Soluție de securitate cibernetică a sistemelor informatice ANR – 3 ani

Scurtă descriere

Soluția de protecție de tip NGFW (Next Generation Firewall), care aplică deciziile asupra traficului în funcție de identitatea utilizatorilor și a aplicațiilor care îl generează și care implementează modalități de inspecție a conținutului traficului, inclusiv încadrarea categorială a resurselor internet și prelucrarea conținutului datelor nestructurate – fișiere – tranzitate) va fi instalată în locația centrală, înlocuind soluția existentă cu o arhitectură destinată să folosească integral resursele de calcul fără penalități de performanță în situații de avarie și va extinde funcțiile de protecție implementate în prezent cu funcții destinate prevenirii atacurilor informatice folosind vectorii de atac e-mail și descărcare de fișiere din internet, atacuri pentru care nu există o caracterizare (semnătură, tipar trafic) în momentul în care survin, printr-o componentă de execuție în mediu controlat (sandboxing) și de dezactivare a conținutului periculos din documentele prelucrate. Soluția ofertată va crește eficiența operațiunilor de administrare și monitorizare prin implementarea redundantă a componentei de management a configurațiilor și politicilor de protecție și prin implementarea separată a componentei de colectare și gestiune a înregistrărilor jurnal și de agregare, corelare și raportare a evenimentelor. Soluția de protecție ofertată va integra comunicația tutelată criptată cu cele 5 locații din teritoriu și va aplica măsurile de protecție implementate asupra traficului generat de acestea. Soluția de protecție ofertată va integra funcționalitățile de acces remote existente, aplicând măsurile de protecție implementate asupra traficului generat de utilizatorii operând în afara perimetrului rețelei. Soluția ofertată va permite conectarea simultană a 200 de utilizatori, independent de numărul de clienți software de acces remote instalat pe stațiile de lucru ale beneficiarului. Soluția ofertată va reduce operațiunile de administrare ale rețelei existente prin reducerea cerințelor de conectivitate și va elimina operațiunile de replanificare și reconfigurare a rețelei pentru asigurarea condițiilor de scalabilitate. Pentru caracterizarea soluției în termenii funcționalităților și a parametrilor de performanță solicitați, caietul de sarcini distinge trei blocuri funcționale:- Componenta centrală de protecție de tip NGFW, -Componenta de determinare a gradului de pericol prezentat de fișierele identificate în trafic, -Componenta de gestiune centralizată a configurației, jurnalizării și raportării. Caracteristicile funcționale și de performanță enumerate în continuare au caracter minim necesar și eliminatoriu în evaluarea ofertelor. Întrucât funcționarea soluției necesită integrarea tuturor componentelor din perspectiva prelucrării fluxurilor de trafic, a gestiunii configurațiilor și a politicilor de protecție și a monitorizării, este obligatoriu ca toate componentele blocurilor funcționale ale soluției, atât repere hardware cât și software, inclusiv tehnologiile de protecție implementate în cadrul acestora, să fie dezvoltate și suportate de același producător. Nu vor fi acceptate componente sau produse pentru care producătorul a anunțat public încheierea ciclului de vânzare cu mai puțin de 12 de luni înaintea datei ofertării. În cazul în care funcțiile de protecție și conectivitate solicitate fac obiectul activării și actualizării prin cheie de licență și/sau al funcționării prin consultarea pe bază de subscripție a unor servicii ale producătorului, toate componentele blocurilor funcționale ale soluției trebuie ofertate astfel încât să ofere continuitatea funcțiilor pe o durată de 36 de luni de la data intrării în vigoare a contractului. Pentru probarea modului de îndeplinire a cerințelor, ofertanții vor include referința la documentația producătorului sau capturi de ecran care să evidențieze implementarea funcționalității solicitate.

Informații suplimentare

Cerintele tehnice definite la nivelul anuntului de participare, caietului de sarcini sau altor documente complementare, prin trimiterea standardelor, la un anumit producator, la marci, brevete, tipuri, la o origine sau la o productie/metoda specifica de fabricatie/prestare/executie, vor fi intelese ca fiind insotite de mentiunea ”sau echivalent”.

Documentul Unic de Achiziție European (DUAE) se generează direct în SEAP.

Documentația de atribuire este atașata în integralitatea sa la prezenta Fișă de date.

În cazul în care două sau mai multe oferte sunt clasate pe primul loc, cu punctaje egale, departajarea se va realiza având în vedere punctajul obținut la factorul de evaluare 1 - Componenta financiară. În situația în care egalitatea se menține, departajarea se va realiza având în vedere punctajul obținut la factorul de evaluare 2 - Servicii de suport tehnic minimal asigurat prin abonament de 16 ore pe lună calendaristică timp de 36 de luni. În situația în care egalitatea se menține și după această a treia departajare, autoritatea contractantă are dreptul să solicite noi propuneri financiare, iar oferta câștigătoare va fi desemnată cea care va prezenta propunerea financiară cea mai mică.

Solicitările de clarificări referitoare la conținutul documentaţiei de atribuire se vor adresa cf. art. 160 din Legea 98/2016 privind achiziţiile publice cu modificările și completările ulterioare și vor fi postate in mod exclusiv in SEAP la Sectiunea „ Intrebari” din cadrul procedurii, iar raspunsurile la acestea vor fi publicate in SEAP de catre Autoritatea contractanta. Autoritatea contractanta nu va da curs solicitarilor adresate prin alta modalitate de comunicare decat cea stabilita in prezenta documentatie de atribuire.

Termenul limită până la care se pot solicita clarificări referitoare la conținutul documentaţiei de atribuire de către operatorii economici interesați de accesul la procedura de atribuire – în a 19–a zi înainte de data limită de depunere a ofertelor. Autoritatea contractantă va raspunde în mod clar şi complet tuturor solicitărilor de clarificări/informaţiilor suplimentare - în a 11-a zi înainte de data limită de depunere a ofertelor. Aceste răspunsuri vor face parte din documentația de atribuire și este obligatoriu ca la elaborarea ofertei să fie avute în vedere.

Pe perioada de evaluare a ofertelor, comisia de evaluare va transmite solicitările de clarificari, in SEAP la Secțiunea “Întrebări”. Ofertanții vor transmite răspunsurile la clarificări si eventualele documente solicitate pe parcursul evaluării ofertelor prin intermediul SEAP (Secțiunea “Întrebări”), integral în secțiunea corespunzătoare respectivei solicitări, semnate cu semnătură electronică. Ofertanții au obligația de urmări permanent anunțul de participare pe toata perioada de evaluare a ofertelor depuse.

Pentru încărcarea documentelor în SEAP, recomandăm operatorilor economici ca acestea să fie arhivate în arhive de maxim 50 MB semnate cu semnătură electronică extinsă, pentru a înlesni procesul de evaluare a ofertelor. Nu se vor depune alte documente decât cele solicitate prin documentația de atribuire.

SEMNAREA CONTRACTULUI - Înainte de încheierea contractului, ofertantul declarat câștigător va prezenta: contractele încheiate cu subcontractanții. Contractele de subcontractare vor cuprinde cel puțin informațiile minim solicitate de Autoritatea Contractantă prin Fișa de Date a Achiziției. Înainte de încheierea contractului, ofertantului declarat câștigător, în condițiile în care acesta este o asociere, i se va solicita să prezinte Acordul de asociere semnat de către părți, legalizat.

Analizarea documentelor prezentate de ofertanti de catre comisia de evaluare nu angajeaza din partea acesteia nicio raspundere sau obligatie fata de acceptarea acestora ca fiind autentice sau legale si nu inlatura raspunderea exclusiva a ofertantului sub acest aspect.

Pentru informaţii suplimentare privind depunerea în format electron... detalii pe www.e-licitatie.ro

Capacitatea tehnică și profesională

Pentru contractele de achizitie de bunuri: executarea de livrari de tipul specificat
Cerința 1: Criterii privind capacitatea tehnică: lista principalelor livrări de produse efectuate în cursul unei perioade care acoperă cel mult ultimii 3 ani, cu indicarea valorilor, datelor și a beneficiarilor publici sau privați. Ofertantul trebuie să demonstreze că a livrat în ultimii 3 ani produse similare cu cele supuse procedurii de atribuire la nivelul unuia sau mai multor contracte. Prin produse similare se înţelege: echipamente de tipul NGFW și servicii de instalare și configurare soluție conform caietului de sarcini. Ultimii 3 ani se calculează prin raportare la termenul limită pentru depunerea ofertelor cu aplicarea corespunzătoare a Instructiunii ANAP nr. 2/2017 (art.13). Se vor lua în considerare numai produsele livrate în acest interval pentru care se poate face dovada recepţionării.

Cerința 2: Criterii privind capacitatea profesională
Luând în calcul durata redusă de implementare a soluției de securitate (licențele și subscripțiile actuale expiră în decembrie 2021), complexitatea și importanța acesteia, dar și importanța securității sistemelor IT ale Autorității Navale Române, este imperios necesar ca ofertantul să dețină un minim de personal cu experiență similară.
Cerințele solicitate cu privire la nivelul Criteriilor de calificare si/sau selecție nu sunt discriminatorii și nu sunt de natură să îngrădească liberul acces la procedura de achiziție publică.
Natura achiziției impune armonizarea unor soluții software și implementarea acestora pe o infrastructura hardware existentă deja sau ce urmează a fi achiziționată tot prin prezenta procedură.
Armonizarea soluțiilor software presupune, la rândul ei, utilizarea unor aplicații existente pe piață și modificarea acestora în conformitate cu cerințele ce se impun pentru a funcționa pe structura organizatorică existentă, precum și dezvoltarea unor module noi special pentru acest proiect.
Contractorul trebuie să asigure, prin personal propriu angajat, minim 3 experți certificați în securitatea informației care să fie capabili să proiecteze, supervizeze și să testeze soluția de securitate conform standardelor de securitate IT:
a. Expert securitatea informației – 1 persoană
- Expertul este responsabil cu definirea soluției de securitate printr-un proces de modelare a amenințărilor și identificare a mecanismelor de securitate necesare a fi implementate la nivel de aplicații și sisteme existente;
- Expertul trebuie sa asigure consultanța în proiectarea arhitecturii de securitate a noului sistem ce urmează a fi implementat;
- Expertul trebuie sa ofere consultanța în detalierea cerințelor și politicilor de securitate precum și verificarea conformității sistemului implementat cu cerințele și arhitectura de securitate;
- Expertul trebuie să ofere suport de specialitate în activitățile de analiză, dezvoltare, testare, implementare, configurare.
- Expertul trebuie să ofere suport în asigurarea conformității cu legislația națională și europeană privind securitatea sistemului informatic;
- Expertul trebuie sa ofere consultanță și suport în securitate informațională;
- Expertul trebuie să dețină certificări relevante în securitatea informației, cel puțin:
o CISSP - Certified Information Systems Security Professional (ISC2) sau echivalent
o CISA - Certified Information Systems Auditor sau echivalent
- Pentru acest expert trebuie prezentate recomandări contrasemnate de beneficiari din care să reiasă Jcă a participat ca auditor tehnic sau consultant la cel puțin trei contracte în domeniul securității informației.

b. Expert tehnic pentru implementare soluții de securitate cibernetica – 1 persoană
- Expertul este responsabil cu implementarea cerințelor de securitate ale Autorității Contractante și se coordonează cu ceilalți experți pentru a decide asupra unei abordări tehnice generale.
- Expertul trebuie să creeze o metodă de implementare a soluției de securitate sigură și cu impact minim în mediul de producție al Autorității Contractante, să modifice soluția de securitate existentă în acest sens, dacă este cazul.
- Expertul trebuie să se asigure că protecția rețelelor Autorității Contractante, fără nicio perioadă de nefuncționare. El trebuie să educe și să împărtășească experiența proprie cu administratorii soluției, cu privire la modul de utilizare eficientă a soluției de securitate implementate. De asemenea, acesta ajută la reducerea nevoii de solicitări de servicii, deoarece administratorii pot înțelege sistemul mai bine și își pot rezolva în mod eficient problemele.
- Expertul trebuie sa fie certificat de către producătorul soluției cu titlu de expert în securitate cibernetică, pentru versiunile software implementate în cadrul proiectului.
- Pentru acest expert trebuie prezentate recomandări contrasemnate de beneficiari din care să reiasă că a participat ca expert tehnic de implementare la cel puțin trei contracte ce au presupus implementarea de soluții similare cu cea ofertată.

c. Expert teste de securitate – 1 persoană
- Expertul trebuie să asigure implementarea planurilor, scenariilor și cazurilor de testare de securitate (teste de penetrare);
- Expertul trebuie să desfășoare activități de testare a componentelor implementare prin testare unitară pe baza scenariilor de testare;
- Expertul trebuie să desfășoare activități de testare a sistemului informatic pe baza scenariilor de testare;
- Expertul este responsabil de activitățile de testare a riscurilor și vulnerabilităților la care este expus noul sistem și propune măsuri de remediere ale acestora.
- Expertul este responsabil de pregătirea și livrarea rapoartelor de testare;
- Expertul trebuie să dețină certificări relevante, care să ateste cunoștințe în testarea securității aplicațiilor software și certificări care necesită dovezi ale abilităților practice pentru testele de penetrare, cel puțin:
o CEH, LPT sau echivalent
o OSCP sau echivalent
- Pentru acest expert trebuie prezentate recomandări contrasemnate de beneficiari din care să reiasă că a participat la cel puțin trei contracte ca expert în testarea securității unui sistem informatic.

Cerința 3: Informaţii privind subcontractanții/asociaţii – dacă este cazul
Informații privind partea din contract pe care operatorul economic are, eventual, intenția să o subcontracteze.

Cerinţa 4: Informaţii privind terţul susţinător – dacă este cazul
Capacitatea tehnică și/sau profesională a operatorului economic poate fi susținuta în conformitate cu art.182-183 din Legea nr. 98/2016 .

Nivel(uri) minim(e) al(e) standardelor

Cerinta 1: Se va completa DUAE conform art. 193-195 din Legea 98/2016 privind achizițiile publice, cu modificările şi completările ulterioare, şi conform Notificării ANAP nr. 240/2016, de către ofertanţi şi, dacă este cazul, de către terţi susţinători şi subcontractanţi, dacă sunt cunoscuţi la momentul depunerii ofertei (la nivelul DUAE se vor preciza informaţii cum ar fi: părți relevante din contract / procese-verbale de recepţie / recomandări / certificări / alte documente care să ateste livrarea produselor contractului).
Documentele justificative care probează îndeplinirea celor asumate prin completarea DUAE (părți relevante din contract / procese-verbale de recepţie / recomandări / certificări / alte documente), prin care se demonstrează îndeplinirea criteriilor de calificare în conformitate cu informaţiile cuprinse în DUAE, urmează a fi prezentate, la solicitarea autorităţii contractante doar de către ofertantul clasat pe primul loc al clasamentului intermediar întocmit la finalizarea evaluării ofertelor, după aplicarea criteriului de atribuire.

Cerința 2:
a. Expert securitatea informației – 1 persoană-Expertul trebuie să dețină certificări relevante în securitatea informației, cel puțin:
o CISSP - Certified Information Systems Security Professional (ISC2) sau echivalent
o CISA - Certified Information Systems Auditor sau echivalent
- Pentru acest expert trebuie prezentate recomandări contrasemnate de beneficiari din care să reiasă Jcă a participat ca auditor tehnic sau consultant la cel puțin trei contracte în domeniul securității informației.

b. Expert tehnic pentru implementare soluții de securitate cibernetica – 1 persoană
- Expertul trebuie sa fie certificat de către producătorul soluției cu titlu de expert în securitate cibernetică, pentru versiunile software implementate în cadrul proiectului.
- Pentru acest expert trebuie prezentate recomandări contrasemnate de beneficiari din care să reiasă că a participat ca expert tehnic de implementare la cel puțin trei contracte ce au presupus implementarea de soluții similare cu cea ofertată.

c. Expert teste de securitate – 1 persoană
Expertul trebuie să dețină certificări relevante, care să ateste cunoștințe în testarea securității aplicațiilor software și certificări care necesită dovezi ale abilităților practice pentru testele de penetrare, cel puțin:
o CEH, LPT sau echivalent
o OSCP sau echivalent
- Pentru acest expert trebuie prezentate recomandări contrasemnate de beneficiari din care să reiasă că a participat la cel puțin trei contracte ca expert în testarea securității unui sistem informatic.

Cerința 3: Modalitatea prin care poate fi demonstrată îndeplinirea cerinței : Se va completa DUAE de către subcontractanții/asociații participanți la procedura de atribuire cu informațiile aferente situației lor. Ofertanții vor depune, odată cu DUAE, dacă este cazul, următoarele documente: Centralizator cu asociații și subcontractanții (Formular nr. 2); Acordul de asociere (Formular nr. 3) şi/sau Acordul de subcontractare (Formular nr. 4).
Documentele justificative care probează cele asumate în angajamente/acorduri vor fi prezentate, la solicitarea autorității contractante doar de către ofertantul clasat pe primul loc al clasamentului intermediar întocmit la finalizarea evaluării ofertelor, după aplicarea criteriului de atribuire.

Cerinta 4:Modalitatea prin care poate fi demonstrată îndeplinirea cerinței: Se va completa DUAE de către ofertant, în care se vor include informațiile cu privire la existența unei susțineri de terță parte, inclusiv măsurile avute în vedere de acesta pentru a accesa în orice moment resursele necesare, la care se atașează angajamentul ferm al terțului susținător/angajamentele ferme ale terților susținători (Formular nr. 5 – Angajament privind susţinerea tehnică - experiență similară a ofertantului/candidatului/grupului de operatori economici) din care trebuie să rezulte modul efectiv în care terțul/terții susținători vor asigura îndeplinirea angajamentului. Terțul/terții susținători vor completa DUAE cu informații privind nivelul lor de experiență, prin raportare la contractele executate în trecut, corespunzător susținerii acordate.


Documentele justificative solicitate în susţinerea îndeplinirii acestei cerinţe urmează a fi prezentate, la solicitarea autorității contractante, doar de către ofertantul clasat pe primul loc al clasamentului intermediar întocmit la finalizarea evaluării ofertelor, după aplicarea criteriului de atribuire.

Informații privind termenele de introducere a căilor de atac

Eventualele contestații se pot depune la Consiului Național de Soluționare a Contestațiilor/instanța competentă și vor fi soluționate potrivit legii nr.101/2016. Termenele de exercitare a căilor de atac sunt cele prevăzute de art. 8 alin.1) lit. a) din Legea nr.101/2016 cu modificările şi completările ulterioare.