Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Příloha č. 1 Smlouvy o dílo č. j. R-07/13-2024
Technická specifikace objednatele
Obsah
1 TECHNICKÁ DOKUMENTACE ZADAVATELE (OBJEDNATELE)............................................................................ 1
2 POPIS STÁVAJÍCÍHO PROSTŘEDÍ A POŽADAVKY NA JEHO ÚPRAVU V SOUVISLOSTI S DODÁVKOU NOVÝCH
ZAŘÍZENÍ A LICENCÍ ................................................................................................................................................ 3
2.1 ARCHITEKTURA STÁVAJÍCÍHO PROSTŘEDÍ VE VAZBĚ NA REALIZOVANÉ PLNĚNÍ .................................................................. 3
2.2 POPIS PLNĚNÍ DLE TÉTO TECHNICKÉ DOKUMENTACE .................................................................................................. 4
3 POŽADAVKY NA TECHNICKÉ ŘEŠENÍ............................................................................................................... 5
4 OBECNÉ POŽADAVKY NA JEDNOTLIVÉ ČÁSTI/OBLASTI DÍLA........................................................................... 5
5 FUNKČNÍ POŽADAVKY NA JEDNOTLIVÉ ČÁSTI DÍLA ........................................................................................ 8
5.1 OBLAST VYBUDOVÁNÍ TERMINÁLOVÉHO SERVERU A ZVÝŠENÍ DOSTUPNOSTI SERVEROVÉHO PROSTŘEDÍ A SYSTÉMOVÉ
PROSTŘEDKY .................................................................................................................................................................. 9
5.2 OBLAST ZVÝŠENÍ ZABEZPEČENÍ KOMUNIKAČNÍ SÍTĚ A SYSTÉMOVÉ PROSTŘEDKY ............................................................ 12
5.3 OBLAST POKROČILÉ ZÁLOHOVÁNÍ A SYSTÉMOVÉ PROSTŘEDKY................................................................................... 18
5.4 OBLAST VÍCEFAKTOROVÁ AUTENTIZACE................................................................................................................ 20
5.5 OBLAST NASAZENÍ SYSTÉMU EDR....................................................................................................................... 21
5.6 OBLAST CENTRÁLNÍ LOGOVÁNÍ ........................................................................................................................... 21
6 POŽADAVKY NA IMPLEMENTACI JEDNOTLIVÝCH ČÁSTÍ DÍLA ....................................................................... 23
6.1 OBECNÉ POŽADAVKY NA INSTALAČNÍ A IMPLEMENTAČNÍ SLUŽBY................................................................................ 23
6.2 PODROBNÝ POPIS INSTALAČNÍ A IMPLEMENTAČNÍCH SLUŽEB..................................................................................... 23
7 DOKUMENTACE K DODÁVANÉMU ŘEŠENÍ ................................................................................................... 25
7.1 PROVÁDĚCÍ DOKUMENTACE ............................................................................................................................... 25
7.2 PROVOZNÍ DOKUMENTACE ................................................................................................................................ 25
8 ZAŠKOLENÍ IT ADMINISTRÁTORŮ................................................................................................................. 25
9 TESTOVACÍ PROVOZ..................................................................................................................................... 26
10 AKCEPTAČNÍ ŘÍZENÍ ..................................................................................................................................... 26
10.1 DÍLČÍ AKCEPTAČNÍ ŘÍZENÍ................................................................................................................................... 26
10.2 SOUHRNNÉ AKCEPTAČNÍ ŘÍZENÍ – AKCEPTACE ........................................................................................................ 26
10.3 OPAKOVANÉ AKCEPTAČNÍ ŘÍZENÍ......................................................................................................................... 26
11 HARMONOGRAM PLNĚNÍ ............................................................................................................................ 27
12 PROJEKTOVÉ ŘÍZENÍ ..................................................................................................................................... 27
1 Technická dokumentace zadavatele (objednatele)
Zadavatel (dále též jako „objednatel“ nebo „kupující“) požaduje dodávku jednotlivých komponent dle
této technické dokumentace včetně příslušenství v níže uvedené minimální specifikaci.
Deklarované funkce a technické parametry nabízeného zboží musí být ověřitelné prostřednictvím
oficiálních datasheetů, release notes či manuálů vydaných výrobcem.
Užité pojmy níže:
1
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
NBD – další pracovní den, tzn. například realizace opravy zařízení nejpozději další pracovní den
od nahlášení
x BD – x pracovních dnů, tzn. například realizace opravy zařízení nejpozději poslední pracovní den
dané lhůty od nahlášení
on-site – realizace například opravy zařízení v místě dodávky
Z důvodu kompatibility se stávající infrastrukturou a proškolených správců počítačové sítě, mohou být
v zadávací dokumentaci uvedeny konkrétní značky výrobků, nebo určitý výrobce. Tyto důvody jsou vždy
uvedeny v konkrétní části specifikace tam, kde dochází k uvedení konkrétního produktového názvu.
V souladu s § 89 odst. 6 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, zadavatel připouští
možnost dodávky rovnocenného řešení, které však musí zajistit celý komplex služeb, který je
kompatibilitou vyžadován, tedy komplexní řešení agendových informačních systémů nad touto
platformou vybudovaných a provozovaných, které předmětnou infrastrukturu užívají a slouží k výkonu
veřejné správy zadavatele.
Propojení zařízení – SFP moduly a kabely
Všechny dodané technologie musejí být v rámci dodávky propojeny odpovídajícím způsobem a
technologií, tedy zejména pro všechny síťové karty jednotlivých zařízení musejí být dodány i SFP a
obdobné moduly a kabely do serverovny kupujícího, které takové propojení v kvalitě požadované u
každého ze zařízení umožní. V případě 10Gbit karet musí být dodány SFP prvky a kabely umožňující
využití této maximální rychlosti karty, v případě jiných rychlostí toto pravidlo musí být dodrženo stejně.
2
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
2 Popis stávajícího prostředí a požadavky na jeho úpravu v souvislosti
s dodávkou nových zařízení a licencí
2.1 Architektura stávajícího prostředí ve vazbě na realizované plnění
Zadavatel provozuje jedno datová centrum, ze kterého poskytuje služby uživatelům prostřednictvím
lokální sítě v lokalitě „náměstí Republiky, Horšovský Týn“
Stávající vybavení datového centra náměstí Republiky
Název komponenty Typ / model
Servery a úložiště 2× Dell PowerEdge R640 (2 CPU) s VMware vSphere
2× Dell PowerEdge R640 s HPE StoreVirtual VSA Software
2× HPE StoreVirtual 4330
Virtuální servery GIS, Active Directory, VERA, SQL, BACKUP
NAS 1× Synology RackStation RS2421+
Firewall 2x FortiGate 100D
UPS 2× UPS HP R/T 3000 G2
Síťové přepínače 4× HP FlexFabric 5800-24G
2× přepínač Ubiquiti UniFi 48p
3
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Zálohovací systém 2× přepínač D-Link DGS-1210-52
Veeam Backup & Recovery Essentials Standard /6 CPU
2.2 Popis plnění dle této technické dokumentace
Předmětem plnění této technické dokumentace je dodávka a implementace opatření v oblasti
kybernetické bezpečnosti pro město Horšovský Týn a dále rozšíření technologické IT infrastruktury pro
nové služby eGovernmentu, vše včetně nedílně souvisejících požadavků typu dodání licencí, zaškolení,
zpracování dokumentace a podpory dodaných technologií.
V rámci plnění dojde k rozšíření stávajícího prostředí města realizací opatření v dále vyjmenovaných
oblastech. Pro zajištění objednatel požaduje dodávku následujících zařízení a SW licencí:
Oblast kybernetické bezpečnosti / část díla Typ Název položky
Licence serverové virtualizace
Licence diskové virtualizace
Licence serverového operačního systému
Oblast Vybudování terminálového serveru a SW Licence klientské přístupové k serverovému
zvýšení dostupnosti serverového prostředí operačnímu systému
Licence aplikační virtualizace
Licence pro ukládání záloh serveru
HW Server HCI s portem pro páskovou knihovnu a
příslušenstvím
SW Licence software pro řízení přístupu do sítě
založeného na protokolu 802.1x
Oblast Zvýšení zabezpečení komunikační Páteřní přepínače s příslušenstvím
sítě HW Přístupové přepínače s příslušenstvím
Přístupové body Wi-Fi (AP) s příslušenstvím
Next-Generation Firewally s příslušenstvím
Zabezpečené úložiště záloh s řízenou retencí
Oblast Pokročilé zálohování HW Off-site úložiště archivních dat a záloh –
pásková knihovna
Oblast Vícefaktorová autentizace SW Licence software pro autentizaci uživatelů
pomocí identifikačních prostředků
Oblast Nasazení systému EDR SW Licence EDR systému
Oblast Centrální logování SW Licence systému centrálního logování
Oblast IT infrastruktury pro rozvoj Typ Název položky
eGovernmentu / část díla
Server HCI s příslušenstvím
HW Přístupové body Wi-Fi (AP) s příslušenstvím
Licence serverové virtualizace
Oblast Systémové prostředky Licence diskové virtualizace
SW Licence operačního systému
Licence databázového serveru
Licence SW pro ukládání záloh
a související příslušenství v obou oblastech plnění
4
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
3 Požadavky na technické řešení
Hlavním cílem je zvýšení kybernetické bezpečnosti a naplnění požadavků daných zákonem číslo 181/2014
Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), tj. v
souhrnu zajištění a zvýšení bezpečnosti informačních a komunikačních systémů objednatele. Dalším
cílem je navýšení výpočetních zdrojů pro rozvoj služeb a zvýšení efektivity eGovernmentu.
Pokud zhotovitel vyžaduje využití konkrétních softwarových produktů a jím zvolený přístup k realizaci
zadání je na takových konkrétních řešeních závislý, musí jejich pořízení zahrnout ve své nabídce v
potřebném rozsahu a v rámci nabídnuté ceny.
Pokud zhotovitel (dále též „dodavatel“) nabízené řešení vyžaduje komponenty nebo služby neobsažené v
požadavcích zadání, zahrne zhotovitel do své ceny všechny náklady na jejich pořízení, instalaci,
konfiguraci a další služby potřebné pro uvedení do provozu.
Zadavatel z důvodů jednotné správy IT infrastruktury a minimalizace provozních nákladů vyžaduje využití
stávajících prostředků a používaných technologií. V případě, že zhotovitel vyžaduje ve svém řešení stejné
nebo podobné funkce, jaké poskytují stávající prostředky a technologie, je povinen využít nebo vhodným
způsobem rozšířit stávající prostředky.
Veškeré komponenty, které dodavatel dodává v rámci předmětu plnění, musí splňovat následující
podmínky:
Jedná se o nové a nerepasované komponenty.
Byly oprávněně uvedeny na trh v EU nebo pochází z autorizovaného prodejního kanálu výrobce.
Mají plnou záruku od výrobce.
Mohou být podporovány výrobcem a mohou být součástí servisního a podpůrného programu
výrobce.
Obsahují všechny nezbytné licence na používání příslušného softwaru.
Jsou v databázi výrobce uvedeny jako prodaná kupujícímu – zadavateli.
Zadavatel si vyhrazuje právo na zjištění původu výrobků při jejich předávání, a to dle příslušných
sériových čísel a právo podpisu akceptačního protokolu, osvědčujícího převzetí dodávky, až po
ověření původu výrobku.
4 Obecné požadavky na jednotlivé části/oblasti díla
Oblast Vybudování terminálového serveru a zvýšení dostupnosti serverového prostředí a
Systémové prostředky
Bude provedena instalace a implementace obou HCI (hyper converged infrastructure) serverů
včetně serverové a diskové virtualizace a začlenění do stávající infrastruktury.
HCI servery budou tvořit samostatný cluster, funkčně a z pohledu správy nezávislý na stávající
virtualizační platformě (s výjimkou možného využívání stávajících diskových úložišť).
Bude vybudována plnohodnotná platforma aplikační virtualizace (terminálových služeb) včetně
webového portálu s publikovanými aplikacemi pro lokální i vzdálený přístup uživatelů a centrálního
přístupového bodu zajišťující vyrovnávání zátěže mezi jednotlivými aplikačními servery. Součástí
implementace je vybudování základního aplikačního prostředí uživatele – tj. instalace a
konfigurace klientských aplikací již vlastněných objednatelem (Office, Acrobat). Součástí
implementace je i poskytnutí asistence v rozsahu do 20 člověkohodin specialisty na platformu
aplikační virtualizace zhotovitele objednateli a dodavatelům jeho agendových informačních
systémů, kterých se dotkne nově implementovaná virtualizační platforma.
Bude implementován nový databázový server a bude proveden rekonfigurace a konsolidace
databázových strojů ve vazbě na stávající platformu MS SQL server. Případné migrace databází
mezi různými verzemi MS SQL serveru budou provedeny mimo toto plnění dodavateli jednotlivých
5
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
agendových IS.
Oblast Zvýšení zabezpečení komunikační sítě a Systémové prostředky
Bude provedena výměna části stávajících přístupových přepínačů pro možnost plošné
implementace technologie 802.1X.
Budou dodány a implementovány přístupové body WiFi s centrální správou.
Architektura WiFi bude založena na řešení s centrální správou prováděnou kontrolérem (řadičem),
který bude součástí firmwaru síťových prvků a zajistí automatické rozložení zátěže klientů, roaming
mezi spravovanými přístupovými body a automatickou detekci a reakci na rušení cizím signálem.
V celé LAN bude implementováno řízení přístupů k mediu (síti) na základě rolí a členství v
uživatelské skupině adresářové služby Active Directory založené na standardu IEEE 802.1X. Stejný
standard řízení přístupů bude implementován i pro zařízení bez podpory Active Directory, pouze
pro autentizaci bude využit jiný, zařízením podporovaný, způsob – certifikát apod.
Bude implementován vysoce dostupný síťový / perimetrový firewall pro provádění hloubkové
kontroly komunikace mezi interními subjekty (uživatel, zaměstnanec, server), ověřování validity
komunikačních a aplikačních protokolů, filtrací nežádoucích adres a antimalwarovou kontrolou.
Ochrání tak interní systémy před zavlečením škodlivého kódu z prostředí internetu či jiných
veřejných/externích sítí. Bude poskytovat také prostředky VPN pro vzdálený přístup uživatelů a
ochranu aplikací publikovaných z interní sítě do internetu. Firewall nahradí stávající řešení a
převezme jeho vhodná konfigurační nastavení.
Ověřování přístupu do LAN bude realizováno protokolem 802.1X vůči adresářové službě
prostřednictvím protokolů radius a P/EAP. Neověřená zařízení nezískají přístup do sítě vůbec nebo
jim bude zpřístupněna pouze VLAN s omezeným přístupem (např. Intranet). Spolu s ověřováním
(autentizací) bude implementována i autorizace, tedy dynamické zařazení klientského zařízení
nebo uživatele do určené VLAN. Součástí dodávky bude vzorová konfigurace 802.1x na všech
typech koncových zařízení objednatele.
Ověřování přístupu do WiFi sítě bude realizováno na stejném principu jako LAN (tj. protokol 802.1X
+ radius). Wifi bude nabízet více SSID (např. zaměstnanci, hosté, veřejnost), které budou
obsluhovány samostatnými VLAN a budou napojeny na radius servery. Zaměstnanci budou
prostřednictvím radius serveru ověřováni v adresářové službě. Zabezpečení vnitřních sítí (BSSID)
bude provedeno dle 802.11i, tedy – WPA2/3 s AES šifrováním a konfigurováno shodně pro obě
frekvenční pásma. Výjimkou bude síť určená výhradně pro hosty popř. veřejnost, kde bude
realizován tzv. captive portál zajišťující webovou autentizaci hostů pomocí přidělených účtů nebo
za pomoci před-generovaných číselných kupónů. Požadován bude captive portál nabízeného
systému řízení 802.1X s tzv. lobby přístupem pro správu a generování účtů/kupónů ne-technickou
osobou.
Pro hosty a veřejnost budou zřízeny samostatné (či samostatná) VLAN, které bude komunikačně
odděleny od vnitřních sítí organizace. Tyto VLAN budou mít své L3 rozhraní až na úrovní firewallu
tak, aby bylo možné komunikaci podrobit kontrole za pomoci UTM nástrojů (min. AV, IPS,
kategorizace obsahu) a mohl jí být přiřazen samostatný profil odlišný od profilů pro zaměstnance.
Řízení provozu v LAN bude realizováno vytvořením VLAN (802.1Q), segmentací sítě s přepínáním
provozu mezi VLAN na úrovni centrálního přepínače s nastavitelnými ACL. Pro řízení provozu na
úrovni kvality služeb bude k dispozici technologie QoS (Quality of Services). Pro zajištění vysoké
dostupnosti služeb budou klíčové aktivní prvky propojeny duálními trasami s automatickým
rozkládáním zátěže a převzetím služeb v případě výpadku jedné trasy.
6
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Oblast Pokročilé zálohování a Systémové prostředky
Do infrastruktury bude začleněno Zabezpečené úložiště záloh s řízenou retencí (dále jen
Zabezpečené úložiště) a Off-site úložiště archivních dat a záloh – pásková knihovna. Pásková
jednotka bude připojena k HCI serveru vybavenému odpovídajícím externím rozhraním SAS.
Stávající zálohovací systém bude rozšířen a rekonfigurován tak, aby s souladu s nejlepšími
praktikami (best practices) zajistil spolehlivé zálohování a obnovu dat v souladu s potřebami
organizace a ochranou záloh před poškozením či ztrátou.
Součástí implementace bude vypracování tzv. Disaster recovery plánu, tj. postupu obnovy
produkčního prostředí a provozu při jeho ztrátě či významnému poškození.
Zabezpečené úložiště zajistí po určenou dobu (tzv. retenční lhůtu) neměnnost (tj. i
nesmazatelnost) uložených dat.
Zabezpečené úložiště bude disponovat vlastní správou uživatelů nezávislou na ostatních systémech
(Active Directory apod.), jeho operační systém musí být odlišný od majoritně používaných
operačních systémů v organizaci (Windows server a desktop) a i jeho souborový systém odlišný od
majoritně používaných souborových systémů v organizaci. Bude obsahovat systém retenčních
politiky, které neumožňují po nastavenou dobu změnit či odstranit uložená data.
Zabezpečené úložiště bude mít nastavenu dostatečnou retenční lhůtu ukládaných dat (min.
jednotky dnů), aby v případě úspěšného kybernetického útoku měli správci systémů dostatek času
útok zaznamenat a reagovat na něj a nedošlo k přepsání uložených dat běžným provozem
(uložením další (potenciálně vadné) zálohy).
Zabezpečené úložiště bude integrováno se zálohovacím systém pro automatické ukládání
provozních záloh a uvolňování úložné kapacity při vypršení retenční lhůty uložených dat.
Oblast Vícefaktorová autentizace
Bude implementován nástroj autentizace uživatelů s využitím více faktorové (víceúrovňové)
autentizace.
Ověřování uživatele při přihlašování ke koncovému zařízení (resp. jeho operačnímu systému) bude
prováděno pomocí identifikačních karet typu smart card, které budou sloužit jako bezpečné
úložiště uživatelských certifikátů, kterými bude ověřována identita uživatele. Dodávka karet a
čteček není předmětem tohoto plnění – dodávku zajistí objednatel na základě požadavků, resp.
parametrů specifikovaných Dodavatelem v rámci implementace.
Autentizační prostředky (karty smart card) budou certifikovány jako kvalifikovaný prostředek pro
vytvoření a používání kvalifikovaného elektronického podpisu při uložení příslušných uživatelských
certifikátů vydávaných veřejnými certifikačními autoritami.
Autentizační prostředky budou vedle kontaktní části (smart card) obsahovat i bezkontaktní část,
která bude využívána pro autentizaci uživatelů v docházkovém/přístupovém systému, popřípadě
dalších systémech založených na stejné technologii.
Součástí nástroje bude komplexní nástroj pro evidenci a řízení celého životního cyklu karet a
uložených certifikátů, včetně jednoduché automatické obnovy certifikátu uživatelem pomocí
grafického průvodce před vypršením platnosti certifikátu.
Součástí dodávky a implementace jsou i veškeré nezbytné podpůrné systémy – zejména
vybudování PKI (Public Key Infrastructure) včetně certifikační autority.
Systém bude umožnovat jednoduchou správu identifikačních prostředků tak, aby mohla být
prováděna zaškoleným uživatelem – např. personalistou, a to včetně prvotního vydání karty a
certifikátu uživateli.
7
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Oblast Nasazení systému EDR
Stávající platforma ochrany koncových stanic ESET Protect bude doplněna/rozšířena tak, aby
umožnila odhalení škodlivé, či podezřelé aktivity na stanici (i nemalwarové povahy) a provedení
následné reakce na tuto aktivitu automaticky i ručně s podporou nově implementovaného
systému.
EDR systém bude napojen na dodávaný systém Centrálního logování.
Systém bude možné napojit na vhodné externí systémy (např. MITRE ATT&CK) tak, aby umožnil či
podpořil odhalení původu nežádoucích aktivit či nákazy, tj. např. doplnil kontext a podrobné
informace k malwarové detekci zajišťované ESET Protect. Návrh napojení na externí systém bude
ze strany zhotovitele navržen v rámci dokumentace před zahájením implementace.
Součástí implementace bude zavedení automatizovaných reakcí na min. 2 vzorové detekované
kybernetické události (Dodavatelem navržené jako typické a objednatelem schválené), včetně
zpracování příslušných scénářů.
Oblast Centrální logování
Bude implementován nástroj pro správu logů (tzv. log management). Nástroj bude
automatizovaným způsobem sbírat, normalizovat a spravovat logy a data síťových toků KS
bezpečnostní a provozní povahy napříč KS a IS.
Uložené logy bude možné snadno prohledávat či filtrovat na základě multikriteriálních dotazů
napříč zdroji logů.
Zavedený nástroj bude obsahovat notifikační systém, kdy notifikace bude možné navázat na výskyt
provozní či bezpečnostní události.
Součástí bude pořízení nezbytných systémových prostředků, které budou dedikovány pouze pro
provoz nástrojů tohoto opatření.
5 Funkční požadavky na jednotlivé části díla
V této části jsou uvedeny povinné parametry prvků nabízeného řešení.
Dodavatel ve své nabídce detailně popíše způsob naplnění každého povinného parametru včetně
značkové specifikace nabízených dodávek.
Dodavatel uvede konkrétní technické parametry nabízeného zboží, včetně uvedení výrobce a
obchodního / typového označení jednotlivých komponentů – ke každé nabízené komponentně (s
výjimkou příslušenství) budou uvedeny údaje o výrobci a obchodním (nebo typovém) označení.
Konkrétní parametry jednotlivých komponent dodavatel buď vypíše, nebo je doloží např. formou
katalogových listů – v takovém případě ale musí být uveden jasný a přehledný odkaz na část nabídky, ve
které je možné splnění parametrů ověřit.
Popis způsobu naplnění každého povinného parametru musí být konkrétní, úplný a musí jasně
prokazovat, že nabízené řešení jednoznačně naplňuje požadované parametry.
V případě, že by zadávací podmínky obsahovaly požadavky nebo odkazy na určité dodavatele nebo
výrobky, nebo patenty na vynálezy, užitné vzory, průmyslové vzory, ochranné známky nebo označení
původu, které by vedlo ke zvýhodnění určitých dodavatelů nebo určitých výrobků, zadavatel v takových
případech výslovně umožňuje pro plnění VZ použití i jiných, kvalitativně a technicky rovnocenných řešení.
Zadavatel v některých částech Technické specifikace označuje konkrétními názvy přístroje, software
a technologie, které v současné době využívá, a pro které požaduje s nově pořizovanými přístroji plnou
kompatibilitu, a to z důvodu ochrany předchozích investic zadavatele a využitelnosti těchto přístrojů.
Jedná se tedy o konkrétní označení stávajících zadavatelem využívaných přístrojů, se kterými požaduje
kompatibilitu (nikoliv o označení výrobků, které mají být předmětem dodávky).
8
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Požadavky na dodávky konkrétních typů a verzí operačních systémů vycházejí z důvodu potřeby
organizace na udržení logické koherence její stávající infrastruktury, kompatibility se stávajícími
programy a z důvodu nezvyšování nákladů na přeškolení uživatelů při případném přechodu na jiný
software. Zaměstnanci organizace jsou na tento software již vyškoleni a použití jiného SW by jí a jejím
zaměstnancům způsobilo mimořádné obtíže z důvodu znesnadnění obsluhy, ztráty času dodatečným
zaškolováním na jiný SW, nekompatibility s ostatním zařízením v organizaci, a tím i zvýšené náklady.
Zadavatel výslovně upozorňuje, že popis způsobu naplnění každého povinného parametru musí být
konkrétní, úplný a musí výslovně prokazovat (nepostačuje pouze potvrzení či zkopírování požadavku
zadavatele), že nabízené řešení jednoznačně splňuje všechny aspekty povinného parametru. V případě
nesplnění požadovaného způsobu prokázání plnění povinných parametrů bude dodavatel vyloučen z
účasti v zadávacím řízení na danou VZ.
5.1 Oblast Vybudování terminálového serveru a zvýšení dostupnosti serverového prostředí
a Systémové prostředky
2x Server HCI, z toho 1x s portem pro páskovou knihovnu, včetně příslušenství
Parametr Popis parametru
Provedení Rackové provedení max. 1U včetně výsuvných kolejnic a montážního materiálu
do racku
1x procesor maximálně šestnáctijádrový (kvůli licencování provozovaného
software).
CPU Minimální výkon serveru dle https://spec.org
SPECrate®2017_int_base =177
SPECrate®2017_fp_base =229
RAM Min. 768 GB, min. 4800 MT/s, všechny paměťové kanály CPU musí být obsazeny
Úložiště pro Min. 2x SSD 480 GB, RAID1, provedení M.2, nezabírá pozice HDD, podpora hot-
hypervizor plug (výměna disků za provozu)
Bezpečnost
Úložiště Integrovaný modul TPM 2.0
SSD řadič
Externí řadič Min. 8x 3,84 TB NVMe SSD Gen 4 (PCIe 4.0), 1 DWPD (Drive Writes Per Day) po
dobu záruky, s podporou výměny za provozu (hot-plug)
LAN Hardwarový RAID, rozhraní NVMe Gen4, RAID 1, 5, 6, 50, 60, zálohovaná cache
min. 8 GB, kompatibilní s nabízenou diskovou virtualizací
USB Řadič SAS 12Gb se externím konektorem pro připojení nabízené páskové
knihovny.
Vzdálená správa OSAZEN POUZE V JEDNOM SERVERU
2x 1GbE s podporou virtualizace-VMware NetQueue, Microsoft VMQ.
Provozní 6x 10/25Gb SFP28 s podporou virtualizace-VMware NetQueue, Microsoft VMQ a
podporou NPAR (Network Partitioning) a RoCE v2
1x 1GbE samostatný port pro vzdálený management
Min. 3 USB konektory - min. 1x verze 3.0, min. min. 1x na čelním panelu s
podporou bootování
Servisní modul s možnosti samostatného přístupu po management síti, možnost
vzdálené klávesnice, myši a obrazovky bez nutnosti běhu OS, možnost zapínat a
vypínat server, možnost bootování se vzdáleného média. Vyhrazený LAN port,
podpora http/s, ssh, SNMP, syslog. Okamžité a historické hodnoty teplot a
napájení. Podpora vícefaktorového ověřování (autentizace)
Určen a podporován pro provoz v běžném neklimatizovaném prostředí do 40
9
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Parametr Popis parametru
podmínky stupňů Celsia
Redundantní napájecí zdroje min. 700W, musí splňovat požadavky na certifikaci
Napájení energetické účinnosti Titanium, dle 80 PLUS
(https://cs.wikipedia.org/wiki/80_Plus) nebo jiné obdobné certifikace na
Minimálně stejné úrovni
Stavové informace na čelním panelu s výraznou indikací nestandardních a
Management chybových provozních stavů či parametrů (min. napájení, teplota, vada HDD).
Aktivní indikace standardního provozního stavu. V případě závady zobrazuje její
popis v textové formě.
Instalační obraz nabízené serverové virtualizace s integrovanými ovladači
Příslušenství hardware, podporovaný a aktualizovaný výrobcem serveru.
2x kabel SFP28 – SFP28 (25 Gb) 3 m (pro každý server)
Záruční servis na dobu 60 měsíců poskytovaný výrobcem, případně výrobcem
Záruční servis autorizovanou osobou, oprava následující pracovní den od nahlášení v místě
instalace, technická podpora výrobce v českém jazyce. Dostupnost ovladačů a
dokumentace na webu výrobce dle výrobního/sériového čísla serveru
Licence serverové virtualizace
Parametr Popis parametru
Provedení Licence software pro virtualizaci nabízených HCI serverů
Základní funkce Hypervizor instalovaný přímo na hardware, umožňující plnou virtualizaci
libovolného x86 a x86-64 serveru
Souborový Podpora clusterového souborového systému sdíleného mezi více hypervizory s
systém podporou snapshotů
Migrace Online bezvýpadková migrace virtuálních serverů/strojů (VM) mezi hypervizory,
virtuálních včetně současné změny úložiště VM. Podpora vícenásobných souběžných migrací
serverů
Vysoká V případě výpadku hypervizoru automatický restart VM na jiném hypervizoru
dostupnost
Úspora Podporuje thin provisioning, snapshot management včetně zajištění datové
výpočetních konzistence VM, klonování VM
zdrojů
Síťová Virtuální síťový přepínač integrovaný v hypervizoru
komunikace
Správa Centralizovaná správu všech hypervizorů z jedné konzole
Zálohování Kompatibilita s nabízeným systémem zálohování, včetně možnosti zálohování
Podpora celých VM bez nutnosti instalace agentů do OS
Podpora výrobce, včetně nároku na nové verze po dobu min 60 měsíců
Licence diskové virtualizace
Parametr Popis parametru
Provedení Licence software vysoce dostupného virtualizovaného softwarově definovaného
diskového úložiště pro nabízené HCI servery
Replikace Software musí umožnit minimálně synchronní replikace dat (zrcadlení, RAID1)
Vysoká mezi uzly SDS (virtualizačními servery)
dostupnost Automatické překlenutí výpadku jednoho prvků systému – jednoho serveru či
jeho komponenty (např. jednoho disku). Včetně podpory zotavení a obnovení
10
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Parametr Popis parametru
Podpora
virtualizace Software bude provozován na úrovni hypervizorů nabízené serverové virtualizace
Vyrovnávací s přímým přístupem k lokálnímu úložišti (nikoliv jako VM)
paměť Integrovaná podpora vyrovnávací paměti pro čtení i zápis s využitím flash médií
(SSD, NVMe disků apod.) a RAM
Škálovatelnost Podpora přidání dalších uzlů SDS s rozprostřením stávajících dat za provozu.
výkonu Podpora navyšování kapacity přidáním disků v rámci uzlu (licence není kapacitně
omezena)
Serverová Integrovaná podpora technologií stávající serverové virtualizace – replikace
virtualizace - virtuálních strojů, podpora virtuálních distribuovaných přepínačů, správa politik
integrace úložišť
Integrovaná podpora publikace kapacity SDS prostřednictvím protokolu iSCSI
iSCSI, NFS (tzv. ISCI target) a NFS
Podpora výrobce, včetně nároku na nové verze po dobu min 60 měsíců
Podpora
Licence operačních systémů a databázového serveru
Parametr Popis parametru
Serverové Licence 64-bitového serverového operačního systému v aktuální verzi pro každý
operační nabízený HCI server. Licence musí umožnit provoz hypervizoru a min. 20
systémy virtuálních serverů stejné verze v prostředí nabízené serverové virtualizace, dále
provoz všech souvisejících aplikací, nabízených systémů a aplikací a management
nástrojů.
Klientské licence Klientské licence pro nabízené operační systémy umožňující využívat těchto
serverových systémů 80 uživatelům bez omezení počtu přístupových zařízení.
operačních
systémů
Klientské licence Klientské licence pro nabízené operační systém umožňující využívat služeb
aplikační aplikační virtualizace (též terminálové služby) systémů 80 uživatelům bez
virtualizace omezení počtu přístupových zařízení.
Databázový Licence databázového serveru v aktuální verzi se základními analytickými(OLAP -
server online analytical processing), integračními a reportovacími službami. Podpora
min 128 GB RAM a in-memory databáze. Datová a aplikační kompatibilita s MS
SQL. Licence pro min. 4 virtuální procesory bez omezení počtu uživatelů a
instancí v jednom virtuálním serveru.
Vysoká Veškeré nabízené licence musí umožňovat legální provoz ve virtualizovaném
dostupnost prostředí s vysokou dostupností – tj. automatickým přesouváním virtuálních
serverů mezi hypervizory (fyzickými servery).
Podpora 60 měsíců včetně nároku na bezpečnostní a opravné aktualizace.
V případě dodávky licencí produktů společnosti MICROSOFT jsou požadovány licence, jejichž pravost je garantovaná a ověřitelná
u vlastníka autorských práv MICROSOFT.
V případě dodávky licencí produktů společnosti MICROSOFT účastník zároveň poskytne dokumentaci, ze které bude jasný původ,
resp. prodejní kanál licencí nebo zajistí zpracování smlouvy se společností Microsoft (Microsoft - SELECT Plus, Open, CSP, MPSA,
EA) ve prospěch kupujícího.
V případě dodávky licencí produktů společnosti MICROSOFT se vyžaduje dodání licencí formou licenčního portálu vázaného na
koncového zákazníka (kupujícího), jehož součástí budou:
• Seznam nabízených licencí a jejich počet,
• Instalační médium,
11
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
• Instalační klíče,
• resp. další informace vztahujících se k licencím
Pro zdokumentování jasného původu požaduje zadavatel poskytnout dokumentaci obsahující označení prvního nabyvatele
softwaru a také číslo smlouvy, pod kterou byl software pořízen, úplný řetězec vlastníků softwaru, potvrzení o odinstalaci od
každého z předchozích vlastníků.
Licence software pro ukládání záloh serverů
Parametr Popis parametru
Trvalá licence software pro vytváření a ukládání záloh do Zabezpečeného a
archivního Off-site úložiště (páskové jednotky) pro nabízené virtualizační servery
Licence bez omezení objemu dat a počtu zálohovaných virtuálních serverů. Dodavatel
může využít a povýšit/rozšířit stávající licence Veeam Backup & Recovery
Enterprise 4 CPU – v takovém případě uvede tuto skutečnost ve své nabídce
Efektivita Integrovaná komprimace a deduplikace
ukládání dat
Nároky na „bezagentové“ řešení – bez instalace agentů do zálohovaných systémů
správu
Ochrana dat Provádění datově konzistentních záloh hlavních serverových aplikací – Microsoft
SQL server, Active Directory, souborové systémy – bez nutnosti odstávky aplikace
Databáze Podpora konzistentního zálohování databázových serverů (min. MS SQL) včetně
správy transakčních logů podle úspěšnosti zálohy
Snapshoty Využívání snapshotů, zálohování pouze dat (bloků virtuálního disku) změněných
od poslední úspěšné zálohy
Kompatibilita Podpora operačních systémů Windows a Linux v zálohovaných virtuálních
serverech, podpora nabízené serverové a diskové virtualizace
Podpora nabízeného zabezpečeného úložiště včetně automatického řízení
Uložiště záloh retenčních lhůt a plná podpora nabízené páskové knihovny. Podpora
automatického ukládání záloh a jejich kopií na diskový prostor, síťová úložiště a
do cloudu
Obnova Granulární obnova jednotlivých objektů (soubor, objekt ActiveDirectory (uživatel,
skupina apod.), tabulka SQL databáze)
Průvodci Vytváření a správa úloh (zálohování, obnova apod.) pomocí vestavěných
průvodců včetně konfigurace automatického spouštění úloh
Kontrola záloh Automatická kontrola úspěšnosti záloh kontrolním úspěšným spuštěním
zazálohovaných virtuálních strojů se záznamem
Rychlá obnova Možnost spuštění virtuálního serveru přímo ze zálohy bez nutnosti obnovy na
původní úložiště
Reporting Automatický reporting úspěšných i neúspěšných úloh
Správa Běžné úlohy obnovy (obnovení souboru, databáze SQL, objekty Active Directory)
provádět pomocí průvodců
Podpora 60 měsíců včetně nároku na nové verze a aktualizace software
5.2 Oblast Zvýšení zabezpečení komunikační sítě a Systémové prostředky
2× Páteřní přepínač
Parametr Popis parametru
Provedení L2/L3 přepínač v rackovém provedení, 1U včetně montážního materiálu
Porty min. 48x 1 GbE PoE+, 4x 10 Gb SFP+, 2x 40 Gb QSFP
12
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Parametr Popis parametru
40 Gb QSFP s podporou rozdělení na 4x 10 Gb porty
Propustnost neblokovaná architektura, přepínání/směrování min. 336 Gbps
Agregace portů podpora LACP, min. 30 skupin
Směrování statické včetně VLAN, podpora IPv4 a IPv6, min. 8000 statických routovacích
záznamů pro každou verzi IP
Řízení provozu víceúrovňový QoS, klasifikace provozu min na L2 a L3 včetně DSCP hodnot,
podpora standardu 802.1p, prioritizace a limitace na úrovni portu i VLAN
VLAN VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN na základě
802.1X ověření, podpora QinQ, podpora Private VLAN (PVLAN), min. 2000
Ověřování aktivních VLAN
uživatelů a
zařízení Plná podpora IEEE 802.1X
Dualstack plný IPv4 a IPv6 dualstack včetně směrování a QoS
MAC podpora min. 20 000 MAC adres
Síťové toky plný přímý export síťových toků - Netflow, IPFIX nebo ekvivalent (sFlow není
ekvivalent)
Rozšířené pokročilé stohování s rozložením LAG (link aggregation group) mezi více
stohování přepínačů ve stohu - např. technologie MLAG/MCLAG (Multi-Chassis Link
Aggregation) nebo obdobná
Zrcadlení zrcadlení síťového L2 a L3 provozu portu(ů) na lokální nebo vzdálený port
provozu
Napájení redundantní interní napájecí zdroje, vyměnitelné za provozu
plná podpora CLI, SSH, SNMP, syslog, sFlow, web rozhraní, REST nebo
Monitoring a SOAP/WDSL API pro automatizaci
správa Vyhrazený 1 Gb port pro správu (out-of-band management) - nezapočítává se do
požadovaného počtu portů (viz Porty)
jednotná centrální správa, monitorování a aktualizace firmware z centrální
Centrální webové grafické konzole obsažené ve firmware nabízených síťových prvků nebo
správa prostřednictvím samostatné appliance kompatibilní s virtualizovaným prostředím
provozovaným zadavatelem dle této specifikace (přepínače, WiFi)
Záruka záruka a servisní podpora výrobce min. 60 měsíců, výměna či odeslání
náhradního zařízení následující pracovní den
4x Přístupový přepínač
Parametr Popis parametru
Provedení L2+ přepínač v rackovém provedení, 1U včetně montážního materiálu
Porty min. 48x 1 GbE PoE+, 4x 10 Gb SFP+
Propustnost neblokovaná architektura, přepínání/směrování min. 176 Gbps
Power on podpora PoE/PoE+ 802.3af/at na všech metalických portech, celkový PoE výkon
Ethernet min. 700 W
Agregace portů podpora LACP, min. 15 skupin
Směrování statické včetně VLAN, podpora IPv4 a IPv6
13
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Parametr Popis parametru
Řízení provozu podpora standardu 802.1p
VLAN VLAN 802.1Q, MAC i protocol based, podpora zařazování do VLAN na základě
802.1X ověření, podpora, min. 2000 aktivních VLAN
Ověřování
uživatelů a plná podpora IEEE 802.1X
zařízení
Dualstack plný IPv4 a IPv6 dualstack včetně směrování a QoS
MAC podpora min. 20 000 MAC adres
Zrcadlení zrcadlení síťového provozu portu(ů)
provozu
Napájení interní napájecí zdroj
Monitoring a plná podpora CLI, SSH, SNMP, syslog, sFlow, web rozhraní, REST nebo
správa SOAP/WDSL API pro automatizaci
jednotná centrální správa, monitorování a aktualizace firmware z centrální
Centrální správa webové grafické konzole obsažené ve firmware nabízených síťových prvků nebo
prostřednictvím samostatné appliance kompatibilní s virtualizovaným prostředím
provozovaným zadavatelem dle této specifikace (přepínače, WiFi)
Záruka záruka a servisní podpora výrobce min. 60 měsíců, výměna či odeslání
náhradního zařízení následující pracovní den
15× Přístupový bod WiFi s příslušenstvím
Parametr Popis parametru
Základní funkce Přístupový bod (AP) standardu Wi-Fi 6E včetně montážního materiálu na zeď
Frekvence Min. 3 nezávislé radiové moduly činnost v radiovém pásmu 2,4, 5 a 6 GHz
současně, podpora standardu OFDMA
Architektura Homogenní WiFi síť s rychlým a spolehlivým roamingem klientů, podpora Mesh
(https://en.wikipedia.org/wiki/Wireless_mesh_network)
Anténní systém Interní systém pro, optimalizovaný pro montáž na strop
Současná Podpora MU-MIMO (Multi-User MIMO) - multi-user multiple input/multiple
obsluha více output pro downlink (DL-MU-MIMO) i uplink (UP-MU-MIMO)
klientů
Přenosové 6GHz min. 2400 Mbps, 5GHz min 1200Mbps, 2.4 GHz min. 550 Mbps
rychlosti
Podpora standardů 802.3at, 802.11n, 802.11ax, 802.11k, 802.11n, 802.11r,
Standardy 802.11v
Podpora vysílání min. 8 SSID (WiFi sítí) na 2.4, 5 i 6 GHz současně, podpora
Multi SSID přiřazení každého SSID do samostatné VLAN
Zatížení Min. 300 přiřazených (asociovaných) klientů na radiový modul
Řízení zátěže Automatické rozkládání zátěže přístupových bodů předáváním klientů a
Porty automatickým směrováním klientů na 5/6 GHz (pokud klienti podporují)
Bezpečnost min. 2x 1Gb, min 1x PoE s podporou standardů 802.3at a 802.3af
Trvalá detekce cizích přístupových bodů/klientů nezávislým radiem, spektrální
analýza
14
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Parametr Popis parametru
Centrální kontroler pro kompletní centrální správu WiFi infrastruktury a řízení
Kontroler jejího provozu včetně roamingu klientů součástí dodávky. Kontroler musí být
provozován v interní síti zadavatele a být integrální součástí firmware nabízených
síťových prvků nebo jeho příslušenstvím určeným pro provoz v lokálním síťovém
prostředí zadavatele. Grafické webové rozhraní pro správu.
Autentizace, Podpora standardu WPA3 (Wi-Fi Protected Access III), integrovaný portál pro
autorizace autentizaci uživatelů (Captive portal), ověření klientů (min. hardware, uživatel,
operační systém, certifikát) s využitím protokolu 802.1X
Správa Plná podpora CLI, SSH, SNMP, syslog, web rozhraní, hromadná aktualizace
firmware a konfigurace
Jednotná centrální správa, monitorování a aktualizace firmware z centrální
Centrální správa webové grafické konzole obsažené ve firmware nabízených síťových prvků nebo
prostřednictvím samostatné appliance kompatibilní s virtualizovaným prostředím
provozovaným zadavatelem dle této specifikace (přepínače, WiFi)
Detailní monitoring a diagnostika provozu v reálném čase - parametry připojení a
Monitoring komunikace klienta, stav přístupových bodů (počty klientů, vytížení kanálů,
signál, cizí (rogue) přístupové body)
Úsporné Podpora standardu 802.3az - Energy-Efficient Ethernet (EEE)
napájení
Záruka Záruka a podpora výrobce min. 60 měsíců
2× Next-generation firewall
Parametr Popis parametru
Porty min. 2x 10Gb SFP+ a 2x 10GbE (mohou být sdílené), 8x 1GbE, USB pro ext. záložní
4G modem
min. základní funkce Next-generation firewall- viz
NGFW https://en.wikipedia.org/wiki/Next-generation_firewall-firewall, aplikační
firewall s DPI, IPS. Administrace na bázi "objektů" (aplikace, uživatelů, lokality
apod.) namísto IP adres, portů apod.
Architektura Založená na využití specializovaných čipů (ASIC) pro akceleraci klíčových funkcí a
vyšší bezpečnost
Počet
současných min. 1,3 mil.
spojení
Propustnost SSL min. 1 Gbps, při licenčním nebo technickém omezení počtu klientů požadujeme
VPN min. 25 klientů
Propustnost SSL min. 2,5 Gbps
inspekce
Propustnost min. 25 Gbps (pro UDP pakety >= 512 bytů)
firewallu
Propustnost min. 2,5 Gbps
NGFW
Propustnost IPS min. 4,5 Gbps
Propustnost
detekce min. 2 Gbps
škodlivého kód
15
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Parametr Popis parametru
Virtualizace min. 5 virtuálních kontextů
Vysoká režimy Active/Passive i Active/Active se společnou konfigurací
dostupnost
Dualstack podpora současného běhu IPv4 a IPv6
Aplikační detekce, monitoring, povolení či zakázání obvyklých síťových aplikací na základě
kontrola signatury dané aplikace, nikoliv dle portu.
Kontrola komunikace v SSL šifrovaných protokolech (zejména HTTPS, IMAPS,
Antivir POP3S, apod.)
integrovaný antivirus, možnost volby různých databází signatur, podpora
Kategorizace a archivace škodlivého obsahu, podpora protokolu ICAP pro offload AV detekce,
blokace provozu možnost detekce tzv. Grayware (zejména rootkit, malware, spywave, keylogger,
atd.)
založená na kategorizaci webového obsahu, možnost monitorování navštívených
kategorií na uživatele či skupinu, možnost kvóty – uživatel může navštěvovat
určitou kategorii jen po určitou dobu během dne
Antispam antispamová a antivirová inspekce elektronické pošty
Sandbox integrovaný sandbox (ověření škodlivosti kódu spuštěním v reálných operačních
systémech) v zařízení nebo integrované rozhraní pro napojení na externí službu
výrobce zařízení (služba součástí dodávky)
Aktualizace automatická aktualizace bezpečnostních funkcí poskytovaná výrobcem zařízení
Ověřování LDAP, Active Directory, Single Sign On vůči Active Directory, Radius, Ověřování na
uživatelů základě certifikátu
Management a
monitoring HTTP/S, SSH, SNMP, syslog
Centrální správa jednotná centrální správa, monitorování a aktualizace firmware z centrální
webové grafické konzole obsažené ve firmware firewallů nebo prostřednictvím
SD-WAN samostatné appliance kompatibilní s virtualizovaným prostředím provozovaným
zadavatelem dle této specifikace (firewally)
integrovaná podpora SD WAN-min. rozkládání zátěže a vysoká dostupnost více
internetových přípojek
Sledování toků export síťových toků (Netflow nebo ekvivalent)
Bezpečnost integrovaný TPM (Trusted platform module) čip pro kryptografické činnosti
Standardní NAT, statické a dynamické routování, publikace interních serverů
funkce
záruka a podpora výrobce min. 60 měsíců v režimu 24x7. Odeslání náhradního
Záruční servis zařízení max. následující pracovní den po nahlášení závady. Včetně nároku na
bezpečnostní aktualizace firmware a bezpečnostních funkcí-URL filtrace, IPS,
antimalware, antispam, aplikační kontrola, sandbox)
Licence software pro řízení přístupu do sítě založeného na protokolu 802.1x
Parametr Popis parametru
Provedení Software nebo softwarová appliance pokročilého NAC (network access control)
na bázi standardu IEEE 802.1X. Integrovaná podpora autentizace, autorizace a
účtování (přístupů) uživatelů i koncových zařízení, integrovaný RADIUS server a
databáze uživatelů a zařízení
16
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Parametr Popis parametru
Nastavení síťového přístupu uživatelů a zařízení podle politik min. pomocí
Nastavení přiřazení VLAN, ACL. Atributy pro definici politik min. IP, MAC, port, VLAN, QinQ
přístupů VLAN, hostname (PC name), uživatelské jméno (z Active Directory), operační
systém
Autentizace Zajištění IEEE 802.1X autentizace a autorizace pro bezdrátové sítě, Ethernet LAN
Základní sítě a VPN
autentizační
metody Min. PEAP-MSCHAPv2, EAP-TLS, EAP-TTLS, MAC autentizace, certifikáty
Identity
Nezávislá Vestavěná databáze identit pro autentizaci, podpora standardních identitních
autentizace a databází - Active Directory, LDAP, ODBC
autorizace
Rozšířená Úplné oddělení autentizace a autorizace, např. autentizace proti službě Active
autentizace a Directory, autorizace proti externí SQL databázi
autorizace
Kontextová Podpora autentizace a autorizace min. LDAP, Microsoft Active Directory,
autorizace generická SQL databáze, Kerberos, HTTPS web autentizace, Single Sign-On
Externí identity (minimálně SAML 2+ IdP a SP, OAuth)
Autorizace zařízení a uživatelů na základě kontextových informací jako čas, typ
Komplexní připojení, osobní profil či členství ve skupině v Active Directory
autorizace
Podpora autentizace externími identitami - min. Microsoft, Google
Dynamická
autorizace Autorizace uživatelů na základě jejich vlastních accounting informací z
předchozích připojení – např. pro omezení celkového času online či objemu
Bezpečnost přenesených dat za delší časové období
Podpora RADIUS CoA podle RFC3576. Možnost změny autorizačního stavu
Správa zařízení bez nutnosti změny definice autorizační politiky, např. pro odpojení nebo
karanténu koncových zařízení
Portál Podpora okamžitého odpojení zařízení při vypršení libovolné autorizační
podmínky (např. překročení objemu dat, časového intervalu, stavu zařízení
Rychlé apod.)
přihlášení Vestavěné nástroje pro testování politik, diagnostiku chování systému i
Registrace spravovaných zařízení
Captive portál pro uživatele a jejich rozšířenou autentizaci, podpora více graficky
Ochrana identit i obsahově unikátních portálů provozovaných souběžně. Integrovaná podpora
úpravy vzhledu
Speciální Podpora přihlášení prostřednictvím QR kódu. Zapamatování úspěšně
zařízení autentizovaných/registrovaných klientů a zjednodušení opakovaných přihlášení
Vysoká (např. jen potvrzení uvítací/informační) stránky
dostupnost Podpora samoobslužné registrace s ověřením SMS, e-mailem apod.
Veškeré identitní údaje v systému budou uložena ve výrobcem dodané a
podporované šifrované databázi, které bude nativní součástí dodaného
produktu, s minimální enkrypcí uložených dat ve standardu AES min. 128-bit
Podpora autentizace a řízení přístupů speciálních ("nepočítačových") zařízení
např. tiskárny, modality, technologické prvky, IoT
Integrovaná podpora vysoké dostupnosti v režimu active-active, tj. vytvoření
clusteru min. 2 appliance. Druhá appliance není součástí dodávky
17
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Parametr Popis parametru
Licence Trvalá licence pro min. 200 současných (konkurenčních) koncových zařízení
ověřených pomocí 802.1X bez omezení počtu uživatelů
Automatizace a REST-API rozhraní min. pro základní funkce AAA
integrace
Kompatibilita Software nebo appliance určen pro provoz v prostředí stávající serverové
virtualizace
Podpora Podpora výrobce 60 měsíců včetně nároku na nové verze a aktualizace software
Síťové příslušenství k aktivním prvkům a zařízením v této oblasti/části (cenu příslušenství zhotovitel
zohlední v ceně zařízení v této části/oblasti plnění)
Parametr Popis parametru
16x SFP+ 10Gb, SM, LC, min. 1 km, včetně diagnostiky, kompatibilní s nabízenými
Optické moduly přepínači
6x SFP+ 10Gb, SM, LC, min. 1 km, kompatibilní s nabízenými servery
2x kabel QSFP 40Gb - 4x SFP+ 10Gb, 5 m, kompatibilní s nabízenými přepínači a
Vysokorychlostní servery
kabely 1x kabel QSFP 40Gb - QSFP 40Gb, 2 m, kompatibilní s nabízenými přepínači
2x kabel DAC SFP+ 10Gb – SFP+ 10Gb, 3 m kompatibilní s nabízenými přepínači
Optické kabely 12x patch kabel SM LC-SC, 3m
10x patch kabel SM LC-LC, 3m
Záruka 36 měsíců
5.3 Oblast Pokročilé zálohování a Systémové prostředky
1x Zabezpečené úložiště záloh s řízenou retencí
Parametr Popis parametru
Provedení Rackové provedení max. 2U včetně výsuvných kolejnic a montážního materiálu
do racku
CPU Minimálně 1x procesor osmijádrový.
Výkon procesoru dle https://www.cpubenchmark.net/ min. 18 800 bodů
RAM 64 GB, min. min 3200MT/s, všechny paměťové kanály CPU musí být obsazeny
Úložiště Min. 2x SSD 240 GB, provedení M.2, samostatný HW řadič RAID1
firmware
Min. 8x 12TB, SAS nebo NLSAS 12Gb 7 200 ot/min.
Úložiště dat HDD výměnné za provozu (hot-plug), kompatibilní s nabízenou diskovou
virtualizací
RAID hardware SAS 12Gb, RAID 1,5,6, zálohovaná zapisovací cache min. 8 GB
2x 1GbE s podporou virtualizace-VMware NetQueue, Microsoft VMQ.
LAN 2x 10/25Gb SFP28 s podporou virtualizace-VMware NetQueue, Microsoft VMQ a
podporou NPAR (Network Partitioning)
1x 1GbE samostatný port pro vzdálený management
USB Min. 3 USB konektory-min. 1x verze 3.0, min. min .1x na čelním panelu s
podporou bootování
Servisní modul s možnosti samostatného přístupu po management síti, možnost
Vzdálená správa vzdálené klávesnice, myši a obrazovky bez nutnosti běhu OS, možnost zapínat a
vypínat server, možnost bootování se vzdáleného média. Vyhrazený LAN port,
podpora http/s, ssh, SNMP, syslog. Okamžité a historické hodnoty teplot a
18
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Parametr Popis parametru
napájení. Podpora vícefaktorového ověřování (autentizace)
Redundantní napájecí zdroje min. 800W, musí splňovat požadavky na certifikaci
Napájení energetické účinnosti Titanium, dle 80 PLUS
(https://cs.wikipedia.org/wiki/80_Plus) nebo jiné obdobné certifikace na
minimálně stejné úrovni
Stavové informace na čelním panelu s výraznou indikací nestandardních a
Management chybových provozních stavů či parametrů (min. napájení, teplota, vada HDD.
Aktivní indikace standardního provozního stavu. V případě závady zobrazuje její
popis v textové formě
Souborový XFS
systém
Protokoly SMB/CIFS, SNMP, http/s a ssh (management)
Výkon Zápis min. 2 TB GB / hod.
Ochrana dat Min RAID5, automatická relokace vadných datových bloků
Retence dat Programově nastavitelné retenční lhůty na uložený objekt (např. soubor), po
dobu retence nelze objekt modifikovat
Redundance Redundantní rotační díly a napájecí zdroje
Ochrana proti Režim WORM (Write Once - Read many times Memory)
přepisu dat
Kompatibilita Kompatibilita se nabízeným zálohovacím software, podpora ukládání záloh, řízení
jejich historie a řízení retenčních lhůt
Záruka 60 měsíců, oprava druhý pracovní den v místě instalace, nárok na podporu
výrobce a nové verze firmware / software
1x Off-site úložiště archivních dat a záloh – pásková knihovna
Parametr Popis parametru
Provedení Pásková zálohovací knihovna v rackovém provedení. Max 1U, včetně montážního
materiálu
Pásková LTO-9 s rozhraním SAS 12 Gb, podpora hardwarové komprese
jednotka
Kapacita 9 slotů (+ 1 manipulační) pro pásky Ultrium-9 se automatickou / robotickou
obsluhou.
Identifikace Integrovaná čtečka čárových kódů pro identifikace pásek, resp. páskových
pásek cartridgí
Výkon Nativní rychlost zápisu min. 280 MB/sec (min. 600 MB/s s kompresí),
Příslušenství 10x páska Ultrium-9 RW (12TB nativně), 1x čistící páska
1x SAS Gb kabel 4m pro propojení knihovny s nabízeným serverem
Kompatibilita S nabízeným zálohovacím software
Integrovaný displej a ovládací prvky na čelním panelu pro lokální správu.
Správa Vzdálená správa s webovou grafickým rozhraním prostřednictvím vyhrazeného
metalického LAN portu s podporou IPv4 a IPv6
Záruka 60 měsíců, oprava druhý pracovní den v místě instalace, nárok na podporu
výrobce a nové verze firmware / software
19
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
5.4 Oblast Vícefaktorová autentizace
Licence software pro autentizaci uživatelů pomocí identifikačních prostředků
Parametr Popis parametru
Provedení Systém pro autentizaci uživatele identifikačním prostředkem vůči adresářové
služeb včetně nástrojů pro správu identifikačních prostředků (karet) a certifikátů
Rozhraní Grafické rozhraní v českém jazyce s podporou SSO uživatele přihlášeného do
domény Active Directory
Obnova Automatické hlídání expirace uživatelských doménových i kvalifikovaných
certifikátů certifikátů a vyvolání průvodce pro jeho jednoduchou automatizovanou
uživatelskou obnovu podle nastavených politik
Autentizace Autentizace uživatele ve operačních systémech Windows včetně RDS (Remote
Desktop Services) všech verzích aktuálně podporovaných výrobcem Microsoft
Správa Uživatelská správa uložených certifikátů a bezpečnostních údajů (zejména PIN,
QPIN, PUK)
Správa Export / import certifikátů/klíčů, z/na identifikační prostředek, smazání
certifikátů certifikátů nebo privátního klíče, od/registrace certifikátu ve Windows, testování
integrity a použitelnosti
Předávání
veřejných Automatizované předávání veřejných klíčů doménových certifikátů do stávajícího
doménových systému Microsoft Active Directory
klíčů
Prostředky Podpora kontaktních, bezkontaktních i hybridních identifikačních prostředků
Systém umožní evidovat minimálně:
- typ prostředku (kontaktní, bezkontaktní, hybridní)
- druh prostředku (uživatelský, administrační, operátorský)
Evidence - stav prostředku (používaný, k recyklaci, skartovaný)
- historii prostředku (datum zavedení do evidence, vydání uživateli, recyklace)
- držitele prostředku (aktuálního držitele i všechny předchozí držitele)
- data uložená v prostředku (certifikáty a další data, včetně historie dat)
Integrace Napojení na Active Directory (zdroj dat o uživatelích, autentizace uživatelů, řízení
rolí podle členství ve skupinách) a interní certifikační autoritu (certifikáty)
Správa certifikátů (doménových i kvalifikovaných) ve webovém prostředí
systému:
- vydávání (ukládání) certifikátů na identifikační prostředek, vytvoření a tisk
Správa protokolu o vystavení
certifikátů - odvolání certifikátu
- vydávání "v zastoupení" - např. personalista vydá novému zaměstnanci
identifikační prostředek včetně certifikátu zaměstnance
- včasné (konfigurovatelné) e-mailové upozornění na vypršení platnosti
certifikátu
Systém musí umožnit použití jakékoliv certifikačních autority od kvalifikovaných
Certifikační poskytovatelů certifikačních služeb (https://www.mvcr.cz/clanek/prehled-
autority kvalifikovanych-poskytovatelu-certifikacnich-sluzeb-a-jejich-kvalifikovanych-
sluzeb.aspx)
Operace Recyklace identifikačních prostředků s pevným i náhodným PIN/PUK, změna
uživatele, odblokování PIN (i vzdálené), tisk protokolů
20
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Parametr Popis parametru
Personifikace
Integrované prostředí pro generování podkladů pro potisk identifikačních karet
Rozhraní externím dodavatelem i na vlastní tiskárně
Integrované aktivní aplikační rozhraní (API) pro bezpečné (autorizované)
Licence poskytování veřejných informací o uložených prostředcích, certifikátech a
Podpora kvalifikovaných elektronických pečetí pro systémy třetích stran včetně
dokumentace
Pro 150 uživatelů
Podpora výrobce po dobu 60 měsíců – nárok na nové verze software, včetně
aktualizací
5.5 Oblast Nasazení systému EDR
1x EDR systém Popis parametru
Parametr
Základní funkce Rozšířená ochrana koncových stanic před škodlivým kódem a průnikem útočníka
– EDR (Endpoint Detection and Response). Odhalení škodlivé, či podezřelé
Provedení aktivity na počítači a následná reakce na tuto aktivitu.
Kompatibilita Rozšíření nebo doplnění (včetně integrace) stávajícího řešení ESET PROTECT,
Logování podpora on-premise instalace v prostředí zadavatele.
Podpora operačních systémů Windows macOS a Linux.
Automatizace
Integrace Detailní logování podezřelých aktivit. Podpora konfigurace a optimalizace pro
snížení zátěže administrátorů, včetně reputačního systému pro hodnocení
Licence aplikací.
Automatické prohledávání prostředí, detekce prostředí a stavu koncových stanic,
detekce zranitelností a návrh úprav.
Rozhraní pro napojení na externí systémy pro vyhodnocování detekovaných
stavů a hrozeb (typy útoků apod.) a systémy pro centrální správu logů a/nebo
SIEM (Security Information and Event Management) a dále rozhraní pro
automatizaci odezev/reakcí typu SOAR (Security Orchestration, Automation and
Response).
Pro 80 koncových zařízení.
Podpora 60 měsíců včetně nároku na nové verze.
5.6 Oblast Centrální logování
Licence systému centrálního logování
Parametr Popis parametru
Základní funkce Systém pro sběr, ukládání a správu provozních a bezpečnostních informací a
událostí ze sledovaných systémů
Protokoly sběru Minimálně syslog, TCP, UDP, HTTP, JSON
logů
Sběr síťových Netflow či kompatibilní dle nabízeného firewallu a přepínačů
toků
Zdroje logů Min. REST API, textové soubory, Radius, Active Directory, MS SQL databáze,
Windows Event Log-včetně rozšířených "Applications and Services Logs", síťové
prvky-syslog a Netflow, ostatní aktivní prvky-syslog, SNMP trap, Microsoft/Office
21
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
Parametr Popis parametru
Parsování logů 365, Sysmon (Windows OS), Syslog (Linux based OS)
Retence
Integrovaný nástroj pro parsování logů. Možnost nahrání části logu, online
vytváření parseru a snadné testování výsledku. Podpora vytváření opakovaně
použitelných vzorků-např. definice IP adresy regulárním dotazem apod.
Uchovávání logů min. 6 měsíců, automatická retence logů a indexů
Geolokace Podpora automatické doplňování logů o informaci o lokalitě podle IP adresy
Normalizace
logů Sjednocení názvů shodných dat z různých zdrojů logů např. pro snadné
Rozšíření logů vyhledávání napříč zdroji
Podpora rozšíření logů o vlastní statické a dynamické (kalkulované) položky
Bezpečnost integrovaným nástrojem
Výkon Podpora šifrované komunikace se zdroji (SSL apod.), ověřování zdrojů (TLS apod.)
Dashboardy
Min. 500 EPS (event per second), 5000 FPM (flows per minute)
Export dat
Uživatelské vytváření dashboardů (pracovních desek) včetně možnosti využití
Kanály grafických prvků (grafy, mapy, histogramy apod.) i strukturovaných dat (tabulek)
Export dat do csv a/nebo obdobného strojově čitelného formátu - min. výsledky
Alerty, hledání
notifikace Možnost vytváření kanálů-datových sad či toků-na základě pravidel (logických
Active Directory podmínek) a to i napříč různými zdroji. Podpora dalšího zpracování-tvorba
alarmů, zobrazení na dashboardu, online odesílání do nadřazeného systému
Vyhledávání apod.
Podpora vytváření alertů-vznik události, překročení hodnoty apod., zasílaní
Ovládání upozornění
Integrace s Active Directory pro ověřování uživatelů, nastavení oprávnění min.
Kompatibilita administrátor a operátor
Ukládání dat Rychlé a intuitivní vyhledávání v záznamech napříč všemi zdroji i při velkých
Integrace objemech dat (řády TB). Jednoduchý dotazovací jazyk. Rychlá vyhledávání či
filtrování bez tvorby dotazů-např. výběrem v kontextovém menu vybraného pole
Zranitelnosti uloženého záznamu
Intuitivní grafické webové rozhraní dostupné z běžných prohlížečů (Edge,
Licence Chrome, Firefox)
Podpora Podpora provozu v prostředí nabízené serverové virtualizace
do databáze, případná databázová licence musí být součástí dodávky
Vestavěná podporu pro integrace se sysmon - zpracování dat a událostí včetně
hlídání spuštěných příkazů přes powershell/CMD, procesů
Automatické skenování operačních systémů a nainstalovaných aplikací, detekce
zranitelností vůči průběžně aktualizované databázi
Min. pro 150 zařízení / IP adres
Podpora min. 60 měsíců včetně poskytnutí opravných verzí
22
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
6 Požadavky na implementaci jednotlivých částí díla
6.1 Obecné požadavky na instalační a implementační služby
Objednatel požaduje provést minimálně dále uvedené práce na dodaných komponentech a případně
dalších souvisejících zařízeních. Zhotovitel je dále povinen zahrnout do nabídky veškeré další činnosti a
prostředky, které jsou nezbytné pro provedení předmětu plnění v rozsahu doporučeném výrobci a dle
tzv. nejlepších praktik, i případě, pokud nejsou explicitně uvedeny, ale jsou pro realizaci předmětu plnění
podstatné.
Náklady na provedení služeb musí být zahrnuty v nabídkové ceně k položce, ke které se vztahují.
V rámci předmětu plnění objednatel požaduje provedení min. následujících služeb:
doprava jednotlivých komponent do místa plnění – lokalit MěÚ Horšovský Týn,
zpracování a předání dokumentace,
vlastní nasazení řešení splňující požadované parametry technického řešení,
začlenění nabízených technologií do stávajícího prostředí,
zajištění testovacího provozu,
provedení akceptačních testů,
dodávka a aktivace požadovaných SW licencí, kontrola aktivací musí být součástí akceptačních
testů.
6.2 Podrobný popis instalační a implementačních služeb
Zadavatel požaduje provést minimálně uvedené implementační práce na dodaných komponentech a
případně dalších souvisejících zařízeních. Zhotovitel je dále povinen zahrnout do nabídky veškeré další
činnosti a prostředky, které jsou nezbytné pro provedení předmětu plnění v rozsahu doporučeném
výrobci a dle tzv. nejlepších praktik, i v případě, pokud nejsou explicitně uvedeny, ale jsou pro realizaci
předmětu plnění podstatné.
Náklady na provedení implementačních služeb musí být zahrnuty v nabídkové ceně k položce, ke které se
vztahují.
Vybudování terminálového serveru a zvýšení dostupnosti serverového prostředí a Systémové
prostředky
- návrh a vybudování/rozšíření virtualizační platformy pro provoz systémů objednatele
- návrh a vybudování platformy aplikační virtualizace včetně nastavení uživatelského prostředí a
vhodných politik
- návrh, instalace a optimalizace databázového serveru
- začlenění veškerých dodaných systémů do zálohovacích plánů organizace
- provedení potřebných konfigurací souvisejících systémů
- návrh a provedení akceptačních testů
Zvýšení zabezpečení komunikační sítě
- analýza stávajícího síťového prostředí a návrh nové architektury LAN,
- implementace pořízených technologií,
- provedení segmentace sítě – VLAN, adresování, routování,
- zavedení DNSSEC, vybudování DNSSEC resolveru pro LAN úřadu,
- návrh a implementace systému 802.1X pro LAN a WiFi včetně definice přístupových politik.
Systém 802.1x musí být integrován s adresářovou službou Active Directory,
- implementace portálu pro registraci a řízení přístupů hostů – tzv. captive portál,
- zpracování uživatelské dokumentace konfigurace obvyklých zařízení a jejich systémů pro
systém 802.1X – PC, notebooky, chytré telefony, tablety, tiskárny – Windows, Linux, MacOS,
Android, IOS, embedded systémy periferií. Provedení vzorové migrace a konfigurace všech
23
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
kategorií koncových zařízení (1 zařízení každé kategorie) do systému s ověřováním 802.1X,
- návrh a vybudování vhodné architektury WiFi s více SSID pro zaměstnance, jejich osobní
zařízení a veřejnost s vhodným způsobem ověřování a politikami řízení provozu,
- návrh a implementace firewallu včetně vhodné konfigurace UTM (antivir, IPS, aplikační
kontrola, URL filtrace dle kategorií, zajištění bezpečné publikace interních zdrojů úřadu,
vybudování VPN na bázi webového portálu),
- převzetí komunikačních pravidel ze stávajícího firewallu a jejich implementace do nového
firewallu včetně optimalizace využívajících pokročilých vlastností nového řešení,
- součástí implementace bude příprava kabelových rozvodů pro dodávané WiFi AP technologie
dle specifikace:
o max. 30 m Cat5e vč. lištování, 1× průchod cihlovou zdí do 30 cm, 1× zásuvka RJ-45 pro
každý WiFi AP
- návrh a provedení akceptačních testů
Pokročilé zálohování a Systémové prostředky
- návrh architektury nového, rozšířeného zálohovacího systému
- návrh konfigurace (zejména retenčních lhůt) zabezpečeného úložiště a způsobu řízení a
ukládání záloh
- návrh konfigurace páskové jednotky a způsobu řízení a ukládání záloh a archivů, včetně
způsobu rotace pásek
- implementace technologií
- vytvoření tzv. Disaster recovery plánu, tj. postupu obnovy produkčního prostředí a provozu při
jeho ztrátě či významnému poškození
- návrh a provedení akceptačních testů včetně výkonových testů a otestovaní obnovy min. 1
serveru ze zabezpečeného úložiště a min. 1 dalšího serveru z páskové jednotky
Vícefaktorová autentizace
- analýza prostředí se zaměřením na zavedení vícefaktorové autentizace
- vybudování interní PKI (Public Key Infrastructure) včetně certifikační autority integrované
s Active Directory
- vybudování systému vícefaktorové autentizace s využitím kontaktních identifikačních
prostředků (karet, tokenů). Instalace externích čteček na koncová zařízení ani distribuce
identifikačních medií uživatelům není součástí plnění návrh a vybudování systému pro správu
kompletního životního cyklu identifikačních prostředků (karet a doménových i veřejných
certifikátů) včetně uživatelské běžné správy a obnovy platnosti
- návrh a realizace zálohování
- návrh a provedení akceptačních testů včetně výkonových testů
Nasazení systému EDR
- analýza prostředí se zaměřením na zabezpečení koncové stanice uživatele
- návrh systému EDR včetně vhodné míry detailu a četnosti logování a notifikací
- implementace systému dle návrhu pro koncové stanice a prostředí aplikační virtualizace
- návrh a kompletní zavedení automatizovaných reakcí na min. 2 vzorové detekované
kybernetické události
- integrace se spolupracujícími systémy
- provedení potřebných konfigurací souvisejících systémů
- návrh a provedení akceptačních testů včetně výkonových testů
Centrální logování
- analýza a detailní identifikace zdrojů dat, jejichž provozně bezpečnostní informace bude nutné,
popř. vhodné sbírat včetně důležitých serverů jak Windows tak Linux. Bude obsahovat i návrh
24
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
způsobu zpracování získaných informací a vhodných proaktivních i reaktivních akcí. Dále bude
obsahovat návrh a vybudování systému centrálního logování pro zaznamenávání činnosti
informačního a komunikačního systému, jeho uživatelů a administrátorů, monitoring a
logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného provozu k vnitřnímu
zařízení (ve spolupráci s firewallem) logování přístupu uživatelů do sítě umožňující dohledání
vazeb IP adresa – čas – uživatel, a to včetně ošetření v případě sdílených pracovních stanic
(aplikační virtualizace) apod., monitorování IP datových toků formou exportu provozních
informací o přenesených datech v členění minimálně zdrojová/cílová IP adresa, zdrojový/cílový
TCP/UDP port (či ICMP typ) dle RFC3954 nebo ekvivalentu (např. netflow) – minimálně na
úrovni rozhraní WAN provedení souvisejících konfigurací monitorovaných systémů
- návrh a provedení akceptačních testů, musí zahrnovat i testy archivace a obnovy logů
7 Dokumentace k dodávanému řešení
V rámci předmětu plnění objednatel požaduje zpracování a předání níže uvedené dokumentace.
Dokumentace musí být zhotovena v českém jazyce, bude dodána v elektronické formě ve standardních
formátech (např. DOC, ODT, PDF atd.) na datovém nosiči a 1× v listinné formě.
7.1 Prováděcí dokumentace
Prováděcí dokumentace bude sloužit jako podklad pro vlastní implementaci řešení do prostředí
objednatele. Prováděcí dokumentace bude zahrnovat detailní popis cílového stavu a způsobu jeho
dosažení, včetně:
detailního popis cílového stavu včetně funkcionalit jednotlivých částí systému,
nutné a doporučené optimalizační a konfigurační změny dodávaných systému i všech navázaných
systémů (Hyper-V, LAN, zálohování, monitorování atd.),
způsob zajištění potřebného HW a SW,
způsob zajištění koordinace realizace předmětu plnění s běžným provozem,
detailní návrh a popis postupu implementace předmětu plnění,
detailní popis zajištění bezpečnosti informací,
detailní harmonogram realizace včetně uvedení kritických milníků,
návrh designu síťového a bezpečnostního řešení a jeho konfigurace,
návrh designu aplikačních řešení,
vazby na stávající systémy a jejich konfigurace,
integrace dodávaných softwarových systémů,
rekonfigurace stávajících plněním dotčených infrastrukturních systémů,
dopady implementace na dostupnost a funkčnost stávajících služeb,
posouzení dopadů na non-IT technologie (spotřeba energií, tepelný výkon),
požadované součinnosti objednatele a jejich rozsah,
návrh akceptačních kritérií a akceptačních testů.
7.2 Provozní dokumentace
Provozní dokumentace bude zpracována a předána v rozsahu popisu skutečného provedení, popisu
činností běžné údržby a činností pro spolehlivé zajištění provozu.
8 Zaškolení IT administrátorů
Zhotovitel zrealizuje v sídle objednatele prezenční zaškolení pro IT administrátory objednatele minimálně
v rozsahu provozní dokumentace. Školení bude pokrývat všechny komponenty dodávané v rámci
předmětu plnění, a to minimálně v rozsahu:
25
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
běžných administrátorských činností pro implementované systémy,
standardní údržby systémů pro administrátory zadavatele,
základní identifikace nestandardních stavů systému a jejich příčin.
Minimální požadovaný rozsah zaškolení pro administrátory je 16 hodin.
Předpokládaný počet administrátorů (účastníků školení) je max. 5 osob.
9 Testovací provoz
Testovací provoz proběhne po dobu uvedenou v harmonogramu realizace, a to se zvýšeným dohledem a
podporou ze strany zhotovitele.
Cílem testovacího provozu je poskytnout metodické vedení a prostor uživatelům pro ověření funkcionalit
a vlastní funkčnosti dodaného řešení, pro cvičnou práci se systémem a prostor pro zhotovitele pro
identifikaci a opravu případných chyb a neshod. Dalším cílem testovacího provozu je možnost případné
definice změnových požadavků ze strany objednatele. Během testovacího provozu provede zhotovitel
aktualizaci Dokumentace skutečného provedení. Úspěšný průběh testovacího provozu, jehož výstupem
bude faktické uživatelské ověření schopnosti nasazení nového řešení v prostředí objednatele na základě
této technické dokumentace a jejich příloh, je jednou z nezbytných podmínek objednatele pro možnost
akceptace plnění na základě této technické dokumentace a jejích příloh.
10 Akceptační řízení
10.1 Dílčí akceptační řízení
Dílčí akceptační řízení bude provedeno jednotlivé oblasti díla dle této technické dokumentace. Dílčí
akceptační řízení bude zahrnovat porovnání skutečného stavu vůči požadavkům této technické
dokumentace a jejím přílohám a požadavků daných prováděcí dokumentací.
Výsledkem dílčího akceptačního řízení je akceptační protokol s výsledkem Splněno (Akceptováno) nebo
Nesplněno (Neakceptováno), podepsaný oprávněnými osobami smluvních stran.
Součástí akceptačního protokolu ke každé oblasti díla bude i soupis předaných prvků včetně jejich
sériových čísel.
Dílčí akceptace mohou probíhat v libovolném pořadí, je-li to technicky a organizačně možné a vhodné.
10.2 Souhrnné akceptační řízení – akceptace
Souhrnné akceptační řízení bude zahrnovat porovnání skutečného stavu vůči požadavkům smlouvy a této
technické dokumentace, která je její přílohou, a jejích příloh, funkčního i nefunkčního charakteru –
licence a příslušenství.
Výsledkem souhrnného akceptačního řízení je akceptační protokol s výsledkem Splněno (Akceptováno) /
Splněno (Akceptováno) s výhradou / Nesplněno (Neakceptováno), podepsaný oprávněnými osobami
smluvních stran a to s výsledným uvedením každé části na tomto akceptačním protokolu a výsledku
akceptačního řízení. Klasifikace Splněno (Akceptováno) s výhradou umožní pokračování v realizaci v
případě vad drobných, pro které může být opakování akceptačního řízení zbytečně nákladné.
10.3 Opakované akceptační řízení
Jestliže plnění nesplňuje podmínky stanovené pro akceptaci, bude obsahem akceptačního protokolu
vyjádření Nesplněno (Neakceptováno) spolu s popisem závad a uvedením termínů pro jejich nápravu.
Zhotovitel napraví tyto nedostatky a akceptační řízení v odpovídajícím rozsahu bude provedeno znovu.
Proces testování a následných oprav se bude opakovat, přičemž výše uvedená ustanovení se použijí
obdobně. Proces testování a následných oprav lze opakovat, dokud zhotovitel nesplní požadavky pro
akceptaci řádnou s výsledkem Splněno (Akceptováno), nejvýše však 2× (dvakrát).
26
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
V situaci, kdy by bylo nutné opakovat akceptační řízení více jak 2× (dvakrát), bude takové opakování
považováno za podstatné porušení smlouvy ze strany zhotovitele a objednatel bude oprávněn odstoupit
od smlouvy. Prodlení vzniklé v souvislosti s potřebou opakování akceptačních řízení bude považováno
vždy za prodlení vzniklé na straně zhotovitele se zachováním důsledků takového prodlení, tedy zejména
smluvních pokut na základě uzavřené smlouvy.
Opakované akceptační řízení bude probíhat jednotlivě samostatně pro jednotlivé části či oblasti tak, aby
na již akceptované části dané opakované akceptační řízení nemělo vliv.
11 Harmonogram plnění
Objednatel požaduje realizaci předmětu plnění dle následujícího harmonogramu. Harmonogram je
sestaven tak, aby jednotlivé práce na sebe logicky navazovaly a zároveň byl v souladu s požadavky výzvy
IROP, ze které má být předmět plnění spolufinancován (s ohledem na termín dokončení předmětu
plnění).
S ohledem na možnost kontroly realizace plnění z pohledu času (tj. dílčí vyhodnocování dodržování
harmonogramu realizace) je harmonogram doplněn milníky. Započetí každého milníku je možné pouze za
předpokladu, že bude provedena akceptace všech milníků předcházejících.
Aktivita plnění dle této specifikace/dokumentace Termín nejpozději do
Zpracování prováděcí dokumentace, připomínkování ze strany 4 týdny
objednatele, vypořádání připomínek, finalizace dokumentu
Akceptační řízení prováděcí dokumentace 1 týden
Předání prováděcí dokumentace T + 5 týdnů
Dodávky komponent řešení a instalace.
Implementace dodaného řešení prováděcí dokumentace – nastavení /
konfigurace / parametrizace jednotlivých oblastí, provedení integrací na 15 týdnů
spolupracující systémy atd.
Zpracování a dodávka provozní dokumentace.
Zpracování školících materiálů.
Připravené prostředí pro testovací provoz, předání do testovacího T + 20 týdnů
provozu
Prezenční zaškolení IT administrátorů. 1 týden
Předání do testovacího provozu.
Testovací provoz s dohledem a podporou zhotovitele.
Oprava chyb a neshod, případná definice změnových požadavků.
Aktualizace dokumentace. 3 týdny
Dodávka licencí (listinné potvrzení dodaných licencí co do jejich počtu a
rozsahu).
Akceptační řízení – porovnání skutečných vlastností se požadavky 1 týden
smlouvy
Akceptace projektu, předání systému do rutinního provozu T + 25 týdnů
Poznámka: Ve sloupci „Termín nejpozději do:“ znak „T“ vyjadřuje datum účinnosti smlouvy.
12 Projektové řízení
Jako součástí plnění jsou požadovány pravidelné projektové schůzky v sídle objednatele min. 1× každých
21 kalendářních dní a dále ad-hoc pracovní schůzky k problematice řešení jednotlivých oblastí plnění,
včetně projednání a odsouhlasení výstupů pro konfiguraci a nastavení jednotlivých oblastí plnění pro
potřebu objednatele.
S ohledem na rozsah projektu a dopad jeho zavedení do produkčního provozu na výkon činnosti
objednatele je v rámci předmětu plnění objednatelem požadováno aplikování základních principů
27
Veřejná zakázka s názvem
Dodávka IT infrastruktury a licencí pro zvýšení kybernetické bezpečnosti a rozvoj eGovernmentu – II.
projektového řízení ze strany zhotovitele. Jedná se zejména o řízení projektových prací v souladu s
uzavřenou smlouvu s ohledem na:
věcné plnění – rozsah, posloupnost a hloubku projektových prací,
závazný harmonogram projektu – dodržování termínů v harmonogramu, podchycení případných
kolizí, zpoždění nebo vznikajících rizik a jejich reportování směrem k objednateli, aktivní řešení
výše uvedených nestandardních situací).
Dále se jedná o zpracování pravdivých, úplných a věcně jasných a vypovídajících zápisů ze všech
konzultačních a projektových schůzek a pracovních jednání (s cílem zaznamenání klíčových rozhodnutí,
ujednání, navržených nebo dohodnutých způsobů řešení dílčích částí projektu atd.). Uvedené zápisy
budou zpracovány během schůzek a jednání, případně budou zpracovány a předány objednateli
nejpozději do dvou pracovních dnů po těchto jednáních.
28