ΤΕΧΝΙΚΕΣ ΠΡΟΔΙΑΓΡΑΦΕΣ. «Προμήθεια υπηρεσιών, λογισμικού και συσκευών Τείχους Προστασίας (Firewall)»

Transcript

1 ΤΕΧΝΙΚΕΣ ΠΡΟΔΙΑΓΡΑΦΕΣ «Προμήθεια υπηρεσιών, λογισμικού και συσκευών Τείχους Προστασίας (Firewall)» ΓΕΝΙΚΗ ΔΙΕΥΘΥΝΣΗ ΤΕΧΝΟΛΟΓΙΑΣ ΔΙΕΥΘΥΝΣΗ ΠΛΗΡΟΦΟΡΙΚΉΣ

2 Περιεχόμενα 1 ΣΚΟΠΟΣ ΕΙΣΑΓΩΓΗ ΠΑΡΟΥΣΑ ΚΑΤΑΣΤΑΣΗ ΔΙΚΤΥΑΚΗ ΑΠΟΤΥΠΩΣΗ ΠΛΗΘΟΣ ΔΙΑΣΥΝΔΕΣΕΩΝ ΠΡΟΣ ΤΟ INTERNET ΤΑΧΥΤΗΤΕΣ ΔΙΑΣΥΝΔΕΣΕΩΝ ΥΠΑΡΧΟΥΣΕΣ ΥΠΗΡΕΣΙΕΣ ΠΟΥ ΠΑΡΕΧΟΝΤΑΙ ΜΕΣΩ ΔΙΑΔΙΚΤΥΟΥ ΥΠΑΡΧΟΥΣΕΣ VPN ΣΥΝΔΕΣΕΙΣ site-to-site ΥΠΑΡΧΟΝ ΠΛΗΘΟΣ ΖΩΝΩΝ F/W ΥΠΑΡΧΟΥΣΑ ΥΠΟΔΟΜΗ ΑΣΦΑΛΕΙΑΣ ΣΤΟΧΟΣ - ΖΗΤΟΥΜΕΝΑ Αντικείμενο Έργου Διαδικασία Υλοποίησης Πλεονεκτήματα Ζητούμενα είδη ΤΕΧΝΙΚΗ ΠΕΡΙΓΡΑΦΗ ΤΕΙΧΟΥΣ ΠΡΟΣΤΑΣΙΑΣ Αρχιτεκτονική Δικτύου - Εξοπλισμός Λογισμικό Τεχνολογία Ασφάλειας Δικτύου Τεχνολογία Προστασίας από Κακόβουλο Λογισμικό Μηδενικού Χρόνου 11 6 ΥΠΗΡΕΣΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ (MANAGED SECURITY SERVICES - SOC) ΕΚΠΑΙΔΕΥΣΗ ΠΡΟΫΠΟΛΟΓΙΣΜΟΣ ΔΙΑΓΩΝΙΣΤΙΚΗ ΔΙΑΔΙΚΑΣΙΑ Αξιολόγηση Προσφορών Τεχνική Αξιολόγηση Οικονομική Αξιολόγηση Αξιολόγηση συμφερότερης προσφοράς ΤΕΧΝΙΚΕΣ ΠΡΟΔΙΑΓΡΑΦΕΣ ΠΙΝΑΚΕΣ ΣΥΜΜΟΡΦΩΣΗΣ - ΒΑΘΜΟΛΟΓΙΑΣ Γενικές προδιαγραφές Συσκευές Ασφαλείας Υπηρεσίες Διαχείρισης Ασφάλειας Παρακολούθηση 24x Εκπαίδευση ΠΙΝΑΚΕΣ ΟΙΚΟΝΟΜΙΚΗΣ ΠΡΟΣΦΟΡΑΣ ΠΑΡΑΔΟΤΕΑ

3 12 ΛΟΙΠΑ ΣΤΟΙΧΕΙΑ ΕΡΓΟΥ Συνεργασία Υποψηφίου με το προσωπικό της ΕΡΤ Χρονοδιαγράμματα Στοιχεία Εγγύησης Συντήρησης SLA Παρεχόμενων υπηρεσιών

4 1 ΣΚΟΠΟΣ Η ΕΡΤ πρόκειται να προχωρήσει σε διενέργεια διαγωνισμού με σκοπό την προμήθεια συσκευών Τείχους Προστασίας για την αναβάθμιση κρίσιμων υπηρεσιών που σχετίζονται με την ασφάλεια της διακίνησης και διαχείρισης αρχείων της εταιρείας. Στη συνέχεια αναλύονται οι απαιτήσεις και οι τεχνικές προδιαγραφές του ζητούμενου εξοπλισμού. Τα υπό προμήθεια συστήματα θα καλύψουν ανάγκες ασφαλείας όλων των υπηρεσιακών τομέων της ΕΡΤ. 2 ΕΙΣΑΓΩΓΗ Το ζήτημα της ασφάλειας των πληροφοριών είναι ιδιαίτερα σημαντικό στα σύγχρονα δίκτυα υπολογιστών. Ένα δικτυωμένο σύστημα είναι επιρρεπές σε ένα πλήθος απειλών που προέρχονται κυρίως από επίδοξους εισβολείς αλλά ακόμη και ακούσια από νόμιμους χρήστες των υπηρεσιών. Για τον λόγο αυτό κρίνεται αναγκαία η συνεχής αναβάθμιση των συστημάτων προστασίας Firewalls της ΕΡΤ. Η απρόσκοπτη διαθεσιμότητα, η ακεραιότητα αλλά και η ασφάλεια των πόρων και των δεδομένων (data) μιας εταιρείας είναι αυτά που την καθιστούν λειτουργικά ευέλικτη και αξιόπιστη. Τα μέτρα ασφαλείας που λαμβάνονται στοχεύουν στην προστασία του απορρήτου των προσωπικών και ευαίσθητων δεδομένων που ανήκουν και διατηρούνται στην εταιρεία ή αυτών που διακινούνται. Η χρήση όλο και πιο εξελιγμένων τεχνολογιών, προσφέρει αναμφισβήτητα σημαντικά πλεονεκτήματα και δυνατότητες, αυξάνει όμως ταυτόχρονα τα ζητήματα που έχουν να κάνουν με την εξασφάλιση της διαθεσιμότητας και της εμπιστευτικότητα της πληροφορίας. Συμπερασματικά, κρίνεται αναγκαία η προμήθεια σύγχρονων συσκευών Τείχους Προστασίας αλλά παράλληλα και υπηρεσιών αδιάλειπτης παρατήρησης (monitoring) της λειτουργίας τους, με σκοπό την καλύτερη διαχείριση σε επίπεδο ασφάλειας των δεδομένων αλλά και την καλύτερη πρόληψη σε ενδεχόμενες επιθέσεις. 3 ΠΑΡΟΥΣΑ ΚΑΤΑΣΤΑΣΗ 3.1 ΔΙΚΤΥΑΚΗ ΑΠΟΤΥΠΩΣΗ ΠΛΗΘΟΣ ΔΙΑΣΥΝΔΕΣΕΩΝ ΠΡΟΣ ΤΟ INTERNET To πλήθος των υπαρχουσών διασυνδέσεων προς το Internet είναι τρεις (3), οι οποίες εξυπηρετούνται κατά το παρόν, από συνολικά τέσσερις διαφορετικού τύπου συσκευές ασφαλείας ΤΑΧΥΤΗΤΕΣ ΔΙΑΣΥΝΔΕΣΕΩΝ - Public Internet 300Mbps, - Greek commercial internet traffic (GR-IX) 10 Gbps, 4

5 - Internet GRNET 1Gbps. 3.2 ΥΠΑΡΧΟΥΣΕΣ ΥΠΗΡΕΣΙΕΣ ΠΟΥ ΠΑΡΕΧΟΝΤΑΙ ΜΕΣΩ ΔΙΑΔΙΚΤΥΟΥ Α.Α. Υπηρεσίες Παρατηρήσεις 1 FTP Large Files exchange 2 Inbound Live Stream 4 υπηρεσίες live μετάδοσης από σημεία ανά την Ελλάδα προς τα κεντρικά συμπιεσμένου Video 3 Outbound Live Stream Backup Compressed Video Stream 4 SIP PtP PtP SIP connection Master to EBU 5 File Exchange Platforms EBU, Mediashuttle, Aspera Very large Media Files Transfer 6 Web Hosting ERT Site, Web services 7 Streaming Radio and TV live streaming (25radio + 5TV) 8 Web Server Load Balancer 9 VOD 10 HTTP 11 2xMail relay (IΙS για το office365) 1xDMZ για τα sites 1x internal LAN για τους εσωτερικούς servers 12 VPN server Multiple VPN Gateway for client connection. 1 Forefront TMG (PPtP, L2TP), Cisco ASA (IPSEC). Total of 300 client connections 3.3 ΥΠΑΡΧΟΥΣΕΣ VPN ΣΥΝΔΕΣΕΙΣ site-to-site Οι τρέχουσες site-to-site VPN συνδέσεις είναι έξι (6). Μελλοντικά ο αριθμός θα αυξηθεί εκθετικά με την παράλληλη ενσωμάτωση στη δικτυακή υποδομή των περιφερειακών σταθμών και της σύνδεσης με τα κέντρα εκπομπής. 3.4 ΥΠΑΡΧΟΝ ΠΛΗΘΟΣ ΖΩΝΩΝ F/W Συνολικά στην παρούσα φάση λειτουργούν έξι (6) ζώνες (interfaces): 1x LAN, 2x DMZ, 1x Wireless, 2x Public 3.5 ΥΠΑΡΧΟΥΣΑ ΥΠΟΔΟΜΗ ΑΣΦΑΛΕΙΑΣ Το πλήθος των εν δυνάμει ταυτόχρονα συνδεδεμένων χρηστών στο διαδίκτυο προσδιορίζεται στους Λειτουργεί Active Directory σε Windows Server

6 R2. Για τις ανάγκες τις ασφάλειας του δικτύου της, η ΕΡΤ διαθέτει τέσσερα (4) σημεία ελέγχου τύπου Firewall, διαφορετικών κατασκευαστών. Το λογισμικό τους περιλαμβάνει πέντε (5) κύριες υπηρεσίες (FW, VPN, Identity Awareness, Advanced Networking, Quality of Service) και δύο (2) υπηρεσίες NGFW (IPS & Application Control) οι οποίες ανανεώνονται ανά έτος προκειμένου να διατηρηθεί το μέγιστο δυνατό επίπεδο ασφάλειας. 4 ΣΤΟΧΟΣ - ΖΗΤΟΥΜΕΝΑ 4.1 Αντικείμενο Έργου Η προμήθεια των ακόλουθων ζητούμενων συσκευών θα επιφέρει ευελιξία, υψηλή διαθεσιμότητα στις ψηφιακές υπηρεσίες της ΕΡΤ, καθώς και το επιθυμητό και επιβεβλημένο επίπεδο ασφάλειας. Επίσης, θα καταστεί δυνατή η μετάπτωση των υπαρχόντων συστημάτων ασφαλείας σε μία ενιαία πλατφόρμα. 4.2 Διαδικασία Υλοποίησης Ο Ανάδοχος θα πρέπει να φροντίσει για τη διασύνδεση του προς προμήθεια εξοπλισμού στην υφιστάμενη υποδομή της ΕΡΤ και να μεριμνήσει ώστε να: 1. τηρηθούν οι σύγχρονες βέλτιστες πρακτικές ασφαλείας που αφορούν την ορθή υλοποίηση του Έργου. Με ευθύνη του Αναδόχου, θα πρέπει να γίνεται συστηματική καταγραφή όλων των κινδύνων (risks/mitigations), των θεμάτων (issues) και λοιπών παραγόντων που αφορούν την υλοποίηση του Έργου. 2. υπάρξει διαρκής και καλής ποιότητας τεχνική υποστήριξη, καθώς και άμεση και αμοιβαία συνεργασία σε όλη τη χρονική διάρκεια του Έργου. 3. παρέχει υψηλής ποιότητας εκπαίδευση των διαχειριστών, των οποίων ο ρόλος θα είναι καθοριστικός για τη μελλοντική επιτυχή λειτουργία της συνολικής υπηρεσίας. 4.3 Πλεονεκτήματα Η ολοκλήρωση του παρόντος έργου θα επιφέρει στην ΕΡΤ τα ακόλουθα οφέλη: 1. Μείωση του λειτουργικού κόστους διαχείρισης: λόγω της αντικατάστασης και της ενοποίησης των πεπαλαιωμένων υφιστάμενων πυλών ασφαλείας (Firewalls) από μία κοινή πλατφόρμα Ασφάλειας Δικτύου & Ασφαλούς Πρόσβασης στο Διαδίκτυο και την παροχή υπηρεσιών τύπου MSS (Managed Security Services) 24x7 2. Προστασία από νέες, σύγχρονες και πολύπλοκες απειλές όπως κακόβουλο λογισμικό μηδενικού χρόνου. 3. Εντοπισμός και διαχείριση των περιστατικών ασφαλείας 24x7 σε πραγματικό χρόνο. 6

7 4.4 Ζητούμενα είδη Ο υποψήφιος ανάδοχος θα πρέπει να καταθέσει τεχνική και οικονομική προσφορά για το σύνολο των παρακάτω ειδών. 1. Δύο (2) συσκευές τείχους προστασίας, με όλα τα ζητούμενα παρελκόμενα και πλήρως αδειοδοτημένες για την ζητούμενη λειτουργικότητα με υποστήριξη για δύο (2) έτη (ενότητα 5). 2. Υπηρεσίες απομακρυσμένης παρακολούθησης κίνησης (Managed Monitoring Services) 24x7 για δύο (2) έτη (ενότητα 6). 3. Εκπαίδευση του προσωπικού της ΕΡΤ (ενότητα 7). Οι συσκευές θα πρέπει να συμμορφώνονται με τις τεχνικές προδιαγραφές όπως περιγράφονται στον πίνακα προδιαγραφών της ενότητας 10. Ο ανάδοχος θα πρέπει να καταθέσει προσφορά για το σύνολο των ζητούμενων ειδών. ΔΕΝ θα γίνουν δεκτές τμηματικές προσφορές. Η παροχή εγγύησης και υποστήριξης για τα ζητούμενα υλικά και λογισμικά ορίζεται στα δύο (2) έτη κατ ελάχιστο. 5 ΤΕΧΝΙΚΗ ΠΕΡΙΓΡΑΦΗ ΤΕΙΧΟΥΣ ΠΡΟΣΤΑΣΙΑΣ 5.1 Αρχιτεκτονική Δικτύου - Εξοπλισμός Ο Ανάδοχος οφείλει να σχεδιάσει, να περιγράψει αναλυτικά και να υλοποιήσει τον τρόπο διασφάλισης του δικτύου και των συστημάτων της ΕΡΤ μέσω του προσφερόμενου εξοπλισμού. Στο σχεδιασμό οφείλει να: ενσωματώσει τους κατάλληλους μηχανισμούς διασφάλισης των παρεχόμενων υπηρεσιών προς τρίτους, συνεργάτες-πελάτες, σε σχέση με τα εσωτερικά δίκτυα και τον ασφαλή διαμοιρασμό των υπηρεσιών. περιγράψει τις προτεινόμενες ζώνες ασφαλείας, την αντίστοιχη πολιτική πρόσβασης αλλά και το βέλτιστο τρόπο εφαρμογής της ανά χρήστη/username, ανά συσκευή, κ.λ.π αναφέρει αναλυτικά τους ελέγχους ασφάλειας της διαδικτυακής κίνησης, όπως η προστασία από επιθέσεις τύπου Denial of Service, η ανάλυση δεδομένων ασφάλειας σε κρυπτογραφημένο επίπεδο κ.λπ. Ο οποιοσδήποτε σχεδιασμός καθώς και η μελέτη με την αναλυτική περιγραφή του τρόπου διασφάλισης της υποδομής της ΕΡΤ θα υποβληθεί προς έγκριση, έλεγχο και πιθανές τροποποιήσεις που θα συμφωνηθούν με την ΕΡΤ, πριν από τη φάση της εφαρμογής και υλοποίησης. Η λύση θα πρέπει να παρέχει κεντρικοποιημένη ενιαία πολιτική ασφάλειας χρηστών και δεδομένων, η οποία θα είναι πλήρως διαχειρίσιμη από την ΕΡΤ. Ενδεικτικά, η σχηματική απεικόνιση της προς υλοποίηση αρχιτεκτονικής δικτύου με χρήση των υφιστάμενων γραμμών και εξοπλισμού σύνδεσης, αποτυπώνεται στο 7

8 παρακάτω διάγραμμα. Τα δύο UTMs θα πρέπει να μπορούν να λειτουργούν σε διάταξη υψηλής διαθεσιμότητας (διάταξη Active/Active ή Active/Standby) για καταμερισμό του φόρτου λειτουργίας, έτσι ώστε σε περίπτωση δυσλειτουργίας του ενός UTM να αναλάβει τις ενεργές συνδέσεις το έτερο μέλος της διάταξης (stateful failover). H δρομολόγηση θα επιτευχθεί μέσω της τεχνικής policy base routing. Το αρμόδιο προσωπικό της ΕΡΤ θα αποφασίσει ποια από τις δύο υλοποιήσεις θα εφαρμοστεί. Η ενδεικτική αρχιτεκτονική δικτύου, είναι η αρχιτεκτονική αποστρατικοποιημένης ζώνης (Demilitarized Zone) και βασίζεται στην «Εις Βάθος Πολιτική Ασφάλειας (Defense in Depth)», με διαχωρισμό μεταξύ των ζωνών. Βασική αρχή της ανωτέρω πολιτικής αποτελεί η εξέταση όλων των συστατικών στοιχείων (components) του δικτύου, τα οποία ασφαλίζονται συνολικά. Ο σκοπός μιας αποστρατικοποιημένης ζώνης είναι να προσθέσει ένα επιπλέον επίπεδο ασφάλειας στο τοπικό δίκτυο (LAN) της ΕΡΤ. Σε δεύτερο επίπεδο ασφάλειας θα πρέπει να καθοριστούν οι ευαίσθητες υποδομές και τα αγαθά της ΕΡΤ, που χρήζουν ειδικής φροντίδας ως προς τον έλεγχο δικτυακής πρόσβασης και ασφάλειας. Οι κανόνες ασφάλειας θα προσδιορισθούν κατά τη φάση της μελέτης εφαρμογής, από την ΕΡΤ σε συνεργασία με τον ανάδοχο ο οποίος υποχρεούται να τους υλοποιήσει καθώς και να εντάξει την παρακολούθησή τους στην πλατφόρμα διαχείρισης περιστατικών ασφαλείας. 8

9 Διάγραμμα 1: Σχηματική Απεικόνιση Αρχιτεκτονικής Δικτύου Internet ASR ibgp ASR DMZ 2 Private Interconnect link UTM Cluster (Active/Active) DMZ 1 ERT LAN 9

10 5.2 Λογισμικό Τεχνολογία Ασφάλειας Δικτύου H προσφερόμενη λύση ασφάλειας θα πρέπει να παρέχει προστασία στο εταιρικό δίκτυο της ΕΡΤ από επιθέσεις και απειλές στο περιεχόμενο των δικτυακών επικοινωνιών, να εξασφαλίζει ασφαλή και ελεγχόμενη πρόσβαση των εσωτερικών χρηστών στο Διαδίκτυο και να παρέχει προστασία στους servers του εσωτερικού δικτύου της ΕΡΤ μέσω Συστήματος αποτροπής εισβολών (Network IPS), Application Level Firewalling κ.α. Επίσης, θα πρέπει να καλύπτει τον έλεγχο της πρόσβασης των εσωτερικών χρηστών στο Διαδίκτυο και την ανάλυση των επικοινωνιών τους, ασχέτως του πρωτοκόλλου επικοινωνίας, με σκοπό τον άμεσο εντοπισμό και την καταστολή απειλών στο περιεχόμενο αυτών (π.χ. malware, malicious mobile code κτλ.). Η εγκατάσταση του εξοπλισμού θα γίνει στο Ραδιομέγαρο σε διάταξη υψηλής διαθεσιμότητας Active/Active ή Active/Standby και η διαχείριση της προσφερόμενης λύσης θα πρέπει να είναι δυνατή από μια ενιαία κονσόλα. Η προσφερόμενη λύση θα πρέπει κατ ελάχιστο να περιλαμβάνει τις παρακάτω λειτουργίες: 1. Real-time Threat Prevention έλεγχος όλης της δικτυακής κίνησης ασχέτως του πρωτοκόλλου επικοινωνίας για απειλές με δυνατότητα ανίχνευσης, καταστολής και ενημέρωσης απειλών, σε πραγματικό χρόνο. Δυνατότητα εφαρμογής διαφορετικών πολιτικών Network IPS ανά Source/Destination IP address, Network subnet, Protocol και client application. 2. URL Filtering έλεγχος της πρόσβασης των χρηστών σε συγκεκριμένες κατηγορίες ιστοσελίδων με δυνατότητα εφαρμογής διαφορετικών πολιτικών ανά domain user/group. 3. Application Identification & Control (Visibility) αναγνώριση και έλεγχος των εφαρμογών που δραστηριοποιούνται στο εταιρικό δίκτυο, ανεξαρτήτως πρωτοκόλλου επικοινωνίας, με έμφαση στις εφαρμογές που συνδέονται στο Διαδίκτυο. Δυνατότητα εφαρμογής πολιτικών ελέγχου πρόσβασης βάσει της εφαρμογής που χρησιμοποιεί ο χρήστης σε συνδυασμό με το Source/Destination IP address, το πρωτόκολλο και τον χρήστη (domain user/group). 4. Anti-Malware Protection έλεγχος όλης της δικτυακής κίνησης ασχέτως του πρωτοκόλλου επικοινωνίας για πιθανή διακίνηση κακόβουλου λογισμικού. 5. File Type Filtering έλεγχος της δικτυακής διακίνησης αρχείων ασχέτως πρωτοκόλλου επικοινωνίας και εφαρμογής διαφορετικών πολιτικών ανά τύπο αρχείου, αναγνωρίζοντας τα αρχεία από το payload τους και όχι μόνο από την κατάληξή τους. Δυνατότητα εφαρμογής διαφορετικών πολιτικών διακίνησης αρχείων ανά Source/Destination IP address, client εφαρμογή και domain user/group. 10

11 6. Quality-of-Service δυνατότητα εφαρμογής πολιτικών ορθής χρήσης των δικτυακών πόρων, με καθορισμό συγκεκριμένου δικτυακού εύρους και προτεραιότητας ανά χρήστη και εφαρμογή. 7. SSL Scanning: Ανάλυση και έλεγχος ασφάλειας των κρυπτογραφημένων Web επικοινωνιών (SSL traffic). 8. Real-time Monitoring & Statistics δυνατότητα παρακολούθησης της κατάστασης ασφάλειας του δικτύου σε πραγματικό χρόνο (αποδεκτός χρόνος απόκλισης λόγω μεταφοράς των logs έως το πολύ 1 λεπτό), παροχή στατιστικών όσων αφορά τις προσβάσεις των χρηστών, τις εφαρμογές που χρησιμοποιούνται, τον όγκο των επικοινωνιών που αναπτύσσουν, τις απειλές που εντοπίζονται, τα δεδομένα που διακινούνται κ.α. 9. Logging & Reporting Παραγωγή συγκεντρωτικών και αναλυτικών αναφορών βάσει πολλαπλών κριτηρίων όπως συγκεκριμένος χρήστης, εφαρμογή, σύστημα, είδος απειλής κ.α. και μετέπειτα αποστολή τους στο προσφερόμενο σύστημα SIEM. 10. VPN services Υπηρεσίες client less και client based VPN συνδέσεων για απομακρυσμένη πρόσβαση των χρηστών στο δίκτυο της ΕΡΤ και site-to-site για σύνδεση με τα απομακρυσμένα σημεία παρουσίας της. Με την εγκατάσταση της προσφερόμενης λύσης ο Ανάδοχος θα πρέπει να εκτελέσει τη διαδικασία μετάπτωσης (migration) των κανόνων των υπαρχόντων συσκευών ασφαλείας (1x Checkpoint 77.30, 2x Cisco ASA) στο νέο σύστημα. Ο Υποψήφιος Ανάδοχος θα πρέπει να λάβει υπόψη του τα παραπάνω κατά την υποβολή της τεχνικής του προσφοράς και να προσφέρει οποιοδήποτε επιπλέον υλικό ή λογισμικό κρίνει απαραίτητο για την επίτευξη της ζητούμενης λειτουργικότητας. Σε κάθε περίπτωση, το προσφερόμενο υλικό και λογισμικό θα πρέπει να είναι σύμφωνο με τις σχετικές τεχνικές προδιαγραφές (ενότητα 10) Τεχνολογία Προστασίας από Κακόβουλο Λογισμικό Μηδενικού Χρόνου H υπηρεσία ασφάλειας θα πρέπει να παρέχει στην ΕΡΤ προστασία του δικτύου της από κακόβολο λογισμικό και exploits μηδενικού χρόνου. Θα πρέπει να γίνεται άμεσος έλεγχος σε όλα τα εισερχόμενα αρχεία και να τα εκτελεί σε ένα εικονικό περιβάλλον, ώστε να εντοπισθεί οποιαδήποτε κακόβουλη συμπεριφορά. Τα αρχεία που θα χαρακτηρίζονται κακόβουλα δεν θα επιτρέπεται να εισέλθουν στο δίκτυο της ΕΡΤ. Η προσφερόμενη λύση θα πρέπει κατ ελάχιστο να περιλαμβάνει τις παρακάτω λειτουργίες: 1. Εικονική Τεχνολογία Sandboxing H τεχνολογία εξομοίωσης απειλής θα πρέπει να βασίζεται σε ένα εικονικό sandbox περιβάλλον και να επιτρέπει τον έλεγχο και το φιλτράρισμα των κακόβουλων εισερχόμενων αρχείων. 11

12 2. Υποστήριξη πολλαπλών λειτουργικών συστημάτων εξομοίωσης όπως Windows XP, 7, 10 κ.α. 3. Αναλυτικές Αναφορές Εξομοίωσης Απειλών - Για κάθε κακόβουλο αρχείο που εξομοιώνεται θα πρέπει να δημιουργείται μια αναλυτική αναφορά, η οποία θα περιλαμβάνει λεπτομερείς πληροφορίες σχετικά με τυχόν κακόβουλες προσπάθειες που προέρχονται από την εκτέλεση των αρχείων. 4. Εντοπισμός και προστασία από απειλές μέσω κρυπτογραφημένης επικοινωνίας - Η προτεινόμενη λύση θα πρέπει να παρέχει την δυνατότητα ελέγχου μέσω SSL και TLS λογικών καναλιών, έτσι ώστε να εντοπίσει κακόβουλο λογισμικό μηδενικού χρόνου μέσω κρυπτογραφημένων καναλιών. 5. Προστασία εκμετάλλευσης (exploitation) αρχείων MS Office και Adobe Acrobat PDF. 6. Πρόληψη των απειλών σε εκτελέσιμα αρχεία τύπου.exe και συμπιεσμένα αρχεία τύπου ZIP - Η προτεινόμενη λύση θα πρέπει να εντοπίζει και να αποτρέπει τις επιθέσεις που βασίζονται σε κακόβολα εκτελέσιμα ή/και συμπιεσμένα αρχεία. Ο Υποψήφιος Ανάδοχος θα πρέπει να λάβει υπόψη του τα παραπάνω κατά την υποβολή της τεχνικής του προσφοράς και να προσφέρει οποιοδήποτε επιπλέον υλικό ή λογισμικό ή υπηρεσία κρίνει απαραίτητο για την επίτευξη της ζητούμενης λειτουργικότητας. 6 ΥΠΗΡΕΣΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ (MANAGED SECURITY SERVICES - SOC) Η παρεχόμενη υπηρεσία θα πρέπει να εντοπίζει και να διερευνά πιθανά περιστατικά ασφάλειας και να συλλέγει πληροφορίες από αρχεία καταγραφής (logs) και την ανάλυση της δικτυακής κίνησης της ΕΡΤ. Θα πρέπει να περιλαμβάνει κατ ελάχιστον: Έλεγχο Ευπαθειών - θα πρέπει να εξασφαλίζει την ελαχιστοποίηση των θετικώς εσφαλμένων (false positives). Ο υποψήφιος ανάδοχος οφείλει να περιγράψει τη μεθοδολογία παραμετροποίησης των κανόνων συσχετισμού για την ελαχιστοποίηση των θετικώς εσφαλμένων (false positives). Η παροχή αυτής της υπηρεσίας θα γίνεται μέσω της κεντρικής διαχείρισης της πλατφόρμας διαχείρισης των απειλών του Αναδόχου και θα πρέπει να παραδίδεται αναφορά σε τακτική βάση (βλέπε πίνακες συμμόρφωσης). Η υπηρεσία αυτή δεν θα πρέπει να επηρεάζει την απόδοση του δικτύου κατά τις παραγωγικές του ώρες και να προσβάλει την λειτουργία όλης της υποδομής. Η προτεινόμενη λύση θα πρέπει να υποστηρίζει το σύνολο των λειτουργικών χαρακτηριστικών όπως προδιαγράφονται στο τεύχος των Πινάκων Συμμόρφωσης. 12

13 Συνεχή Παρακολούθηση και ενημέρωση για περιστατικά Ασφαλείας - ο ανάδοχος θα πρέπει να προτείνει αδιάλειπτη (24x7) υπηρεσία παρακολούθησης της ασφάλειας της υποδομής μέσω της συγκέντρωσης πληροφοριών από αρχεία καταγραφής (logs) και δικτυακής κίνησης (packet capture), συσχετισμού των πληροφοριών αυτών, εντοπισμού και ανάλυσης των πιθανών συμβάντων ασφαλείας καθώς και αντίστοιχης ενημέρωσης της ΕΡΤ, για το σύνολο του εξοπλισμού που προσφέρει. Την ευθύνη για τον έλεγχο και την άμεση ενημέρωση για τα περιστατικά ασφαλείας θα τον έχει ο ανάδοχος. Η ΕΡΤ θα πρέπει να μπορεί να παρακολουθεί σε πραγματικό χρόνο τα εν λόγω περιστατικά μέσω Web Portal, καθώς και να έχει πλήρη πρόσβαση σε όλα τα αρχεία καταγραφής συμβάντων (log files) και θα πρέπει να ενημερώνεται για πιθανά περιστατικά ασφαλείας σε 24ωρη βάση μέσω , sms ή τηλεφωνικής κλήσης, ανάλογα με την κρισιμότητά τους. Ο υποψήφιος ανάδοχος οφείλει να περιγράψει τη μεθοδολογία διαβάθμισης των περιστατικών ασφάλειας. Ειδικότερα, για περιστατικά ασφάλειας τα οποία χαρακτηρίζονται σαν ύψιστης κρισιμότητας απαιτείται τηλεφωνική ενημέρωση της ΕΡΤ εντός 30 λεπτών από τη στιγμή εκδήλωσης του περιστατικού. Η συλλογή και επεξεργασία των σχετικών πληροφοριών θα γίνεται σε κατάλληλη υποδομή του αναδόχου (Security Operation Center) από μηχανικούς που διαθέτουν κατάλληλες πιστοποιήσεις ασφάλειας. Ο ανάδοχος, πλην της άμεσης επέμβασης και ενημέρωσης για τυχόν συμβάντα ασφαλείας, οφείλει να παραδίδει την κατάλληλη αναφορά σε μηνιαία βάση. Ο Ανάδοχος οφείλει να εκπαιδεύσει το προσωπικό της ΕΡΤ στη χρήση του portal και της πλατφόρμας συλλογής, επεξεργασίας και παρακολούθησης περιστατικών ασφάλειας, μέσω αναλυτικού προγράμματος εκπαίδευσης που θα υποβάλλει με την προσφορά του. Τέλος, θα πρέπει να δώσει στοιχεία σχετικά με την ομάδα μηχανικών και αναλυτών που υποστηρίζουν την υπηρεσία και να υποβάλλει πρόγραμμα εκπαίδευσης των μηχανικών της ΕΡΤ σχετικά με όλα τα εμπλεκόμενα στο έργο θέματα ασφάλειας και διαχείρισης δικτύου (ενότητα 7). Η παρεχόμενη υπηρεσία θα πρέπει να υποστηρίζει το σύνολο των χαρακτηριστικών όπως προδιαγράφονται στο τεύχος των Πινάκων Προδιαγραφών (Ενότητα 10) και θα παρέχεται ανεξάρτητα από τη real time απεικόνιση που θα είναι διαθέσιμη στο προσωπικό της ΕΡΤ μέσω της προσφερόμενης υλοποίησης. 7 ΕΚΠΑΙΔΕΥΣΗ Η εκπαίδευση θα περιλαμβάνει την απαραίτητη μεταφορά τεχνογνωσίας στους διαχειριστές για την διαχείριση των UTM Firewall. Η εκπαίδευση θα πρέπει να γίνει από πιστοποιημένο εκπαιδευτή του κατασκευαστή, στη χρήση των συσκευών και των υπηρεσιών που θα παραδοθούν και θα πρέπει να οδηγεί στην πιστοποίηση των χρηστών από την κατασκευάστρια εταιρεία του εξοπλισμού. Ο Ανάδοχος υποχρεούται να καλύψει το κόστος πιστοποίησης των εκπαιδευομένων. Ο Ανάδοχος υποχρεούται να καθορίσει το πρόγραμμα κατάρτισης, να σχεδιάσει, να αναπτύξει και να παραδώσει το εκπαιδευτικό υλικό και τα εγχειρίδια 13

14 και φυσικά να υλοποιήσει το πρόγραμμα. Στην Τεχνική Προσφορά του ο Υποψήφιος Ανάδοχος πρέπει να προτείνει πρόγραμμα για τις υπηρεσίες εκπαίδευσης που θα προσφέρει, το κόστος των οποίων θα αποτυπώνεται αναλυτικά στην Οικονομική Προσφορά του. Η εκπαίδευση θα διαρκέσει ένα (1) μήνα και περιλαμβάνει τα εξής στάδια: Προγραμματισμό εκπαίδευσης Ανάπτυξη εκπαιδευτικού υλικού Διενέργεια εκπαίδευσης Αξιολόγηση εκπαίδευσης και εκπαιδευομένων 8 ΠΡΟΫΠΟΛΟΓΙΣΜΟΣ Η προμήθεια αυτή, εντάσσεται στο πλαίσιο του γενικότερου σχεδιασμού και αναβάθμισης των πληροφοριακών συστημάτων της ΕΡΤ Α.Ε. για το έτος Ο προϋπολογισμός του έργου, το οποίο θα καλύψει τις λειτουργικές ανάγκες που προδιαγράφονται, είναι ,00 πλέον ΦΠΑ και η διάρκεια της μίσθωσης των υπηρεσιών βάσει της σύμβασης που θα προκύψει από την κατακύρωση του παρόντος διαγωνισμού θα είναι δύο (2) έτη μετά από την ποιοτική παραλαβή του έργου. H ΕΡΤ διατηρεί το δικαίωμα αύξησης των ποσοτήτων των ζητούμενων υπηρεσιών (όχι υλικών) κατά 15%. 9 ΔΙΑΓΩΝΙΣΤΙΚΗ ΔΙΑΔΙΚΑΣΙΑ Κάθε υποψήφιος Ανάδοχος θα καταθέσει προσφορά για το σύνολο του ζητούμενου εξοπλισμού, υπηρεσιών και εκπαίδευσης. Η κατακύρωση της προμήθειας θα γίνει με κριτήριο ανάθεσης την πλέον συμφέρουσα από οικονομική άποψη προσφορά, με βάση τη βέλτιστη σχέση ποιότητας τιμής. Οι τεχνικές προσφορές των υποψήφιων αναδόχων θα πρέπει να συμμορφώνονται με τις τεχνικές προδιαγραφές των πινάκων της ενότητας 10. Προσφορά η οποία δεν καλύπτει έστω και ένα απαράβατο όρο των πινάκων συμμόρφωσης, απορρίπτεται και δεν αξιολογείται περαιτέρω. Στην τεχνική προσφορά θα πρέπει να συμπεριλάβουν και πίνακα συγκρότησης υλικού (Οικονομική χωρίς τιμές) Οι υποψήφιοι ανάδοχοι θα πρέπει να καταθέσουν οικονομική προσφορά σύμφωνα με τα υποδείγματα των ενοτήτων & 11. Οι τιμές θα πρέπει να αναφέρονται ανά είδος και στο σύνολο χωρίς ΦΠΑ. 9.1 Αξιολόγηση Προσφορών Η Αξιολόγηση θα γίνει βάσει συμφερότερης από οικονομικής απόψεως προσφοράς με βέλτιστη σχέση ποιότητας τιμής. Η αξιολόγηση θα γίνει σε δύο στάδια. 14

15 9.1.1 Τεχνική Αξιολόγηση Στο στάδιο της τεχνικής αξιολόγησης οι προσφορές των υποψηφίων εξετάζονται ως προς την αρτιότητα, την πληρότητα, τη συμφωνία με τις προδιαγραφές και την τήρηση των όρων που χαρακτηρίζονται απαράβατοι στην παρούσα. Προσφορές που δεν πληρούν έστω και έναν απαράβατο όρο, ή είναι με άλλο τρόπο μη συμβατές με τις προδιαγραφές ή αποκλίνουν ουσιωδώς από αυτές, απορρίπτονται σε αυτό το στάδιο και δεν αξιολογούνται περαιτέρω. Απαράβατοι όροι θεωρούνται και εκείνοι όπου κάποιο στοιχείο βαθμολογείται μεν, αλλά τίθεται και ένα κατά περίπτωση ελάχιστο ή μέγιστο όριο, πέραν του οποίου η προσφορά δεν γίνεται αποδεκτή. Οι όροι που βαθμολογούνται υπάγονται σε δύο ομάδες. Η πρώτη ομάδα (Ομάδα «Α») περιέχει τα στοιχεία που αξιολογούν την προσφορά ως προς την συμφωνία με τις τεχνικές προδιαγραφές και τα λοιπά τεχνικά χαρακτηριστικά της. Η βαθμολογία της Ομάδας «Α» βαρύνει κατά 70% την τελική βαθμολογία. Η δεύτερη ομάδα (Ομάδα «Β») περιέχει τα στοιχεία που αξιολογούν την υποδομή του προμηθευτή, την τεχνική υποστήριξη που προσφέρεται και την εκπαίδευση των χρηστών. Η βαθμολογία της Ομάδας «Β» βαρύνει κατά 30% στην τελική βαθμολογία. Κάθε επιμέρους βαθμολογούμενος όρος βαθμολογείται με το συντελεστή βαρύτητάς του ΣΒΟ επί το βαθμό που έχει αποδοθεί από 100 μέχρι 120. Το άθροισα των ΣΒΟ του συνόλου των βαθμολογούμενων όρων ισούται με 100%. Συγκεκριμένα βαθμολογούνται τα εξής χαρακτηριστικά: Βαθμολογούμενοι όροι Πινάκων Προδιαγραφών ενότητας 6. Ομάδα «Α» (70%): Συμφωνία με τεχνικές προδιαγραφές Όρος Περιγραφή Ποσοστό 2.8 Δυνατότητα αυτορρύθμισης της υπηρεσίας IPS 5% 2.14 Μνήμη προσφερόμενων συσκευών ασφαλείας 10% 2.22 Μέγιστο προσφερόμενο VPN throughput 5% 2.24 Μέγιστο προσφερόμενο NGFW throughput (FW-APL-IPS) 15% 2.26 Μέγιστος αριθμός νέων συνδέσεων ανά δευτερόλεπτο 10% 2.36 Υποστήριξη δημιουργίας κανόνων με βάση χρήστη, group, υπολογιστή σε περισσότερα του ενός forest ταυτόχρονα. 10% 2.37 Αριθμός σκληρών δίσκων ανά συσκευή 5% 2.38 Χωρητικότητα σκληρών δίσκων 5% 2.89 Υποστήριξη περιβαλλόντων εξομοίωσης 5% Ομάδα «Β» (30%): Υποδομή-υποστήριξη-εκπαίδευση Όρος Περιγραφή Ποσοστό 1.5 Χρόνος Προσφερόμενης εγγύησης 20% 4.7 Χρόνος Απόκρισης σε περίπτωση συμβάντος υψίστης σημασίας. 5% 15

16 5.1 Αριθμός εργαζομένων που θα συμμετάσχουν στην διαδικασία εκπαίδευσης πιστοποίησης. 5% Ο υπολογισμός της τελικής βαθμολογίας Β προκύπτει από τον παρακάτω τύπο. Β = 0,7*ΒΑ + 0,3*ΒΒ όπου ΒΑ = Η βαθμολογία της ομάδας Α ΒΒ = Η βαθμολογία της ομάδας Β Οικονομική Αξιολόγηση Στο στάδιο της οικονομικής αξιολόγησης εξετάζονται οι οικονομικές προσφορές των υποψηφίων οι οποίοι προκρίθηκαν από το στάδιο της τεχνικής αξιολόγησης. Οι οικονομικές προσφορές θα πρέπει να έχουν κατατεθεί σύμφωνα με τον ακόλουθο πίνακα και με το πρότυπο που φαίνεται στην ενότητα 11. Οι προσφορές θα είναι για το σύνολο των ζητούμενων ειδών. Οι τιμές της προσφοράς θα πρέπει να αναγράφονται αναλυτικά ανά είδος και στο σύνολο, από το οποίο και θα φαίνεται το συνολικό κόστος (Κ). Οι τιμές θα πρέπει να αναγράφονται χωρίς ΦΠΑ ενώ αυτό θα αναφέρεται ξεχωριστά. Προσφορές κόστους Κ οι οποίες υπερβαίνουν το προϋπολογισθέν ποσό των ,00 πλέον ΦΠΑ θα απορρίπτονται. Ακολουθεί υπόδειγμα οικονομικής προσφοράς. Σύμβολο Αντικείμενο Ποσό Kutm Συνολικό κόστος των δύο UTM συσκευών (χωρίς ΦΠΑ), Kmgmt Συνολικό κόστος της συσκευής λογισμικού διαχείρισης (χωρίς ΦΠΑ), Κlics Συνολικό κόστος αδειών χρήσης για 2 έτη (χωρίς ΦΠΑ), Κmigr Κms Συνολικό κόστος μετάπτωσης κανόνων και υπηρεσιών (χωρίς ΦΠΑ) Συνολικό κόστος υπηρεσιών παρακολούθησης για 2 έτη (χωρίς ΦΠΑ),, Kedu Συνολικό κόστος εκπαίδευσης των χρηστών (χωρίς ΦΠΑ), KE Κόστος ζητούμενης εγγύησης υποστήριξης (2 έτη) (χωρίς ΦΠΑ), Κ Συνολικό κόστος (χωρίς ΦΠΑ), Σύμφωνα με τα παραπάνω προκύπτει το κόστος Κ που θα ληφθεί υπόψη για τον υπολογισμό της πλέον συμφέρουσας προσφοράς το οποίο ορίζεται ως εξής: Κ = Kutm + Kmgmt + Κlics + Κmigr + Κms + Kedu + KΕ 16

17 9.1.3 Αξιολόγηση συμφερότερης προσφοράς Ως συμφερότερη θα θεωρηθεί η προσφορά εκείνη που έχει το μικρότερο λόγο Λ = Κ / Β, όπου Β είναι η τεχνική βαθμολογία της προσφοράς όπως ορίζεται στην ενότητα και Κ το κόστος που περιγράφεται στην παράγραφο Ο υπολογισμός του Λ θα γίνεται μέχρι και το δεύτερο δεκαδικό ψηφίο. Σε περίπτωση που δύο ή περισσότερες προσφορές ισοβαθμούν, θα υπολογιστούν και τα υπόλοιπα δεκαδικά ψηφία του αποτελέσματος. Σε περίπτωση απόλυτης ισοβαθμίας προκρίνεται η προσφορά με το μεγαλύτερο βαθμό τεχνικής προσφοράς Β. 10 ΤΕΧΝΙΚΕΣ ΠΡΟΔΙΑΓΡΑΦΕΣ ΠΙΝΑΚΕΣ ΣΥΜΜΟΡΦΩΣΗΣ - ΒΑΘΜΟΛΟΓΙΑΣ 10.1 Γενικές προδιαγραφές Α/Α ΠΡΟΔΙΑΓΡΑΦΗ ΑΠΑΙΤΗΣΗ ΑΠΑΝΤΗΣΗ ΣΒΟ ΠΑΡΑΠΟΜΠΗ Ο Ανάδοχος θα πρέπει να διαθέτει πιστοποιημένο σύστημα διαχείρισης της ασφάλειας πληροφοριών σύμφωνα με το πρότυπο ISO/IEC 27001:2013. O Ανάδοχος θα πρέπει να διαθέτει Επιχειρησιακό Κέντρο Ασφάλειας (Security Operation Center) και να παρέχει σχετικές υπηρεσίες τύπου Managed Security Services (MSS) σε πέντε (5) τουλάχιστον πελάτες την τελευταία διετία. Ο Ανάδοχος θα πρέπει να διαθέτει πιστοποιημένο προσωπικό στα συστήματα που θα παραδώσει. Να κοινοποιηθούν οι εν λόγω πιστοποιήσεις Ο Ανάδοχος οφείλει να σχεδιάσει, να περιγράψει αναλυτικά και να υλοποιήσει τον τρόπο διασφάλισης του δικτύου και των συστημάτων της ΕΡΤ μέσω του προσφερόμενου εξοπλισμού. Στο σχεδιασμό οφείλει να: ενσωματώσει τους κατάλληλους μηχανισμούς διασφάλισης των παρεχόμενων υπηρεσιών προς τρίτους, συνεργάτες-πελάτες, σε σχέση με τα εσωτερικά δίκτυα και τον 17

18 ασφαλή διαμοιρασμό των υπηρεσιών. περιγράψει τις προτεινόμενες ζώνες ασφαλείας, την αντίστοιχη πολιτική πρόσβασης αλλά και το βέλτιστο τρόπο εφαρμογής της ανά χρήστη/username, ανά συσκευή, κ.λ.π αναφέρει αναλυτικά τους ελέγχους ασφάλειας της διαδικτυακής κίνησης, όπως η προστασία από επιθέσεις τύπου Denial of Service, η ανάλυση δεδομένων ασφάλειας σε κρυπτογραφημένο επίπεδο κ.λπ. 1.5 Ο Ανάδοχος θα πρέπει μετά το πέρας της εγκατάστασης των ζητούμενων, και λαμβάνοντας υπόψη τα αποτελέσματα του ότου 1.4, να πραγματοποιήσει μετάπτωση δεδομένων και υπηρεσιών από τα υπάρχοντα συστήματα στο νέο. Η Μετάπτωση θα γίνει σε χρόνο που θα υποδειχθεί από την ΕΡΤ με ελάχιστη δυνατή επίπτωση στην ομαλή λειτουργία του οργανισμού. 1.6 Όλα τα παραδοτέα συστήματα, υλικά λογισμικά θα πρέπει να καλύπτονται από την εγγύηση του κατασκευαστή για τουλάχιστον δύο (2) έτη. Το οποίο και βαθμολογείται με 100. Περίπτωση προσφοράς εγγύησης υποστήριξης για χρονικό διάστημα πλέον των ελάχιστων ζητούμενων, βαθμολογείται με +5 για κάθε ένα επιπλέον έτος. Αναλυτικότερα: Για εγγύηση 3 έτη βαθμολογείται με 105 Για εγγύηση 4 έτη βαθμολογείται με 110 ΒΑΘ/ΜΕΝΟ Β 20% Για εγγύηση 5 έτη βαθμολογείται με 115 Για εγγύηση 6 ετών και πλέον βαθμολογείται με 120. Σε κάθε περίπτωση θα πρέπει να καλύπτονται και οι όροι όπως αναφέρονται στην παράγραφο 12 Λοιπά στοιχεία έργου. 1.7 Όλες οι προσφερόμενες συσκευές θα πρέπει να είναι καινούριες, αμεταχείριστες, στην εργοστασιακή τους συσκευασία, να συνοδεύονται από τα κατάλληλα έντυπα του κατασκευαστή και 18

19 τα απαραίτητα καλώδια AC ρευματοδοσίας Συσκευές Ασφαλείας Α/Α ΠΡΟΔΙΑΓΡΑΦΗ ΑΠΑΙΤΗΣΗ ΑΠΑΝΤΗΣΗ ΣΒΟ ΠΑΡΑΠΟΜΠΗ 2.1 Το προσφερόμενο σύστημα θα αποτελείται από 2 ίδια firewalls επόμενης γενιάς Next Generation τα οποία να έχουν τη δυνατότητα να λειτουργήσουν σε cluster. 2.2 Απαιτούμενος Αριθμός κόμβων δύο (2). 2.3 Το προσφερόμενο σύστημα (cluster) θα πρέπει να είναι της ίδιας κατασκευάστριας εταιρείας καθώς και να έχει την δυνατότητα επαύξησης του throughput με προσθήκη επιπλέον μηχανής ίδιου μοντέλου. (Cluster από 3 ή 4 συσκευές). NAI 2.4 Να αναφερθεί ο κατασκευαστής και το μοντέλο. 2.5 Ο κατασκευαστής θα πρέπει να έχει φυσική παρουσία στην Ελλάδα μέσω τοπικού γραφείου και όχι μόνο μέσω αντιπροσώπων μεταπωλητών - διανομέων. 2.6 Να αναγράφεται ευκρινώς πάνω στην συσκευασία το part number και το serial number των προϊόντων. 2.7 Οι προσφερόμενες συσκευές να είναι Rack mounted (19 ) και να προσφέρονται τα κατάλληλα rails για την εγκατάστασή τους. 2.8 Οι συσκευές να διαθέτουν μηχανισμούς εντοπισμού εισβολών (Intrusion Prevention/Detection System IPS/IDS) το οποίο και βαθμολογείται με 100. Σε περίπτωση που προσφερθεί επιπλέον δυνατότητα αυτορρύθμισης του μηχανισμού βαθμολογείται με 120. ΒΑΘ/ΜΕΝΟ Α 5% 19

20 2.9 Οι συσκευές να διαθέτουν μηχανισμό Application Control Οι συσκευές να διαθέτουν μηχανισμό Anti Bot Οι συσκευές να διαθέτουν μηχανισμό Anti Malware Οι συσκευές να διαθέτουν μηχανισμό ULR Filtering Το ζεύγος θα πρέπει να μπορεί να λειτουργεί είτε σε Active/Active (Load Sharing) είτε σε Active/Standby mode. Θα πρέπει να υποστηρίζονται και οι δύο επιλογές και να είναι διαθέσιμες με τις τυχόν άδειες ενεργοποίησης, ώστε η ΕΡΤ να επιλέξει κατά τη διάρκεια της υλοποίησης ή μεταγενέστερα, ποια από τις δύο θα εφαρμόσει/ζει Απαιτούμενη μνήμη της κάθε μίας εκ των προσφερόμενων συσκευών τουλάχιστοv 24 GB το οποίο και βαθμολογείται με 100. Σε περίπτωση που προσφερθεί μνήμη μεγαλύτερη της ζητούμενης θα βαθμολογηθεί θετικά με +5 για κάθε 6GB επιπλέον της ελάχιστης ζητούμενης. Αναλυτικότερα: Μνήμη έως και 30GB βαθμολογείται με 105 ΒΑΘ/ΜΕΝΟ Α 10% Μνήμη έως και 36GB βαθμολογείται με 110 Μνήμη έως και 42GB βαθμολογείται με 115 Μνήμη μεγαλύτερη των 42GB βαθμολογείται με Λειτουργία ως Layer 3 Firewall Οι μηχανισμοί ασφαλείας να έχουν ελεγχθεί στο NSS Labs BDS test και να βρίσκονται στο Gardner Magic Quadrant. Τα προσφερόμενα είδη να είναι τα τελευταία μοντέλα του κατασκευαστή και να υποστηρίζονται για τουλάχιστον 5 χρόνια από την ημερομηνία αγοράς. Επίσης θα πρέπει ο 20

21 υποψήφιος ανάδοχος να προσφέρει εγγύηση του κατασκευαστή για τα παραδοθέντα συστήματα στο σύνολό τους διάρκειας τουλάχιστον 2 ετών Να προσφερθεί ο απαιτούμενος αριθμός αδειών ώστε να παρέχεται η ζητούμενη λειτουργικότητα και υποστήριξη για χρονικό διάστημα τουλάχιστον 2 ετών Τα συστήματα να συνοδεύονται από τις κατάλληλες άδειες χρήσης καθώς και με τα πλήρη εγχειρίδια εγκατάστασης και παραμετροποίησης αυτών Υποστήριξη αυτόνομα, ή σε συνεργασία με άλλα λογισμικά υπηρεσιών, τα οποία θα πρέπει να παραδοθούν τουλάχιστον content filtering, Anti malware, IPS και Application Control, URLF, Anti Bot.QoS 2.21 Μέγιστο προσφερόμενο VPN throughput AES-128 τουλάχιστον 5Gbps για κάθε συσκευή, το οποίο και βαθμολογείται με 100. Σε περίπτωση παραδοτέων συσκευών με μεγαλύτερη ικανότητα VPN throughput βαθμολογείται ως εξής: VPN throughput >5Gbps έως και 6Gbps βαθμολογείται με 105 VPN throughput >6Gbps έως και 7Gbps βαθμολογείται με 110 VPN throughput >7Gbps έως και 8Gbps βαθμολογείται με 115 VPN throughput μεγαλύτερου των 8Gbps βαθμολογείται με 120. ΒΑΘ/ΜΕΝΟ Α 5% 2.22 Μέγιστο προσφερόμενο IPS throughput της κάθε συσκευής τουλάχιστον 10 Gbps Μέγιστο προσφερόμενο NGFW Throughput (Firewall, application control, IPS) της κάθε συσκευής, τουλάχιστον 9 Gbps (real world traffic, enterprise environment) το οποίο και βαθμολογείται με 100. Σε περίπτωση προσφοράς μεγαλύτερους NGFW throughput ΒΑΘ/ΜΕΝΟ Α 15% 21

22 βαθμολογείται με +5 για κάθε 1Gbps επιπλέον του ελάχιστου ζητούμενου. Αναλυτικότερα: NGFW throughput (real world) έως και 10Gbps βαθμολογείται με 105 NGFW throughput (real world) έως και 11Gbps βαθμολογείται με 110 NGFW throughput (real world) έως και 12Gbps βαθμολογείται με 115 NGFW throughput μεγαλύτερο των 12Gbps βαθμολογείται με Μέγιστος προσφερόμενος αριθμός ταυτόχρονων συνδέσεων για κάθε συσκευή (Concurrent Connections) τουλάχιστον 9Μ Μέγιστος προσφερόμενος αριθμός νέων συνδέσεων το δευτερόλεπτο για κάθε συσκευή (Connections Per Second) τουλάχιστον 68Κ το οποίο και βαθμολογείται με 100. Σε περίπτωση προσφερόμενης συσκευής με ικανότητα περισσότερων Connections per second βαθμολογείται με +5 για κάθε 16Κ Cps επιπλέων των ελάχιστων ζητούμενων. Αναλυτικότερα: Έως και 84Κ Cps βαθμολογείται με 105 Έως και 100Κ Cps βαθμολογείται με 110 Έως και 116Κ Cps βαθμολογείται με 115 Περισσότερες από 116Κ Cps βαθμολογείται με 120. ΒΑΘ/ΜΕΝΟ Α 10% 2.26 Προσφερόμενος αριθμός δικτυακών θυρών 1Gbit BASE-T τουλάχιστον οχτώ (8) Δυνατότητα προσθήκης τουλάχιστον τεσσάρων θυρών 10G 10GBASE-SR. NAI 2.28 Κάθε κόμβος θα πρέπει να διαθέτει management port για console. NAI 2.29 Κάθε κόμβος θα πρέπει να διαθέτει usb θύρα για εγκατάσταση του συστήματος. 22

23 2.30 Ελάχιστος υποστηριζόμενος αριθμός VLANs ανά κόμβο τουλάχιστον Υποστήριξη LACP Κάθε κόμβος θα πρέπει να διαθέτει εφεδρικό ενσωματωμένο Hot Swappable AC τροφοδοτικό. H κονσόλα διαχείρισης της συσκευής θα πρέπει να βρίσκεται σε ξεχωριστή φυσική μηχανή και να διατηρεί όλα τα παραγόμενα logs. Σε περίπτωση απώλειας σύνδεσης της συσκευής ασφαλείας με το εργαλείο διαχείρισης θα πρέπει η συσκευή ασφαλείας να αποθηκεύει τα παραγόμενα logs τοπικά σε εσωτερικό αποθηκευτικό χωρο. H κονσόλα διαχείρισης θα πρέπει να διαθέτει απαραίτητο αποθηκευτικό χώρο ώστε να διατηρεί όλα τα logs των 2 τελευταίων ετών τουλάχιστον. Αριθμός Σκληρών Δίσκων ανά συσκευή τεχνολογίας SSD τουλάχιστον ένας το οποίο και βαθμολογείται με 100. Σε περίπτωση προσφοράς 2 δίσκων σε συστοιχία RAID βαθμολογείται με 120. Χωρητικότητα του κάθε δίσκου τουλάχιστο 200GB το οποίο και βαθμολογείται με 100. Σε περίπτωση προσφοράς δίσκων μεγαλύτερης χωρητικότητας βαθμολογείται με + 5 για κάθε επιπλέον 200GB. Αναλυτικότερα: Έως και 400GB βαθμολογείται με 105 Έως και 600GB βαθμολογείται με 110 Έως και 800GB βαθμολογείται με 115 Από 800GB και πάνω βαθμολογείται με 120. ΒΑΘ/ΜΕΝΟ ΒΑΘ/ΜΕΝΟ Α 10% Α 5% 23

24 2.37 Δυνατότητα αυτόματης αναβάθμισης του λογισμικού του firewall προκειμένου να παραμένει διαρκώς ενήμερο με τα είδη των επιθέσεων που προκύπτουν Δυνατότητα διασύνδεσης με το Active Directory είτε απευθείας, είτε με χρήση άλλης φυσικής ή εικονικής μηχανής, ώστε να υπάρχει η δυνατότητα VPN και η εφαρμογής πολιτικών ασφαλείας με βάση τους χρήστες ή/και τα computer names για όλες τις απαιτούμενες λειτουργίες ασφάλειας, χωρίς να χρειάζεται εγκατάσταση agent στους Domain Controllers [AD Agentless] (Application Inspection, Anti-Bot, Anti-Virus, URL Filtering). NAI 2.49 Εφαρμογή διαφορετικής πολιτικής σε χρήστες ανάλογα με το δίκτυο που ανήκουν Εφαρμογή κανόνων ασφαλείας με βάση τον χρήστη ή το group ή τον υπολογιστή χρήστη του AD ή/και συνδυασμό όλων το οποίο και βαθμολογείται με 100. Υποστήριξη της παραπάνω λειτουργικότητας σε περισσότερα του ενός forest ταυτόχρονα, με σχέση trust μεταξύ τους, βαθμολογείται με +20 ΒΑΘ/ΜΕΝΟ Α 10% 2.41 Υποστήριξη ελέγχου κίνησης HTTPS και SSL για όλες τις απαιτούμενες λειτουργίες ασφάλειας (Application Inspection, Anti-Bot, Anti-Malware, URL Filtering) Θα πρέπει να επιτυγχάνεται παρακολούθηση από την κονσόλα διαχείρισης το πολύ σε ένα λεπτό (refresh time), της κίνησης και της κατανομής του Bandwidth ανά : IP, Protocol, User, Lan, ή ομάδα αυτών, από την κονσόλα διαχείρισης Αριθμός υποστηριζόμενων Applications για την λειτουργία Application Control [Application Visibility] τουλάχιστον

25 Η λειτουργία URL Filtering θα πρέπει να έχει μηχανισμό για την ενημέρωση ή την ερώτηση των χρηστών σε πραγματικό χρόνο για την εκπαίδευση τους και την επιβεβαίωση των ενεργειών τους με βάση την πολιτική ασφαλείας της ΕΡΤ. H λειτουργία Anti Bot θα πρέπει να βασίζεται στην ανίχνευση και καταστολή ύποπτης και μη φυσικής δικτυακής κίνησης και να χρησιμοποιεί τεχνικές ανίχνευσης βασισμένες σε φήμη των ΙPs, URLs και DNS διευθύνσεων καθώς και ειδικών προτύπων επικοινωνίας των Bots. Η λειτουργία Anti-Malware θα πρέπει να έχει δυνατότητα ελέγχου με βάση τον τύπου του αρχείου. Οι υπηρεσίες, Application Control, Anti Bot, Anti-Malware και URL Filtering θα πρέπει να λαμβάνουν ανανεώσεις σε πραγματικό χρόνο από cloud based service. Υποστήριξη λειτουργίας Stateful Packet Inspection. Ανίχνευση και Προστασία από Packet flooding, περιλαμβανομένων SYN/UDP flood. Ανίχνευση και Προστασία από επιθέσεις σε ΙΡ fragmentation. Ανίχνευση και Προστασία από επιθέσεις σε ICMP πακέτα. Ανίχνευση και Προστασία από επιθέσεις σε DNS σύστημα. Ανίχνευση και Προστασία από επιθέσεις σε πρωτόκολλα FTP, SSH, Telnet και ισοδύναμων. Ανίχνευση και Προστασία από επιθέσεις σε πρωτόκολλα SMTP, IMAP, POP και ισοδύναμων. Ανίχνευση και Προστασία από Java applets και Active controls ή/και ισοδύναμων. NAI 25

26 2.56 Υποστήριξη traffic capturing Δυνατότητα σύνδεσης με 3 rd party Log Server μέσω API. Υποστήριξη Static/Dynamic ΝΑΤ, PAT, Policy based NAT. Υποστήριξη static IPv4/ΙPv6, static multicast routing. Υποστήριξη dynamic routing (τουλάχιστον OSPF) SNMP v2 & v3 ή ισοδύναμο VLAN Tagging (IEEE 802.1q) VoIP Inspection [πχ SIP, H323, RTP, RTSP]. Προσφερόμενες άδειες SSL VPN για remote access τουλάχιστον 500. Υποστήριξη IPsec με χρήση 3DES,η AES. Λειτουργία Site-to-site VPN για σύνδεση με απομακρυσμένα σημεία παρουσίας της ΕΡΤ. Υποστήριξη τουλάχιστον 5000 Siteto-Site VPN. Αν απαιτούνται άδειες να παραδοθούν. Συνεργασία με ΑΑΑ servers βασισμένη σε πρωτόκολλα RADIUS ή TACACS ή άλλο ισοδύναμο. Να υποστηρίζει λειτουργία DHCP, DHCP Relay Agent Υποστήριξη Network Time Protocol Προσφερόμενες άδειες Remote Access VPN με την χρήση Client λογισμικού ή χωρίς (Client based /Clientless) Συγκεκριμένα τουλάχιστον εκατό (100) clientless VPN και τουλάχιστον τετρακόσιες (400) client based συνδέσεις. Θα γίνουν δεκτές και υλοποιήσεις με χρήση ξεχωριστής συσκευής φυσικής ή εικονικής, η οποία θα συνεργάζεται με τις προσφερόμενες συσκευές ασφαλείας. 26

27 Υποστήριξη πρωτοκόλλων ακεραιότητας δεδομένων MD5/ SHA1/ SHA256/ SHA384. Υποστήριξη τεχνικών Quality of Service (QoS) σε επίπεδο χρηστών, δικτύων και ομαδοποίησής τους. Υποστήριξη τεχνικών Quality of Service (QoS) σε επίπεδο εφαρμογής (π.χ youtube, skype, dropbox). Να προσφερθεί διακριτό λογισμικό διαχείρισης. Το λογισμικό αυτό θα μπορεί να είναι είτε σε ξεχωριστή συσκευή (appliance) ή σε φυσικό server. Σε κάθε περίπτωση να προσφερθεί ο απαραίτητος rack mounted εξοπλισμός, με τα κατάλληλα τεχνικά χαρακτηριστικά, ώστε να πληροί τους λοιπούς απαράβατους όρους του έργου. Το λογισμικό διαχείρισης θα πρέπει να έχει εφαρμογή σε γραφικό περιβάλλον και να διαχειρίζεται κεντρικά όλες τις απαιτούμενες λειτουργίες του firewall (IPS, Application Inspection, Anti-Bot, Anti-Virus, URL Filtering, QoS). Η πρόσβαση στο λογισμικό διαχείρισης θα πρέπει να παρέχεται αποκλειστικά και μόνο σε εξουσιοδοτημένους χρήστες. Η πρόσβαση στο διαχειριστικό λογισμικό θα πρέπει να είναι ασφαλής. Το λογισμικό διαχείρισης θα πρέπει να υποστηρίζει λογαριασμούς rolebased administrator. Ο κάθε κανόνας της πολιτικής ασφαλείας θα πρέπει να έχει μοναδικό αναγνωριστικό ανεξάρτητα από την θέση που βρίσκεται μέσα στην πολιτική. Το αναγνωριστικό θα πρέπει να συνοδεύει τον κανόνα καθ' όλη την διάρκεια ζωής του. Λογισμικό Διαχείρισης NAI 27

28 Το εργαλείο διαχείρισης θα πρέπει να συνδέει τα παραγόμενα logs με τον αντίστοιχο κανόνα της πολιτικής ο οποίος έχει παράξει τα εν λόγω log. Θα πρέπει δηλαδή μέσα στα logs να υπάρχει η αναφορά του κανόνα που τα έχει παράξει και να μπορεί ο administrator να μεταβεί άμεσα στον κανόνα. Το εργαλείο διαχείρισης θα πρέπει να παρέχει την δυνατότητα να αποκλείει μια IP διεύθυνση από ένα IPS signature κατευθείαν από τα logs (IPS exception). Το εργαλείο διαχείρισης θα πρέπει να μπορεί να σώσει τα φίλτρα που δημιουργούν οι διαχειριστές όταν ψάχνουν τα logs. Το σύστημα θα πρέπει να έχει εσωτερική ή να συνεργάζεται με x.509 CA (Certificate Authority) που θα μπορεί να εκδίδει πιστοποιητικά για τα Gateways και τους χρήστες για εύκολη ταυτοποίηση στο VPN. Η λύση θα πρέπει να επιτρέπει κεντρικοποιημένη αναβάθμιση των συστημάτων ασφαλείας σε νεότερες εκδόσεις λογισμικού. Η αναβάθμιση θα πρέπει να γίνεται με τις υπηρεσίες διαθέσιμες στους χρήστες (In service software update). Η εφαρμογή διαχείρισης θα πρέπει να κάνει έλεγχο σε κάθε αλλαγή της πολιτικής για όλες τις απαιτούμενες λειτουργίες ασφάλειας. (IPS, Application Inspection, Anti-Bot, Anti-Malware, URL Filtering). Η εφαρμογή διαχείρισης θα πρέπει να προσφέρει τη δυνατότητα event correlation από όλους του μηχανισμούς ασφαλείας. NAI NAI NAI NAI Προστασία από Κακόβουλο Λογισμικό Μηδενικού Χρόνου 28

29 2.85 Προστασία από κακόβουλο λογισμικό μηδενικού χρόνου (zero day malware). Υποστήριξη κατ ελάχιστο των ακόλουθων τύπων αρχείων: 2.86 Adobe PDF Microsoft Office Exe Files in archives Flash Java NAI 2.87 Υποστήριξη κατ ελάχιστο των ακόλουθων περιβάλλοντων εξομοίωσης: Microsoft Windοws XP,7 Microsoft Office Adobe Acrobat Reader Το οποίο και βαθμολογείται με 100. Σε περίπτωση υποστήριξης και περιβάλλοντος windows 8,8.1 βαθμολογείται με +5 Σε περίπτωση υποστήριξης και περιβάλλοντος windows 10 βαθμολογείται με +15. ΒΑΘ/ΜΕΝΟ Α 5% 2.88 Για κάθε κακόβουλο αρχείο να δημιουργείται αναλυτική αναφορά Υπηρεσίες Διαχείρισης Ασφάλειας Α/Α Προδιαγραφή Απαίτηση Απάντηση ΣΒΟ Παραπομπή Η λύση θα πρέπει να ανιχνεύει αδυναμίες σε επίπεδο λειτουργικών συστημάτων, υπηρεσιών, δικτύου, τερματικών και Web Εφαρμογών. Οι έλεγχοι θα πρέπει να μπορούν να διεξάγονται σε προγραμματισμένα διαστήματα ή μετά από αίτημα της ΕΡΤ, χωρίς περιορισμό στο συνολικό αριθμό ελέγχων. Η λύση θα πρέπει να ανανεώνει αυτόματα τη βάση επιθέσεων/αδυναμιών μέσα από τη λήψη τακτικών ενημερώσεων. Εκτέλεση των ελέγχων ασφάλειας στα συστήματα της υποδομής χωρίς να απαιτείται η εγκατάσταση ειδικού 29

30 λογισμικού (agent) σε αυτά (agent-less). Παραγωγή διαφορετικών τύπων αναφορών για διαφορετικού τύπου παραλήπτες όπως λεπτομερείς τεχνικές αναφορές αποκατάστασης αδυναμιών (technical remediation reports) προς το αρμόδιο προσωπικό της ΕΡΤ συμπεριλαμβάνοντας και αναφορές υψηλού επιπέδου (high level executive reports). Integration με την υπηρεσία παρακολούθησης και ενημέρωσης για περιστατικά ασφάλειας Παρακολούθηση 24x7 Α/Α Προδιαγραφή Απαίτηση Απάντηση ΣΒΟ Παραπομπή Καταγραφή και ανάλυση πληροφοριών που προέρχονται τόσο από τη δικτυακή κίνηση εντός του LAN της ΕΡΤ όσο και από καταγραφές σε αρχεία logs των προσφερόμενων συσκευών ασφαλείας Δυνατότητα επεξεργασίας μεγάλου όγκου δεδομένων σε πραγματικό χρόνο. Συλλογή και ανάλυση της δικτυακής κίνησης εντός του LAN της ΕΡΤ μέσω πόρτας TAP, SPAN ή Mirror, Ανάλυση του συνόλου της δικτυακής κίνησης και όχι μόνο μέρους αυτής (π.χ. Netflow). Συνεχής συγκέντρωση, συσχετισμός και αξιολόγηση πληροφοριών ασφάλειας σε 24ωρη βάση. Ενημέρωση για πιθανά περιστατικά ασφαλείας που προέρχονται τόσο από καταγραφές σε logs όσο και από την ανάλυση της δικτυακής κίνησης εντός το πολύ 2 ωρών από την στιγμή εκδήλωσης του συμβάντος. Σε περίπτωση περιστατικού ασφαλείας το οποίο κρίνεται ύψιστης σημασίας απαιτείται ενημέρωση του προσωπικού της ΕΡΤ εντός το πολύ 30 λεπτών της ώρας από την εκδήλωση του συμβάντος το οποίο και βαθμολογείται με 100. Σε περίπτωση δέσμευσης του αναδόχου για ενημέρωση μικρότερη της μέγιστης ζητούμενης βαθμολογείται με +5 για κάθε πέντε λεπτά της ώρας συντομότερη ΒΑΘ/ΜΕΝΟ Β 5% 30

31 4.8 4, απόκριση. Αναλυτικότερα: Για ενημέρωση εντός το πολύ 25 λεπτών βαθμολογείται με 105 Για ενημέρωση εντός το πολύ 20 λεπτών βαθμολογείται με 110 Για ενημέρωση εντός το πολύ 15 λεπτών βαθμολογείται με 115 Για ενημέρωση εντός το πολύ 10 λεπτών βαθμολογείται με 120 Σε κάθε περίπτωση η δήλωση του αναδόχου σύμφωνα με την οποία θα βαθμολογηθεί είναι δεσμευτική και σε περίπτωση καταστρατήγησής της, η ΕΡΤ μπορεί να κάνει χρήση του SLA των υπηρεσιών όπως αυτό περιγράφεται στην παράγραφο 13 SLA παρεχόμενων υπηρεσιών. Η ενημέρωση που περιγράφεται στους όρους 4.6, 4.7 θα πραγματοποιείται με έναν ή περισσότερους από τους παρακάτω τρόπους με την σειρά που αναφέρονται. Τηλεφωνικής κλήση SMS Web Portal Εντοπισμός και ανάλυση κακόβουλου λογισμικού (malware detection). Δημιουργίας εξατομικευμένων κανόνων συσχετισμού σύμφωνα με τις απαιτήσεις και τις ιδιαιτερότητες των πληροφοριακών συστημάτων και συστημάτων ασφαλείας της ΕΡΤ. Εντοπισμός ανωμαλιών στη δικτυακή κίνηση (anomaly detection). Κλιμάκωση της λύσης σε πολλαπλές γεωγραφικές θέσεις. Διαρκής ενημέρωση για νέες απειλές σε παγκόσμιο επίπεδο μέσω Intelligence Feeds. Πρόσβαση σε Web portal το οποίο λειτουργεί 24x7, για την παρακολούθηση των περιστατικών και την περαιτέρω διερεύνηση των περιστατικών. Δημιουργία εξατομικευμένων αναφορών, ανάλογα με τις ανάγκες της ΕΡΤ. Δημιουργία συγκεντρωτικής αναφοράς συμβάντων σε μηνιαία βάση. 31

32 4.17 Η μετακίνηση δεδομένων τα οποία θα διακινούνται μεταξύ των εγκαταστάσεων της ΕΡΤ και τις εγκαταστάσεις SOC του αναδόχου θα πρέπει να είναι ασφαλής. Χρήση πρωτοκόλλου SSL/TLS Εκπαίδευση Α/Α Προδιαγραφή Απαίτηση Απάντηση ΣΒΟ Παραπομπή Αριθμός εργαζομένων της ΕΡΤ που θα εκπαιδευτούν τουλάχιστον τέσσερεις (4), το οποίο και βαθμολογείται με 100. Σε περίπτωση προσφοράς από τον ανάδοχο εκπαίδευσης σε περισσότερους εργαζόμενους από τους ελάχιστους ζητούμενους, βαθμολογείται με +10 για κάθε 1 επιπλέον. Αναλυτικότερα. Για εκπαίδευση 5 εργαζομένων της ΕΡΤ βαθμολογείται με 110 Για εκπαίδευση 6 εργαζομένων της ΕΡΤ βαθμολογείται με 120 Σε κάθε περίπτωση οι εκπαιδευόμενοι θα οριστούν από την ΕΡΤ. Η εκπαίδευση θα πρέπει να πραγματοποιηθεί σε πιστοποιημένο κέντρο και θα αφορά τις προσφερόμενες συσκευές ασφαλείας.(fw appliances, συσκευή διαχείρισης) Η διάρκεια της εκπαίδευσης θα πρέπει να είναι τουλάχιστον 28 ώρες. Θα πρέπει να παραδοθεί στους εκπαιδευόμενους το υλικό της εκπαίδευσης. Η εκπαίδευση θα πρέπει να οδηγεί σε εξέταση πιστοποίησης του κατασκευαστή για τον χειρισμό των προσφερόμενων συσκευών, το κόστος της οποίας θα καλυφθεί από τον ανάδοχο. Το κόστος της εξέτασης πιστοποίησης θα καλυφθεί από τον ανάδοχο. ΒΑΘ/ΜΕΝΟ Β 5% 11 ΠΙΝΑΚΕΣ ΟΙΚΟΝΟΜΙΚΗΣ ΠΡΟΣΦΟΡΑΣ ΠΑΡΑΔΟΤΕΑ Πιο κάτω παρουσιάζεται ενδεικτικός πίνακας τον οποίο οι ανάδοχοι οφείλουν να συμπληρώσουν στην οικονομική προσφορά τους. Πιθανά επιπλέον υλικά και υπηρεσίες τα οποία απαιτούνται προκειμένου να καλυφθούν πλήρως οι απαιτήσεις των τεχνικών προδιαγραφών να συμπληρωθούν από τον Ανάδοχό κατά αντιστοιχία. Είδος Ποσότητα Part Number Τιμή χωρίς ΦΠΑ Τιμή με ΦΠΑ 32

33 UTM (firewall, IPS, VPN, AC, URL, AntiBOT, Antivirus, Sandbox, SSL VPN) 2 Λογισμικό Υλικό Διαχείρισης 1 Λογισμικά Άδειες χρήσης Καλώδια και λοιπά παρελκόμενα 2ετής Εγγύηση υποστήριξη Επιπλέον προσφερόμενη εγγύηση υποστήριξη (προαιρετικό, όρος ) 0,00 0,00 Συνολικό κόστος προσφερόμενων υλικών λογισμικών και υπηρεσιών Σύνολο Είδος Ποσότητα Part Number Τιμή χωρίς ΦΠΑ Τιμή με ΦΠΑ Συνολικό κόστος «Managed Security Services» υπηρεσιών για δύο (2) έτη Σύνολο Είδος Ποσότητα Part Number Τιμή χωρίς ΦΠΑ Τιμή με ΦΠΑ Μετάπτωση κανόνων και υπηρεσιών Σύνολο Είδος Ποσότητα Part Number Τιμή χωρίς ΦΠΑ Τιμή με ΦΠΑ Εκπαίδευση Σύνολο 12 ΛΟΙΠΑ ΣΤΟΙΧΕΙΑ ΕΡΓΟΥ 12.1 Συνεργασία Υποψηφίου με το προσωπικό της ΕΡΤ Ο υποψήφιος δηλώνει ότι θα συνεργαστεί στο μέγιστο βαθμό με το προσωπικό της ΕΡΤ θέτοντας υπόψη του προσωπικού της ΕΡΤ κάθε στοιχείο που μπορεί να συμβάλει στην καλυτέρευση, την επίσπευση, ή την βελτιστοποίηση του έργου, καθώς και κάθε τυχόν στοιχείου που αντίθετα, μπορεί να θέσει την ποιότητα ή τις προθεσμίες παράδοσης του έργου σε κίνδυνο. 33

34 12.2 Χρονοδιαγράμματα Το μέγιστο χρονικό διάστημα παράδοσης του συνόλου του εξοπλισμού και του απαραίτητου λογισμικού ορίζεται αυτό των τριάντα (30) ημερών από την ημερομηνία ανάθεσης Στοιχεία Εγγύησης Συντήρησης Γενικά: 1. Διάρκεια προσφερόμενης εγγύησης για το σύνολο του εξοπλισμού [ 2 έτη]. Βλαβοληψία και διαχείριση βλαβών: 2. Ο υποψήφιος θα πρέπει να διαθέτει βλαβοληπτικό κέντρο με λειτουργία 24x7 και να προσφέρει πρόσβαση σε αυτό μέσω αριθμού σταθερού τηλεφώνου, αριθμού κινητού τηλεφώνου, μέσω fax και μέσω Προσφερόμενη εγγύηση μέγιστου χρόνου αναμονής τηλεφωνικής κλήσης από την ΕΡΤ προς το βλαβοληπτικό κέντρο [ 5 min]. 4. Σε περίπτωση που ο υποψήφιος διαθέτει ξεχωριστό βλαβοληπτικό κέντρο μεγάλων πελατών, προσφέρεται πρόσβαση της ΕΡΤ σε αυτό. 5. Προσφέρεται προς την ΕΡΤ πρόσβαση στα συστήματα διαχείρισης βλαβών του κατασκευαστή του εξοπλισμού και λογισμικού που προσφέρεται στο έργο. 6. Για τις βλάβες για τις οποίες απαιτείται επικοινωνία με τεχνικό, ο υποψήφιος προσφέρει σε βάση 24x7 χρόνο κλήσης της ΕΡΤ από τεχνικό του (call-back) μικρότερο της μίας ώρας. 7. Για τις βλάβες για τις οποίες απαιτείται επιτόπια επίσκεψη τεχνικού του, ο υποψήφιος θα πρέπει να προσφέρει χρόνο επιτόπιας επίσκεψης του εντός δύο εργάσιμων ημερών για το χρονικό διάστημα της εγγύησης. 8. Η άρση βλάβης θα γίνεται μόνο μετά από επιβεβαίωση από το προσωπικό της ΕΡΤ ότι όντως η βλάβη διορθώθηκε. Ο υποψήφιος δηλώνει ρητά ότι δεν θα προβαίνει σε μονομερείς άρσεις βλαβών χωρίς επιβεβαίωση από την ΕΡΤ. Βλάβη δεν νοείται λανθασμένη ρύθμιση του εξοπλισμού από προσωπικό της ΕΡΤ αλλά δυσλειτουργία ή αστοχία υλικού που θα έχει ως άμεσο αποτέλεσμα της μείωση της διαθεσιμότητας του προσφερόμενου εξοπλισμού και γενικά του δικτύου. Αντικατάσταση εξοπλισμού: 9. Ο εξοπλισμός κάθε είδους που παρουσιάζει βλάβη η οποία δεν χρήζει επισκευής θα επιστρέφεται στην κατασκευάστρια εταιρεία και θα αντικαθίσταται με πανομοιότυπο καινούργιο εξοπλισμό εντός 5 εργάσιμων ημερών. 34