Umowa nr ………..

Umowa nr ………..

w dniu ……………………….. 2020 roku pomiędzy:

Skarbem Państwa - Kasą Rolniczego Ubezpieczenia Społecznego, z siedzibą: 00-608 Warszawa, Xx. Xxxxxxxxxxxxxx 000, XXX 000-00-00-000, REGON 012513262 reprezentowaną przez:

Pana …………………………………..Wicedyrektora Biura Informatyki i Telekomunikacji, na podstawie pełnomocnictwa udzielonego przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego nr ……. z dnia……………….

zwaną dalej „Zamawiającym”,

a

…………………………. z siedzibą……….; wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS….., NIP……, REGON …..,

zwaną w dalszej części Umowy „Wykonawcą”,

reprezentowaną przez:

Pana / Panią ………………………

zwaną dalej Wykonawcą,

zwanymi dalej łącznie Stronami

W wyniku przeprowadzenia uproszczonego postępowania do którego na podstawie art. 4 pkt 8 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (Dz. U. z 2019 r., poz. 1843 z późn. zm.) nie stosuje się przepisów niniejszej ustawy, zawarto umowę następującej treści:

§ 1

1. Przedmiotem umowy jest zakup wraz z dostawą systemu ochrony aplikacji web (zwanej dalej WAF – ang. Web Application Firewall).

1. Wykonawca oświadcza, że System WAF jest zgodny/spełnia warunki określone w Specyfikacji technicznej systemu – Załącznik nr 1 do niniejszej umowy.

2. Licencja/licencje systemu WAF zakupione/dostarczone zostaje wraz ze wsparciem producenta (ATiK), aktywnym przez okres 12 miesięcy licząc od dnia podpisania przez Xxxxxx Xxxxxxxxx odbioru końcowego bez uwag.

3. Udzielona licencja jest licencją niewyłączną i bezterminową, udzieloną Zamawiającemu na warunkach opublikowanych przez producenta oprogramowania.

§ 2

1. Dostarczony sprzęt lub maszyny wirtualne, oprogramowanie oraz licencje muszą być nowe, oryginalne, pochodzić z oficjalnego kanału sprzedaży producenta, wolne od wad technicznych i prawnych.

2. Dla wszystkich urządzeń, podzespołów czy licencji Wykonawca złoży stosowne oświadczenie producenta, które winno być w języku polskim i potwierdzać, że oferowany sprzęt aktywny i licencje są fabrycznie nowe, że pochodzą z legalnego źródła, są zakupione w autoryzowanym kanale sprzedaży producenta i objęte są pakietem usług gwarancyjnych świadczonych przez sieć serwisową producenta na terenie Polski.

3. Wykonawca zobowiązuje się w nieprzekraczalnym terminie 7 dni od dnia zawarcia umowy dostarczyć Zamawiającemu System WAF wraz z dokumentami, o których mowa w ust. 2.

4. Odbiór przedmiotu umowy potwierdzony zostanie protokołem odbioru, podpisanym przez upoważnionych przedstawicieli Wykonawcy i Zamawiającego. Wzór protokołu odbioru stanowi Załącznik nr 2 do umowy.

5. W ramach wsparcia producenta (ATiK) Zamawiający nabędzie uprawnienia zdefiniowane przez producenta Oprogramowania w ramach ww. usługi, w szczególności prawa co najmniej do:

1. pobierania od producenta w postaci elektronicznej nowych wersji posiadanego Oprogramowania,

2. pobierania od producenta poprawek i łatek do posiadanego Oprogramowania bez dodatkowych opłat licencyjnych,

3. zgłaszania problemów i uzyskiwania pomocy technicznej od producenta
   w zakresie problemów, wad i błędów wykrytych w Oprogramowaniu bezpośrednio od producenta,

4. dostępu do bazy wiedzy producenta w zakresie posiadanego Oprogramowania.

6. Wsparcie producenta (ATiK) będzie świadczone co najmniej od poniedziałku do piątku, w godz. 8.00-16.00, w języku polskim lub angielskim.​

§ 3

1. Wykonawca gwarantuje, że realizacja niniejszej umowy nie spowoduje naruszenia czyichkolwiek praw autorskich, znaków handlowych, towarowych, patentów, rozwiązań konstrukcyjnych oraz innych praw chronionych.

2. Wykonawca przyjmuje na siebie wszelką odpowiedzialność za naruszenie praw osób trzecich w związku z realizacją umowy, dotyczącą w szczególności naruszenia czyichkolwiek praw autorskich.

3. Na mocy niniejszej umowy Zamawiający uprawniony jest do korzystania z systemu określonego w § 1 na następujących polach eksploatacji:

1. prawo do korzystania ze wszystkich funkcjonalności dostarczonego systemu w dowolny sposób w liczbie kopii/ stanowisk/ serwerów/ użytkowników charakterystycznej dla dostarczonego systemu, zgodnie z opublikowanymi przez producenta warunkami licencyjnymi,

2. prawo do instalowania dostarczonego systemu w liczbie kopii/ stanowisk/ serwerów/użytkowników charakterystycznej dla odsprzedawanego systemu zgodnie z opublikowanymi przez producenta warunkami licencyjnymi,

3. prawo do instalowania wszelkich poprawek opublikowanych na stronach producenta systemu oraz polach eksploatacji określonych w opublikowanych przez producenta warunkach licencyjnych.

§ 4

1. Całkowite wynagrodzenie Wykonawcy z tytułu realizacji przedmiotu umowy wynosi …..zł brutto (słownie: …. 00/100), w tym podatek VAT (23%).

2. Wynagrodzenie, o którym mowa w ust. 1 zawiera wszystkie koszty Wykonawcy związane z realizacją przedmiotu umowy, w tym koszty nośników Oprogramowania.

3. Zapłata wynagrodzenia za przedmiot umowy nastąpi przelewem na rachunek bankowy Wykonawcy podany na fakturze w terminie 14 dni od dnia doręczenia do Zamawiającego oryginału prawidłowo wystawionej faktury VAT wraz z oryginałem protokołu odbioru podpisanym bez zastrzeżeń przez upoważnionych przedstawicieli Stron, sporządzonym wg wzoru stanowiącego Załącznik nr 2 do niniejszej umowy. Wykonawca zobowiązany jest zamieścić na fakturze adnotację „mechanizm podzielonej płatności”, jeżeli dokumentuje ona czynność podlegającą temu mechanizmowi.

4. Za dzień zapłaty wynagrodzenia Strony przyjmują dzień obciążenia rachunku bankowego Zamawiającego należną Wykonawcy kwotą.

5. Zamawiający nie wyraża zgody na cesję wierzytelności wynikających z realizacji niniejszej umowy.

(dotyczy przypadku gdy Wykonawca będzie korzystał z przesyłania faktur VAT
za pośrednictwem poczty elektronicznej)

6. Zamawiający oświadcza, że zgodnie z przepisami ustawy z dnia 11 marca 2004 roku o podatku od towarów i usług (DZ.U. z 2020 r. poz. 106 z późn. zm.), wyraża zgodę na wystawianie przez Wykonawcę faktury VAT, korekt faktury VAT oraz ich duplikatów w formie elektronicznej (w formacie PDF) i przesyłanie ich za pośrednictwem poczty elektronicznej na adres: xx@xxxx.xxx.xx. Wykonawca oświadcza, że adresem z którego będą wysyłane faktura VAT, korekty faktury VAT oraz ich duplikaty jest następujący adres: ……………………………

§ 5

1. Za każdy rozpoczęty dzień opóźnienia w dostawie systemu lub dokumentów, o których mowa w § 2 ust. 3, Wykonawca zapłaci Zamawiającemu karę w wysokości 0,2% wynagrodzenia całkowitego brutto, o którym mowa w § 4 ust.1.

2. W przypadku odstąpienia od umowy przez Wykonawcę lub Zamawiającego z przyczyn leżących po stronie Wykonawcy, Wykonawca zapłaci Zamawiającemu karę umowną w wysokości 10% wynagrodzenia całkowitego brutto, o którym mowa w § 4 ust.1.

3. Zamawiający może dochodzić odszkodowania przewyższającego wysokość kar umownych na zasadach ogólnych. Całkowita wysokość kar umownych nie przekroczy wartości umowy brutto.

4. Wykonawca wyraża zgodę na potrącenie kar umownych z przysługującego mu wynagrodzenia.

§ 6

1. Wszelkie zmiany umowy wymagają formy pisemnej w postaci aneksu, pod rygorem nieważności zmiany.

2. Odstąpienie od umowy może nastąpić w terminie 14 dni po przekroczeniu terminu określonego w § 2 ust. 3.

3. Odstąpienie od umowy następuje z dniem pisemnego zawiadomienia Wykonawcy o przyczynie odstąpienia od umowy.

4. W sprawach nieuregulowanych niniejszą umową mają zastosowanie przepisy ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (t.j. Dz.U. z 2019r. poz. 1231 z późn. zm.) oraz Kodeksu cywilnego.

5. Strony zobowiązują się do polubownego rozwiązywania sporów wynikłych na tle Umowy. W przypadku nieosiągnięcia porozumienia spory będą podlegały rozstrzygnięciu przez sąd powszechny właściwy miejscowo dla siedziby Zamawiającego.

6. Integralną część umowy stanowią wymienione niżej załączniki.

7. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach - jeden egzemplarz dla Zamawiającego i jeden dla Wykonawcy.

Wykaz załączników:

Załącznik nr 1 - Specyfikacja techniczna systemu,

Załącznik nr 2 - Protokół odbioru.

ZAMAWIAJĄCY: WYKONAWCA:

Załącznik nr 1

do umowy nr …………….

z dn. ……………………..

Specyfikacja techniczna systemu

1. Przedmiot zamówienia

Przedmiotem zamówienia jest dostawa systemu ochrony aplikacji web (zwanej dale WAF – ang. Web Application Firewall).

2. Opis wymagań

System powinien składać się z wirtualnej jednostki wykonawczej, tzw. bramy oraz systemu zarządzania pozwalającego na wdrażanie polityk bezpieczeństwa na jednostkach wykonawczych. System zapewniał będzie bezpieczeństwo aplikacji Web znajdujących się w strefie DMZ infrastruktury sieciowej Zamawiającego.

Należy dostarczyć licencje dla wszystkich wymaganych funkcjonalności, modułów programowych oraz sprzętowych (wirtualnych) systemu, a w przypadku jeżeli jakakolwiek wymagana funkcjonalność podlega modelowi subskrypcyjnemu należy zapewnić subskrypcje na okres minimum 12 miesięcy.

Należy dostarczyć moduły komunikacyjne dla urządzeń (maszyn wirtualnych) zgodnie z  wymaganiami technicznymi określonymi w Opisie przedmiotu zamówienia.

Należy dostarczyć oprogramowanie realizujące wszystkie wymagane funkcje, zarządzania systemem, zbierania, przetwarzania, analizowania danych dotyczących incydentów bezpieczeństwa, monitoringu aplikacji, a także raportowaniu wszystkich wymaganych parametrów dot. bezpieczeństwa i tworzenia polityk bezpieczeństwa,

3. Wymagania w zakresie platformy bezpieczeństwa

Rozwiązanie musi posiadać możliwości ochrony wyszczególnione w OWASP Top10.

Rozwiązanie musi spełniać kryteria oceny Web Application Firewall (WAFEC) zdefiniowane przez Web Application Security Consortium (xxx.xxxxxxxxx.xxx).

Rozwiązanie WAF musi znajdować się w magicznym kwadrancie Gartnera dla zapór WAF (Web Application Firewall) przynajmniej przez ostatnie 3 lata.

Rozwiązanie musi być dostępne zarówno w postaci sprzętowej (tzw. physical appliance) jak i wirtualnej (tzw. virtual appliance).

Rozwiązanie musi umożliwiać działanie w infrastrukturze chmury hybrydowej, czyli zarówno w ośrodku obliczeniowym zamawiającego jak i chmurze publicznej – AWS, Microsoft Azure.

Rozwiązanie musi obsługiwać funkcję automatycznego skalowania przy wdrożeniu w środowisku chmury publicznej AWS, Microsoft Azure.

Producent rozwiązania powinien posiadać możliwość realizacji usług WAF za pomocą usługi SaaS – software as a service (Cloud WAF). Dodatkowe funkcjonalności jakie powinna posiadać usługa to ochrona przed atakami sieciowymi DDoS, load balancing, CDN (Content Delivery Network). Cloud WAF i lokalny WAF muszą być zintegrowane z ujednoliconym narzędziem raportowania i alarmowania.

Wszystkie elementy systemu muszą być dostarczone przez jednego producenta i posiadać centralny system zarządzania.

Rozwiązanie musi mieć możliwość pracy w następujących trybach:

• Transparent In-line (warstwa 2 modelu ISO/OSI)

• Transparent Reverse Proxy

• Reverse Proxy

• Nasłuch (Sniffing)

System musi posiadać następujące metody reakcji na incydenty:

• W trybach In-line, Reverse Proxy oraz Transparent Reverse Proxy:

  • Blokowanie pakietu

  • Blokowanie źródła ataku w postaci adresu IP, nazwy użytkownika lub sesji (jeżeli użytkownik uwierzytelnił się w systemie)

• W trybie nasłuchu (Sniffing):

  • Wysyłanie pakietu TCP RST do klienta oraz serwera

Rozwiązanie musi wspierać konfigurację, w której wybrane aplikacje webowe będą chronione w trybie Transparent Reverse Proxy, a inne aplikacje webowe będą chronione w trybie transparent In-line. Powinna to być natywna funkcjonalność producenta zawarta w rozwiązaniu, a nie poprzez integrację rozwiązania firmy trzeciej.

Rozwiązanie musi zawierać następujące mechanizmy ochrony:

• Stateful Firewall

• Weryfikacja zgodności z RFC komunikacji realizowanej w oparciu o protokół
  TCP/IP

• Weryfikacja zgodności z RFC komunikacji realizowanej w oparciu o protokół HTTP (1.x i 2)

• Walidacji protokołu OCSP

• Weryfikacja podpisania „ciasteczek” („cookie signing validation”)

• Anti site scrapping

• Ochrona przed robakami webowymi („web worm protection”)

Rozwiązanie musi wspierać negatywny model bezpieczeństwa bazujący na sygnaturach ataków. Musi zawierać predefiniowane listy kompletnych i dokładnych sygnatur ataków dla nie mniej niż:

• Sieci

• Protokołu HTTP

• Aplikacji Web

• Zapytań Web

• Infrastruktury Web (Apache, IIS, Oracle, itp)

Zestawy sygnatur muszą być stale i automatycznie aktualizowane przez producenta rozwiązania. Wymagana jest możliwość automatycznego oraz ręcznego pobierania aktualizacji. Dodatkowo musi istnieć również możliwość wykorzystania Proxy do aktualizacji. Rozwiązanie musi pozwalać administratorom na dodawanie i modyfikowanie sygnatur.

Rozwiązanie musi wspierać pozytywny model bezpieczeństwa. Pozytywny model bezpieczeństwa określa, jakie dane wejściowe i zachowanie są dozwolone.

Rozwiązanie musi posiadać mechanizm automatycznego tworzenia i aktualizowania profili aplikacji Web oraz wykrywania przy ich użyciu naruszeń bezpieczeństwa:

• Profil aplikacji Web musi być budowany w sposób automatyczny poprzez analizę ruchu sieciowego i na jego podstawie powinny być tworzone polityki bezpieczeństwa - aplikacje te powinny w sposób automatyczny być dodawane do aplikacji chronionych przez WAF.

• Musi istnieć możliwość automatycznej, cyklicznej aktualizacji profilu (automatyczne przełączenie się w tryb douczania, dostosowania z możliwością wyłączenia określonej części aplikacji z tego procesu) w przypadku wystąpienia zmiany w strukturze aplikacji wraz z możliwością stosowania wyjątków w politykach dla określonych elementów.

• Profil musi uwzględniać nie mniej niż następujące elementy: katalogi, URL-e, cookies, metody dostępu, parametry, typy znaków oraz wartości minimalne/maksymalne wpisywane przez użytkowników w poszczególnych polach formularza.

• Dodatkowo system musi posiadać możliwość sprawdzenia, które z wykorzystywanych pól są typu „read-only” i nie mogą być zmieniane przez klientów.

• Automatyczne profilowanie serwisów Web powinno uwzględniać również elementy XML, JSON oraz akcje SOAP, a system zapewniać ich ochronę.

• Rozwiązanie musi realizować dynamiczne profilowanie aplikacji webowych w środowisku, w którym występuje zarówno dobry, jak i zły ruch. W trybie uczenia się rozwiązanie musi automatycznie rozróżniać dobry i zły ruch. Zły ruch nie powinien być dodawany do profilu.

Rozwiązanie musi umożliwiać ochronę przed atakami CSRF bez modyfikacji ruchu http.

Rozwiązanie musi umożliwiać ochronę przed atakami typu SLOW („Slowloris” i podobne) w sposób umożliwiający sprawdzenie stanu sesji (oraz identyfikacji zbyt małej ilości przesyłanych danych w zdefiniowanym czasie) celem wykluczenia fałszywych wskazań oraz sterowanie reakcją na tego typu incydenty.

Rozwiązanie musi umożliwiać deszyfrowanie ruch HTTPS dla aplikacji webowych w celu inspekcji.

System musi analizować zarówno zapytania HTTP jak i odpowiedzi w celu wykrycia nadużyć oraz wycieku danych.

Rozwiązanie musi mieć możliwość wykonania następujących operacji po wykryciu ataku lub jakiejkolwiek nieuprawnionej aktywności:

• Przerwanie zapytania i odpowiedzi

• Blokowanie sesji TCP

• Wyświetlenie strony z błędem

Wyzwolenie działania polityki musi umożliwiać wykonanie poniższych akcji:

• Blokowanie adresu IP

• Blokowanie sesji TCP

• Blokowanie użytkownika aplikacyjnego (na zdefiniowany czas)

• Uruchomienie skryptu

• Wysłanie informacji o zdarzeniu do zewnętrznego systemu SIEM w formatach co najmniej CEF oraz LEEF.

• Wysłanie wiadomości email

• Wysłanie zdarzenia do Syslog (wymagane gotowe formaty CEF oraz RSA enVision),

• SNMP trap

• Wywołanie komendy systemu operacyjnego

• Monitorowanie adresu IP

• Monitorowanie użytkownika aplikacyjnego

• Wygenerować zadanie do przeglądu

• Przydzielenie zadania

• Zgłoszenia do systemu Remedy

System musi umożliwiać wysłanie wielu różnych powiadomień do różnych serwerów przy wystąpieniu jednego incydentu.

Rozwiązanie musi wspierać jednocześnie tryb symulacji oraz aktywnego wykonania. W trybie symulacji administrator może oglądać alarmy, ataki, błędy na serwerach, oraz inne nieautoryzowane działania. W trybie aktywnego wykonania rozwiązanie może wykonywać wszystko to, co zostało przygotowane w trybie symulacji, a dodatkowo blokować ataki.

System musi posiadać możliwość rejestrowania naruszeń bezpieczeństwa oraz udostępniać administratorom co najmniej następujące informacje o zdarzeniach: nazwa użytkownika aplikacyjnego (jeżeli klient zalogował się w systemie przez aplikację Web), dodatkowe atrybuty użytkownika z zewnętrznych repozytoriów (np. baza danych, LDAP, plik CSV) oraz zapytanie HTTP przesłane do serwera aplikacji Web. Musi istnieć możliwość rejestrowania kodu źródłowego strony zwracanej klientowi przez aplikację Web.

Rozwiązanie powinno pozwalać na identyfikację nazw użytkowników aplikacji web oraz umieszczanie informacji o użytkowniku w logach, a także możliwość pisania reguł polityki bezpieczeństwa z uwzględnieniem atrybutu „username”. Obsługiwane muszą być nie mniej niż następujące metody uwierzytelnienia: formularze html, certyfikat cyfrowy, Kerberos, NTLM. Musi istnieć możliwość integracji z zewnętrznymi serwerami (Active Directory, LDAP, SQL, import plików CSV z zewnętrznych systemów).

Rozwiązanie musi umożliwiać śledzenie i monitorowanie użytkowników aplikacji webowych. Mechanizm śledzenia musi być zautomatyzowany, bez wnoszenia zmian po stronie aplikacji i bez zmiany schematu uwierzytelniania.

Rozwiązanie musi posiadać funkcję korzystania ze źródłowego adresu IP przekazywanego w nagłówku http „X-Forwared-For”, umożliwiającą identyfikację w alarmach zabezpieczeń oryginalnego adresu źródłowego w przypadku wdrożenia systemu za serwerem typu Proxy.

Rozwiązanie musi mieć wbudowany silnik korelacyjny aby zapewnić korelację zdarzeń i automatyczne ustalanie poziom odniesienia („baselining”).

Wbudowany w rozwiązaniu silnik korelacyjny musi odpowiadać na złożone ataki o wielowątkowej naturze. Powinien również sprawdzać pofragmentowane części informacji na poziomie sieci, protokołów i aplikacji na przestrzeni czasu aby rozróżniać atak od poprawnego ruchu użytkownika.

System musi posiadać możliwość wykrywania złożonych ataków poprzez mechanizm korelacji wielu zdarzeń. Mechanizm musi umożliwiać definiowanie reguł polityki bezpieczeństwa przy uwzględnieniu co najmniej następujących kryteriów: nagłówki http, źródłowy adres IP, identyfikator sesji lub nazwy użytkownika, ilość wystąpień w określonym przez administratora okresie czasu, elementy aplikacji (URL-e, parametry), nazwa aplikacji klienta, akceptowany język przeglądarki, rozmiar zwróconej strony oraz czas odpowiedzi serwera Web.

Rozwiązanie musi wspierać niestandardowe reguły bezpieczeństwa. Administrator powinien mieć możliwość definiowania reguł dla modelu bezpieczeństwa pozytywnego i negatywnego oraz tworzenia reguł korelacyjnych opartych na kilku kryteriach.

Rozwiązanie musi wspierać wyrażenia regularne („regular expressions”) do celów:

• Definiowania sygnatur;

• Definiowania danych wrażliwych;

• Definiowania parametrów;

• Definiowania nazw hostów oraz URL;

• Dostosowania parametrów, które są pozyskiwane dynamicznie z profilu aplikacji web.

System musi posiadać możliwość integracji z komercyjnymi skanerami podatności aplikacji webowych. Integracja ma na celu zautomatyzowanie procesu definiowania reguł polityki bezpieczeństwa bazujących na wynikach działania skanera zabezpieczeń - wirtualne łatanie („patching”) podatności.

Rozwiązanie musi wspierać następujące narzędzia oceny podatności aplikacji webowych („web application scanner”):

• Acunetix

• Beyond Security

• Cenzic

• Denim Group

• HP Fortify WebInspect

• IBM AppScan

• NT OBJECTives

• Qualys

• Rapid7

• Trend Micro

• Veracode

• WhiteHat

System musi posiadać serwis reputacyjny (dostępny w formie dodatkowej licencji) o następujących funkcjonalnościach:

• System musi posiadać serwis reputacyjny uzyskujący od co najmniej kilku zewnętrznych dostawców listy niebezpiecznych adresów IP w sieci Internet.

• Baza adresów IP musi być sklasyfikowana (pogrupowana) według rodzajów zagrożeń w tym minimum:

  • złośliwe IP

  • zanonimizowane Proxy

  • TOR IP

  • Comment Spam IP

  • Phishing URL

  • IP Forensics

  • Geo Lokacja

• Wszystkie bazy powinny być automatycznie aktualizowane we współpracy z zewnętrznymi dostawcami.

• W celu zapobiegania wykrywania fałszywych alarmów uzyskane listy niebezpiecznych adresów IP powinny stanowić jedno z wielu kryteriów wykrywania złożonych ataków.

• Rozwiązanie musi dostarczać danych o krytycznych zagrożeniach (emergency feed) zanim udostępnione zostaną oficjalne sygnatury.

• Rozwiązanie musi dostarczać danych o zagrożeniach i serwisów opartych na technikach społecznościowych (crowdsourcing). Usługa musi gromadzić dane o bieżących atakach z systemów WAF wdrożonych na całym świecie, a następnie dystrybuować wzorzec w ataku i dane reputacyjne do wewnątrz rozwiązania w czasie bliskim czasu rzeczywistego. Następujące dane o ataku powinny być dostarczane:

• Remote File Inclusion

• SQL Injection IP

• Scanner IP

Rozwiązanie musi dostarczać danych o zagrożeniach i serwisów dotyczących zabezpieczenia przed przejęciem konta. Usługa ta (dostępna w formie dodatkowej licencji) musi dostarczać następujących danych o ataku:

• Credential Stuffing

• Device Intelligence

• Dictionary Attack

• Privileged Account Brute Force

Rozwiązanie musi dostarczać danych (dostępnych w formie dodatkowej licencji) do wykrywanie znanych oraz nieznanych robaków sieciowych poprzez analizę heurystyczną - Web scraping oraz identyfikacja ataków z sieci Bot:

• Rozwiązanie powinno realizować mechanizmy identyfikacji incydentów typu web scraping poprzez zliczanie ilości odwołań do oddzielnych części serwisu, oraz identyfikację ataków z sieci Bot dzięki wykorzystaniu skryptów javascript wykonywanych w przeglądarce klienta oraz mieć możliwość automatycznego zażądania wypełnienia tzw. „captcha”,

• Możliwość zastosowania identyfikacji captcha musi być możliwa zarówno podczas eventów związanych z logowaniem jak i wystąpieniem zdefiniowanych podejrzanych zachować.

• System powinien identyfikować ruch pochodzący od Botów i wspierać następujące mechanizmy identyfikacji: cookie challenge, javascript challenge, adres IP, nagłówek http, user-agentów,

• Ochrona przed ruchem zautomatyzowanym (botnetami).

• Rozwiązanie musi dostarczać danych (feed) dla baz o zagrożeniach i serwisów dotyczących zabezpieczenia przed BOTami. Powinny być zapewnione następujące dane i funkcjonalności:

• Klasyfikacja ruchu BOTów na użytkowników, BOTy zaufane, złe BOTy, ogólne BOTy, nieznane nowe BOTy

• Rodzaje BOTów: Click Bot, Comment Spammer Bot, Crawler, Feed Fetcher, Hacking Tool, Masking Proxy, Search Bot, Spam Bot, Vulnerability Scanner, Worm, Site Helper and DDoS Tool

• Usługa CAPTCHA

• Panel monitorowania rozkładu odwiedzających stronę oraz liczby ataków

• Panel monitorowania rozkładu złych BOTów oraz liczby ataków

Moduł zarządzania i raportowania:

Wszystkie elementy systemu muszą być dostarczone przez jednego producenta.

Moduł zarządzania i raportowania musi być dostępny zarówno w postaci sprzętowej (tzw. hardware appliance) oraz wirtualnej (maszyny wirtualne), z możliwością instalacji zarówno w ośrodku obliczeniowym zamawiającego jak i chmurze publicznej – AWS, Microsoft Azure.

Moduł zarządzania rozwiązaniem musi być w stanie zarządzać instancją urządzenia WAF wdrożoną na platformie AWS lub Microsoft Azure i jednocześnie zarządzać urządzeniem WAF wdrożonym w lokalnym ośrodku obliczeniowym.

Rozwiązanie musi wspierać API, które umożliwia automatycznie wdrożenie WAF w środowisku DevOps.

Rozwiązanie musi wspierać rozproszony model wdrożenia w sieci WAN z wykorzystaniem dedykowanych serwerów zarządzających dla każdego regionu geograficznego. Musi istnieć możliwość centralnego zarządzania wszystkimi serwerami zarządzającymi poprzez funkcjonalność typu "Master Manager" oferującego następujące możliwości:

• jednolite zarządzanie i administrowanie środowisk połączonych w federację obejmującą czyste serwery zarządzające

• tworzenie, konfigurowanie i dystrybucja polityk na wszystkie systemy, dla wszystkich serwerów zarządzających

• jeden punkt dostępu do każdego z serwerów zarządzających

• monitorowanie stanu zdrowia rozwiązania dla całego wdrożenia

• możliwość podglądu aktywności związanych z bezpieczeństwem obejmujących cały system

System musi zawierać licencję na moduł zarządzający, który może stanowić centralny moduł dla wielu pojedynczych systemów zarządzających.

Rozwiązanie musi wspierać następujące mechanizmy uwierzytelniania dopuszczające do konsoli zarządzania UI:

• Uwierzytelnianie wbudowane w rozwiązanie

• Uwierzytelnianie Kerberos

• Uwierzytelnianie i autoryzację LDAP na platformie Microsoft Windows Server

• Uwierzytelnianie RADIUS.

Rozwiązanie musi wspierać następujące funkcje zarządzania hasłami bez odwoływania się do żadnych systemów zewnętrznych:

• Ważność hasła wyrażona w dniach

• Długość hasła (minimalna liczba znaków)

• Czy hasło musi znacząco różnić się od hasła poprzednio używanego

• Czy hasło powinno zawierać, wielkie i małe litery, cyfry, znaki nie alfanumeryczne

Rozwiązanie musi wspierać konfigurowanie następujących ustawień blokady bezpośrednio z konsoli zarządzającej rozwiązania UI:

• Czas trwania prób logowania wyrażony w minutach, po którym wielokrotne wprowadzenie niepoprawnego hasła blokuje konto

• Liczba niepoprawnych prób logowania, której rezultatem będzie zablokowanie konta

• Czas zablokowania wyrażony w minutach.

Rozwiązanie musi wspierać możliwość komunikacji opartej na zaufaniu („trust-based”) pomiędzy różnymi komponentami rozwiązania, tzn. komunikacja pomiędzy komponentami systemu musi być realizowana przy pomocy certyfikatów.

Serwer zarządzający oferowanego rozwiązania musi być dostępny poprzez interfejs przeglądarki Web w celu eliminacji konieczności instalacji dodatkowego oprogramowania na stacji administratora.

Wymagane jest zarządzanie zorientowane zadaniowo. Oznacza to, że musi istnieć mechanizm informowania administratora o wykonaniu / niewykonaniu na czas zadania zleconego innym użytkownikom systemu.

Serwer zarządzający musi posiadać wbudowany mechanizm definiujący dostęp na podstawie roli użytkownika (RBAC - Role Based Access Control), który umożliwia integrację z Active Directory poprzez przypisanie roli w zależności od przynależności do określonej grupy w Active Directory.

Całość konfiguracji oraz repozytorium logów musi być przechowywana na centralnym serwerze zarządzania.

Musi być zapewniona możliwość pracy w trybie wysokiej dostępności („High Availability”).

Rozwiązanie powinno zawierać wstępnie zdefiniowane możliwości raportowania bez zaangażowania użytkownika / dalszej konfiguracji, obejmujące:

• analiza alarmów (dla użytkowników aplikacyjnych, znane wzorce ataku, dotkliwość i typ ataku, źródło IP, URL, użytkownik dotknięty atakiem, rodzaj nadużyć)

• tygodniowe i miesięczne zestawienie 10 najważniejszych nadużyć w obszarze WAF

• dzienne zestawienie zablokowanych połączeń

• raport wycieku danych

• raport wykrywania przeszukiwań Directory

• lista alarmów

• PCI - WAF nadużycia

• raport o wycieku błędów zawierających informacje wrażliwe

• alarmy Slow HTTP/S

• raporty o zagrożeniach - dzienne, miesięczne, kwartalne dla anonimowych Proxy, informacje o spamujących adresach IP, złośliwe adresy IP, Phishing URL, RFI Signatures, SQL Injections IPs, Scanner IPs and TOR IPs.

• dzienny raport njważniejszych nadużyć BOT

System musi posiadać gotowe raporty dotyczące:

• Alarmów bezpieczeństwa

• Zdarzeń systemowych

• Zmian w profilach aplikacji

Musi istnieć możliwość tworzenia własnych raportów, zarówno w formie tekstowej jak i prezentacji w formie graficznej.

Rozwiązanie musi zawierać funkcje monitorowania stanu zdrowia wszystkich elementów systemu w czasie rzeczywistym. Monitorowanie stanu zdrowia musi obejmować co najmniej alarmy i powiadomienia dotyczące następujących problemów:

• Redundancja i wysoka dostępność

• Obciążenie i pojemność

• Łączność sieciowa

• Problemy ze sprzętem

• Niezgodności konfiguracji między różnymi komponentami

Rozwiązanie musi zapewniać scentralizowane zarządzanie oprogramowaniem celem uproszczenia wdrażania poprawek i aktualizacji.

Podczas aktualizacji rozwiązanie nie powinno wymagać manualnej interwencji w celu ponownego uruchomienia. Wszystkie restarty systemu podczas aktualizacji powinny być automatyczne, a system musi się zrestartować w razie potrzeby.

Gdy jest dostarczane jako urządzenie wirtualne, rozwiązanie musi być dostarczane jako pojedynczy plik OVF do instalacji wszystkich komponentów (serwer zarządzania, brama WAF).

Zgodność z wymaganiami:

• Rozwiązanie musi mieć możliwość pracy w trybie FIPS (Federal Information Processing Standard) zgodnym z wymaganiem 140-2.

• Rozwiązanie musi mieć możliwość pracy w trybie Sealed Box aby spełnić wymagania STIG. Tryb Sealed Box jest wymagany aby zapewnić, że rozwiązanie może pracować jako "true appliance mode". Ten tryb musi ograniczać dostęp użytkownika SSH CLI do zainstalowanego OS i jednocześnie zabezpieczać przed przypadkami podnoszenia przywilejów użytkownika poprzez używanie jedynie kontrolowanych komend CLI systemu WAF dla instalacji i konfigurowania.

4. Określenie wymagań ogólnych:

Dostarczony sprzęt lub maszyny wirtualne, oprogramowanie oraz licencje muszą być nowe, oryginalne, pochodzić z oficjalnego kanału sprzedaży producenta, wolne od wad technicznych i prawnych.

Dla wszystkich urządzeń, podzespołów czy licencji musi zostać złożone stosowne oświadczenie producenta, które winno być w języku polskim i potwierdzać, że oferowany sprzęt aktywny i licencje są fabrycznie nowe, że pochodzą z legalnego źródła, są zakupione w autoryzowanym kanale sprzedaży producenta i objęte są pakietem usług gwarancyjnych świadczonych przez sieć serwisową producenta na terenie Polski.

5. Gwarancja i wsparcie techniczne:

Wykonawca udziela Zamawiającemu gwarancji na okres nie krótszy niż 12 miesięcy od podpisania przez Strony Protokołu odbioru końcowego bez uwag. W okresie gwarancji Wykonawca, w ramach wynagrodzenia umownego, w celu zapewnienia Zamawiającemu niezakłóconego korzystania z systemu zapewni wsparcie techniczne systemu obejmujące:

Wsparcie producenta

1. Wymagane jest zapewnienie pełnego wsparcia producenta przez okres jednego roku na wszystkie komponenty sprzętowe oraz moduły programowe gwarantujące aktualizację oprogramowania systemu na każde żądanie Zamawiającego, rozwiązywania problemów i  usuwania awarii sprzętowych oraz błędów oprogramowania,

2. Producent musi zapewnić aktualizację systemu w całym okresie świadczenia usługi wsparcia technicznego, uwzględniając co najmniej: sygnatury ataków, listę reguł polityki bezpieczeństwa, oprogramowanie samego systemu.

3. W celu zapewnienia aktualności systemu zabezpieczeń wymagana jest możliwość automatycznego oraz ręcznego pobierania aktualizacji. Dodatkowo musi istnieć również możliwość wykorzystania Proxy do aktualizacji.

4. Należy zapewnić dostęp do nowych wersji oprogramowania w całym okresie świadczenia usługi wsparcia technicznego.

Załącznik nr 2

do umowy nr …….

z dnia ………………..

Miejscowość dnia ……………………..

Protokół odbioru

W dniu ……….…… w siedzibie …………….…………………… dokonano odbioru ………..…………………… w ramach umowy nr …………..……. z dnia ……………………….

Xxxxxxx została przyjęta (nieprzyjęta)* ze względu na ......................................................................................................................................

......................................................................................................................................

......................................................................................................................................

......................................................................................................................................

Zamawiający Wykonawca

................................. ................................

*/ niepotrzebne skreślić