WZP.270.138.2018 2018-16100
Warszawa, 2018-09-25
WZP.270.138.2018 2018-16100
Do wszystkich Wykonawców
uczestniczących w postępowaniu
Dotyczy: postępowania o udzielenie zamówienia publicznego prowadzonego w trybie przetargu nieograniczonego na Rozbudowę posiadanego przez Zamawiającego systemu zapór ogniowych i systemu równoważników obciążeń oraz oprogramowania do zarządzania Urządzeniami, znak sprawy: WZP.270.138.2018
W związku z faktem, iż w przedmiotowym postępowaniu wpłynęły pytania od Wykonawców w odniesieniu do treści Specyfikacji Istotnych Warunków Zamówienia, zwanej dalej „SIWZ”, Zamawiający, działając na podstawie art. 38 ust. 2 oraz art. 38 ust. 4 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (Dz. U. z 2017 r., poz. 1579 z późn. zm.), zwanej dalej
„ustawą Pzp”, przytacza treść pytań i udziela odpowiedzi oraz dokonuje zmiany SIWZ.
Pytania dotyczące dostawy centralnych zapór ogniowych opisanych w pkt 1 oraz dostawy pomocniczych zapór ogniowych opisanych w pkt 2.
Pytanie 1:
W wymaganiu dla części 1. Rozbudowa centralnych zapór ogniowych punkt 11 Zamawiający wymaga:
„W ramach dostarczonego urządzenia muszą być realizowane wszystkie poniższe funkcje:
• Kontrola dostępu - zapora ogniowa klasy Stateful Inspection.
• Kontrola Aplikacji.
• Poufność transmisji danych - połączenia szyfrowane IPSec VPN oraz SSL VPN.
• Ochrona przed malware – co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS.
• Ochrona przed atakami - Intrusion Prevention System.
• Zarządzanie pasmem (QoS, Traffic shaping).
• Mechanizmy ochrony przed wyciekiem poufnej informacji (DLP).
• Dwu-składnikowe uwierzytelnianie z wykorzystaniem tokenów sprzętowych lub programowych. W ramach postępowania powinny zostać dostarczone co najmniej 2 tokeny sprzętowe lub programowe, które będą zastosowane do dwu-składnikowego uwierzytelnienia administratorów lub w ramach połączeń VPN typu client-to-site.
• Analiza ruchu szyfrowanego protokołem SSL.
• Analiza ruchu szyfrowanego protokołem SSH.”
Wnosimy, aby Xxxxxxxxxxx usunął wymóg ochrony przed wyciekiem informacji poufnej (DLP). Według najlepszej wiedzy Wykonawcy oraz z zgodnie z dobrymi praktykami, na rynku istnieją dedykowane systemy chroniące instytucje przed wyciekiem informacji. Urządzenia te gwarantują wysoką wydajności skuteczność działania takiego systemu. Używanie funkcjonalność DLP na urządzeniach typu NGFW sprawia, że wydajność takiego systemu ulega znacznemu obniżeniu nie dając pełnej ochrony przed wyciekiem informacji poufnych, a to przekłada się na zmniejszenie wydajności pracy urządzeń (serwerów jak i stacji komputerowych), które są chronione za pomocą urządzeni NGFW.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 2:
W wymaganiu dla części 1. Rozbudowa centralnych zapór ogniowych punkt 20 Zamawiający wymaga:
„Silnik antywirusowy musi umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2021).
System musi umożliwiać skanowanie archiwów, w tym co najmniej: zip, RAR.
Moduł kontroli antywirusowej musi mieć możliwość współpracy z dedykowaną, komercyjną platformą (sprzętową lub wirtualną) lub usługą w chmurze typu Sandbox w celu rozpoznawania nieznanych dotąd zagrożeń. „
Wnosimy o modyfikację powyższego wymagania na następujące:
„Silnik antywirusowy musi umożliwiać skanowanie ruchu w obu kierunkach komunikacji. System musi umożliwiać skanowanie archiwów, w tym co najmniej: zip, RAR.
Moduł kontroli antywirusowej musi mieć możliwość współpracy z dedykowaną, komercyjną platformą (sprzętową lub wirtualną) lub usługą w chmurze typu Sandbox w celu rozpoznawania nieznanych dotąd zagrożeń. „
Według najlepszej wiedzy Wykonawcy, wymóg ten w znaczącym sposób ogranicza konkurencję i jest charakterystyczny tylko dla jednego wykonawcy – firmy Fortinet.
Pragniemy jednocześnie podkreślić, że zastosowanie takiego wymogu jest całkowicie nieuzasadnione. W momencie chęci korzystania z takiej funkcjonalności wydajność urządzenia w sposób znaczący spadnie -spowodowane jest to koniecznością analizy antywirusowej ruchu dla całego zakresu portów (od 0 do 65535).
Wykonawca pragnie podkreślić, że istnieją inne, alternatywne sposoby (przy pomocy kontroli aplikacji, która wymusi jej działanie na standardowym porcie) na „wymuszenie” działania aplikacji na przypisanych do tej aplikacji portach zgodnie z IANA i skanowanie ruchu na tych portach.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 3:
W wymaganiu dla części 1. Rozbudowa centralnych zapór ogniowych punkt 10 Zamawiający wymaga:
Przepustowość Firewall z włączoną funkcją Kontroli Aplikacji: nie mniej niż 35 Gbps. Według najlepszej wiedzy Wykonawcy, podawanie wydajności firewall z włączoną funkcją Kontroli Aplikacji jest charakterystyczne tylko dla jednego producenta – firmy Fortinet.
W celu uniknięcia wątpliwości przy ocenie ofert, wnosimy aby Zamawiający wskazał jako kryterium przepustowość firewall na poziomie 75 Gbps bez funkcji Kontroli Aplikacji.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 4:
W wymaganiu dla części 1. Rozbudowa centralnych zapór ogniowych punkt 10 Zamawiający wymaga:
Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control- minimum 20 Gbps.
Różni producenci, podają inaczej wydajności swoich systemów – np.: Fortinet podaje wartości skanowania IPS tyko dla określonej części pakietu, zamiast dla całego. Umożliwienie skanowanie jedynie części pakietu powoduje potencjalną „dziurę” systemu bezpieczeństwa. Atakujący system bezpieczeństwa może tak spreparować ruch, że przy częściowym skanowaniu IPS ruch ten – pomimo tego że jest niebezpieczny – zostanie przez urządzenia firewall zaakceptowany i uznany za wolny od zagrożeń. Należy także podkreślić, że metoda ta umożliwia wykrycie jedynie znanych zagrożeń.
Poniżej prezentujemy fragment możliwości konfiguracyjnych urządzeń FortiGate:
FortiOS 5.2 and 5.4 Starting with V5.2 with intelligent-mode the IPS engine does adaptive scanning so that for some traffic, the FortiGate can quickly finish scanning and offload the traffic to NPU or kernel. It is a balanced method which could cover all known exploits. The default is enable. config ips global set intelligent-mode enable end
When disabled, the IPS engine scans every single byte.1
1xxxx://xx.xxxxxxxx.xxx/xx/xxxxxxxxXxxx.xx?xxxxxxxxXXxXX00000
W celu ujednolicenia wymagań dla wszystkich wykonawców, a co za tym idzie możliwości rzetelnej oceny ofert, wnosimy aby Zamawiający zmodyfikował swoje wymagania na następujące: Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control- minimum 3 Gbps przy skanowaniu każdego pojedynczego bajta. Taka zmiana pozwoli na porównanie złożonych ofert.
Odpowiedź:
Zamawiający nie dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ.
Pytanie 5:
W wymaganiu dla części 1. Rozbudowa centralnych zapór ogniowych punkt 11 Zamawiający wymaga:
Ochrona przed malware – co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS. Tak zdefiniowane wymaganie w zakresie ochrony dla protokołu POP3 i IMAP jest nieuzasadnione. Podane przykładowe protokoły służą jedynie do synchronizacji pomiędzy lokalną skrzynką pocztową użytkownika na urządzeniu końcowym (komputer PC) i serwerem pocztowym, na którym zlokalizowane są skrzynki użytkowników. Jest to typowa komunikacja zaufanego użytkownika wykorzystującego klienta pocztowego z jego własnym serwerem pocztowym, na którym użytkownik ten posiada zdefiniowane konto i lokalną skrzynkę pocztową. Należy zwrócić uwagę, iż jedynym protokołem, który bierze udział w komunikacji serwera pocztowego ze światem zewnętrznym w sieci Internet jest protokół SMTP. Tylko za pośrednictwem tego protokołu ma
miejsce wymiana wiadomości pocztowych pomiędzy serwerami. W przypadku chęci zapewnienie ochrony dla serwera poczty odbierającego wiadomości konieczne jest zapewnienie ochrony dla protokołu na jakim ta komunikacja zachodzi ,a jest nim wspominany wyżej protokół SMTP. Wnosimy o modyfikację w/w punktu poprzez skreślenie wymagania dla protokołu POP3 i IMAP.
Z najlepszych praktyk wykonawcy oraz analizy specyfikacji wynika, iż wskazane przez Zamawiającego parametry spełnia tylko jeden producent - Fortinet, co jest niezgodne z ustawą Xxxxx Xxxxxxxx Publicznych.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 6:
W wymaganiu dla części 1. Rozbudowa centralnych zapór ogniowych punkt 7 Zamawiający wymaga:
System realizujący funkcję Firewall musi dysponować minimum:
• 2 portami Gigabit Ethernet RJ-45.
• 16 gniazdami SFP+ 10 Gbps.
Wnosimy, aby Zamawiający zmodyfikował swoje wymagania i dopuścił rozwiązanie w następującej konfiguracji:
• 2 portami Gigabit Ethernet RJ-45.
• 12 gniazdami SFP+ 10 Gbps.
Zmiana tego zapisu, nie powoduje zmiany funkcjonalności i wydajności takiego systemu. Umożliwia on także udział w postępowaniu większej liczbie uczestników, co jest korzystne dla Zamawiającego – chociażby poprzez uzyskanie niższej ceny, a co za tym idzie oszczędności budżetowe, co dla jednostki czerpiącej finansowanie z budżetu Państwa powinno stanowić priorytet.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 7:
W wymaganiu dla części 1. Rozbudowa centralnych zapór ogniowych punkt 10 Zamawiający wymaga:
• W zakresie Firewall’a obsługa nie mniej niż 8 mln jednoczesnych sesji oraz 340.000 nowych połączeń na sekundę.
• Przepustowość Firewall z włączoną funkcją Kontroli Aplikacji: nie mniej niż 35 Gbps.
• Wydajność szyfrowania VPN IPSec dla pakietów 512 B, przy zastosowaniu algorytmu o mocy nie mniejszej niż AES256 – SHA256: nie mniej niż 14 Gbps.
• Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control- minimum 20 Gbps.
Wnosimy, aby Xxxxxxxxxxx dopuścił rozwiązanie spełniające następujące parametry:
• W zakresie Firewall’a obsługa nie mniej niż 8 mln jednoczesnych sesji oraz 185 000 nowych połączeń na sekundę.
• Przepustowość Firewall nie mniej niż 75 Gbps.
• Wydajność szyfrowania VPN IPSec dla pakietów 512 B, przy zastosowaniu algorytmu o mocy nie mniejszej niż AES128: nie mniej niż 14 Gbps.
• Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control- minimum 3 Gbps przy skanowaniu każdego pojedynczego bajta.
Z najlepszej wiedzy Wykonawcy wynika, że zmiana parametru nowych połączeń na sekundę umożliwi realizację zapytań do systemu dla co najmniej 246 000 użytkowników na sekundę (przyjmując, że pojedynczy użytkownik nawiązuje 3 nowe sesje na sekundę, a Zamawiający będzie używał 4 urządzeń firewall zgodnie z OPZ). Różni producenci, podają inaczej wydajności swoich systemów – np.: Fortinet podaje wartości skanowania IPS tyko dla określonej części pakietu, zamiast dla całego. Umożliwienie skanowanie jedynie części pakietu powoduje potencjalną „dziurę” systemu bezpieczeństwa. Atakujący system bezpieczeństwa może tak spreparować ruch, że przy częściowym skanowaniu IPS ruch ten – pomimo tego że jest niebezpieczny – zostanie przez urządzenia firewall zaakceptowany i uznany za wolny od zagrożeń. Należy także podkreślić, że metoda ta umożliwia wykrycie jedynie znanych zagrożeń.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ części 1. Aktualny Załącznik nr 1 do SIWZ – OPZ stanowi załącznik do udzielonych odpowiedzi.
Pytanie 8:
W wymaganiu dla części 2. Rozbudowa pomocniczych zapór ogniowych punkt 11 Zamawiający wymaga:
„W ramach dostarczonego urządzenia muszą być realizowane wszystkie poniższe funkcje:
• Kontrola dostępu - zapora ogniowa klasy Stateful Inspection.
• Kontrola Aplikacji.
• Poufność transmisji danych - połączenia szyfrowane IPSec VPN oraz SSL VPN.
• Ochrona przed malware – co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS.
• Ochrona przed atakami - Intrusion Prevention System.
• Zarządzanie pasmem (QoS, Traffic shaping).
• Mechanizmy ochrony przed wyciekiem poufnej informacji (DLP).
• Dwu-składnikowe uwierzytelnianie z wykorzystaniem tokenów sprzętowych lub programowych. W ramach postępowania powinny zostać dostarczone co najmniej 2 tokeny sprzętowe lub programowe, które będą zastosowane do dwu-składnikowego uwierzytelnienia administratorów lub w ramach połączeń VPN typu client-to-site.
• Analiza ruchu szyfrowanego protokołem SSL.
• Analiza ruchu szyfrowanego protokołem SSH.”
Wnosimy, aby Xxxxxxxxxxx usunął wymóg ochrony przed wyciekiem informacji poufnej (DLP). Według najlepszej wiedzy Wykonawcy oraz z zgodnie z dobrymi praktykami, na rynku istnieją dedykowane systemy chroniące instytucje przed wyciekiem informacji. Urządzenia te gwarantują wysoką wydajności skuteczność działania takiego systemu. Używanie funkcjonalność DLP na urządzeniach typu NGFW sprawia, że wydajność takiego systemu ulega znacznemu obniżeniu nie dając pełnej ochrony przed wyciekiem informacji poufnych, a to przekłada się na zmniejszenie wydajności pracy wszystkich urządzeń, które są chronione za pomocą urządzeni NGFW.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 9:
W wymaganiu dla części 2. Rozbudowa pomocniczych zapór ogniowych punkt 20 Zamawiający wymaga:
„Silnik antywirusowy musi umożliwiać skanowanie ruchu w obu kierunkach komunikacji dla protokołów działających na niestandardowych portach (np. FTP na porcie 2021).
System musi umożliwiać skanowanie archiwów, w tym co najmniej: zip, RAR.
Moduł kontroli antywirusowej musi mieć możliwość współpracy z dedykowaną, komercyjną platformą (sprzętową lub wirtualną) lub usługą w chmurze typu Sandbox w celu rozpoznawania nieznanych dotąd zagrożeń. „
Wnosimy o modyfikację powyższego wymagania na następujące:
„Silnik antywirusowy musi umożliwiać skanowanie ruchu w obu kierunkach komunikacji. System musi umożliwiać skanowanie archiwów, w tym co najmniej: zip, RAR.
Moduł kontroli antywirusowej musi mieć możliwość współpracy z dedykowaną, komercyjną platformą (sprzętową lub wirtualną) lub usługą w chmurze typu Sandbox w celu rozpoznawania nieznanych dotąd zagrożeń. „
Według najlepszej wiedzy Wykonawcy, wymóg ten w znaczącym sposób ogranicza konkurencję i jest charakterystyczny tylko dla jednego wykonawcy – firmy Fortinet.
Pragniemy jednocześnie podkreślić, że zastosowanie takiego wymogu jest całkowicie nieuzasadnione. W momencie chęci korzystania z takiej funkcjonalności wydajność urządzenia w sposób znaczący spadnie -spowodowane jest to koniecznością analizy antywirusowej ruchu dla całego zakresu portów (od 0 do 65535).
Wykonawca pragnie podkreślić, że istnieją inne, alternatywne sposoby na „wymuszenie” działania aplikacji na przypisanych do tej aplikacji portach zgodnie z IANA i skanowanie ruchu na tych portach.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 10:
W wymaganiu dla części 2. Rozbudowa pomocniczych zapór ogniowych punkt 10 Zamawiający wymaga:
Przepustowość Firewall z włączoną funkcją Kontroli Aplikacji: nie mniej niż 8,5 Gbps.
Według najlepszej wiedzy Wykonawcy, podawanie wydajności firewall z włączoną funkcją Kontroli Aplikacji jest charakterystyczne tylko dla jednego producenta – firmy Fortinet.
W celu uniknięcia wątpliwości przy ocenie ofert, wnosimy aby Zamawiający wskazał jako kryterium przepustowość firewall na poziomie 15 Gbps bez funkcji Kontroli Aplikacji.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 11:
W wymaganiu dla części 2. Rozbudowa pomocniczych zapór ogniowych punkt 10 Zamawiający wymaga:
Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control- minimum 4,5 Gbps.
Różni producenci, podają inaczej wydajności swoich systemów – np.: Fortinet podaje wartości skanowania IPS tyko dla określonej części pakietu, zamiast dla całego. Umożliwienie skanowanie jedynie części pakietu powoduje potencjalną „dziurę” systemu bezpieczeństwa. Atakujący system bezpieczeństwa może tak spreparować ruch, że przy częściowym skanowaniu IPS ruch ten – pomimo tego że jest niebezpieczny – zostanie przez urządzenia firewall zaakceptowany i uznany za wolny od zagrożeń. Należy także podkreślić, że metoda ta umożliwia wykrycie jedynie znanych zagrożeń.
Poniżej prezentujemy fragment możliwości konfiguracyjnych urządzeń FortiGate:
FortiOS 5.2 and 5.4 Starting with V5.2 with intelligent-mode the IPS engine does adaptive scanning so that for some traffic, the FortiGate can quickly finish scanning and offload the traffic to NPU or kernel. It is a balanced method which could cover all known exploits. The default is enable. config ips global set intelligent-mode enable end
When disabled, the IPS engine scans every single byte.2
2 xxxx://xx.xxxxxxxx.xxx/xx/xxxxxxxxXxxx.xx?xxxxxxxxXXxXX00000
W celu ujednolicenia wymagań dla wszystkich wykonawców, a co za tym idzie możliwości rzetelnej oceny ofert, wnosimy aby Zamawiający zmodyfikował swoje wymagania na następujące: Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control- minimum 0,5 Gbps przy skanowaniu każdego pojedynczego bajta
Odpowiedź:
Zamawiający nie dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ.
Pytanie 12:
W wymaganiu dla części 2. Rozbudowa pomocniczych zapór ogniowych punkt 11 Zamawiający wymaga:
Ochrona przed malware – co najmniej dla protokołów SMTP, POP3, IMAP, HTTP, FTP, HTTPS. Prosimy o wyjaśnienie przez Zamawiającego czemu ma służyć tak zdefiniowane wymaganie w zakresie ochrony dla protokołu POP3 i IMAP. Podane przykładowe protokoły służą jedynie do synchronizacji pomiędzy lokalną skrzynką pocztową użytkownika na urządzeniu końcowym (komputer PC) i serwerem pocztowym, na którym zlokalizowane są skrzynki użytkowników. Jest to typowa komunikacja zaufanego użytkownika wykorzystującego klienta pocztowego z jego własnym serwerem pocztowym, na którym użytkownik ten posiada zdefiniowane konto i lokalną skrzynkę pocztową. Należy zwrócić uwagę, iż jedynym protokołem, który bierze udział w komunikacji serwera pocztowego ze światem zewnętrznym w sieci Internet jest protokół SMTP. Tylko za pośrednictwem tego protokołu ma miejsce wymiana wiadomości pocztowych pomiędzy serwerami. W przypadku chęci zapewnienie ochrony dla serwera poczty odbierającego wiadomości konieczne jest zapewnienie ochrony dla protokołu na jakim ta komunikacja zachodzi ,a jest nim wspominany wyżej protokół SMTP.
Wnosimy o modyfikację w/w punktu poprzez skreślenie wymagania dla protokołu POP3 i IMAP.
Zmiana tego zapisu, nie powoduje zmiany funkcjonalności i wydajności takiego systemu. Umożliwia on także udział w postępowaniu większej liczbie uczestników, co jest korzystne dla Zamawiającego – chociażby poprzez uzyskanie niższej ceny, a co za tym idzie oszczędności budżetowe, co dla jednostki czerpiącej finansowanie z budżetu Państwa powinno stanowić priorytet.
Z najlepszych praktyk wykonawcy oraz analizy specyfikacji wynika, iż wskazane przez Zamawiającego parametry spełnia tylko jeden producent - Fortinet, co jest niezgodne z ustawą Xxxxx Xxxxxxxx Publicznych.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 13:
W wymaganiu dla części 2. Rozbudowa pomocniczych zapór ogniowych punkt 7 Zamawiający wymaga:
System realizujący funkcję Firewall musi dysponować minimum:
• 10 portami Gigabit Ethernet RJ-45.
• 8 gniazdami SFP 1 Gbps.
• 2 gniazdami SFP+ 10 Gbps
Wnosimy, aby Zamawiający zmodyfikował swoje wymagania i dopuścił rozwiązanie w następującej konfiguracji:
• 6 portami Gigabit Ethernet RJ-45.
• 8 Portami 1000Base-F SFP
Zmiana tego zapisu, nie powoduje zmiany funkcjonalności i wydajności takiego systemu. Umożliwia on także udział w postępowaniu większej liczbie uczestników, co jest korzystne dla Zamawiającego – chociażby poprzez uzyskanie niższej ceny, a co za tym idzie oszczędności budżetowe, co dla jednostki czerpiącej finansowanie z budżetu Państwa powinno stanowić priorytet.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie. Aktualny Załącznik nr 1 do SIWZ – OPZ stanowi załącznik do udzielonych odpowiedzi.
Pytanie 14:
W wymaganiu dla części 2. Rozbudowa pomocniczych zapór ogniowych punkt 10 Zamawiający wymaga:
• W zakresie Firewall’a obsługa nie mniej niż 3 mln jednoczesnych sesji oraz 130.000 nowych połączeń na sekundę.
• Przepustowość Firewall z włączoną funkcją Kontroli Aplikacji: nie mniej niż 8.5 Gbps.
Wydajność szyfrowania VPN IPSec dla pakietów 512 B, przy zastosowaniu algorytmu o mocy nie mniejszej niż AES256 – SHA256: nie mniej niż 4.5 Gbps.
• Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control, Antywirus - minimum 4.5 Gbps.
Wnosimy, aby Xxxxxxxxxxx dopuścił rozwiązanie spełniające następujące parametry:
• W zakresie Firewall’a obsługa nie mniej niż 3 mln jednoczesnych sesji oraz 125 000 nowych połączeń na sekundę.
• Przepustowość Firewall nie mniej niż 15 Gbps.
• Wydajność szyfrowania VPN IPSec dla pakietów 512 B, przy zastosowaniu algorytmu o mocy nie mniejszej niż AES128 : nie mniej niż 1,8 Gbps.
• Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control, Antywirus - minimum 0,5 Gbps przy skanowaniu każdego pojedynczego bajta.
Z najlepszej wiedzy Wykonawcy, przedstawione wymaganie wydajności dla firewall w zakresie nowych sesji oraz jednoczesnych połączeń jest charakterystyczne dla jednego producenta – firmy Fortinet.
Różni producenci, podają inaczej wydajności swoich systemów – np.: Fortinet podaje wartości skanowania IPS tyko dla określonej części pakietu, zamiast dla całego. Umożliwienie skanowanie jedynie części pakietu powoduje potencjalną „dziurę” systemu bezpieczeństwa. Atakujący system bezpieczeństwa może tak spreparować ruch, że przy częściowym skanowaniu IPS ruch ten – pomimo tego że jest niebezpieczny – zostanie przez urządzenia firewall zaakceptowany i uznany za wolny od zagrożeń. Należy także podkreślić, że metoda ta umożliwia wykrycie jedynie znanych zagrożeń.
Zmiana tego zapisu, nie powoduje zmiany funkcjonalności systemu, a poprawia jego bezpieczeństwo. Umożliwia on także udział w postępowaniu większej liczbie uczestników, co jest korzystne dla Zamawiającego – chociażby poprzez uzyskanie niższej ceny, a co za tym idzie oszczędności budżetowe, co dla jednostki czerpiącej finansowanie z budżetu Państwa powinno stanowić priorytet.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie. Aktualny Załącznik nr 1 do SIWZ – OPZ stanowi załącznik do udzielonych odpowiedzi.
Pytania dotyczące dostawy systemu równoważników obciążeń opisanego w pkt. 4 Pytanie 15:
W punkcie 4. „Metody równoważenia obciążenia” Zamawiający wymaga:
„Urządzenie musi posiadać co najmniej następujące metody równoważenia obciążenia: Cykliczna
Ważona
Najmniejsza liczba połączeń Najszybsza odpowiedź serwera
Dynamicznie ważona oparta na SNMP/WMI
Definiowana na podstawie grupy priorytetów dla serwerów „
Wnosimy, aby Xxxxxxxxxxx usunął wymóg dotyczący następującej metody równoważenia obciążenia: Dynamicznie ważona oparta na WMI.
W tym punkcie Zamawiający definiuje metody równoważenia obciążenia, które zaoferowane urządzenie musi wspierać. Jednym z wymagań jest równoważenie obciążenia za pomocą metody
„Dynamicznie ważona oparta na SNMP/WMI”. SNMP (Simple Network Management Protocol) stanowi rodzinę protokołów sieciowych wykorzystywanych do zarządzania urządzeniami telekomunikacyjnymi za pośrednictwem sieci IP. Jest to powszechny standard i jest stosowany praktycznie w każdym szeroko pojętym systemie telekomunikacyjnym i komputerowym.
WMI (Windows Management Instrumentation) jest zestawem protokołów i rozszerzeń systemu Windows, który również umożliwia zarządzanie i dostęp do zasobów komputerowych ale stanowi rozwiązanie własne firmy Microsoft (nie stanowi globalnego standardu) i może być jedynie stosowane w połączeniu z systemami Windows.
Z uwagi na fakt, że funkcjonalność zarządzania zasobami komputerowymi można w sposób kompletny zrealizować za pomocą globalnego standardu SNMP, który stosowany jest powszechnie, wnosimy o usunięcie wymagania na równoważenie obciążenia w oparciu o niestandaryzowany i ograniczony technologicznie protokół WMI.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 16:
W punkcie 10. „WAF – model bezpieczeństwa” Zamawiający wymaga:
„WAF musi działać w oparciu o pozytywny model bezpieczeństwa (tylko to, co znane i prawidłowe jest dozwolone), model ten tworzony jest na bazie automatycznie budowanego przez WAF profilu aplikacji Web. Pozytywny model bezpieczeństwa powinien kontrolować co najmniej:
wystąpienie URL-i, długość URL-i,
typ servleta występujący pod danym url-em – format komunikacji (http form, JSON, XML, GWT) przejścia pomiędzy URL-ami (servletami)
dopuszczalne metody http, dopuszczalne cookie, dopuszczalne parametry w polityce, parametry dynamiczne,
typ/format parametrów (alfanumeryczny, integer, dynamiczny, statyczny, JSON, XML, e-mail, telefon, plik uploadowany)
oraz dopuszczalne parametry w danym serwlecie długość zapytań nazwy hosta
wystąpień i długość parametrów (per każdy parametr) wystąpień i długości nagłówków
wystąpień i długości cookies
oczekiwanych typów znaków per każdy parametr
typów rozszerzeń plików; w tym długości URLa, requestu, query stringu, post data dla danego typu pliku
URL-i podatnych na CSRF„
Wnosimy, aby Zamawiający usunął wymóg dotyczący kontroli przejścia pomiędzy URL-ami (servletami).
W tym punkcie Zamawiający definiuje zestaw ogólnych wymagań, które musi spełnić moduł ochrony WAF. Jednym z takich wymagań jest kontrola przejść pomiędzy URL'ami (servletami). Jeżeli rozpatrzymy następujący adres URL: xxx.xxxxx.xxx/xxxxxxxx/xxxxxxxxxxxx.xxxx to zauważymy, że struktura logiczna takiego portalu wygląda następująco: (1) xxx.xxxxx.xxx – strona główna, (2) /produkty – podstrona/katalog, (3) loadbalancer.html – podstrona. Kontrola przejść pomiędzy URL’ami polega na wymuszeniu określonej sekwencji, według której użytkownik portalu będzie się poruszał po jego wszystkich stronach/podstronach. Np. aby dostać się na stronę loadbalancer.html użytkownik nie będzie mógł od razu zarządać takiej strony wpisując adres xxx.xxxxx.xxx/xxxxxxxx/ loadbalancer.html tylko będzie mógł się tam dostać według ustalonej sekwencji, np. idąc najpierw do strony xxx.xxxxx.xxx/xxxxxxxx. Według ogólnie przyjętych praktyk inżynierskich oraz rekomendacji wielu producentów nie jest to metoda rekomendowana z uwagi na
występowanie wielu błędów po jej zastosowaniu. Np. jeżeli strona xxx.xxxxx.xxx/xxxxxxxx/xxxxxxxxxxxx.xxxx pojawi się w wynikach wyszukiwania w wyszukiwarce internetowej to użytkownik klikający na odnośnik do tej strony nie zostanie do niej skierowany (blokada strony) z uwagi na niezgodność z sekwencją, z jaką powinien do tej strony się dostać (czyli najpierw /katalog a później loadbalancer.html). Najlepszą i wystarczającą praktyką jest zabezpieczenie każdej strony w sposób indywidualny. Wyeliminuje to możliwość nieuzasadnionej blokady stron. Dlatego też wnosimy o usunięcie wymogu kontroli przejścia pomiędzy URL-ami (servletami).
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 17:
W punkcie 16. „WAF – brute force” Zamawiający wymaga:
„WAF musi posiadać funkcjonalność automatycznego wykrywania stron logowania użytkowników.” Wnosimy, aby Zamawiający usunął w całości punkt 16.
W tym punkcie Zamawiający definiuje wymaganie dotyczące automatycznego wykrywania stron logowania użytkowników w kontekście ataków Brute Force.
Atak Brute Force to metoda uzyskiwania dostępu do zabezpieczonej aplikacji poprzez wielokrotną próbę logowania za pomocą wielu kombinacji nazw użytkowników i haseł. Automatyczne wykrywanie stron logowania polega na analizie zapytań skierowanych do aplikacji (pewne dane statystyczne dotyczące strony logowania) oraz odpowiedzi aplikacji na takie zapytania (np. odpowiedź serwera o udanej lub nieudanej próbie logowania). Logika zapytań do serwera (dane statystyczne) oraz odpowiedzi z serwera (komunikaty) mogą być dowolne ponieważ dotyczą zachowania użytkowników (behawiorystyka korzystania użytkowników z systemu) oraz dowolnego tworzenia treści komunikatów w danej aplikacji.
W związku z powyższym nie ma absolutnie pewności, że automatyczny mechanizm detekcji stron logowania w sposób właściwy wykryje takie strony. Mechanizm ten nie jest skuteczny i zawsze wymaga dodatkowej pracy manualnej. Z uwagi na fakt, że zazwyczaj ilość stron logowania w aplikacji jest ograniczona (i doskonale znana) ustawienie ręczne stron logowanie jest bardzo szybkim procesem, niezawodnym i wystarczającym. Wnosimy dlatego aby zamawiający usunął w całości punkt 16.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 18:
W punkcie 21. „WAF – DDoS” Zamawiający wymaga: „WAF musi posiadać mechanizmy ochrony przed atakami DoS ukierunkowanymi na warstwę aplikacyjną (zalewanie aplikacji web dużą ilością zapytań http) WAF musi rozróżniać rzeczywistych użytkowników od automatów podczas ataku (D)DoS poprzez:
Wstrzykiwanie skryptu JavaScript i weryfikacji rezultatów jego wykonania Sygnatur botów
System powinien umożliwiać proaktywne wykrywanie i blokowanie botów (j.w.), zanim wywołają atak DDoS, web scraping lub brute force.
System powinien kategoryzować boty i umożliwiać przepuszczanie ruchu od pożytecznych botów (np. search enginy), blokując ruch od szkodliwych botów.
Moduł ochrony przed DDoS powinien wykrywać ataki per:
Source IP,
Obszar geolokacyjny, URL,
Globalnie – website
Powinna istnieć możliwość przypisania różnych poziomów detekcji ataków (D)DoS dla danych URL-i portalu lub aplikacji. Np. /infoportal/* powinien posiadać luźniejszą politykę detekcji i zapobiegania ataków DDoS niż /sklep/*.
System powinien wykrywać i chronić przed atakami DDoS na tzw. ciężkie serwlety, czyli serwlety wywołujące złożone operacje obliczeniowe np. skomplikowane zapytania do baz danych.
Wykrycie ataku na ciężkie serwlety powinno opierać się przynajmniej o ilość zapytań (TPS) oraz czas odpowiedzi
System powinien umożliwiać zapis przykładowego ruchu do plików zgodnych z formatem TCP dump, w momencie wykrycia ataku (D)DoS.
System powinien umożliwiać definicję maksymalnego czasu próbki ruchu, Maksymalnej pojemności próbki ruchu,
Interwału czasowego pomiędzy pobieraniem próbki ruchu.
Wnosimy, aby Zamawiający dopuścił rozwiązanie umożliwiające zapis przykładowego ruchu do plików (logów) w dowolnym formacie edytowalnym i z informacjami na temat ruchu dostępnymi w warstwie 7 (HTTP/HTTPS).
W tym punkcie Zamawiający wymaga między innymi możliwości zapisu przykładowego ruchu do pliku (w formacie tcpdump) w momencie wykrycia ataku (D)DoS. Zamawiający wymaga również aby ochrona DDoS była jedną z dostępnych funkcjonalności rozwiązania WAF i była ukierunkowana na ataki aplikacyjne (np. zalewanie aplikacji web dużą ilością zapytań http).
Technologia tcpdump pozwala na przechwytywanie, wyświetlanie i zapisywanie do pliku pakietów TCP/IP. Informacje przechwycone za pomocą tcpdump zawierają dane obejmujące warstwy funkcjonalne od L2 do L7. Należy zauważyć, że wykrywanie aplikacyjnych ataków DDoS odbywa się na podstawie analizy w warstwie 7 (np. HTTP/HTTPS). Przykładem takich ataków są np. ataki
„HTTP GET flood” – duża liczba zapytań GET, „HTTP POST flood” – duża liczba połączeń wysyłających dane (np. formularze) do serwera lub ataki typu „Low-and-Slow” – np. XXXX, Slowloris - których wykrycie możliwe jest poprzez analizę logiczną poszczególnych sesji HTTP/HTTPS a nie indywidualnych pakietów warstwy L3-L4. To właśnie informacje z tej warstwy (L7) są wystarczające do uzyskania kompletnej informacji na temat ataku i jego parametrów. Dodatkowa informacja z warstwy L2-L4 jest tutaj nadmiarowa a proces jej pozyskania dodatkowo obciąża procesor systemu. Dlatego też Wnosimy, aby Zamawiający dopuścił rozwiązanie umożliwiające zapis przykładowego ruchu do plików (logów) w dowolnym formacie edytowalnym i z informacjami na temat ruchu dostępnymi w warstwie 7 (HTTP/HTTPS).
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 19:
W punkcie 68. „Gęstość interfejsów” Zamawiający wymaga:
„Minimum 4 porty 40 Gigabit Ethernet na wkładki QSFP+ z możliwością pracy w trybie 4x10 Gigabit Ethernet, oddzielny interfejs zarządzania, port konsolowy, dwa porty USB.
Możliwość rozbudowy do 16 portów 40 Gigabit Ethernet na wkładki QSFP+ dla całości systemu. Należy zapewnić 2 wkładki 40 Gigabit Ethernet QSFP+ SR4 oraz 2 kable QSFP+ rozdzielające interfejs na 4 duplex LC 10 Gigabit o długości 3m„
Wnosimy, aby Zamawiający:
Zmienił zapis z „dwa porty USB” na „jeden port USB” lub z „dwa porty USB” na „dwa porty USB dla systemów modularnych lub jeden port USB dla systemów niemodularnych”.
Wykreślił zapis „Możliwość rozbudowy do 16 portów 40 Gigabit Ethernet na wkładki QSFP+ dla całości systemu” lub wskazał, że wymaganie to dotyczy jedynie systemów modularnych.
Zrezygnował z konieczności dostawy 2 kabli QSFP+ rozdzielających interfejs 40GbE na 4 duplex LC 10 Gigabit w przpadku, kiedy zaoferowane rozwiązanie będzie posiadało minimum 4 porty 40GbE na wkładki QSFP+ (tak jak pierwotnie w specyfikacji) oraz co najmniej 8 portów 10GbE na wkładki SFP+.
(1) Zamawiający wymaga aby system posiadał „dwa porty USB”. Jest to możliwe w systemach modularnych. W systemach niemodularnych, które Zamawiający również akceptuje poprzez zapisy w specyfikacji istnieje z zazwyczaj tylko jeden port USB. Wnosimy dlatego o zmianę ilości wymaganych portów.
(2) Zamawiający wymaga aby system miał możliwość rozbudowy do 16 portów 40GbE. Jest to możliwe jedynie w systemach modularnych. W systemach niemodularnych, które Zamawiający również akceptuje poprzez zapisy w specyfikacji ilość dostępnych interfejsów jest stała. Należy zwrócić uwagę, że wymóg na pojemność systemu (160G) oraz ilość wymaganych interfejsów 40GbE (w sumie 160G) jest odpowiednio zbilansowana i wystarczająca do poprawnej pracy. Wnosimy dlatego o wykreślenie zapisu „Możliwość rozbudowy do 16 portów 40 Gigabit Ethernet na wkładki QSFP+ dla całości systemu” lub wskazanie, że wymaganie to dotyczy jedynie systemów modularnych.
(3) Zamawiający wymaga dostarczenia 2 wkładek 40 Gigabit Ethernet QSFP+ SR4 oraz 2 kable QSFP+ rozdzielające interfejs na 4 duplex LC 10 Gigabit. Wynika z tego, że ilość dostępnych funkcjonalnie interfejsów będzie wynosiła 2 x 40GbE + 8 x 10GbE. Rozszywanie interfejsu 40GbE na 4 odrębne interfejsy 10GbE jest drogim rozwiązaniem i ma jedynie sens w przypadku kiedy system nie jest wyposażony w wystarczającą ilość dedykowanych interfejsów 10GbE. W przypadku systemów posiadających odpowiednią liczbę interfejsów 10GbE wymagane przez Zamawiającego rozwiązanie jest zbędne, nieelastyczne i drogie. Wnosimy dlatego o rezygnację z konieczności dostawy 2 kabli QSFP+ rozdzielających interfejs 40GbE na 4 duplex LC 10 Gigabit w przpadku, kiedy zaoferowane rozwiązanie będzie posiadało minimum 4 porty 40GbE na wkładki QSFP+ (tak jak pierwotnie w specyfikacji) oraz co najmniej 8 portów 10GbE na wkładki SFP+.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 20:
W punkcie 29. „WAF - normalizacja” Zamawiający wymaga:
„WAF musi posiadać mechanizmy normalizacji w celu obrony przed technikami ukrywania ataku. Mechanizmy normalizacji muszą wspierać/wykrywać:
Directory traversal Kodowanie typu %u
Kodowanie typu IIS backslash IIS Unicode codepoints
Bare byte decoding Apache whitespace Bad unescape
Wstrzykiwanie komentarzy (np. <! >)
Mechanizm normalizacji powinien umożliwiać definiowanie maksymalnego zagnieżdżonego kodowania.
Wnosimy, aby Zamawiający zmienił wymaganie „Mechanizm normalizacji powinien umożliwiać definiowanie maksymalnego zagnieżdżonego kodowania” na „Mechanizm normalizacji powinien umożliwiać definiowanie maksymalnego zagnieżdżonego kodowania LUB umożliwić wykrycie zagnieżdżonego kodowania, zaraportowania takiego wykrycia oraz odpowiedniej blokady, z możliwością dostrojenia parametrów w/w mechanizmów”.
W tym punkcie Zamawiający definiuje zestaw funkcji, który musi spełniać moduł ochrony WAF w kontekście normalizacji treści w warstwie aplikacyjnej. Jednym z wymaganych mechanizmów normalizacji jest możliwość definiowania maksymalnego możliwego kodowania. Skuteczną ochronę w kontekście zagnieżdżonego kodowania można uzyskać za pomocą innych mechanizmów niż określonych przez Zamawiającego. Wnosimy dlatego aby Zamawiający zmienił wymaganie „Mechanizm normalizacji powinien umożliwiać definiowanie maksymalnego zagnieżdżonego kodowania” na „Mechanizm normalizacji powinien umożliwiać definiowanie maksymalnego zagnieżdżonego kodowania LUB umożliwić wykrycie zagnieżdżonego kodowania, zaraportowania takiego wykrycia oraz odpowiedniej blokady, z możliwością dostrojenia parametrów w/w mechanizmów”.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie 21:
W punkcie 66. „Sprzętowa ochrona DDoS” Zamawiający wymaga:
„Nie mniej niż 15 000 000 SYN cookies na sekundę”
Wnosimy, aby Zamawiający usunął w całości wymóg dotyczący sprzętowej ochrony DDoS
W tym punkcie Zamawiający wymaga sprzętowego wsparcia dla ochrony DDoS w postaci obsługi minimum 15 milionów SYN Cookies na sekundę. Metoda ochrony SYN Cookies jest jedną z najbardziej podstawowych metod protekcji przed atakami zalewowymi na infrastrukturę (SYN Flood). Rdzeń ataku bazuje na słabości protokołu TCP i procesie nawiązywania sesji połączeniowej. Mechanizmy ochrony przed takim zagrożeniem są stosowane w większości dostępnych firewall’i (czyli właściwych urządzeń do zapewniania ochrony) i router’ów. Najlepsze praktyki rynkowe nakazują blokowanie ataków zalewowych najbliżej źródła ataku w infrastrukturze sieciowej, np. na firewall'u/routerze brzegowym lub profesjonalnym, dedykowanym urządzeniu chroniącym przed atakami DDoS. Ochrona przed atakami DDoS realizowana na równoważnikach obciążenia (które same w sobie są podatne na tego typu ataki) jest niebezpieczna i niespotykana
w profesjonalnych sieciach ponieważ jest realizowana przez urządzenie, które nie jest przystosowane do zapewnienia profesjonalnej ochrony. Wnosimy dlatego aby Zamawiający usunął w całości wymóg dotyczący sprzętowej ochrony DDoS.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 22:
§ 3 ust. 7 – Czy Zamawiający zgadza się na wprowadzenie modyfikacji tego ustępu zdanie pierwsze w sposób następujący: ,, W przypadku zgłoszenia zastrzeżeń Wykonawca uwzględni zgodnie z niniejszą Umową wszystkie zasadnie zgłoszone przez Zamawiającego zastrzeżenia w terminie 2 Dni Roboczych i przedstawi przedmiot Umowy do ponownego odbioru.’’? Jednocześnie zwracamy uwagę, że pierwotne brzmienie tego ustępu można interpretować w ten sposób, że Wykonawca jest zobowiązany do uwzględnienia wszelkich zastrzeżeń Zamawiającego, tj. nawet takich które wykraczają poza przedmiot Umowy. Jest to o tyle istotne, że nieuwzględnienie tych zastrzeżeń w terminie może skutkować odstąpieniem od umowy przez Zamawiającego. Tym samym Wykonawca chce mieć pewność, że zastrzeżenia będą dokonywane w granicach obowiązującej Umowy.
Odpowiedź:
Zamawiający nie dokonuje zmiany.
Pytanie nr 23:
§ 6 ust. 2 – Czy Zamawiający zgadza się na zastąpienie słowa ,,opóźnienie’’ sformułowaniem
,,zwłoka’’? W ocenie Wykonawcy, Wykonawca powinien odpowiadać za takie okoliczności, na które ma realny wpływ.
Odpowiedź:
Zamawiający nie dokonuje zmiany.
Pytanie nr 24:
§ 6 ust. 2 pkt 1) i 3) – Czy Zamawiający zgadza się na zmniejszenie kary umownej do 1 % wartości całkowitego wynagrodzenia brutto, o którym mowa w § 4 ust. 1 Umowy?
Odpowiedź:
Zamawiający zgadza się na zmniejszenie kary umownej do 1 % wartości całkowitego wynagrodzenia brutto w § 6 ust. 2 pkt 1), o którym mowa w § 4 ust. 1 Umowy.
Pytanie nr 25:
§ 6 ust. 3 – Czy Zamawiający zgadza się na wykreślenie tego ustępu? Wskazujemy, że ustęp ten w sposób znaczący rozszerza odpowiedzialność Wykonawcy, a co za tym idzie – powoduje, że Wykonawca będzie musiał zaoferować wyższą cenę. Wykonawca powinien odpowiadać za takie okoliczności, na które ma realny wpływ.
Odpowiedź:
Zamawiający nie dokonuje zmiany.
Pytanie nr 26:
§ 6 ust. 5- Czy Zamawiający zgadza się na wprowadzenie limitu odpowiedzialności za zasadach ogólnych do 100 % wartości całkowitego wynagrodzenia brutto, o którym mowa w § 4 ust. 1 Umowy? Jak również, czy Zamawiający zgadza się wprowadzenie limitu kar umownych do 20 % wartości całkowitego wynagrodzenia brutto, o którym mowa w § 4 ust. 1 Umowy?
Odpowiedź:
Zamawiający dokonuje zmiany w §6 dodając ust. 7 o następującym brzmieniu:
„7. Łączna wysokość kar umownych nie może przekroczyć 100 % wynagrodzenia, o którym mowa w § 4 ust. 1 Umowy.”.
Pytanie nr 27:
§ 6 – Czy Zamawiający zgadza się na dodanie nowego ustępu – tj. ,,Xxxxxx wyłączają odpowiedzialność z tytułu utraconych korzyści’’?
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 2 do SIWZ – Wzór umowy w powyższym zakresie.
Pytanie nr 28:
§ 9 ust. 1 pkt 3) – Czy Zamawiający zgadza się na wprowadzenie minimalnego terminu, w czasie którym Wykonawca będzie musiał usunąć naruszenia, np. co najmniej 10 dni roboczych?
Odpowiedź:
Zamawiający nie dokonuje zmiany.
Pytanie nr 29:
§ 9 – Czy Zamawiający potwierdza, że w przypadku odstąpienia przez niego od Umowy – skutek odstąpienia występuje na przyszłość?
Odpowiedź:
Zamawiający nie potwierdza powyższego.
Pytanie nr 30:
W Załączniku nr 3 do SIWZ będący wzorem Formularza ofertowego, Zamawiający w ust. 3 wymaga podania dla oferowanych urządzeń numerów seryjnych (kolumna n3 tabeli). Prosimy
o wyjaśnienie czy oferta Wykonawcy będzie ważna i nie zostanie odrzucona w przypadku gdy kolumna ta nie zostanie wypełniona gdyż tego typu dane są możliwe do uzyskania dopiero podczas dostawy urządzeń?
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 3 do SIWZ w ust. 3 w kolumnie nr 3 tabeli.
Pytanie nr 31:
§ 3 ust. 7 – Czy Zamawiający zgadza się na wprowadzenie modyfikacji tego ustępu zdanie pierwsze w sposób następujący: „W przypadku zgłoszenia zastrzeżeń Wykonawca uwzględni
zgodnie z niniejszą Umową wszystkie zasadnie zgłoszone przez Zamawiającego zastrzeżenia w terminie 2 Dni Roboczych i przedstawi przedmiot Umowy do ponownego odbioru.’’?
Jednocześnie zwracamy uwagę, że pierwotne brzmienie tego ustępu można interpretować w ten sposób, że Wykonawca jest zobowiązany do uwzględnienia wszelkich zastrzeżeń Zamawiającego, tj. nawet takich które wykraczają poza przedmiot Umowy. Jest to o tyle istotne, że nieuwzględnienie tych zastrzeżeń w terminie może skutkować odstąpieniem od umowy przez Zamawiającego. Tym samym Wykonawca chce mieć pewność, że zastrzeżenia będą dokonywane w granicach obowiązującej Umowy.
Odpowiedź:
Zamawiający nie zgadza się na powyższą modyfikację. Jednocześnie Zamawiający dokonuje zmiany w §3 dodając ust. 9 o następującym brzmieniu:
„9. W przypadku, gdyby Xxxxxxxxxxx nie dochował któregokolwiek z terminów określonych w ust. 2, 6 i 7, termin wykonania przedmiotu Umowy, o którym mowa w § 1 ust. 3 ulegnie przedłużeniu o czas równy długości opóźnienia Zamawiającego.
Pytanie nr 32:
§ 6 ust. 2 – Czy Zamawiający zgadza się na zastąpienie słowa ,,opóźnienie’’ sformułowaniem
,,zwłoka’’? W ocenie Wykonawcy, Wykonawca powinien odpowiadać za takie okoliczności, na które ma realny wpływ.
Odpowiedź:
Zamawiający nie dokonuje zmiany.
Pytanie nr 33:
§ 6 ust. 2 pkt 1) i 3) – Czy Zamawiający zgadza się na zmniejszenie kary umownej do 1 % wartości całkowitego wynagrodzenia brutto, o którym mowa w § 4 ust. 1 Umowy?
Odpowiedź:
Patrz odpowiedź na pytanie nr 24
Pytanie nr 34:
§ 6 ust. 3 – Czy Zamawiający zgadza się na wykreślenie tego ustępu? Wskazujemy, że ustęp ten w sposób znaczący rozszerza odpowiedzialność Wykonawcy, a co za tym idzie – powoduje, że Wykonawca będzie musiał zaoferować wyższą cenę. Wykonawca powinien odpowiadać za takie okoliczności, na które ma realny wpływ.
Odpowiedź:
Zamawiający nie dokonuje zmiany.
Pytanie nr 35:
§ 6 ust. 5 – Czy Zamawiający zgadza się na wprowadzenie limitu odpowiedzialności za zasadach ogólnych do 100 % wartości całkowitego wynagrodzenia brutto, o którym mowa w § 4 ust. 1 Umowy? Jak również, czy Zamawiający zgadza się wprowadzenie limitu kar umownych do 20 % wartości całkowitego wynagrodzenia brutto, o którym mowa w § 4 ust. 1 Umowy?
Odpowiedź:
Zamawiający nie zgadza się na wprowadzenie limitu odpowiedzialności za zasadach ogólnych do 100 %.
Pytanie nr 36:
§ 6 – Czy Zamawiający zgadza się na dodanie nowego ustępu – tj. ,,Xxxxxx wyłączają odpowiedzialność z tytułu utraconych korzyści’’?
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 2 do SIWZ – Wzór umowy w powyższym zakresie.
Pytanie nr 37:
§ 9 ust. 1 pkt 3) – Czy Zamawiający zgadza się na wprowadzenie minimalnego terminu, w czasie którym Wykonawca będzie musiał usunąć naruszenia, np. co najmniej 10 dni roboczych?
Odpowiedź:
Zamawiający nie dokonuje zmiany.
Pytanie nr 38:
§ 9 – Czy Zamawiający potwierdza, że w przypadku odstąpienia przez niego od Umowy – skutek odstąpienia występuje na przyszłość?
Odpowiedź:
Zamawiający nie potwierdza powyższego.
Pytanie nr 39:
W Załączniku nr 1 do SIWZ będącym opisem przedmiotu zamówienia, Zamawiający w ust. 1
„Rozbudowa centralnych zapór ogniowych” w wierszu nr 8 wymaga cyt. "System realizujący funkcję Firewall musi być wyposażony w lokalne dyski o pojemności minimum 480 GB pracujące w RAID 1 na potrzeby lokalnego, długoterminowego przechowywania logów". Większość producentów urządzeń firewall dywersyfikuje długoterminowe przechowywanie logów pomiędzy zasadniczym urządzeniem firewall (dedykowanym jak element zbierający logi) a dodatkowym modułem analitycznym/zarządzającym. Konstrukcja taka z jednej strony pozwala na zapewnienie mechanizmów ochrony danych w logach na dwóch niezależnych urządzeniach a z drugiej strony pozwala na odciążenie zasadniczego urządzenia od procesów analitycznych/zarządczych przenosząc te zadania/funkcjonalności na urządzenia zewnętrzne. W efekcie końcowym urządzenie realizujące funkcję firewall’a może być wyposażone, bez utraty jakiejkolwiek efektywności czy też funkcjonalności, w lokalny pojedynczy dysk. Centralny system zbierania logów realizuje redundancje dysków w sposób bardziej zaawansowany wykorzystując macierze dyskowe (w przypadku maszyn wirtualnych) lub mechanizmy RAID (w przypadku urządzeń fizycznych).
W związku z powyższym zwracamy się do Zamawiającego z pytaniem czy dopuści aby dane do długoterminowego przechowywania logów były zabezpieczone w dwóch dedykowanych urządzeniach: pierwszym dedykowanym do ochrony i logowania zdarzeń (typowy firewall z jednym dyskiem) oraz drugim analitycznym / zarządczym (wyposażonym w redundantne dyski)?
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 40:
W Załączniku nr 1 do SIWZ będącym opisem przedmiotu zamówienia, Zamawiający w ust. 3
„Rozbudowa systemu centralnego zarządzania urządzeniami bezpieczeństwa” wymaga cyt. "…dostarczenia fizycznej lub wirtualnej platformy zarządzającej pozwalającej na centralne zarządzanie, logowanie i raportowanie zdarzeń z podłączonych do niej firewalli". W związku z powyższym prosimy o informację czy intencją Zamawiającego jest aby to Wykonawca dostarczył przedmiotową platformę wirtualną czy też zabezpieczy to Zamawiający? Jeżeli platforma wirtualizacja zostanie zabezpieczona przez Zamawiającego to prosimy o podanie jej nazwy.
Odpowiedź:
Zamawiający potwierdza, że platforma wirtualizacyjna (VMware vSphere) zostanie udostępniona przez Zamawiającego.
Pytanie nr 41:
W Załącznik nr 1 do SIWZ - Opis przedmiotu zamówienia pkt 4 wiersz 64. Zamawiający określił wymagania dotyczące „przepływności ruchu szyfrowanego”, wskazując, że w przypadku urządzeń modularnych przepływność musi być nie mniejsza niż 32Gbps z możliwością rozbudowy do 128 Gbps, natomiast dla urządzeń niemodularnych nie wskazano minimalnej przepływności i określono możliwość rozbudowy tylko do 48 Gbps.
1) W związku z powyższym prosimy o potwierdzenie, że dla urządzenia niemodularnego wartość minimalna jest taka sama jak dla urządzenia modularnego, tj. 32 Gbps?
2) Ponadto czy intencją Zamawiającego jest zrównanie wymagania co do możliwości rozbudowy, przyjmując taką samą wartość „128 Gbps” dla systemu modularnego jak i niemodularnego? Obecnie wymaganie narusza zasady konkurencji, gdyż stawia w pozycji uprzywilejowanej producentów urządzeń niemodularnych. Z punktu widzenia technicznego urządzenia modularne i niemodularne mogą być tak samo wydajne i funkcjonalne. Nie ma żadnego uzasadnienia technicznego czy też funkcjonalnego dla przyjmowania tak skrajnie różnych wartości i uprzywilejowania w ten sposób systemów niemodularnych. Tym samym zastosowanie przez Zamawiającego rozróżnienie i zupełnie nieproporcjonalne ustanowienie wymagań dla rozwiązań niemodularnych powoduje, że Zamawiający ustanowił wymóg, nie pozwalający na zachowanie uczciwej konkurencji i równe traktowanie wykonawców, a konieczność przygotowania postępowania w ten sposób wynika wprost z art. 7 ust. 1 i art. 29 ust. 2 ustawy Prawo zamówień publicznych. Powoduje to także, że przy zachowaniu takich postanowień specyfikacji oferty będą de facto nieporównywalne z uwagi na znacznie mniejsze wymagania kierowane wobec urządzeń niemodularnych.
Odpowiedź:
Zamawiający potwierdza, że dla urządzenia niemodularnego wartość minimalna jest taka sama jak dla urządzenia modularnego, tj. 32 Gbps.
Zamawiający nie dokonuje zmian w SIWZ dot. rozbudowy urządzeń w zakresie
„przepływności ruchu szyfrowanego”.
Pytanie nr 42:
W Załącznik nr 1 do SIWZ - Opis przedmiotu zamówienia pkt 4 wiersz 59. Zamawiający określił wymagania dotyczące „przepływności dla warstwy 4”, wskazując, że w przypadku urządzeń modularnych musi istnieć możliwość rozbudowy do 320 Gbps, natomiast dla urządzeń niemodularnych określono możliwość rozbudowy tylko do 160 Gbps.
Czy Zamawiający zrówna wymagania co do możliwości rozbudowy, przyjmując taką samą wartość
„320 Gbps” dla systemu modularnego jak i niemodularnego?
Obecnie wymaganie narusza zasady konkurencji, gdyż stawia w pozycji uprzywilejowanej producentów urządzeń niemodularnych. Z punktu widzenia technicznego urządzenia modularne i niemodularne mogą być tak samo wydajne i funkcjonalne. Nie ma żadnego uzasadnienia technicznego czy też funkcjonalnego dla przyjmowania tak skrajnie różnych wartości i uprzywilejowania w ten sposób systemów niemodularnych. Tym samym zastosowanie przez Zamawiającego rozróżnienie i zupełnie nieproporcjonalne ustanowienie wymagań dla rozwiązań niemodularnych powoduje, że Zamawiający ustanowił wymóg, nie pozwalający na zachowanie uczciwej konkurencji i równe traktowanie wykonawców, a konieczność przygotowania postępowania w ten sposób wynika wprost z art. 7 ust. 1 i art. 29 ust. 2 ustawy Prawo zamówień publicznych. Powoduje to także, że przy zachowaniu takich postanowień specyfikacji oferty będą de facto nieporównywalne z uwagi na znacznie mniejsze wymagania kierowane wobec urządzeń niemodularnych
Odpowiedź:
Zamawiający nie dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ.
Pytanie nr 43:
Załącznik nr 1 do SIWZ - Opis przedmiotu zamówienia pkt 4 wiersz 60. Zamawiający określił wymagania dotyczące „przepływności dla warstwy 7”, wskazując, że w przypadku urządzeń modularnych musi istnieć możliwość rozbudowy do 320 Gbps, natomiast dla urządzeń niemodularnych określono możliwość rozbudowy tylko do 120 Gbps.
Czy Zamawiający zrówna wymagania co do możliwości rozbudowy, przyjmując taką samą wartość
„320 Gbps” dla systemu modularnego jak i niemodularnego?
Obecnie wymaganie narusza zasady konkurencji, gdyż stawia w pozycji uprzywilejowanej producentów urządzeń niemodularnych. Z punktu widzenia technicznego urządzenia modularne i niemodularne mogą być tak samo wydajne i funkcjonalne. Nie ma żadnego uzasadnienia technicznego czy też funkcjonalnego dla przyjmowania tak skrajnie różnych wartości i uprzywilejowania w ten sposób systemów niemodularnych. Tym samym zastosowanie przez Zamawiającego rozróżnienie i zupełnie nieproporcjonalne ustanowienie wymagań dla rozwiązań niemodularnych powoduje, że Zamawiający ustanowił wymóg, nie pozwalający na zachowanie uczciwej konkurencji i równe traktowanie wykonawców, a konieczność przygotowania postępowania w ten sposób wynika wprost z art. 7 ust. 1 i art. 29 ust. 2 ustawy Prawo zamówień publicznych. Powoduje to także, że przy zachowaniu takich postanowień specyfikacji oferty będą de facto nieporównywalne z uwagi na znacznie mniejsze wymagania kierowane wobec urządzeń niemodularnych.
Odpowiedź:
Zamawiający nie dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ.
Pytanie nr 44:
W Załącznik nr 1 do SIWZ - Opis przedmiotu zamówienia pkt 4 wiersz 62. Zamawiający określił wymagania dotyczące „ilości transakcji SSL na sekundę dla klucza o długości 2048”, wskazując, że w przypadku urządzeń modularnych wartość ta nie może być nie mniejsza niż 40.000 z możliwością rozbudowy do 160.000 dla całego systemu, natomiast dla urządzeń niemodularnych nie wskazano minimalnej wartości i określono możliwość rozbudowy tylko do 50.000.
Tym samym w pierwszej kolejności czy Zamawiający potwierdza, że dla urządzenia niemodularnego wartość minimalna jest taka sama jak dla urządzenia modularnego, 40.000?
Po drugie czy Zamawiający zrówna wymagania co do możliwości rozbudowy, przyjmując taką samą wartość „160.000” dla systemu modularnego jak i niemodularnego?
Obecnie wymaganie narusza zasady konkurencji, gdyż stawia w pozycji uprzywilejowanej producentów urządzeń niemodularnych. Z punktu widzenia technicznego urządzenia modularne i niemodularne mogą być tak samo wydajne i funkcjonalne. Nie ma żadnego uzasadnienia technicznego czy też funkcjonalnego dla przyjmowania tak skrajnie różnych wartości i uprzywilejowania w ten sposób systemów niemodularnych. Tym samym zastosowanie przez Zamawiającego rozróżnienie i zupełnie nieproporcjonalne ustanowienie wymagań dla rozwiązań niemodularnych powoduje, że Zamawiający ustanowił wymóg, nie pozwalający na zachowanie uczciwej konkurencji i równe traktowanie wykonawców, a konieczność przygotowania postępowania w ten sposób wynika wprost z art. 7 ust. 1 i art. 29 ust. 2 ustawy Prawo zamówień publicznych. Powoduje to także, że przy zachowaniu takich postanowień specyfikacji oferty będą de facto nieporównywalne z uwagi na znacznie mniejsze wymagania kierowane wobec urządzeń niemodularnych.
Odpowiedź:
Zamawiający potwierdza, że dla urządzenia niemodularnego wartość minimalna jest taka sama jak dla urządzenia modularnego, tj. 40.000.
Zamawiający nie dokonuje zmian w SIWZ dot. rozbudowy urządzeń w zakresie „Ilości transakcji SSL na sekundę dla klucza o długości 2048”.
Pytanie nr 45:
W Załącznik nr 1 do SIWZ - Opis przedmiotu zamówienia pkt 4 wiersz 44. Czy Oferent poprawnie rozumie, że przekreślenie wymogu uwierzytelnienia użytkowników w zewnętrznym serwerze LDAP, jest omyłką pisarską? Rozumowanie takie wynika z dużej popularność takiej formy uwierzytelnienie administratorów do systemu jak i z tego, że jest również wymagane w pkt 1.24 oraz 2.24?
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 46:
W Załącznik nr 1 do SIWZ - Opis przedmiotu zamówienia pkt 4 wiersz 66. Zamawiający wymaga wydajności urządzenia przy ochronie DDOS na poziomie 15 000 000 SYN cookies na sekundę. Rozpatrując pozostałe wymagania wydajnościowe wymaganych urządzeń ta liczba jest nieproporcjonalnie mała. Większość rozwiązań obecnych na rynku posiada znacznie wyższe wartości, czy ta liczba nie powinna być 3 lub nawet 4 krotnie wyższa, np. na poziomie 50 czy też nawet 60 milionów SYN cookies na sekundę? Przy wymaganiu 48 000 000 połączeń na sekundę
(Pkt4 wiersz 61) wymaganie 15 000 000 SYN cookies może okazać się wąskim gardłem i uniemożliwić wykorzystanie mechanizmu ochrony przed atakami DDOS. Ilość SYN cookie powinna być przynajmniej taka sama jak ilość połączeń na sekundę lub wyższa czyli w tym przypadku przynajmniej 48 000 000.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 47:
W Załącznik nr 1 do SIWZ - Opis przedmiotu zamówienia pkt 1 wiersz 7. Zamawiający wymaga dostarczenia urządzenia posiadającego 16 portów SFP+ 10 Gbps. Porty te bez instalacji odpowiedniego modułu optycznego nie są możliwe do wykorzystania. Czy w związku z tym Zamawiający wymaga dostarczenia urządzenia posiadającego 16 portów SFP+ 10 Gbps z obsadzonymi modułami optycznych 10GB SFP+ SR?
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 48:
W Załącznik nr 1 do SIWZ - Opis przedmiotu zamówienia pkt 1 wiersz 8. Zamawiający wymaga dostarczenia urządzenia posiadającego dysk lokalny 480GB w RAID1. Zamawiający również wymaga dostarczenia oprogramowania do centralnego zbierani logów z zapór ogniowych (3. Rozbudowa systemu centralnego zarządzania urządzeniami bezpieczeństwa). W związku z tym, że wszystkie logi będą zbierane centralnie, czy Zamawiający jest w stanie zrezygnować z wymagania redundancji dysków lokalnych poprzez rezygnację z funkcji RAID1? Zakładając centralne zbieranie logów prawdopodobieństwo korzystania z lokalnej bazy jest bardzo małe.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 49:
W Załącznik nr 1 do SIWZ - Opis przedmiotu zamówienia pkt 2 wiersz 7. Zamawiający wymaga dostarczenia urządzenia posiadającego 2 porty SFP+ 10 Gbps oraz 8 portów SFP 1 Gbps. Porty te bez instalacji odpowiedniego modułu optycznego nie są możliwe do wykorzystania. Czy w związku z tym Zamawiający wymaga dostarczenia urządzenia posiadającego 2 porty SFP+ 10 Gbps z obsadzonymi modułami optycznych 10GB SFP+ SR oraz 8 portów SFP z obsadzonymi modułami optycznymi 1GB SFP SX? Czy Zamawiający wymaga, żeby dostarczone interfejsy pochodziły z oficjalnego kanału sprzedaży producenta zapór ogniowych?
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 50:
W Załącznik nr 1 do SIWZ - Opis przedmiotu zamówienia pkt 3. Czy Zamawiający wymaga dostarczenia redundantnego rozwiązania składającego się z dwóch urządzeń/maszyn wirtualnych w celu zwiększenia niezawodności?
W Załącznik nr 1 do SIWZ - Opis przedmiotu zamówienia pkt 3. Zamawiający wymaga dostarczenia rozwiązania do zarządzania i zbierania logów jako jedna maszyna wirtualna lub
fizyczna. Z punktu widzenia wydajności systemów wskazane jest, żeby funkcje zbierania logów i zarządzania były realizowane przez osobne maszyny wirtualne lub fizyczne. Takie podejście przyjmuje większość czołowych producentów zapór ogniowych. Czy w Związku z tym Zamawiający doda wymaganie dostarczenia rozwiązań do zbierania logów i zarządzania jako oddzielne maszyny fizyczne lub wirtualne?
Odpowiedź:
Zamawiający nie dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ.
Pytanie nr 51:
W punkcie 20 Zamawiający wymaga x.xx. skanowania archiwów w tym ZIP i RAR.
Ze względu na fakt, iż najwięksi producenci wspierają głównie ZIP (np. Checkpoint wspiera ZIP, TAR, GZ; Palo Alto Networks wspiera ZIP) wymaganie dekompresji RAR oznacza zgodnie z najlepszą wiedzą oferenta, iż spośród czołowych dostawców tylko Fortinet może spełnić to wymaganie.
Tym samym ogranicza to możliwość zaproponowania rozwiązań alternatywnych najbardziej znaczących dostawców urządzeń Firewall, które mogą być atrakcyjniejsze cenowo i bardziej zaawansowane technicznie. Czy w związku z tym Zamawiający dopuści zastosowanie rozwiązania, które zapewni skanowanie tylko archiwów ZIP?
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 52:
W punkcie 23 Zamawiający wymaga x.xx. następujących funkcji
System musi umożliwiać zdefiniowanie czasu, który użytkownicy sieci mogą spędzać na stronach o określonej kategorii. Musi istnieć również możliwość określenia maksymalnej ilości danych, które użytkownik może pobrać ze stron o określonej kategorii. Administrator musi mieć możliwość definiowania komunikatów zwracanych użytkownikowi dla różnych akcji podejmowanych przez moduł filtrowania
Wymaganie takie są właściwe dla rozwiązań Web Proxy i wg. najlepszej wiedzy oferenta większość wiodących producentów nie oferuje takiej funkcji w urządzeniach Firewall np. Cisco, Palo Alto Networks, Checkpoint. Wymaga ona zastosowania dedykowanych bram webowych, które oczywiście są dostępne na rynku. Biorąc pod uwagę, iż powyższe wymaganie (w powiązaniu z innymi) jest spełnione tylko przez rozwiązania Fortinet stanowi to ograniczenie konkurencji i uniemożliwia zaoferowanie rozwiązań czołowych dostawców, które mogą być atrakcyjniejsze cenowo i bardziej zaawansowane technicznie jako całościowe rozwiązania.
Stąd też wnosimy o usunięcie tego wymagania jako potencjalnie wskazującego konkretnego producenta i ograniczającego konkurencję.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 53:
W p.3. Zamawiający określił wymagania dla systemu zarządzania.
Wymagania te nie obejmują w żaden sposób parametrów wydajnościowych, liczby zarządzanych urządzeń, wielkości repozytorium. Biorąc pod uwagę powyższe, uprzejmie prosimy o
doprecyzowanie oczekiwań Zamawiającego w tym zakresie. Działając w dobrej wierze chcemy uniknąć sytuacji, w której proponowane systemy będą bardzo rozbieżne cenowo i techniczne – w skrajnej sytuacji zaoferowany system będzie niedopasowany do parametrów ruchowych Zamawiającego a tym samym może okazać się bezużyteczny – np. spełniając wymagania, ale pozwalając na przechowywanie logów tylko przez kilka dni.
Analizując wymagania wydajnościowe firewalli – podane przez Xxxxxxxxxxxxx – szacujemy, iż:
· Rozwiązania musi zapewnić obsługę minimum 8 firewalli
· Logi z urządzeń FW będą wymagały przestrzeni dyskowej na poziomie minimum 15TB netto (realnie bliżej 20TB netto)
Prosimy o doprecyzowanie wymagań pozwalających na zaproponowanie systemu zarządzania o właściwej wydajności.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 54:
W p.3. Zamawiający określił wymagania dla systemu zarządzania.
Zamawiający dopuszcza w tym wymaganiu dostarczenia systemu zarządzania w postaci fizycznej lub wirtualnej. Czy oznacza to, iż w przypadku dostarczenia instancji wirtualnej Zamawiający zapewni zasoby (CPU, pamięć, storage, systemy operacyjne, hypervisor itp.) na potrzeby uruchomienia takiego środowiska? Prosimy również o podanie minimalnych wymaganych funkcji raportujących pozwoli to oszacować przez Oferenta wymagań sprzętowych dla realizacji systemu zarządzania, najlepszym jednak rozwiązaniem jest jasne określenie tych wymagań przez Zamawiającego.
Odpowiedź:
Zamawiający potwierdza, że Platforma wirtualizacyjna (VMware vSphere) zostanie udostępniona przez Zamawiającego.
Pytanie nr 55:
Czy Zamawiający przewiduje pracę urządzeń FW w klastrach niezawodnościowych czy jako pojedyncze urządzenia?
Odpowiedź:
Zamawiający przewiduje pracę urządzeń w klastrach niezawodnościowych.
Pytanie nr 56:
Czy Zamawiający dopuszcza stosowanie rozwiązań, dla których producent ogłosił wycofanie ich z produkcji w najbliższym czasie lub takich, które nie są sprawdzone w praktyce rynkowej czyli są obecne na rynku krócej niż 3 miesiące?
Odpowiedź:
Zamawiający nie dokonuje zmiany.
Pytanie nr 57:
W p. 27 Zamawiający wymaga certyfikacji urządzeń.
Wymagania te nie są tożsame dla poszczególnych funkcji, co może wskazywać na dopuszczenie konkretnych modeli urządzeń. Jednakże chcemy nadmienić, iż testy typu EAL4, Common Criteria,
FIPS itp. są testami długotrwałymi i dotyczą konkretnych platform sprzętowych ze wskazaną wersją oprogramowania – jest to jednoznacznie wskazywane w raportach, że certyfikowane są
„następujące modele urządzeń z wersją oprogramowania X.Y”. Oznacza to w szczególności, że urządzenia, które mogłyby być zaproponowane Zamawiającemu z natury rzeczy będą urządzeniami sprzed co najmniej 2-3 lat podobnie jak wersja oprogramowania systemowego. Wprowadza to znaczące ograniczenia w możliwości zaoferowania nowych rozwiązań jak też oprogramowania z nowymi funkcjami. W obecnej postaci tego wymagania nie ma możliwości zaoferowania nowych, atrakcyjniejszych cenowo platform hardware’owych, zaś zaproponowanie nowszego oprogramowania – bogatszego w funkcje – spowoduje niezgodność z wymaganiami certyfikacyjnymi. Domniemamy też, że docelowo Zamawiający jest zainteresowany korzystaniem z najnowszych osiągnięć technicznych realizowanych w nowszych niż certyfikowane wersjach oprogramowania systemowego.
Stąd też wnosimy o wykreślenie tego wymagania z opisu przedmiotu zamówienia lub wprowadzenie jednolitego wymogu związanego z testami przeprowadzonymi przez NSS Labs. Testy te wskazują skuteczność rozwiązań poszczególnych producentów (nowe platformy i nowe wersje oprogramowania) – zaś wyznacznikiem jakości rozwiązania jest uzyskanie opinii
„Recommended”.
W takiej sytuacji dotyczyłoby to producenta rozwiązania, a nie poszczególnych modeli – wynika to z faktu, że do testów każdy producent przekłada jedną platformę, a tym samym niemożliwe jest uzyskanie takiego statusu dla większej liczby platform.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 58:
W p. 28 Zamawiający wymaga konkretnej listy subskrypcji dla urządzeń. Jednocześnie w opisie pojawiają się wymagania na funkcje, które przez część producentów podlegają licencjonowaniu. Powoduje to rozdźwięk, gdyż x.xx. nie jest jasne czy powinny zostać uwzględnione licencje np. na sandboxing, zaawansowane funkcje VPN czy inne. Prosimy o jednoznaczne wskazanie, które funkcje urządzenie musi posiadać w momencie dostawy, a które mogą być uruchomione w przyszłości, ale nie są wymagane w momencie dostawy.
Odpowiedź:
W Pkt. 28 zostały określone funkcjonalności na które wymagane są licencje: Kontrola Aplikacji, IPS, Antywirus, Web Filtering. Zamawiający dodaje licencje na zaawansowane funkcje VPN. Licencje na Sandboxing nie są wymagane.
Pytanie nr 59:
W p16. Zamawiający określa wymagania dotyczące VPN. Czy Zamawiający dopuszcza realizację dostępu do chronionych zasobów poprzez zabezpieczenie ich portalem uwierzytelniająco-autoryzacyjnym wymagającym wprowadzenia odpowiednich poświadczeń?
Odpowiedź:
Zamawiający dopuszcza realizację dostępu do chronionych zasobów poprzez zabezpieczenie ich portalem uwierzytelniająco-autoryzacyjnym wymagającym wprowadzenia odpowiednich poświadczeń.
Pytanie nr 60:
W p.23 Zamawiający wymaga dostępności kategorii „spam” w ramach funkcjonalności modułu kontroli WWW. Wymaganie to wśród czołowych dostawców spełnione jest tylko przez systemy produkcji Fortinet zdefiniowane jako strony WWW, których adresy URL często pojawiają się w wiadomościach typu SPAM (sex ogłoszenia, środki typu Viagra). Czy zamawiający dopuści rozwiązanie nieposiadające takiej kategorii ale wykorzystujące natywne kategorie, na podstawie których można blokować wyżej wymienioną kategorię?
Odpowiedź:
Zamawiający dopuści rozwiązanie wykorzystujące natywne kategorie, na podstawie których można blokować wyżej wymienioną kategorię.
Pytanie nr 61:
Prosimy o wyjaśnienie dotyczące wymagań wydajnościowych dla poszczególnych platform firewall
W p.10 dla centralnych zapór ogniowych Zamawiający określa jedno z wymagań jako:
• Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control- minimum 20 Gbps.
Jednocześnie w p. 10 dla pomocniczych zapór ogniowych Zamawiający określa wymaganie już nieco inaczej:
• Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control, Antywirus - minimum 4.5 Gbps.
Biorąc pod uwagę, że wszyscy wiodący producenci wskazują wydajność skanowania dla tzw. Threat Protection (uwzględniającego IPS, kontrolę aplikacji i Antywirus) prosimy o wyjaśnienie tej kwestii. W naszej ocenie jest to oczywista omyłka pisarska – na co wskazuje też fakt, iż Zamawiający dla centralnych i pomocniczych firewalli wymaga subskrypcji dla funkcji Antywirus i tym samym oczywistym wydaje się, iż wskazane przepustowości powinny uwzględniać wymagane i docelowo zakupione przez Zamawiającego subskrypcje. Tym samym prawdopodobnie wymaganie w p.10 dla centralnych zapór ogniowych w pierwotnym zamyśle miało brzmieć:
• Wydajność skanowania ruchu typu Enterprise Mix z włączonymi funkcjami: IPS, Application Control, Antywirus - minimum 20 Gbps.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 62:
Dotyczy rozbudowy pomocniczych zapór ogniowych p.7.
Czy Zamawiający dopuści rozwiązanie, które posiada 12 portów Gigabit Ethernet RJ-45, 8 portów 1G/10G SFP/SFP+ i 4 porty 40GE QSFP i jednocześnie spełnia pozostałe wymagania postawione przez Zamawiającego?
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 63:
Dotyczy OPZ punktu 1. Rozbudowa centralnych zapór ogniowych, wymaganie 8.
W związku z wymaganiem przez Zamawiającego oddzielnego systemu do logowania i raportowania przez co bezpieczeństwo oraz długoterminowe przechowywanie logów będzie zapewnione już na poziomie systemu do logowania i raportowania, czy Zamawiający zgodzi się na urządzenie posiadające dysk o pojemności 480Gb bez możliwości pracy w RAID 1 – pozwoli to na zwiększenie poziomu konkurencyjności w przetargu bez wpływu na bezpieczeństwo rozwiązania, ponieważ w tym momencie oba wymagania się tak naprawę niepotrzebnie duplikują.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 64:
Dotyczy OPZ punktu 1. Rozbudowa centralnych zapór ogniowych, wymaganie 26.
Proszę o określenie przybliżonej ilości logów jakie Zamawiający oczekuje przesyłać do dedykowanego systemu logowania i raportowania. Taka informacja pozwoli na zaoferowanie systemu logowania i raportowania o odpowiedniej wydajności.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 65:
Dotyczy OPZ punktu 1. Rozbudowa centralnych zapór ogniowych, wymaganie 7.
Czy Zamawiający wymaga by porty SFP+ były wyposażone we wkładki (gbici). Proszę
o określenie parametrów i ilości wymaganych wkładek.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 66:
Dotyczy OPZ punktu 2. Rozbudowa pomocniczych zapór ogniowych, wymaganie 7.
Czy Zamawiający wymaga by porty SFP+ były wyposażone we wkładki (gbici). Proszę
o określenie parametrów i ilości wymaganych wkładek.
Odpowiedź:
Zamawiający dokonuje zmiany Załącznika nr 1 do SIWZ - OPZ w powyższym zakresie.
Pytanie nr 67:
Dotyczy OPZ punktu 3. Rozbudowa systemu centralnego zarządzania urządzeniami bezpieczeństwa.
W punkcie 4 Zamawiający piszę iż oczekuje dostarczenia fizycznej lub wirtualnej platformy zarządzającej pozwalającej na centralne zarządzanie, logowanie i raportowanie zdarzeń z podłączonych do niej firewalli. Z kolei w punkcie 1.26 oraz 2.26 Zamawiający piszę że w ramach postępowania musi zostać dostarczony komercyjny system logowania i raportowania w postaci odpowiednio zabezpieczonej, komercyjnej platformy sprzętowej lub programowej. Proszę zatem o potwierdzenie iż platforma zarządzania i platforma logowania i raportowania mogą być oddzielnymi platformami.
Odpowiedź:
Zamawiający potwierdza iż platforma zarządzania i platforma logowania i raportowania mogą być oddzielnymi platformami.
Pytanie nr 68:
Dotyczy punktu OPZ 3. Rozbudowa systemu centralnego zarządzania urządzeniami bezpieczeństwa
Czy Zamawiający posiada platformy Zarządzania oraz Logowania i Raportowania do zapór ogniowych. Czy w ramach postępowania mogą być rozbudowane istniejące platformy zarządzania oraz logowania i raportowania poprzez dostarczenie odpowiednich licencji ?
Odpowiedź:
Zamawiający nie posiada platformy Zarządzania oraz Logowania i Raportowania do zapór ogniowych.
Pytanie nr 69:
Xxxxxxx SIWZ Rozdział XIII pkt. 3. ZESTAWIENIE KRYTERIÓW WYBORU
Prosimy o potwierdzenie, że oferowany termin realizacji jest terminem dostawy urządzeń a nie kompletnego wdrożenia. W przeciwnym wypadku minimalny maksymalnie punktowany termin realizacji 5 dni roboczych byłby terminem niemożliwym do zrealizowania co prawdopodobnie doprowadzi braku możliwości wygrania postępowania przez firmy rzetelnie podchodzące do projektów na rzecz firm, które podejmą ryzyko zaoferowania tak krótkiego terminu.
Odpowiedź:
Termin realizacji jest terminem wykonania przedmiotu umowy. Zamawiający dokonuje zmiany Załącznika nr 2 do SIWZ – Wzór umowy w powyższym zakresie.
Jednocześnie Zamawiający zmienia zapisy SIWZ w następujących miejscach:
1. Rozdział III pkt 11 SIWZ - Opis przedmiotu zamówienia:
Było: „11. Zamawiający żąda wskazania przez wykonawcę części zamówienia, których wykonanie zamierza powierzyć podwykonawcom, i podania przez wykonawcę firm tych podwykonawców.”
Jest: „11. Zamawiający żąda wskazania przez Wykonawcę części zamówienia, których wykonanie zamierza powierzyć podwykonawcom i podania przez wykonawcę firm tych podwykonawców o ile są znane na tym etapie postępowania.
2. Rozdział VI pkt 6 SIWZ - Wykaz oświadczeń lub dokumentów, potwierdzających spełnianie warunków udziału w postępowaniu oraz brak podstaw wykluczenia:
Było:
„6. Zamawiający przed udzieleniem zamówienia, wezwie Wykonawcę, którego oferta została najwyżej oceniona, do złożenia w wyznaczonym, nie krótszym niż 10 dni, terminie aktualnych na dzień złożenia następujących oświadczeń lub dokumentów:
a) wykaz dostaw wykonanych, w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wraz z podaniem ich
wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których dostawy zostały wykonane oraz załączeniem dowodów określających czy te dostawy zostały wykonane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty wystawione przez podmiot, na rzecz którego dostawy były wykonywane, a jeżeli z uzasadnionej przyczyny o obiektywnym charakterze Wykonawca nie jest w stanie uzyskać tych dokumentów - oświadczenie Wykonawcy, potwierdzające spełnianie warunków określonych w rozdz. V. 1.2.3. SIWZ - sporządzony według wzoru stanowiącego Załącznik nr 6 do SIWZ.
b) aktualne zaświadczenia właściwego urzędu skarbowego potwierdzającego, że Wykonawca nie zalega z opłacaniem podatków, wystawionego nie wcześniej niż 3 miesiące przed upływem terminu składania ofert albo wniosków o dopuszczenie do udziału w postępowaniu, lub innego dokumentu potwierdzającego, że Wykonawca zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu;
c) zaświadczenia Zakładu Ubezpieczeń Społecznych lub Kasy Rolniczego Ubezpieczenia Społecznego albo innego dokumentu potwierdzającego, że Wykonawca nie zalega z opłacaniem składek na ubezpieczenia społeczne lub zdrowotne, wystawionego nie wcześniej niż 3 miesiące przed upływem terminu składania ofert albo wniosków o dopuszczenie do udziału w postępowaniu, lub innego dokumentu potwierdzającego, że Wykonawca zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu;
d) aktualną informację z Krajowego Rejestru Karnego w zakresie określonym w art. 24 ust. 1 pkt 13, 14 i 21 ustawy Pzp, wystawionych nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert albo wniosków o dopuszczenie do udziału w postępowaniu;
e) oświadczenia Wykonawcy o braku wydania wobec niego prawomocnego wyroku sądu lub ostatecznej decyzji administracyjnej o zaleganiu z uiszczaniem podatków, opłat lub składek na ubezpieczenia społeczne lub zdrowotne albo - w przypadku wydania takiego wyroku lub decyzji
- dokumentów potwierdzających dokonanie płatności tych należności lub zawarcie wiążącego porozumienia w sprawie spłat tych należności;
f) oświadczenia Wykonawcy o braku orzeczenia wobec niego tytułem środka zapobiegawczego zakazu ubiegania się o zamówienia publiczne;
g) odpisu z właściwego rejestru lub centralnej ewidencji i informacji o działalności gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji, w celu potwierdzenia braku podstaw wykluczenia na podstawie art. 24 ust. 5 pkt 1 ustawy PZP.
h) oświadczenia wykonawcy o niezaleganiu z opłacaniem podatków i opłat lokalnych, o których mowa w ustawie z dnia 12 stycznia 1991 r. o podatkach i opłatach lokalnych (Dz. U. z 2016 r. poz. 716).
Jeżeli, w przypadku Wykonawcy mającego siedzibę lub miejsce zamieszkania poza terytorium Rzeczypospolitej Polskiej, Wykonawca składa wyciąg z innego, odpowiedniego rejestru lub – w przypadku braku takiego rejestru w państwie, w którym Wykonawca ma siedzibę lub miejsce zamieszkania – inny równoważny dokument wydany przez właściwy organ sądowy lub
administracyjny tego państwa w zakresie odpowiadającym art. 24 ust. 1 pkt 13, 14 i 21 ustawy PZP. Dodatkowo składa dokument świadczący o nie zaleganiu z opłatą podatków, opłat i składek na ubezpieczenie społeczne lub zdrowotne albo, że zawarł porozumienie z właściwym organem w sprawie spłat wymienionych należności wraz z ewentualnymi dodatkowymi odsetkami lub grzywnami. Składa też ewentualną dodatkową informację w przedmiocie rozłożenia spłaty na raty, wstrzymania płatności zaległości czy też wstrzymania decyzji w zakresie dochodzenia tych należności. Dodatkowo wymagane jest złożenie oświadczenia w przedmiocie otwarcia likwidacji czy też ogłoszenia upadłości.”
Jest:
„6. Zamawiający przed udzieleniem zamówienia, wezwie Wykonawcę, którego oferta została najwyżej oceniona, do złożenia w wyznaczonym, nie krótszym niż 10 dni, terminie aktualnych na dzień złożenia następujących oświadczeń lub dokumentów:
a) wykaz dostaw wykonanych, w okresie ostatnich 3 lat przed upływem terminu składania ofert, a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie, wraz z podaniem ich wartości, przedmiotu, dat wykonania i podmiotów, na rzecz których dostawy zostały wykonane oraz załączeniem dowodów określających czy te dostawy zostały wykonane należycie, przy czym dowodami, o których mowa, są referencje bądź inne dokumenty wystawione przez podmiot, na rzecz którego dostawy były wykonywane, a jeżeli z uzasadnionej przyczyny o obiektywnym charakterze Wykonawca nie jest w stanie uzyskać tych dokumentów - oświadczenie Wykonawcy, potwierdzające spełnianie warunków określonych w rozdz. V.
1.2.3. SIWZ - sporządzony według wzoru stanowiącego Załącznik nr 6 do SIWZ.
b) informację z Krajowego Rejestru Karnego w zakresie określonym w art. 24 ust. 1 pkt 13, 14 i 21 ustawy Pzp, wystawionych nie wcześniej niż 6 miesięcy przed upływem terminu składania ofert albo wniosków o dopuszczenie do udziału w postępowaniu;
c) zaświadczenia właściwego naczelnika urzędu skarbowego potwierdzającego, że Wykonawca nie zalega z opłacaniem podatków, wystawionego nie wcześniej niż 3 miesiące przed upływem terminu składania ofert lub innego dokumentu potwierdzającego, że Wykonawca zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu;
d) zaświadczenia właściwej terenowej jednostki organizacyjnej Zakładu Ubezpieczeń Społecznych lub Kasy Rolniczego Ubezpieczenia Społecznego albo innego dokumentu potwierdzającego, że Wykonawca nie zalega z opłacaniem składek na ubezpieczenia społeczne lub zdrowotne, wystawionego nie wcześniej niż 3 miesiące przed upływem terminu składania ofert lub innego dokumentu potwierdzającego, że Wykonawca zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu;
e) odpisu z właściwego rejestru lub z centralnej ewidencji i informacji o działalności gospodarczej, jeżeli odrębne przepisy wymagają wpisu do rejestru lub ewidencji, w celu potwierdzenia braku podstaw wykluczenia na podstawie art. 24 ust. 5 pkt 1 ustawy PZP;
f) oświadczenia Wykonawcy o braku wydania wobec niego prawomocnego wyroku sądu lub ostatecznej decyzji administracyjnej o zaleganiu z uiszczaniem podatków, opłat lub składek na ubezpieczenia społeczne lub zdrowotne albo - w przypadku wydania takiego wyroku lub decyzji - dokumentów potwierdzających dokonanie płatności tych należności lub zawarcie wiążącego porozumienia w sprawie spłat tych należności;
g) oświadczenia Wykonawcy o braku orzeczenia wobec niego tytułem środka zapobiegawczego zakazu ubiegania się o zamówienia publiczne;
h) oświadczenia wykonawcy o niezaleganiu z opłacaniem podatków i opłat lokalnych, o których mowa w ustawie z dnia 12 stycznia 1991 r. o podatkach i opłatach lokalnych (Dz. U. z 2018 r. poz. 1445).
Jeżeli Wykonawca ma siedzibę lub miejsce zamieszkania poza terytorium Rzeczypospolitej Polskiej, zamiast dokumentów, o których mowa w pkt. 6
1) lit. b - składa informację z odpowiedniego rejestru albo, w przypadku braku takiego rejestru, inny równoważny dokument wydany przez właściwy organ sądowy lub administracyjny kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania lub miejsce zamieszkania ma osoba, której dotyczy informacja albo dokument, w zakresie określonym w art. 24 ust. 1 pkt 13, 14 i 21 ustawy PZP;
2) lit. c-e - składa dokument lub dokumenty wystawione w kraju, w którym wykonawca ma siedzibę lub miejsce zamieszkania, potwierdzające odpowiednio, że:
a) nie zalega z opłacaniem podatków, opłat, składek na ubezpieczenie społeczne lub zdrowotne albo że zawarł porozumienie z właściwym organem w sprawie spłat tych należności wraz z ewentualnymi odsetkami lub grzywnami, w szczególności uzyskał przewidziane prawem zwolnienie, odroczenie lub rozłożenie na raty zaległych płatności lub wstrzymanie w całości wykonania decyzji właściwego organu,
b) nie otwarto jego likwidacji ani nie ogłoszono upadłości.”
3. Rozdział XIII pkt 5 SIWZ - Opis kryteriów, którymi Zamawiający będzie się kierował przy wyborze oferty, wraz z podaniem wag tych kryteriów i sposobu oceny ofert:
Było:
5.Kryterium oceny ofert – Termin realizacji (T).
5.1.Ocena punktowa w kryterium „Termin realizacji” zostanie dokonana na podstawie podanego przez Wykonawcę w ofercie terminu realizacji określonego w pkt 4 Formularza ofertowego i będzie przeliczony według wzoru opisanego w tabeli powyżej.
5.2.Minimalny termin realizacji wynosi 5 Dni Roboczych, maksymalny termin realizacji nie może przekroczyć 40 Dni Roboczych.
Jeżeli Wykonawca poda w ofercie termin realizacji krótszy niż 5 dni Robocze lub dłuższy niż 40 dni Roboczych, to Wykonawca otrzyma 0,00 punków w tym kryterium. Termin dostawy musi być liczbą całkowitą.
Jest:
5.Kryterium oceny ofert – Termin realizacji (T).
5.1.Ocena punktowa w kryterium „Termin realizacji” zostanie dokonana na podstawie podanego przez Wykonawcę w ofercie terminu realizacji określonego w pkt 4 Formularza ofertowego i będzie przeliczony według wzoru opisanego w tabeli powyżej.
5.2.Minimalny termin realizacji wynosi 7 Dni Roboczych, maksymalny termin realizacji nie może przekroczyć 40 Dni Roboczych.
Jeżeli Wykonawca poda w ofercie termin realizacji krótszy niż 7 dni Robocze lub dłuższy niż 40 dni Roboczych, to Wykonawca otrzyma 0,00 punków w tym kryterium. Termin dostawy musi być liczbą całkowitą.
Załączniki:
1) Aktualny Zał. nr 1 do SIWZ - Opis przedmiotu zamówienia po zmianach;
2) Aktualny Zał. nr 2 do SIWZ - Wzór umowy po zmianach.
Dyrektor Centrum Systemów Informacyjnych Ochrony Zdrowia (-) Xxxxxxxxxx Xxxx |
(podpis kierownika zamawiającego lub osoby umocowanej) |
Sporządził: Xxxxxxxx Xxxxxxx