-
Відкриті торги
-
Безлотова
-
КЕП
Міжмережевий екран з функціями захисту від сучасних мережевих загроз
Завершена
3 500 000.00
UAH з ПДВ
мін. крок: 1% або 35 000.00 UAH
мін. крок: 1% або 35 000.00 UAH
Період уточнення:
15.05.2020 12:58 - 22.05.2020 14:00
Відповідь надана
Пристрій захисту від загроз та «атак нульового дня» (пісочниця) CiscoThreat Grid M5
Номер:
bf281a12bfc342f19eb17821587847c3
Дата опублікування:
22.05.2020 13:47
Опис:
Доброго дня!
Вимоги пунктів 1.1. – 1.8. («Архітектура та форм-фактор», «Мережеві інтерфейси», «Продуктивність», «Методи отримання файлів:», «Адміністрування», «Мережеві можливості /Розгортання», «Підтримка типів файлів для аналізу» та «Живлення») до «Пристрій захисту від загроз та «атак нульового дня» (пісочниця) CiscoThreat Grid M5 (або еквівалент)», що наведено в Додатку № 5 «Технічна специфікація та Технічні вимоги відповідно до специфікації» до даної тендерної документації є відтворенням (описом) конкретної специфікації конкретного обладнання CiscoThreat Grid M5, що є запатентованим рішенням виробника Cisco і не відображають РЕАЛЬНІ ПОТРЕБИ ЗАМОВНИКА.
Пісочниця – це віртуальний або апаратний пристрій, якій використовується для ізольованого виконання програм та перевірки файлів на наявність загроз нульового дня, тобто невідомого вірусного коду, який можна помітити тільки з його активності після виконання файлу в середовищі операційної системи.
Головними характеристиками функціоналу пісочниці є:
Загальна пропускна здібність – скільки трафіку за секунду може бути отримано та оброблено;
Кількість файлів за годину/день;
Кількість віртуальних машин для обробки файлів;
Кількість дискового простору.
Нажаль, в Додатку № 5 «Технічна специфікація та Технічні вимоги відповідно до специфікації» до даної тендерної документації дані характеристиками функціоналу пісочниці – ВІДСУТНІ! Натомість вказано безліч інших характеристик, які зовсім не описують необхідну потужність пристрою захисту від загроз та «атак нульового дня», які не є показниками функціоналу. Архітектура у різних виробників може відрізнятися в частині його реалізації для виконання реальних задач, тому виробники, обладнання яких доступні на ринку України, можуть використовувати абсолютно різні другорядні характеристики (ЦПП, об’єми пам’яті тощо) при цьому мати однакову ефективність.
У зв’язку з вищесказаним, просимо внести зміни в Додатку № 5 «Технічна специфікація та Технічні вимоги відповідно до специфікації» до даної тендерної документації де в якості «Вимог до технічних та якісних характеристик» вказати вимоги до загальної пропускної здібності, кількості файлів за годину/день, кількості віртуальних машин для обробки файлів, кількості дискового простору, гарантії та складових сервісної підтримки. Інші вимоги видалити з Додатку 5 до тендерної документації як такі, що не є суттєвими та не впливають на функціонал із захисту інфраструктури, а також є такими, що обмежують конкуренцію та є дискримінаційними.
Додатково просимо обґрунтувати потреби у 48 віртуальних машин.
Дякуємо.
Відповідь:
Доброго дня! Надаємо роз"яснення щодо технічних вимог до пристрою захисту від загроз та «атак нульового дня». Вимоги пунктів 1.1. – 1.8. («Архітектура та форм-фактор», «Мережеві інтерфейси», «Продуктивність», «Методи отримання файлів:», «Адміністрування», «Мережеві можливості /Розгортання», «Підтримка типів файлів для аналізу» та «Живлення») до «Пристрій захисту від загроз та «атак нульового дня» (пісочниця) CiscoThreat Grid M5 (або еквівалент)» не містять запатентованих рішень або технологій.
Замовник вибирає программно-апаратний комплекс (пристрій), що характеризується як функціональними можливостями так і апаратними характеристиками, що потрібні для коректного опису продуктивності пристрою та коректної інтеграції в існуючу мережеву інфраструктури
До вказаних функціональних можливостей та апаратних характеристик відносяться п.п 1.1 – 1.3, що описують вимоги щодо типу і швидкості портів пристрою (цю вимогу, зокрема, слід читати як «Не менше ніж 2x 1 GbE, RJ45.
Не менше ніж 2x 10 GbE, SFP+.»), кількості файлів на годину (цю вимогу, зокрема, слід читати як «Підтримувати динамічне сканування не менше ніж 500 файлів в день з можливостю розширення до 10000»), кількості віртуальних машин для обробки файлів (48) , кількості дискового простору («як мінімум 2 SSD диска ємкістю не менше ніж 240 ГБ кожен та як мінімум 6 жорстких дисків типу SAS 2400 ГБ»). Також, слід розділяти характеристики продуктивності та характеристики функціоналу, адже обидва типи характеристик є релевантними в процесі здійснення тендерної процедури. Вимоги описані в п.п 1.4 – 1.7 є показниками функціональних можливостей, які суттєво впливають на якість роботи системи «пісочниця», та не є характеристиками архітектури рішення.
Описана вище потреба у підтримці 48 віртуальних машин викликана необхідністю поточного аналізу не менше ніж 40 файлів одночасно з запасом продуктивності для майбутнього зростання не менше ніж 20%.
Дата відповіді:
27.05.2020 10:29
Відповідь надана
Щодо вимог в Додатку № 5 «Технічна специфікація та Технічні вимоги відповідно до специфікації» до тендерної документації
Номер:
1c21245474aa4903b1df2986abf1a4a2
Дата опублікування:
22.05.2020 00:33
Опис:
Добрий день Шановний Замовник!
Уважно вивчивши тендерну документацію даної закупівлі ми помітили дискримінаційні вимоги в Додатку № 5 «Технічна специфікація та Технічні вимоги відповідно до специфікації» до тендерної документації, що задля добросовісної конкуренції серед учасників потребують виправлень, а саме:
(1).Вимоги підпункту 1.7. «Фізичні характеристики » до пункту 1. «Міжмережевий екран з функціями захисту від сучасних мережевих загроз (Next GenerationFirewall, NGFW) Cisco Firepower Appliance FPR4110-NGFW-K9 (або аналог):» про наявність «Кількість портів LAN/WAN - Не менше ніж 8 портів 1 Гбіт/с RJ-45, 2 порти 1 Гбіт/с SFP та 2 порта 10 Гбіт/с SFP+» - не є на нашу думку обґрунтованими оскільки охарактеризована в даному пункті тендерної документації система використовує майже всі (більше 90%) ресурси потужностей вже при об’ємі трафіку в 1 Гбіт/с. Наявність портів 10 Гбіт/с безпідставно збільшує вартість обладнання (вони не можуть бути повноцінно задіяні, але потребують вибору моделі біль старшого, потужнішого та дорожчого покоління) що не має нічого спільного з принципом «максимальна економія» ст. 5 Закону про публічні закупівлі. Вимагаємо їх виключення з Додатку 5 до тендерної документації.
(2).Вимоги пункту «Механізми захисту та особливості» до «Системи захисту Веб-додатків Radware WAF (або еквівалент)» про те що «Система повинна забезпечувати блокування атакуючих, на зовнішніх пристроях захисту периметра (тому що DefensePro), на основі аналізу їх дій або зовнішні пристрої захисту периметра мають самостійно здійснювати таке блокування та передавати список заблокованих IP. РОЗРАХУНКУ БАЛІВ «НЕЛЕГІТИМНОЮ ДІЯЛЬНІСТЬ» і час блокування повинен залежати від рівня серйозності і кількості атак.» є дискримінаційними. Нарахування балів «нелегітимної діяльності» використовується в запатентованих технологіях виробника Cisco які не можуть бути замінені аналогами. Вимагаємо їх виключення з Додатку 5 до тендерної документації.
(3).Вимоги пункту «Керування та звітність» до «Система керування пристроями мережевої безпеки Cisco Firepower Management Center,(VMWare) for 10 devices SF-FMC-VMW-10-K9 (або еквівалент)» про те, що «Система повинна мати можливість штатної інтеграції з зовнішніми сканерами пошуку вразливостей – Qualys, Nessus або аналогами» не є логічною та обґрунтованою через те, що вона взаємо виключається попередню вимогу цього ж пункту про «Наявність повноцінного REST API для керування системою».
Тобто кожен виробник має свій набір інтеграцій із зовнішніми сканерами пошуку вразливостей і далеко не всі з них мають можливість інтеграцію із зовнішніми сканерами пошуку вразливостей Qualys та Nessus.
З іншого боку при наявності підключення по REST API є можливість повноцінного підключення дійсно будь-який сканер пошуку вразливостей, в тому числі наведені Qualys, Nessus.
Вимагаємо виключення вимоги про те, що «Система повинна мати можливість штатної інтеграції з зовнішніми сканерами пошуку вразливостей – Qualys, Nessus або аналогами» з Додатку 5 до тендерної документації як таку що є дублюючою та не має під собою підстав та використовується в запатентованих технологіях виробника Cisco які не можуть бути замінені аналогами – отже є дискримінаційними.
(4).Вимоги пункту «Керування та звітність» до «Система керування пристроями мережевої безпеки Cisco Firepower Management Center,(VMWare) for 10 devices SF-FMC-VMW-10-K9 (або еквівалент)» про те, що система повинна мати «Підтримку стандарту обміну інформацію про події безпеки, на базі протоколу ХМРР – RFC 8600» використовується тільки в запатентованих технологіях виробника Cisco які не можуть бути замінені аналогами. Вимагаємо надати роз’яснення та обґрунтування необхідності використання «Системої керування пристроями мережевої безпеки Cisco Firepower Management Center,(VMWare) for 10 devices SF-FMC-VMW-10-K9 (або еквівалент)» заявлених протоколів або видалити Додатку 5 до тендерної документації.
(5).Вимоги пункту «Функції обміну інформацією про шкідливе програмне забезпечення» до «Система керування пристроями мережевої безпеки Cisco Firepower Management Center,(VMWare) for 10 devices SF-FMC-VMW-10-K9 (або еквівалент)» про те, що система має конкретній перелік модулів та конкретне розділення та співставлення фунціоналу з такими конкретними модулями - не має під собою підстав. Кожен виробник має свою архітектуру як реалізована обробка та аналіз отримуваних даних, інтерфейси абсолютно різні.
А. Просимо надати роз’яснення та обґрунтування чому система має бути організована за модульним принципом та чому саме в такому переліку модулів.
Б. Просимо по кожному з підпунктів пункту «Функції обміну інформацією про шкідливе програмне забезпечення» надати роз’яснення та обґрунтування для чого саме таке розділення та для чого він буде використовуватися оскільки в даних підпунктах вказані не технічні характеристики, а опис інтерфейсу та функціоналу запатентованих продуктів/технологіях виробника Cisco які не можуть бути замінені аналогами – отже є дискримінаційними.
Дякуємо!
Відповідь:
Добрий день Шановний Учасник!
Надаємо розяснення щодо вимог викладених у Додатку №5 Тендерної документації, а саме:
1. Вимоги підпункту 1.7 «Фізичні характеристики» до пункту 1. «Міжмережевий екран з функціями захисту від сучасних мережевих загроз (Next GenerationFirewall, NGFW) Cisco Firepower Appliance FPR4110-NGFW-K9 (або аналог):» про наявність «Кількість портів LAN/WAN - Не менше ніж 8 портів 1 Гбіт/с RJ-45, 2 порти 1 Гбіт/с SFP та 2 порта 10 Гбіт/с SFP+» - не є на нашу думку обґрунтованими оскільки охарактеризована в даному пункті тендерної документації система використовує майже всі (більше 90%) ресурси потужностей вже при об’ємі трафіку в 1 Гбіт/с. Наявність портів 10 Гбіт/с безпідставно збільшує вартість обладнання (вони не можуть бути повноцінно задіяні, але потребують вибору моделі біль старшого, потужнішого та дорожчого покоління) що не має нічого спільного з принципом «максимальна економія» ст. 5 Закону про публічні закупівлі. Вимагаємо їх виключення з Додатку 5 до тендерної документації.
Відповідь: Виходячи з поточних вимог щодо забезпечення продуктивності 3 Гбіт/с у режимі без втрат, відсутність портів 10Гбіт/с може стати вузьким місцем у архітектурі системи захисту.
2. Вимоги пункту «Механізми захисту та особливості» до «Системи захисту Веб-додатків Radware WAF (або еквівалент)» про те що «Система повинна забезпечувати блокування атакуючих, на зовнішніх пристроях захисту периметра (тому що DefensePro), на основі аналізу їх дій або зовнішні пристрої захисту периметра мають самостійно здійснювати таке блокування та передавати список заблокованих IP. РОЗРАХУНКУ БАЛІВ «НЕЛЕГІТИМНОЮ ДІЯЛЬНІСТЬ» і час блокування повинен залежати від рівня серйозності і кількості атак.» є дискримінаційними. Нарахування балів «нелегітимної діяльності» використовується в запатентованих технологіях виробника Cisco які не можуть бути замінені аналогами. Вимагаємо їх виключення з Додатку 5 до тендерної документації.
Відповідь: Вимоги пункту «Механізми захисту та особливості» до «Системи захисту Веб-додатків Radware WAF (або еквівалент)» про те що «Система повинна забезпечувати блокування атакуючих, на зовнішніх пристроях захисту периметра (тому що DefensePro), на основі аналізу їх дій або зовнішні пристрої захисту периметра мають самостійно здійснювати таке блокування та передавати список заблокованих IP. РОЗРАХУНКУ БАЛІВ «НЕЛЕГІТИМНОЮ ДІЯЛЬНІСТЬ» і час блокування повинен залежати від рівня серйозності і кількості атак.» слід читати як «Система повинна забезпечувати блокування атакуючих, на зовнішніх пристроях захисту периметра (в тому числі DefensePro або аналогах), на основі аналізу їх дій. Ідентифікація нелегітимної діяльності і час блокування повинен залежати від рівня важливості і кількості атак»
3. Вимоги пункту «Керування та звітність» до «Система керування пристроями мережевої безпеки Cisco Firepower Management Center,(VMWare) for 10 devices SF-FMC-VMW-10-K9 (або еквівалент)» про те, що «Система повинна мати можливість штатної інтеграції з зовнішніми сканерами пошуку вразливостей – Qualys, Nessus або аналогами» не є логічною та обґрунтованою через те, що вона взаємо виключається попередню вимогу цього ж пункту про «Наявність повноцінного REST API для керування системою». Тобто кожен виробник має свій набір інтеграцій із зовнішніми сканерами пошуку вразливостей і далеко не всі з них мають можливість інтеграцію із зовнішніми сканерами пошуку вразливостей Qualys та Nessus. З іншого боку при наявності підключення по REST API є можливість повноцінного підключення дійсно будь-який сканер пошуку вразливостей, в тому числі наведені Qualys, Nessus. Вимагаємо виключення вимоги про те, що «Система повинна мати можливість штатної інтеграції з зовнішніми сканерами пошуку вразливостей – Qualys, Nessus або аналогами» з Додатку 5 до тендерної документації як таку що є дублюючою та не має під собою підстав та використовується в запатентованих технологіях виробника Cisco які не можуть бути замінені аналогами – отже є дискримінаційними.
Відповідь: Даний пункт вимагає можливість штатної інтеграції з існуючим у замовника системами Nessus/Qualys, оскільки в замовника немає ресурсів для розробки нештатних програмних конекторів на базі REST API. Постачальник має продемострувати працюючу інтеграцію через RESP API для вказаних сканерів вразливостей.
Використання ХМРР – RFC 8600/ XMPP Grid не є запатентованою технологією, оскільки є відкритим стандартом Internet Engineering Task Force (IETF). Похідна цього стандарт PX Gridпідтримується низкою виробників, зокрема CheckPoint:https://community.checkpoint.com/t5/Policy-Management/Identity-Collector-Cisco-ISE-SXP-mappings-support/td-p/22695; Cisco https://blogs.cisco.com/security/cisco-scores-big-with-a-new-ietf-approved-internet-standard, IBMhttps://www.ibm.com/downloads/cas/PEP1LZRX, Splunk https://docs.splunk.com/Documentation/AddOns/released/CiscoISE/ConfigureCiscoISEworkflowactions.
4. Вимоги пункту «Керування та звітність» до «Система керування пристроями мережевої безпеки Cisco Firepower Management Center,(VMWare) for 10 devices SF-FMC-VMW-10-K9 (або еквівалент)» про те, що система повинна мати «Підтримку стандарту обміну інформацію про події безпеки, на базі протоколу ХМРР – RFC 8600» використовується тільки в запатентованих технологіях виробника Cisco які не можуть бути замінені аналогами. Вимагаємо надати роз’яснення та обґрунтування необхідності використання «Системої керування пристроями мережевої безпеки Cisco Firepower Management Center,(VMWare) for 10 devices SF-FMC-VMW-10-K9 (або еквівалент)» заявлених протоколів або видалити Додатку 5 до тендерної документації. (5).Вимоги пункту «Функції обміну інформацією про шкідливе програмне забезпечення» до «Система керування пристроями мережевої безпеки Cisco Firepower Management Center,(VMWare) for 10 devices SF-FMC-VMW-10-K9 (або еквівалент)» про те, що система має конкретній перелік модулів та конкретне розділення та співставлення фунціоналу з такими конкретними модулями - не має під собою підстав. Кожен виробник має свою архітектуру як реалізована обробка та аналіз отримуваних даних, інтерфейси абсолютно різні.
Відповідь: Вимоги пункту «Функції обміну інформацією про шкідливе програмне забезпечення» до «Система керування пристроями мережевої безпеки Cisco Firepower Management Center,(VMWare) for 10 devices SF-FMC-VMW-10-K9 (або еквівалент)» слід читати як такі, що допускають побудову системи з фіксованою або модульною архітектурою при умові, що в запропонованому рішенні забезпечені перераховані функціональні вимоги.
Відповідно до ч. 4 статті 23 Закону України «Про публічні закупівлі» технічні специфікації не повинні містити посилання на конкретні марку чи виробника або на конкретний процес, що характеризує продукт чи послугу певного суб’єкта господарювання, чи на торгові марки, патенти, типи або конкретне місце походження чи спосіб виробництва. У разі якщо таке посилання є необхідним, воно повинно бути обґрунтованим та містити вираз "або еквівалент". У складі пропозиції міститься обгрунтування, чому саме такий перелік необхідний, крім того напроти кожного компонента міститься фраза "або еквівалент".
Дані вимоги не є обмежуючими та висунуті для забезпечення універсальності та сумісності з існуючою мережею та інфраструктурою. Замовник викладає вимоги до побудови конфігурації обладнання, які не є унікальними, побудовані на загальнодоступних компонентах, та являють собою загальну вимогу для забезпечення універсальності та сумісності з існуючою інфраструктурою. Постачальник має право запропонувати власні рішення, за умови, що вони будуть підтримувати основну функціональність, описану в тендерній документації.
Дата відповіді:
26.05.2020 16:53
Відповідь надана
технічні вимоги документації
Номер:
4fa1df1c58624d3290a72ce14ca55fa2
Дата опублікування:
20.05.2020 20:13
Опис:
Добрий день!
Проаналізувавши тендерну документацію даної закупівлі ми помітили ряд дискримінаційних вимог в Додатку № 5 «Технічна специфікація та Технічні вимоги відповідно до специфікації» до тендерної документації цієї закупівлі, що на нашу думку суттєво обмежують кількість рішень, що можуть бути запропоновані учасниками, та принципи добросовісної конкуренції, а саме:
==> 1. Вимоги п.п.1.3. «Захист ІТС шляхом застосування наступних технік», п. 1. «Міжмережевий екран з функціями захисту від сучасних мережевих загроз (Next GenerationFirewall, NGFW) Cisco Firepower Appliance FPR4110-NGFW-K9 (або аналог):» про те, що має бути забезпечено «Можливість застосування контролю доступу за мітками безпеки (SGT) що встановлені на мережевому обладнанні доступу за результатами авторизації проходження трафіку від авторизованих джерел та можуть бути розповсюджені по дротовій, бездротовій мережам, пограничнім пристроям мереж віддаленого доступу з недовірених сегментів», «Зменшення кількості ACL та спрощення управління політикою рольового доступу за рахунок можливості використання SG-ACL.» та «Застосування сегментації доступу до інформаційних ресурсів ІТС (VLAN, DMZ, ACL, SGT-ACL, QoS).» -- характеризує пропрієтарне рішення конкретного виробника Cisco про використання міток STG, це запатентовані технології, які не можуть бути замінені «аналогами». Вимагаємо їх виключення з Додатку 5 до тендерної документації як таку що взагалі виключає конкуренцію.
==> 2. Вимоги п.п.1.12. «Виявлення та класифікація мережевого трафіку додатків прикладного рівня (Application firewall)», п. 1. «Міжмережевий екран з функціями захисту від сучасних мережевих загроз (Next GenerationFirewall, NGFW) Cisco Firepower Appliance FPR4110-NGFW-K9 (або аналог):» про те, що має бути забезпечено «Підтримку OpenAppID» -- характеризує підтримку OpenAppID, це технології яка була проприєтарною конкретного виробника Cisco і була тільки нещодавно надана для вільного використання. Виробники окрім Cisco використовують технології власного виробництва. Для того, щоб можна було надати аналогічне рішення пропонуємо додати до вимог можливість визначати додатки за допомогою інших технологій, та викласти вимоги даного пункту в наступній редакції:
« - Не менш ніж 3000.
- Підтримка OpenAppID або створення сигнатур власних користувацьких додатків.»
==> 3. Вимоги п.п.1.14. «Захист від зловмисного ПЗ», п. 1. «Міжмережевий екран з функціями захисту від сучасних мережевих загроз (Next GenerationFirewall, NGFW) Cisco Firepower Appliance FPR4110-NGFW-K9 (або аналог):» про те, що захист від зловмисного ПЗ має бути забезпечено «З можливістю ретроспективного аналізу, пошуку та відображення шляхів розповсюдження зловмисного ПЗ;» -- не можуть бути реалізовані без додаткових компонентів (агентів Cisco AMP), та в технічній документації про ці додаткові компоненти згадки відсутні. В свою чергу Cisco AMP є пропрієтарна технологія конкретного виробника Cisco. Вимагаємо їх виключення з Додатку 5 до тендерної документації як такі що обмежують конкуренцію.
==> 4. Вимоги п.п.1.15. «Продуктивність», п. 1. «Міжмережевий екран з функціями захисту від сучасних мережевих загроз (Next GenerationFirewall, NGFW) Cisco Firepower Appliance FPR4110-NGFW-K9 (або аналог):» про те, що має бути забезпечено «FW + AVC + IPS: 3 Гбіт/с (у режимі без втрат, для типового HTTP-трафіку, середній розмір пакетів 1024 байт)», «Можливість аналізу TLS-трафіку на швидкості не нижче ніж 1.4 Гбіт/с» та «Не менше ніж 68 000/cек нових з’єднань для сервісу міжмережевого екрану.» -- характеризує пропрієтарне рішення конкретного виробника Cisco - наведені точні дані з специфікації конкретного обладнання. Потреби, які вказані в даному пункті не відображають реальну необхідність, а використовують лабораторні висновки, які ніколи не відтворюються в умовах реального навантаження мережі. В зв’язку з цим просимо викласти вимоги даного пункту в наступній редакції: « - Продуктивність системи за умов роботи всіх модулів безпеки не нижче 1 Гбис/с (у режимі без втрат, на середніх пакетах розміром 450 байт або Enterprise Mix / Real-World Mix / APPMIX); - Не менше ніж 1.4 Гбіт/с для сервісуIPSec VPN (3DES/AES); - Не менше ніж 800 IPSecVPN та SSL-VPN підключень. - Можливість аналізу TLS-трафіку на швидкості не нижче ніж 1 Гбіт/с з використанням IPS; - Не менше ніж 50 000/cек нових з’єднань для сервісу міжмережевого екрану.»
==> 5. Вимоги п. «Вимоги до OC і сертифікатам безпеки» до «Системи захисту Веб-додатків Radware WAF (або еквівалент)» про те що «Пристрій ЗАХИСТУ ЕЛЕКТРОННОЇ ПОШТИ має являти собою програмний комплекс, побудований на захищеній і спеціалізованій операційній системі.» не є логічними оскільки в даному розділі йдеться про систему захисту веб-додатків а не про електронну пошту. Напевно в описі є помилка і має бути «захисту веб-додатків», пропонуємо внести в даний пункт відповідні виправлення.
==> 6. Вимоги п. «Контроль та управління аплікаціями» до «Система керування пристроями мережевої безпеки Cisco Firepower Management Center,(VMWare) for 10 devices SF-FMC-VMW-10-K9 (або еквівалент)» про те, що має бути забезпечено «Використання відкритого стандарту OpenAppID для отримання більш докладної ідентифікації і контролю над додатками» -- характеризує підтримку OpenAppID, це технології яка була проприєтарною конкретного виробника Cisco і була тільки нещодавно надана для вільного використання. Виробники окрім Cisco використовують технології власного виробництва. Для того, щоб можна було надати аналогічне рішення пропонуємо додати до вимог можливість визначати додатки за допомогою інших технологій, та викласти вимоги даного пункту в наступній редакції:
« - Використання відкритого стандарту OpenAppID або мати можливість створення сигнатур власних користувацьких додатків для отримання більш докладної ідентифікації і контролю над додатками;
- Розпізнавання та контроль не менш ніж 3000 додатків.»
Судячи з існуючої практики розгляду скарг антимонопольним комітетом та на підставі діючого законодавства, технічне завдання має передбачати можливість запропонувати потенційними учасниками рішення щонайменше трьох виробників, які можуть задовольнити відповідні вимоги тендерної документації.
У зв’язку з цим наполягаємо на внесенні змін в тендерну документацію, що зазначені вище.
Дякуємо!
Відповідь:
Шановний учасник!
Надаємо відповідь на Ваши запитання щодо технічних вимог Тендерної документації.
1. Вимоги п.п.1.3. «Захист ІТС шляхом застосування наступних технік», п. 1. «Міжмережевий екран з функціями захисту від сучасних мережевих загроз (Next GenerationFirewall, NGFW) Cisco Firepower Appliance FPR4110-NGFW-K9 (або аналог):» про те, що має бути забезпечено «Можливість застосування контролю доступу за мітками безпеки (SGT) що встановлені на мережевому обладнанні доступу за результатами авторизації проходження трафіку від авторизованих джерел та можуть бути розповсюджені по дротовій, бездротовій мережам, пограничнім пристроям мереж віддаленого доступу з недовірених сегментів», «Зменшення кількості ACL та спрощення управління політикою рольового доступу за рахунок можливості використання SG-ACL.» та «Застосування сегментації доступу до інформаційних ресурсів ІТС (VLAN, DMZ, ACL, SGT-ACL, QoS).» -- характеризує пропрієтарне рішення конкретного виробника Cisco про використання міток STG, це запатентовані технології, які не можуть бути замінені «аналогами». Вимагаємо їх виключення з Додатку 5 до тендерної документації як таку що взагалі виключає конкуренцію.
Відповідь: Пункт 1.3 вимог про те, що має бути забезпечено «Можливість застосування контролю доступу за мітками безпеки (SGT) що встановлені на мережевому обладнанні доступу за результатами авторизації проходження трафіку від авторизованих джерел та можуть бути розповсюджені по дротовій, бездротовій мережам, пограничнім пристроям мереж віддаленого доступу з недовірених сегментівб Зменшення кількості ACL та спрощення управління політикою рольового доступу за рахунок можливості використання SG-ACL.» та «Застосування сегментації доступу до інформаційних ресурсів ІТС (VLAN, DMZ, ACL, SGT-ACL, QoS) та Застосування сегментації доступу до інформаційних ресурсів ІТС (VLAN, DMZ, ACL, SGT-ACL, QoS », слiд читати як:
« Можливість застосування контролю доступу за мітками безпеки (Security Group Tag -SGT/RFC 3514 або аналог), що встановлюються на мережевому обладнанні доступу за результатами авторизації проходження трафіку від авторизованих джерел та можуть бути розповсюджені по дротовій, бездротовій мережам, пограничнім пристроям мереж віддаленого доступу з недовірених сегментів.
Зменшення кількості ACL та спрощення управління політикою рольового доступу за рахунок можливості використання ACL з мітками безпеки.
Застосування сегментації доступу до інформаційних ресурсів ІТС (VLAN, DMZ, ACL, ACL з мітками безпеки, QoS). ».
2. Вимоги п.п.1.12. «Виявлення та класифікація мережевого трафіку додатків прикладного рівня (Application firewall)», п. 1. «Міжмережевий екран з функціями захисту від сучасних мережевих загроз (Next GenerationFirewall, NGFW) Cisco Firepower Appliance FPR4110-NGFW-K9 (або аналог):» про те, що має бути забезпечено «Підтримку OpenAppID» -- характеризує підтримку OpenAppID, це технології яка була проприєтарною конкретного виробника Cisco і була тільки нещодавно надана для вільного використання. Виробники окрім Cisco використовують технології власного виробництва. Для того, щоб можна було надати аналогічне рішення пропонуємо додати до вимог можливість визначати додатки за допомогою інших технологій, та викласти вимоги даного пункту в наступній редакції: « - Не менш ніж 3000. - Підтримка OpenAppID або створення сигнатур власних користувацьких додатків.»
Відповідь: Пункт 1.12 про те, що має бути забезпечено «Підтримку OpenAppID» слiд читати як: «Підтримка OpenAppID або аналогічної технології опису самостійно розроблених додатків».
3. Вимоги п.п.1.14. «Захист від зловмисного ПЗ», п. 1. «Міжмережевий екран з функціями захисту від сучасних мережевих загроз (Next GenerationFirewall, NGFW) Cisco Firepower Appliance FPR4110-NGFW-K9 (або аналог):» про те, що захист від зловмисного ПЗ має бути забезпечено «З можливістю ретроспективного аналізу, пошуку та відображення шляхів розповсюдження зловмисного ПЗ;» -- не можуть бути реалізовані без додаткових компонентів (агентів Cisco AMP), та в технічній документації про ці додаткові компоненти згадки відсутні. В свою чергу Cisco AMP є пропрієтарна технологія конкретного виробника Cisco. Вимагаємо їх виключення з Додатку 5 до тендерної документації як такі що обмежують конкуренцію.
Відповідь: В пункті 1.14 йдеться про технології захисту від зловмисного ПЗ, що є широко розповсюдженим загальним визначенням набору сучасних технології захисту , які використовуються більшостю виробників (ATP- Advanced Threat Prevention (ATP), AMP (Advanced Malware Protection), Zero-Day Protection). Пункт 1.14 не вимагає встановлення додаткових компонентів або агентів.
4. Вимоги п.п.1.15. «Продуктивність», п. 1. «Міжмережевий екран з функціями захисту від сучасних мережевих загроз (Next GenerationFirewall, NGFW) Cisco Firepower Appliance FPR4110-NGFW-K9 (або аналог):» про те, що має бути забезпечено «FW + AVC + IPS: 3 Гбіт/с (у режимі без втрат, для типового HTTP-трафіку, середній розмір пакетів 1024 байт)», «Можливість аналізу TLS-трафіку на швидкості не нижче ніж 1.4 Гбіт/с» та «Не менше ніж 68 000/cек нових з’єднань для сервісу міжмережевого екрану.» -- характеризує пропрієтарне рішення конкретного виробника Cisco - наведені точні дані з специфікації конкретного обладнання. Потреби, які вказані в даному пункті не відображають реальну необхідність, а використовують лабораторні висновки, які ніколи не відтворюються в умовах реального навантаження мережі. В зв’язку з цим просимо викласти вимоги даного пункту в наступній редакції: « - Продуктивність системи за умов роботи всіх модулів безпеки не нижче 1 Гбис/с (у режимі без втрат, на середніх пакетах розміром 450 байт або Enterprise Mix / Real-World Mix / APPMIX); - Не менше ніж 1.4 Гбіт/с для сервісуIPSec VPN (3DES/AES); - Не менше ніж 800 IPSecVPN та SSL-VPN підключень. - Можливість аналізу TLS-трафіку на швидкості не нижче ніж 1 Гбіт/с з використанням IPS; - Не менше ніж 50 000/cек нових з’єднань для сервісу міжмережевого екрану.»
Відповідь: Вимога по забезпеченню продуктивності 3 Гбіт/с у режимі без втрат обгрунтована поточними вимогами замовника до продуктивності, враховуючи також поточний трафік замовника, який має HTTP/HTTPS-профіль.
5. Вимоги п. «Вимоги до OC і сертифікатам безпеки» до «Системи захисту Веб-додатків Radware WAF (або еквівалент)» про те що «Пристрій ЗАХИСТУ ЕЛЕКТРОННОЇ ПОШТИ має являти собою програмний комплекс, побудований на захищеній і спеціалізованій операційній системі.» не є логічними оскільки в даному розділі йдеться про систему захисту веб-додатків а не про електронну пошту. Напевно в описі є помилка і має бути «захисту веб-додатків», пропонуємо внести в даний пункт відповідні виправлення.
Відповідь: Вимоги п. «Вимоги до OC і сертифікатам безпеки» до «Системи захисту Веб-додатків Radware WAF (або еквівалент)» слід читати як: «Пристрій захисту веб-додатків має являти собою програмний комплекс, побудований на захищеній і спеціалізованій операційній системі».
6. Вимоги п. «Контроль та управління аплікаціями» до «Система керування пристроями мережевої безпеки Cisco Firepower Management Center,(VMWare) for 10 devices SF-FMC-VMW-10-K9 (або еквівалент)» про те, що має бути забезпечено «Використання відкритого стандарту OpenAppID для отримання більш докладної ідентифікації і контролю над додатками» - характеризує підтримку OpenAppID, це технології яка була проприєтарною конкретного виробника Cisco і була тільки нещодавно надана для вільного використання. Виробники окрім Cisco використовують технології власного виробництва. Для того, щоб можна було надати аналогічне рішення пропонуємо додати до вимог можливість визначати додатки за допомогою інших технологій, та викласти вимоги даного пункту в наступній редакції: « - Використання відкритого стандарту OpenAppID або мати можливість створення сигнатур власних користувацьких додатків для отримання більш докладної ідентифікації і контролю над додатками; - Розпізнавання та контроль не менш ніж 3000 додатків»
Відповідь: має бути забезпечено «Підтримку OpenAppID» слiд читати як: «Підтримка OpenAppID або аналогічної технології опису самостійно розроблених додатків».
Дата відповіді:
25.05.2020 15:57
Відповідь надана
Запитання щодо технічних вимог тендерної документації
Номер:
fc2e4005c8694440978ef5b243b86a98
Дата опублікування:
19.05.2020 13:50
Опис:
Шановний замовник!
Уважно вивчивши вимоги Тендерної документації, ми виявили ознаки грубого порушення вимог Закону про публічні закупівлі, а саме ст. 5:
«1. Закупівлі здійснюються за такими принципами:
1) добросовісна конкуренція серед учасників;
2) максимальна економія, ефективність та пропорційність;
4) недискримінація учасників та рівне ставлення до них;
4. Замовники не мають права встановлювати жодних дискримінаційних вимог до учасників»
та ст. 23 п.4 «Технічні специфікації не повинні містити посилання на конкретні марку чи виробника або на конкретний процес, що характеризує продукт чи послугу певного суб’єкта господарювання, чи на торгові марки, патенти, типи або конкретне місце походження чи спосіб виробництва. У разі якщо таке посилання є необхідним, воно повинно бути обґрунтованим та містити вираз "або еквівалент"».
Згідно вимог Додатку №5 до Тендерної документації вказано точний перелік обладнання конкретного виробника Cisco з точними парт-номерами та є примітка, щодо обґрунтування необхідності придбання саме цього рішення, що містить : «Обладнання, що планується закупити буде встановлено в існуючу інфраструктуру, яке збудована за допомогою обладнання компанії Cisco systems. З метою уніфікації процесу налаштування, повноцінного функціонування системи на фізичному та логічному рівні з наявними обчислювальними вузлами (серверами), уніфікації обслуговування, поновлення ліцензій, сервісу обрано обладнання саме Cisco Systems.»
Просимо надати роз′яснення:
(1) Чи будуть прийняти до розгляду пропозиції, що містять аналогічні рішення, обладнання та програмне забезпечення, які відповідають технічним вимогам додатку №5 до Тендерної документації, від інших виробників?
(2) Чи будуть якість додаткові обмеження/вимоги пов′язані з інтеграцією з існуючими системами, уніфікацією, поновленням ліцензій та сервісом у разі розгляду пропозиції від інших аналогічних виробників?
(3) Чи існують якість обмеження щодо виробників аналогічного обладнання, які можуть бути запропоновані, але не можуть з вашої думки повноцінно функціонувати на фізичному та логічному рівні?
(4) Крім цього, просимо надати роз′яснення, що розуміється під вимогою сертифікації яка вказана в Додатку №5 до Тендерної документації, а саме «п. 3 документальне підтвердження того, що запропоноване обладнання входить до програми екологічного маркування»? Просимо надати зразок такого документу, конкретизувати вимогу, та/або вказати посилання на орган що видає такі документи, або провидить таке маркування.
Дякуємо за розуміння, та будемо вдячні за розгорнуті відповіді по кожному з питань!
Відповідь:
Шановний Учасник!
Надаємо разгорнуту відповідь на Ваші запитання.
1. Чи будуть прийняти до розгляду пропозиції, що містять аналогічні рішення, обладнання та програмне забезпечення, які відповідають технічним вимогам додатку №5 до Тендерної документації, від інших виробників?
Відповідь: Дані вимоги не є обмежуючими, а висунуті для забезпечення універсальності та сумісності з існуючою мережею та інфраструктурою. Наведений опис є загальною вимогою. Наведена система у Додатку №5 може бути реалізована будь яким чином та не є унікальним рішенням.
2. Чи будуть якість додаткові обмеження/вимоги пов′язані з інтеграцією з існуючими системами, уніфікацією, поновленням ліцензій та сервісом у разі розгляду пропозиції від інших аналогічних виробників?
Відповідь: Вичерпний перелік всіх вимог надано у Додатку №5 тендерної документації. При формуванні пропозиції вони всі мають бути враховані для реалізації рішення та встановлення його в існуючу інфраструктуру.
3. Чи існують якість обмеження щодо виробників аналогічного обладнання, які можуть бути запропоновані, але не можуть з вашої думки повноцінно функціонувати на фізичному та логічному рівні?
Відповідь: Будь-який виробник обладнання може запропонувати власне рішення для забезпечення інтеграції в існуючу інфраструктуру.
4. Що розуміється під вимогою сертифікації яка вказана в Додатку №5 до Тендерної документації, а саме «п. 3 документальне підтвердження того, що запропоноване обладнання входить до програми екологічного маркування»? Просимо надати зразок такого документу, конкретизувати вимогу, та/або вказати посилання на орган що видає такі документи, або провидить таке маркування.
Відповідь: Відповідно до п.5 статті 23 Закону України "Про публічні закупівлі" Замовник може вимагати від учасників підтвердження того, що пропоновані ними товари, послуги чи роботи за своїми екологічними чи іншими характеристиками відповідають вимогам, установленим у тендерній документації. У разі встановлення екологічних чи інших характеристик товару, роботи чи послуги замовник повинен в тендерній документації зазначити, які маркування, протоколи випробувань або сертифікати можуть підтвердити відповідність предмета закупівлі таким характеристикам.
Як саме застосовувати заходи із захисту довкілля прописано в методичних рекомендаціях щодо визначення необхідності та застосування заходів із захисту довкілля до предмета закупівлі (при здійсненні закупівель товарів, робіт і послуг для забезпечення потреб держави та територіальної громади). Ознайомитись з ними можна, зокрема, перейшовши за посиланням https://infobox.prozorro.org/articles/yak-zastosovuvati-zasobi-zahistu-dovkillya-pri-zakupivli-tovariv-robit-ta-poslug.
Додаток 1 до Методичних рекомендацій містить Приклади знаків екологічного маркування, що належать екологічним сертифікаційним системам, які мають міжнародне визнання і найбільш поширені на українському ринку. Крім того, наголошуємо, що це не вичерпний перелік знаків екологічного маркування. Отже, замовником буде прийнято будь-яке підтвердження того, що запропоноване обладнання входить до програми екологічного маркування, прийнятне для конкретного виробника або учасника, що пропонує відповідне обладнання.
Дата відповіді:
21.05.2020 12:28