Příloha č. 2 kupní smlouvy: Technická specifikace

Příloha č. 2 kupní smlouvy: Technická specifikace

1. Popis výchozího stavu

1. Základní škola Cheb

1. Areál Základní školy Cheb, Xxxxxxxx xxxxxxx 00, příspěvkové organizace tvoří komplex budov na adrese Xxxxxxxx 00, 000 00 Cheb viz. obrázek. Jedná se především o 2 budovy a venkovní prostory – sportoviště. Areál školy je předělen veřejnou komunikací – chodníkem pro pěší. V současné době navštěvuje školu cca. 180 žáků.

2. Realizace projektu bude probíhat ve všech využívaných a na obrázku vyznačených/popsaných objektech.

3. Současný stav ICT školy neodpovídá Standardu konektivity škol (dále jen Standard konektivity), a současným nárokům na výkon, bezpečnost a centralizovanou správu počítačové sítě. Počítačová síť byla budována postupně, staří a technické úroveň používaných prvků se liší. Síťové pokrytí – drátové i bezdrátové – bylo v jednotlivých etapách realizováno na pokrytí aktuálních potřeb a s ohledem na omezené finanční možnosti, bez rezerv pro budoucí rozvoj. Část prvků je technicky i morálně zastaralých a výrobci nepodporovaných (nebo jen omezeně). Chybí provázanost jednotlivých částí. Chybějící systém správy identit neumožňuje automatizované udržování individuálních elektronických identit pro všechny uživatele sítě (žáky i učitele) a následné automatické uplatňování politik pro řízení, monitorování a logování síťové a internetové komunikace. Absence možnosti detailního řízení a sledování provozu je klíčovou překážkou ve zvýšení úrovně kybernetické bezpečnosti a realizaci preventivních opatření. Decentralizovaná, resp. roztříštěná správa sítě bez podpůrných a automatizačních nástrojů vyčerpává kapacitu správce sítě opakovanými rutinními činnostmi a nedává časový prostor pro systematický a koncepční rozvoj a podporu uživatelů.

4. Kabelové rozvody ve všech budovách provedeny kabely různých kategorií (Cat3-Cat5). Kabeláž není plně strukturovaná a nevyhovuje jednotnému standardu. Pokrytí všech budov metalickými rozvody je nedostatečné
   a neumožňuje připojovat do sítě další zařízení (koncová zařízení, IoT a bezpečností prvky (kamery apod.)) a síť rozvíjet např. doplňováním WiFi přístupových bodů. Nedostatek přípojných míst je řešen „rozbočováním“ sítě malými přepínači bez managementu, jejichž použití dále komplikuje správu celé sítě a snižuje její robustnost, stabilitu
   a bezpečnost. Kabeláž je uložena převážně ve vkládacích lištách. Kabelové rozvody pro kamerové, přístupové
   a obdobné systémy jsou vybudovány jako samostatné, oddělené od počítačových rozvodů. To znemožňuje konsolidaci sítě a její efektivní sdílení a řízení.

5. Obě budovy jsou propojeny nevyhovujícím optickým kabelem, který v současné době není zcela funkční
   a dochází k výpadkům a ztrátám přenášených dat.

6. Propojení stanic i serverů je zajištěno převážně přepínači 100 Mb/s, částečně 1 Gb/s bez možnosti (pokročilé) správy. Hlavní aktivní prvky jsou umístěné v datovém rozvaděči v počítačové učebně a není dostatečně zabezpečený proti neoprávněné manipulaci. Rozvaděč nedisponuje volnými pozicemi pro umístění dalších aktivních prvků
   a zakončení kabelových rozvodů. Škola nevyužívá VLAN, síť tvoří jednu kolizní doménu, a to se negativně projevuje na její propustnosti a spolehlivosti. Aktivní prvky nesplňují požadavky na zabezpečení přístupu do LAN pomocí 802.1X.

7. Internetové připojení v současnosti zajišťuje společnost WIA prostřednictvím spoje o rychlosti 50/50 Mbps. Rychlost připojení tak odpovídá požadavku Standardu konektivity škol – 45 Mbps (180 žáků x 0,25 Mbps).

8. Škola nemá přiděleny veřejné IP adresy IPv4 ani IPv6. Škola nemá v současné době validující DNSSEC resolver na straně školy, neprovádí pokročilý monitoring provozu. Škola provozuje 1 doménu – xx-xxxx.xx.

9. Škola provozuje spojení Wifi s částečným pokrytím. Slouží pouze pro potřeby zaměstnanců školy. Přístup k síti je zabezpečený sdíleným heslem. Síť je omezeně centrálně spravovaná a použité prvky nedisponují podporou dostatečného počtu VLAN a jejich automatického přidělování pro segmentaci sítě školy. Prvky nepodporují aktuální bezpečnostní standardy (WPA3 apod.) ani pokročilé funkce optimalizace rádiového provozu a obsluhy připojených klientů.

10. Zabezpečení přístupu k internetu využívá pouze NAT na hraničním prvku – routeru. Nejsou využívány pokročilé bezpečnostní funkce např. URL filtrace, antivirová kontrolou a detekce průniků.

11. Škola provozuje jeden fyzický server bez virtualizace. Operační systém serveru je Windows 2019, který je využíván pro sdílení souborů, zajištění základních síťových služeb (DNS, DHCP).

12. Zálohovaní serveru řídí prostředky operačního systému, zálohy jsou ukládány na síťový server NAS (network attached storage). Kapacita NAS není dostatečná pro zálohování dalších systémů (např. virtuálních serverů) a realizaci pokročilé ochranu záloh před kompromitací např. snapshoty či obdobnou technologií.

13. Škola disponuje centrální databází uživatelských identit Active Directory, ale nevyužívá ji pro ověřování identity všech uživatelů přistupujících k síťových prostředků. Škola neprovozuje žádný systém pro jejich automatizovanou správu a správu souvisejících oprávnění – IdM (Identity Management).

14. Přístup do počítačů (resp. operačních systémů) je řízen převážně sdílenými lokálními uživatelskými účty, pouze malá část (méně než 10%) využívá ověřování vůči doméně Active Directory.

15. Hlavní softwarovou platformou serverů i uživatelských počítačů jsou operační systémy společnosti Microsoft. Na koncových počítačích učitelů i žáků jsou používány převážně operační systémy Windows 10 a vyšší bez podpory domény Active Directory. Škola provozuje cca. 120 počítačů. Správa životního cyklu operačních systémů a aplikačního vybavení se provádí manuálně. Ochrana počítačů před škodlivým software je zajišťována systémem ESET Internet security.

16. Škola využívá cloudové služby Google Workspace.

17. Škola využívá a prostřednictvím internetu vzdáleně zpřístupňuje webové aplikace – internet školy (xxxxx://xxx.xx-xxxx.xx), školský informační systém EduPage (xxxxx://xxx.xxxxxxx.xxx/). Aplikace jsou publikovány na IPv4 a částečně na i IPv6 adresách, jsou dostupné šifrovaným protokolem https zabezpečeným certifikáty vydanými veřejnými certifikačními autoritami.

18. Škola využívá aktuálně přibližně 120 počítačů, plánovaný cílový počet 40. Průměrné stáří stávajících počítačů přesahuje 5 let. Počítače jsou vybaveny systémem Windows verze 7-10, cca 40 systémů nepodporuje doménu Active Directory.

19. Do zahájení projektu bude škola prostřednictvím optické metropolitní sítě (MAN) města Cheb propojena s Technologickým centrem města Cheb (TC) a bude mít k dispozici minimálně jedno nenasvícené vlákno (dark fiber). Škola bude do TC připojena prostřednictvím MAN rychlostí 10 Gbps.

20. Technologické centrum je vybaveno technologiemi, které budou být využity pro realizaci projektu. Konkrétně se jedná o:

• Cluster firewallů Fortinet FG-240 s možností virtuálních firewallů (VDOM), které mohou být poskytnuty školám

• Databázový server Microsoft SQL Standard 2014

• Prostor pro umístění 19“ datového rozvaděče do výšky 45U

• Přípojku 230 V

• Dvěma klimatizacemi, jedna slouží jako záložní

• Přípojné body MAN. Přes MAN lze provést připojení k lokálním i celorepublikovým poskytovatelům internetového připojení

• Přístupovým biometrickým systémem pro přístup do Technologického centra

• Virtualizační platformou na bázi Microsoft Hyper-V se zajištěným zálohováním a serverovými licencemi Windows Server 2016 Datacenter

• Identity management AC Identita

2. Popis cílového stavu a specifikace předmětu plnění

1. Základní požadavky na technické řešení

1. V rámci projektu bude maximalizováno využití prostředků 1.1.(20) pořízených v předchozích projektech formou sdílení těchto prostředků tam, kde je to technicky, provozně a z pohledu bezpečnosti vhodné a možné. Sdílené prostředky jsou umístěny v Technologickém centru města Cheb a školy k nim budou přistupovat prostřednictvím MAN

2. Cílem projektu je zvýšení bezpečnosti a související modernizace IT infrastruktury, aby implementací projektu byly naplněny Standardy konektivity škol ¹ (dále jen Standard konektivity) a rozšířena funkčnosti ICT prostředí zapojených škol. Dílčí cíle dle jednotlivých komodit jsou specifikovány následovně:

Označení	Komodita	Počet
K1	Zabezpečení LAN a Wifi	1
K2	Centrální logování	1
K3	Správa identit	1
K4	Automatizace procesů	1
K5	Koncová zařízení a licence operačních systémů	1
K6	Interaktivní technika	1
K7	Rozvody LAN	1

3. Je požadováno řešení zachovávající a rozvíjející současné softwarové platformy Microsoft pro zachování kompatibility se stávajícími systémy a aplikacemi. Přechod na jinou platformu by způsobil uživatelské a provozní potíže.

4. Je požadována unifikace jednotlivých komodit (tj. jejich realizace stejnými prostředky) pro všechny části z důvodu jednotné správy celého prostředí a odpovídající minimalizace provozních nákladů.

5. Pokud prodávající (dále jen jako „dodavatel“) vyžaduje využití konkrétních softwarových produktů a jím zvolený přístup k realizaci zadání je na takových konkrétních řešeních závislý, musí jejich pořízení zahrnout ve své nabídce v potřebném rozsahu a v rámci nabídnuté ceny.

6. Pokud dodavatelem nabízené řešení vyžaduje komponenty či služby neobsažené v požadavcích zadání, zahrne dodavatel do své ceny všechny náklady na jejich pořízení, instalaci, konfiguraci a další služby potřebné pro uvedení do provozu, přičemž nesmí překročit ceny za pořízení a provoz v rámci příslušných částí stanovené v Zadávací dokumentaci.

7. Kupující (dále též jako „zadavatel“) z důvodů co nejjednodušší a jednotné správy a minimalizace provozních nákladů vyžaduje využití stávajících prostředků a používaných technologií. V případě, že dodavatel vyžaduje ve svém řešení stejné nebo podobné funkce, jaké poskytují stávající prostředky a technologie, je povinen využít nebo vhodným způsobem rozšířit stávající prostředky.

8. Veškeré produkty, které dodavatel dodává v rámci plnění zadavateli, musí splňovat následující podmínky a dodavatel splnění těchto podmínek potvrdí samostatným čestným prohlášením, které doloží do 15 dnů po podpisu smlouvy:

   1. jsou nové, byly oprávněně uvedeny na trh v EU nebo pochází z autorizovaného prodejního kanálu výrobce,

   2. mají plnou záruku od výrobce,

   3. mohou být podporovány výrobcem a mohou být součástí servisního a podpůrného programu výrobce,

   4. obsahují všechny nezbytné licence na používání příslušného softwaru,

   5. jsou v databázi výrobce uvedeny jako prodaná kupujícímu,

   6. jsou určeny pro provoz v České republice.

Tyto skutečnosti dodavatel doloží čestným prohlášením distributora, popř. dodavatelovým samotným, nelze-li prohlášení distributora získat.

Zadavatel si vyhrazuje právo na zjištění původu výrobků při jejich předávání, a to dle příslušných sériových čísel a právo podpisu akceptačního protokolu, osvědčujícího převzetí dodávky, až po ověření původu výrobku.

9. Veškerá realizační dokumentace dodávaná v rámci veřejné zakázky, musí být zhotovena výhradně v českém jazyce, bude dodána v elektronické formě ve standardních formátech (např. MS Office, Open Office, PDF) používaných zadavatelem na datovém nosiči a 1x v papírové formě. Struktura i forma dokumentace musí být před předáním předána ke kontrole a výslovně schválena zadavatelem.

2. Specifické požadavky na technické řešení komodit

   1. K1 – Zabezpečení LAN a Wifi

      1. Bude implementováno řízení přístupů k mediu (síti) na základě rolí a členství v uživatelské skupině adresářové služby s využitím technologie 802.1X.

      2. Pro hosty a externí uživatele bude zřízena samostatná VLAN (Guest VLAN), které bude komunikačně (min. L3 pravidla, ACL) oddělena od vnitřních sítí organizace. Tato VLAN bude mít své L3 rozhraní až na úrovní firewallu, tak aby bylo možné komunikaci podrobit kontrole za pomoci UTM nástrojů (min. AV, IPS, kategorizace obsahu) a mohl jí být přiřazen samostatný profil odlišný od profilů pro učitele a žáky. Ověřování přístupu do této VLAN bude zajištěno pomocí tzv. captive portálu – webové autorizace. Captive portál bude zajištěn firewallem případně jiným samostatným řešením nebo prvkem, ale vždy
         s důrazem na bezpečné oddělení uživatelského provozu od zbytku vnitřních sítí.

      3. Řízení provozu v LAN bude realizováno vytvořením VLAN (802.1Q), segmentací sítě s routováním (přepínáním) provozu mezi VLAN na úrovni centrálního přepínače s nastavitelnými ACL. Pro řízení provozu na úrovni kvality služeb bude k dispozici technologie QoS (Quality of Services). Pro zajištění vysoké dostupnosti služeb budou centrální a distribuční aktivní prvky propojeny duálními trasami
         s automatickým rozkládáním zátěže a převzetím služeb v případě výpadku jedné trasy.

      4. Architektura WiFi bude založena na řešení s centrální správou prováděnou virtuálním kontrolerem (řadičem). Virtuální kontroler, bude součástí firmwarů přístupových bodů a bude konfigurován v režimu vysoké dostupnosti a zajistí automatické rozložení zátěže klientů, roaming mezi spravovanými přístupovými body a automatické ladění kanálů a síly signálu včetně detekce a reakce na non-Wi-Fi rušení.

      5. Umístění pořízených AP bude provedeno na základě provedené analýzy pokrytí signálem pro zajištění konzistentní WiFi služby v pokrytých prostorách. Provedení analýzy bude součástí projektu.

      6. Ověřování přístupu do LAN bude realizováno protokolem 802.1X vůči adresářové službě prostřednictvím protokolů radius a P/EAP. Používaná zařízení (min. stolní i přenosné počítače) budou vybavena tzv. suplikantem-softwarovou komponentou, která dokáže předávat ověřovací požadavky síťovým prvkům, které tyto požadavky ověří vůči adresářové službě. Pro ověření zařízení bez suplikantů (např. starší tiskárny, zařízení na bázi jednoduchých operačních systémů či firmware apod.) bude použit jiný-dodavatelem navržený vhodný způsob ověření. Neověřená zařízení nezískají přístup do sítě vůbec nebo jim bude zpřístupněna pouze VLAN s omezeným přístupem (např. intranet). Spolu s ověřováním (autentizací) bude implementována i autorizace, tedy dynamické zařazení klientského zařízení nebo uživatele do určené VLAN.

      7. Ověřování přístupu do WiFi sítě bude realizováno na stejném principu jako LAN (tj. protokol 802.1X + radius). Wifi bude nabízet více SSID (učitelé, žáci, Guest), které budou obsluhovány samostatnými VLAN a budou napojeny na raduis servery. Učitelé a žáci budou prostřednictvím radius serveru ověřováni
         v adresářové služby. Zabezpečení vnitřních sítí (BSSID) školy bude provedeno dle 802.1i, tedy-WPA3
         (v odůvodněných případech WPA2) s AES šifrováním a konfigurováno shodně pro obě frekvenční pásma. Výjimkou bude síť určená výhradně pro hosty (Guest WiFi), kde bude realizován tzv. captive portál zajišťující webovou autentizaci hostů pomocí přidělených účtů nebo za pomoci před-generovaných číselných kupónů. Preferován bude captive portál firewallu s tzv. lobby přístupem pro správu
         a generování účtů/kupónů ne-technickou osobou.

      8. Pro zajištění bezpečnosti a možnosti řízení provozu v síti a zajištění prokazatelného monitoringu, logování a auditu interního i externího síťového provozu bude vybudována nová centrální databáze identit na bázi adresářové služby, která nahradí stávající nedostatečně nespolehlivou adresářovou služby Active Directory. Součástí projektu bude migrace vhodných (platných a konzistentních) objektů z původní Active Directory do nové.

      9. Adresářová služba bude samostatná (nesdílená s jinou školou v Technologickém centru). Adresářová služby umožní ukládání a přehlednou správu identit (účtů včetně metadat) učitelů, žáků i externích subjektů, ale i technických prostředků – serverů, tiskáren, pracovních stanic apod. Adresářová služba bude poskytovat službu LDAP a umožní snadné napojení autentizačních mechanismů a protokolů – radius, agenta firewallu a dalších. Adresářová služba zajistí ověřování uživatelů pro účely jejich autorizace k přístupu k síťovým prostředkům (LAN, internet atd.) i výpočetním zdrojům (pracovní stanice, tiskárny, sdílené složky atd.).

      10. Řadiče adresářové služby budou provozovány ve virtuálním prostředí a budou pravidelně automaticky zálohovány. Součástí řadičů budou základní síťové služby – DNS, DHCP. Ověřování identit musí být dostupné i systémům, které přímo nepodporují LDAP nebo jiný protokol adresářové služby. Součástí projektu bude proto i vybudování tzv. zprostředkovatelů identit, které umožní ověřování i jinými protokoly. Technicky půjde o softwarové komponenty transformující požadavky na ověření identity do formátu akceptovaného adresářovou službou (např. radius).

      11. Federovaný systém EDUROAM (xxx.xxxxxxx.xx) umožňuje přistupovat k sítím subjektů zapojených v systému a prostřednictvím těchto sítí k dalším službám, typicky internetu. Federace umožňuje ověření uživatele v libovolné zapojené síti (v České republice i zahraničí) pomocí uživatelovy jediné (centrální) identity. Správcem systému EDU je společnost Cesnet. V rámci projektu bude realizováno připojení do systému EDUROAM a bude nakonfigurováno připojení WiFi sítě do systému EDUROM prostřednictvím vybudované autentizační a autorizační platformy na bázi radius serverů a adresářové služby. Současně budou realizovány další netechnické požadavky pro provoz EDUROAM – např. vytvoření informační webové stránky, zajištění technického kontaktu apod. Zapojení do systému EDUROAM zajistí národní i mezinárodní mobilitu žáků a učitelů.

   2. K2 – Centrální logování

      1. Bude implementováno řešení, které umožní příjem a vyhodnocení všech požadovaných informací. Řešení umožní správu z jedné grafické konzole, přístupné nativně skrze https bez nutnosti instalace klienta. Data bude ukládána do jedné databáze (nebo více integrovaných databází) tak, aby bylo možno realizovat multikriteriální vyhledávání napříč informacemi z různých zdrojů (např. přepínače/ netflow
         a firewall/syslog).

      2. Veškeré dále požadované informace si bude systém automaticky získávat, vyčítat z monitorovaných systémů a současně bude umožňovat příjem protokolů určených pro přenos logovacích, provozních informací, alertů a událostí. Systém bude přijímat informace standardními protokoly ze síťových
         a dalších aktivních zařízení a Windows server systémů.

      3. Mandatorní informace, která bude v systému vždy obsažena a uchována, je vazba IP-uživatel-čas. Tuto informaci bude systém čerpat ze security event-logu adresářové služby, dále z informací o probíhajících komunikacích prostřednictvím firewallu a dalších přístupových a autentifikačních systémů (např. radius logy). Dále budou získávány informace o překladu zdrojových, vnitřních IP adres na externím výstupním rozhraní firewallu, kde bude prováděn NAT. Bude se tedy jednat o informace obsažené v NAT tabulce. Spolu s tím musí být po stanovenou dobu možné zpětně dohledat i vnější provoz k vnitřnímu zařízení. Další funkcionalitou bude plnohodnotná práce se síťovými toky, jejich zpracování a archivace. Nástroje systému budou umožňovat i analytickou práci s přijímanými toky a to i zpětně.

      4. Kombinací požadavků Zákona o uchování informací v elektronické komunikaci spolu s požadavky Standardu konektivity škol a praktického pohledu na možné časové prodlení mezi vznikem incidentu
         a jeho vyšetřováním je definováno, že monitorovací a logovací systém bude umožňovat retenci dat min. 180 dnů. Na tento rozsah retence musí být systém dostatečně dimenzován, tak aby nedocházelo k výkonovým problémům a systém měl dostatečnou rezervu pro očekávatelný budoucí nárůst informací a jejich zdrojů.

      5. Technicky se může jednat o zařízení, softwarový nástroj či appliance nebo samostatné komplexní řešení.

   3. K3 – Správa identit

      1. V rámci komodity bude implementován systém pro správu identit (IDM – Identity management). Systém bude čerpat údaje o uživatelích (identitách) se školského informačního systému a bude umožňovat doplňovat identity/uživatele ručně, pokud nejsou zavedeni ve školském informačním systému.

      2. IDM bude na základě atributů uživatele (např. třída, doba studia apod.) a zadaných pravidel automaticky vytvářet/měnit/mazat uživatelské účty a nastavovat jejich oprávnění v řízených systémech. Automaticky tak bude vytvářeno a průběžně upravováno pracovní prostředí žáků a učitelů v počítačové síti (přihlášení do sítě, přístup k programům a datům, přístup k internetu, mapování sdílených složek a tiskáren atd.) tak, aby vždy odpovídalo nastaveným pravidlům a aktuálním atributům uživatele.

      3. Technicky se může jednat o softwarový nástroj či appliance nebo licenční a technické rozšíření současného sdíleného řešení.

   4. K4 – Automatizace procesů

      1. Pro řízení správy celého prostředí a koordinaci prací administrátorů škol a zřizovatele bude pořízen systém uživatelské podpory typu Service desk. Systém bude podporovat řízení služeb podle standardu ITIL (Information Technology Infrastructure Library) – uznávaného souboru praxí prověřených konceptů a postupů, které umožňují lépe plánovat, využívat a zkvalitňovat využití informačních technologií, a to jak ze strany dodavatelů IT služeb, tak i z pohledu uživatelů. Fungování systému bude založeno na katalogu služeb vytvořeném v rámci dodávky, který bude možno dále rozvíjet a modifikovat libovolně podle požadavků škol a správců.

      2. Součástí Systému uživatelské podpory a správy majetku bude systém či modul pro evidenci a správu prostředků (Asset management). Systém umožní evidenci jakéhokoli majetku či zařízení a svázání požadavků ze Service desku s konkrétním aktivem. Je požadováno, aby systém dokázal automaticky (bezagentově) detekovat hardwarové konfigurace a softwarové vybavení počítačů v síti a umožnil provádět softwarový audit.

      3. Správa prostředků bude umožňovat veškeré obvyklé operace s majetkem (pořízení, zavedení, převod, opravy, údržba, vyřazení apod.) včetně tisku příslušných předávacích protokolů a automatického upozorňování na opakované události (revize, údržba, kalibrace apod.). Pro správu IT majetku bude systém obsahovat obvyklé funkce pro podporu softwarového auditu (přehled, přidělování, odebírání licencí) v rozsahu akceptovaném hlavními výrobci software – např. Microsoft, Adobe, Autodesk.

   5. K5 – Koncová zařízení a licence operačních systémů

      1. Požadované licence operačních systémů musí umožnit využití implementovaných funkcionalit serverových řešení.

      2. Požadované licence desktopových operačních systémů musí umožnit začlenění stávajících počítačů pod kontrolu a centrální řízení adresářové služby Active Directory, ověřování přístupu k síti a poskytování potřebných informací pro systém centrálního logování.

      3. Pro obvyklá zařízení využívané školami a určená k připojení do počítačové sítě (kategorie stolní
         a přenosné počítače, tiskárny, tablety a chytré telefony, ostatní síťová koncová zařízení) bude předvedena vzorová konfigurace a plné funkcionalita zařízení v síti, dále bude provedeno seznámení
         s vazbami zabezpečení sítě-konfigurace zařízení a demonstrováno logování provozu zařízení a činnosti jeho uživatele. Pro každou školu bude předvedení provedeno pro takový počet vzorků, aby byly pokryty významné odlišnosti vzorků v rámci kategorie z pohledu funkcí či potřebných konfigurací (např. tablety s OS Android a IOS).

   6. K6 – Interaktivní technika

      1. Součástí komodity je dodávka, instalace a konfigurace interaktivních tabulí pro vedení výuky.

   7. K7 – Rozvody LAN

      1. Rozvody LAN budou vybudovány jako hvězdicovité, tj. distribuční přepínače (popř. sestavy/stohy přepínačů v datovém rozvaděči) budou přímo napojeny na centrální přepínač školy tak, aby na centrálním přepínači mohl být monitorován veškerý síťový provoz školy s výjimkou peer-to-peer komunikaci v rámci distribučních přepínačů.

3. Implementační služby

1. V rámci implementace předmětu plnění dodavatel realizuje pro všechny nabízené komodity následující služby:

   1. Provedení předimplementační analýzy (včetně plánovaných změn v konfiguraci současné infrastruktury) a zpracování detailního finálního popisu cílového stavu a postupu implementace.

   2. Zpracování prováděcí dokumentace, podle které bude dodavatel řešení implementovat. Prováděcí dokumentace musí být před zahájením implementace výslovně schválena zadavatelem. Prováděcí dokumentace musí vycházet z předimplementační analýzy a respektovat a využívat osvědčené praktiky (tzv. Best Practice) a doporučení výrobců nabízených technologií.

   3. Dodávka a implementace předmětu plnění dle schválené prováděcí dokumentace včetně technické podpory.

   4. Zajištění projektového vedení realizace předmětu plnění.

   5. Zpracování provozní dokumentace v rozsahu detailního popisu skutečného provedení popisu činností běžné údržby a činností pro spolehlivé zajištění provozu. Popis činností běžné údržby bude pokrývat minimálně následující oblasti:

      1. Active Directory – správa uživatelů a skupin, zařazení počítače do domény

      2. Monitorovací a logovacího systém-vyhledávání činnosti uživatelů a systémů, běžná správa
         a kontrola funkce

      3. LAN a Wifi-připojení zařízení vč. podrobných uživatelských postupů pro Wifi připojení mobilních zařízení (tablety, chytré telefony, notebooky) s operačními systémy Windows 10 a vyšších, Android, iOS
         a MacOS.

      4. Systém pro správu identit – podrobná příručka pro správce i uživatele

   6. Zpracování dokumentu Zásady využívání ICT a přístupu k síti dle Standardu konektivity pro začlenění do vnitřních předpisů školy.

   7. Zpracování materiálů pro školení a provedení školení v rozsahu dle kapitoly 2.4.

   8. Zajištění zkušebního provozu infrastruktury v délce minimálně 2 týdnů včetně technické podpory specialistů na dané zařízení/službu s dostupností maximálně do 2 hodin na místě realizace od nahlášení požadavku v pracovní den v době od 8h do 17h.

   9. Provedení akceptačních testů.

   10. Předání do plného provozu.

2. Činnosti omezující práci uživatelů musí být prováděny mimo běžnou pracovní dobu, tj. mimo pracovní dny 7 – 15 hod.

Zadavatel dále požaduje provést minimálně následující implementační služby na dodaných komponentech
a zařízeních. Dodavatel je dále povinen zahrnout do nabídky veškeré další činnosti a prostředky, které jsou nezbytné pro provedení díla v rozsahu doporučeném výrobci a dle tzv. nejlepších praktik, i v případě, pokud nejsou explicitně uvedeny, ale jsou pro realizaci předmětu plnění podstatné.

Zabezpečení LAN a Wifi

1. Analýza stávajícího síťového prostředí a návrh nového architektury LAN i WiFi

2. Implementace pořízených technologií

3. Provedení segmentace LAN – VLAN, adresování, směrování/routování

4. Zavedení IPv6 pro přístup k internetovým zdrojům publikovaným na IPv6 adresách

5. Zavedení IPv6 pro veškeré publikované služby z interních či externích prostředků. Včetně zajištění jednání a řízení změn u externích poskytovatelů služeb. Jde zejména (ale ne výhradně) o služby hostování domén škol, DNS, e-mail, weby škol, publikované nebo hostované školské informační systémy.

6. Zabezpečení komunikace publikovaných služeb pomocí nabízeného certifikátu.

7. Zavedení DNSSEC pro interní DNS služby i zabezpečení domén škol.

8. Návrh a implementace 802.1X pro kabelovou LAN i WiFi včetně uživatelské dokumentace pro konfigurace obvyklých zařízení a jejich systémů-PC, notebooky, chytré telefony, tablety, tiskárny-Windows, Linux, MacOS, Android, IOS, embedded systémy periferií

9. Návrh a implementace firewallu včetně vhodné konfigurace UTM (antivir, IPS, aplikační kontrola, URL filtrace dle kategorií) pro školy

10. Vybudování VPN pro vzdálený přístup uživatelů LAN na bázi webového portálu

11. Respektování min. 3 různých skupinu uživatelů (učitelé, studenti, hosté) v návrzích a implementaci bezpečnostních a ostatních politik

12. Implementace portálu pro registraci a řízení přístupů hostů – tzv. captive portál

13. Zapojení školy do federovaného systému eduroam

14. Zajištění ostatních nezbytných činností pro naplnění Standardu konektivity

15. Návrh a provedení akceptačních testů, musí zahrnovat testy propustnosti LAN a pokrytí WiFi

Centrální logování

1. Návrh a implementace systému pro centrální logování pro naplnění požadavků Standardu konektivity, především, ale nejen:

• monitoring a logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného provozu
  k vnitřnímu zařízení (ve spolupráci s firewallem)

• logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa – čas – uživatel, a to včetně ošetření v případě sdílených učeben (pracovních stanic apod.)

• monitorování IP (IPv4 a IPv6) datových toků formou exportu provozních informací o přenesených datech v členění minimálně zdrojová/cílová IP adresa, zdrojový/cílový TCP/UDP port (či ICMP typ) -RFC3954 nebo ekvivalent (např. netflow) – systém pro monitorování a sběr provozně-lokačních údajů minimálně na úrovni rozhraní WAN, ideálně i LAN) a to bez negativních vlivů na zátěž
  a propustnost zařízeni

2. Provedení souvisejících konfigurací monitorovaných systémů

3. Návrh a provedení akceptačních testů, musí zahrnovat ověření logování veškerých požadovaných uživatelů a správnost přiřazení identit uživatelů logovaným údajům

Správa identit

Předimplementační analýza bude obsahovat následující oblasti specifické pro komoditu:

1. provedení analýzy ICT prostředí škol se zaměřením na oblast správy uživatelských účtů, přidělování oprávnění a rolí,

2. technologický popis stávajících technologií s vazbou na systém správy identit

3. návrh životního cyklu identity uživatelů,

4. model organizační struktury,

5. přiřazení zaměstnanců a žáků k pracovním pozicím a rolím

6. atributy poskytované školským informačním systémem ve vazbě na řízené systémů a návrh jejich využití,

7. analýzu možností správy výstupních struktur,

8. analýzu evidenčních údajů a logů,

9. analýzu a návrh řízení identit a jejich oprávnění v řízených (napojených) systémech

Další požadované služby

1. kompletní implementace systémů dle předimplementační analýzy a prováděcí dokumentace

2. metodické a odborné vedení pracovníků škol při jednání o poskytnutí potřebných rozhraní na straně školských informačních systémů. Případné náklady na rozhraní nejsou součástí této zakázky

3. návrh a provedení akceptačních testů, musí zahrnovat výkonové testy a prokázat plnou funkčnost integrací v obvyklých scénářích použití

Automatizace procesů

1. Analýza životního cyklu požadavků a souvisejících procesů ve vztahu k řešeným oblastem

2. Návrh katalogu služeb včetně vhodného a logického členění struktury služeb v jednotlivých oblastech řešení

3. Návrh grafického rozhraní katalogu služeb včetně intuitivních piktogramů (ikon) jednotlivých služeb

4. Návrh vhodných pracovních postupů (workflow) pro řešení požadavků

5. Návrh konfigurační databáze pro zavedení do systému

6. Návrh způsobu automatické inventarizace koncových zařízení (počítačů a notebooků)

7. Návrh vhodného způsobu iniciačního zavedení evidovaného majetku (naplnění databáze)

8. Implementace systému dle provedených návrhů a doporučení výrobce

9. Návrh a provedení akceptačních testů

Koncová zařízení a licence operačních systémů

1. Dodávka a kompletní zprovoznění nabízených komponent včetně potřebných konfiguračních služeb

2. U upgradů operačních systémů nabízených zařízení není požadováno provedení instalace
   a aktivace upgrade – s výjimkou vzorku viz. 2.2.(5)(c). Uvedené činnosti provede zadavatel vlastními silami dle připraveného vzorku a dodavatelem poskytnuté dokumentace.

Interaktivní a výuková technika

1. Dodávka a kompletní zprovoznění nabízených zařízení včetně potřebných montážních prací a instalace obslužných programů, které jsou součástí dodávky

Rozvody LAN

1. provedení detailního měření realizovaných metalických i optických rozvodů včetně přenosových parametrů (útlum, odrazy apod.), zhotovení a poskytnutí dokumentace měření.

3. Akceptační testy musí pro všechny komodity vždy zahrnovat minimálně prokázání kompletnosti dodávky
   a požadované funkčnosti. Návrh vhodných akceptačních kritérií bude součástí nabídky, zadavatel může v průběhu zpracování Předimplementační analýzy provést jejich upřesnění či rozšíření. Povinným akceptačním kritériem bude prokázání naplnění požadavků Standardu konektivity dle manuálu uveřejněného na Prokázání a kontrola naplnění standardu konektivity ve výzvách IROP (infrastruktura základních a středních škol) včetně úspěšného provedení a doložení testu na xxxxx://xxx.xxxxxxxxxxxxxxxxxxx.xx/. Prokázání naplnění požadavků poskytne dodavatel v písemné formě vhodné jako příloha k Závěrečné zprávě o realizaci projektu.

4. Náklady na provedení implementačních služeb musí být zahrnuty v nabídkové ceně k položce (komoditě), ke které se vztahují a nelze je vyčíslit zvlášť.

4. Školení

1. Dodavatel provede pro každou komoditu odborné školení na obsluhu a práci s dodanými zařízeními, a to minimálně v rozsahu provozní dokumentace.

2. Školení bude pokrývat všechna zařízení a systémy všech komodit, dodávané v rámci této veřejné zakázky, a to minimálně v rozsahu:

   1. běžných administrátorských činností pro implementované systémy

   2. standardní údržby systémů pro administrátory zadavatele

3. Školení dále zajistí seznámení pracovníků zadavatele se všemi podstatnými částmi díla v rozsahu potřebném pro provoz, údržbu a identifikaci nestandardních stavů systému a jejich příčin.

4. Minimální rozsah školení pro každou komoditu jsou 2 hodiny, není-li uvedeno jinak. Školení bude probíhat v sídle zadavatele. Předpokládá se účast max. 3 osob.

1. Harmonogram projektu

   1. Zadavatel vyžaduje dodržení následujícího harmonogramu plnění – zde jsou uvedeny maximální možné lhůty pro jednotlivé kritické milníky. Údaj D značí datum nabytí účinnosti smlouvy o dílo. Čísla značí počet kalendářních dnů.
      
      
      

Aktivita	Začátek	Termín
Účinnost smlouvy	D	D
Zahájení projektu – úvodní projektová schůzka	D	D+5
Předimplementační analýza – zpracování	D+5	D+20
Předimplementační analýza – připomínkové řízení, schválení	D+20	D+27
Prováděcí dokumentace – zpracování	D+27	D+35
Prováděcí dokumentace – připomínkové řízení, schválení	D+35	D+40
Realizace předmětu plnění	D+40	D+100
Školení administrátorů	D+100	D+130
Zkušební provoz	D+100	D+120
Akceptační testy	D+100	D+130
Zahájení ostrého provozu	D+130	-

2. Dodavatel může dle svého uvážení výše uvedené maximální lhůty trvání zkrátit při dodržení všech částí předmětu plnění a bez snížení kvality dodávaných služeb.

3. Popis povinných parametrů dodávaného řešení

1. V dále uvedených tabulkách jsou uvedeny povinné parametry prvků nabízeného řešení. Dodavatel musí všechny parametry splnit, v případě nesplnění požadavku zadavatele bude nabídka dodavatele vyřazena a dodavatel bude následně vyloučen z účasti v zadávacím řízení.

2. Dodavatel ve své nabídce detailně popíše způsob naplnění každého povinného parametru včetně značkové specifikace nabízených dodávek. Dodavatel tedy uvede konkrétní technické parametry nabízeného zboží, vč. uvedení výrobce a obchodního / typového označení jednotlivých komponentů. Údaje o výrobci a obchodním (či typovém) označení budou uvedeny a doloženy v tabulkách povinných parametrů; konkrétní parametry mohou být buď rovněž doplněny do tabulky, nebo mohou být doloženy jinde v nabídce např. formou katalogových listů apod., v takovém případě ale musí být v tabulce odkázáno na část nabídky, ve které je možné naplnění parametru ověřit.

3. Popis způsobu naplnění každého povinného parametru bude konkrétní, úplný a musí výslovně prokazovat (nepostačuje pouze potvrzení či zkopírování požadavku Zadavatele), že nabízené řešení jednoznačně splňuje všechny aspekty povinného parametru. V případě nesplnění požadovaného způsobu prokázání plnění povinných parametrů bude účastník vyloučen z účasti v zadávacím řízení na danou VZ.

4. Vyplněné tabulky Komodit 1 až 7 z tohoto oddílu technické specifikace učiní dodavatel součástí své nabídky, k nim pak přiloží případné další dokumenty obsahující technickou specifikaci nabízeného plnění (katalogové listy apod.) a prokázání plnění povinných parametrů.

Komodita K1 - Zabezpečení LAN a Wifi
Část	Xxxxxxxx	Popis povinného parametru	Uchazeč popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Centrální přepínač školy 1x	Základní parametry	L2/L3 přepínač v rackovém provedení max. 1U
	Porty	Min. 24x 1Gb SFP, 4x 10 Gb SFP+, vyhrazený samostatný LAN port pro management
	Propustnost	neblokovaná architektura, propustnost min. 128 Gbps / 200 Mpps
	Agregace portů	podpora LACP
	Směrování	statické a dynamické routování včetně VLAN, policy based routing, BGP
	Řízení provozu	víceúrovňový QoS
	VLAN	VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN a přidělení QoS a přístupových filtrů na základě 802.1X ověření
	Ověřování uživatelů a zařízení	podpora 802.1X
	Dualstack	plný IPv4 a IPv6 dualstack včetně směrování a QoS
	MAC	podpora min. 20 000 MAC adres pro použití jako centrální switch (router)
	Stohování	možnost stohování pro jednotný management a vysokou dostupnost - technologie MLAG (Multi-Chassis Link Aggregation nebo obdobná
	Sledování toků	plný export síťových toků - Netflow, IPFIX nebo ekvivalent (sFlow není ekvivalent)
	Napájení	interní redundantní zdroje (min 2)
	Monitoring a správa	plná podpora CLI, SSH, SNMP, syslog, sFlow, web rozhraní
	Záruka	min. 60 měsíců poskytovaná výrobce zařízení, odeslání náhradního zařízení max. následující pracovní den po nahlášení závady, včetně nároku na nové verze firmware
Přístupové přepínače 4 ks	Společné parametry
	Základní parametry	L2/L4 přepínač v rackovém provedení max. 1U
	Propustnost	neblokovaná architektura, viz Porty a propustnost
	Agregace portů	podpora LACP, min. 8 skupin
	Směrování	Statické směrování L3, IPv4 I IPv6, min 128 routovacích záznamů pro každou verzi IP
	Dualstack	IPv4 a IPv6 dualstack včetně podpory ACL a QoS
	QoS	Podpora IEEE 802.1p, prioritizace podle IP adresy, typu služby IP, TCP/IP portu, L3 protokolu I DiffServ. Min. 128 IP a MAC ingress kapacita
	VLAN	VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN a přidělení QoS a přístupových filtrů na základě 802.1X ověření
	Ověřování uživatelů a zařízení	plná podpora 802.1X, podpora web a MAC ověření. Současné/konkurenční využití podporovaných metod
	PoE	u PoE modelů podpora standardů 802.3af a 802.3at (PoE+ 30W/port), celkový PoE výkon min. 370W (24 i 48 portů)
	Hlučnost	maximální hlučnost max. 30 dB při plné zátěži pro možnost umístění v učebně
	Výkon / kapacita	min. 1000 ARP IPv4, 500 500 ND, IPv6 8000 MAC
	Monitoring a správa	plná podpora CLI, SSH, SNMP 1-3, syslog, sFlow, RMON, web rozhraní, zrcadlení portů
	Automatizace	Integrované rozhraní REST API
	Záruka	min. 60 měsíců poskytovaná výrobce zařízení, odeslání náhradního zařízení max. následující pracovní den po nahlášení závady, včetně nároku na nové verze firmware
	Specifické parametry
	Porty a propustnost	1 kus - 24x 1 GB RJ-45 PoE+ + 4x 1Gb SFP (nesdílené), min. 56 Gb/s 3 kusy - 48x 1 GB RJ-45 PoE+ + 4x 1Gb SFP (nesdílené), min. 104 Gb/s
WiFi přístupové body vnitřní (AP) 21 ks	Základní funkce	Přístupový bod (AP) standardu Wi-Fi 6 včetně montážního materiálu na stěnu nebo strop
	Frekvence	činnost v radiovém pásmu 2,4 a 5 GHz současně, 2 radiové moduly s podporou standardu OFDMA
	Anténí systém	interní systém pro min. 2x 2 MIMO, optimalizovaný pro montáž na strop
	Přenosové rychlosti	SU-MIMO 5GHz min 1200Mbps, SU-MIMO 2.4 GHz min. 550Mbps
	Standardy	podpora 802.3at, 802.11n, 802.11ax, 802.1x včetně přiřazování do VLAN
	Řízení klientů	automatické směrování komunikace klientů z 2.4 GHz na 5 GHz (pokud klienti podporují obě pásma)
	Rušení	průběžná detekce non-WiFi rušení a spekrální analýza
	Multi SSID	podpora vysílání min. 8 SSID (WiFi sítí) současně, podpora přiřazení každého SSID samostatné VLAN
	Zatížení	min. 250 přiřazených (asociovaných) klientů na radiový modul
	Porty	min. 1x 1Gb, PoE s podporou standardů 802.3at a 802.3af
	Úsporné napájení	podpora standardu 802.3az - Energy-Efficient Ethernet (EEE)
	Řízení provozu	klasifikace a kontrola provozu, detekce obvyklých aplikací s možností určení priority nebo šířky pásma zvoleného provozu
	Řízení kvality služeb	automatické řízení kvality služeb (QoS) pro hlas a video
	Současná obsluha více klientů	Popdora MU-MIMO (Multi-User MIMO) - multi-user multiple input/multiple output
	Bezpečnost	Detekce cizích přístupových bodů zjištěných v LAN i v radiofrekvenčním pásmu Integrovaný bezpečnostní modul TPM pro uložení citlivých údajů (přihlašovací údaje, šifrovací klíče apod.)
	Virtuální kontroler	Virtuální, vysoce dostupný kontroler obsažený ve firmware každého přístupového bodu. Umožňuje kompletní centrální správu WiFi infrastruktury a řízení jejího provozu včetně roamingu klientů bez potřeby dalších systémů - cloud, management aplikace/appliance apod.
	WPA	podpora standardu WPA3 (Wi-Fi Protected Access III)
	IoT a lokalizace	integrovaná hardwarová podpora standardu 802.15.4 (Zigbee) a Bluetooth 5.0
	Monitoring a správa	plná podpora CLI, SSH, SNMP 1-3, syslog, web rozhraní.
	Správa frekvenčního pásma	automatické dynamické přidělování kanálů a řízení výkonu přístupových bodů pro vyrovnané pokrytí a minimalizaci interference
	Záruka	min. 60 měsíců poskytovaná výrobce zařízení, odeslání náhradního zařízení max. následující pracovní den po nahlášení závady, včetně nároku na nové verze firmware
WiFi přístupový bod venkovní (AP) 1 ks	Základní funkce	Přístupový bod (AP) standardu Wi-Fi 6 určený pro venkovní provoz, včetně montážního materiálu na sloup
	Frekvence	činnost v radiovém pásmu 2,4 a 5 GHz současně, 2 radiové moduly s podporou standardu OFDMA
	Anténí systém	interní systém pro min. 2x 2 MIMO se směrovým vyzařováním - 90 stupňů horizontálně i vertikálně, zisk více něž 6 db pro 2.4 i 5 GHz WiFi
	Přenosové rychlosti	SU-MIMO 5GHz min 1200Mbps, SU-MIMO 2.4 GHz min. 550Mbps
	Standardy	podpora 802.3at, 802.11n, 802.11ax, 802.1x včetně přiřazování do VLAN
	Řízení klientů	automatické směrování komunikace klientů z 2.4 GHz na 5 GHz (pokud klienti podporují obě pásma)
	Rušení	průběžná detekce non-WiFi rušení a spekrální analýza
	Multi SSID	podpora vysílání min. 8 SSID (WiFi sítí) současně, podpora přiřazení každého SSID samostatné VLAN
	Zatížení	min. 250 přiřazených (asociovaných) klientů na radiový modul
	Porty	min. 1x 1Gb, PoE s podporou standardů 802.3at a 802.3af
	Úsporné napájení	podpora standardu 802.3az - Energy-Efficient Ethernet (EEE)
	Řízení provozu	klasifikace a kontrola provozu, detekce obvyklých aplikací s možností určení priority nebo šířky pásma zvoleného provozu
	Řízení kvality služeb	automatické řízení kvality služeb (QoS) pro hlas a video
	Současná obsluha více klientů	Popdora MU-MIMO (Multi-User MIMO) - multi-user multiple input/multiple output
	Bezpečnost	Detekce cizích přístupových bodů zjištěných v LAN i v radiofrekvenčním pásmu Integrovaný bezpečnostní modul TPM pro uložení citlivých údajů (přihlašovací údaje, šifrovací klíče apod.)
	Virtuální kontroler	Virtuální, vysoce dostupný kontroler obsažený ve firmware každého přístupového bodu. Umožňuje kompletní centrální správu WiFi infrastruktury a řízení jejího provozu včetně roamingu klientů bez potřeby externích systémů - cloud, management aplikace/appliance apod.
	WPA	podpora standardu WPA3 (Wi-Fi Protected Access III)
	IoT a lokalizace	integrovaná hardwarová podpora standardu 802.15.4 (Zigbee) a Bluetooth 5.0
	Monitoring a správa	plná podpora CLI, SSH, SNMP 1-3, syslog, web rozhraní.
	Správa frekvenčního pásma	automatické dynamické přidělování kanálů a řízení výkonu přístupových bodů pro vyrovnané pokrytí a minimalizaci interference
	Záruka	min. 60 měsíců poskytovaná výrobce zařízení, odeslání náhradního zařízení max. následující pracovní den po nahlášení závady, včetně nároku na nové verze firmware
Optické prvky	SFP+ modul	2 ks modulu SFP+ 10 Gb, SM, BiDi, 10 km včetně DMI diagnostiky pro nabízený centrální přepínač školy, LC konektor
	SFP moduly	8 ks modulů SFP 1 Gb, SM, 1 km včetně DMI diagnostiky pro nabízený centrální přepínač školy, LC konektor
	SFP moduly	8 ks modulů 1 GbE RJ-45 1 Gb, SM, 1 km včetně DMI diagnostiky pro nabízený centrální přepínač školy, LC konektor
	SFP moduly	8 ks modulů SFP 1 Gb, SM, 1 km včetně DMI diagnostiky pro nabízené přístupové přepínače, LC konektor
	Optické patch kabely	26 ks kabel SM s konektory LC-SC, délka 3 m
	Záruka	36 měsíců

Komodita K2 - Centrální logování
Část	Xxxxxxxx	Popis povinného parametru	Uchazeč popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Systém pro sběr a správu logů 1x	Základní funkce	systém pro sběr, ukládání a správu provozních a bezpečnostních informací a událostí ze sledovaných systémů
	Protokoly sběru logů	syslog, TCP, UDP, HTTP, JSON
	Sběr síťových toků	netflow či kompatibilní dle nabízeného firewallu a přepínačů
	Zdroje logů	min. REST API, textové soubory, Radius, Active Directory, MS SQL databáze, Windows Event Log - včetně rozšířených "Applications and Services Logs", síťové prvky - syslog a Netflow, ostatní aktivní prvky - syslog, SNMP trap, Office 365, Sysmon (Windows)
	Parsování logů	integrovaný nástroj pro parsování logů. Možnost nahrání části logu, online vytváření parseru a snadné testování výsledku. Podpora vytváření opakovaně použitelných vzorků - např. definice IP adresy regulárním dotazem apod.
	Retence	uchovávání logů min. 6 měsíců, automatická retence logů a indexů
	Geolokace	podpora automatické doplňování logů o informaci o lokalitě podle IP adresy
	Normalizace logů	sjednocení názvů shodných dat z různých zdrojů logů např. pro snadné vyhledávání napříč zdrojí
	Rozšíření logů	sodpora rozšíření logů o vlastní statické a dynamické (kalkulované) položky integrovaným nástrojem.
	Bezpečnost	podpora šifrované komunikace se zdroji (SSL apod.), ověřování zdrojů (TLS apod.)
	Výkon	min. 1000 EPS (event per second), 5000 FPM (flows per minute)
	Dashboardy	uživatelské vytváření dashboardů (pracovních desek) včetně možnosti využití grafických prvků (grafy, mapy, histogramy apod.) i strukturovaných dat (tabulek)
	Export dat	export dat do csv nebo jiného strojově čitelného formátu - min. výsledky hledání
	Kanály	možnost vytváření kanálů - datových sad či toků - na základě pravidel (logických podmínek) a to i napříč různými zdroji. Podpora dalšího zpracování - tvorba alarmů, zobrazení na dashboardu, online odesílání do nadřazeného systému apod.
	Alerty, notifikace	podpora vytváření alertů - překročení okamžitých či kumulovaných hodnot, zasílaní upozornění
	Active Directory	integrace s Active Directory pro ověřování uživatelů, nastavení oprávnění min. administrator a operator
	Vyhledávání	rychlé a intuitivní vyhledávání v záznamech napříč všemi zdroji i při velkých objemech dat (řády TB). Jednoduchý dotazovací jazyk. rychlá vyhledávání či filtrování bez tvorby dotazů - např. výběrem v kontextovém menu vybraného pole uloženého záznamu.
	Ovládání	intuitivní grafické webové rozhraní dostupné z běžných prohlížečů (Edge, Chrome, Firefox)
	Integrace	podpora integrace s Windows OS v úrovní sledování spuštěných příkazů (cmd, powershell), vyváření procesů, změny souborů, registrů a síťové komunikace. Včetně nástrojů pro detekci potenciálně nebezpečných aktivit (změna časových razítek souborů apod.)
	Detekce zranitelností	automatická kontrola zranitelnosti operačních systémů Windows, Linux a macOS a aplikací (host based vulnerability detection)
	Detekce škodlivého kódu	automatická kontrola výskytu škodlivého kódu (malware, rootkity, neobvyklé chování) v monitorovaných operačních systémů Windows, Linux a macOS
	Hodnocení zabezpečení	automatické kontrola konfigurací a nastavení monitorovaných operačních systémů Windows, Linux a macOS a aplikací, hodnocení úrovně zabezpečení monitorovaného systému
	Kompatibilita	podpora provozu v prostředí serverové virtualizace Hyper-V
	Ukládání dat	do databáze, případná databázová licence musí být součástí dodávky
	Výstupy	možnost výstupů do nadřazeného systému pro účely vzdáleného expertního dohledu. Zabezpečený přenos vhodným protokolem
	Záruka	min. 60 měsíců včetně poskytnutí opravných verzí

Komodita K3 - Správa identit
Část	Xxxxxxxx	Popis povinného parametru	Uchazeč popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Systém pro správu identit (Identity management - IDM)	Základní funkce	IDM (dále IDM nebo Systém) bude udržovat a spravovat identity a organizační strukturu organizace - třídy, učitelský sbor, administrativa atd. Spravované identity budou sloužit jako referenční identity pro ostatní vnitřní i vnější informační systémy. Identity budou ukládány v databázi.
	Licence	Poskytnutá licence umožní nasazení a provoz IDM bez omezení na počet uživatelů, spravovaných identit a napojených systémů. Nejsou přípustná žádná další omezení omezující obvyklé nasazení a provoz s ohledem na charakter organizace Zadavatele (počet záznamů, velikost databází atd.). Předpokládaný počet uživatelů je do 2000 (včetně uchování histrorie).
	Škálovatelnost	Systém musí umožnit zvyšování výkonu (zlepšování odezvy) rozložením komponent Systému na více serverů - minimálně oddělení rolí (serverů) uživatelského rozhraní od výkonu integračních a provozních úloh.
	Evidence aplikací a rolí	Integrovaný registr aplikací a informačních systémů (souhrnně IS) a jejich uživatelských rolí včetně možnosti importu rolí přes webové služby.
	Uživatelské role	Integrovaná správa uživatelských rolí, včetně zařazení uživatele do odpovídající role v příslušných IS.
	Historizace	Vestavěná detailní databázové historizace pro evidenci změn identit včetně referenčních objektů a vazeb mezi nimi. Historizace poskytne data v libovolném časovém okamžiku - aktuálním nebo zpětně v minulosti.
	Automatizace	Podpora intuitivní tvorby pravidel v grafickém prostředí pro automatické vytváření uživatelských účtů, začleňování uživatelů do skupin a přiřazování aplikačních rolí uživatelům na základě libovolných atributů identity a přidružených referenčních objektů (organizační jednotka, aplikační role, pracovní pozice atd.).
	Logování SIEM	Systém bude poskytovat auditní logy pro pořizovaný logovací a monitorovací systém
	Logování systému	Systém obsahuje logování min. následujících typů událostí: - události systému (aplikační log) - změny entit evidovaných systémem a změny konfigurace systému (auditní log) - synchronizace s napojenými systémy (synchronizační log) - odeslané notifikace a upozornění (notifikační log)
	Správa identit	Systém bude spravovat organizační strukturu obsahující interní a externí identity jako samostatné větve struktury.
	Podpora eIDAS	Systém umožní implementaci procesů a rozhraní, která jsou vyžadována v Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES.
	Požadavky na portál - obecné	IDM bude obsahovat webový portál (dále jen Portál), který bude sloužit jako hlavní rozhraní pro uživatele i správce pro přístup k datům, funkcím, správu a konfiguraci Systému.
	Správa referenčních objektů	Portál bude umožňovat přehlednou správu samostatných identifikovatelných objektů - referenčních objektů, na které se identity mohou odkazovat: min. pracovní pozice, organizační jednotka, skupina, aplikace, skupina aplikací, aplikační role.
	Referenční objekty	Systém umožní přidávání a správu dalších typů referenčních objektů, a to i v průběhu správy konkrétní identity s možností okamžitého použití referenčního objektu u spravované identity
	Zabezpečení referenčních objektů	Systém umožní nastavení samostatných nezávislých administrátorských oprávnění pro správu jednotlivých referenčních objektů
	Rozšiřující atributy	Systém umožní dodatečné rozšiřování identit a referenčních objektů o další atributy a zajistí publikaci těchto nových atributů externím aplikacím prostřednictvím rozhraní webových služeb IDM.
	Přehledné zobrazení	Portál umožní grafické zobrazení a současné vyhledávání identit / uživatelských účtů ve stromové organizační struktuře a prohledávání organizační struktury včetně pracovních pozic až do úrovně jednotlivých uživatelských účtů (identit).
	Vyhledávání - diakritika	Portál bude umožňovat vyhledávat i bez diakritiky (např. zadání Xxxxxxx vyhledává x Xxxxxxx apod.)
	Obrázky	Systém umožní k jednotlivým účtům (identitám) přikládat obrázky - fotografie.
	Ochrana proti chybám	Systém bude obsahovat mechanismus zabránění hromadným změnám z důvodu případných chybných vstupních dat (např. z personálního systému), aby nedošlo k hromadným nežádoucím změnám (například smazání objektů v Active Directory apod).
	Aktivní uživatelé	Systém bude obsahovat přehled uživatelů aktuálně pracujících s Portálem
	Slučování identit	Systém umožní sjednocení více uživatelů (identit) do jedné a odpovídající sjednocení spravovaných účtů.
	Export údajů	Vestavěný export přehledů a seznamů zobrazených na portále do souborů CSV nebo obdobného strojově zpracovatelného a současně běžně čitelného formátu
	Filtrování	Vestavěný editor filtrů pro vyhledávání identit a referenčních identit. Možnost filtrování libovolných atributů identity včetně přidružených referenčních objektů. Možnost uložení filtrů pro opakované použití.
	Správa oprávnění	Víceúrovňová správa administrátorských oprávnění s možností nastavení oprávnění min. na úrovni organizační jednotky (nebo hlouběji) a detailní přiřazení rolí a oprávnění (např. přiřazení činnostní role, přiřazení aplikační role, editace identity apod.)
	Granularita oprávnění	Oprávnění přidělovaná uživatelům a správcům bude možné definovat a přidělovat pro jednotlivé části systému (identity, referenční objekty, notifikací, synchronizací, konfigurace systému, reporty, workflow, webové služby atd.). U jednotlivých částí bude možnost definovat akce, které může uživatel s přidělenými oprávnění v konkrétní části IDM provádět.
	Správa licencí	IDM umožní spravovat licence pro jednotlivé evidované aplikace a přiřazovat je jednotlivým uživatelům (identitám). Pro schvalování přiřazování licencí bude IDM obsahovat workflow platformu s možností vytvářeni víceúrovňových schvalovacích workflow.
	Časová omezení	IDM bude umožňovat přiřazení rolí konkrétní identitě, pracovní pozici, skupině a organizační jednotce včetně možnosti nastavení data a času vypršení platnosti přiřazení. Po vypršení platnosti přiřazení IDM rolí přiřazenému objektu automaticky odebere.
	Vícenásobné vazby	Možnost přiřazení identit k pracovním pozicím ve vazbě M:N. Identita může být v IDM evidována na více pracovních pozicích současně a současně na pracovní pozici může být evidováno více identit.
	Přehled rolí	Možnost zobrazení přidělených rolí k jednotlivým identitám s přehledným rozlišením rolí navázaných na pracovní pozici, rolí navázaných na identitu, rolí navázaných na organizační jednotku, rolí navázaných na skupinu a delegovaných role.
	Přehled dědičností	IDM umožní evidenci a přehledné souhrnné zobrazení všech rolí včetně informace, odkud uživatel roli zdědil (z organizační jednotky, pracovní pozice, skupiny) nebo zda má nějakou roli od někoho delegovánu.
	Skupiny	IDM bude obsahovat správu skupin s možností začleňovat více skupin do sebe, přiřazovat do skupin jednotlivé uživatele i pracovní pozice.
	Delegování oprávnění	Možnost delegování administrátorských práv.
	Obnovení hesla	IDM bude obsahovat samoobslužné uživatelské rozhraní pro reset hesla jednotlivých účtů daného uživatele. Zasílání kódů pro reset hesla danému uživatele musí být možnou provádět pomocí SMS (tj. IDM musí být možné na SMS bránu či službu napojit). Rozhraní musí umožnit i běžnou změnu hesla (bez resetu).
	Individualizace	IDM umožní uživatelům individuálně nastavit vlastní zobrazení rozhraní - min. zobrazení / skrytí sloupců u všech seznamů, počet zobrazených záznamů na stránku - vždy pro každý seznam samostatně.
	Upozornění	IDM zajistí zasílání konfigurovatelných emailových upozornění min. pro následující události: vytvoření a změna identity, referenčního objektu (pracovní pozice, organizační jednotka, skupina, aplikace, skupina aplikací, aplikační role atd.), problém při synchronizaci, vypršení hesla v Active Directory, vypršení platnosti certifikátu.
	Včasná upozornění	Upozornění na vypršení časových termínů musí být možno zasílat v předstihu. Velikost předstihu (např. 10 dnů) musí být možno konfigurovat pro každý typ upozornění samostatně.
	Šablony upozornění	Šablony upozornění umožní definovat příjemce, předmět a obsah upozornění. U upozornění vázaného k identitám musí být možné nastavovat různé příjemce pro různé části organizační struktury (např. odbor, oddělení) apod. Šablony musí umožnit vložit do obsahu upozornění libovolný atribut identity a/nebo referenčního objektu.
	Kontext upozornění	Pro zasílání jednotlivých typů upozornění bude možno konfigurovat kontext, resp. podmínky, za jakých bude upozornění zasláno. V konfiguraci bude možné využít atributů identit a referenčních objektů. Příklad: notifikace budou generovány pouze pro identity v konkrétních uvedených skupinách, které mají uvedenu konkrétní aplikační role a konkrétní atribut atd.
	Logování	Veškeré změny vyvolané požadavky uživatele a administrátorů/správců IDM budou provedeny transakčně. Budou logovány tak, aby bylo možné zpětně prokázat co, kdo a kdy měnil v identitách a referenčních objektech i v administraci a konfiguraci IDM. Záznam v logu bude obsahovat původní i novou hodnotu.
	Důvěryhodnost logování	Veškeré požadavky na změny v IDM bude možné zadávat výhradně prostřednictvím Portálu. Není přípustné realizovat požadavky ručními změnami textových soubory jako XML, CSV, atd. z důvodu zajištění úplného logování všech změn jednotlivých konfigurovaných parametrů IDM.
	Auditní report	IDM umožní export auditního reportu z údajů o identitách uložených v IDM a to i historických. Auditní reporty budou minimálně ve formátu XML nebo CSV a budou obsahovat souhrnné zobrazení daných uživatelů (identit) a jejich rolí v IS napojených na IDM, agendových rolí, přiřazených skupin ve vybraném časovém okamžiku od aktuálního času do minulosti.
	Auditní report - výběr	Identity pro generování auditního reporty musí být možné vybrat (filtrovat) dle libovolných atributů identity včetně přidružených referenčních objektů.
	Reporty uživatelů	Vestavěné reporty obsahující uživatele s přímo přiřazenými aplikačními rolemi a s aplikačními rolemi delegovanými od jiných uživatelů. Reporty budou exportovatelný do CSV souboru.
	Reporty - historie	Automatické ukládání vygenerovaných reportů s možností pozdějšího zobrazení či stažení.
	Webové služby (WS)	IDM bude poskytovat rozhraní webových služeb pro napojení dalších systémů s možností konfigurace v Portálu.
	Standardy WS	Webové služby IDM budou definované v rozšířeném standardu WSDL a podporovat protokol SOAP.
	Bezpečnost WS	Konfigurace webových služeb umožní konfigurovat přístup pro volání jednotlivých vybraných služeb pro každý odpovídající systémový účet samostatně.
	Logování WS	Volání webových služeb bude logováno a bude možné je zobrazit v prostředí Portálu
	Služby rozhraní WS	Rozhraní bude poskytovat minimálně následující služby: - Získání organizační struktury - Získání hierarchie pracovních pozic - Získání seznamu identit - Získání nadřízené osoby pro daného zaměstnance - Získání seznamu aplikační rolí - Získání seznamu uživatelů dané aplikace - Zápis seznamu aplikačních rolí do IDM - Zápis a změna identit
	Synchronizace	Ruční i automatické spuštění synchronizací s propojenými systémy.
	Synchronizace - simulace	Spuštění synchronizací i v simulačním režimu pro ověření dopadu reálného spuštění bez ovlivnění produkčních dat a napojených systémů. Simulační logy budou zobrazitelné v Portálu.
	Simulace - průběh	Zobrazení jednotlivých stavů průběhu synchronizace bude k dispozici v přehledné grafické podobě.
	Synchronizace - režimy	Pro napojení na jednotlivé systémy a implementaci jejich synchronizací s IDM umožní IDM u každého systému využít více režimů synchronizací (za předpokladu podpory napojovaného systému): - Plná synchronizace – prochází všechny objekty v IDM a synchronizuje je s objekty daného systému - Změnová synchronizace – synchronizuje vždy jen změny od poslední spuštěné synchronizace. - Simulační synchronizace – synchronizace vytvoří report očekávaných změn v napojeném systému pro provedení ostré synchronizace. Report změn bude evidován jako pohled nebo přehledná souhrnná tabulka. - Historie běhu synchronizací – jednotlivé běhy synchronizací budou zaznamenány v historii dostupné v Portálu. Historie plné synchronizace bude obsahovat odkazy na objekty, které byly synchronizovány a log, co bylo u těchto objektů změněno v synchronizovaném systému. V případě změnové synchronizace pak bude v historii dále informace o události, která změnovou synchronizaci vyvolala.
	Synchronizace - správa	Vestavěná správa jednotlivých synchronizací včetně nastavení připojení na synchronizované systémy, nastavení plné a změnové synchronizace, počet změn, které je možné zpracovat, nastavení časového intervalu spouštění, nastavení intervalu odstávky. U jednotlivých synchronizací je rovněž požadováno, aby bylo možné vybírat organizace, které se mají z IDM synchronizovat s danými systémy. Správa bude součástí Portálu.
	Obecný konektor	Pro správu identit nenapojených aplikací a testování. Konektor simuluje aplikaci, požadavky na změny nastavení v aplikaci zasílá e-mailem správci aplikace. Podpora zpětné vazby - správce v IDM potvrzuje provedení požadavků pro účely logování
	Aplikační konektory	IDM bude spravovat identity a řídit oprávnění v dále vyjmenovaných systémech. V těchto systémech bude IDM vytvářet, aktualizovat, vytvářet uživatele, nastavovat jim oprávnění k rolím a (v prostředí cloudu) přiřazovat licence - Microsoft Active Directory - Google Workspace
	Zdrojový systém	IDM bude napojeno na školský informační systém xxxxx://xxx.xxxxxxx.xxx/. Ze systému budou načítány údaje o organizační struktuře, osobách a tyto údaje budou pro IDM sloužit jako zdrojové
	Záruka	60 měsíců včetně nároku na opravné verze

Komodita K4 - Automatizace procesů
Část	Xxxxxxxx	Popis povinného parametru	Uchazeč popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Systém uživatelské podpory Service desk	Základní požadavky	Systém musí poskytovat alespoň následující funkčnost: • Technologická podpora pro řízení interních služeb a procesů • Podpora uživatelů • Řízení externích dodavatelů IT služeb. • Jediné centrální místo hlášení a řešení servisních požadavků
	Podpora procesů dle ITIL	Systém musí pokrývat následující procesy a funkce dle doporučení ITIL: • Service Desk • Incident Management • Request Fulfillment • Change Management • Service Catalog • Asset and Configuration Management
	Implementované procesy a funkce	Z procesů ITIL, které musí navržený systém podporovat (viz výše), budou v rámci projektu realizovány procesy a funkce: • Service Desk - řízení požadavků koncových uživatelů ICT služeb • Incident Management - řízení rychlého řešení výpadků nebo nestandardních stavů v infrastruktuře. • Request Fulfillment - standardní proces řízení požadavků na služby. Zpracovány budou služby: - Mobilní telefony – včetně veškerých souvisejících podslužeb – de/aktivace roamingu, blokace/výměna SIM, žádost o datový balíček, ztráta zařízení, de/aktivace služeb, požadavek na přístroj či jeho opravu, obecné požadavky - Počítače a koncová zařízení (tiskárny, skenery) – rozsah navrhne uchazeč dle „best practice“ • Change Management - standardní proces řízení životního cyklu změn, včetně předávání HW a SW s podporou schvalování. • Service Catalog – vytvoření katalogu služeb pro naplnění výše definovaných požadavků
	Katalog služeb	Logicky a přehledně strukturovaný katalog služeb. Katalog bude ve stromové struktuře členěn na jednotlivé oblasti/kategorie (Správa vozového parku, IT, Lidské zdroje atd.) a každá oblast bude obsahovat samostatný podstrom. Počet oblastí a služeb nesmí být licenčně omezen.
	Služby	Pro každou službu v katalogu služeb musí být možno plně definovat vstupní zadávací formulář včetně tvorby vlastních položek.
	Uživatelská přívětivost	Katalog služeb bude uživatelům přístupný prostřednictvím uživatelsky přívětivého a intuitivního grafického rozhraní. Prostředí bude odpovídat moderním trendům a zvyklostem - přehledost, rychlá orientace bez nutnosti čtení textů, využití piktogramů či ikon, kontextové nápovědy. Vhodné pro použití na mobilních (dotykových) zařízeních
	Automatické přidělení požadavku	Výběrem služby z katalogy služeb bude automaticky bez dalšího výběru či zadávání autamoaticky přidělena skupina řešitelů a paramety SLA (Service Level Agreement).
	SLA	SLA musí být automaticky přiděleno jako vlastnost dané služby kombinovaná s uživatelem – pro stejnou službu může být různým uživatelům automaticky přiděleno různé SLA.
	Nastavení priority	Podpora nastavení priority řešených požadavků.
	Lokalizace	Lokalizované uživatelské rozhraní.
	Reporty	Integrované generování a tisk reportů.
	Zasílání reportů	Podpora automatického zasílání reportů emailem.
	Šablony reportů	Podpora tvory a úprav předpřipravených šablon pro automatické reporty.
	Znalostní databáze	Integrovaná znalostní databáze s možností její aktualizace.
	Zabezpečený přístup	Zabezpečený přístup do aplikace včetně integrovaného přihlašování do uživatelského prostředí i konzol prostřednictvím účtu Active Directory, řízení oprávnění přístupu k informacím.
	Portál	Integrovaný portál pro zaměstnance (vidí své požadavky) a manažery/nadřízené (vidí požadavky podřízených).
	Active Directory	Nativní integrace se stávající Microsoft Active Directory pro správu uživatelů a oprávnění. Automatické přihlašování do aplikace.
	Active Directory - metadata	Automatické načítání vztahu zaměstnance a jeho nadřízeného.
	Integrace s nástroji pro správu pracovních stanic	Integrace s nástroji pro správu pracovních stanic (VNC, RemoteDesktop, apod.).
	Integrace s poštovními servery	Integrace s poštovními servery min. integrace se stávajícím IceWarp pro automatické vyčítání e-mailů a zakládání nových požadavků či nových záznamů k stávajícím požadavkům.
	Integrace s majetkovým systémem	Požadavky bude při zadávání možno provázat s konkrétním majetkem ze Systému pro správu a evidenci majetku (Komodita K3) předěleným uživateli. Požadavek bude evidován v evidenci historie Systému pro správu a evidenci majetku.
	Pracovní postupy (workflow)	Podpora tvorby workflow pro řešení požadavků včetně požadavků typu nadřízený / podřízený požadavek
	Skripty	spouštění vlastních skriptů v průběhu řešení workflow
	Automatizace	Podpora vytváření a spuštění akcí na základě událostí - vytvoření, úprava, zrušení požadavku.
	Pravidelné požadavky	Podpora tvorby šablon libovolných úkolů a plánování jejich pravidelného automatické zakládání.
	Eskalace, zastupitelnost	Podpora nastavení eskalačních pravidel a cesta, podpora nastavení zastupitelnosti řešitele
	Vyhledávání	Fulltextové vyhledávání napříč požadavky
	Pohledy	Xxxxxxx definování vlastních pohledů a filtry nad požadavky uživateli.
	Komplexní požadavky	Podpora komplexních požadavků - jeden požadavek automaticky generuje související další požadavky v závislosti na stavu vyplnění údajů v požadavku. Přehledná kontrola plnění požadavků.
	Plánování	Operativní načítání emailů z poštovního klienta (min. Microsoft Outlooku) a plánování schůzky nebo úkolu do kalendářů.
	Založení požadavku e-mailem	Podpora automatického založení požadavku strukturovaným e-mailem
	Export dat	Možnost exportu dat do Microsoft Word, Excel.
	Rozšiřitelnost	Systém musí být možno licenčně nebo standardními doplňkovými moduly (ne programovými úpravami) rozšiřitelný o možnost integrace s telefonní ústřednou
	API	Systém musí umožnit rozšíření pomocí otevřeného rozhraní API na bázi webových služeb.
	ITIL	Nabízená hlavní verze systému musí být certifikována na shodu se standardy ITIL. Plnění požadavku bude prokázáno certifikátem způsobilé certifikační autority přiloženým k nabídce
	Licence	Systém bude licencován min. pro 38 uživatelů, kteří mohou zakládat a řešit (uzavírat) požadavky a 2 uživatele, kteří mohou řešit (uzavírat) požadavky neomezený počet žáků (ti mohou jen zakládat, sledovat a doplňovat požadavky).
	Záruka	Záruka včetně nároku na opravné verze min. 12 měsíců.
Systém evidence a správy prostředků Asset management	Základní požadavky	Systém pro správu a technickou provozní evidenci veškerého počítačového i ostatního majetku (aktiva). Systém bude určený technicky i licenčně pro podnikové nasazení s profesionální podporu výrobce
	Podpora procesů dle ITIL	Systém musí pokrývat následující procesy dle doporučení ITIL: - Asset and Configuration Management - Software Asset Management
	Implementované procesy a funkce	Z procesu Asset and Configuration Management budou implementovány min. následující funkce: - podpora správy konfigurační databáze, musí být uchovávána historie konfiguračních položek - podpora automatizace zjišťování informací o konfiguračních položkách hardware Z procesu Software Asset Management budou implementovány min. následující funkce: - řízení životního cyklu spojeného se softwarovými aktivy - automatické zjišťování informací o konfiguračních položkách software - podpora operativní práce IT správců spojená s řešením a udržením softwarové a licenční čistoty.
	Typy majetku	Systém umožní evidovat a spravovat libovolný druh majetku, kromě IT zařízení např. vozidla, nemovitosti, vybavení tříd a kanceláří, pracovní prostředky a nástroje apod.
	Automatický sběr dat	Systém umožní automatický neinvazivní (bezagentový) sběr údajů o hardware a software z počítačů
	Neznámý software	Automatické odeslání vzorků nerozpoznaného software výrobci k analýze a automatické stažení aktualizovaných signatur pro rozpoznávání.
	Mobilní zařízení	Počítače umístěné mimo LAN zadavatele budou se systémem komunikovat zabezpečeným protokolem prostřednictvím internetu bez nutnosti použití VPN
	Vizualizace	Grafické zobrazení evidovaného majetku a dalších hlavních struktur/objektů systému (např. organizační jednotky, skupiny uživatelů) v hierarchické struktuře. Struktura musí být volně upravitelná podle potřeb Zadavatele
	Řízení oprávnění	Systém umožní nastavit oprávnění na úrovní vlastností objektů - např. zamezit zobrazení pořizovací ceny uživatelům
	Rozšiřitelnost	Systém umožní přidávat do systému libovolné objekty a přidávat k těmto objektům libovolné vlastnosti.
	Dokumenty	V systému musí být možno ukládat libovolné elektronické dokumenty (faktury, licenční certifikáty apod.) a tyto dokumenty propojit s konkrétním objektem nebo více objekty.
	Platnost dokumentů	Dokumenty bude možno v systému zneplatnit (v systému zůstanou zachovány)
	Dědičnost	Systém bude podporovat dědičnost vlastností objektů
	Protokoly	Předpřipravené podpisové protokoly pro formální úkony při správě majetku (předání/převzetí/převod).
	Zabezpečení přístupu	Zabezpečený přístup do aplikace včetně integrovaného přihlašování do uživatelského prostředí i u konzol, řízení oprávnění přístupu k informacím.
	Historie záznamů	Systém musí umožnit automaticky evidovat změny provedené s jednotlivými objekty. Rozsah změn min. přesuny, instalace, předávací protokoly včetně informace kdo, kdy změnu provedl.
	Reporty	Systém musí umožnit vytváření vlastních pohledů, filtrů a exportů min. do Microsoft Excel.
	Zaměstnanecký portál	Umožňuje zaměstnancům kdykoli zobrazit aktuální stav svěřeného majetku prostřednictvím webového prohlížeče
	Intuitivné ovládání	Snadná orientace v přehledech majetku, možnost přetahování položek myší, podpora kontextových menu pro rychlé úpravy a eliminaci chyb
	Lokalizace	Rozhraní systému pro uživatele i správce bude plně lokalizováno do českého jazyka
	Vyhledávání	Integrované vyhledávání a filtrování
	Automatické názvy	Systém musí umožnit automatické pojmenovávání spravovaných zařízení, min. pomocí definice (přednastavení) číselné řady.
	Řízení změn konfigurace	Systém musí umožnit evidenci konfigurace systémů a zařízení.
	Vzdálená správa	Systém bude možno integrovat s nástroji pro vzdálenou správu počítačů - min. Vzdálená plocha Windows, VNC a Microsoft Management Console
	Elektronická inventura	Integrovaná elektronická inventura - zaměstnanci explicitně potvrdí v prostředí portálu trvající existeni a používání svěřeného majektu. Hromadná kontrola inventur správci majektu.
	API	Systém musí umožnit rozšíření pomocí otevřeného rozhraní API na bázi webových služeb.
	Import	Systém musí umožnit import majetku min. ze souborů csv
	Správa uživatelů	Systém bude integrován s Active Directory, bude přebírat uživatele včetně jejich vlastností a organizační hierarchie (nadřízený/podřízený)
	ITIL	Nabízená hlavní verze systému musí být certifikována na shodu se standardy ITIL. Plnění požadavku bude prokázáno certifikátem způsobilé certifikační autority přiloženým k nabídce
	Licence	Licence musí umožnit spravovat 140 počítačů a min. 5 000 ostatních aktiv. Poskytnutá licence bude trvalá
	Záruka	Záruka včetně nároku na opravné verze a aktualizace signatur pro rozpoznání hw a sw min. 12 měsíců.

Komodita K5 - Koncová zařízení a licence operačních systémů
Část	Xxxxxxxx	Popis povinného parametru	Uchazeč popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Stolní počítač 16x	Provedení	Formát SFF nebo menší
	CPU	výkon CPU dle xxxxx://xxx.xxxxxxxxxxxx.xxx min. 24 500 bodů
	Video	výkon video/grafického procesoru dle xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xxx min. 1750 bodů
	RAM	16 GB DDR4, rozšiřitelná min. na 32 GB bez výměny modulů
	HDD	min. 500 GB SSD, provedení PCIe NVMe
	LAN	1 Gb, standardní RJ-45 port
	Bezdrátové připojení	WiFi 6, IEEE 802.11ax, 2.4 + 5 GHz, anténní systém MIMO 2x2 pro vysokou propustnost Bluetooth min. 5.2
	Porty	Čelní panel - min. 3x USB, z toho min 1x USB Type-C 20 Gb/s , audio - sluchátka a mikrofon Zadní panel - min. 2x DisplayPort 1.4, 1x HDMI 2.0, min. 3x USB 3.0, z toho min 1x 10 Gbps
	Periferie	USB klávesnice se samostatným numerickým blokem a českým popisem USB optická myš
	Bezpečnost	TPM 2.0 čip
	Audio	integrovaný reproduktor
	Software	Operační systém Microsoft Windows v aktuální verzi s podporou domény Active Directory, 64 bitový, české rozhraní Požadavky na software jsou dány kompatibilitou se stávajícím prostředím a pořízeným výukovým programovým vybavením.
	Záruka	min. 36 měsíců poskytovaná výrobcem, oprava následující pracovní den v místě instalace
Monitor 16x	Provedení	27" (min. 23,8" viditelná plocha), tenký rámeček, matný - antireflexní povrch, VESA montážní standard
	Panel	technologie IPS, podsvícení LED, odezva do 5 ms, min 70 Hz
	Rozlišení	FullHD, min. 1920 x 1080
	Porty - video	min. 1x DisplayPort, 1x HDMI, včetně DisplayPort kabelu pro připojení k počítači
	Porty - data	min. 5x USB 3.0 (1x IN, 4x OUT) včetně kabelu pro připojení k počítai
	Nastavení polohy	Výškově stavitelný, otočný kolem svislé osy, nastavitelný sklon, otočný na výšku (PIVOT)
	Záruka	min. 36 měsíců poskytovaná výrobcem, oprava následující pracovní den v místě instalace
Multifunkční zařízení 1 ks	Provedení	Multifunkční zařízení skener-tiskárna- kopírka-fax
		Skener
	Provedení	Barevný A3 s plochým sklem a automatickým oboustranným skenováním, podavačem originálů min. 50 ks
	Rychlost	barevné skenování min. 25 stran/min jednostranně
	Rozlišení	Optické rozlišení min. 600 dpi
	Výstup	Ukládání výstupu do e-mailu, SMB, WebDAV, USB
	Formáty	Výstupní formáty JPEG, TIF, PDF (vč. prohledávatelného)
	Integrace	Podpora LDAP/Active Directory
		Tiskárna
	Provedení	Barevná, A3+, oboustranná s automatickým obracením papíru
	Rychlost tisku	Barevný tisk min. 24/15 stran/min jednostranně / oboustranně podle dle ISO
	Rozlišení	Rozlišení 1200 dpi
		Obecné a společné vlastnosti
	Konektivita	Rozhraní USB, LAN 1 Gb a WiFi
	Technologie	Inkoustová, laserová či obdobná srovnatelná
	Komunikace	Síťové protokoly TCP/IP (IPv4/6); SMB; LPD; IPP; SNMP; http; WSD; RAW (port 9100); AirPrint
	Zásobníky	Zásobníky s automatickým podáváním: min. 1 zásobník á 250 listů A3 a menší min. 2 zásobníky á 500 listů A3 a menší ruční podavač 50 listů/obálek
	Provedení	Pro samostatné umístění na podlahu (včetně případného stojanu)
	Obsluha	Ovládání dotykovým barevným displejem většího formátu – min 5“
	Software	včetně obslužného software pro skenování z PC - úprava skenů, rozpoznávání čárových kódů pro automatické pojmenování souborů, OCR
	Kompatibilita	Podpora Windows, Linux, macOS, IOS, Android
	Příslušenství	Zařízení bude dodáno s kompletní sadou plnohodnotných náplní spotřebního materiálu (nikoli tzv. startovací sadou) s výtěžností min 18 000 stran při standardním 5% pokrytí
	Záruka	60 měsíců
SW licence serverových operačních systémů	Klientské licence	klientské licence pro operační systém Windows Server v aktuální verzi umožňující využívat těchto systémů uživatelům celkem na 140 zařízeních.
SW licence desktopových operačních systémů	Klientské licence	Licence upgrade desktopového operačního systému Windows Home na aktuální verzi s podporou domény Active Directory pro 40 počítačů.

Komodita K6 - Interaktivní technika
Část	Xxxxxxxx	Popis povinného parametru	Uchazeč popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Interaktivní tabule 2x	Poměr stran	16:10
	Uhlopříčka obrazu	Min. 220 cm
	Dotyková plocha	Min. 113 x 180 cm
	Dotyková technologie	s rozpoznáním min. 20 současných dotyků a gest
	Povrch	Odolný, magnetický, s úpravou proti odleskům
	Popisovače	Min. 1ks (bezdrátové, bezbateriové a mechanicky odolné)
		Odkládací polička pro popisovač/e
	Propojení	S přídavným dataprojektorem
	Napájení	Pomocí USB z počítače
	Dotyk	Automatické rozeznání dotyku prstem, popisovačem nebo dlaní pro mazání digitálního inkoustu
	Záruka	min. 36 měsíců poskytovaná výrobcem
SW balíček pro přípravu interaktivních cvičení 2x	Výukový SW	Balíček aplikací pro výuku obsahuje nástroj učitele (pro přípravu interaktivních cvičení), nástroj pro rychlou přípravu digitálních učebních aktivit s pomocí předpřipravených šablon, nástroj pro hlasování a online prostředí pro přípravu, prezentaci a sdílení prezentací a interaktivních cvičení.
		SMART Výukový software musí splňovat tyto minimální požadavky v jednotlivých modulech: 1) Aplikace pro tvorbu a vypracování interaktivních aktivit a cvičení. - SW prostředí musí umožňovat výběr nástrojů, zejména: - ovládání kurzoru myši, - pero, kaligrafické pero, barevná tužka, zvýrazňovač, štětec - možnost výběru barvy a stylu čáry pro nástroje uvedené výše: - pero pro rozpoznávání ručně psaného textu a práci s ním, - pero pro rozpoznávání tvarů, - nástroj pro vkládání tvarů, s možností nastavení barvy a stylu, - nástroj pro vkládání textu, - nástroj pro vkládání čar - SW musí být kompatibilní s operačními systémy Windows, Mac OS - SW prostředí musí být v českém jazyce - SW nástroj musí obsahovat knihovnu objektů (obrázků, animací), které lze dle autorského zákona volně použít - SW musí být plně kompatibilní (umožňuje otevřít nebo importovat soubor, spustit všechny aktivity, animace a widgety) se soubory formátu *.notebook. Tuto kompatibilitu požadujeme z důvodu, že škola již má stovky hotových cvičení a aktivit v tomto formátu a využívá je ve výuce. Nekompatibilita nebo jen částečná kompatibilita by znamenala velkou investici, zejména času učitelů na znovu vytvoření nebo opravy a úpravy stávající cvičení a aktivit. - Pro učitele požadujeme přístup na webový portál v českém jazyce pro sdílení cvičení a aktivit. Portál musí obsahovat desítky tisíc hotových cvičení a aktivit plně kompatibilních s nabízeným sw. Cvičení a aktivity musí být zkontrolované a doporučené/ohodnocené lektory = aktivními učiteli. U každého cvičení nebo aktivity musí být uveden odpovídající předmět, pro který je aktivita vhodná, formát a velikost souboru.
		2) Aplikace pro rychlou přípravu digitálních učebních aktivit pomocí předpřipravených šablon. - Prostředí musí obsahovat minimálně 8 různých šablon pro aktivity, které zahrnují – třídění objektů, řazení objektů ve správném pořadí, párování souvisejících objektů, doplňování slov do textu, vědomostní závodní hru a aktivitu, kde mohou žáci posílat texty nebo obrázky přímo ze svých žákovských zařízení. - Prostředí musí obsahovat minimálně 5 grafických témat, která budou odpovídat různému věku žáků.
		3) Aplikace pro hlasování a testování - Prostředí musí fungovat přes internet, žáci odpovídají na svých zařízeních (telefon, tablet, počítač) s webovým prohlížečem. - Otázky s odpovědí typu: Pravda/Nepravda, Číslo, Text, Výběr jedné nebo více možností
		4) Online prostředí pro přípravu, prezentaci a sdílení prezentací a interaktivních cvičení - Přístup přes webový prohlížeč, není nutná instalace. - Musí obsahovat nástroje (- ovládání kurzoru myši, - pero s možností výběru barvy a stylu čáry, - nástroj pro vkládání textu, - vkládání obrázků) - Import souborů typu pdf a ppt - Možnost doplnit importované soubory o interaktivní aktivity - Úložiště souborů dostupné učiteli po přihlášení z libovolného počítače (cloud)
Přídavné reproduktory k interaktivní tabuli 2x	Provedení a výkon	Přídavné reproduktory s možností uchycení na pylonový pojezd tabule, min 20 W.
Projektor k interaktivní tabuli 2x	Minimální parametry	Projektor s ultrakrátkou projekční vzdáleností (UST), svítivost min. 4000 ANSI/LM, zdroj světla s životností min. 20000 hodin lampa nebo laser, rozlišení obrazu min. WXGA 1280 x 800, poměr stran obrazu 16:10. Včetně držáku.
Pylonový pojezd s křídly 2x	Minimální parametry	Pylonový pojezd s křídly. Stabilní konstrukce z hliníkových profilů o výšce min. 250cm. Rozsah posunu min. 70 cm. Rozložení hmotnosti sestavy na stěnu a podlahu. Integrovaný úchyt pro držák projektoru. Boční křídla k interaktivní tabuli pro popisování fixou.

Komodita K7 - Rozvody LAN
Část	Xxxxxxxx	Popis povinného parametru	Uchazeč popíše způsob naplnění tohoto povinného parametru včetně značkové specifikace nabízených dodávek	Uchazeč uvede odkaz na přiloženou část nabídky, kde je možné ověřit naplnění parametru
Kabelové rozvody včetně příslušenství	Popis	Kabelové rozvody včetně příslušenství a souvisejících služeb dle podrobného výkazu výměr - Kapitola 5 - Výkaz výměr
	Záruka	Xxxxxxxx rozvody 10 let, rozvaděče 24 měsíců

4. Záruky a servisní podmínky

1. Požadavky na záruky a servisní podmínky

1. Zadavatel uvádí u jednotlivých komodit, resp. jejich částí požadovanou min. záruku, popř. podporu. Uváděné parametry byly průzkumem trhu zjištěny jako standardní, tj. poskytovány výrobci jako součást standardní dodávky a ceny. Není-li záruka části uvedena, je pro tuto část požadována záruka min. 24 měsíců.

2. Z důvodu zajištění udržitelnosti projektu požaduje zadavatel poskytnutí prodloužení záruky a záručního servisu vybraných komodit či jejich částí. Cenu poskytnutí uvede dodavatel v Příloze č. 1 Kupní smlouvy – Kalkulace nabídkové ceny jako samostatné do určených polí v listu Pořízení.

3. Zadavatel požaduje bezplatný (zahrnutý v ceně zakázky) přístup k aktualizacím software a firmware dodaných komodit minimálně po dobu záruky.

4. Veškeré opravy po dobu záruky budou provedeny bez dalších nákladů pro zadavatele.

5. Veškeré komponenty, náhradní díly a práce, poskytnuté v rámci záruky budou poskytnuty bezplatně.

6. Není-li uvedeno u konkrétní komodity jinak, požaduje zadavatel provedení záruční opravy do pěti pracovních dnů.

7. Po dobu 60 měsíců od předání díla jako celku do plného provozu, musí dodavatel nebo výrobce všech zařízení garantovat běžnou dostupnost náhradních komponentů a dostupnost servisu.

8. Dodavatel ve své nabídce výslovně uvede všechny podmínky záruk.

9. Pro hlášení servisních požadavků zajistí dodavatel zhotoviteli přístup ke svému helpdeskovému systém s on-line přístupem pro kompletní správu požadavků včetně uchování historie požadavků a jejich řešení. Detailní popis helpdeskového systému a jeho obsluhy musí být součástí nabídky. Provozní doba helpdeskového systému musí být minimálně 7-17 hod. v pracovních dnech.

1. Požadavky na zabezpečení provozu

1. Z důvodu zajištění udržitelnosti projektu po dobu 60 měsíců a zajištění bezpečnosti provozu požaduje zadavatel zajištění poskytnutí podpory softwarových produktů. Podpory jsou požadovány minimálně v stejném rozsahu, jako byly poskytovány v rámci záruky, resp. standardní podpory. Cenu poskytnutí uvede dodavatel v Příloze č. 1 Kupní smlouvy – Kalkulace nabídkové ceny do určených polí v listu Provoz.

1. Výkaz výměr síťových kabelových rozvodů a specifikace datových rozvaděčů

1. Kalkulace

1. V ceně položky označené v Příloze č. 1 Kupní smlouvy – Kalkulace nabídkové ceny u komodity K7 – Rozvody LAN jako „Kabelové rozvody včetně příslušenství“, jsou zahrnuty následující dílčí položky. Dodavatel v Kalkulaci oceňuje kabelové rozvody včetně příslušenství a datových rozvaděčů jako celek, následující výkaz výměr slouží dodavateli pro kalkulaci celkové ceny této položky. Dodavatel nacenění provede včetně záruky na kabelové rozvody v délce 10 let a záruky na rozvaděče v délce 24 měsíců.

2. Výkaz výměr

1. Následující tabulka obsahuje výkaz výměr pro vybudování kabelových rozvodů LAN. Je-li v popis položky uveden konkrétní výrobce či značka, jedná se specifikaci požadovaných vlastností položky (nikoli konkrétního produktu) a uchazeč může nabídnout produkt jiného výrobce či značky při splnění požadovaných vlastností a parametrů.

Komodita K7 - Rozvody LAN
Položka	Specifikace - popis položky	počet MJ	MJ
1	Nástěnný rozvaděč jednodílný 12U (š)600x(h)600	2	ks
2	19" modulární osazený panel 24portů pro CAT6	3	ks
3	19” Vyvazovací panel 1U	8	ks
4	19” Zásuvkový rozvodný panel 1-U s ochranou proti přepětí 5x 230V	2	ks
5	Sada montážních šroubů Rack mount KIT	30	ks
6	UTP kabel CAT6, LSOH	6950	m
7	Optický kabel 9/125 8x vlákno	150	m
8	Optická vana 19" černá včetně čela	2	ks
9	Optická kazeta - 12 svárů	2	ks
10	Pigtail 9/125 LC	16	ks
11	Adaptér LC SM	16	ks
12	Optický svár	16	ks
13	Zásuvka datová na omítku CAT6 2xRJ45 modulární	48	ks
14	Zásuvka datová na omítku CAT6 1xRJ45 modulární	18	ks
15	Patch kabel CAT6 UTP PVC 1m rack	48	ks
16	Patch kabel CAT6 UTP PVC 0,5m AP	22	ks
17	Optický závěs komplet	55	m
18	Lišta LV 20x20 datové rozvody	200	m
19	Lišta LV 40x20 datové rozvody	20	m
20	Lišta LV 40x40 datové rozvody	100	m
21	Lišta LV 60x40 datové rozvody	250	m
22	Lišta LV 80x40 datové rozvody	10	m
23	Hmoždinka s vrutem	3000	ks
24	Ostatní nespecifikovaný materiál	1	kmpl
25	Sádra	5	kg
26	Pásek stahovací	100	ks
27	Kabel CYKY 3Cx2,5 - el přívod pro Rack skříně	50	m
28	Zásuvka 230V na omítku	2	ks
29	Jistič 230V 16A-C	2	ks
30	Montáž- příprava kabelových tras - průraz 40cm/4cm	20	ks
31	Montáž- příprava kabelových tras - průraz do pr. 90mm	15	ks
32	Montáž- příprava kabelových tras - lištování	680	m
33	Montáž- tažení kabelů	6950	m
34	Montáž- osazení, zapojení	200	hod
35	Dokončovací práce, začištění, popis, odborné montáže, montáže AP	150	hod
36	Měření LAN vč. certifikačního protokolu	122	x
37	Revize elektrických přívodů	1	ks
38	Dokumentace skutečného provedení (zakreslení do stávajících půdorysů)	1	x
39	Likvidace odpadů, staré kabeláže, VRN, doprava	1	ks

1 Viz. aktuální verze xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xxxxxxxx-xxxxxxxxxxx-xxxx/

Stránka 13 z 39