu logů (tzv. log management). Nástroj bude automatizovaným způsobem sbírat, normalizovat a spravovat logy a data síťových toků KS bezpečnostní a provozní povahy napříč KS a IS. Uložené logy bude možné snadno prohledávat či filtrovat na základě multikriteriálních dotazů napříč zdroji logů.
Zavedený nástroj bude obsahovat notifikační systém, kdy notifikace bude možné navázat na výskyt provozní či bezpečnostní události. Součástí bude pořízení nezbytných systémových prostředků, které budou dedikovány pouze pro provoz nástrojů tohoto opatření.
Oblast Zavedení nástroje pro ověřování identit uživatelů a správců IS Bude implementován nástroj autentizace uživatelů s využitím více faktorové (víceúrovňové) autentizace Ověřování uživatele při přihlašování ke koncovému zařízení (resp. jeho operačnímu systému) bude prováděno pomocí identifikačních karet typu smart card, které budou sloužit jako bezpečné úložiště uživatelských certifikátů, kterými bude ověřována identita uživatele.
Autentizační prostředky (karty smart card) budou certifikovány jako kvalifikovaný prostředek pro vytvoření a používání kvalifikovaného elektronického podpisu při uložení příslušných uživatelských certifikátů vydávaných veřejnými certifikačními autoritami. Autentizační prostředky budou vedle kontaktní části (smart card) obsahovat i bezkontaktní část, která bude využívána pro autentizaci uživatelů v docházkovém/přístupovém systému, popřípadě dalších systémech založených na stejné technologii.
Součástí nástroje bude komplexní nástroj pro evidenci a řízení celého životního cyklu karet a uložených certifikátů, včetně jednoduché automatické obnovy certifikátu uživatelem pomocí grafického průvodce před vypršením platnosti certifikátu. Systém bude umožnovat jednoduchou správu identifikačních prostředků tak, aby mohla být prováděna zaškoleným uživatelem - např. personalistou, a to včetně prvotního vydání karty a certifikátu uživateli.
Oblast Vytvoření záložní lokality pro zajištění kontinuity provozu IS Dojede k vytvoření záložní lokality pro zajištění kontinuity provozu IS Bude implementován redundantní server s dostatečným výkonem a interní diskovou kapacitou pro provoz IS organizace v případě výpadu primárních systémů/prostředků. Napájení serveru bude zálohováno UPS.
Součástí serveru budou nezbytné licence operačních systémů. Server
bude umístěn společně se zabezpečeným úložištěm, aby bylo možné v případě ztráty primárních systémů
obnovit IS ze zabezpečených záloh a zajistit poskytování služeb IS. Bude
dodáno a implementováno bezpečné datové úložiště typu „garantované úložiště“ či „datový trezor“ (déle systém), které zajistí po určenou dobu (tzv. retenční lhůtu) neměnnost (tj. i nesmazatelnost) uložených dat.
Zabezpečené úložiště bude disponovat vlastní správou uživatelů nezávislou na ostatních systémech (Active Directory apod.), jeho operační systém odlišný od majoritně používaných operačních systémů v organizaci (Windows server a desktop) a i jeho souborový systém odlišný od majoritně používaných souborových systémů v organizaci. Bude obsahovat systém retenčních politiky, které neumožňují po nastavenou dobu změnit či odstranit uložená data.
Zabezpečené úložiště bude mít nastavenu dostatečnou retenční lhůtu ukládaných dat (min. jednotky dnů), aby v případě úspěšného kybernetického útoku měli správci systémů dostatek času útok zaznamenat a reagovat na něj a nedošlo k přepsání uložených dat běžným provozem (uložením další (potenciálně vadné) zálohy).
Zabezpečené úložiště bude integrováno se zálohovacím systém pro automatické ukládání provozních
záloh a uvolňování úložné kapacity při vypršení retenční lhůty uložených dat.
Oblast Bezpečnost technologických místností
Přístup do obou datových center a prostor s důležitými aktivními prvky (přepínači) bude zabezpečen implementací přístupového systému s ověřováním osob na bází biometrie a identifikačního média (karta), přístupových terminálů a elektronických zámků s logováním přístupů. Bude implementován systému Rack Monitoring http, tedy systému monitoringu prostředí a přístupů do hlavních datových rozvaděčů s napojením na centrální konzolu a hlášením událostí. Konzola dále zajistí okamžitý i historický přehled o funkčnosti systémů (ping, vytížení/kapacita, elektrický kontakt atd.) a jejich provozních parametrech. V obou datových centrech bude implementován zhášecí systém datových rozvaděčů (racků) pro automatickou detekci a likvidaci požáru. V obou datových centrech bude implementován kamerový systém s ukládáním záznamů pro monitoring činností osob a stavu technologií v datovém centru
Oblast Sdílené systémové prostředky Pro provoz nově implementovaných systémů (řízení sítě IEEE 802.1X, IDM, autentizace uživatelů
kartami, přístupový systém, centrální konzola apod.) bude dodán server včetně licencí pro virtualizaci a
operační systémy.
5 Funkční požadavky na jednotlivé části díla
V této části jsou uvedeny povinné parametry prvků realizovaného řešení pro plnění díla.
V případě, že by zadávací podmínky obsahovaly požadavky nebo odkazy na určité dodavatele nebo výrobky, nebo patenty na vynálezy, užitné vzory, průmyslové vzory, ochranné známky nebo označení původu, které by vedlo ke zvýhodnění určitých dodavatelů nebo určitých výrobků, zadavatel v takových případech výslovně umožňuje pro plnění VZ použití i jiných, kvalitativně a technicky rovnocenných řešení. Zadavatel v některých částech této specifikace označuje konkrétními názvy zařízení, software a technologie, které v současné době využívá, a pro které požaduje s nově pořizovanými zařízeními plnou kompatibilitu, a to z důvodu ochrany předchozích investic a využitelnosti těchto zařízení. Jedná se tedy o konkrétní označení stávajících zadavatelem využívaných zařízení, se kterými požaduje kompatibilitu (nikoliv o označení výrobků, které mají být předmětem plnění).
5.1 Oblast Zvýšení zabezpečení komunikační sítě
2x Páteřní přepínač s příslušenstvím
Parametr | Popis parametru |
Provedení | L2/L3 přepínač v rackovém provedení, 1U |
Porty | min. 48x 1 GbE + 4x 1/10 Gb SFP+ a vyhrazený 1 Gb port pro správu (out-of-band management) |
Propustnost | neblokovaná architektura, přepínání/směrování min. 176 Gbps |
Agregace portů | podpora LACP, min. 30 skupin, podpora statických a dynamických skupin |
Směrování | statické a dynamické routování včetně VLAN, min. OSPF a RIPv2, podpora IPv4 a IPv6, min. 1000 statických routovacích záznamů pro každou verzi IP |
Řízení provozu | víceúrovňový QoS, klasifikace provozu min na L2 a L3 včetně DSCP hodnot, podpora standardu 802.1p, prioritizace a limitace na úrovni portu i VLAN |
VLAN | VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN na základě 802.1X ověření, podpora QinQ a VXLAN, podpora Private VLAN (PVLAN), min. 2000 aktivních VLAN, podpora MVRP pro automatické vytváření a přiřazovaní VLAN |
Plná podpora IEEE 802.1X | |
Dualstack | plný IPv4 a IPv6 dualstack včetně směrování a QoS |
MAC, ARP | podpora min. 16 000 MAC adres a min. 8000 ARP (IPv4) a 8000 ND (IPv6) záznamů |
Rozšířené stohování | pokročilé stohování (virtuální šasi) po standardních portech 10 Gb - 2 a více (min 4) přepínače ve stohu se chovají jako jeden vysoce dostupný z pohledu správy i připojených zařízení, přepínač musí umožňovat redundantní stohovací spoje s celkovou propustností min. 40 Gb, rozkládání zátěže i agregaci portů (LACP) napříč virtuálním šasi. |
Zrcadlení provozu | zrcadlení síťového L2 a L3 provozu portu(ů)na lokální nebo vzdálený port, řízení obsahu zrcadleného provozu na základě definovaných kritérií |
Napájení | interní napájecí zdroj |
Monitoring a správa | Plná podpora CLI, SSHv2, SNMPv3, syslog, sFlow, RMON, web rozhraní HTTP/S. Bezdrátové rozhraní (Bluetooth, WiFi apod.) pro prvotní konfiguraci a následnou správu včetně příslušné aplikace. Integrované REST API rozhraní pro automatizaci |
Příslušenství | 4x SPF+ 10 Gb modul, SM, min. 1 km, LC port, včetně DMI diagnostiky 4x LC-SC 3m SM kabel Množství je uvedeno pro 1 přepínač |
Záruka | Záruka a podpora výrobce min. 60 měsíců, včetně nároku na nové verze firmware Záruka na příslušenství min 3 roky |
12x Přístupový přepínač s příslušenstvím (6 ks v PoE provedení)
Parametr | Popis parametru |
Provedení | L2+ přepínač v rackovém provedení, 1U |
Porty | min. 48x 1 GbE + 4x 1 Gb SFP (nesdílené) a vyhrazený konzolový port pro správu |
Propustnost | neblokovaná architektura, přepínání/směrování min. 104 Gbps |
Agregace portů | podpora LACP, min. 8 skupin, podpora statických a dynamických skupin |
Parametr | Popis parametru |
Směrování | statické routování včetně VLAN, podpora IPv4 a IPv6, min. 500 statických routovacích záznamů pro každou verzi IP |
Řízení provozu | víceúrovňový QoS, klasifikace provozu min na L2 a L3 včetně DSCP hodnot, podpora standardu 802.1p, prioritizace a limitace na úrovni portu i VLAN |
VLAN | VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN na základě 802.1X ověření, min. 500 aktivních VLAN, podpora MVRP pro automatické vytváření a přiřazovaní VLAN |
Plná podpora IEEE 802.1X | |
Dualstack | plný IPv4 a IPv6 dualstack včetně směrování a QoS |
MAC, ARP | podpora min. 8000 MAC adres a min. 1000 ARP (IPv4) a 500 ND (IPv6) záznamů |
Zrcadlení provozu | zrcadlení síťového L2 a L3 provozu portu(ů)na lokální nebo vzdálený port, řízení obsahu zrcadleného provozu na základě definovaných kritérií |
PoE | 6 ks s podporou PoE na všech metalických portech podle standardu IEEE 802.3at, kompatibilita s 802.3af, celkový PoE budget min 370W, PoE třída min. 4 - 30W/port |
Napájení | interní napájecí zdroj |
Monitoring a správa | Plná podpora CLI, SSHv2, SNMPv3, syslog, sFlow, RMON, web rozhraní HTTP/S. Bezdrátové rozhraní (Bluetooth, WiFi apod.) pro prvotní konfiguraci a následnou správu včetně příslušné aplikace. Integrované REST API rozhraní pro automatizaci |
Příslušenství | 2x SPF+ 1 Gb modul, SM, min. 1 km, LC port, včetně DMI diagnostiky 2x LC-LC 3m SM kabel Množství je uvedeno pro 1 přepínač |
Záruka | Záruka a podpora výrobce min. 60 měsíců, včetně nároku na nové verze firmware Záruka na příslušenství min 3 roky |
12x Přístupový bod WiFi s příslušenstvím
Parametr | Popis parametru |
Základní funkce | Přístupový bod (AP) standardu Wi-Fi 6 včetně montážního materiálu |
Frekvence | činnost v radiovém pásmu 2,4 a 5 GHz současně, 2 radiové moduly s podporou standardu OFDMA |
Anténní systém | interní systém pro min. 2x 2 MIMO, optimalizovaný pro montáž na strop |
Přenosové rychlosti | SU-MIMO 5GHz min 1200Mbps, SU-MIMO 2.4 GHz min. 550Mbps |
Standardy | podpora 802.3at, 802.11n, 802.11ax, 802.1x včetně přiřazování do VLAN |
Řízení klientů | automatické směrování komunikace klientů z 2.4 GHz na 5 GHz (pokud klienti podporují obě pásma) |
Rušení | průběžná detekce non-WiFi rušení a spektrální analýza |
Multi SSID | podpora vysílání min. 8 SSID (WiFi sítí) současně, podpora přiřazení každého SSID samostatné VLAN |
Zatížení | min. 250 přiřazených (asociovaných) klientů na radiový modul |
Porty | min. 1x 1Gb, PoE s podporou standardů 802.3at a 802.3af |
Parametr | Popis parametru |
Úsporné napájení | podpora standardu 802.3az - Energy-Efficient Ethernet (EEE) |
Řízení provozu | klasifikace a kontrola provozu, detekce obvyklých aplikací s možností určení priority nebo šířky pásma zvoleného provozu |
Řízení kvality služeb | automatické řízení kvality služeb (QoS) pro hlas a video |
Současná obsluha více klientů | Podpora MU-MIMO (Multi-User MIMO) - multi-user multiple input/multiple output |
Bezpečnost | Detekce cizích přístupových bodů zjištěných v LAN i v radiofrekvenčním pásmu Integrovaný bezpečnostní modul TPM pro uložení citlivých údajů (přihlašovací údaje, šifrovací klíče apod.) |
Kontrolér | Virtuální, vysoce dostupný kontrolér obsažený ve firmware každého přístupového bodu. Umožňuje kompletní centrální správu WiFi infrastruktury (i prostřednictvím VPN) a řízení jejího provozu včetně roamingu klientů bez potřeby externích systémů - cloud, management aplikace/appliance apod. |
WPA | podpora standardu WPA3 (Wi-Fi Protected Access III) |
loT a lokalizace | integrovaná hardwarová podpora standardu 802.15.4 (Zigbee) a Bluetooth 5.0 |
Monitoring a správa | plná podpora CLI, SSH, SNMP 1-3, syslog, web rozhraní. |
Správa frekvenčního pásma | automatické dynamické přidělování kanálů a řízení výkonu přístupových bodů pro vyrovnané pokrytí a minimalizaci interference |
Příslušenství | Montážní materiál pro upevnění přístupového bodu na rovný povrch (zeď apod.) Množství je uvedeno pro 1 přístupový bod |
Záruka a podpora výrobce min. 60 měsíců, včetně nároku na nové verze firmware |
1X Software pro řízení přístupu do sítě 802.1X
Parametr | Popis parametru |
Provedení | Software nebo softwarová appliance pokročilého NAC (network access control) na bázi standardu IEEE 802.1X. Integrovaná podpora autentizace, autorizace a účtování (přístupů) uživatelů i koncových zařízení, integrovaný RADIUS server a databáze uživatelů a zařízení. |
Nastavení síťového přístupu uživatelů a zařízení podle politik min. pomocí přiřazení VLAN, ACL. Atributy pro definici politik min. IP, MAC, port, VLAN, XxxX XXXX, hostname (PC name), uživatelské jméno (z Active Directory), operační systém | |
Autentizace | Zajištění IEEE 802.1X autentizace a autorizace pro bezdrátové sítě, Ethernet LAN sítě a VPN |
Základní autentizační metody | Min. PEAP-MSCHAPv2, EAP-TLS, EAP-TTLS, MAC autentizace, certifikáty |
Identity | Vestavěná databáze identit pro autentizaci, podpora standardních identitních databází - Active Directory, LDAP, ODBC |
Parametr | Popis parametru |
Nezávislá autentizace a autorizace | Úplné oddělení autentizace a autorizace, např. autentizace proti službě Active Directory, autorizace proti externí SQL databázi. |
Rozšířená autentizace a autorizace | Podpora autentizace a autorizace min. LDAP, Microsoft Active Directory, generická SQL databáze, Kerberos, HTTPS web autentizace, Single Sign-On (minimálně SAML 2+ IdP a SP, OAuth). |
Kontextová autorizace | Autorizace zařízení a uživatelů na základě kontextových informací jako čas, typ připojení, osobní profil či členství ve skupině v Active Directory. |
Externí identity | Podpora autentizace externími identitami - min. Microsoft, Google. |
Komplexní autorizace | Autorizace uživatelů na základě jejich vlastních accounting informací z předchozích připojení - např. pro omezení celkového času online či objemu přenesených dat za delší časové období |
Dynamická autorizace | Podpora RADIUS CoA podle RFC3576. Možnost změny autorizačního stavu zařízení bez nutnosti změny definice autorizační politiky, např. pro odpojení nebo karanténu koncových zařízení. |
Podpora okamžitého odpojení zařízení při vypršení libovolné autorizační podmínky (např. překročení objemu dat, časového intervalu, stavu zařízení apod.) | |
Správa | Vestavěné nástroje pro testování politik, diagnostiku chování systému i spravovaných zařízení |
Portál | Captive portál pro uživatele a jejich rozšířenou autentizaci, podpora více graficky i obsahově unikátních portálů provozovaných souběžně. Integrovaná podpora úpravy vzhledu |
Rychlé V. 1 i z v z přihlášeni | Podpora přihlášení prostřednictvím QR kódu. Zapamatování úspěšně autentizovaných/registrovaných klientů a zjednodušení opakovaných přihlášení (např. jen potvrzení uvítací/informační) stránky. |
Registrace | Podpora samoobslužné registrace s ověřením SMS, e-mailem apod. |
Ochrana identit | Veškeré identitní údaje v systému budou uložena ve výrobcem dodané a podporované šifrované databázi, které bude nativní součástí dodaného produktu, s minimální enkrypcí uložených dat ve standardu AES min. 128-bit. |
Speciální zařízení | Podpora autentizace a řízení přístupů speciálních ("nepočítačových") zařízení např. tiskárny, modality, technologické prvky, loT. |
Vysoká dostupnost | Integrovaná podpora vysoké dostupnosti v režimu active-active, tj. vytvoření clusteru min. 2 appliance. Druhá appliance není součástí dodávky. |
Licence | Trvalá licence pro min. 150 současně aktivních (systémem ověřených) uživatelů bez omezení počtu připojených zařízení nebo 500 současných (konkurenčních) koncových zařízení ověřených pomocí 802.1X bez omezení počtu uživatelů. |
Automatizace a integrace | REST-API rozhraní min. pro základní funkce AAA. |
Kompatibilita | Software nebo appliance určen pro provoz v prostředí stávající serverové virtualizace |
Podpora | Podpora výrobce 60 měsíců včetně nároku na nové verze a aktualizace software |
2x Next-generation firewall s příslušenstvím
Parametr | Popis parametru |
Porty | min 10x 1GbE (min. 2x WAN), USB pro ext. modem |
NGFW | Min. základní funkce Next-generation firewall- viz xxxxx://xx.xxxxxxxxx.xxx/xxxx/Xxxx-xxxxxxxxxx_xxxxxxxx-xxxxxxxx, aplikační firewall s DPI, IPS. Administrace na bázi "objektů" (aplikace, uživatelů, lokality apod.) namísto IP adres, portů apod. |
Počet současných spojení | min. 600 000 |
Propustnost SSL VPN | min. 800 Mbps, při licenčním nebo technickém omezení počtu klientů požadujeme min. 25 klientů |
Propustnost SSL inspekce | min. 600 Mbps |
Propustnost firewallu | min. 10 Gbps (pro UDP pakety >= 512 bytů) |
Propustnost NGFW | min. 1000 Mbps |
Propustnost IPS | min. 1200 Mbps |
Propustnost detekce škodlivého kód | min. 700 Mbps |
Virtualizace | min. 5 virtuálních kontextů |
Vysoká dostupnost | režimy Active/Passive i Active/Active se společnou konfigurací |
Dualstack | podpora současného běhu IPv4 a IPv6 |
Aplikační kontrola | detekce, monitoring, povolení či zakázání obvyklých síťových aplikací na základě signatury dané aplikace, nikoliv dle portu Kontrola komunikace v SSL šifrovaných protokolech (HTTPS, IMAPS, POP3S,_) |
Antivir | Integrovaný antivirus, možnost volby různých databází signatur, podpora archivace škodlivého obsahu, podpora protokolu ICAP pro offload AV detekce, možnost detekce tzv. Grayware (rootkit, malware, spyware, keylogger, atd) |
Kategorizace a blokace provozu | založená na kategorizaci webového obsahu, možnost monitorování navštívených kategorii na uživatele či skupinu, možnost kvóty - uživatel může navštěvovat určitou kategorii jen po určitou dobu během dne |
Antispam | antispamová a antivirová inspekce elektronické pošty |
Sandbox | integrovaný sandbox (ověření škodlivosti kódu spuštěním v reálných operačních systémech) v zařízení nebo integrované rozhraní pro napojení na externí službu výrobce zařízení (služba součástí dodávky) |
Aktualizace | automatická aktualizace bezpečnostních funkcí poskytovaná výrobcem zařízení |
Ověřování uživatelů | LDAP, Active Directory, Single Sign On vůči Active Directory, Radius, Ověřování na základě certifikátu |
Management a monitoring | HTTP/S, SSH, SNMP, syslog, |
SD-WAN | integrovaná podpora SD WAN-min. rozkládání zátěže a vysoká dostupnost více internetových přípojek |
Parametr | Popis parametru |
Sledování toků | export síťových toků (Netflow nebo ekvivalent) |
Standardní funkce | NAT, statické a dynamické routování, publikace interních serverů |
Záruční servis | Záruka a podpora výrobce min. 60 měsíců v režimu 24x7. Odeslání náhradního zařízení max. následující pracovní den po nahlášení závady. Včetně nároku na bezpečnostní aktualizace firmware a bezpečnostních funkcí-URL filtrace, IPS, antimalware, antispam, aplikační kontrola, sandbox) |
5.2 Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů
1x Software pro komplexní správu logů
Parametr | Popis parametru |
Základní funkce | Systém pro sběr, ukládání a správu provozních a bezpečnostních informací a událostí ze sledovaných systémů |
Protokoly sběru logů | Minimálně syslog, TCP, UDP, HTTP, JSON |
Sběr síťových toků | Netflow či kompatibilní dle dodávaného typu firewallu a přepínačů |
Zdroje logů | Min. REST API, textové soubory, Radius, Active Directory, MS SQL databáze, Windows Event Log-včetně rozšířených "Applications and Services Logs", síťové prvky-syslog a Netflow, ostatní aktivní prvky-syslog, SNMP trap, Microsoft/Office 365, Sysmon (Windows OS) |
Parsovánílogů | Integrovaný nástroj pro parsování logů. Možnost nahrání části logu, online vytváření parseru a snadné testování výsledku. Podpora vytváření opakovaně použitelných vzorků-např. definice IP adresy regulárním dotazem apod. |
Uchovávání logů min. 6 měsíců, automatická retence logů a indexů | |
Geolokace | Podpora automatické doplňování logů o informaci o lokalitě podle IP adresy |
Normalizace logů | Sjednocení názvů shodných dat z různých zdrojů logů např. pro snadné vyhledávání napříč zdroji |
V ZV Z | O Rozšířeni logů | Podpora rozšíření logů o vlastní statické a dynamické (kalkulované) položky integrovaným nástrojem. |
Bezpečnost | Podpora šifrované komunikace se zdroji (SSL apod.), ověřování zdrojů (TLS apod.) |
Výkon | Min. 500 EPS (event per second), 5000 FPM (flows per minute) |
Dashboardy | Uživatelské vytváření dashboardů (pracovních desek) včetně možnosti využití grafických prvků (grafy, mapy, histogramy apod.) i strukturovaných dat (tabulek) |
Export dat | Export dat do csv a/nebo obdobného strojově čitelného formátu - min. výsledky hledání |
Kanály | Možnost vytváření kanálů-datových sad či toků-na základě pravidel (logických podmínek) a to i napříč různými zdroji. Podpora dalšího zpracování-tvorba alarmů, zobrazení na dashboardu, online odesílání do nadřazeného systému apod. |
Alerty, notifikace | Podpora vytváření alertů-vznik události, překročení hodnoty apod., zasílaní upozornění |
Parametr | Popis parametru |
Active Directory | integrace s Active Directory pro ověřování uživatelů, nastavení oprávnění min. administrátor a operátor |
Vyhledávání | Rychlé a intuitivní vyhledávání v záznamech napříč všemi zdroji i při velkých objemech dat (řády TB). Jednoduchý dotazovací jazyk. Rychlá vyhledávání či filtrování bez tvorby dotazů-např. výběrem v kontextovém menu vybraného pole uloženého záznamu. |
Ovládání | Intuitivní grafické webové rozhraní dostupné z běžných prohlížečů (Edge, Chrome, Firefox) |
Kompatibilita | Podpora provozu v prostředí nabízené serverové virtualizace |
Ukládání dat | do databáze, případná databázová licence musí být součástí dodávky |
Integrace | Vestavěná podporu pro integrace se sysmon - zpracování dat a událostí včetně hlídání spuštěných příkazů přes powershell/CMD, procesů |
Zranitelnosti | Automatické skenování operačních systémů a nainstalovaných aplikací, detekce zranitelností vůči průběžně aktualizované databázi |
Licence | Min pro 150 zařízení / IP adres |
Podpora | Podpora min. 60 měsíců včetně poskytnutí opravných verzí |
1x Server pro logování
Parametr | Popis parametru |
Provedení | rackové provedení max. 1U včetně výsuvných kolejnic a montážního materiálu do racku |
CPU | Minimálně 1x procesor osmijádrový. Výkon procesoru dle xxxxx://xxx.xxxxxxxxxxxx.xxx/ min. 17700 bodů |
RAM | 64 GB, min. 3200 MT/s, rozšiřitelnost min. na 128 GB |
Úložiště pro hypervizor | Min. 2x SSD 240 GB, RAID1, provedení M.2, nezabírá pozice HDD |
Bezpečnost | Integrovaný modul TPM 2.0 |
Úložiště | Min. 4x 4TB, SAS nebo NLSAS 12Gb 7 200 ot./min, výměnné za provozu |
RAID hardware | SAS 12Gb, RAID 1,5,6, zálohovaná zapisovací cache min. 8 GB |
LAN | 2x 1GbE s podporou virtualizace-VMware NetQueue, Microsoft VMQ. 1x 1GbE samostatný port pro vzdálený management |
USB | min. 3 USB konektory-min. 1x verze 3.0, min. min .1x na čelním panelu s podporou bootování, min. 1x interní |
Vzdálená správa | Servisní modul s možnosti samostatného přístupu po management síti, možnost vzdálené klávesnice, myši a obrazovky bez nutnosti běhu OS, možnost zapínat a vypínat server, možnost bootování se vzdáleného média. Vyhrazený LAN port, podpora http/s, SSH, SNMP, syslog. Okamžité a historické hodnoty teplot a napájení. Podpora vícefaktorového ověřování (autentizace). |
Provozní podmínky | Určen a podporován pro provoz v běžném neklimatizovaném prostředí do 35 stupňů Celsia |
Napájení | Napájecí zdroj musí splňovat požadavky na certifikaci energetické účinnosti Platinum, např. dle 80 PLUS (xxxxx://xx.xxxxxxxxx.xxx/xxxx/00_Xxxx) |
Management | Stavové informace na čelním panelu s výraznou indikací nestandardních a chybových provozních stavů či parametrů (min. napájení, teplota, vada HDD. |
Parametr | Popis parametru |
Aktivní indikace standardního provozního stavu. V případě závady zobrazuje její popis v textové formě. | |
Operační systém | Včetně operačního systém pro provoz Software pro komplexní správu logů |
Záruční servis | Záruční servis na dobu 60 měsíců poskytovaný výrobcem, oprava následující pracovní den od nahlášení v místě instalace, technická podpora výrobce v českém jazyce. Dostupnost ovladačů a dokumentace na webu výrobce dle výrobního/sériového čísla serveru. |
1x Úložiště pro logování
Parametr | Popis parametru |
Provedení | Pro archivaci logů, samostatně stojící, možno umístit i mimo rack |
Výkon | 64 bit CPU, min. 2 jádra |
HDD | Min. 4 pozice pro SATA HDD, rozšiřitelné min na 8 HDD |
Rozšiřitelnost | Podpora připojení externích disků přes USB 3.0 (min. 2 porty) |
Hot-swap | HDD vyměnitelné za chodu. |
SSD HDD | podpora SSD disků pro ukládání dat i akceleraci rotačních HDD. Provedení M.2 (nezabírá pozice HDD) |
Kapacita | Osazeno min. 4x 4TB HDD SATAIII, 256MB cache, 7 200 ot/min. Disk musí být výrobcem určeny a podporovány pro datová úložiště nebo NAS (nepřipouští se HDD určené jiným účelům (desktop, kamerové systémy apod.)). |
Konektivita | Min. 2 x 1 GbE porty s podporou agregace linek a redundance, s možností rozšíření na 10Gb |
Výkon | Rychlost zápisu min. 200 MB/sec při RAID5 a CIFS |
Kompatibilita | Plná podpora Microsoft Hyper-V a Windows Active Directory a ACL. |
Komunikace LAN | Síťové protokoly CIFS, WebDAV, iSCSI, SSH, SNMP, http/s |
UPS | Podpora korektního vypnutí signálem z UPS přes LAN při výpadku napájení |
RAM | min. 4GB, využitelná jako cache |
Ochrana dat | Integrované typy ochrany dat RAID 1, RAID 5, RAID 6, RAID 10 |
Min. 60 měsíců včetně HDD včetně nároku na aktualizace firmware,, oprava druhý pracovní den v místě instalace |
5.3 Oblast Zavedení nástroje pro ověřování identit uživatelů a správců IS 150x USB čtečka Smart
card
Parametr | Popis parametru |
Provedení | Stolní čtečka dodávaných čipových (Smart Card) karet, připojitelná přes USB |
Provedení | Kvalitní provedení, výrobcem deklarovaná trvanlivost min. 100 000 zasunutí/vysunutí karty |
Kompatibilita | Windows 10 a vyšší (32 a 64 bit), Linux, MacOS |
Kompatibilita | s nabízenými hybridními kartami a Software pro autentizaci uživatelů pomocí identifikačních karet |
Záruka | 24 měsíců |
150x Hybridní karta
Parametr | Popis parametru |
Základní popis | Hybridní identifikační karta s kontaktní (čipovou) částí Smart Card a bezkontaktní částí typu Mifare 1 - 13,56 MHz) |
Veřejné certifikáty | Karta musí umožnit ukládání a používání vlastních doménových certifikátů a certifikátů veřejných certifikačních autorit - např. I. CA, Postsignum apod. |
Identity | Karta musí umožnit ukládání více identit |
Kvalifikovaný prostředek | Karta musí být možno využívat pro elektronický podpis nejvyšší úrovně (kvalifikovaný podpis uložený na QSCD prostředku) |
Softwarová podpora | Součástí dodávky bude software pro zpřístupnění jejich rozhraní v operačním systému včetně rozšířených funkcionalit, tzv. Middleware |
Záruka | 24 měsíců |
1x Software pro autentizaci uživatelů pomocí identifikačních karet
Parametr | Popis parametru |
Provedení | Systém pro autentizaci uživatele identifikačním prostředkem vůči adresářové služeb včetně nástrojů pro správu identifikačních prostředků (karet) a certifikátů |
Rozhraní | Grafické rozhraní v českém jazyce s podporou SSO uživatele přihlášeného do domény Active Directory |
Obnova certifikátů | Automatické hlídání expirace uživatelských doménových i kvalifikovaných certifikátů a vyvolání průvodce pro jeho jednoduchou automatizovanou uživatelskou obnovu podle nastavených politik |
Autentizace | Autentizace uživatele ve operačních systémech Windows včetně RDS (Remote Desktop Services) všech verzích aktuálně podporovaných výrobcem Microsoft |
Správa | Uživatelská správa uložených certifikátů a bezpečnostních údajů (PIN, QPIN, PUK) |
Správa certifikátů | Export / import certifikátů/klíčů, z/na identifikační prostředek, smazání certifikátů nebo privátního klíče, od/registrace certifikátu ve Windows, testování integrity a použitelnosti |
Předávání veřejných doménových klíčů | Automatizované předávání veřejných klíčů doménových certifikátů do stávajícího systému Microsoft Active Directory |
Prostředky | Podpora kontaktních, bezkontaktních i hybridních identifikačních prostředků |
Evidence | Systém umožní evidovat minimálně - typ prostředku (kontaktní, bezkontaktní, hybridní, ...) - druh prostředku (uživatelský, administrační, operátorský, ...) - stav prostředku (používaný, k recyklaci, skartovaný, ...) - historii prostředku (datum zavedení do evidence, vydání uživateli, recyklace, ...) - držitele prostředku (aktuálního držitele i všechny předchozí držitele) - data uložená v prostředku (certifikáty a další data, včetně historie dat) |
Integrace | Napojení na Active Directory (zdroj dat o uživatelích, autentizace uživatelů, řízení rolí podle členství ve skupinách) a interní certifikační autoritu (certifikáty) |
Správa certifikátů | Správa certifikátů (doménových i kvalifikovaných) ve webovém prostředí systému: - vydávání (ukládání) certifikátů na identifikační prostředek, vytvoření a tisk |
Parametr | Popis parametru |
protokolu o vystavení - odvolání certifikátu - vydávání "v zastoupení" - např. personalista vydá novému zaměstnanci identifikační prostředek včetně certifikátu zaměstnance - včasné (konfigurovatelné) e-mailové upozornění na vypršení platnosti certifikátu | |
Certifikační autority | Systém musí umožnit použití jakékoliv certifikačních autority od kvalifikovaných poskytovatelů certifikačních služeb (xxxxx://xxx.xxxx.xx/xxxxxx/xxxxxxx- xxxxxxxxxxxxxxx-xxxxxxxxxxxxx-xxxxxxxxxxxxxx-xxxxxx-x-xxxxxx-xxxxxxxxxxxxxxx- |
Operace | Recyklace identifikačních prostředků s pevným i náhodným PIN/PUK, změna uživatele, odblokování PIN (i vzdálené), tisk protokolů |
Personifikace | Integrované prostředí pro generování podkladů pro potisk identifikačních karet externím uchazečem i na vlastní tiskárně |
Rozhraní | Integrované aktivní aplikační rozhraní (API) pro bezpečné (autorizované) poskytování veřejných informací o uložených prostředcích, certifikátech a kvalifikovaných elektronických pečetí pro systémy třetích stran včetně dokumentace. |
Pro 150 uživatelů | |
Podpora výrobce po dobu 60 měsíců - nárok na nové verze software, včetně aktualizací |
5.4 Oblast Vytvoření záložní lokality pro zajištění kontinuity provozu IS
1x Zabezpečené úložiště pro záložní lokalitu s příslušenstvím
Parametr | Popis parametru |
Provedení | rackové provedení max. 1U včetně výsuvných kolejnic a montážního materiálu do racku |
CPU | Minimálně 1x procesor maximálně osmijádrový. Max. počet počet jader je omezen z důvodu licencování OS a dalších softwarových nástrojů navázaných na počet jader. Výkon procesoru dle xxxxx://xxx.xxxxxxxxxxxx.xxx/ min. 17700 bodů |
RAM | 64 GB, min. 3200 MT/s, rozšiřitelnost min. na 128 GB |
Úložiště firmware | Min. 2x SSD 240 GB, provedení M.2, samostatný HW řadič RAID1 |
Úložiště data | Min. 4x 16TB, SAS nebo NLSAS 12Gb 7 200 ot/min, výměnné za provozu |
RAID hardware | SAS 12Gb, RAID 1,5,6, zálohovaná zapisovací cache min. 8 GB |
LAN | 2x 1GbE s podporou virtualizace-VMware NetQueue, Microsoft VMQ. 1x 1GbE samostatný port pro vzdálený management |
USB | min. 3 USB konektory-min. 1x verze 3.0, min. min .1x na čelním panelu s podporou bootování, min. 1x interní |
Vzdálená správa | Servisní modul s možnosti samostatného přístupu po management síti, možnost vzdálené klávesnice, myši a obrazovky bez nutnosti běhu OS, možnost zapínat a vypínat server, možnost bootování se vzdáleného média. Vyhrazený LAN port, podpora http/s, SSH, SNMP, syslog. Okamžité a historické hodnoty teplot a napájení. Podpora vícefaktorového ověřování (autentizace). |
Parametr | Popis parametru |
Napájení | Napájecí zdroj musí splňovat požadavky na certifikaci energetické účinnosti Platinum, např. dle 80 PLUS (xxxxx://xx.xxxxxxxxx.xxx/xxxx/00_Xxxx) |
Management | Stavové informace na čelním panelu s výraznou indikací nestandardních a chybových provozních stavů či parametrů (min. napájení, teplota, vada HDD. Aktivní indikace standardního provozního stavu. V případě závady zobrazuje její popis v textové formě. |
Souborový systém | XFS |
Protokoly | SMB/CIFS, SNMP, http/s a SSH (management) |
Výkon | zápis min. 500 GB / hod |
Ochrana dat | min RAID5, automatická relokace vadných datových bloků |
Retence dat | programově nastavitelné retenční lhůty na uložený objekt (např. soubor), po dobu retence nelze objekt modifikovat |
Redundance | redundantní rotační díly a napájecí zdroje |
přepisu dat | |
Kompatibilita | Kompatibilita se nabízeným Software pro ukládání záloh do zabezpečeného úložiště, podpora ukládání záloh, řízení jejich historie a řízení retenčních lhůt |
Audit | Integrovaný logovací systém - systémové událostí, provádění příkazy, přihlášení/odhlášení, datové operace |
Záruka | 60 měsíců, oprava druhý pracovní den v místě instalace, nárok na podporu výrobce a nové verze firmware / software |
1x Software pro ukládání záloh do zabezpečeného úložiště
Parametr | Popis parametru |
Licence | trvalá licence software pro vytváření a ukládání záloh do zabezpečeného úložiště pro min. 20 fyzických nebo virtuálních serverů bez omezení objemu dat. |
Efektivita ukládání dat | integrovaná komprimace a deduplikace |
Nároky na správu | „bezagentové“ řešení - bez instalace agentů do zálohovaných systémů |
Ochrana dat | provádění datově konzistentních záloh hlavních serverových aplikací - Microsoft SQL server, Active Directory, souborové systémy - bez nutnosti odstávky aplikace |
Snapshoty | využívání snapshotů, zálohování pouze dat (bloků virtuálního disku) změněných od poslední úspěšné zálohy |
Kompatibilita | podpora operačních systémů Windows a Linux v zálohovaných virtuálních serverech |
Uložiště záloh | Podpora nabízeného zabezpečeného úložiště včetně řízení retenčních lhůt. Možnost ukládání záloh i na diskový prostor, síťová úložiště, páskové jednotky a do cloudu |
Obnova | granulární obnova jednotlivých objektů (soubor, objekt ActiveDirectory (uživatel, skupina apod.), tabulka SQL databáze) |
Průvodci | vytváření a správa úloh (zálohování, obnova apod.) pomocí vestavěných průvodců včetně konfigurace automatického spouštění úloh |
Parametr | Popis parametru |
Kontrola záloh | automatická kontrola úspěšnosti záloh kontrolním úspěšným spuštěním zazálohovaných virtuálních strojů se záznamem |
Rychlá obnova | možnost spuštění virtuálního serveru přímo ze zálohy bez nutnosti obnovy na původní úložiště |
Reporting | automatický reporting úspěšných i neúspěšných úloh |
Správa | Běžné úlohy obnovy (obnovení souboru, databáze SQL, objekty Active Directory) provádět pomocí průvodců. |
Podpora | 60 měsíců včetně nároku na nové verze a aktualizace software |
1x Produkční server pro redundantní prostředí (druhá lokalita)
Parametr | Popis parametru |
Provedení | rackové provedení max. 1U včetně výsuvných kolejnic a montážního materiálu do racku |
CPU | Minimálně 1x procesor šestnáctijádrový. Max. počet počet jader je omezen z důvodu licencování OS a dalších softwarových nástrojů navázaných na počet jader. Výkon procesoru dle xxxxx://xxx.xxxxxxxxxxxx.xxx/ min. 41 500 bodů |
RAM | 256 GB, min. 3200 MT/s, rozšiřitelnost min. na 512 GB |
Úložiště pro hypervizor | Min. 2x SSD 480 GB, RAID1, provedení M.2, nezabírá pozice HDD |
Bezpečnost | Integrovaný modul TPM 2.0 |
Úložiště | Min. 6x 1,92 TB SSD, 1 DWPD (Drive Writes Per Day) po dobu záruky, výměnné za provozu Min 2 volné a aktivní (připojené k RAID) pozice pro rozšíření kapacity. |
RAID hardware | SAS 12Gb, RAID 1,5,6, zálohovaná zapisovací cache min. 8 GB |
LAN | 2x 1GbE s podporou virtualizace-VMware NetQueue, Microsoft VMQ. 2x 10Gb SFP+ s podporou virtualizace-VMware NetQueue, Microsoft VMQ a podporou NPAR (Network Partitioning) 1x 1GbE samostatný port pro vzdálený management |
USB | min. 3 USB konektory-min. 1x verze 3.0, min. min .1x na čelním panelu s podporou bootování, min. 1x interní |
Vzdálená správa | Servisní modul s možnosti samostatného přístupu po management síti, možnost vzdálené klávesnice, myši a obrazovky bez nutnosti běhu OS, možnost zapínat a vypínat server, možnost bootování se vzdáleného média. Vyhrazený LAN port, podpora http/s, SSH, SNMP, syslog. Okamžité a historické hodnoty teplot a napájení. Podpora vícefaktorového ověřování (autentizace). |
Provozní podmínky | Určen a podporován pro provoz v běžném neklimatizovaném prostředí do 35 stupňů Celsia |
Napájení | Redundantní napájecí zdroje min. 500W, musí splňovat požadavky na certifikaci energetické účinnosti Platinum, např. dle 80 PLUS (xxxxx://xx.xxxxxxxxx.xxx/xxxx/00_Xxxx) |
Management | Stavové informace na čelním panelu s výraznou indikací nestandardních a chybových provozních stavů či parametrů (min. napájení, teplota, vada HDD. Aktivní indikace standardního provozního stavu. V případě závady zobrazuje její popis v textové formě. |
Příslušenství | 2x SPF+ 1 Gb modul, SM, min. 1 km, LC port, včetně DMI diagnostiky 2x LC-LC 3m SM kabel |
Záruční servis | Záruční servis na dobu 60 měsíců poskytovaný výrobcem, oprava následující pracovní den od nahlášení v místě instalace, technická podpora výrobce v českém jazyce. Dostupnost ovladačů a dokumentace na webu výrobce dle výrobního/sériového čísla serveru. Záruka na příslušenství min. 36 měsíců |
1x Software pro replikaci virtuálních serverů do záložní lokality
Parametr | Popis parametru |
Licence | trvalá licence software pro vytváření a ukládání replik do záložní lokality pro min. 20 fyzických nebo virtuálních serverů bez omezení objemu dat. |
Efektivita přenosu | integrovaná komprimace přenášených dat, podpora pomalých sítí WAN |
Nároky na správu | „bezagentové“ řešení - bez instalace agentů do zálohovaných systémů |
Snapshoty | využívání snapshotů, přenosy pouze dat (bloků virtuálního disku) změněných od posledního úspěšné přenosu |
Kompatibilita | podpora operačních systémů Windows a Linux v replikovaných virtuálních serverech |
Průvodci | Průvodci pro řízení procesů fail-over a fail-back |
Rychlá obnova | možnost spuštění virtuálního serveru přímo z repliky v izolovaném síťovém prostředí |
Reporting | automatický reporting úspěšných i neúspěšných replik |
Podpora | 60 měsíců včetně nároku na nové verze a aktualizace software |
1x Sada licencí operačního systému včetně hypervizoru pro replikované virtuální servery (pro produkční server pro redundantní prostředí (druhá lokalita))
Počet | Typ licence |
1 | Windows Server Datacenter 2022 - 16 Lic Core License |
150 | Windows Server CAL 2022 - per User |
Je požadována dodávka licencí, jejichž pravost je garantovaná a ověřitelná u vlastníka autorských práv MICROSOFT. V databázi MICROSOFT musí být kupující veden jako první a jediný uživatel zboží (licencí).
Je připuštěno zpřístupnění instalačních balíčků, produktových klíčů a přehled o zakoupených licencích na
Jsou požadovány licence pro užití On-Premise.
Zdůvodnění požadavku na kompatibilitu
Zadavatel provozuje své technologické prostředí postavené na platformě OS Windows. Na této platformě je pak provozována majorita agendových informačních systémů zadavatele, které slouží k zajištění výkonu jeho veřejné správy a dále k zajištění interních činnosti a agend. Na této platformě jsou rovněž provozována adresářové služby a řízení uživatelských účtů a práv v nich. Z těchto důvodů je požadována kompatibilita s tímto technologickým prostředím a jako definice požadavku je uveden konkrétní produktový název.
1x UPS s příslušenstvím
Parametr | Popis parametru |
Provedení | provedení do racku, max. 2U, včetně montážního materiálu |
Elektrické provedení | jmenovité napětí 230 V, jednofázová na vstupu i výstupu |
Výkon (VA/W) | 3000 VA / 3000 W |
Technologie | online, dvojitá konverze |
Účiník | lepší než 0,98 |
Stabilizace | výstupní napětí - odchylka max. ±5 % od jmenovité hodnoty |
Kapacita | doba běhu na baterie min. 10 min při 50% zátěži |
Vstup | zásuvka IEC C14 |
Výstupy | min. 8 zásuvek IEC C13, možnost omezení doby zálohování pro vybrané zásuvky (nekritická zařízení) |
Diagnostika | Vestavěný úplný systémový autotest, možnost automatického plánovaného provádění |
Servis | baterie musí být vyměnitelné za chodu |
Bypass | automatický interní bypass |
Komunikační porty | RS-232, USB, vzdálené zapnutí/vypnutí |
Management | LAN karta s podporou SNMP a http/s. Grafické rozhraní pro monitorování a správu. |
Stavové informace | stavový grafický displej pro konfiguraci a základní informace o stavu UPS |
Ochrany | inteligentní / optimalizované nabíjení pro optimalizaci výkonu a životnosti baterií, nastavení nabíjecího proudu |
Řízení | schopnost ovládání a restartování nabízeného serveru, korektní shutdown operačních systémů |
SW kompatibilita | UPS musí být plně podporovaná výrobcem pro použití ve virtualizačních prostředích VMware a Microsoft Hyper-V, příslušný SW bude součástí dodávky |
Rozšiřitelnost | možnost prodloužení doby běhu na baterie připojením externích bateriových modulů min. na 30 minut |
36 měsíců včetně baterií |
5.5 Oblast bezpečnost technologických místností
1x Přístupový terminál s biometrickým ověřováním
Parametr | Popis parametru |
Základní funkce | Přístupový terminál pro datová centra a místnosti se síťovými rozvaděči pro umístění na zeď, včetně montážního materiálu |
Ověření přístup | Integrovanou čtečkou otisků prstů a integrovanou čtečkou bezkontaktních karet |
Bezpečnost | Šifrování ukládaných dat |
Komunikace | 1x LAN port min. 100 Mbit a WiFi |
Rozhraní periferií | vestavěný reléový kontakt, alarm, dveřní senzor, odchozí tlačítko, Wiegand, RS485 |
Integrovaná čtečka | podpora bezkontaktních karet Mifare 1 |
Parametr | Popis parametru |
Indikace | zřetelná indikace stavu ověření uživatele (resp. karty), akustická signalizace |
Kapacita | min. 2 000 otisků, 1 000 karet, 10 000 událostí |
Napájení | včetně napájecího zdroje |
Správa | Integrované rozhraní pro správu a centrální vzdálená správa, integrovaný displej pro konfiguraci i zobrazení stavových informací. |
Záruka | Záruční servis 2 roky Bezplatný nárok na nejnovější firmware a bezpečnostní aktualizace. |
10x Elektronický zámek k přístupovým terminálům
Parametr | Popis parametru |
Provedení | Do stávajících dveří, standardní kovové zárubně |
Ovládání | 12V, otevření (odemknutí) zámku pro dobu impulsu |
Napájení | včetně napájecího zdroje |
Záruka | Záruční servis 2 roky |
2x Bezpečnostní IP kamera (1x pro každé datové centrum)
Parametr | Popis parametru |
Provedení | IP dome kamera, vnitřní provedení včetně montážního materiálu na strop/zeď Možnost nastavení: sklonu min. 0 - 75°, otáčení min 0 - 355° |
Rozlišení | 4 Mpx (2688x1520) nativně |
Objektiv | 2.8 mm, manuálně nastavitelný pro čip 1/3" nebo odpovídající pro větší čip (menší není přípustný). Možnost uživatelské výměny objektivu (min. varianty 4 a 6 mm). Zobrazovací úhly: horizontální min 100°, vertikální min. 55° |
Světelnost | F 1.6 nebo lepší při nejméně příznivém nastavení objektivu |
Komunikace | LAN min 1x 100 Mbit |
Napájení | PoE a 12V ss |
Přísvit | infračervený, min. 30 m |
Protisvětlo | Korekce protisvětla, resp. široký dynamický rozsah (WDR) min. 120 dB |
Data, ukládání | min. stream H.265, lokální ukládání na SD kartu, min 3 současné streamy, přímé ukládání do síťových úložišť |
Rozlišení, snímková frekvence | min. 2688 x 1520, 30 fps při zapnutém WDR. |
Zvuk | vestavěný mikrofon, filtrování hluku prostředí |
Detekce událostí | Detekce pohybu, periodické události, demontáž kamery, překročení linie, detekce obličeje |
Kompatibilita | Podpora standardu ONVIF |
Správa | Webové rozhraní v českém jazyce, podpora centrální správy a nahrávání |
Záruka | Záruční servis 2 roky, nárok na nejnovější firmware a bezpečnostní aktualizace. |
1x Rack Management System s příslušenstvím
Parametr | Popis parametru |
Základní funkce | Monitorovací systém typu RMS (rack monitoring systém) pro monitorování stavu prostředí a technologií s automatickým upozorněním na požadované stavy. |
Provedení | Samostatné hardwarová jednotka v robustním průmyslovém provedení |
Rozhraní senzorů | Min. 8x digitálních senzorů (vlhkost, teplota apod.), min 4 binární vstupy |
Rozhraní snímačů | Min. 1 binární výstup (relé), min. 2x vzdálený virtuální výstup (na vzdálené jednotce stejného typu) |
Protokoly | HTTP/S, SNMP v3, MQTT, Syslog, MODBUS TCP, SMTP (e-mail notifikace), (S)NTP |
Komunikace | Min. 1x LAN 100 Mbit, podpora IPv4 a IPv6 |
Kapacita | Min. 200 000 událostí |
Příslušenství | Čidlo teploty, dveřní kontakt (indikace otevření dveří datového/síťového rozvaděče), napájecí adaptér |
Záruka | Záruční servis 2 roky, nárok na nejnovější firmware a bezpečnostní aktualizace. |
3x Zhášecí systém
Parametr | Popis parametru |
Základní funkce | Samočinný zhášecí systém pro zařízení s vyšším rizikem vzniku požáru do serverového datového rozvaděče |
Minimalizace škod | Zabezpečení ochrany proti požáru a zneškodnění požáru v jeho počátcích, směrování zhášecího média do ohniska. |
Nezávadnost | Zdravotně nezávadné zhášecí médium - doložit příslušným certifikátem |
Monitoring | Podpora napojení na nabízený monitorovací systém - sledování dostatečného tlaku zhášecího média |
Záruka | Záruční servis 2 roky |
1x Systém pro řízení přístupových terminálů
Parametr | Popis parametru |
Provedení | Systém pro centrální správu nabízených přístupových terminálů |
Monitorování | Vzdálená on-line kontrola stavu terminálů a vstupů |
Centrální správa | Distribuce identifikačních vzorků do všech terminálů v síti |
Import | Import uživatelů z obvyklých strojově čitelných formátů |
Export | Export přístupových transakcí do strojově čitelného formátu |
Časová pásma | Podpora definování časových pásem přístupových oprávnění |
Licencování | Pro nabízené přístupové terminály a zámky |
Záruka | Podpora výrobce po dobu 60 měsíců, nárok na nové verze software |
1x Systém pro správu kamer a nahrávání
Parametr | Popis parametru |
Provedení | Záznamové zařízení typu NVR (network video recorder) pro umístění do racku |
Výkon | záznam min. 8 kanálů současně (obraz včetně zvuku), min 80 Mbps, podporovaná rozlišení 12 Mpx a nižší |
Přehrávání | synchronní přehrávání min. 8 kanálů současně, současné dekódování min 4 kanálů 4 Mpix/30 fps nebo většího počtu kanálů s nižším rozlišením |
HDD | 2x SATA interface s RAID1, osazeny min. 2x HDD 4 TB určené výrobcem pro NVR/NAS/servery s dostatečným výkonem pro záznam všech nabízených kamer |
Výstup | Min. 2 nezávislé výstupy - 1x VGA (FullHD 1920x1080 výstup) a 1x HDMI (4K 3840x2160 výstup) |
Formáty | Podpora dekódování obrazových formátů H.265/H.265+/H.264/H.264 a zvukových formátů G.711/G.722/G.726, podpora ONVIF |
LAN | min. 1x rozhraní 1Gb RJ-45 |
Alarmy | min 4/1 alarmové vstupy/výstupy |
Ovládání | webové rozhraní v českém jazyce pro nastavení, ovládání i přehrávání, bezpečný vzdálený přístup přes internet včetně mobilních zařízení. |
Záruka | min. 24 měsíců včetně nároku na aktuální verze firmware |
1x Centrální monitorovací systém pro RMS
Parametr | Popis parametru |
Provedení | Monitorovací systém a dohledové konzola síťových systémů, on-premise provedení provozované na nabízených prostředcích |
Detekce prvků | Auto Discovery pro snadné přidání síťových zařízení, systémů, aplikací a serverů vč. virtualizačních platforem |
Rozhraní | Webové rozhraní s podporou mobilních platforem (responzivní design), podpora mapy prvků včetně zobrazení aktuálního stavu a klíčových hodnot. |
Sběr dat | Agentový i bezagentový sběr dat, bez licencování agentů |
Protokoly a formáty | Podpora sběru dat síťovými protokoly (tcp/udp, SNMP, ICMP, http/s, MODBUS, MQTT, ODBC, IPMI), vyčítání textových i binárních logů včetně uživatelského parsování. |
Notifikace | Integrovaný konfigurovatelný systém upozornění na definované události včetně detekce anomálií. klasifikace událostí. |
Historizace | Ukládání získaných dat, grafy, tabulky, dashboardy. Predikce trendů. |
Kompatibilita | Kompatibilita s nabízeným Rack Management Systémem a Nástrojem pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů |
Reporty | Integrovaný reportovací systém s možností uživatelské definice reportů a jejich automatického zasílání v PDF formátu. |
Podpora | min. 60 měsíců včetně nároku na aktuální verze software |
5.6 Oblast sdílené systémové prostředky
1x Server určený k rozšíření stávajících serverových systémových prostředků
Parametr | Popis parametru |
Provedení | rackové provedení max. 1U včetně výsuvných kolejnic a montážního materiálu do racku |
CPU | Minimálně 1x procesor šestnáctijádrový. Max. počet počet jader je omezen z důvodu licencování OS a dalších softwarových nástrojů navázaných na počet jader. Výkon procesoru dle xxxxx://xxx.xxxxxxxxxxxx.xxx/ min. 41 500 bodů |
RAM | 256 GB, min. 3200 MT/s, rozšiřitelnost min. na 512 GB |
Úložiště pro hypervizor | Min. 2x SSD 480 GB, RAID1, provedení M.2, nezabírá pozice HDD |
Bezpečnost | Integrovaný modul TPM 2.0 |
Úložiště | Min. 4x 1,92 TB SSD, 1 DWPD (Drive Writes Per Day) po dobu záruky, výměnné za provozu Min 4 volné a aktivní (připojené k RAID) pozice pro rozšíření kapacity. |
RAID hardware | SAS 12Gb, RAID 1,5,6, zálohovaná zapisovací cache min. 8 GB |
LAN | 2x 1GbE s podporou virtualizace-VMware NetQueue, Microsoft VMQ. 2x 10Gb SFP+ s podporou virtualizace-VMware NetQueue, Microsoft VMQ a podporou NPAR (Network Partitioning) 1x 1GbE samostatný port pro vzdálený management |
USB | min. 3 USB konektory-min. 1x verze 3.0, min. min .1x na čelním panelu s podporou bootování, min. 1x interní |
Vzdálená správa | Servisní modul s možnosti samostatného přístupu po management síti, možnost vzdálené klávesnice, myši a obrazovky bez nutnosti běhu OS, možnost zapínat a vypínat server, možnost bootování se vzdáleného média. Vyhrazený LAN port, podpora http/s, SSH, SNMP, syslog. Okamžité a historické hodnoty teplot a napájení. Podpora vícefaktorového ověřování (autentizace). |
Provozní podmínky | Určen a podporován pro provoz v běžném neklimatizovaném prostředí do 35 stupňů Celsia |
Napájení | Redundantní napájecí zdroje min. 500W, musí splňovat požadavky na certifikaci energetické účinnosti Platinum, např. dle 80 PLUS (xxxxx://xx.xxxxxxxxx.xxx/xxxx/00_Xxxx) |
Management | Stavové informace na čelním panelu s výraznou indikací nestandardních a chybových provozních stavů či parametrů (min. napájení, teplota, vada HDD. Aktivní indikace standardního provozního stavu. V případě závady zobrazuje její popis v textové formě. |
Příslušenství | 2x SPF+ 1 Gb modul, SM, min. 1 km, LC port, včetně DMI diagnostiky 2x LC-LC 3m SM kabel |
Záruční servis | Záruční servis na dobu 60 měsíců poskytovaný výrobcem, oprava následující pracovní den od nahlášení v místě instalace, technická podpora výrobce v českém jazyce. Dostupnost ovladačů a dokumentace na webu výrobce dle výrobního/sériového čísla serveru. Záruka na příslušenství min. 36 měsíců |
1x Sada software pro serverovou virtualizaci pro server určený k rozšíření stávajících serverových systémových prostředků
Počet | Typ licence |
1 | Windows Server Datacenter 2022 - 16 Lic Core License |
Je požadována dodávka licencí, jejichž pravost je garantovaná a ověřitelná u vlastníka autorských práv MICROSOFT. V databázi MICROSOFT musí být kupující veden jako první a jediný uživatel zboží (licencí).
Je připuštěno zpřístupnění instalačních balíčků, produktových klíčů a přehled o zakoupených licencích na
Jsou požadovány licence pro užití On-Premise.
Zdůvodnění požadavku na kompatibilitu
6 Požadavky na implementaci jednotlivých částí díla
6.1 Obecné požadavky na instalační a implementační služby
Objednatel požaduje provést minimálně dále uvedené práce na dodaných komponentech a případně dalších souvisejících zařízeních. Zhotovitel je dále povinen zahrnout do nabídky veškeré další činnosti a prostředky, které jsou nezbytné pro provedení předmětu plnění v rozsahu doporučeném výrobci a dle tzv. nejlepších praktik, i případě, pokud nejsou explicitně uvedeny, ale jsou pro realizaci předmětu plnění podstatné.
Náklady na provedení služeb musí být zahrnuty v nabídkové ceně k položce, ke které se vztahují. V rámci předmětu plnění objednatel požaduje provedení min. následujících služeb:
• doprava jednotlivých komponent do místa plnění - lokalit MěÚ Slaný
• zpracování a předání dokumentace,
• vlastní nasazení řešení splňující požadované parametry technického řešení,
• začlenění nabízených technologií do stávajícího prostředí,
• zajištění testovacího provozu,
• provedení akceptačních testů,
• dodávka a aktivace požadovaných SW licencí, kontrola aktivací musí být součástí akceptačních testů
6.2 Podrobný popis instalační a implementačních služeb
Zadavatel požaduje provést minimálně uvedené implementační práce na dodaných komponentech a případně dalších souvisejících zařízeních. Zhotovitel je dále povinen zahrnout do nabídky veškeré další činnosti a prostředky, které jsou nezbytné pro provedení předmětu plnění v rozsahu doporučeném výrobci a dle tzv. nejlepších praktik, i v případě, pokud nejsou explicitně uvedeny, ale jsou pro realizaci předmětu plnění podstatné.
Náklady na provedení implementačních služeb musí být zahrnuty v nabídkové ceně k položce, ke které se vztahují.
Oblast Zvýšení zabezpečení komunikační sítě
- analýza stávajícího síťového prostředí a návrh nové architektury LAN,
- implementace pořízených technologií,
- provedení segmentace sítě - VLAN, adresování, routování,
- zavedení DNSSEC, vybudování DNSSEC resolveru pro LAN úřadu,
- návrh a implementace 802.1X pro LAN a WiFi včetně definice přístupových politik. Systém
802.1 x musí být integrován s adresářovou službou Active Directory,
- implementace portálu pro registraci a řízení přístupů hostů - tzv. captive portál
- zpracování uživatelské dokumentace konfigurace obvyklých zařízení a jejich systémů pro
systém 802.1X - PC, notebooky, chytré telefony, tablety, tiskárny - Windows, Linux, MacOS, Android, IOS, embedded systémy periferií. Provedení vzorové migrace a konfigurace všech kategorií koncových zařízení (1 zařízení každé kategorie) do systému s ověřováním 802.1X
- návrh a vybudování vhodné architektury WiFi s více SSID pro zaměstnance, jejich osobní zařízení a veřejnost s vhodným způsobem ověřování a politikami řízení provozu,
- návrh a implementace firewallu včetně vhodné konfigurace UTM (antivir, IPS, aplikační kontrola, URL filtrace dle kategorií, zajištění bezpečné publikace interních zdrojů úřadu, vybudování VPN na bázi webového portálu.
- převzetí komunikačních pravidel ze stávajícího firewallu a jejich implementace do nového firewallu včetně optimalizace využívajících pokročilých vlastností nového řešení.
- součástí implementace bude příprava kabelových rozvodů pro dodávané WiFi AP technologie dle
specifikace:
o max. 20 m Cat5e včetně lištování, 1x průchod cihlovou zdí do 30 cm pro každý WiFi AP, - návrh a provedení akceptačních testů. Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů - analýza a detailní identifikace zdrojů dat, jejichž provozně bezpečnostní informace bude nutné, popř. vhodné sbírat. Bude obsahovat i návrh způsobu zpracování získaných informací a vhodných proaktivních i reaktivních akcí
- návrh a vybudování systému centrálního logování pro zaznamenávání činnosti informačního a komunikačního systému, jeho uživatelů a administrátorů
- monitoring a logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného provozu k vnitřnímu zařízení (ve spolupráci s firewallem)
- logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa - čas - uživatel, a to včetně ošetření v případě sdílených pracovních stanic apod.
- monitorování IP datových toků formou exportu provozních informací o přenesených datech v členění minimálně zdrojová/cílová IP adresa, zdrojový/cílový TCP/UDP port (či ICMP typ) dle RFC3954 nebo ekvivalentu (např. netflow) - minimálně na úrovni rozhraní WAN
- provedení souvisejících konfigurací monitorovaných systémů
- návrh a provedení akceptačních testů, musí zahrnovat i testy archivace a obnovy logů Oblast Zavedení nástroje pro ověřování identit uživatelů a správců IS - analýza prostředí se zaměřením na zavedení vícefaktorové autentizace
- vybudování interní PKI (Public Key Infrastructure) včetně certifikační autority integrované
s Active Directory
- vybudování systému vícefaktorové autentizace s využitím kontaktních a bezkontaktních identifikačních prostředků (karet, tokenů). Instalace externích čteček na koncová zařízení ani distribuce identifikačních medií uživatelům není součástí plnění
- návrh a vybudování systému pro správu kompletního životního cyklu identifikačních prostředků (karet a doménových i veřejných certifikátů) včetně uživatelské běžné správy a obnovy platnosti
- návrh a realizace zálohování
- návrh a provedení akceptačních testů včetně výkonových testů. Oblast Vytvoření záložní lokality pro zajištění kontinuity provozu IS - návrh architektury záložní lokality včetně replikačních intervalů pro jednotlivé servery
- návrh konfigurace (zejména retenčních lhůt) zabezpečeného úložiště a způsobu řízení a ukládání záloh
- implementace technologií
- návrh a provedení akceptačních testů včetně výkonových testů a otestovaní obnovy min. 1 serveru ze
zabezpečeného úložiště a otestování fail-over a fail-back postupu min. 1 serveru
Oblast Bezpečnost technologických místností
- instalace bezpečnostních IP kamer
- oživení a nastavení systému pro správu kamer, nastavení ukládání dat a jejich retence,
- instalace přístupových terminálů přístupového systému
- instalace elektronických zámků a systému pro řízení přístupů, provedení nastavení a konfigurace systému, ověření funkčnosti dodaného řešení
- součástí implementace bude příprava kabelových rozvodů pro dodávané technologie dle specifikace:
o max. 20 m Cat5e včetně lištování, 1x průchod cihlovou zdí do 30 cm pro každou kameru,
o max. 20 m Cat5e včetně lištování, 1x průchod cihlovou zdí do 30 cm pro každý přístupový terminál,
o max. 5 m Cat5e včetně lištování, 1x průchod cihlovou zdí do 30 cm pro každý zámek.
- instalace a konfigurace RMS včetně čidel, napojení na centrální konzolu
- instalace zhášecího systému včetně napojení na RMS,
- analýza ICT prostředí organizace a návrh vhodné sady sledovaných provozních parametrů hw i sw systémů, návrh dashboardů, hraničních parametrů a sady notifikací
- implementace a nastavení centrální monitorovací konzoly podle provedené analýzy
- provedení potřebných konfigurací monitorovaných systémů
- návrh a provedení akceptačních testů Oblast Sdílené systémové prostředky
- návrh a vybudování virtualizační platformy pro provoz dodaných systémů
- začlenění veškerých dodaných systémů do zálohovacích plánů organizace
- provedení potřebných konfigurací souvisejících systémů
- návrh a provedení akceptačních testů
7 Dokumentace k dodávanému řešení
7.1 Prováděcí dokumentace
Prováděcí dokumentace bude sloužit jako podklad pro vlastní implementaci řešení do prostředí objednatele. Prováděcí dokumentace bude zahrnovat detailní popis cílového stavu a způsobu jeho dosažení, včetně:
• detailního popis cílového stavu včetně funkcionalit jednotlivých částí systému,
• nutné a doporučené optimalizační a konfigurační změny dodávaných systému i všech navázaných systémů (Hyper-V, LAN, zálohování, monitorování atd.),
• způsob zajištění potřebného HW a SW,
• způsob zajištění koordinace realizace předmětu plnění s běžným provozem,
• detailní návrh a popis postupu implementace předmětu plnění,
• detailní popis zajištění bezpečnosti informací,
• detailní harmonogram realizace včetně uvedení kritických milníků,
• návrh designu síťového a bezpečnostního řešení a jeho konfigurace,
• návrh designu aplikačních řešení,
• vazby na stávající systémy a jejich konfigurace,
• integrace dodávaných softwarových systémů,
• rekonfigurace stávajících systémů,
• dopady implementace na dostupnost a funkčnost stávajících služeb,
• posouzení dopadů na non-IT technologie (spotřeba energií, tepelný výkon),
• požadované součinnosti objednatele a jejich rozsah,
• návrh akceptačních kritérií a akceptačních testů.
7.2 Provozní dokumentace
8 Zaškolení IT administrátorů
Zhotovitel zrealizuje v sídle objednatele prezenční zaškolení pro IT administrátory objednatele minimálně v rozsahu provozní dokumentace. Školení bude pokrývat všechny komponenty dodávané v rámci předmětu plnění, a to minimálně v rozsahu:
• běžných administrátorských činností pro implementované systémy,
• standardní údržby systémů pro administrátory zadavatele
• základní identifikace nestandardních stavů systému a jejich příčin.
9 Testovací provoz
Testovací provoz proběhne po dobu uvedenou v harmonogramu realizace, a to se zvýšeným dohledem a
podporou ze strany zhotovitele.
10 Akceptační řízení
10.1 Dílčí akceptační řízení
Dílčí akceptační řízení bude provedeno jednotlivé oblasti díla dle této technické dokumentace. Dílčí akceptační řízení bude zahrnovat porovnání skutečného stavu vůči požadavkům této technické dokumentace a jejím přílohám a požadavků daných prováděcí dokumentací.
Výsledkem dílčího akceptačního řízení je akceptační protokol s výsledkem Splněno (Akceptováno) nebo Nesplněno (Neakceptováno), podepsaný oprávněnými osobami smluvních stran.
Součástí akceptačního protokolu ke každé oblasti díla bude i soupis předaných prvků včetně jejich sériových čísel.
Dílčí akceptace mohou probíhat v libovolném pořadí, je-li to technicky a organizačně možné a vhodné.
10.2 Souhrnné akceptační řízení - akceptace
Souhrnné akceptační řízení bude zahrnovat porovnání skutečného stavu vůči požadavkům smlouvy a této technické dokumentace, která je její přílohou, a jejích příloh, funkčního i nefunkčního charakteru - licence a příslušenství.
vad drobných, pro které může být opakování akceptačního řízení zbytečně nákladné.
10.3 Opakované akceptační řízení
Jestliže plnění nesplňuje podmínky stanovené pro akceptaci, bude obsahem akceptačního protokolu vyjádření Nesplněno (Neakceptováno) spolu s popisem závad a uvedením termínů pro jejich nápravu. Zhotovitel napraví tyto nedostatky a akceptační řízení v odpovídajícím rozsahu bude provedeno znovu. Proces testování a následných oprav se bude opakovat, přičemž výše uvedená ustanovení se použijí obdobně. Proces testování a následných oprav lze opakovat, dokud zhotovitel nesplní požadavky pro akceptaci řádnou s výsledkem Splněno (Akceptováno), nejvýše však 2x (dvakrát).
V situaci, kdy by bylo nutné opakovat akceptační řízení více jak 2x (dvakrát), bude takové opakování považováno za podstatné porušení smlouvy ze strany zhotovitele a objednatel bude oprávněn odstoupit od smlouvy. Prodlení vzniklé v souvislosti s potřebou opakování akceptačních řízení bude považováno vždy za prodlení vzniklé na straně zhotovitele se zachováním důsledků takového prodlení, tedy zejména smluvních pokut na základě uzavřené smlouvy.
11 Harmonogram plnění
Objednatel požaduje realizaci předmětu plnění dle následujícího harmonogramu. Harmonogram je sestaven tak, aby jednotlivé práce na sebe logicky navazovaly a zároveň byl v souladu s požadavky výzvy IROP, ze které má být předmět plnění spolufinancován (s ohledem na termín dokončení předmětu plnění). S ohledem na možnost kontroly realizace plnění z pohledu času (tj. dílčí vyhodnocování dodržování harmonogramu realizace) je harmonogram doplněn milníky. Započetí každého milníku je možné pouze za předpokladu, že bude provedena akceptace všech milníků předcházejících.
Aktivita projektu | Termín nejpozději do |
Zpracování prováděcí dokumentace, připomínkování ze strany objednatele, vypořádání připomínek, finalizace dokumentu. | 4 týdny |
Akceptační řízení prováděcí dokumentace | 1 týden |
Předání prováděcí dokumentace | T + 5 týdnů |
Dodávky komponent řešení a instalace Implementace dodaného řešení prováděcí dokumentace - nastavení / konfigurace / parametrizace jednotlivých oblastí, provedení integrací na spolupracující systémy atd. Zpracování a dodávka provozní dokumentace. Zpracování školících materiálů. | 15 týdnů |
Připravené prostředí pro testovací provoz, předání do testovacího provozu. | T+20 týdnů |
Prezenční zaškolení IT administrátorů. Předání do testovacího provozu. | 1 týden |
Testovací provoz s dohledem a podporou zhotovitele. Oprava chyb a neshod, případná definice změnových požadavků. Aktualizace dokumentace Dodávka licencí (listinné potvrzení dodaných licencí co do jejich počtu a rozsahu). | 3 týdny |
Akceptační řízení - porovnání skutečných vlastností se požadavky smlouvy. | 1 týden |
Akceptace projektu, předání systému do rutinního provozu. | T+25 týdnů |
Poznámka: Ve sloupci „Termín nejpozději do:“ znak „T“ vyjadřuje datum účinnosti smlouvy.
12 Projektové řízení
Jako součástí plnění jsou požadovány pravidelné projektové schůzky v sídle objednatele min. 1x každých 21 kalendářních dní a dále ad-hoc pracovní schůzky k problematice řešení jednotlivých oblastí plnění, včetně projednání a odsouhlasení výstupů pro konfiguraci a nastavení jednotlivých oblastí plnění pro potřebu objednatele.
S ohledem na rozsah projektu a dopad jeho zavedení do produkčního provozu na výkon činnosti objednatele je v rámci předmětu plnění objednatelem požadováno aplikování základních principů projektového řízení ze strany zhotovitele. Jedná se zejména o řízení projektových prací v souladu s uzavřenou smlouvu s ohledem na:
• věcné plnění - rozsah, posloupnost a hloubku projektových prací,
• závazný harmonogram projektu - dodržování termínů v harmonogramu, podchycení případných kolizí, zpoždění nebo vznikajících rizik a jejich reportování směrem k objednateli, aktivní řešení výše uvedených nestandardních situací).
Dále se jedná o zpracování pravdivých, úplných a věcně jasných a vypovídajících zápisů ze všech konzultačních a projektových schůzek a pracovních jednání (s cílem zaznamenání klíčových rozhodnutí, ujednání, navržených nebo dohodnutých způsobů řešení dílčích částí projektu atd.). Uvedené zápisy budou zpracovány během schůzek a jednání, případně budou zpracovány a předány objednateli nejpozději do dvou pracovních dnů po těchto jednáních.
1 Technická specifikace řešení
Zadavatel požaduje dodávku jednotlivých komponent dle této technické dokumentace včetně příslušenství v níže uvedené minimální specifikaci.
Musí se jednat o zařízení nová, nepoužitá, nerepasovaná a určená pro prodej v České republice. Součástí dodávky níže uvedených technologií budou i dále uvedené služby.
Součástí dodávky bude dále dodávka dokumentace a nezbytné zaškolení administrátorů v prostředí kupujícího k běžnému provozu a ovládání dodaných technologií včetně specifik a konfigurace provedené v prostředí kupujícího.
Nabízené zboží musí být standardní, běžně dostupné a určené k produkčnímu použití. Není dovoleno použití beta-verzí, kódu s custom úpravami či neoficiálních verzí.
Veškeré nabízené zboží musí být pokryto oficiálním supportem, přičemž požadavek na provedení bezplatného servisního zásahu musí být možné kdykoliv vznést přímo na výrobce zařízení.
Veškeré deklarované funkce a technické parametry nabízeného zboží musí být dostupné nejpozději dnem podání nabídky.
Deklarované funkce a technické parametry nabízeného zboží musí být ověřitelné prostřednictvím oficiálních datasheetů, release notes či manuálů vydaných výrobcem.
Užité pojmy níže:
• NBD - další pracovní den, tzn. například realizace opravy zařízení nejpozději další pracovní den od nahlášení
• x BD - x pracovních dnů, tzn. například realizace opravy zařízení nejpozději poslední pracovní den dané lhůty od nahlášení
• on-site - realizace například opravy zařízení v místě dodávky
Z důvodu kompatibility se stávající infrastrukturou a proškolených správců počítačové sítě, mohou být v zadávací dokumentaci uvedeny konkrétní značky výrobků, nebo určitý výrobce. Tyto důvody jsou vždy uvedeny v konkrétní části specifikace tam, kde dochází k uvedení konkrétního produktového názvu. V souladu s § 89 odst. 6 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, zadavatel připouští možnost dodávky rovnocenného řešení, které však musí zajistit celý komplex služeb, který je kompatibilitou vyžadován, tedy komplexní řešení agendových informačních systémů nad touto platformou vybudovaných a provozovaných, které předmětnou infrastrukturu užívají a slouží k výkonu veřejné správy zadavatele.
Propojení zařízení - SFP moduly a kabely
Všechny dodané technologie musejí být v rámci dodávky propojeny odpovídajícím způsobem a technologií, tedy zejména pro všechny síťové karty jednotlivých zařízení musejí být dodány i SFP a obdobné moduly a kabely do serverovny kupujícího, které takové propojení v kvalitě požadované u každého ze zařízení umožní. V případě 10Gbit karet musí být dodány SFP prvky a kabely umožňující využití této maximální rychlosti karty, v případě jiných rychlostí toto pravidlo musí být dodrženo stejně.
Popis stávajícího prostředí a požadavky na jeho úpravu v souvislosti s dodávkou nových zařízení a licencí
1.1 Architektura stávajícího prostředí ve vazbě na realizované plnění
Zadavatel provozuje jedno datová centrum, ze kterého poskytuje služby uživatelům prostřednictvím lokální sítě v lokalitě „Velvarská“ a prostřednictvím 100 Mbit optického spoje též uživatelům v lokalitě
„Masarykovo náměstí“.
Stávající vybavení datového centra Velvarská | |
Název komponenty | Typ / model |
Hyper-V servery | 2x DELL PowerEdge R740, HPE Proliant DL20 Gen10 |
Virtuální servery | GIS, Active Directory, VERA, SQL, BACKUP |
Soubor NAS | Synology DS-216, DS-218, DS-240, QNAP-TSX73 |
Firewall | Sophos SG230 |
UPS | XXXXX 5PX 2200 + EBM |
switche | 2x DELL N3024, 4x Cisco SF300 |
Stávající vybavení lokality Masarykovo náměstí | |
Název komponenty | Typ / model |
switche | 7x TP-LINK (SG2424P a T1600G-28S, 7x Cisco SF300- 24, 2x 3COM Baseline 2226 Plus |
UPS | TENDA TEF1110P-8-102W |
1.2 Popis plnění dle této technické dokumentace
Předmětem plnění této technické dokumentace je dodávka a implementace opatření v oblasti kybernetické bezpečnosti pro město Slaný, a to včetně nedílně souvisejících požadavků typu dodání licencí, zaškolení a zpracování dokumentace. Plánovaná IT architekturu MěÚ Slaný po zavedení technických opatření je schematicky znázorněna níže. Komponenty nově pořizované v rámci navržených opatření jsou vyznačeny oranžově.
Objednatel požaduje dodávku následujících zařízení a SW licencí:
Oblast kybernetické bezpečnosti / část díla | Typ | Název položky |
Oblast Zvýšení zabezpečení komunikační sítě | SW | SW pro řízení přístupu do sítě 802.1x |
HW | Páteřní přepínače s příslušenstvím Přístupové přepínače s příslušenstvím Přístupové bod WiFi s příslušenstvím Next-generation Firewally s příslušenstvím | |
Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů | SW | SW pro komplexní správu logů |
HW | Server prologování Úložiště pro logování | |
Oblast Zavedení nástroje pro ověřování identit uživatelů a správců IS | SW | SW pro autentizaci uživatelů pomocí identifikačních karet |
HW | USB čtečky |
Hybridní karty | ||
Oblast Vytvoření záložní lokality pro zajištění kontinuity provozu IS | SW | Licence SW pro ukládání záloh do zabezpečené úložiště Licence SW pro replikaci virtuálních serverů do záložní lokality Licence oper. systému včetně hypervizoru pro replikované virtuální servery Klientské licence operačních systémů |
HW | Zabezpečené úložiště pro záložní lokalitu s příslušenstvím Server - produkční pro redundantní prostředí (druhá lokalita) UPS s příslušenstvím | |
Oblast Bezpečnost technologických místností | SW | Systém pro řízení přístupových terminálů Centrální monitorovací systém pro RMS |
HW | Přístupový terminál s biometrickým ověřováním, včetně elektronického zámku s příslušenstvím Bezpečnostní IP kamera s příslušenstvím Systém pro správu kamer a nahrávání Rack Management Systém s příslušenstvím Zhášecí systém s příslušenstvím | |
Oblast Sdílené systémové prostředky | SW | SW pro serverovou virtualizaci pro server určený k rozšíření stávajících serverových systémových prostředků |
HW | Server určený k rozšíření stávajících serverových systémových prostředků | |
a související příslušenství |
1.3 Požadavky na technické řešení
Hlavním cílem je zvýšení kybernetické bezpečnosti a naplnění požadavků daných zákonem číslo 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), tj. v souhrnu zajištění a zvýšení bezpečnosti informačních a komunikačních systémů objednatele.
Pokud zhotovitel vyžaduje využití konkrétních softwarových produktů a jím zvolený přístup k realizaci zadání je na takových konkrétních řešeních závislý, musí jejich pořízení zahrnout ve své nabídce v potřebném rozsahu a v rámci nabídnuté ceny.
Pokud zhotovitel nabízené řešení vyžaduje komponenty nebo služby neobsažené v požadavcích zadání, zahrne zhotovitel do své ceny všechny náklady na jejich pořízení, instalaci, konfiguraci a další služby potřebné pro uvedení do provozu.
Zadavatel z důvodů jednotné správy IT infrastruktury a minimalizace provozních nákladů vyžaduje využití stávajících prostředků a používaných technologií. V případě, že zhotovitel vyžaduje ve svém řešení stejné nebo podobné funkce, jaké poskytují stávající prostředky a technologie, je povinen využít nebo vhodným způsobem rozšířit stávající prostředky.
Veškeré komponenty, které zhotovitel dodává v rámci předmětu plnění, musí splňovat následující podmínky: | Jedná se o nové a nerepasované komponenty.
Byly oprávněně uvedeny na trh v EU nebo pochází z autorizovaného prodejního kanálu výrobce. Mají plnou záruku od výrobce. Mohou být podporovány výrobcem a mohou být součástí servisního a podpůrného programu výrobce. Obsahují všechny nezbytné licence na používání příslušného softwaru. Jsou v databázi výrobce uvedeny jako prodaná kupujícímu - zadavateli. Zadavatel si vyhrazuje právo na zjištění původu výrobků při jejich předávání, a to dle příslušných sériových čísel a právo podpisu akceptačního protokolu, osvědčujícího převzetí dodávky, až po ověření původu výrobku.
1.4 Obecné požadavky na jednotlivé části díla
Oblast Zvýšení zabezpečení komunikační sítě provedena výměna části stávajících přístupových přepínačů pro možnost plošné implementace technologie 802.1X Budou dodány a implementovány přístupové body WiFi s centrální správou.
Bude
Architektura WiFi bude založena na řešení s centrální správou prováděnou kontrolérem (řadičem), který bude součástí firmwaru síťových prvků a zajistí automatické rozložení zátěže klientů, roaming mezi spravovanými přístupovými body a automatickou detekci a reakci na rušení cizím signálem.
V celé LAN bude implementováno řízení přístupů k mediu (síti) na základě rolí a členství v uživatelské skupině adresářové služby Active Directory založené na standardu IEEE 802.1X. Stejný standard řízení přístupů bude implementován i pro zařízení bez podpory Active Directory, pouze pro autentizaci bude využit jiný, zařízením podporovaný, způsob - certifikát apod. Bude implementován vysoce dostupný síťový / perimetrový firewall pro provádění hloubkové kontroly komunikace mezi interními subjekty (uživatel, zaměstnanec, server), ověřování validity komunikačních a aplikačních protokolů, filtrací nežádoucích adres a antimalwarovou kontrolou. Ochrání tak interní systémy před zavlečením škodlivého kódu z prostředí internetu či jiných veřejných/externích sítí. Bude poskytovat také prostředky VPN pro vzdálený přístup uživatelů a ochranu aplikací publikovaných z interní sítě do internetu.
Ověřování přístupu do LAN bude realizováno protokolem 802.1X vůči adresářové službě prostřednictvím protokolů radius a P/EAP. Neověřená zařízení nezískají přístup do sítě vůbec nebo jim bude zpřístupněna pouze VLAN s omezeným přístupem (např. Intranet). Spolu s ověřováním (autentizací) bude implementována i autorizace, tedy dynamické zařazení klientského zařízení nebo uživatele do určené VLAN. Součástí dodávky bude vzorová konfigurace 802.1x na všech typech koncových zařízení Objednatele. Ověřování přístupu do WiFi sítě bude realizováno na stejném principu jako LAN (tj. protokol 802.1X + radius). Wifi bude nabízet více SSID (např. zaměstnanci, hosté, veřejnost), které budou obsluhovány samostatnými VLAN a budou napojeny na radius servery. Zaměstnanci budou prostřednictvím radius serveru ověřováni v adresářové službě. Zabezpečení vnitřních sítí (BSSID) bude provedeno dle 802.1i, tedy
- WPA2/3 s AES šifrováním a konfigurováno shodně pro obě frekvenční pásma. Výjimkou bude síť určená výhradně pro hosty popř. veřejnost, kde bude realizován tzv. captive portál zajišťující webovou autentizaci hostů pomocí přidělených účtů nebo za pomoci před-generovaných číselných kupónů. Preferován bude captive portál firewallu s tzv. lobby přístupem pro správu a generování účtů/kupónů ne- technickou osobou. Pro hosty a veřejnost budou zřízeny samostatná VLAN (, které bude komunikačně odděleny od vnitřních sítí organizace. Tyto VLAN bude mít své L3 rozhraní až na úrovní stávajícího firewallu tak, aby bylo možné komunikaci podrobit kontrole za pomoci UTM nástrojů (min. AV, IPS, kategorizace obsahu) a mohl jí být přiřazen samostatný profil odlišný od profilů pro zaměstnance.
Řízení provozu v LAN bude realizováno vytvořením VLAN (802.1Q), segmentací sítě s přepínáním
provozu mezi VLAN na úrovni centrálního přepínače s nastavitelnými ACL. Pro řízení provozu na úrovni kvality služeb bude k dispozici technologie QoS (Quality of Services). Pro zajištění vysoké dostupnosti služeb budou klíčové aktivní prvky propojeny duálními trasami s automatickým rozkládáním zátěže a převzetím služeb v případě výpadku jedné trasy.
Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů Bude implementován nástroj pro správu logů (tzv. log management). Nástroj bude automatizovaným způsobem sbírat, normalizovat a spravovat logy a data síťových toků KS bezpečnostní a provozní povahy napříč KS a IS. Uložené logy bude možné snadno prohledávat či filtrovat na základě multikriteriálních dotazů napříč zdroji logů.
Zavedený nástroj bude obsahovat notifikační systém, kdy notifikace bude možné navázat na výskyt provozní či bezpečnostní události. Součástí bude pořízení nezbytných systémových prostředků, které budou dedikovány pouze pro provoz nástrojů tohoto opatření.
Oblast Zavedení nástroje pro ověřování identit uživatelů a správců IS Bude implementován nástroj autentizace uživatelů s využitím více faktorové (víceúrovňové) autentizace Ověřování uživatele při přihlašování ke koncovému zařízení (resp. jeho operačnímu systému) bude prováděno pomocí identifikačních karet typu smart card, které budou sloužit jako bezpečné úložiště uživatelských certifikátů, kterými bude ověřována identita uživatele.
Autentizační prostředky (karty smart card) budou certifikovány jako kvalifikovaný prostředek pro vytvoření a používání kvalifikovaného elektronického podpisu při uložení příslušných uživatelských certifikátů vydávaných veřejnými certifikačními autoritami. Autentizační prostředky budou vedle kontaktní části (smart card) obsahovat i bezkontaktní část, která bude využívána pro autentizaci uživatelů v docházkovém/přístupovém systému, popřípadě dalších systémech založených na stejné technologii.
Součástí nástroje bude komplexní nástroj pro evidenci a řízení celého životního cyklu karet a uložených certifikátů, včetně jednoduché automatické obnovy certifikátu uživatelem pomocí grafického průvodce před vypršením platnosti certifikátu. Systém bude umožnovat jednoduchou správu identifikačních prostředků tak, aby mohla být prováděna zaškoleným uživatelem - např. personalistou, a to včetně prvotního vydání karty a certifikátu uživateli.
Oblast Vytvoření záložní lokality pro zajištění kontinuity provozu IS Dojede k vytvoření záložní lokality pro zajištění kontinuity provozu IS Bude implementován redundantní server s dostatečným výkonem a interní diskovou kapacitou pro provoz IS organizace v případě výpadu primárních systémů/prostředků. Napájení serveru bude zálohováno UPS. Součástí serveru budou nezbytné licence operačních systémů. Server bude umístěn společně se zabezpečeným úložištěm, aby bylo možné v případě ztráty primárních systémů obnovit IS ze zabezpečených záloh a zajistit poskytování služeb IS. Bude dodáno a implementováno bezpečné datové úložiště typu „garantované úložiště“ či „datový trezor“ (déle systém), které zajistí po určenou dobu (tzv. retenční lhůtu) neměnnost (tj. i nesmazatelnost) uložených dat.
Zabezpečené úložiště bude disponovat vlastní správou uživatelů nezávislou na ostatních systémech (Active Directory apod.), jeho operační systém odlišný od majoritně používaných operačních systémů v organizaci (Windows server a desktop) a i jeho souborový systém odlišný od majoritně používaných souborových systémů v organizaci. Bude obsahovat systém retenčních politiky, které neumožňují po
nastavenou dobu změnit či odstranit uložená data. Zabezpečené úložiště bude mít nastavenu dostatečnou retenční lhůtu ukládaných dat (min. jednotky dnů), aby v případě úspěšného kybernetického útoku měli správci systémů dostatek času útok zaznamenat a reagovat na něj a nedošlo k přepsání uložených dat běžným provozem (uložením další (potenciálně vadné) zálohy).
Zabezpečené úložiště bude integrováno se zálohovacím systém pro automatické ukládání provozních záloh a uvolňování úložné kapacity při vypršení retenční lhůty uložených dat.
Oblast Bezpečnost technologických místností Přístup do obou datových center a prostor s důležitými aktivními prvky (přepínači) bude zabezpečen implementací přístupového systému s ověřováním osob na bází biometrie a identifikačního média (karta), přístupových terminálů a elektronických zámků s logováním přístupů. Bude implementován systému Rack Monitoring http, tedy systému monitoringu prostředí a přístupů do hlavních datových rozvaděčů s napojením na centrální konzolu a hlášením událostí. Konzola dále zajistí okamžitý i historický přehled o funkčnosti systémů (ping, vytížení/kapacita, elektrický kontakt atd.) a jejich provozních parametrech. V obou datových centrech bude implementován zhášecí systém datových rozvaděčů (racků) pro automatickou detekci a likvidaci požáru. V obou datových centrech bude implementován kamerový systém s ukládáním záznamů pro monitoring činností osob a stavu technologií v datovém centru
Oblast Sdílené systémové prostředky Pro provoz nově implementovaných systémů (řízení sítě IEEE 802.1X, IDM, autentizace uživatelů kartami, přístupový systém, centrální konzola apod.) bude dodán server včetně licencí pro virtualizaci a operační systémy.
1.5 Funkční požadavky na jednotlivé části díla
V této části jsou uvedeny povinné parametry prvků realizovaného řešení pro plnění díla.
V případě, že by zadávací podmínky obsahovaly požadavky nebo odkazy na určité dodavatele nebo výrobky, nebo patenty na vynálezy, užitné vzory, průmyslové vzory, ochranné známky nebo označení původu, které by vedlo ke zvýhodnění určitých dodavatelů nebo určitých výrobků, zadavatel v takových případech výslovně umožňuje pro plnění VZ použití i jiných, kvalitativně a technicky rovnocenných řešení. Zadavatel v některých částech této specifikace označuje konkrétními názvy zařízení, software a technologie, které v současné době využívá, a pro které požaduje s nově pořizovanými zařízeními plnou kompatibilitu, a to z důvodu ochrany předchozích investic a využitelnosti těchto zařízení. Jedná se tedy o konkrétní označení stávajících zadavatelem využívaných zařízení, se kterými požaduje kompatibilitu (nikoliv o označení výrobků, které mají být předmětem plnění).
Požadavky na dodávky konkrétních typů a verzí operačních systémů vycházejí z důvodu potřeby objednatele na udržení logické koherence její stávající infrastruktury, kompatibility se stávajícími programy (nad infrastrukturou provozovanými agendovými informačními systém, které není možné migrovat na jiné verze serverových OS a prostředí serverových OS a databází) a z důvodu nezvyšování nákladů na přeškolení uživatelů při případném přechodu na jiný software. Zaměstnanci organizace jsou na tento software již
vyškoleni a použití jiného SW by jí a jejím zaměstnancům způsobilo mimořádné obtíže z důvodu znesnadnění obsluhy, ztráty času dodatečným zaškolováním na jiný SW, nekompatibility s ostatním zařízením v organizaci, a tím i zvýšené náklady.
1.6 Oblast Zvýšení zabezpečení komunikační sítě
2x Páteřní přepínač s příslušenstvím
JL726A Aruba 6200F 48G 4SFP+ Swch
Parametr | Popis parametru | Nabízený parametr |
Provedení | L2/L3 přepínač v rackovém provedení, 1U | ANO |
Porty | min. 48x 1 GbE + 4x 1/10 Gb SFP+ a vyhrazený 1 Gb port pro správu (out-of-band management) | 48x 1 GbE 4x 1/10GbE SFP+ 1x 1 GbE OOBM |
Propustnost | neblokovaná architektura, přepínání/směrování min. 176 Gbps | ANO, 176Gbps |
Agregace portů | podpora LACP, min. 30 skupin, podpora statických a dynamických skupin | ANO, 32 skupin |
Směrování | statické a dynamické routování včetně VLAN, min. OSPF a RIPv2, podpora IPv4 a IPv6, min. 1000 statických routovacích záznamů pro každou verzi IP | ANO 2 048 IPv4 záznamů 1 024 IPv6 záznamů |
Řízení provozu | víceúrovňový QoS, klasifikace provozu min na L2 a L3 včetně DSCP hodnot, podpora standardu 802.1p, prioritizace a limitace na úrovni portu i VLAN | ANO |
VLAN | VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN na základě 802.1X ověření, podpora QinQ a VXLAN, podpora Private VLAN (PVLAN), min. 2000 aktivních VLAN, podpora MVRP pro automatické vytváření a přiřazovaní VLAN | ANO, 2000 aktivních VLAN |
Plná podpora IEEE 802.1X | ANO | |
Dualstack | plný IPv4 a IPv6 dualstack včetně směrování a QoS | ANO |
MAC, ARP | podpora min. 16 000 MAC adres a min. 8000 ARP (IPv4) a 8000 ND (IPv6) záznamů | ANO 32 768 MAC 8192ARP 8 192 ND |
Rozšířené stohování | pokročilé stohování (virtuální šasi) po standardních portech 10 Gb - 2 a více (min 4) přepínače ve stohu se chovají jako jeden vysoce dostupný z pohledu správy i připojených zařízení, přepínač musí umožňovat redundantní stohovací spoje s celkovou propustností min. 40 | ANO, 8 přepínačů ve stohu |
Parametr | Popis parametru | Nabízený parametr |
Gb, rozkládání zátěže i agregaci portů (LACP) napříč virtuálním šasi. | ||
Zrcadlení provozu | zrcadlení síťového L2 a L3 provozu portu(ů)na lokální nebo vzdálený port, řízení obsahu zrcadleného provozu na základě definovaných kritérií | ANO |
Napájení | interní napájecí zdroj | ANO |
Monitoring a správa | Plná podpora CLI, SSHv2, SNMPv3, syslog, sFlow, RMON, web rozhraní HTTP/S. Bezdrátové rozhraní (Bluetooth, WiFi apod.) pro prvotní konfiguraci a následnou správu včetně příslušné aplikace. Integrované REST API rozhraní pro automatizaci | ANO |
Příslušenství | 4x SPF+ 10 Gb modul, SM, min. 1 km, LC port, včetně DMI diagnostiky 4x LC-SC 3m SM kabel Množství je uvedeno pro 1 přepínač | ANO |
Záruka | Záruka a podpora výrobce min. 60 měsíců, včetně nároku na nové verze firmware Záruka na příslušenství min 3 roky | ANO |
12x Přístupový přepínač s příslušenstvím (6 ks v PoE provedení)
R8N85A Aruba 6000 48G CL4 4SFP Swch R8N86A Aruba 6000 48G 4SFP Swch
Parametr | Popis parametru | Nabízený parametr |
Provedení | L2+ přepínač v rackovém provedení, 1U | ANO |
Porty | min. 48x 1 GbE + 4x 1 Gb SFP (nesdílené) a vyhrazený konzolový port pro správu | 48x 1 GbE 4x 1 GbE SFP 1x USB C konzolový port |
Propustnost | neblokovaná architektura, přepínání/směrování min. 104 Gbps | ANO, 104 Gbps |
Agregace portů | podpora LACP, min. 8 skupin, podpora statických a dynamických skupin | ANO, 8 skupin |
Směrování | statické routování včetně VLAN, podpora IPv4 a IPv6, min. 500 statických routovacích záznamů pro každou verzi IP | ANO 512 IPv4 záznamů 512 IPv6 záznamů |
Řízení provozu | víceúrovňový QoS, klasifikace provozu min na L2 a L3 včetně DSCP hodnot, podpora standardu 802.1p, prioritizace a limitace na úrovni portu i VLAN | ANO |
VLAN | VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN na základě 802.1X ověření, min. 500 aktivních VLAN, podpora MVRP pro automatické vytváření a přiřazovaní VLAN | ANO, 512 aktivních VLAN |
Parametr | Popis parametru | Nabízený parametr |
Plná podpora IEEE 802.1X | ANO | |
Dualstack | plný IPv4 a IPv6 dualstack včetně směrování a QoS | ANO |
MAC, ARP | podpora min. 8000 MAC adres a min. 1000 ARP (IPv4) a 500 ND (IPv6) záznamů | ANO 8 192 MAC 1 024 ARP 512 ND |
Zrcadlení provozu | zrcadlení síťového L2 a L3 provozu portu(ů)na lokální nebo vzdálený port, řízení obsahu zrcadleného provozu na základě definovaných kritérií | ANO |
PoE | 6 ks s podporou PoE na všech metalických portech podle standardu IEEE 802.3at, kompatibilita s 802.3af, celkový PoE budget min 370W, PoE třída min. 4 - 30W/port | ANO |
Napájení | interní napájecí zdroj | ANO |
Monitoring a správa | Plná podpora CLI, SSHv2, SNMPv3, syslog, sFlow, RMON, web rozhraní HTTP/S. Bezdrátové rozhraní (Bluetooth, WiFi apod.) pro prvotní konfiguraci a následnou správu včetně příslušné aplikace. Integrované REST API rozhraní pro automatizaci | ANO |
Příslušenství | 2x SPF+ 1 Gb modul, SM, min. 1 km, LC port, včetně DMI diagnostiky 2x LC-LC 3m SM kabel Množství je uvedeno pro 1 přepínač | ANO |
Záruka | Záruka a podpora výrobce min. 60 měsíců, včetně nároku na nové verze firmware Záruka na příslušenství min 3 roky | ANO |
12x Přístupový bod WiFi s příslušenstvím
R2H28A Aruba AP-505 (RW) Unified AP
Parametr | Popis parametru | Nabízený parametr |
Základní funkce | Přístupový bod (AP) standardu Wi-Fi 6 včetně montážního materiálu | ANO |
Frekvence | činnost v radiovém pásmu 2,4 a 5 GHz současně, 2 radiové moduly s podporou standardu OFDMA | ANO |
Anténní systém | interní systém pro min. 2x 2 MIMO, optimalizovaný pro montáž na strop | ANO |
Přenosové rychlosti | SU-MIMO 5GHz min 1200Mbps, SU-MIMO 2.4 GHz min. 550Mbps | ANO 1200 Mbps 5GHz 547 Mbps 2,4GHz |
Parametr | Popis parametru | Nabízený parametr |
Standardy | podpora 802.3at, 802.11n, 802.11ax, 802.1x včetně přiřazování do VLAN | ANO |
Řízení klientů | automatické směrování komunikace klientů z 2.4 GHz na 5 GHz (pokud klienti podporují obě pásma) | ANO |
Rušení | průběžná detekce non-WiFi rušení a spektrální analýza | ANO |
Multi SSID | podpora vysílání min. 8 SSID (WiFi sítí) současně, podpora přiřazení každého SSID samostatné VLAN | ANO, 16 SSID |
Zatížení | min. 250 přiřazených (asociovaných) klientů na radiový modul | ANO, 256 klientů |
Porty | min. 1x 1Gb, PoE s podporou standardů 802.3at a 802.3af | ANO |
Úsporné napájení | podpora standardu 802.3az - Energy-Efficient Ethernet(EEE) | ANO |
Řízení provozu | klasifikace a kontrola provozu, detekce obvyklých aplikací s možností určení priority nebo šířky pásma zvoleného provozu | ANO |
Řízení kvality služeb | automatické řízení kvality služeb (QoS) pro hlas a video | ANO |
Současná obsluha více klientů | Podpora MU-MIMO (Multi-User MIMO) - multi- user multiple input/multiple output | ANO |
Bezpečnost | Detekce cizích přístupových bodů zjištěných v LAN i v radiofrekvenčním pásmu Integrovaný bezpečnostní modul TPM pro uložení citlivých údajů (přihlašovací údaje, šifrovací klíče apod.) | ANO |
Kontrolér | Virtuální, vysoce dostupný kontrolér obsažený ve firmware každého přístupového bodu. Umožňuje kompletní centrální správu WiFi infrastruktury (i prostřednictvím VPN) a řízení jejího provozu včetně roamingu klientů bez potřeby externích systémů - cloud, management aplikace/appliance apod. | ANO |
WPA | podpora standardu WPA3 (Wi-Fi Protected Access III) | ANO |
loT a lokalizace | integrovaná hardwarová podpora standardu 802.15.4 (Zigbee) a Bluetooth 5.0 | ANO |
Monitoring a správa | plná podpora CLI, SSH, SNMP 1-3, syslog, web rozhraní. | ANO |
Správa frekvenčního pásma | automatické dynamické přidělování kanálů a řízení výkonu přístupových bodů pro vyrovnané pokrytí a minimalizaci interference | ANO |
Parametr | Popis parametru | Nabízený parametr |
Příslušenství | Montážní materiál pro upevnění přístupového bodu na rovný povrch (zeď apod.) Množství je uvedeno pro 1 přístupový bod | ANO |
Záruka | Záruka a podpora výrobce min. 60 měsíců, včetně nároku na nové verze firmware | ANO |
1x Software pro řízení přístupu do sítě 802.1X
JZ399AAE R1U36AAE
Aruba ClearPass Cx000V VM Appl E-LTU Aruba ClearPass NL EY 500 CE E-LTU
Parametr | Popis parametru | Nabízený parametr |
Provedení | Software nebo softwarová appliance pokročilého NAC (network access control) na bázi standardu IEEE 802.1X. Integrovaná podpora autentizace, autorizace a účtování (přístupů) uživatelů i koncových zařízení, integrovaný RADIUS server a databáze uživatelů a zařízení. | ANO |
Nastavení přístupů | Nastavení síťového přístupu uživatelů a zařízení podle politik min. pomocí přiřazení VLAN, ACL. Atributy pro definici politik min. IP, MAC, port, VLAN, XxxX XXXX, hostname (PC name), uživatelské jméno (z Active Directory), operační systém | ANO |
Autentizace | Zajištění IEEE 802.1X autentizace a autorizace pro bezdrátové sítě, Ethernet LAN sítě a VPN | ANO |
Základní autentizační metody | Min. PEAP-MSCHAPv2, EAP-TLS, EAP-TTLS, MAC autentizace, certifikáty | ANO |
Identity | Vestavěná databáze identit pro autentizaci, podpora standardních identitních databází - Active Directory, LDAP, ODBC | ANO |
Nezávislá autentizace a autorizace | Úplné oddělení autentizace a autorizace, např. autentizace proti službě Active Directory, autorizace proti externí SQL databázi. | ANO |
Rozšířená autentizace a autorizace | Podpora autentizace a autorizace min. LDAP, Microsoft Active Directory, generická SQL databáze, Kerberos, HTTPS web autentizace, Single Sign-On (minimálně SAML 2+ IdP a SP, OAuth). | ANO |
Kontextová autorizace | Autorizace zařízení a uživatelů na základě kontextových informací jako čas, typ připojení, osobní profil či členství ve skupině v Active Directory. | ANO |
Externí identity | Podpora autentizace externími identitami - xxx. Xxxxxxxxx, Google. | ANO |
Komplexní autorizace | Autorizace uživatelů na základě jejich vlastních accounting informací z předchozích připojení - | ANO |
Parametr | Popis parametru | Nabízený parametr |
např. pro omezení celkového času online či objemu přenesených dat za delší časové období | ||
Dynamická autorizace | Podpora RADIUS CoA podle RFC3576. Možnost změny autorizačního stavu zařízení bez nutnosti změny definice autorizační politiky, např. pro odpojení nebo karanténu koncových zařízení. | ANO |
Bezpečnost | Podpora okamžitého odpojení zařízení při vypršení libovolné autorizační podmínky (např. překročení objemu dat, časového intervalu, stavu zařízení apod.) | ANO |
Správa | Vestavěné nástroje pro testování politik, diagnostiku chování systému i spravovaných zařízení | ANO |
Portál | Captive portál pro uživatele a jejich rozšířenou autentizaci, podpora více graficky i obsahově unikátních portálů provozovaných souběžně. Integrovaná podpora úpravy vzhledu | ANO |
Rychlé V. 1 i z v z přihlášeni | Podpora přihlášení prostřednictvím QR kódu. Zapamatování úspěšně autentizovaných/registrovaných klientů a zjednodušení opakovaných přihlášení (např. jen potvrzení uvítací/informační) stránky. | ANO |
Registrace | Podpora samoobslužné registrace s ověřením SMS, e- mailem apod. | ANO |
Ochrana identit | Veškeré identitní údaje v systému budou uložena ve výrobcem dodané a podporované šifrované databázi, které bude nativní součástí dodaného produktu, s minimální enkrypcí uložených dat ve standardu AES min. 128-bit. | ANO |
Speciální zařízení | Podpora autentizace a řízení přístupů speciálních ("nepočítačových") zařízení např. tiskárny, modality, technologické prvky, IoT. | ANO |
Vysoká dostupnost | Integrovaná podpora vysoké dostupnosti v režimu active-active, tj. vytvoření clusteru min. 2 appliance. Druhá appliance není součástí dodávky. | ANO |
Licence | Trvalá licence pro min. 150 současně aktivních (systémem ověřených) uživatelů bez omezení počtu připojených zařízení nebo 500 současných (konkurenčních) koncových zařízení ověřených pomocí 802.1X bez omezení počtu uživatelů. | ANO, 500 současných koncových zařízení |
Automatizace a integrace | REST-API rozhraní min. pro základní funkce AAA. | ANO |
Kompatibilita | Software nebo appliance určen pro provoz v prostředí stávající serverové virtualizace | ANO |
Podpora | Podpora výrobce 60 měsíců včetně nároku na nové verze a aktualizace software | ANO |
2x Next-generation firewall s příslušenstvím
FG-60F
FC-10-0060F-950-02-60
FortiGate 60F, HW only
FortiGate 60F, Licence, Unified Threat Protection + FortiCare Premium 5YR
Parametr | Popis parametru | Nabízený parametr |
Porty | min 10x 1GbE (min. 2x WAN), USB pro ext. modem | Ano |
NGFW | Min. základní funkce Next-generation firewall- viz xxxxx://xx.xxxxxxxxx.xxx/xxxx/Xxxx- generation_firewall-firewall, aplikační firewall s DPI, IPS. Administrace na bázi "objektů" (aplikace, uživatelů, lokality apod.) namísto IP adres, portů apod. | Ano |
Počet současných spojení | min. 600 000 | 700 000 |
Propustnost SSLVPN | min. 800 Mbps, při licenčním nebo technickém omezení počtu klientů požadujeme min. 25 klientů | 200 users |
Propustnost SSL inspekce | min. 600 Mbps | 630 Mbps |
Propustnost firewallu | min. 10 Gbps (pro UDP pakety >= 512 bytů) | 10 Gbps |
Propustnost NGFW | min. 1000 Mbps | 1 Gbps |
Propustnost IPS | min. 1200 Mbps | 1.4 Gbps |
Propustnost detekce škodlivého kód | min. 700 Mbps | 700 Mbps |
Virtualizace | min. 5 virtuálních kontextů | 10 |
Vysoká dostupnost | režimy Active/Passive i Active/Active se společnou konfigurací | ano |
Dualstack | podpora současného běhu IPv4 a IPv6 | ano |
Aplikační kontrola | detekce, monitoring, povolení či zakázání obvyklých síťových aplikací na základě signatury dané aplikace, nikoliv dle portu Kontrola komunikace v SSL šifrovaných protokolech (HTTPS, IMAPS, POP3S,...) | ano |
Antivir | Integrovaný antivirus, možnost volby různých databází signatur, podpora archivace škodlivého obsahu, podpora protokolu ICAP pro offload AV detekce, možnost detekce tzv. Grayware (rootkit, malware, spyware, keylogger, atd) | ano |
Parametr | Popis parametru | Nabízený parametr |
Kategorizace a blokace provozu | založená na kategorizaci webového obsahu, možnost monitorování navštívených kategorii na uživatele či skupinu, možnost kvóty - uživatel může navštěvovat určitou kategorii jen po určitou dobu během dne | ano |
Antispam | antispamová a antivirová inspekce elektronické pošty | ano |
Sandbox | integrovaný sandbox (ověření škodlivosti kódu spuštěním v reálných operačních systémech) v zařízení nebo integrované rozhraní pro napojení na externí službu výrobce zařízení (služba součástí dodávky) | ano |
Aktualizace | automatická aktualizace bezpečnostních funkcí poskytovaná výrobcem zařízení | ano |
Ověřování uživatelů | LDAP, Active Directory, Single Sign On vůči Active Directory, Radius, Ověřování na základě certifikátu | ano |
Management a monitoring | HTTP/S, SSH, SNMP, syslog, | ano |
SD-WAN | integrovaná podpora SD WAN-min. rozkládání zátěže a vysoká dostupnost více internetových přípojek | ano |
Sledování toků | export síťových toků (Netflow nebo ekvivalent) | ano |
Standardní funkce | NAT, statické a dynamické routování, publikace interních serverů | ano |
Záruční servis | Záruka a podpora výrobce min. 60 měsíců v režimu 24x7. Odeslání náhradního zařízení max. následující pracovní den po nahlášení závady. Včetně nároku na bezpečnostní aktualizace firmware a bezpečnostních funkcí-URL filtrace, IPS, antimalware, antispam, aplikační kontrola, sandbox) | Ano |
1.7 Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů
1x Software pro komplexní správu logů
Parametr | Popis parametru | Nabízený parametr |
Základní funkce | Systém pro sběr, ukládání a správu provozních a bezpečnostních informací a událostí ze sledovaných systémů | ANO |
Protokoly sběru logů | Minimálně syslog, TCP, UDP, HTTP, JSON | ANO |
Wazuh - Open Source XDR. Open Source SIEM xxxxx://xxxxxxxxxxxxx.xxxxx.xxx/xxxxxxx/xxxxx.xxxx
Parametr | Popis parametru | Nabízený parametr |
Sběr síťových toků | Netflow či kompatibilní dle dodávaného typu firewallu a přepínačů | ANO |
Zdroje logů | Min. REST API, textové soubory, Radius, Active Directory, MS SQL databáze, Windows Event Log-včetně rozšířených "Applications and Services Logs", síťové prvky- syslog a Netflow, ostatní aktivní prvky- syslog, SNMP trap, Microsoft/Office 365, Sysmon (Windows OS) | ANO |
Parsování logů | Integrovaný nástroj pro parsování logů. Možnost nahrání části logu, online vytváření parseru a snadné testování výsledku. Podpora vytváření opakovaně použitelných vzorků-např. definice IP adresy regulárním dotazem apod. | ANO |
Retence | Uchovávání logů min. 6 měsíců, automatická retence logů a indexů | ANO |
Geolokace | Podpora automatické doplňování logů o informaci o lokalitě podle IP adresy | ANO |
Normalizace logů | Sjednocení názvů shodných dat z různých zdrojů logů např. pro snadné vyhledávání napříč zdroji | ANO |
V ZV Z | O Rozšířeni logů | Podpora rozšíření logů o vlastní statické a dynamické (kalkulované) položky integrovaným nástrojem. | ANO |
Bezpečnost | Podpora šifrované komunikace se zdroji (SSL apod.), ověřování zdrojů (TLS apod.) | ANO |
Výkon | Min. 500 EPS (event per second), 5000 FPM (flows per minute) | ANO |
Dashboardy | Uživatelské vytváření dashboardů (pracovních desek) včetně možnosti využití grafických prvků (grafy, mapy, | ANO |
Parametr | Popis parametru | Nabízený parametr |
histogramy apod.) i strukturovaných dat (tabulek) | ||
Export dat | Export dat do csv a/nebo obdobného strojově čitelného formátu - min. výsledky hledání | ANO |
Kanály | Možnost vytváření kanálů- datových sad či toků-na základě pravidel (logických podmínek) a to i napříč různými zdroji. Podpora dalšího zpracování- tvorba alarmů, zobrazení na dashboardu, online odesílání do nadřazeného systému apod. | ANO |
Alerty, notifikace | Podpora vytváření alertů-vznik události, překročení hodnoty apod., zasílaní upozornění | ANO |
Active Directory | integrace s Active Directory pro ověřování uživatelů, nastavení oprávnění min. administrátor a operátor | ANO |
Vyhledávání | Rychlé a intuitivní vyhledávání v záznamech napříč všemi zdroji i při velkých objemech dat (řády TB). Jednoduchý dotazovací jazyk. Rychlá vyhledávání či filtrování bez tvorby dotazů- např. výběrem v kontextovém menu vybraného pole uloženého záznamu. | ANO |
Ovládání | Intuitivní grafické webové rozhraní dostupné z běžných prohlížečů (Edge, Chrome, Firefox) | ANO |
Kompatibilita | Podpora provozu v prostředí nabízené serverové virtualizace | ANO |
Ukládání dat | do databáze, případná databázová licence musí být součástí dodávky | ANO |
Integrace | Vestavěná podporu pro integrace se sysmon - zpracování dat a událostí včetně hlídání spuštěných | ANO |
Parametr | Popis parametru | Nabízený parametr |
příkazů přes powershell/CMD, procesů | ||
Zranitelnosti | Automatické skenování operačních systémů a nainstalovaných aplikací, detekce zranitelností vůči průběžně aktualizované databázi | ANO |
Licence | Min pro 150 zařízení / IP adres | ANO |
Podpora | Podpora min. 60 měsíců včetně poskytnutí opravných verzí | ANO |
1x Server pro logování
DELL PowerEdge R250 Server
Parametr | Popis parametru | Nabízený parametr |
Provedení | rackové provedení max. 1U včetně výsuvných kolejnic a montážního materiálu do racku | Ano, rack 1U včetně výsuvných kolejnic a montážního materiálu do racku |
CPU | Minimálně 1x procesor osmijádrový. Výkon procesoru dle xxxxx://xxx.xxxxxxxxxxxx.xxx/ min. 17700 bodů | Ano, Intel Xeon E-2378G @ 2.80 GHz 22 302 bodů |
RAM | 64 GB, min. 3200 MT/s, rozšiřitelnost min. na 128 GB | xx/xxX-xxx-xxxxxxxxx-x000-xxxx-xxxxx.xxx |
Úložiště pro hypervizor | Min. 2x SSD 240 GB, RAID1, provedení M.2, nezabírá pozice HDD | Ano, konfigurace obsahuje BOSS controller card + with 2 M.2 Sticks 240G (RAID 1),LP |
Bezpečnost | Integrovaný modul TPM 2.0 | Ano |
Úložiště | Min. 4x 4TB, SAS nebo NLSAS 12Gb 7 200 ot./min, výměnné za provozu | Ano, 4x 4TB 7.2K RPM SAS ISE 12Gbps 512n 3.5in Hard Drive |
RAID hardware | SAS 12Gb, RAID 1,5,6, zálohovaná zapisovací cache min. 8 GB | cards?guid=guid-aaaf8b59-903f-49c1-8832- f3997d125edf&lang=en-us |
LAN | 2x 1GbE s podporou virtualizace- VMware NetQueue, Microsoft VMQ. 1x 1GbE samostatný port pro vzdálený management | Ano, viz xxxxx://Xxxxx.xxx/xxxxx/xxxxxxxxxxx/Xxxxxxx_Xxxx/ en/dell-emc-poweredge-r250-spec-sheet.pdf |
Parametr | Popis parametru | Nabízený parametr |
USB | min. 3 USB konektory-min. 1x verze 3.0, min. min .1x na čelním panelu s podporou bootování, min. 1x interní | Ano, viz. xxxxx://XxxX.xxx/xxxxx/xxxxxxxxxxx/Xxxxxxx_Xxxx/ en/deH-emc-poweredge-r250-spec-sheet.pdf |
Vzdálená správa | Servisní modul s možnosti samostatného přístupu po management síti, možnost vzdálené klávesnice, myši a obrazovky bez nutnosti běhu OS, možnost zapínat a vypínat server, možnost bootování se vzdáleného média. Vyhrazený LAN port, podpora http/s, SSH, SNMP, syslog. Okamžité a historické hodnoty teplot a napájení. Podpora vícefaktorového ověřování (autentizace). | Ano, viz xxxxx://xxx.xxxx.xxx/xxxxxxx/xxxxxxx/xx- us/idrac9-lifecycle-controller-v4.x- series/idrac9_4.00.00.00_ug_new/licensed-features- in-idrac9?guid=guid-e8a767a7-3648-48d7-945a- a700da1d5c96&lang=en-us |
Provozní podmínky | Určen a podporován pro provoz v běžném neklimatizovaném prostředí do 35 stupňů Celsia | Ano, viz xxxxx://Xxxxx.xxx/xxxxx/xxxxxxxxxxx/Xxxxxxx_Xxxx/ xx/xxxx-xxx-xxxxxxxxx-x000-xxxx-xxxxx.xxx |
Napájení | Plus) | Ano |
Manageme nt | Stavové informace na čelním panelu s výraznou indikací nestandardních a chybových provozních stavů či parametrů (min. napájení, teplota, vada HDD. Aktivní indikace standardního provozního stavu. V případě závady zobrazuje její popis v textové formě. | Ano, server je osazen čelním krytem s LCD displejem |
Operační systém | Včetně operačního systém pro provoz Software pro komplexní správu logů | Ano |
Záruční servis | Záruční servis na dobu 60 měsíců poskytovaný výrobcem, oprava následující pracovní den od nahlášení v místě instalace, technická podpora výrobce v českém jazyce. Dostupnost ovladačů a dokumentace na webu | Ano |
Parametr | Popis parametru | Nabízený parametr |
výrobce dle výrobního/sériového čísla serveru. |
1x Úložiště pro logování
Synology DS923+ DiskStation Synology HAT5310-8T 3.5" SATA HDD
Parametr | Popis parametru | Nabízený parametr |
Provedení | Pro archivaci logů, samostatně stojící, možno umístit i mimo rack | Ano, desktop-tower |
Výkon | 64 bit CPU, min. 2 jádra | Ano, AMD Ryzen Embedded R1600 |
HDD | Min. 4 pozice pro SATA HDD, rozšiřitelné min na 8 HDD | 4 pozice |
Rozšiřitelnost | Podpora připojení externích disků přes USB 3.0 (min. 2 porty) | Ano, 2 porty |
Hot-swap | HDD vyměnitelné za chodu. | Ano |
SSD HDD | podpora SSD disků pro ukládání dat i akceleraci rotačních HDD. Provedení M.2 (nezabírá pozice HDD) | Ano |
Kapacita | Osazeno min. 4x 4TB HDD SATAIII, 256MB cache, 7 200 ot/min. Disk musí být výrobcem určeny a podporovány pro datová úložiště nebo NAS (nepřipouští se HDD určené jiným účelům (desktop, kamerové systémy apod.)). | 4x Synology HAT5310-8T 3.5" SATA HDD |
Konektivita | Min. 2 x 1 GbE porty s podporou agregace linek a redundance, s možností rozšíření na 10Gb | Ano, 2x RJ-45 1GbE LAN s podporou funkcí Link Aggregation/Failover |
Výkon | Rychlost zápisu min. 200 MB/sec při RAID5 a CIFS | 562 MB/sec |
Kompatibilita | Plná podpora Microsoft Hyper-V a Windows Active Directory a ACL. | Ano |
Komunikace LAN | Síťové protokoly CIFS, WebDAV, iSCSI, SSH, SNMP, http/s | Ano |
UPS | Podpora korektního vypnutí signálem z UPS přes LAN při výpadku napájení | Ano |
RAM | min. 4GB, využitelná jako cache | 4GB DDR4 ECC |
Ochrana dat | Integrované typy ochrany dat RAID 1, RAID 5, RAID 6, RAID 10 | Synology Hybrid RAID (SHR), Basic, JBOD, RAID 0, RAID 1, RAID 5, RAID 6 a RAID 10 |
Záruka | Min. 60 měsíců včetně HDD včetně nároku na aktualizace firmware,, oprava druhý pracovní den v místě instalace | ano |
1.8 Oblast Zavedení nástroje pro ověřování identit uživatelů a správců IS
150x USB čtečka Smart card
Gemalto IDBridge CT30
Parametr | Popis parametru | Nabízený parametr |
Provedení | Stolní čtečka dodávaných čipových (Smart Card) karet, připojitelná přes USB | Ano, Čtečka Gemalto IDBridge CT30. |
Kvalitní provedení, výrobcem deklarovaná trvanlivost min. 100 000 zasunutí/vysunutí karty | Ano, standartní deklarace. | |
Kompatibilita | Windows 10 a vyšší (32 a 64 bit), Linux, MacOS | Ano, podporuje uvedené OS. |
Kompatibilita | s nabízenými hybridními kartami a Software pro autentizaci uživatelů pomocí identifikačních karet | Ano, bude zajištěna kompatibilita. |
Záruka | 24 měsíců | Ano - 24 měsíců |
Hybridní čipová karta ProID+Q
xxxxx://xxxxx.xx/xxxxxxxxx-xxxxxxxxxxx-xxxxxxxx/#0000000000000-0x000x00-0x0x
Parametr | Popis parametru | Nabízený parametr |
Základní popis | Hybridní identifikační karta s kontaktní (čipovou) částí Smart Card a bezkontaktní částí typu Mifare 1 - 13,56 MHz) | Ano, Hybridní čipová karta ProlD+Q s bezkontaktním čipem Mifare 1 kB. |
Veřejné certifikáty | Karta musí umožnit ukládání a používání vlastních doménových certifikátů a certifikátů veřejných certifikačních autorit - např. I. CA, Postsignum apod. | Ano, karta umožňuje ukládání doménových certifikátů a rovněž i kvalifikovaných od PostSignum, tak eIdentity. |
Identity | Karta musí umožnit ukládání více identit | Ano, splňuje požadavek. |
Kvalifikovaný prostředek | Karta musí být možno využívat pro elektronický podpis nejvyšší úrovně (kvalifikovaný podpis uložený na QSCD prostředku) | Ano, kontaktní čip splňuje QSCD a je uveden na evropském Trust Listu. |
Softwarová podpora | Součástí dodávky bude software pro zpřístupnění jejich rozhraní v operačním systému včetně rozšířených funkcionalit, tzv. Middleware | Ano, bude součástí dodávky. |
Záruka | 24 měsíců | Ano - 24 měsíců |
1x Software pro autentizaci uživatelů pomocí identifikačních karet
Monet+
xxxxx://xxx.xxxxxxxxx.xx/xxxxxx-xxxxxxxxxxxxxx
Parametr | Popis parametru | Nabízený parametr |
Provedení | Systém pro autentizaci uživatele identifikačním prostředkem vůči adresářové služeb včetně nástrojů pro správu identifikačních prostředků (karet) a certifikátů | Ano, zavedení 2faktorové autentizace pomocí hybridních čipových karet. |
Rozhraní | Grafické rozhraní v českém jazyce s podporou SSO uživatele přihlášeného do domény Active Directory | Ano, aplikace je lokalizovaná do češtiny. |
Obnova certifikátů | Automatické hlídání expirace uživatelských doménových i kvalifikovaných certifikátů a vyvolání průvodce pro jeho jednoduchou | Ano, součástí je aplikace ACEx která provádí automatizovanou obnovu |
Parametr | Popis parametru | Nabízený parametr |
automatizovanou uživatelskou obnovu podle nastavených politik | jak kvalifikovaných, tak doménových certifikátů. | |
Autentizace | Autentizace uživatele ve operačních systémech Windows včetně RDS (Remote Desktop Services) všech verzích aktuálně podporovaných výrobcem Microsoft | Ano, podpora 2faktorové autentizace. |
Správa | Uživatelská správa uložených certifikátů a bezpečnostních údajů (PIN, QPIN, PUK) | Ano, Bezpečnostní kódy ke kartě jsou ve výhradním držení uživatele. |
Správa certifikátů | Export / import certifikátů/klíčů, z/na identifikační prostředek, smazání certifikátů nebo privátního klíče, od/registrace certifikátu ve Windows, testování integrity a použitelnosti | Ano, řešení tento požadavek splňuje. |
Předávání veřejných doménových klíčů | Automatizované předávání veřejných klíčů doménových certifikátů do stávajícího systému Microsoft Active Directory | Ano, napojení na Active Directory. |
Prostředky | Podpora kontaktních, bezkontaktních i hybridních identifikačních prostředků | Ano. |
Evidence | Systém umožní evidovat minimálně - typ prostředku (kontaktní, bezkontaktní, hybridní, ...) - druh prostředku (uživatelský, administrační, operátorský, ...) - stav prostředku (používaný, k recyklaci, skartovaný, ...) - historii prostředku (datum zavedení do evidence, vydání uživateli, recyklace, ...) - držitele prostředku (aktuálního držitele i všechny předchozí držitele) - data uložená v prostředku (certifikáty a další data, včetně historie dat) | Ano, veškerá evidence o kartách je zajištěna aplikací Card Management Systém. |
Integrace | Napojení na Active Directory (zdroj dat o uživatelích, autentizace uživatelů, řízení rolí podle členství ve skupinách) a interní certifikační autoritu (certifikáty) | Ano, Active Directory je primární zdroj. |
Správa certifikátů | Správa certifikátů (doménových i kvalifikovaných) ve webovém prostředí systému: - vydávání (ukládání) certifikátů na identifikační prostředek, vytvoření a tisk protokolu o vystavení - odvolání certifikátu - vydávání "v zastoupení" - např. personalista vydá novému zaměstnanci identifikační prostředek včetně certifikátu zaměstnance - včasné (konfigurovatelné) e-mailové upozornění na vypršení platnosti certifikátu | Ano, tento požadavek zastupuje aplikace Kartové centrum. |
Parametr | Popis parametru | Nabízený parametr |
Certifikační autority | Systém musí umožnit použití jakékoliv certifikačních autority od kvalifikovaných poskytovatelů certifikačních služeb (xxxxx://xxx.xxxx.xx/xxxxxx/xxxxxxx- kvalifikovanych-poskytovatelu-certifikacnich- | Ano |
Operace | Recyklace identifikačních prostředků s pevným i náhodným PIN/PUK, změna uživatele, odblokování PIN (i vzdálené), tisk protokolů | Ano, zajištěno nástrojem Kartové centrum. |
Personifikace | Integrované prostředí pro generování podkladů pro potisk identifikačních karet externím uchazečem i na vlastní tiskárně | Ano, jsme schopni nabídnout i dodání již potištěných karet, dle zadání a grafiky. |
Ano, řešení disponuje otevřeným rest API k napojení na systémy třetích stran. | ||
Pro 150 uživatelů | ||
Podpora | Podpora výrobce po dobu 60 měsíců - nárok na nové verze software, včetně aktualizací | Ano |
1.9 Oblast Vytvoření záložní lokality pro zajištění kontinuity provozu IS
1x Zabezpečené úložiště pro záložní lokalitu s příslušenstvím
DELL PowerEdge R350 + Veeam Hardened Repository
Parametr | Popis parametru | Nabízený parametr |
Provedení | rackové provedení max. 1U včetně výsuvných kolejnic a montážního materiálu do racku | Ano, rack 1U včetně výsuvných kolejnic a montážního materiálu do racku |
CPU | Minimálně 1x procesor maximálně osmijádrový. Max. počet počet jader je omezen z důvodu licencování OS a dalších softwarových nástrojů navázaných na počet jader. Výkon procesoru dle xxxxx://xxx.xxxxxxxxxxxx.xxx/ min. 17700 bodů | Ano, Intel Xeon E-2378G @ 2.80 GHz 22 302 bodů |
RAM | 64 GB, min. 3200 MT/s, rozšiřitelnost min. na 128 GB | Ano, osazen 2x 32GB UDIMM, 3200MT/s, ECC, rozšiřitelný na 128GB viz. xxxxx://XxxX.xxx/xxxxx/xxxxxxxxxxx/Xxxxxxx_Xxxx/ en/DeH-EMC-PowerEdge-R350-Spec-sheet.pdf |
Úložiště firmware | Min. 2x SSD 240 GB, provedení M.2, samostatný HW řadič RAID1 | Ano, konfigurace obsahuje BOSS controller card + with 2 M.2 Sticks 240G (RAID 1),LP |
Parametr | Popis parametru | Nabízený parametr |
Úložiště data | Min. 4x 16TB, SAS nebo NLSAS 12Gb 7 200 ot/min, výměnné za provozu | Ano, 4x 16TB Hard Drive SAS ISE 12Gbps 7.2K 512e 3.5in |
RAID hardware | SAS 12Gb, RAID 1,5,6, zálohovaná zapisovací cache min. 8 GB | f3997d125edf&lang=en-us |
LAN | 2x 1GbE s podporou virtualizace- VMware NetQueue, Microsoft VMQ. 1x 1GbE samostatný port pro vzdálený management | Ano, viz xxxxx://XxxX.xxx/xxxxx/xxxxxxxxxxx/Xxxxxxx_Xxxx/ en/Dell-EMC-PowerEdge-R350-Spec-sheet.pdf |
USB | min. 3 USB konektory-min. 1x verze 3.0, min. min .1x na čelním panelu s podporou bootování, min. 1x interní | Ano, viz. xxxxx://Xxxxx.xxx/xxxxx/xxxxxxxxxxx/Xxxxxxx_Xxxx/ en/Dell-EMC-PowerEdge-R350-Spec-sheet.pdf |
Vzdálená správa | Servisní modul s možnosti samostatného přístupu po management síti, možnost vzdálené klávesnice, myši a obrazovky bez nutnosti běhu OS, možnost zapínat a vypínat server, možnost bootování se vzdáleného média. Vyhrazený LAN port, podpora http/s, SSH, SNMP, syslog. Okamžité a historické hodnoty teplot a napájení. Podpora vícefaktorového ověřování (autentizace). | Ano, viz xxxxx://xxx.xxxx.xxx/xxxxxxx/xxxxxxx/xx- us/idrac9-lifecycle-controller-v4.x- series/idrac9_4.00.00.00_ug_new/licensed-features- in-idrac9?guid=guid-e8a767a7-3648-48d7-945a- a700da1d5c96&lang=en-us |
Napájení | Plus) | Ano |
Manageme nt | Stavové informace na čelním panelu s výraznou indikací nestandardních a chybových provozních stavů či parametrů (min. napájení, teplota, vada HDD. Aktivní indikace standardního provozního stavu. V případě závady zobrazuje její popis v textové formě. | Ano, server je osazen čelním krytem s LCD displejem |
Parametr | Popis parametru | Nabízený parametr |
Souborový systém | XFS | Ano, řešení využívá souborový systém XFS |
Protokoly | SMB/CIFS, SNMP, http/s a SSH (management) | Ano, řešení využívá protokoly SMB/CIFS, SNMP, http/s a SSH |
Výkon | zápis min. 500 GB / hod | |
Ochrana dat | min RAID5, automatická relokace vadných datových bloků | Ano, řadič podporuje RAID5 |
Retence dat | programově nastavitelné retenční lhůty na uložený objekt (např. soubor), po dobu retence nelze objekt modifikovat | Ano, jedná se nativní vlastnost v kombinaci se zálohovacím řešením |
Redundanc e | redundantní rotační díly a napájecí zdroje | Ano |
Ochrana proti přepisu dat | režim WORM (Write Once - Read many times Memory) | Ano, jedná se nativní vlastnost v kombinaci se zálohovacím řešením |
Kompatibili ta | Kompatibilita se nabízeným Software pro ukládání záloh do zabezpečeného úložiště, podpora ukládání záloh, řízení jejich historie a řízení retenčních lhůt | Ano, xxxxx://xxx.xxxxx.xxx/xxxx/xxxxxxxx-xxxxx- repository-best-practices.html |
Audit | Integrovaný logovací systém - systémové událostí, provádění příkazy, přihlášeni/odhlášeni, datové operace | Ano, kombinace managementu iDrac a logovacího systému |
Záruka | 60 měsíců, oprava druhý pracovní den v místě instalace, nárok na podporu výrobce a nové verze firmware / software | Ano |
1x Software pro ukládání záloh do zabezpečeného úložiště
4x P-ESSVUL-0I-PP000-00 Veeam Backup Essentials Universal Perpetual GOV
4x V-ESSVUL-0I-P04PP-00 4 additional years of Production (24/7) maintenance prepaid for Veeam Backup Essentials Universal Perpetual License
Parametr | Popis parametru | Nabízený parametr |
Licence | trvalá licence software pro vytváření a ukládání záloh do zabezpečeného úložiště pro min. 20 fyzických nebo virtuálních serverů bez omezení objemu dat. | Ano, licence jsou typu Perpetual |
Efektivita ukládání dat | integrovaná komprimace a deduplikace | Ano, nabízené řešení má integrovanou komprimaci a deduplikaci |
Nároky na správu | „bezagentové“ řešení - bez instalace agentů do zálohovaných systémů | Ano, nabízené řešení má Možnost využívat tzv. „bezagentové“ řešení |
Ochrana dat | provádění datově konzistentních záloh hlavních serverových aplikací - Microsoft SQL server, Active Directory, souborové systémy - bez nutnosti odstávky aplikace | Ano, řešení obsahuje funkci Application- Aware Processing |
Snapshoty | využívání snapshotů, zálohování pouze dat (bloků virtuálního disku) změněných od poslední úspěšné zálohy | Ano, řešení využívá snapshotů a technologie CBT (Change Block Tracking) |
Kompatibilita | podpora operačních systémů Windows a Linux v zálohovaných virtuálních serverech | Ano, řešení podporuje OS Windows i Linux v zálohovaných virtuálních serverech |
Uložiště záloh | Podpora nabízeného zabezpečeného úložiště včetně řízení retenčních lhůt. Možnost ukládání záloh i na diskový prostor, síťová úložiště, páskové jednotky a do cloudu | Ano, řešení podporuje nabízeného zabezpečeného úložiště včetně řízení retenčních lhůt, viz xxxxx://xxx.xxxxx.xxx/xxxx/xxxxxxxx- linux-repository-best-practices.html. Řešení zároveň umožňuje ukládání záloh i na diskový prostor, síťová úložiště, páskové jednotky a do cloudu. |
Obnova | granulární obnova jednotlivých objektů (soubor, objekt ActiveDirectory (uživatel, skupina apod.), tabulka SQL databáze) | Ano, řešení podporuje granulární obnovu jednotlivých objektů (soubor, objekt ActiveDirectory (uživatel, skupina apod.), tabulka SQL databáze) |
Průvodci | vytváření a správa úloh (zálohování, obnova apod.) pomocí vestavěných průvodců včetně konfigurace automatického spouštění úloh | Ano, řešení umožnuje vytváření a správu úloh (zálohování, obnova apod.) pomocí vestavěných průvodců včetně konfigurace automatického spouštění úloh |
Kontrola záloh | automatická kontrola úspěšnosti záloh kontrolním úspěšným spuštěním zazálohovaných virtuálních strojů se záznamem | Ano, řešení umožňuje tzv. Sure Backup |
Rychlá obnova | možnost spuštění virtuálního serveru přímo ze zálohy bez nutnosti obnovy na původní úložiště | Ano, řešení umožňuje tzv. Instant Recovery |
Reporting | automatický reporting úspěšných i neúspěšných úloh | Ano, řešení umožňuje automatický reporting úspěšných i neúspěšných úloh |
Parametr | Popis parametru | Nabízený parametr |
Správa | Běžné úlohy obnovy (obnovení souboru, databáze SQL, objekty Active Directory) provádět pomocí průvodců. | Ano, řešení obsahuje průvodce obnovy napříč zálohovanými daty. |
Podpora | 60 měsíců včetně nároku na nové verze a aktualizace software | Ano |
1x Produkční server pro redundantní prostředí (druhá lokalita) DELL PowerEdge R6525
Parametr | Popis parametru | Nabízený parametr |
Provedení | rackové provedení max. 1U včetně výsuvných kolejnic a montážního materiálu do racku | Ano, rack 1U včetně výsuvných kolejnic a montážního materiálu do racku |
CPU | Minimálně 1x procesor šestnáctijádrový. Max. počet počet jader je omezen z důvodu licencování OS a dalších softwarových nástrojů navázaných na počet jader. Výkon procesoru dle x/ min. 41 500 bodů | AMD EPYC 7313P 3.0GHz, 16C/32T, 128M Cache (155W) DDR4-3200 42 302 bodů |
RAM | 256 GB, min. 3200 MT/s, rozšiřitelnost min. na 512 GB | Ano, server je osazen 8x 32GB RDIMM, 3200MT/s, Dual Rank 16Gb BASE, rozšiřitelný až na 4TB xxxxx://XxxX.xxx/xxxxx/xxxxxxxxxxx/Xxxxxxx_Xxxx/xx/ poweredge-r6525-spec-sheet.pdf |
Úložiště pro hypervizor | Min. 2x SSD 480 GB, RAID1, provedení M.2, nezabírá pozice HDD | Ano, server je osazen BOSS M.2 kartou 2x 480GB v RAID1, nezabírá pozice HDD |
Bezpečnos t | Integrovaný modul TPM 2.0 | Ano |
Úložiště | Min. 6x 1,92 TB SSD, 1 DWPD (Drive Writes Per Day) po dobu záruky, výměnné za provozu Min 2 volné a aktivní (připojené k RAID) pozice pro rozšíření kapacity. | Ano, 6x 1.92TB SSD SATA Read Intensive 6Gbps 512 2.5in Hot-plug AG Drive, 1DWPD |
RAID hardware | SAS 12Gb, RAID 1,5,6, zálohovaná zapisovací cache min. 8 GB | Ano, PERC H755 Adapter, viz. xxxxx://xxx.xxxx.xxx/xxxxxxx/xxxxxxx/xx-xx/xxxx- h755/perc11_ug/technical-specifications-of-perc-11- cards?guid=guid-aaaf8b59-903f-49c1-8832- f3997d125edf&lang=en-us |
Parametr | Popis parametru | Nabízený parametr |
LAN | 2x 1GbE s podporou virtualizace- VMware NetQueue, Microsoft VMQ. 2x 10Gb SFP+ s podporou virtualizace-VMware NetQueue, Microsoft VMQ a podporou NPAR (Network Partitioning) 1x 1GbE samostatný port pro vzdálený management | Ano, 1x Broadcom 57412 Dual Port 10GbE SFP+, OCP NIC 3.0, PowerEdge R6525 Motherboard, with 2 x 1Gb Onboard LOM (BCM5720)MLK V5, iDrac samostatný port 1GbE |
USB | min. 3 USB konektory-min. 1x verze 3.0, min. min .1x na čelním panelu s podporou bootování, min. 1x interní | Ano, viz xxxxx://XxxX.xxx/xxxxx/xxxxxxxxxxx/Xxxxxxx_Xxxx/xx/ poweredge-r6525-spec-sheet.pdf |
Vzdálená správa | Servisní modul s možnosti samostatného přístupu po management síti, možnost vzdálené klávesnice, myši a obrazovky bez nutnosti běhu OS, možnost zapínat a vypínat server, možnost bootování se vzdáleného média. Vyhrazený LAN port, podpora http/s, SSH, SNMP, syslog. Okamžité a historické hodnoty teplot a napájení. Podpora vícefaktorového ověřování (autentizace). | Ano, viz xxxxx://xxx.xxxx.xxx/xxxxxxx/xxxxxxx/xx- us/idrac9-lifecycle-controller-v4.x- series/idrac9_4.00.00.00_ug_new/licensed-features-in- idrac9?guid=guid-e8a767a7-3648-48d7-945a- a700da1d5c96&lang=en-us |
Provozní podmínky | Určen a podporován pro provoz v běžném neklimatizovaném prostředí do 35 stupňů Celsia | Ano, viz xxxxx://Xxxxx.xxx/xxxxx/xxxxxxxxxxx/Xxxxxxx_Xxxx/xx/ poweredge-r6525-spec-sheet.pdf |
Napájení | Redundantní napájecí zdroje min. 500W, musí splňovat požadavky na certifikaci energetické účinnosti Platinum, např. dle 80 PLUS (xxxxx://xx.xxxxxxxxx.xxx/xxxx/0 0_Plus) | Ano, server je osazen dvěma redundantními zdroji požadované účinnosti. |
Managem ent | Stavové informace na čelním panelu s výraznou indikací nestandardních a chybových provozních stavů či parametrů (min. napájení, teplota, vada HDD. Aktivní indikace standardního provozního stavu. V případě závady zobrazuje její popis v textové formě. | Ano, server je osazen čelním krytem s LCD displejem |
Parametr | Popis parametru | Nabízený parametr |
Příslušenst ví | 2x SPF+ 1 Gb modul, SM, min. 1 km, LC port, včetně DMI diagnostiky 2x LC-LC 3m SM kabel | Ano, součástí konfigurace jsou i SFP+ moduly a LC-LC kabely. |
Záruční servis | Záruční servis na dobu 60 měsíců poskytovaný výrobcem, oprava následující pracovní den od nahlášení v místě instalace, technická podpora výrobce v českém jazyce. Dostupnost ovladačů a dokumentace na webu výrobce dle výrobního/sériového čísla serveru. Záruka na příslušenství min. 36 měsíců | Ano |
1x Software pro replikaci virtuálních serverů do záložní lokality
4x P-ESSVUL-0I-PP000-00 Veeam Backup Essentials Universal Perpetual GOV
4x V-ESSVUL-0I-P04PP-00 4 additional years of Production (24/7) maintenance prepaid for Veeam Backup Essentials Universal Perpetual License
Parametr | Popis parametru | Nabízený parametr |
Licence | trvalá licence software pro vytváření a ukládání replik do záložní lokality pro min. 20 fyzických nebo virtuálních serverů bez omezení objemu dat. | Ano, licence jsou typu Perpetual |
Efektivita přenosu | integrovaná komprimace přenášených dat, podpora pomalých sítí WAN | Ano, typ licence umožňuje funkci integrované komprimace přenášených dat, podpora pomalých sítí WAN |
Nároky na správu | „bezagentové“ řešení - bez instalace agentů do zálohovaných systémů | Ano, řešení podporuje tzv. „bezagentové“řešení |
Snapshoty | využívání snapshotů, přenosy pouze dat (bloků virtuálního disku) změněných od posledního úspěšné přenosu | Ano, řešení využívá snapshotů a technologie CBT (Change Block Tracking) |
Kompatibilita | podpora operačních systémů Windows a Linux v replikovaných virtuálních serverech | Ano, řešení podporuje OS Windows i Linux v zálohovaných virtuálních serverech |
Průvodci | Průvodci pro řízení procesů fail-over a fail-back | Ano, řešení obsahuje průvodce pro řízení procesů fail-over a fail-back |
Rychlá obnova | možnost spuštění virtuálního serveru přímo z repliky v izolovaném síťovém prostředí | Ano, řešení umožňuje spuštění virtuálního serveru přímo z repliky v izolovaném síťovém prostředí |
Parametr | Popis parametru | Nabízený parametr |
Reporting | automatický reporting úspěšných i neúspěšných replik | Ano, řešení obsahuje automatický reporting úspěšných i neúspěšných replik |
Podpora | 60 měsíců včetně nároku na nové verze a aktualizace software | Ano |
1x Sada licencí operačního systému včetně hypervizoru pro replikované virtuální servery (pro produkční server pro redundantní prostředí (druhá lokalita))
Počet | Typ licence | Nabízený parametr |
1 | Windows Server Datacenter 2022 - 16 Lic Core License | Ano |
150 | Windows Server CAL 2022 - per User | Ano |
Je požadována dodávka licencí, jejichž pravost je garantovaná a ověřitelná u vlastníka autorských práv
MICROSOFT.
Uchazeč zároveň poskytne dokumentaci, ze které bude jasný původ, resp. prodejní kanál licencí nebo zajistí zpracování smlouvy se společností Microsoft (Microsoft - SELECT Plus, Open, CSP, MPSA, EA) ve prospěch objednatele.
Vyžaduje se dodání licencí formou licenčního portálu vázaného na koncového zákazníka (objednatele), jehož součástí budou:
• Seznam nabízených licencí a jejich počet,
• Instalační médium,
• Instalační klíče,
• resp. další informace vztahujících se k licencím
Pro zdokumentování jasného původu požaduje zadavatel poskytnout dokumentaci obsahující označení prvního nabyvatele softwaru a také číslo smlouvy, pod kterou byl software pořízen, úplný řetězec vlastníků softwaru, potvrzení o odinstalaci od každého z předchozích vlastníků.
Zdůvodnění požadavku na kompatibilitu
Zadavatel provozuje své technologické prostředí postavené na platformě OS Windows. Na této platformě je pak provozována majorita agendových informačních systémů zadavatele, které slouží k zajištění výkonu jeho veřejné správy a dále k zajištění interních činnosti a agend. Na této platformě jsou rovněž provozována adresářové služby a řízení uživatelských účtů a práv v nich. Z těchto důvodů je požadována kompatibilita s tímto technologickým prostředím a jako definice požadavku je uveden konkrétní produktový název.
1x UPS s příslušenstvím
FSP/Fortron UPS Clippers RT 3K 2U, 3000 VA/3000 W, online FSP/Fortron Rack Mount Slider for 1 - 3 kVA UPS FSP/Fortron SNMP karta pro UPS, 1 x LAN + 1 x EMD port
Parametr | Popis parametru | Nabízený parametr |
Provedení | provedení do racku, max. 2U, včetně montážního materiálu | Rack 2U |
Elektrické provedení | jmenovité napětí 230 V, jednofázová na vstupu i výstupu | Ano |
Výkon (VA/W) | 3000 VA / 3000 W | 3000 VA / 3000 W |
Parametr | Popis parametru | Nabízený parametr |
Technologie | online, dvojitá konverze | Ano |
Účiník | lepší než 0,98 | Ano |
Stabilizace | výstupní napětí - odchylka max. ±5 % od jmenovité hodnoty | Ano |
Kapacita | doba běhu na baterie min. 10 min při 50% zátěži | Min. 10 minut |
Vstup | zásuvka IEC C14 | Ano, IEC C14 |
Výstupy | min. 8 zásuvek IEC C13, možnost omezení doby zálohování pro vybrané zásuvky (nekritická zařízení) | Ano, 8x IEC C13 |
Diagnostika | Vestavěný úplný systémový autotest, možnost automatického plánovaného provádění | Ano |
Servis | baterie musí být vyměnitelné za chodu | Ano |
Bypass | automatický interní bypass | Ano |
Komunikační porty | RS-232, USB, vzdálené zapnutí/vypnutí | Ano |
Management | LAN karta s podporou SNMP a http/s. Grafické rozhraní pro monitorování a správu. | Ano |
Stavové informace | stavový grafický displej pro konfiguraci a základní informace o stavu UPS | Ano |
Ochrany | inteligentní / optimalizované nabíjení pro optimalizaci výkonu a životnosti baterií, nastavení nabíjecího proudu | Ano |
Řízení | schopnost ovládání a restartování nabízeného serveru, korektní shutdown operačních systémů | Ano |
SW kompatibilita | UPS musí být plně podporovaná výrobcem pro použití ve virtualizačních prostředích VMware a Microsoft Hyper-V, příslušný SW bude součástí dodávky | Ano |
Rozšiřitelnost | možnost prodloužení doby běhu na baterie připojením externích bateriových modulů min. na 30 minut | Ano |
Záruka | 36 měsíců včetně baterií | Ano |
1.10 Oblast bezpečnost technologických místností
1x Přístupový terminál s biometrickým ověřováním Hikvision DS-K1T804AMF
Parametr | Popis parametru | Nabízený parametr |
Základní funkce | Přístupový terminál pro datová centra a místnosti se síťovými rozvaděči pro umístění na zeď, včetně montážního materiálu | Ano |
Ověření přístup | Integrovanou čtečkou otisků prstů a integrovanou čtečkou bezkontaktních karet | Ano |
Bezpečnost | Šifrování ukládaných dat | Ano |
Komunikace | 1x LAN port min. 100 Mbit a WiFi | Ano |
Rozhraní periferií | vestavěný reléový kontakt, alarm, dveřní senzor, odchozí tlačítko, Wiegand, RS485 | Ano |
Integrovaná čtečka | podpora bezkontaktních karet Mifare 1 | Ano |
Parametr | Popis parametru | Nabízený parametr |
Indikace | zřetelná indikace stavu ověření uživatele (resp. karty), akustická signalizace | Ano |
Kapacita | min. 2 000 otisků, 1 000 karet, 10 000 událostí | 3 000 otisků, 3 000 karet, 100 000 událostí |
Napájení | včetně napájecího zdroje | Ano |
Správa | Integrované rozhraní pro správu a centrální vzdálená správa, integrovaný displej pro konfiguraci i zobrazení stavových informací. | Ano |
Záruka | Záruční servis 2 roky Bezplatný nárok na nejnovější firmware a bezpečnostní aktualizace. | Ano |
1x Elektronický zámek k přístupovým terminálům
Parametr | Popis parametru | Nabízený parametr |
Provedení | Do stávajících dveří, standardní kovové zárubně | Ano |
Ovládání | 12V, otevření (odemknutí) zámku pro dobu impulsu | Ano |
Napájení | včetně napájecího zdroje | Ano |
Záruka | Záruční servis 2 roky | Ano |
2x Bezpečnostní IP kamera (1x pro každé datové centrum) Hikvision DS-2CD2146G2-ISU(2.8mm)(C)
Parametr | Popis parametru | Nabízený parametr |
Provedení | IP dome kamera, vnitřní provedení včetně montážního materiálu na strop/zeď Možnost nastavení: sklonu min. 0 - 75°, otáčení min 0 - 355° | Ano, Nastavení Úhlu Pan: 0° až 355°, náklon: 0° až 75°, rotace: 0° až 355° |
Rozlišení | 4 Mpx (2688x1520) nativně | Ano, 4 Mpx (2688x1520) nativně |
Objektiv | 2.8 mm, manuálně nastavitelný pro čip 1/3" nebo odpovídající pro větší čip (menší není přípustný). Možnost uživatelské výměny objektivu (min. varianty 4 a 6 mm). Zobrazovací úhly: horizontální min 100°, vertikální min. 55° | Ano, 2,8 mm, horizontální FOV 103°, vertikální FOV 55°, diagonální FOV 123° |
Světelnost | F 1.6 nebo lepší při nejméně příznivém nastavení objektivu | Ano |
Komunikace | LAN min 1x 100 Mbit | 1 RJ45 10 M/100 M samoadaptivní ethernetový port |
Napájení | PoE a 12V ss | Ano |
Přísvit | infračervený, min. 30 m | Ano |
Protisvětlo | Korekce protisvětla, resp. široký dynamický rozsah (WDR) min. 120 dB | Ano |
Data, ukládání | min. stream H.265, lokální ukládání na SD kartu, min 3 současné streamy, přímé ukládání do síťových úložišť | Ano |
Parametr | Popis parametru | Nabízený parametr |
Rozlišení, snímková frekvence | min. 2688 x 1520, 30 fps při zapnutém WDR. | Ano |
Zvuk | vestavěný mikrofon, filtrování hluku prostředí | Ano |
Detekce událostí | Detekce pohybu, periodické události, demontáž kamery, překročení linie, detekce obličeje | Ano |
Kompatibilita | Podpora standardu ONVIF | Ano |
Správa | Webové rozhraní v českém jazyce, podpora centrální správy a nahrávání | Ano |
Záruka | Záruční servis 2 roky, nárok na nejnovější firmware a bezpečnostní aktualizace. | Ano |
1x Rack Management System s příslušenstvím Poseidon2 3268
Parametr | Popis parametru | Nabízený parametr |
Základní funkce | Monitorovací systém typu RMS (rack monitoring systém) pro monitorování stavu prostředí a technologií s automatickým upozorněním na požadované stavy. | Ano |
Provedení | Samostatné hardwarová jednotka v robustním průmyslovém provedení | Ano |
Rozhraní senzorů | Min. 8x digitálních senzorů (vlhkost, teplota apod.), min 4 binární vstupy | Ano |
Rozhraní snímačů | Min. 1 binární výstup (relé), min. 2x vzdálený virtuální výstup (na vzdálené jednotce stejného typu) | Ano |
Protokoly | HTTP/S, SNMP v3, MQTT, Syslog, MODBUS TCP, SMTP (email notifikace), (S)NTP | Ano |
Komunikace | Min. 1x LAN 100 Mbit, podpora IPv4 a IPv6 | Ano |
Kapacita | Min. 200 000 událostí | Min. 200 000 událostí |
Příslušenství | Čidlo teploty, dveřní kontakt (indikace otevření dveří datového/síťového rozvaděče), napájecí adaptér | Ano |
Záruka | Záruční servis 2 roky, nárok na nejnovější firmware a bezpečnostní aktualizace. | Ano |
3x Zhášecí systém FM-AHS
Parametr | Popis parametru | Nabízený parametr |
Základní funkce | Samočinný zhášecí systém pro zařízení s vyšším rizikem vzniku požáru do serverového datového rozvaděče | Ano |
Minimalizace škod | Zabezpečení ochrany proti požáru a zneškodnění požáru v jeho počátcích, směrování zhášecího média do ohniska. | Ano |
Nezávadnost | Zdravotně nezávadné zhášecí médium - doložit příslušným certifikátem | Ano |
Parametr | Popis parametru | Nabízený parametr |
Monitoring | Podpora napojení na nabízený monitorovací systém - sledování dostatečného tlaku zhášecího média | Ano, Zabbix |
Záruka | Záruční servis 2 roky | Ano |
1x Systém pro řízení přístupových terminálů
Hikvision iVMS-4200 Hikvision Hik-Connect
Parametr | Popis parametru | Nabízený parametr |
Provedení | Systém pro centrální správu nabízených přístupových terminálů | Ano |
Monitorování | Vzdálená on-line kontrola stavu terminálů a vstupů | Ano |
Centrální správa | Distribuce identifikačních vzorků do všech terminálů v síti | Ano |
Import | Import uživatelů z obvyklých strojově čitelných formátů | Ano |
Export | Export přístupových transakcí do strojově čitelného formátu | Ano |
Časová pásma | Podpora definování časových pásem přístupových oprávnění | Ano |
Licencování | Pro nabízené přístupové terminály a zámky | Ano |
Záruka | Podpora výrobce po dobu 60 měsíců, nárok na nové verze software | Ano |
1x Systém pro správu kamer a nahrávání
Hikvision DS-7608NXI-K2 + 2x 4TB HDD určené pro NVR
Parametr | Popis parametru | Nabízený parametr |
Provedení | Záznamové zařízení typu NVR (network video recorder) pro umístění do racku | Ano |
Výkon | záznam min. 8 kanálů současně (obraz včetně zvuku), min 80 Mbps, podporovaná rozlišení 12 Mpx a nižší | Ano |
Přehrávání | synchronní přehrávání min. 8 kanálů současně, současné dekódování min 4 kanálů 4 Mpix/30 fps nebo většího počtu kanálů s nižším rozlišením | Ano |
HDD | 2x SATA interface s RAID1, osazeny min. 2x HDD 4 TB určené výrobcem pro NVR/NAS/servery s dostatečným výkonem pro záznam všech nabízených kamer | Ano |
Výstup | Min. 2 nezávislé výstupy - 1x VGA (FullHD 1920x1080 výstup) a 1x HDMI (4K 3840x2160 výstup) | Ano |
Formáty | Podpora dekódování obrazových formátů H.265/H.265+/H.264/H.264 a zvukových formátů G.711/G.722/G.726, podpora ONVIF | Ano |
LAN | min. 1x rozhraní 1Gb RJ-45 | Ano |
Parametr | Popis parametru | Nabízený parametr |
Události | podpora událostí a inteligentních funkcí detekovaných nabízenými kamerami, včetně rozpoznání obličeje ve 4 kanálech, detekce pohybu a ochrany perimetru | Ano |
Alarmy | min 4/1 alarmové vstupy/výstupy | Ano |
Ovládání | webové rozhraní v českém jazyce pro nastavení, ovládání i přehrávání, bezpečný vzdálený přístup přes internet včetně mobilních zařízení. | Ano |
Záruka | min. 24 měsíců včetně nároku na aktuální verze firmware | Ano |
1x Centrální monitorovací systém pro RMS
Zabbix
xxxxx://xxx.xxxxxx.xxx/xxxxxxx monitoring
Parametr | Popis parametru | Nabízený parametr |
Provedení | Monitorovací systém a dohledové konzola síťových systémů, on-premise provedení provozované na nabízených prostředcích | Ano |
Detekce prvků | Auto Discovery pro snadné přidání síťových zařízení, systémů, aplikací a serverů vč. virtualizačních platforem | Ano |
Rozhraní | Webové rozhraní s podporou mobilních platforem (responzivní design), podpora mapy prvků včetně zobrazení aktuálního stavu a klíčových hodnot. | Ano |
Sběr dat | Agentový i bezagentový sběr dat, bez licencování agentů | Ano |
Protokoly a formáty | Podpora sběru dat síťovými protokoly (tcp/udp, SNMP, ICMP, http/s, MODBUS, MQTT, ODBC, IPMI), vyčítání textových i binárních logů včetně uživatelského parsování. | Ano |
Rozšíření | Podpora skriptování, integrované API | Ano |
Notifikace | Integrovaný konfigurovatelný systém upozornění na definované události včetně detekce anomálií. klasifikace událostí. | Ano |
Historizace | Ukládání získaných dat, grafy, tabulky, dashboardy. Predikce trendů. | Ano |
Kompatibilita | Kompatibilita s nabízeným Rack Management Systémem a Nástrojem pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů | Ano |
Reporty | Integrovaný reportovací systém s možností uživatelské definice reportů a jejich automatického zasílání v PDF formátu. | Ano |
Podpora | min. 60 měsíců včetně nároku na aktuální verze software | Ano |
1.11 Oblast sdílené systémové prostředky
1x Server určený k rozšíření stávajících serverových systémových prostředků DELL PowerEdge R6525
Parametr | Popis parametru | Nabízený parametr |
Provedení | rackové provedení max. 1U včetně výsuvných kolejnic a montážního materiálu do racku | Ano, rack 1U včetně výsuvných kolejnic a montážního materiálu do racku |
CPU | Minimálně 1x procesor šestnáctijádrový. Max. počet počet jader je omezen z důvodu licencování OS a dalších softwarových nástrojů navázaných na počet jader. Výkon procesoru dle x/ min. 41 500 bodů | AMD EPYC 7313P 3.0GHz, 16C/32T, 128M Cache (155W) DDR4-3200 42 302 bodů |
RAM | 256 GB, min. 3200 MT/s, rozšiřitelnost min. na 512 GB | xxxxxxxxx-x0000-xxxx-xxxxx.xxx |
Úložiště pro hypervizor | Min. 2x SSD 480 GB, RAID1, provedení M.2, nezabírá pozice HDD | Ano, server je osazen BOSS M.2 kartou 2x 480GB v RAID1, nezabírá pozice HDD |
Bezpečnos t | Integrovaný modul TPM 2.0 | Ano |
Úložiště | Min. 4x 1,92 TB SSD, 1 DWPD (Drive Writes Per Day) po dobu záruky, výměnné za provozu Min 4 volné a aktivní (připojené k RAID) pozice pro rozšíření kapacity. | Ano, 4x 1.92TB SSD SATA Read Intensive 6Gbps 512 2.5in Hot-plug AG Drive, 1 DWPD, server může být osazen až 10 HDD |
RAID hardware | SAS 12Gb, RAID 1,5,6, zálohovaná zapisovací cache min. 8 GB | f3997d125edf&lang=en-us |
LAN | 2x 1GbE s podporou virtualizace- VMware NetQueue, Microsoft VMQ. 2x 10Gb SFP+ s podporou virtualizace-VMware NetQueue, Microsoft VMQ a podporou NPAR (Network Partitioning) 1x 1GbE samostatný port pro vzdálený management | Ano, 1x Broadcom 57412 Dual Port 10GbE SFP+, OCP NIC 3.0, PowerEdge R6525 Motherboard, with 2 x 1Gb Onboard LOM (BCM5720)MLK V5, iDrac samostatný port 1GbE |
Parametr | Popis parametru | Nabízený parametr |
USB | min. 3 USB konektory-min. 1x verze 3.0, min. min .1x na čelním panelu s podporou bootování, min. 1x interní | Ano, viz xxxxx://XxxX.xxx/xxxxx/xxxxxxxxxxx/Xxxxxxx_Xxxx/xx/ poweredge-r6525-spec-sheet.pdf |
Vzdálená správa | Servisní modul s možnosti samostatného přístupu po management síti, možnost vzdálené klávesnice, myši a obrazovky bez nutnosti běhu OS, možnost zapínat a vypínat server, možnost bootování se vzdáleného média. Vyhrazený LAN port, podpora http/s, SSH, SNMP, syslog. Okamžité a historické hodnoty teplot a napájení. Podpora vícefaktorového ověřování (autentizace). | Ano, viz xxxxx://xxx.xxxx.xxx/xxxxxxx/xxxxxxx/xx- us/idrac9-lifecycle-controller-v4.x- series/idrac9_4.00.00.00_ug_new/licensed-features-in- idrac9?guid=guid-e8a767a7-3648-48d7-945a- a700da1d5c96&lang=en-us |
Provozní podmínky | Určen a podporován pro provoz v běžném neklimatizovaném prostředí do 35 stupňů Celsia | Ano, viz https://Xxxxx.xxx/xxxxx/xxxxxxxxxxx/Xxxxxxx_Xxxx/xx/ poweredge-r6525-spec-sheet.pdf |
Napájení | Redundantní napájecí zdroje min. 500W, musí splňovat požadavky na certifikaci energetické účinnosti Platinum, např. dle 80 PLUS (xxxxx://xx.xxxxxxxxx.xxx/xxxx/0 0_Xxxx) | Ano, server je osazen dvěma redundantními zdroji požadované účinnosti. |
Managem ent | Stavové informace na čelním panelu s výraznou indikací nestandardních a chybových provozních stavů či parametrů (min. napájení, teplota, vada HDD. Aktivní indikace standardního provozního stavu. V případě závady zobrazuje její popis v textové formě. | Ano, server je osazen čelním krytem s LCD displejem |
Příslušenst ví | 2x SPF+ 1 Gb modul, SM, min. 1 km, LC port, včetně DMI diagnostiky 2x LC-LC 3m SM kabel | Ano, součástí konfigurace jsou i SFP+ moduly a LC-LC kabely. |
Záruční servis | Záruční servis na dobu 60 měsíců poskytovaný výrobcem, oprava následující pracovní den od nahlášení v místě instalace, technická podpora výrobce v | Ano |
Parametr | Popis parametru | Nabízený parametr |
českém jazyce. Dostupnost ovladačů a dokumentace na webu výrobce dle výrobního/sériového čísla serveru. Záruka na příslušenství min. 36 měsíců |
1x Sada software pro serverovou virtualizaci pro server určený k rozšíření stávajících serverových systémových prostředků
Počet | Typ licence | Nabízený parametr |
1 | Windows Server Datacenter 2022 - 16 Lic Core License | Ano |
Je požadována dodávka licencí, jejichž pravost je garantovaná a ověřitelná u vlastníka autorských práv
MICROSOFT.
Uchazeč zároveň poskytne dokumentaci, ze které bude jasný původ, resp. prodejní kanál licencí nebo zajistí zpracování smlouvy se společností Microsoft (Microsoft - SELECT Plus, Open, CSP, MPSA, EA) ve prospěch objednatele.
Vyžaduje se dodání licencí formou licenčního portálu vázaného na koncového zákazníka (objednatele), jehož součástí budou:
• Seznam nabízených licencí a jejich počet,
• Instalační médium,
• Instalační klíče,
• resp. další informace vztahujících se k licencím
Pro zdokumentování jasného původu požaduje zadavatel poskytnout dokumentaci obsahující označení prvního nabyvatele softwaru a také číslo smlouvy, pod kterou byl software pořízen, úplný řetězec vlastníků softwaru, potvrzení o odinstalaci od každého z předchozích vlastníků.
Zdůvodnění požadavku na kompatibilitu
Zadavatel provozuje své technologické prostředí postavené na platformě OS Windows. Na této platformě je pak provozována majorita agendových informačních systémů zadavatele, které slouží k zajištění výkonu jeho veřejné správy a dále k zajištění interních činnosti a agend. Na této platformě jsou rovněž provozována adresářové služby a řízení uživatelských účtů a práv v nich. Z těchto důvodů je požadována kompatibilita s tímto technologickým prostředím a jako definice požadavku je uveden konkrétní produktový název.
2 Požadavky na implementaci jednotlivých částí díla
2.1 Obecné požadavky na instalační a implementační služby
Objednatel požaduje provést minimálně dále uvedené práce na dodaných komponentech a případně dalších souvisejících zařízeních. Zhotovitel je dále povinen zahrnout do nabídky veškeré další činnosti a prostředky, které jsou nezbytné pro provedení předmětu plnění v rozsahu doporučeném výrobci a dle tzv. nejlepších praktik, i případě, pokud nejsou explicitně uvedeny, ale jsou pro realizaci předmětu plnění podstatné.
Náklady na provedení služeb musí být zahrnuty v nabídkové ceně k položce, ke které se vztahují. V rámci předmětu plnění objednatel požaduje provedení min. následujících služeb:
• doprava jednotlivých komponent do místa plnění - lokalit MěÚ Slaný
• zpracování a předání dokumentace,
• vlastní nasazení řešení splňující požadované parametry technického řešení,
• začlenění nabízených technologií do stávajícího prostředí,
• zajištění testovacího provozu,
• provedení akceptačních testů,
• dodávka a aktivace požadovaných SW licencí, kontrola aktivací musí být součástí akceptačních testů
2.2 Podrobný popis instalační a implementačních služeb
Zadavatel požaduje provést minimálně uvedené implementační práce na dodaných komponentech a případně dalších souvisejících zařízeních. Zhotovitel je dále povinen zahrnout do nabídky veškeré další činnosti a prostředky, které jsou nezbytné pro provedení předmětu plnění v rozsahu doporučeném výrobci a dle tzv. nejlepších praktik, i v případě, pokud nejsou explicitně uvedeny, ale jsou pro realizaci předmětu plnění podstatné.
Náklady na provedení implementačních služeb musí být zahrnuty v nabídkové ceně k položce, ke které se vztahují. Oblast Zvýšení zabezpečení komunikační sítě
- analýza stávajícího síťového prostředí a návrh nové architektury LAN,
- implementace pořízených technologií,
- provedení segmentace sítě - VLAN, adresování, routování,
- zavedení DNSSEC, vybudování DNSSEC resolveru pro LAN úřadu,
- návrh a implementace 802.1X pro LAN a WiFi včetně definice přístupových politik. Systém
802.1 x musí být integrován s adresářovou službou Active Directory,
- implementace portálu pro registraci a řízení přístupů hostů - tzv. captive portál
- zpracování uživatelské dokumentace konfigurace obvyklých zařízení a jejich systémů pro
systém 802.1X - PC, notebooky, chytré telefony, tablety, tiskárny - Windows, Linux, MacOS, Android, IOS, embedded systémy periferií. Provedení vzorové migrace a konfigurace všech kategorií koncových zařízení (1 zařízení každé kategorie) do systému s ověřováním 802.1X - návrh a vybudování vhodné architektury WiFi s více SSID pro zaměstnance, jejich osobní
zařízení a veřejnost s vhodným způsobem ověřování a politikami řízení provozu,
- návrh a implementace firewallu včetně vhodné konfigurace UTM (antivir, IPS, aplikační kontrola, URL filtrace dle kategorií, zajištění bezpečné publikace interních zdrojů úřadu, vybudování VPN na bázi webového portálu.
- převzetí komunikačních pravidel ze stávajícího firewallu a jejich implementace do nového firewallu včetně optimalizace využívajících pokročilých vlastností nového řešení.
- součástí implementace bude příprava kabelových rozvodů pro dodávané WiFi AP technologie dle
specifikace:
o max. 20 m Cat5e včetně lištování, 1x průchod cihlovou zdí do 30 cm pro každý WiFi AP,
- návrh a provedení akceptačních testů. Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů
- analýza a detailní identifikace zdrojů dat, jejichž provozně bezpečnostní informace bude nutné, popř. vhodné sbírat. Bude obsahovat i návrh způsobu zpracování získaných informací a vhodných proaktivních i reaktivních akcí
- návrh a vybudování systému centrálního logování pro zaznamenávání činnosti informačního a komunikačního systému, jeho uživatelů a administrátorů
- monitoring a logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného provozu k vnitřnímu zařízení (ve spolupráci s firewallem)
- logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa - čas - uživatel, a to včetně ošetření v případě sdílených pracovních stanic apod.
- monitorování IP datových toků formou exportu provozních informací o přenesených datech v členění minimálně zdrojová/cílová IP adresa, zdrojový/cílový TCP/UDP port (či ICMP typ) dle RFC3954 nebo
ekvivalentu (např. netflow) - minimálně na úrovni rozhraní WAN
- provedení souvisejících konfigurací monitorovaných systémů
- návrh a provedení akceptačních testů, musí zahrnovat i testy archivace a obnovy logů Zavedení nástroje pro ověřování identit uživatelů a správců IS
- analýza prostředí se zaměřením na zavedení vícefaktorové autentizace
- vybudování interní PKI (Public Key Infrastructure) včetně certifikační autority integrované
s Active Directory
- vybudování systému vícefaktorové autentizace s využitím kontaktních a bezkontaktních identifikačních prostředků (karet, tokenů). Instalace externích čteček na koncová zařízení ani distribuce identifikačních medií uživatelům není součástí plnění
- návrh a vybudování systému pro správu kompletního životního cyklu identifikačních prostředků (karet a doménových i veřejných certifikátů) včetně uživatelské běžné správy a obnovy platnosti
- návrh a realizace zálohování
- návrh a provedení akceptačních testů včetně výkonových testů.
Oblast Vytvoření záložní lokality pro zajištění kontinuity provozu IS
- návrh architektury záložní lokality včetně replikačních intervalů pro jednotlivé servery
- návrh konfigurace (zejména retenčních lhůt) zabezpečeného úložiště a způsobu řízení a ukládání záloh
- implementace technologií
- návrh a provedení akceptačních testů včetně výkonových testů a otestovaní obnovy min. 1 serveru ze zabezpečeného úložiště a otestování fail-over a fail-back postupu min. 1 serveru
Oblast Bezpečnost technologických místností
- instalace bezpečnostních IP kamer
- oživení a nastavení systému pro správu kamer, nastavení ukládání dat a jejich retence,
- instalace přístupových terminálů přístupového systému
- instalace elektronických zámků a systému pro řízení přístupů, provedení nastavení a konfigurace systému, ověření funkčnosti dodaného řešení
- součástí implementace bude příprava kabelových rozvodů pro dodávané technologie dle specifikace:
o max. 20 m Cat5e včetně lištování, 1x průchod cihlovou zdí do 30 cm pro každou kameru,
o max. 20 m Cat5e včetně lištování, 1x průchod cihlovou zdí do 30 cm pro každý přístupový terminál,
o max. 5 m Cat5e včetně lištování, 1x průchod cihlovou zdí do 30 cm pro každý zámek.
- instalace a konfigurace RMS včetně čidel, napojení na centrální konzolu
- instalace zhášecího systému včetně napojení na RMS,
- analýza ICT prostředí organizace a návrh vhodné sady sledovaných provozních parametrů hw i sw systémů, návrh dashboardů, hraničních parametrů a sady notifikací
- implementace a nastavení centrální monitorovací konzoly podle provedené analýzy
- provedení potřebných konfigurací monitorovaných systémů
- návrh a provedení akceptačních testů
Oblast Sdílené systémové prostředky
- návrh a vybudování virtualizační platformy pro provoz dodaných systémů
- začlenění veškerých dodaných systémů do zálohovacích plánů organizace
- provedení potřebných konfigurací souvisejících systémů
- návrh a provedení akceptačních testů
3 Dokumentace k dodávanému řešení
V rámci předmětu plnění objednatel požaduje zpracování a předání níže uvedené dokumentace. Dokumentace musí být zhotovena v českém jazyce, bude dodána v elektronické formě ve standardních
formátech (např. DOC, ODT, PDF atd.) na datovém nosiči a 1x v listinné formě.
3.1 Prováděcí dokumentace
Prováděcí dokumentace bude sloužit jako podklad pro vlastní implementaci řešení do prostředí objednatele. Prováděcí dokumentace bude zahrnovat detailní popis cílového stavu a způsobu jeho dosažení, včetně:
• detailního popis cílového stavu včetně funkcionalit jednotlivých částí systému,
• nutné a doporučené optimalizační a konfigurační změny dodávaných systému i všech navázaných systémů (Hyper-V, LAN, zálohování, monitorování atd.),
• způsob zajištění potřebného HW a SW,
• způsob zajištění koordinace realizace předmětu plnění s běžným provozem,
• detailní návrh a popis postupu implementace předmětu plnění,
• detailní popis zajištění bezpečnosti informací,
• detailní harmonogram realizace včetně uvedení kritických milníků,
• návrh designu síťového a bezpečnostního řešení a jeho konfigurace,
• návrh designu aplikačních řešení,
• vazby na stávající systémy a jejich konfigurace,
• integrace dodávaných softwarových systémů,
• rekonfigurace stávajících systémů,
• dopady implementace na dostupnost a funkčnost stávajících služeb,
• posouzení dopadů na non-IT technologie (spotřeba energií, tepelný výkon),
• požadované součinnosti objednatele a jejich rozsah,
• návrh akceptačních kritérií a akceptačních testů.
3.2 Provozní dokumentace
Provozní dokumentace bude zpracována a předána v rozsahu popisu skutečného provedení, popisu činností běžné údržby a činností pro spolehlivé zajištění provozu.
4 Zaškolení IT administrátorů
Zhotovitel zrealizuje v sídle objednatele prezenční zaškolení pro IT administrátory objednatele minimálně v rozsahu provozní dokumentace. Školení bude pokrývat všechny komponenty dodávané v rámci předmětu plnění, a to minimálně v rozsahu:
• běžných administrátorských činností pro implementované systémy,
• standardní údržby systémů pro administrátory zadavatele
• základní identifikace nestandardních stavů systému a jejich příčin. Minimální požadovaný rozsah zaškolení pro administrátory je 16 hodin. Předpokládaný počet administrátorů (účastníků školení) je max. 5 osob.
5 Testovací provoz
Testovací provoz proběhne po dobu uvedenou v harmonogramu realizace, a to se zvýšeným dohledem a
podporou ze strany zhotovitele.
Cílem testovacího provozu je poskytnout metodické vedení a prostor uživatelům pro ověření funkcionalit a vlastní funkčnosti dodaného řešení, pro cvičnou práci se systémem a prostor pro zhotovitele pro identifikaci a opravu případných chyb a neshod. Dalším cílem testovacího provozu je možnost případné definice změnových požadavků ze strany objednatele. Během testovacího provozu provede zhotovitel aktualizaci Dokumentace skutečného provedení. Úspěšný průběh testovacího provozu, jehož výstupem bude faktické uživatelské ověření schopnosti nasazení nového řešení v prostředí objednatele na základě této technické dokumentace a jejich příloh, je jednou z nezbytných podmínek objednatele pro možnost akceptace plnění na základě této technické dokumentace a jejích příloh.
6 Akceptační řízení
6.1 Dílčí akceptační řízení
Dílčí akceptační řízení bude provedeno jednotlivé oblasti díla dle této technické dokumentace. Dílčí akceptační řízení bude zahrnovat porovnání skutečného stavu vůči požadavkům této technické dokumentace a jejím přílohám a požadavků daných prováděcí dokumentací.
Výsledkem dílčího akceptačního řízení je akceptační protokol s výsledkem Splněno (Akceptováno) nebo Nesplněno (Neakceptováno), podepsaný oprávněnými osobami smluvních stran.
Součástí akceptačního protokolu ke každé oblasti díla bude i soupis předaných prvků včetně jejich sériových čísel.
Dílčí akceptace mohou probíhat v libovolném pořadí, je-li to technicky a organizačně možné a vhodné.
6.2 Souhrnné akceptační řízení - akceptace
Souhrnné akceptační řízení bude zahrnovat porovnání skutečného stavu vůči požadavkům smlouvy a této technické dokumentace, která je její přílohou, a jejích příloh, funkčního i nefunkčního charakteru - licence a příslušenství.
Výsledkem souhrnného akceptačního řízení je akceptační protokol s výsledkem Splněno (Akceptováno) / Splněno (Akceptováno) s výhradou / Nesplněno (Neakceptováno), podepsaný oprávněnými osobami smluvních stran a to s výsledným uvedením každé části na tomto akceptačním protokolu a výsledku akceptačního řízení. Klasifikace Splněno (Akceptováno) s výhradou umožní pokračování v realizaci v případě vad drobných, pro které může být opakování akceptačního řízení zbytečně nákladné.
6.3 Opakované akceptační řízení
Jestliže plnění nesplňuje podmínky stanovené pro akceptaci, bude obsahem akceptačního protokolu vyjádření Nesplněno (Neakceptováno) spolu s popisem závad a uvedením termínů pro jejich nápravu. Zhotovitel napraví tyto nedostatky a akceptační řízení v odpovídajícím rozsahu bude provedeno znovu. Proces testování a následných oprav se bude opakovat, přičemž výše uvedená ustanovení se použijí obdobně. Proces testování a následných oprav lze opakovat, dokud zhotovitel nesplní požadavky pro akceptaci řádnou s výsledkem Splněno (Akceptováno), nejvýše však 2x (dvakrát).
V situaci, kdy by bylo nutné opakovat akceptační řízení více jak 2x (dvakrát), bude takové opakování považováno za podstatné porušení smlouvy ze strany zhotovitele a objednatel bude oprávněn odstoupit od smlouvy. Prodlení vzniklé v souvislosti s potřebou opakování akceptačních řízení bude považováno vždy za prodlení vzniklé na straně zhotovitele se zachováním důsledků takového prodlení, tedy zejména smluvních pokut na základě uzavřené smlouvy.
Opakované akceptační řízení bude probíhat jednotlivě samostatně pro jednotlivé části či oblasti tak, aby na již akceptované části dané opakované akceptační řízení nemělo vliv.
7 Harmonogram plnění
Objednatel požaduje realizaci předmětu plnění dle následujícího harmonogramu. Harmonogram je sestaven tak, aby jednotlivé práce na sebe logicky navazovaly a zároveň byl v souladu s požadavky výzvy IROP, ze které má být předmět plnění spolufinancován (s ohledem na termín dokončení předmětu plnění).
S ohledem na možnost kontroly realizace plnění z pohledu času (tj. dílčí vyhodnocování dodržování harmonogramu realizace) je harmonogram doplněn milníky. Započetí každého milníku je možné pouze za předpokladu, že bude provedena akceptace všech milníků předcházejících.
Aktivita projektu | Termín nejpozději do |
Zpracování prováděcí dokumentace, připomínkování ze strany objednatele, vypořádání připomínek, finalizace dokumentu. | 4 týdny |
Akceptační řízení prováděcí dokumentace | 1 týden |
Předání prováděcí dokumentace | T + 5 týdnů |
Dodávky komponent řešení a instalace Implementace dodaného řešení prováděcí dokumentace - nastavení / konfigurace / parametrizace jednotlivých oblastí, provedení integrací na spolupracující systémy atd. Zpracování a dodávka provozní dokumentace. Zpracování školících materiálů. | 15 týdnů |
Připravené prostředí pro testovací provoz, předání do testovacího provozu. | T+20 týdnů |
Prezenční zaškolení IT administrátorů. Předání do testovacího provozu. | 1 týden |
Testovací provoz s dohledem a podporou zhotovitele. Oprava chyb a neshod, případná definice změnových požadavků. Aktualizace dokumentace Dodávka licencí (listinné potvrzení dodaných licencí co do jejich počtu a rozsahu). | 3 týdny |
Akceptační řízení - porovnání skutečných vlastností se požadavky smlouvy. | 1 týden |
Akceptace projektu, předání systému do rutinního provozu. | T+25 týdnů |
Poznámka: Ve sloupci „Termín nejpozději do:“ znak „T“ vyjadřuje datum účinnosti smlouvy.
8 Projektové řízení
Jako součástí plnění jsou požadovány pravidelné projektové schůzky v sídle objednatele min. 1x každých 21 kalendářních dní a dále ad-hoc pracovní schůzky k problematice řešení jednotlivých oblastí plnění, včetně projednání a odsouhlasení výstupů pro konfiguraci a nastavení jednotlivých oblastí plnění pro potřebu objednatele.
S ohledem na rozsah projektu a dopad jeho zavedení do produkčního provozu na výkon činnosti objednatele je v rámci předmětu plnění objednatelem požadováno aplikování základních principů projektového řízení ze strany zhotovitele. Jedná se zejména o řízení projektových prací v souladu s uzavřenou smlouvu s ohledem na:
• věcné plnění - rozsah, posloupnost a hloubku projektových prací,
• závazný harmonogram projektu - dodržování termínů v harmonogramu, podchycení případných kolizí, zpoždění nebo vznikajících rizik a jejich reportování směrem k objednateli, aktivní řešení výše uvedených nestandardních situací).
Dále se jedná o zpracování pravdivých, úplných a věcně jasných a vypovídajících zápisů ze všech konzultačních a projektových schůzek a pracovních jednání (s cílem zaznamenání klíčových rozhodnutí, ujednání, navržených nebo dohodnutých způsobů řešení dílčích částí projektu atd.). Uvedené zápisy budou zpracovány během schůzek a jednání, případně budou zpracovány a předány objednateli nejpozději do dvou pracovních dnů po těchto jednáních.
Cenová tabulka veřejné zakázky s názvem Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti
1. Účastník zadávacího řízení cenou tabulku vyplní a cenu vypočte pouze v buňkách označených
2. Účastník vyplní do tabulky jednotlivé ceny dodávek a služeb včetně jejich příslušenství
3. Pro stanovení nabídkové ceny do ceny zařízení dodavatele zanese cenu standardní záruky, která je k zařízení dodávána. Nadstandardní záruku, záruční servis a podporu dodavatel nacení samostatně do příslušné položky k zařízení v tabulce níže. Podpora zařízení a podpora software za předpokladu, že první rok podpory je součástí dodávky licence nebo zařízení může být součástí ceny zařízení a licence, každý další rok musí být naceněn samostatně ve sloupečku E této tabulky, jako samostatná podpora.
4. Náklady na implementační služby budou zohledněny v ceně dodávek zařízení a licencí.
Aricoma Systems a.s., IČO: 04308697
Název dodavatele:
Položka | Počet | Celková cena za uvedený Počet [Kč bez DPH] | Cena za prodlouženou záruku a záruční servis k zařízení dle specifikace [Kč bez DPH] | Tech. podpora po dobu 5 let (maintenance, bezpečnostní update, patche, subskribce, nároky na aktualizační balíčky dat atd.) [Kč bez DPH] |
Oblast Zvýšení zabezpečení komunikační sítě | ||||
Páteřní přepínač s příslušenstvím | 2 | 314 919 Kč | 1 200 Kč | — |
Přístupový přepínač s příslušenstvím | 6 | 231 625 Kč | 1 400 Kč | — |
Přístupový přepínač s příslušenstvím s PoE | 6 | 304 152 Kč | 1 400 Kč | |
Přístupový bod WiFi s příslušenstvím | 12 | 319 464 Kč | 1 200 Kč | — |
SW pro řízení přístupu do sítě 802.1x | 1 | 235 266 Kč | — | 130 800 Kč |
Next-generation Firewall s příslušenstvím | 2 | 245 034 Kč | 38 800 Kč | 182 600 Kč |
Nabídková cena za část díla v Kč bez DPH | 2 007 860 Kč | |||
DPH ve výši 21 % | 421651 Kč | |||
Nabídková cena za část díla v Kč včetně DPH | 2429511 Kč | |||
Oblast Zavedení nástroje pro zaznamenávání činnosti IS a KS, jeho uživatelů a administrátorů | ||||
SW pro komplexní správu logů | 1 | 144 987 Kč | — | 30 500 Kč |
Server pro logování | 1 | 70 248 Kč | 4 900 Kč | — |
Úložiště pro logování | 1 | 70 248 Kč | 4 900 Kč | — |
Xxxxxxxxx cena za část díla v Kč bez DPH | 325 783 Kč | |||
DPH ve výši 21 % | 68 414 Kč | |||
Nabídková cena za část díla v Kč včetně DPH | 394 197 Kč | |||
Oblast Zavedení nástroje pro ověřování identit uživatelů a správců IS | ||||
USB čtečky | 150 | 114 650 Kč | — | — |
Hybridní karty | 150 | 114 650 Kč | — | — |
SW pro autentizaci uživatelů pomocí identifikačních karet | 1 | 596 854 Kč | — | 251 200 Kč |
Nabídková cena za část díla v Kč bez DPH | 1 077 354 Kč | |||
DPH ve výši 21 % | 226 244 Kč | |||
Nabídková cena za část díla v Kč včetně DPH | 1 303 598 Kč | |||
Oblast Vytvoření záložní lokality pro zajištění kontinuity provozu IS | ||||
Zabezpečené úložiště pro záložní lokalitu s příslušenstvím | 1 | 344 119 Kč | 9 800 Kč | — |
Licence SW pro ukládání záloh do zabezpečené úložiště | 1 | 165 000 Kč | — | 79 400 Kč |
Server - produkční pro redundantní prostředí (druhá lokalita) | 1 | 344 899 Kč | 39 600 Kč | — |
Licence SW pro replikaci virtuálních serverů do záložní lokality | 1 | 115 366 Kč | — | 79 600 Kč |
Licence oper. systému včetně hypervizoru pro replikované virtuální servery | 1 sada | 165 346 Kč | — | — |
Klientské licence operačních systémů | 000 | 000 000 Kč | — | — |
UPS s příslušenstvím | 1 | 54 720 Kč | 2 100 Kč | — |
Xxxxxxxxx cena za část díla v Kč bez DPH | 1 544 950 Kč | |||
DPH ve výši 21 % | 324 440 Kč | |||
Nabídková cena za část díla v Kč včetně DPH | 1 869 390 Kč | |||
Oblast Bezpečnost technologických místností | ||||
Přístupový terminál s biometrickým ověřováním, včetně elektronického zámku s příslušenstvím | 1 sada (sada vždy 1x terminál a 1x zámek) | 258 630 Kč | 9 800 Kč | — |
Bezpečnostní IP kamera s příslušenstvím | 2 | 34 877 Kč | 1 100 Kč | — |
Rack Management Systém s příslušenstvím | 1 | 131 470 Kč | 9 900 Kč | — |
Zhášecí systém s příslušenstvím | 3 | 88 842 Kč | 25 200 Kč | — |
Systému pro řízení přístupových terminálů | 1 | 46 202 Kč | — | 4 800 Kč |
Systém pro správu kamer a nahrávání | 1 | 27 611 Kč | 4 700 Kč | — |
Centrální monitorovací systém pro RMS | 1 | 86 330 Kč | — | 4 800 Kč |
Nabídková cena za část díla v Kč bez DPH | 734 262 Kč | |||
DPH ve výši 21 % | 154 195 Kč | |||
Nabídková cena za část díla v Kč včetně DPH | 888 457 Kč | |||
Oblast Sdílené systémové prostředky | ||||
Server určený k rozšíření stávajících serverových systémových prostředků | 1 | 264 920 Kč | 25 200 Kč | — |
Sada software pro serverovou virtualizaci pro server určený k rozšíření stávajících serverových systémových prostředků | 1 sada | 175 380 Kč | — | — |
Nabídková cena za část díla v Kč bez DPH | 465 500 Kč | |||
DPH ve výši 21 % | 97 755 Kč | |||
Nabídková cena za část díla v Kč včetně DPH | 563 255 Kč |
Celková nabídková cena dodavatele
Nabídková cena celkem v Kč bez DPH | 6 155 709 Kč |
DPH ve výši 21 % | 1 292 699 Kč |
Nabídková cena celkem v Kč včetně DPH | 7 448 408 Kč |
V Teplicích dne 12.1.2024
Podpis osoby oprávněné za účastníka zadávacího řízení