FAKULTNÍ NEMOCNICE BRNO Jihlavská 20, 625 00 Brno IČ: 652 697 05 ŘEDITELSTVÍ
FAKULTNÍ NEMOCNICE BRNO
Xxxxxxxxx 00, 000 00 Xxxx
IČ: 652 697 05
ŘEDITELSTVÍ
xxxx. XXXx. XXXXXXXX XXXXXX, Ph.D., ředitel FN Brno
Tel.:000 000 000
Zadávací dokumentace
k podlimitní veřejné zakázce na dodávky
zadávané v otevřeném podlimitním řízení dle § 52 písm. b) zákona č. 134/2016 Sb., o zadávání veřejných zakázek (dále jen „zákon“), nazvané
„Zvýšení kybernetické bezpečnosti ve FN Brno – Management zranitelností a hardeningová politika“
Veřejná zakázka je spolufinancována Evropskou unií z Evropského fondu pro regionální rozvoj v rámci Integrovaného regionálního operačního programu (IROP), registrační číslo projektu: CZ.06.3.05/0.0/0.0/15_011/0006912
Zadavatel:
Fakultní nemocnice Brno
Xxxxxxxxx 00, 000 00 Xxxx
IČ: 65269705
Identifikační údaje zadavatele
Název zadavatele: Fakultní nemocnice Brno
IČ: 65269705
DIČ: CZ65269705
Sídlo zadavatele: Xxxxxxxxx 00, 000 00 Xxxx
Statutární orgán: xxxx. XXXx. Xxxxxxxx Xxxxxx, Ph.X., ředitel
Bankovní spojení: Česká národní banka
Číslo účtu: 71234621/0710
Fakultní nemocnice Brno je státní příspěvková organizace zřízená rozhodnutím České republiky – Ministerstva zdravotnictví. Nemá zákonnou povinnost zápisu do obchodního rejstříku, je zapsána do živnostenského rejstříku vedeného Živnostenským úřadem města Brna.
Předmět veřejné zakázky
Zadavatel požaduje dodávku a implementaci řešení pro testování zranitelností – aktivní skener ve formě hardware appliance, který bude za účelem zjištění zranitelností provádět testování zranitelností zařízení připojených do informační a komunikační infrastruktury zadavatele a bude evidovat veškeré zjištěné bezpečnostní informace (zranitelnosti apod.).
Klasifikace předmětu veřejné zakázky
Hlavní CPV kód: 48000000-8 Balíky programů a informační systémy
Rozdělení veřejné zakázky na části
Veřejná zakázka není rozdělena na části.
Zadavatel požaduje, aby součástí nabídky bylo doložení splnění podmínek kvalifikace podle zákona, které dodavatel prokáže ve lhůtě pro podání nabídek následujícím způsobem.
Splnění podmínek kvalifikace prokazuje dodavatel již ve své nabídce, a to předložením prostých kopií požadovaných dokumentů. Kopie mohou být nahrazeny čestným prohlášením nebo jednotným evropským osvědčením dle § 87 zákona. Zadavatel si může v průběhu zadávacího řízení vyžádat předložení originálů nebo úředně ověřených kopií dokladů o splnění podmínek kvalifikace.
Doklady prokazující základní způsobilost podle § 74 zákona a profesní způsobilost podle § 77 odst. 1 zákona musí prokazovat splnění požadovaného kritéria způsobilosti nejpozději v době 3 měsíců přede dnem zahájení zadávacího řízení.
Základní způsobilost dle § 74 zákona a způsob jejího prokázání
Účastník zadávacího řízení předloží výpis z Rejstříku trestů k prokázání splnění podmínek ve vztahu k § 74 odst. 1 písm. a) zákona, tj. k prokázání, že nebyl v posledních 5 letech před zahájením zadávacího řízení pravomocně odsouzen pro trestný čin uvedený v příloze č. 3 k zákonu nebo obdobný trestný čin podle právního řádu země sídla; k zahlazeným odsouzením se nepřihlíží.
Jde-li o právnickou osobu, musí tento předpoklad splňovat jak tato právnická osoba, tak zároveň každý člen jejího statutárního orgánu. Je-li členem statutárního orgánu dodavatele právnická osoba, musí výše uvedené podmínky splňovat jak tato právnická osoba, tak každý člen statutárního orgánu této právnické osoby a také osoba zastupující tuto právnickou osobu v statutárním orgánu dodavatele.
Podává-li nabídku či žádost pobočka závodu zahraniční právnické osoby, musí výše uvedené podmínky splňovat tato právnická osoba a vedoucí pobočky závodu. Podává-li nabídku či žádost o účast pobočka závodu české právnické osoby, musí výše uvedené podmínky splňovat vedle výše uvedených osob rovněž vedoucí pobočky.
Tento základní kvalifikační předpoklad musí splňovat účastník zadávacího řízení v zemi svého sídla.
Účastník zadávacího řízení předloží dle § 75 odst. 1 písm. b) zákona potvrzení příslušného finančního úřadu ve vztahu k § 74 odst. 1 písm. b), a dle § 75 odst. 1 písm. c) zákona písemné čestné prohlášení ve vztahu ke spotřební dani podepsané osobou oprávněnou zastupovat účastníka zadávacího řízení k prokázání splnění podmínek ve vztahu k § 74 odst. 1 písm. b) zákona, tj. k prokázání, že účastník zadávacího řízení nemá v evidenci daní zachyceny splatné daňové nedoplatky, a to jak v České republice, tak v zemi svého sídla.
Účastník zadávacího řízení předloží dle § 75 odst. 1 písm. d) zákona písemné čestné prohlášení podepsané osobou oprávněnou zastupovat účastníka zadávacího řízení k prokázání splnění podmínek ve vztahu k § 74 odst. 1 písm. c) zákona, tj. k prokázání, že účastník zadávacího řízení nemá splatný nedoplatek na pojistném nebo na penále na veřejné zdravotní pojištění, a to jak v České republice, tak v zemi svého sídla.
Účastník zadávacího řízení předloží dle § 75 odst. 1 písm. e) zákona potvrzení příslušné okresní správy sociálního zabezpečení k prokázání splnění podmínek ve vztahu k § 74 odst. 1 písm. d) zákona, tj. že nemá splatný nedoplatek na pojistném nebo na penále na sociálním zabezpečení a příspěvku na státní politiku zaměstnanosti, a to jak v České republice, tak v zemi sídla.
Účastník zadávacího řízení předloží dle § 75 odst. 1 písm. f) zákona výpis z obchodního rejstříku, nebo předloží písemné čestné prohlášení, v případě, že není v obchodním rejstříku zapsán, ve vztahu k § 74 odst. 1 písm. e) zákona.
Profesní způsobilost dle § 77 odst. 1 zákona a způsob jejího prokázání
Účastník zadávacího řízení předloží dle § 77 odst. 1 zákona výpis z obchodního rejstříku nebo jiné obdobné evidence, pokud jiný právní předpis zápis do takové evidence vyžaduje.
Technická kvalifikace dle § 79 odst. 2 písm. b) a k) zákona a způsob jejího prokázání
Účastník zadávací řízení předloží dle § 79 odst. 2 písm. b) zákona seznam významných dodávek obsahující minimálně 1 významnou obdobnou dodávku poskytnutou za poslední 3 roky před zahájením zadávacího řízení včetně uvedení ceny bez DPH, doby jejího poskytnutí a identifikace objednatele. Za významnou obdobnou dodávku se považuje dodávka, provedení implementace nebo provozování systému testování zranitelnosti po dobu alespoň 12 měsíců. Minimální finanční objem bez DPH každé takové dodávky musí činit alespoň 700 000,- Kč bez DPH.
Rovnocenným dokladem k prokázání kritéria podle § 79 odst. 2 písm. b) zákona je zejména smlouva s objednatelem a doklad o uskutečnění plnění dodavatele.
Účastník zadávací řízení předloží dle § 79 odst. 2 písm. b) zákona seznam významných dodávek obsahující minimálně 1 významnou obdobnou dodávku poskytnutou za poslední 3 roky před zahájením zadávacího řízení včetně uvedení ceny bez DPH, doby jejího poskytnutí a identifikace objednatele. Za významnou obdobnou dodávku se považuje jednorázová dodávka a implementace řešení pro testování zranitelností založeného na aktivním skeneru ve formě hardware appliance. Minimální finanční objem bez DPH každé takové dodávky musí činit alespoň 700 000,- Kč bez DPH.
Rovnocenným dokladem k prokázání kritéria podle § 79 odst. 2 písm. b) zákona je zejména smlouva s objednatelem a doklad o uskutečnění plnění dodavatele.
Účastník zadávacího řízení předloží dle § 79 odst. 2 písmene d) zákona předloží osvědčení o vzdělání a odborné kvalifikaci vztahující se k předmětu veřejné zakázky. Pro splnění tohoto kritéria je požadováno předložení následujících dokladů k následujícím funkcím:
vedoucí realizačního týmu – fyzická osoba, která povede realizační tým veřejné zakázky, splňující následující požadavky:
vysokoškolské vzdělání v technickém oboru;
praxe v oboru informačních a komunikačních technologií minimálně 10 let;
zkušenosti s vedením alespoň 3 zakázek obdobného charakteru, jejichž předmět zahrnoval nebo zahrnuje dodávku, instalaci a konfiguraci systému testování zranitelností;
specialista kybernetické bezpečnosti – nejméně 1 fyzická osoba v seniorním postavení splňující následující požadavky:
praxe v oboru implementace opatření kybernetické bezpečnosti minimálně 3 roky dosažená v posledních 5 letech před zahájením zadávacího řízení;
zkušenosti s realizací alespoň 3 zakázek obdobného charakteru, jejichž předmět zahrnoval nebo zahrnuje dodávku, instalaci a konfiguraci systému testování zranitelností;
je držitelem některého z relevantních certifikátů pro bezpečnostní roli architekta kybernetické bezpečnosti Certified Eťhical Hacker (CEH), CompTIA Security +, Certified Information Security Manager (CISM), Certified in Risk and Information Systems Control (CRISC), Certified Information Systems Security Professional (CISSP), Manažer BI (akreditační schéma ČIA).
Účastník zadávací řízení předloží dle § 79 odst. 2 písm. k) zákona popisy nebo fotografie všech výrobků určených k dodání. Tento kvalifikační předpoklad účastník zadávacího řízení prokáže předložením listin (zejm. technických listů, produktových listů, návodů k použití apod.) obsahujících technickou specifikaci výrobků. Z předložených listin musí vyplývat, že výrobky splňují veškeré technické požadavky stanovené v této zadávací dokumentaci. Zadavatel tedy musí být z jednotlivých předložených dokumentů schopen posoudit splnění všech svých technických podmínek.
Prokazování kvalifikace v případě společné účasti dodavatelů
V případě společné účasti dodavatelů prokazuje dle § 82 zákona základní způsobilost a profesní způsobilost podle § 77 odst. 1 zákona každý dodavatel samostatně.
Prokazování splnění kvalifikace prostřednictvím jiných osob
Dodavatel může prokázat splnění určité části technické kvalifikace nebo profesní způsobilosti s výjimkou kritéria podle § 77 odst. 1 zákona požadované zadavatelem prostřednictvím jiných osob. V takovém případě je povinen zadavateli předložit:
doklady prokazující splnění profesní způsobilosti podle § 77 odst. 1 zákona jinou osobou,
doklady prokazující splnění chybějící části kvalifikace prostřednictvím jiné osoby,
doklady o splnění základní způsobilosti podle § 74 zákona jinou osobou a
písemný závazek jiné osoby k poskytnutí plnění určeného k plnění veřejné zakázky nebo k poskytnutí věcí nebo práv, s nimiž bude dodavatel oprávněn disponovat v rámci plnění veřejné zakázky, a to alespoň v rozsahu, v jakém jiná osoba prokázala kvalifikaci za dodavatele.
Prokazování splnění kvalifikace výpisem ze seznamu kvalifikovaných dodavatelů
Účastník může namísto dokladů k prokázání základní způsobilosti podle § 74 zákona a profesní způsobilosti podle § 77 zákona předložit výpis ze seznamu kvalifikovaných dodavatelů, který nahrazuje prokázání základní způsobilosti podle § 74 zákona. Prokázání profesní způsobilosti podle § 77 zákona nahrazuje tento výpis ze seznamu kvalifikovaných dodavatelů v tom rozsahu, v jakém údaje v tomto výpisu prokazují splnění kritérií profesní způsobilosti.
Výpis ze seznamu kvalifikovaných dodavatelů nesmí být k poslednímu dni, ke kterému má být prokázáno splnění kvalifikace, starší než 3 měsíce.
Změny kvalifikace účastníka zadávacího řízení
Pokud po předložení dokladů nebo prohlášení o kvalifikaci dojde v průběhu zadávacího řízení ke změně kvalifikace účastníka zadávacího řízení, je účastník zadávacího řízení povinen tuto změnu oznámit zadavateli do 5 pracovních dnů oznámit a do 10 pracovních dnů od oznámení této změny předložit nové doklady nebo prohlášení ke kvalifikaci; zadavatel může tyto lhůty prodloužit nebo prominout jejich zmeškání. Tato povinnost účastníkům zadávacího řízení nevzniká, pokud je kvalifikace změněna takovým způsobem, že:
podmínky kvalifikace jsou nadále splněny,
nedošlo k ovlivnění kritérií pro snížení počtu účastníků zadávacího řízení nebo nabídek a
nedošlo k ovlivnění kritérií hodnocení nabídek.
vymezení zadávací dokumentace a její poskytování
Zadávací dokumentaci tvoří dle § 28 odst. 1 písm. b) zákona veškeré písemné dokumenty obsahující zadávací podmínky, sdělované nebo zpřístupňované účastníkům zadávacího řízení při zahájení zadávacího řízení, včetně formulářů podle § 212 zákona a výzev uvedených v příloze č. 6 k zákonu. Zadávací dokumentaci v užším smyslu tvoří tato zadávací dokumentace včetně jejích příloh. Tato zadávací dokumentace včetně jejích příloh č. 1 a 2 jsou zveřejněny na profilu zadavatele xxxxx://xxxx.xxxxxx.xx/ a tvoří tak veřejnou část zadávací dokumentace v užším smyslu (dále jen „Veřejná část“).
Přílohy č. 3 a 4 této zadávací dokumentace souvisejí se zajišťováním kybernetické bezpečnosti zadavatele, který je provozovatelem základní služby dle § 2 písm. k) zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů. Jako takové je zadavatel dle § 36 odst. 8 zákona považuje za důvěrné informace, které na profilu zadavatele nezveřejňuje (dál jen „Neveřejná část“).
Při poskytování Neveřejné části postupuje zadavatel takto:
zadavatel poskytne Neveřejnou část na žádost ve lhůtě do 3 pracovních dnů od doručení písemné žádosti dodavatele za podmínky přijetí přiměřených opatření k ochraně informací důvěrné povahy v dohodě o ochraně důvěrných informací, která je přílohou č. 2 této zadávací dokumentace. Dodavatel doručí žádost o poskytnutí Neveřejné části prostřednictvím elektronického nástroje E‑ZAK na adrese: xxxxx://xxxx.xxxxxx.xx/.
žádost o poskytnutí Neveřejné části dle předchozí odrážky musí obsahovat:
identifikační údaje dodavatele, který žádá o poskytnutí Neveřejné části;
telefonické a e-mailové spojení na dodavatele, který žádá o poskytnutí Neveřejné části;
dodavatelem doplněnou dohodu o ochraně důvěrných informací, která je přílohou č. 2 této zadávací dokumentace, převedenou do formátu PDF a podepsanou kvalifikovaným elektronickým podpisem osoby oprávněné jednat jménem či za dodavatele;
jméno, příjmení a funkce osoby, která je jménem či za dodavatele oprávněna Neveřejnou část převzít.
osobě, která je jménem či za dodavatele oprávněna Neveřejnou část převzít, bude Neveřejná část předána elektronicky v odpovědi na žádost dle první odrážky prostřednictvím elektronického nástroje E‑ZAK na adrese: xxxxx://xxxx.xxxxxx.xx/, přičemž k převzetí Neveřejné části je dodavatel povinen poskytnout potřebnou součinnost.
Zadavatel nepožaduje žádnou úhradu nákladů za poskytnutí Neveřejné části.
Zadavatel požaduje zboží nové, nikoliv demo, repasované nebo jakkoliv již dříve použité.
Zboží musí splňovat veškeré technické požadavky stanovené pro jeho uvedení na trh a do provozu dle právních předpisů, zejména zákona č. 22/1997 Sb., o technických požadavcích na výrobky a nařízení vlády č. 54/2015 Sb., kterým se stanoví technické požadavky na zdravotnické prostředky, ve znění pozdějších předpisů.
Pokud je v technické specifikaci níže užit pojem „možnost“, rozumí se tím vlastnost, funkce či schopnost zboží, nikoliv pouze jeho připravenost k využití této možnosti (tzn. že zadavatel požaduje, aby mohl tyto „možnosti“ využívat bez dalších finančních investic do různých rozšíření, upgradů, apod., nejsou-li tyto výslovně zmíněny).
Zadavatel na základě provedeného hodnocení rizik k zajištění povinností dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZKB“), stanovil maximální přípustnou úroveň rizika spojeného s narušením důvěrnosti, integrity nebo dostupnosti každého jednotlivého nabízeného technického nebo programového prostředku. Výsledek hodnocení rizik, provedeného dle Xxxxxxxx pro identifikaci a hodnocení aktiv a pro hodnocení rizik (příloha č. 3 této zadávací dokumentace) včetně maximální přípustné hodnoty rizika je obsažen ve zprávě k hodnocení rizik souvisejících s plněním předmětu veřejné zakázky (příloha č. 4 této zadávací dokumentace).
Zadavatel byl rozhodnutím Národního úřadu pro kybernetickou a informační bezpečnost (dále také jen „NÚKIB“) ze dne 23. 10. 2018 dle § 22a zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZKB“), určen provozovatelem základní služby. Z tohoto důvodu je FN Brno povinen v zadávacím řízení zohlednit varování NÚKIB ze dne 17. 12. 2018, sp. zn. 110-536/2018, č. j. 3012/2018-NÚKIB-E/110 (dále také jen „varování NÚKIB“). Pro zajištění této povinností zadavatel v souladu s § 4 odst. 4 ZKB a § 37 odst. 1 písm. b) zákona požaduje provedení hodnocení rizik ve smyslu § 2 písm. d) vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále jen „VKB“), nabízeného řešení, a to postupem podle přílohy č. 3 této zadávací dokumentace.
V případě, že hodnota takto zjištěného rizika je dle přílohy č. 4 této zadávací dokumentace nepřípustná, tedy je v rozporu se zadavatelem stanovenou technickou podmínkou maximální přípustné úrovně rizika spojeného s narušením kybernetické bezpečnosti, tj. důvěrnosti, integrity nebo dostupnosti každého jednotlivého nabízeného technického nebo programového prostředku, požaduje zadavatel jako součást nabízeného řešení taková bezpečnostní opatření, která hodnotu tohoto rizika sníží na akceptovatelnou úroveň, tj. tak, aby nebylo nepřípustné. Zadavatel v takovém případě požaduje, aby účastník zadávacího řízení ve své nabídce současně doložil účinnost těchto bezpečnostních opatření druhým hodnocením rizik provedeným postupem podle přílohy č. 3 této zadávací dokumentace. Zadavatel v rámci posouzení splnění podmínek účasti dodavatelů v zadávacím řízení provede posouzení splnění takto stanovené technické podmínky, přičemž si vyhrazuje právo ověřovat řádnost provedených hodnocení rizik, jakož i účinnost navržených bezpečnostních opatření. Zároveň zadavatel upozorňuje na skutečnost, že veškeré náklady na navrhovaná bezpečnostní opatření musí být zahrnuty v nabídkové ceně.
Zadavatel v této souvislosti upozorňuje, že pokud:
bude nesprávně zjištěná hodnota rizika v prvním nebo druhém hodnocení,
bude výše uvedeným postupem zjištěno nepřípustné riziko nebo
navržená bezpečnostní opatření nepovedou ke snížení zjištěného rizika na akceptovatelnou úroveň,
nesplní nabídka účastníka zadávacího řízení zadávací podmínky. Zadavatel je v takovém případě oprávněn postupovat podle příslušného ustanovení § 48 zákona a účastníka zadávacího řízení vyloučit z další účasti v zadávacím řízení.
V případě, že nabízené zboží (žádná jeho položka) neobsahuje produkty uvedené ve varování NÚKIB, tj. nabízené řešení neobsahuje žádné technické ani programové prostředky společností Huawei Technologies Co., Ltd. Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, nebo ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, ani jejich dceřiných společností, může účastník zadávacího řízení namísto provedení hodnocení rizik tuto skutečnost čestně prohlásit, tj. doložit v nabídce čestné prohlášení, že žádná položka nabízeného řešení neobsahuje žádné technické ani programové prostředky společností Huawei Technologies Co., Ltd. Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, nebo ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, ani jejich dceřiných společností. Zadavatel upozorňuje, že v případě, že po uzavření smlouvy vyjde najevo, že toto čestné prohlášení neodpovídá skutečnosti, bude oprávněn odstoupit od smlouvy.
Zadavatel pro účely sestavení nabídek sděluje následující informace o prostředí zadavatele. Nabídka musí svým rozsahem těmto informacím odpovídat, tj. nabídka musí být dimenzována tak, aby umožňovala provedení veškerých prací nezbytných k implementaci nabízeného řešení do prostředí zadavatele, které má tyto parametry. O této skutečnosti účastník zadávacího řízení učiní v nabídce čestné prohlášení.
Prostředí zadavatele je situováno do tří lokalit ve městě Brně:
xxxxx Xxxxxxxx, Xxxxxxxxx 00;
areál Porodnice, Obilní trh 11;
areál Dětská nemocnice, Černopolní 9.
Dále zadavatel uvádí následující parametry své síťové infrastruktury:
Parametr |
Hodnota parametru |
Poznámka |
Počet informačních systémů základní služby identifikovaných dle ZKB |
23 |
|
Přibližný počet IP adres |
8000 |
|
Počet zdravotnických prostředků na síti (max. hodnota) |
600 |
|
Počet pevných PC |
2500 |
|
Počet virtuálních PC |
1000 |
|
Počet zaměstnanců celkem |
5700 |
|
Počet uživatelů v síti celkem |
8900 |
Uživatele s pracovní smlouvou, cca 240 firemních účtů |
Orientační počet switchů |
300 |
|
Orientační počet routerů |
10 |
|
Orientační počet WiFi AP |
750 |
|
Počet VPN gateway |
3 |
|
Počet firewallů samostatných |
2 |
Zapojeno v HA |
Počet Radius serverů |
8 |
|
Orientační počet Windows serverů |
180 |
|
Orientační počet Linux serverů |
120 |
|
Orientační počet databázových serverů |
21 |
|
Počet virtualizačních serverů pro VMWare |
24 |
12 serverů je využíváno pro virtualizaci serverů, 12 serverů je využíváno pro Horizon virtuální PC |
Specifikace požadovaného řešení
Zadavatel požaduje dodávku a implementaci řešení pro testování zranitelností – aktivní skener ve formě hardware appliance, který bude za účelem zjištění zranitelností provádět testování zranitelností zařízení připojených do informační a komunikační infrastruktury zadavatele a bude evidovat veškeré zjištěné bezpečnostní informace (zranitelnosti apod.). Žádné informace zpracovávané nabízeným řešením nesmí opustit bezpečnostní perimetr zadavatele, tj. informační a komunikační infrastrukturu zadavatele. Nabízené řešení musí umožňovat provádění plánovaného skenování informační a komunikační infrastruktury zadavatele v čase, podle organizačních útvarů a členění sítě (VLAN apod.) zadavatele. Na každé skenované zařízení musí nabízené řešení umožňovat sestavit specifickou sadu testů za účelem odhalení zranitelností a nedostatků v konfiguracích.
Požadavky na celé řešení:
nabízené řešení musí zadavateli umožňovat provádět testování zranitelností zařízení připojených do jeho síťové a komunikační infrastruktury;
žádné informace zpracovávané nabízeným řešením nesmí opustit bezpečnostní perimetr zadavatele, tj. informační a komunikační infrastrukturu zadavatele;
na každé skenované zařízení musí nabízené řešení umožňovat sestavit specifickou sadu testů za účelem odhalení zranitelností a nedostatků v konfiguracích;
nabízené řešení musí umožňovat plánování skenování, tj. programovatelný rozsah testování zranitelností na každém konkrétním zařízení.
nabízené řešení musí umožňovat volbu intenzity testování, a to zejména z hlediska zátěže testovaných zařízení;
možnost specifikace výkonnostních parametrů jednotlivých testů, aby bylo možné moderovat eventuální zátěž cílových zařízení nebo systémů způsobenou daným testováním;
nabízené řešení musí umožňovat neautentizované i autentizované testování zranitelností – skener musí být schopen v takovém případě použít přednastavené přihlašovací údaje pro interakci s testovacím zařízením nebo systémem;
transformaci jednorázového skenování zranitelností do automatizovaného procesu;
integraci s dalšími bezpečnostními nástroji prostřednictvím otevřeného a dokumentovaného API (technická charakteristika API musí být součástí nabídky) alespoň v následujícím rozsahu:
integrace na systémy SIEM;
integrace na systémy IDS/IAS a NAC;
integrace na systémy správy identit a autentizační zdroje (zejména Active Directory) za účelem poskytnutí přihlašovacích údajů pro autentizované testy;
automatizace prostřednictvím CLI;
veškeré funkce dostupné z GUI dostupné rovněž s užitím API;
v případě zapojení více appliancí v rámci řešení musí řešení disponovat možností tyto integrovat z pohledu managementu do jednotného systému správy jedinou konzolí správy;
nabízené řešení musí disponovat centrální správou s přehledovou obrazovkou (tzv. dashboard) obsahující podstatné informace a nastavení testování. Podoba přehledových obrazovek musí být uživatelsky konfigurovatelná. V rámci konfigurace přehledové obrazovky je požadováno alespoň:
zobrazení nejzranitelnější stroje v síti;
zobrazení nejčetnějších zranitelností v síti;
zobrazení počtu zranitelností uvedených v OWASP Top Ten;
před zahájením testování, během testování i po testování (nad zjištěnými údaji) musí být možné uživatelsky sestavovat (např. filtrování) seznamy testovaných aktiv, a to alespoň takto:
identifikace technických aktiv za využití „discovery“ testování;
kategorizace aktiv na základě operačního systému, IP adres a dalších atributů;
dynamická kategorizace aktiv na základě počtu zranitelností, typu zranitelností, přítomnosti konkrétní zranitelností a dalších atributů;
v rámci konfigurace testování musí být možné:
předdefinovávat šablony pro jednoduché spuštění testů zranitelností bez nutnosti složité konfigurace;
definovat vlastní test bez nutnosti využít předdefinované šablony;
definovat šablony testů pro jednoduché vytváření více stejných testů pro různé systémy;
testovat za pomoci časového harmonogramu, tj. plánovat jednotlivé testy v čase, a to jednorázově i opakovaně podle předem uživatelsky připraveného harmonogramu;
nabízené řešení musí umožňovat ověřování stavu konfigurace testovaného zařízení na základě jeho vnějších projevů, přičemž toto ověřování bude probíhat proti pravidlům pro compliance check a dle pravidel vystavěných na základě politik zadavatele, která musí být možné konstruovat strukturovaným zápisem a musí být možno je předávat na úrovni M2M komunikace;
v rámci vyhodnocování výsledků testování musí nabízené řešení umožňovat:
řešení musí umožňovat analýzu detekovaných zranitelností a poskytovat minimálně následující informace o zranitelnosti, a to včetně možnosti filtrování výsledků testování dle následujících parametrů:
IP adresa a DNS stroje, na němž byla zranitelnost detekována;
operační systém stroje, na němž byla zranitelnost detekována;
závažnost zranitelnosti;
CVE zranitelnosti;
CVSS skóre;
datum zveřejnění zranitelnosti;
datum první identifikace v síti zadavatele;
datum poslední identifikace v síti zadavatele;
popis zranitelnosti;
řešení musí poskytovat přehled:
všech detekovaných zranitelností;
zranitelností detekovaných konkrétním testováním;
zranitelných strojů specifikovaných IP adresou nebo DNS názvem s počtem zranitelností jednotlivých závažností;
zranitelností seskupených dle portu;
řešení musí mimo standardní zdroje informací o zranitelnostech přednastavených výrobcem umožnit rovněž customizaci daných nastavení pro užití vlastních zdrojů zadavatele nebo jiných cizích zdrojů v podporovaných formátech;
řešení musí být schopno oddělit zranitelnosti od položek konfigurace, které nejsou ve shodě s bezpečnostní politikou;
řešení musí umožnit vytvoření výjimky pro konkrétní zranitelnost případně snížení její závažnosti;
vytváření reportů:
reporting ve formátu HTML, PDF a CSV;
možnost využít předdefinovaných šablon;
možnost vytvoření vlastního reportu bez využití šablon;
řešení musí umožňovat vytvořit vlastní report s možností filtrování zranitelností dle stanovených parametrů (viz Vyhodnocování výsledků);
řešení musí umožňovat přidání vlastních komponent do reportu (tabulky, grafy, texty), aby si zadavatel mohl přizpůsobit reporty svým požadavkům a vytvářet reporty pro různé úrovně managementu;
možnost automatického reportování po vykonání testu a odeslání na specifikované emailové adresy;
možnost pravidelného reportování za pomoci časového harmonogramu;
funkce Master Mode – možnost propojení s minimálně 3 - 4 samostatně fungujícími senzory dle níže uvedeného;
nabízené řešení musí z hlediska výkonu požadovaného hardware a z hlediska licenčních podmínek:
Provádět testování nad infrastrukturou v rozsahu nejméně 8000 IP adres;
Provádět testování nejméně 2000 IP adres za 24 hodin;
Požadavky na zabezpečení nabízeného řešení:
Zabezpečený přístup do management konzole pomocí využití protokolu HTTPS ze standardních webových prohlížečů;
Řízení přístupu podle sledovaných systémů;
Řízení přístupu uživatelů dle předdefinovaných rolí.
Zadavatel požaduje dodávku 1 ks hardwarové appliance pro testování zranitelností v informační a komunikační infrastruktuře zadavatele včetně příslušenství nezbytného pro řádné a plnohodnotné provozování této hardwarové appliance. Požadavky na 1 ks hardwarové appliance pro testování zranitelností v informační a komunikační infrastruktuře zadavatele:
min. 4 porty 1 Gb (1000 Base -TX);
kapacita testování alespoň 2000 IP adres za 24 hodin;
možnost připojení pobočkových senzorů, které umožní provádět pomocí nabízeného hardwarového appliance:
v počtu nejméně 3 ks takových senzorů, pokud nabízené hardwarové appliance obsahuje samo o sobě alespoň senzor pro testování;
neobsahuje-li jej, musí nabízené HW aplliance umožňovat připojení 4 ks takových senzorů, přičemž nejméně 1 ks takového senzoru musí být součástí dodávky;
Implementace v provozním prostředí odděleném striktně od sítě Internet nebo jiných veřejných sítí (Air Gap mode), kdy přesto lze řešení a jeho předlohové databáze zranitelností aktualizovat ze zdrojů podpory výrobce postupem, který výrobce pro ten účel na své straně zajišťuje a podporuje.
Zadavatel vedle záruky na dodané zboží (zejm. hardwarové appliance) požaduje zajištění podpory nabízeného řešení po dobu 60 měsíců alespoň v rozsahu služeb specifikovaných v příloze č. 2 návrhu smlouvy, který je přílohou č. 1 této zadávací dokumentace.
Obchodní podmínky jsou obsaženy v závazném návrhu smlouvy, který je přílohou této zadávací dokumentace. Pro doplnění návrhu smlouvy platí následující požadavky zadavatele (dále viz kap. XI této zadávací dokumentace):
smlouva musí být předložena ve znění uvedeném v příslušné příloze této zadávací dokumentace, a to bez jakýchkoli změn;
do smlouvy je však účastník zadávacího řízení povinen doplnit zadavatelem vyznačené údaje;
do přílohy č. 1 smlouvy účastník zadávacího řízení přehledně a ve strojově čitelném formátu doplní detailní specifikaci Zboží, služeb a dalších plnění požadovaných touto zadávací dokumentací, které nejsou specifikovány v jiných částech smlouvy, a to tak, aby z takto doplněné přílohy č. 1 smlouvy jednoznačně vyplývalo splnění všech požadavků uvedených v této zadávací dokumentaci.
Povinné doklady
Součástí nabídky musí být následující doklady v českém jazyce (není-li dále stanoveno jinak):
údaje a dokumenty, které zadavatel potřebuje k hodnocení nabídek a posouzení splnění podmínek účasti v zadávacím řízení;
čestné prohlášení o tom, že nabídka je dimenzována podle parametrů prostředí zadavatele uvedených v kap. V.2 této zadávací dokumentace;
ceny jednotlivých dílčích položek (komponent), ze kterých se skládá předmět veřejné zakázky;
veškeré doklady, které jsou dle právních předpisů nezbytné pro splnění předmětu veřejné zakázky, jakož i doklady, které jsou požadovány touto zadávací dokumentací;
uživatelský návod ke Zboží v českém jazyce na CD, DVD nebo na USB flash disku ve formátu DOC, DOCX, RTF nebo PDF, a to vždy; pokud výrobce Zboží nemá sídlo v České republice, předloží tento uživatelský manuál současně v anglickém jazyce, a to na CD, DVD nebo na USB flash disku ve formátu DOC, DOCX, RTF nebo PDF;
čestné prohlášení, že Zboží má CE certifikát a prohlášení o shodě dle zákona č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů, a pokud se jedná o zdravotnický prostředek dle zák. č. 89/2021 Sb. (zákon o zdravotnických prostředcích), v platném znění, s uvedením klasifikační třídy, a to v českém jazyce;
označení přístroje „CE“ v uživatelském manuálu.
doklad osvědčující, že veškeré Zboží bude dodáno prostřednictvím autorizovaného kanálu jeho výrobce;
prohlášení výrobce Zboží nebo jeho oficiálního zastoupení o tom, že na Zboží identifikované podle sériových čísel bude zadavateli jakožto koncovému zákazníkovi poskytnuta záruka výrobce v plném, výrobcem poskytovaném rozsahu;
potvrzení výrobce o určení Zboží pro evropský trh;
Součástí nabídky musí dále být následující doklady:
čestné prohlášení, že žádná položka Zboží neobsahuje žádné technické ani programové prostředky společností Huawei Technologies Co., Ltd. Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, nebo ZTE Corporation, Šen-čen, Xxxxxx xxxxxx xxxxxxxxx, ani jejich dceřiných společností, nebo, jestliže kterákoli položka nabízeného Zboží takové technické nebo programové prostředky obsahuje nebo to nelze vyloučit:
hodnocení rizik nabízeného řešení ve smyslu § 2 písm. d) VKB provedené postupem podle této zadávací dokumentace a podle přílohy č. 3 této zadávací dokumentace, a to v míře podrobnosti umožňující zadavateli přezkoumání postupu hodnocení;
v případě, že hodnota rizika nabízeného řešení zjištěná podle předchozí odrážky je dle kap. V.1 této zadávací dokumentace a přílohy č. 4 této zadávací dokumentace nepřípustná, předloží účastník zadávacího řízení rovněž hodnocení rizik nabízeného řešení po implementaci bezpečnostních opatření navržených za účelem snížení hodnoty tohoto rizika tak, aby nebylo nepřípustné, a to v míře podrobnosti umožňující zadavateli přezkoumání postupu hodnocení;
podrobný popis bezpečnostních opatření dle předchozí odrážky v rozsahu nezbytném pro vyhodnocení jejich účinnosti zadavatelem.
Výhrady zadavatele
Zadavatel si vyhrazuje právo:
upravit, doplnit nebo změnit podmínky veřejné zakázky, a to všem účastníkům zadávacího řízení shodně a stejným způsobem;
upravit předložený návrh kupní smlouvy, tzn. provést úpravy po formálně právní stránce, které nenaruší podstatné náležitosti této smlouvy, a to při zachování souladu konečného znění smlouvy se zadávacími podmínkami této veřejné zakázky;
v případě shodných nabídkových cen určit vítěze losem.
Prohlídka místa plnění
Zadavatel s ohledem na charakter předmětu veřejné zakázky neumožní prohlídku místa plnění.
Nabídky budou hodnoceny podle ekonomické výhodnosti, a to tak, že budou seřazeny podle nabídkové ceny bez DPH od nejnižší do nejvyšší. Jako ekonomicky nejvýhodnější bude hodnocena nabídka s nejnižší nabídkovou cenou bez DPH.
Nabídková cena bude zpracována jako celková cena za splnění celého předmětu veřejné zakázky, tj. cena za poskytnutí veškerých dalších požadovaných plnění, jak je předmět veřejné zakázky specifikován v této zadávací dokumentaci a v návrhu smlouvy, který je přílohou č. 1 této zadávací dokumentace, a to v Kč bez daně z přidané hodnoty (dále jen „DPH“), včetně DPH a s vyčíslením sazby a výše DPH.
Účastník zadávacího řízení v nabídce zpracuje nabídkovou cenu tak, že ji rozdělí na:
kupní cenu Zboží, jejíž součástí musí být i cena za poskytování záruky za Zboží a za veškeré požadované služby poskytované přímo nebo nepřímo (prostřednictvím dodavatele) výrobcem Zboží, které společně tvoří součást záruky za Zboží; a
cenu za ostatní požadované služby poskytované dodavatelem, tj. nikoli výrobcem Zboží.
Účastník zadávacího řízení tedy zpracuje nabídkovou cenu do následující tabulky:
Č. řádku |
Položka |
Cena bez DPH v Kč |
Sazba DPH v % |
Výše DPH v Kč |
Cena včetně DPH v Kč |
1 |
Kupní cena Zboží |
[DOPLNÍ DODAVATEL] |
[DOPLNÍ DODAVATEL] |
[DOPLNÍ DODAVATEL] |
[DOPLNÍ DODAVATEL] |
2 |
Cena za ostatní požadované služby poskytované dodavatelem |
[DOPLNÍ DODAVATEL] |
[DOPLNÍ DODAVATEL] |
[DOPLNÍ DODAVATEL] |
[DOPLNÍ DODAVATEL] |
3 |
Nabídková cena, tj. součet údajů v řádcích 1 a 2 |
[DOPLNÍ DODAVATEL] |
XXX |
[DOPLNÍ DODAVATEL] |
[DOPLNÍ DODAVATEL] |
Účastník zadávacího řízení dále v nabídce uvede ceny jednotlivých dílčích položek (komponent), ze kterých se předmět veřejné zakázky skládá.
Vysvětlení zadávací dokumentace
Zadavatel může zadávací dokumentaci vysvětlit, pokud takové vysvětlení, případně související dokumenty, uveřejní na profilu zadavatele, a to nejpozději 5 pracovních dnů před uplynutím lhůty pro podání žádostí o účast, předběžných nabídek nebo nabídek.
Pokud o vysvětlení zadávací dokumentace písemně požádá dodavatel, zadavatel vysvětlení uveřejní, odešle nebo předá včetně přesného znění žádosti bez identifikace tohoto dodavatele. Zadavatel není povinen vysvětlení poskytnout, pokud není žádost o vysvětlení doručena včas, a to alespoň 3 pracovní dny před uplynutím lhůt podle prvního odstavce, tj. celkem alespoň 8 pracovních dnů před uplynutím lhůty pro podání nabídek. Pokud zadavatel na žádost o vysvětlení, která není doručena včas, vysvětlení poskytne, nemusí dodržet lhůtu podle prvního odstavce.
Pokud je žádost o vysvětlení zadávací dokumentace doručena včas a zadavatel neuveřejní, neodešle nebo nepředá vysvětlení do 3 pracovních dnů, prodlouží lhůtu pro podání nabídek nejméně o tolik pracovních dnů, o kolik přesáhla doba od doručení žádosti o vysvětlení zadávací dokumentace do uveřejnění, odeslání nebo předání vysvětlení 3 pracovní dny.
Pokud se vysvětlení zadávací dokumentace týká částí zadávací dokumentace, které se neuveřejňují podle § 96 odst. 2 zákona, odešle je nebo předá zadavatel všem dodavatelům, kteří podali žádost o příslušné části zadávací dokumentace. V případě vysvětlení částí zadávací dokumentace, které se neuveřejňují, se vysvětlení zadávací dokumentace na profilu zadavatele neuveřejňuje.
Kontaktní osobou zadavatele je Xxx. Xxx. Xxxxxx Xxxxxxx, Ph.D., Oddělení právních věcí, Fakultní nemocnice Brno, Xxxxxxxxx 00, 000 00 Xxxx, e-mail: xxxxxxx.xxxxxx@xxxxxx.xx (viz též kap. XII této zadávací dokumentace).
Zadavatel akceptuje nabídky pouze v elektronické podobě.
Nabídka bude zpracována v českém jazyce a předložena prostřednictvím elektronického nástroje E-ZAK dostupného na adrese: xxxxx://xxxx.xxxxxx.xx/
Nabídka bude zpracována v českém jazyce a předložena ve formátu DOC, DOCX nebo PDF.
Účastník zadávacího řízení předloží jako součást nabídky v samostatném souboru elektronickou verzi smlouvy uvedené v příslušné příloze této zadávací dokumentace (viz kap. VI), a to ve formátu DOC nebo DOCX. Elektronická verze smlouvy musí být řádně vyplněna v souladu s touto zadávací dokumentací, a to včetně všech příloh. Celá elektronická verze smlouvy včetně příloh musí být v jednom souboru a musí být celá strojově čitelná v souladu se zákonem č. 340/2015 Sb., o registru smluv, ve znění pozdějších předpisů (dále jen „zákon o registru smluv“).
V případě, že obsah některé přílohy smlouvy nebude celý strojově čitelný dle zákona o registru smluv, předloží účastník zadávacího řízení takovou přílohu rovněž jako samostatný soubor, který musí podmínky strojové čitelnosti dle zákona o registru smluv splňovat (např. ve formátu XLS nebo XLSX). Zadavatel ve vztahu k podmínkám strojové čitelnosti zejména upozorňuje, že tabulky nebo texty vložené jako obrázky do textového souboru se smlouvou podmínky strojové čitelnosti dle zákona o registru smluv nesplňují. V případě, že obsah doplňovaný do příloh smlouvy účastníkem zadávacího řízení podmínky strojové čitelnosti nesplňuje, musí jej účastník zadávacího řízení předložit jako součást nabídky v samostatném souboru, který musí podmínky strojové čitelnosti dle zákona o registru smluv splňovat (např. technická specifikace v samostatném PDF souboru s textovou vrstvou, cenová nabídka v samostatném XLSX souboru apod.).
Jednotlivé soubory nabídky musí být pojmenovány tak, aby bylo jednoznačné, jaký soubor má jaký význam.
Struktura nabídky:
Obsah nabídky – seznam předkládaných dokumentů;
Krycí list účastníka obsahující identifikační údaje účastníka, a to obchodní firmu nebo název, sídlo, právní formu, IČ, DIČ, bankovní spojení, statutární orgán, telefonní, faxové a e-mailové spojení, adresu pro doručování písemností, internetovou adresu, ID datové schránky apod;
Doklady prokazující splnění kvalifikačních podmínek dle této zadávací dokumentace;
Další doklady dle této zadávací dokumentace;
Cenová nabídka zpracovaná dle této zadávací dokumentace;
Návrh smlouvy uvedený v příslušné příloze této zadávací dokumentace a zpracovaný (tj. vyplněný) dle této zadávací dokumentace včetně příloh, a to v samostatném souboru ve formátu DOC nebo DOCX.
Veškerá písemná komunikace mezi zadavatelem a účastníky zadávacího řízení probíhat výhradně elektronicky, a to za využití:
elektronického nástroje E-ZAK na adrese xxxxx://xxxx.xxxxxx.xx/; zadavatel doporučuje účastníkům včas se v elektronickém nástroji registrovat a z důvodu eliminace technických problému při podávání nabídky provést TEST NASTAVENÍ PROHLÍŽEČE;
datové schránky zadavatele: 4twn9vt;
e-mailem na adresu kontaktní osoby pro toto zadávací řízení.
Podmínky pro uzavření smlouvy
Zadavatel dále bude od vybraného dodavatele dle § 122 odst. 3 zákona požadovat, aby předložil originály nebo ověřené kopie dokladů o kvalifikaci, ledaže je již bude mít k dispozici.
Zadavatel od vybraného dodavatele, který je právnickou osobou a není evidován v evidenci o skutečných majitelích, dále bude požadovat, aby jako podmínku pro uzavření smlouvy předložil dle § 122 odst. 5 zákona výpis z evidence obdobné evidenci údajů o skutečných majitelích nebo:
identifikační údaje všech osob, které jsou jeho skutečným majitelem podle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů; a
doklady, z nichž vyplývá vztah všech osob podle písmene a) k dodavateli; těmito doklady jsou zejména:
výpis z obchodního rejstříku nebo jiné obdobné evidence;
seznam akcionářů;
rozhodnutí statutárního orgánu o vyplacení podílu na zisku;
společenská smlouva, zakladatelská listina nebo stanovy.
Zadavatel upozorňuje, že podle § 211 odst. 3 zákona musí veškerá komunikace mezi zadavatelem a účastníky zadávacího řízení probíhat elektronicky. Vzhledem k této povinnosti bude zadavatel veškeré doklady vyžadovat v elektronické podobě ve formě, která má povahu originálu. Doklady dle § 122 odst. 5 zákona vybraný dodavatel předloží elektronicky v prostých kopiích, ledaže je vybraný dodavatel evidován v evidenci o skutečných majitelích.
Zadavatel upozorňuje, že bez předložení kteréhokoli z výše požadovaných dokumentů nebude s vybraným dodavatelem uzavřena smlouva.
Lhůta a místo pro podání nabídek a otevírání obálek
Lhůta pro podání nabídek
Lhůta pro podání nabídek se stanovuje do 22. 11. 2021 v 10:00 hodin.
Místo podání nabídek
Prostřednictvím elektronického nástroje E-ZAK na adrese xxxxx://xxxx.xxxxxx.xx/
Otevírání nabídek
Otevírání nabídek proběhne dne 22. 11. 2021 v 10:00 hodin prostřednictvím elektronického nástroje E-ZAK na adrese xxxxx://xxxx.xxxxxx.xx/
V Brně dne 29. 10. 2021
xxxx. XXXx. Xxxxxxxx Xxxxxx, Ph.D.,
ředitel Fakultní nemocnice Brno
Přílohy:
Přílohy č. 1 – závazný návrh smlouvy
Příloha č. 2 – dohoda o ochraně důvěrných informací
Příloha č. 3 – Metodika pro identifikaci a hodnocení aktiv a pro hodnocení rizik včetně její přílohy č. 1
Příloha č. 4 – Zpráva k hodnocení rizik souvisejících s plněním předmětu veřejné zakázky