Оновлене питання з приводу ISO 14001:2015
Доповнили питання: В тендерній документації Додаток 3, в переліку документів є вимога «5. Копія сертифікату на систему управління якістю виробництва ISO 9001:2015 та сертифікату на систему екологічного керування ISO 14001:2015, дійсні на дату розкриття пропозиції.». У Виробника заводи, на яких виробляється обладнання, мають назву не пов’язану з назвою Виробника. Чи достатньо буде копії сертифікату ISO 14001:2015 Заводу та листа від Виробника в якому буде підтвердження, що даний Завод, який має сертифікат ISO 14001:2015, виробляє обладнання для Виробника?
Так, достатньо, оскільки тендерна документація вимагає надання сертифікату ISO 14001:2015, а лист від виробника буде додатковою інформацією до сертифікату.
Стосовно технічних вимог тендерної документації
В тендерній документації Додаток 3, Таблиця вимог до "1.2. Мережеве обладнання захисту WEB-трафіку" «Вимоги до інтерфейсу користувача» є вимога «• Підтримка багатомовного інтерфейсу користувача. Можливість вибору мови видачі попереджень для користувачів, вбудована підтримка російської мови, можливість модифікації для підтримки української мови.». Чи задовольнить Замовника, якщо запропоноване рішення буде мати багатомовний інтерфейс (по замовчуванню англійська) та дозволить самостійно адміністратору створювати повідомлення для користувачів на російській та українській мові, навіть без необхідності програмування чи модифікації самого рішення?»
Так, задовольнить, оскільки запропоноване рішення буде відповідати вимогам тендерної документації.
Щодо сертифікату на систему екологічного керування ISO 14001:2015
В тендерній документації в п.5 вказана необхідність наявності сертифікату на систему екологічного керування ISO 14001:2015. Частина запропонованого рішення являє собою програмне забезпечення, яке не має фізичного виробництва, яке підлягає сертифікації системи екологічного керування. Чи задовольнить Замовника, якщо запропоноване рішення буде мати сертифікати на серверне обладнання, на якому буде функціонувати програмне забезпечення?
Необхідно надати копію сертифікату на систему екологічного керування ISO 14001:2015 на запропонований учасником Міжмережевий екран та Мережеве обладнання захисту WEB-трафіку та електронної пошти.
Питання щодо "Вимоги до системи керування" до Міжмережевого екрану
В тендерній документації Додаток 3, Таблиця вимог до "1.1. Міжмережевий екран" «Вимоги до системи керування» є вимога "Система керування міжмережевими екранами повинна входити до поставки.". Прохання деталізувати: система керування повинна бути у вигляді окремого пристрою (або virtual appliance) чи вбудована у Міжмережевий екран?
Система керування повинна постачатися в тому вигляді, в якому розроблена Виробником запропонованого товару.
Щодо технічних вимог тендерної документації
В тендерній документації Додаток 3, Таблиця вимог до "1.1. Міжмережевий екран" – «Вимоги до аналізу мережі та мережевих ресурсів» є вимога: «• Мати функціонал створення детекторів трафіку за допомогою регулярних виразів.». Чи влаштує Замовника якщо запропоноване рішення від Виробника дозволяє створювати детектор трафіку за допомогою регулярних виразів для Web Filter та власної скриптованої мови для модуля IPS до якої є повний детальний опис на сайті виробника?
Так, влаштовує, оскільки запропоноване рішення буде відповідати вимогам тендерної документації.
Щодо технічних вимог 1.3. Мережеве обладнання захисту електронної пошти
В тендерній документації Додаток 3, Таблиця вимог до "1.3. Мережеве обладнання захисту електронної пошти " – «Вимоги до перевірки відправників» - "• Повинні бути вбудовані механізми для захисту від атак Denial of Service за допомогою різних методів, включаючи (але не обмежуючи) наступні: - Повинен мати функціонал призначення максимальної кількості повідомлень на з'єднання, максимальної кількості одержувачів на годину, максимальної кількості неправильних одержувачів на годину.». Чи задовольнить Замовника, якщо запропоноване рішення буде мати можливість налаштувань за період «на 30 хвилин»? Також прохання пояснити на прикладі, що мається на увазі фунцкіонал «призначення максимальної кількості неправильних одержувачів на годину.»? Що повинно відбуватися у випадку, якщо одержувач був вказаний неправильно та при перевищенні встановленого ліміту неправильних одержувачів на годину?
В тендерну документацію будуть винесені зміни, а саме вимога «Вимоги до перевірки відправників» Таблиці вимог до "1.3. Мережеве обладнання захисту електронної пошти" буде викладено в наступній редакції:
• Перевірка на предмет спуфинга доменів. Якщо відправник спробує підробити домен, повідомлення повинно бути видалено або відправлено в карантин. Крім перевірки на спуфинг шлюз також повинен підтримувати верифікацію SPF, DomainKeys / DKIM.
• Повинні бути механізми захисту від підробки імен в полі “From:” e-mail, враховуючи можливі варіації імен.
• Повинен бути механізм керування максимальною кількістю рикошетних повідомлень не більше ніж на годину (bounces) відповідно до IP адреси відправника, доменом або репутацією.
• Повинні бути вбудовані механізми для захисту від атак Denial of Service за допомогою різних методів, включаючи (але не обмежуючи) наступні:
- Повинен здійснювати контроль SMTP сесії і обмеження трафіку відповідно до IP адреси відправника, доменів, репутацією і адресою відправника.
- Повинен мати функціонал призначення максимальної кількості повідомлень на з'єднання, максимальної кількості одержувачів не більше ніж на годину, максимальної кількості неправильних одержувачів не більше ніж на годину.
Щодо технічних вимог «1.2 Мережеве обладнання захисту WEB-трафіку»
В тендерній документації Додаток 3, Таблиця вимог до «1.2 Мережеве обладнання захисту WEB-трафіку» - «Вимоги до ліцензування» - «• Комплект ліцензій на захист веб-трафіку від зловмисного ПЗ з можливістю ретроспективного аналізу (повинна підтримуватись інтеграція системи захисту веб-трафіку з системою захисту кінцевих робочих станцій) для не менш ніж 1000 внутрішніх користувачів.». Чи повинні бути додані до цінової пропозиції ліцензії на систему для захисту кінцевих робочих станцій, яка повинна інтегруватися до з системою захисту-вебтрафіку? Чи задовольнить Замовника, якщо система захисту веб-трафіку буде мати можливість підключення до системи захисту кінцевих робочих станцій, а ліцензії на таке підключення не будуть додані у цінову пропозицію?
Так, задовольнить, оскільки запропоноване рішення буде відповідати вимогам тендерної документації.
Щодо вимоги до аналізу мережі та мережевих ресурсів
Доброго дня! В тендерній документації в Додаток 3, Таблиця вимог до "1.1. Міжмережевий екран" – «Вимоги до аналізу мережі та мережевих ресурсів» вказана вимога «Самостійно створювати карту мережевих активів (ім’я вузла, версія ОС, мережеві додатки, мережеві сервіси, вразливості)». Під «вразливостями» мається на увазі спроби експлуатації вразливостей, які були виявлені в трафіку що перевіряється? Чи вразливості мережевих активів (вразливості операційних систем та ПЗ серверів, робочих станцій, активного обладнання)?
Під «вразливостями» мається на увазі спроби експлуатації вразливостей, які були виявлені в трафіку, що перевіряється.
Запитання до Додаток 3, пункт 9
Згідно з необхідно надати сертифікати Держспецзв’язку України Додадток 3, пункт 9 "9. Копії експертних висновків або інформацію від Держспецзв’язку України щодо провадження державної експертизи по відношенню до запропонованого товару, що здійснює перевірку трафіка модулями безпеки (Firewall, IPS, Application Control, URL Control, AntiSpam, Malware Protection (захист від шкідливих програм, Anti-Virus, Anti-Bot, Sandbox).". Дана вимога стосується усього комплекту обладнання (для Міжмережевого екран, Мережеве обладнання захисту WEB-трафіку, Мережеве обладнання захисту електронної пошти) чи тільки Міжмережевого екрану? Якщо всього обладнання, то на жаль "Мережеве обладнання захисту електронної пошти" не має функціоналу Application Control, Anti-Bot, IPS. Також прохання повідомити яке підтвердження необхідне, якщо в сертифікатах Держспецзв’язку України вказані моделі обладнання та версія операційної системи, а не типи підписок Firewall, IPS, Application Control, URL Control, AntiSpam, Malware Protection (захист від шкідливих програм, Anti-Virus, Anti-Bot, Sandbox), бо сертифікацію проходить саме обладннаня? Чи буде достатньо, якщо сам товар буде мати сертифікат Держспецзв’язку України? Дякуємо за відповідь
Вимога стосується обладнання, що здійснює перевірку трафіка модулями безпеки (Firewall, IPS, Application Control, URL Control, AntiSpam, Malware Protection (захист від шкідливих програм, Anti-Virus, Anti-Bot, Sandbox)), якщо в запропонованому Учасником товарі ці функції виконує лише Міжмережевий екран – то достатньо сертифікату Міжмережевого екрану.
Щодо вимог тендерної документації
В тендерній документації Додаток 3, в переліку документів є вимога «5. Копія сертифікату на систему управління якістю виробництва ISO 9001:2015 та сертифікату на систему екологічного керування ISO 14001:2015, дійсні на дату розкриття пропозиції.». У Виробника заводи, на яких виробляється обладнання, мають назву не пов’язану з назвою Виробника. Чи достатньо буде листа від Виробника в якому буде підтвердження, що завод, який має сертифікат ISO 14001:2015, виробляє обладнання для Виробника?
Згідно вимог тендерної документації Учасник повинен надати копію сертифікату на систему екологічного керування ISO 14001:2015. Надання листа від Виробника не відповідатиме вимогам тендерної документації.
Запитання до Додаток 3, Таблиця вимог до "1.1. Міжмережевий екран" - "Продуктивність"
Доброго дня! В Додаток 3, Таблиця вимог до "1.1. Міжмережевий екран" - "Продуктивність" вказана вимога "Ввімкнено всі модулі безпеки (Firewall, IPS, Application Control, URL Control, Malware Protection (захист від шкідливих програм, Anti-Virus, Anti-Bot, Sandbox): не менше 4 Гбіт/с.". В офіційних джерелах компаній Cisco, Fortinet, Sophos, (лідери Gartner) немає таких показників, які б вказували продуктивність по всьому функціоналу Firewall, IPS, Application Control, URL Control, Malware Protection (захист від шкідливих програм, Anti-Virus, Anti-Bot, Sandbox). Тільки у компанії Check Point в офіційних джерелах є інформація про дану продуктивність обладнання. Прохання пояснити яким чином можливо підтвердити дану продуктивність якщо в офіційних джерелах у Виробників таких даних немає?
В тендерну документацію будуть винесені зміни: вимога «Продуктивність» Таблиці вимог до "1.1. Міжмережевий екран" буде викладено в наступній редакції:
• Ввімкнено всі модулі безпеки (Firewall, IPS, Application Control): не менше 4 Гбіт/с.
• Можливість встановлення не менше ніж 1000 IPSecVPN та SSL VPN підключень (та не менше 300 одночасних сесій).
З приводу представництва та сервісного центра в Україні
В тендерній документації є вимога: «Додаток 3, Пункт 8 «8. Довідка учасника (за підписом уповноваженої особи учасника та завірена печаткою (у разі її використання)) про наявність офіційного представництва / філії виробника товару або офіційної сервісної служби виробника товару в Україні. Для підтвердження наявності офіційного представництва / філії або офіційної сервісної служби виробника товару в Україні у складі тендерної пропозиції надається лист від виробника товару з зазначенням адреси офіційного представництва виробника товару або офіційної сервісної служби виробника товару в Україні (у листі повинно бути посилання на сайт виробника товару з підтвердженням наведеної інформації). Лист від виробника повинен включати ідентифікатор закупівлі (номер оголошення), що оприлюднений на веб-порталі Уповноваженого органу, а також назву предмету закупівлі та назву замовника відповідно до оголошення.» В зв’язку з тим, що штаб-квартира виробника товару, продукція якого буде запропонована до постачання, знаходиться не на території України, а адреси сервісних центрів, які знаходяться на території України не відображені на офіційному сайті виробника товару, просимо надати відповідь: «Чи задовольнить Замовника офіційний лист від виробника товару в якому буде підтвердження наявності сервісного центру в Україні з адресою та описом послуг, які ці сервісні центри надають, без посилання на сайт виробника товару»?
В тендерну документацію будуть винесені зміни: пункт 8 Додатку 3 тендерної документації буде викладено в наступній редакції:
8. Довідка учасника (за підписом уповноваженої особи учасника та завірена печаткою (у разі її використання)) про наявність офіційного представництва / філії виробника товару або офіційної сервісної служби виробника товару в Україні. Для підтвердження наявності офіційного представництва / філії або офіційної сервісної служби виробника товару в Україні у складі тендерної пропозиції надається лист від виробника товару з зазначенням адреси офіційного представництва виробника товару або офіційної сервісної служби виробника товару в Україні. Лист від виробника повинен включати ідентифікатор закупівлі (номер оголошення), що оприлюднений на веб-порталі Уповноваженого органу, а також назву предмету закупівлі та назву замовника відповідно до оголошення.
Щодо технічних вимог
В тендерній документації Додаток 3, Таблиця вимог до "1.2. Мережеве обладнання захисту WEB-трафіку" «Вимоги до сканування трафіку» є вимога «• Система повинна мати додаткові механізми сканування вихідного трафіку на 4-му рівні і забезпечувати блокування спроб з'єднання з центрами керування ботнетами». Прохання уточнити про який рівень йде мова: tcp/ip чи OSI? Оскільки, якщо використовувати термінологію OSI , то блокування до командних центрів може бути на різних рівнях, наприклад, на третьому при використання ip або на сьомому при використанні доменних імен.
4-й рівень моделі OSI. Саме на цьому рівні ми можемо відрізнити TCP та UDP запити, номера портів. Це дозволяє фільтрувати вихідний трафік доволі точно. IP рівня для цього недостатньо, DNS імені теж.
Запитання стосовно вимог до фунціоналу центра сертифікації ключів (СА) міжмережевого екрану, що наведені у Додатку 3 «ІНФОРМАЦІЯ ПРО ТЕХНІЧНІ, ЯКІСНІ ТА КІЛЬКІСНІ ХАРАКТЕРИСТИКИ ПРЕДМЕТА ЗАКУПІВЛІ»:
Просимо уточнити, чи наявність внутрішнього СА (Certificate Authority) є обов’язковою вимогою чи буде достатньо підтримки сторонніх сертифікатів?
В тендерну документацію будуть винесені зміни: вимога «Функціонал центра сертифікації ключів (СА)» Таблиці вимог до "1.1. Міжмережевий екран" буде викладено в наступній редакції:
• Мати підтримку Microsoft СА.
Питання щодо включення ліцензій у цінову пропозицію
В тендерній документації Додаток 3, Таблиця вимог до "1.1. Мережеве обладнання захисту WEB-трафіку" «Продуктивність» є вимога " Можливість встановлення не менше ніж 1000 IPSecVPN та SSL VPN підключень (та не менше 300 одночасних сесій)." Правильно розуміємо, що вартість ліцензій на 3 роки для 1000 IPSecVPN та 300 SSL VPN повинні бути включені у цінову пропозицію?
В складі поставки товару учасник повинен надати необхідну кількість ліцензій для забезпечення функціональних вимог Додатку 3 тендерної документації. Вимога «Продуктивність» Таблиці вимог до "1.1. Міжмережевий екран" вимагає можливість обладнання встановлювати не менше ніж 1000 IPSecVPN та SSL VPN підключень, при цьому 300 підключень повинні бути одночасними.
Щодо технічних вимог тендерної документації
В тендерній документації Додаток 3, Таблиця вимог до "1.1. Міжмережевий екран" «Вимоги до сканування трафіку» є вимога «• Система повинна мати додаткові механізми сканування вихідного трафіку на 4-му рівні і забезпечувати блокування спроб з'єднання з центрами керування ботнетами». Прохання уточнити про який рівень йде мова: tcp/ip чи OSI? Оскільки, якщо використовувати термінологію OSI , то блокування до командних центрів може бути на різних рівнях, наприклад, на третьому при використання ip або на сьомому при використанні доменних імен.
4-й рівень моделі OSI. Саме на цьому рівні ми можемо відрізнити TCP та UDP запити, номера портів. Це дозволяє фільтрувати вихідний трафік доволі точно. IP рівня для цього недостатньо, DNS імені теж.
Стосовно вимог документації
В тендерній документації є вимога: «Додаток 3, Пункт 8 «8. Довідка учасника (за підписом уповноваженої особи учасника та завірена печаткою (у разі її використання)) про наявність офіційного представництва / філії виробника товару або офіційної сервісної служби виробника товару в Україні. Для підтвердження наявності офіційного представництва / філії або офіційної сервісної служби виробника товару в Україні у складі тендерної пропозиції надається лист від виробника товару з зазначенням адреси офіційного представництва виробника товару або офіційної сервісної служби виробника товару в Україні (у листі повинно бути посилання на сайт виробника товару з підтвердженням наведеної інформації). Лист від виробника повинен включати ідентифікатор закупівлі (номер оголошення), що оприлюднений на веб-порталі Уповноваженого органу, а також назву предмету закупівлі та назву замовника відповідно до оголошення.» В зв’язку з тим, що штаб-квартира виробника товару, продукція якого буде запропонована до постачання, знаходиться не на території України, а адреси сервісних центрів, які знаходяться на території України не відображені на офіційному сайті виробника товару, просимо надати відповідь: «Чи задовольнить Замовника офіційний лист від виробника товару в якому буде підтвердження наявності сервісного центру в Україні з адресою та описом послуг, які ці сервісні центри надають, без посилання на сайт виробника товару»?
В тендерну документацію будуть винесені зміни: пункт 8 Додатку 3 тендерної документації буде викладено в наступній редакції:
8. Довідка учасника (за підписом уповноваженої особи учасника та завірена печаткою (у разі її використання)) про наявність офіційного представництва / філії виробника товару або офіційної сервісної служби виробника товару в Україні. Для підтвердження наявності офіційного представництва / філії або офіційної сервісної служби виробника товару в Україні у складі тендерної пропозиції надається лист від виробника товару з зазначенням адреси офіційного представництва виробника товару або офіційної сервісної служби виробника товару в Україні. Лист від виробника повинен включати ідентифікатор закупівлі (номер оголошення), що оприлюднений на веб-порталі Уповноваженого органу, а також назву предмету закупівлі та назву замовника відповідно до оголошення.
Щодо вимог тендерної документації
В тендерній документації Додаток 3, Таблиця вимог до "1.1. Міжмережевий екран" – «Вимоги до функціоналу IPS» є вимога : « Надавати можливість імпортування власних правил (SNORT) системи виявлення та запобігання вторгнень». Чи влаштує Замовника якщо запропоноване рішення від Виробника буде імпортувати правила SNORT після автоматичної конвертації у власну скриптову мову? Рішення яке буде запропоноване також має функціонал імпортування власних правил системи виявлення та запобігання вторгнень, які можуть бути написані Замовником власноруч, як правила SNORT.
Так, влаштовує, оскільки запропоноване рішення буде відповідати вимогам тендерної документації.
Щодо вимоги до інтерфейсу користувача
Доброго дня! В тендерній документації в Додаток 3, Таблиця вимог до «1.2 Мережеве обладнання захисту WEB-трафіку» - «Вимоги до інтерфейсу користувача» вказана вимога «Звіти про збережену завдяки керуванню і блокуванню пропускну здатність». Мається на увазі пропускна здатність, збережена завдяки кешування трафіку? Якщо ні, то яким чином має розраховуватись збережена пропускна здатність?
Мається на увазі пропускна здатність, збережена завдяки кешування трафіку.
Питання щодо "Вимоги до адміністрування та звітності" до Міжмережевого екрану
В тендерній документації Додаток 3, Таблиця вимог до "1.1. Міжмережевий екран" «Вимоги до адміністрування та звітності» є вимога "• Мати механізм кореляції для виявлення будь-яких подій на мережевому рівні". У виробників даний механізм реалізований за допомогою окремої системи управління, яка об'єдную роботу міжмережевого екрану з іншими продуктами як мережевий захист пошти, захист кінцевих користувачів, мережевий захист web-трафіку. Саме в таких випадках системі є що корелювати отримуючи інформацію від різних джерел, але в переліку обладнання немає окремого обладнання "Системи управління" (згідно з Таблиця з переліком обладнання що пивонно входити до комплекту мережевого обладнання (NGFW/NGIPS)). Чи можливо ми неправильно зрозуміли дану вимогу? Будемо вдячні за будь-яку додаткову уточнюючу інформацію.
в таблиці вимог до "1.1. Міжмережевий екран" Додатку 3 тендерної документації є вимога до системи керування: Система керування міжмережевими екранами повинна входити до поставки.
Питання щодо Вимог до інтерфейсу користувача для Мережевого обладнання захисту Web-трафіку
В тендерній документації Додаток 3, Таблиця вимог до "1.2. Мережеве обладнання захисту WEB-трафіку" «Вимоги до інтерфейсу користувача» є вимога " • Можливість використання окремої централізованої системи обробки і створення звітів для збору і консолідації звітів з кількох систем.." Чи повинна окрема централізована система обробки і створення звітів для збору і консолідації звітів з кількох систем входити у цінову пропозицію? Також питання до вимоги "• Підтримка багатомовного інтерфейсу користувача. Можливість вибору мови видачі попереджень для користувачів, вбудована підтримка російської мови, можливість модифікації для підтримки української мови". Чи задовольнить замовника якщо при виборі мови видачі поперджень для користувачів російської мови не буде, але повідомлення на російській мові можливо буде створювати?
Зазначена учасником вимога передбачає можливість використання окремої централізованої системи обробки і створення звітів для збору і консолідації звітів з кількох систем та наявність вбудованої підтримки російської мови.