zał nr 1 do SIWZ i nr 2 Umowy - OPZ

Załącznik nr 1 do SIWZ
Załącznik nr 2 do Umowy nr CSIOZ/…/2016
Opis Przedmiotu Zamówienia
Przedmiotem zamówienia jest realizacja zadania pod nazwą „Zakup systemu skanera podatności”
zwanego dalej „Systemem” dla Centrum Systemów Informacyjnych Ochrony Zdrowia.
Termin realizacji: maksymalnie do 21 dni kalendarzowych od dnia zawarcia Umowy, jednakże nie
później niż do dnia 5 grudnia 2016 r.
W skład zamawianego Systemu wchodzi oprogramowanie lub zestaw oprogramowania, dzięki
któremu możliwe jest skanowanie systemów, które ma na celu wyszukiwanie podatności i zbadanie
realnych zagrożeń umożliwiających cykliczne monitorowanie podatności sieciowych w odniesieniu
adresów IP oraz portów w poszukiwaniu otwartych i nienależycie zabezpieczonych usług.
Szczegóły przedmiotu zamówienia:
1. Wymagane minimalne funkcjonalności:
Lp.
Nazwa funkcjonalności
1.1
System, w ramach licencji ma posiadać regularnie aktualizowaną bazę sygnatur, przy
pomocy których możliwe jest zaawansowane przeprowadzanie wyszukiwania podatności
sieciowych.
1.2
System ma umożliwiać skanowanie i wykrywanie podatności następujących systemów
operacyjnych eksploatowanych przez Zamawiającego: Windows, Linux.
1.3
System ma umożliwiać łatwą integrację, za pośrednictwem interfejsu WEB z
oprogramowaniem do przeprowadzania testów penetracyjnych będącym w posiadaniu
Zamawiającego. Zamawiający posiada oprogramowanie Metasploit PRO.
W ramach integracji, oprogramowanie ma umożliwiać weryfikację wykrytych podatności
za pomocą oprogramowania będącego w posiadaniu Zamawiającego. Weryfikacja ma się
odbywać bezpośrednio z panelu skanera. Dodatkowo, w ramach integracji System ma
umożliwiać wykonywanie skanów za pomocą interfejsu Metasploit PRO
System ma posiadać narzędzie typu wizard do szybkiego przeprowadzenia testu w
szczególności zorientowanego na:
1.4
1.5
a) Serwery oparte o system operacyjny z rodziny Microsoft Windows;
b) Serwery oparte o system operacyjny z rodziny Unix oraz Linux;
c) Serwery aplikacji WEB;
d) Urządzenia sieciowe.
System ma umożliwiać skanowanie podatności w trybie pracy bez agenta lokalnego.
1
Lp.
Nazwa funkcjonalności
1.6
System ma umożliwiać harmonogramowanie zadań skanowania lub uruchamianie ich na
żądanie dla przynajmniej 256 adresów IP wraz z możliwością śledzenia historii skanowań
dla danego adresu.
1.7
Wykryta podatność przez System ma być dokładnie opisana wraz z rekomendacjami
dotyczącymi usunięcia podatności, ma posiadać oznaczenie ryzyka CVSS oraz - jeśli
został nadany numer CVE wraz z odnośnikiem.
1.8
System ma posiadać moduł raportowania umożliwiający stworzenie
z przeprowadzonego testu. Moduł ma umożliwiać wybór typu
z predefiniowanych szablonów.
1.9
Wykonawca w ramach realizacji zamówienia zapewni Zamawiającemu instruktaż
stanowiskowy dla minimum 2 osób, trwający minimum 14 godzin wskazanych przez
Zamawiającego, obejmujący przykłady przeprowadzenia przynajmniej:
a)
b)
c)
d)
e)
f)
raportu
raportu
Instalacji oprogramowania;
Podstawowej konfiguracji;
Tworzenia polityki skanowania;
Integracji z oprogramowaniem Metasploit Pro;
Korelacji danych z Metasploit Pro;
Interpretacji i analizy wyników.
2. Licencja.
Przedmiot zamówienia ma być dostarczony ze wszystkimi niezbędnymi do działania licencjami.
W ramach licencji wymagana jest aktualizacja Systemu wraz z dostępem do nowych sygnatur
przez okres co najmniej 12 miesięcy. Licencja na używanie środowiska ma być bezterminowa.
3. Gwarancja.
Dostarczony System ma być objęty 12-miesięcznym wsparciem technicznym liczonym od
dnia przekazania przedmiotu zamówienia Zamawiającemu, w ramach którego zostanie
zapewnione:
a) Polskojęzyczne wsparcie telefoniczne oraz online w zakresie błędów związanych
z oprogramowaniem; Ponadto konsultacje powinny obejmować wsparcie przy wykryciu na
serwerach produkcyjnych błędów krytycznych z czasem reakcji maksymalnie 4 godziny
od chwili przyjęcia zgłoszenia w dni robocze; Dni robocze to dni od poniedziałku do
piątku od godz. 8:00 do godz. 16:00, z wyjątkiem dni ustawowo wolnych od pracy oraz
dni wolnych u Zamawiającego;
b) Dostęp do nowych wersji oprogramowania oraz poprawek;
c) Dostęp do nowych sygnatur.
2