Achiziție - Echipament IT și soluții de securitate
Achiziție Secretariatul Parlamentului Republicii Moldova
Informație generală
Echipament IT și soluții de securitate
Surse de finanțare
suma planificată 2,000,000.00 MDL
Detalii achiziție
Documente
Persoană de contact
Clarificări
Ați putea, vă rugăm respectuos, să divizați bunurile pe loturi, pentru a oferi posibilitatea de a veni cu mai multe propuneri?
Între toate componentele solicitate ale soluției trebuie să fie asigurată o compatibilitate și o integrare la un nivel înalt. În cazul divizării pe loturi, există riscul ca diferiți ofertanți să propună soluții care nu sunt suficient de compatibile între ele. De asemenea, în etapa de implementare nu va fi posibilă delimitarea clară a sferei de responsabilitate între diferiți ofertanți, ceea ce poate conduce la o calitate redusă a funcționării soluției. În cadrul unei singure oferte, aveți posibilitatea de a propune componente provenite de la diferiți producători, cu condiția garantării compatibilității lor depline în conformitate cu cerințele caietului de sarcini.
Bună ziua,
Vă scriem pentru a solicita respectuos divizarea pe loturi a bunurilor din anunțul dumneavoastră.
Am observat că achiziția vizează 6 soluții tehnice diferite. În practica de piață, majoritatea producătorilor, inclusiv cei de top, se concentrează pe un număr limitat de direcții, fiind foarte puțini cei care le pot acoperi pe toate.
Pentru a nu limita concurența și a încuraja participarea cât mai multor producători specializați, considerăm că o separare clară pe loturi ar fi benefică.
Vă rugăm să analizați și să acceptați această propunere.
Între toate componentele solicitate ale soluției trebuie să fie asigurată o compatibilitate și o integrare la un nivel înalt. În cazul divizării pe loturi, există riscul ca diferiți ofertanți să propună soluții care nu sunt suficient de compatibile între ele. De asemenea, în etapa de implementare nu va fi posibilă delimitarea clară a sferei de responsabilitate între diferiți ofertanți, ceea ce poate conduce la o calitate redusă a funcționării soluției. În cadrul unei singure oferte, aveți posibilitatea de a propune componente provenite de la diferiți producători, cu condiția garantării compatibilității lor depline în conformitate cu cerințele caietului de sarcini.
În caietul de sarcini se specifică că licența trebuie să fie perpetuală, în același timp fiind obligatorie și o subscripție cu durată minimă de 3 ani (inclusiv actualizări și servicii). Rugăm să clarificați: aceste cerințe sunt alternative ?
Cerințele nu sunt alternative, ci complementare. Prin „licență perpetuală” se înțelege că soluția achiziționată trebuie să rămână funcțională și după expirarea perioadei de subscripție, fără riscul de a deveni neutilizabilă. În același timp, subscripția cu durata minimă de 3 ani se referă la asigurarea actualizărilor de software, serviciilor și suportului tehnic aferent. După expirarea celor 3 ani, sistemul va continua să funcționeze, însă fără a mai beneficia de actualizări sau suport, dacă subscripția nu este reînnoită.
În caietul de sarcini se menționează cerința de a furniza Manufacturer Authorization Form (MAF), valabil pe teritoriul Republicii Moldova. Rugăm să clarificați: se permite participarea companiilor care lucrează prin distribuitori oficiali în Republica Moldova cu confirmarea respectiva, în lipsa unei scrisori directe de la producător?
Având în vedere complexitatea proiectului și rolul său critic în asigurarea securității cibernetice, deținerea unui MAF (Manufacturer Authorization Form) este obligatorie. Documentul MAF confirmă că ofertantul este autorizat direct de producător, are competențele tehnice corespunzătoare și beneficiază de suport oficial din partea acestuia, ceea ce reduce riscurile de incompatibilitate și garantează calitatea implementării.
Este permisă participarea la procedura de achiziție a unei asociații formate din mai multe companii, fiecare deținând MAF de la producătorii pe care îi reprezintă. În acest caz, asocierea trebuie să respecte integral toate celelalte cerințe obligatorii din caietul de sarcini, astfel încât soluția finală să fie complet integrată, funcțională și conformă cu specificațiile.
Se menționează integrarea cu sisteme SIEM. Rugăm să clarificați: este necesară integrarea efectivă cu SIEM-ul existent al beneficiarului în etapa de implementare, sau este suficientă confirmarea suportului pentru protocoale/formate standard (Syslog, STIX/TAXII, API) fără a realiza efectiv lucrări de integrare?
Este necesară asigurarea integrării de bază prin protocolul Syslog cu SIEM-ul existent IBM QRadar versiunea 7.4.3, precum și confirmarea suportului pentru protocoale și formate standard (Syslog, STIX/TAXII, API).
În secțiunea NGFW, se solicită "suport ZTNA, reguli de firewall în baza tag-urilor ZTNA". Este utilizarea "tag-urilor" unicul mecanism acceptat pentru aplicarea dinamică a politicilor? Vor fi respinse soluțiile de la producători de top care ating un rezultat identic (politici dinamice bazate pe utilizator și dispozitiv) prin tehnologii general acceptate în industrie, cum ar fi analiza identității utilizatorului (User-ID), grupuri dinamice sau integrarea prin protocoale standard (RADIUS/API)?
Se are în vedere ajustarea dinamică a drepturilor de acces prin firewall, pe baza unei verificări continue a posturii de securitate a endpoint-ului (exemplu: verificarea proceselor active în sistemul de operare, nivelul de actualizare al sistemului, statutul agentului antivirus etc.).
O mapare clasică a utilizatorului la un grup ar asigura doar o verificare statică, unică, la inițierea conexiunii TCP, fără posibilitatea de a evalua postura de securitate pe durata conexiunii active și fără capacitatea de a suspenda conexiunile existente în cazul compromiterii ulterioare a endpoint-ului.
Prin urmare, orice soluție este acceptată, indiferent de mecanism (nu exclusiv pe baza „ZTNA tags”), cu condiția să ofere:
• monitorizarea continuă a posturii de securitate a endpoint-ului conform criteriilor menționate;
• semnalizarea către NGFW, prin orice metodă standard (API, RADIUS, ZTNA tags sau altele), atunci când endpoint-ul este compromis;
• blocarea imediată a tuturor sesiunilor TCP active și interzicerea stabilirii de noi conexiuni în urma detectării compromiterii.
Conform bunelor practici, această semnalizare trebuie să se producă în timp util (în ordinul secundelor), pentru a preveni răspândirea compromiterii către alte endpoint-uri.
În secțiunea "Soluție de Sandboxing", se cere ca soluția "să creeze semnături AV, care vor fi populate de NGFW... și de soluția endpoint". Înseamnă acest lucru că sunt luate în considerare doar soluțiile în care Sandbox, NGFW și software-ul client fac parte dintr-un ecosistem proprietar al unui singur producător? Vor fi admise soluțiile în care o platformă globală de Threat Intelligence în cloud a producătorului actualizează în timp real toate produsele sale de securitate după detectarea unei amenințări în sandbox?
Funcționalitatea solicitată nu presupune utilizarea exclusivă a unui ecosistem proprietar al unui singur producător. Este posibilă propunerea unei soluții compuse din produse ale unor furnizori diferiți, cu condiția respectării integrale a cerințelor din caietul de sarcini.
Totodată, din cauza nivelului ridicat de confidențialitate a informațiilor gestionate în cadrul Parlamentului, nu este permisă transmiterea fișierelor sau a altor tipuri de date către platforme de tip sandbox bazate în cloud. Sunt acceptate exclusiv soluțiile on-premise, capabile să genereze semnături și indicatori de compromitere (IoC) care pot fi distribuiți către NGFW și soluția endpoint, în vederea blocării imediate a amenințărilor.
În secțiunea NGFW, se descrie un sistem de tip "Centralized Security Data Lake... Unified Logging and Analytics Platform", iar în secțiunea ZTNA se solicită integrarea directă cu acesta. Vă rugăm să confirmați dacă este obligatorie existența unei platforme unice de colectare și analiză a jurnalelor de la același producător ca și celelalte componente. Sau se permite utilizarea soluțiilor de la diferiți furnizori, cu integrarea acestora într-un sistem SIEM existent sau nou al beneficiarului, așa cum prevăd standardele ISO 27001?
Nu este obligatoriu ca platforma de tip Centralized Security Data Lake / Unified Logging and Analytics Platform să provină de la același producător ca și componentele NGFW sau ZTNA. Se permite propunerea unei soluții formate din produse ale unor furnizori diferiți, cu condiția ca acestea să asigure împreună funcționalitățile solicitate în caietul de sarcini.
Totodată, această cerință este distinctă de platforma SIEM existentă a beneficiarului, care nu trebuie utilizată pentru îndeplinirea funcțiilor prevăzute în cadrul prezentei achiziții.
Cerința pentru NGFW include funcționalitatea "security rating", care reprezintă denumirea comercială a unui anumit producător. Vă rugăm să clarificați dacă o funcționalitate echivalentă de auditare a configurației și de aliniere la bunele practici (Best Practice Assessment, Compliance Auditing), oferită de alți lideri de pe piață, va fi considerată conformă.
Se acceptă funcționalități echivalente. Cerința minimă presupune ca soluția să ofere:
• analiză a configurației dispozitivelor pentru identificarea erorilor, vulnerabilităților și a setărilor neconforme;
• recomandări detaliate de remediere;
• audit al conformității față de standarde și bune practici recunoscute (ex. ISO 27001, PCI DSS, CIS, NIST);
• generarea de rapoarte detaliate, care să poată fi utilizate pentru audituri interne și externe.
În secțiunea "Mail Security Gateway", se solicită tehnologia "Content Disarm and Reconstruction (CDR)". Este obligatorie prezența anume a acestei tehnologii, sau vor fi luate în considerare tehnologii echivalente de curățare a conținutului sub alte denumiri comerciale, precum și metode alternative de protecție împotriva atacurilor de tip "zero-day", cum ar fi emularea ultra-rapidă în sandbox?
Tehnologia Content Disarm and Reconstruction (CDR) este larg implementată de principalii producători de soluții Mail Security Gateway, astfel încât solicitarea acestei funcționalități nu reprezintă un criteriu restrictiv. CDR este o funcție nativă a gateway-ului de securitate e-mail și operează independent de Sandbox sau alte sisteme externe, asigurând neutralizarea conținutului potențial periculos în timp real.
Prin urmare, suportul pentru CDR este obligatoriu, iar soluțiile Sandbox sau alte tehnologii complementare de protecție (inclusiv cele împotriva atacurilor de tip zero-day) sunt considerate adiționale și nu substituibile acestei cerințe.
Cerințele pentru soluția ZTNA combină într-un singur client funcționalități de acces la distanță (ZTNA/VPN), antivirus bazat pe AI, controlul aplicațiilor și managementul automatizat al vulnerabilităților ("Patch Policy Enforcement"). Indică acest cumul de cerințe că se dorește achiziționarea unui agent software unificat? Vor fi evaluate ofertele în care aceste funcționalități sunt furnizate prin produse de top specializate (de exemplu, un client ZTNA dedicat și o soluție EDR separată), integrate între ele?
Este permisă utilizarea a maximum doi agenți software pentru îndeplinirea acestei cerințe, cu respectarea integrală a specificațiilor din caietul de sarcini. Agenții propuși trebuie să fie complet compatibili între ei, să nu genereze conflicte sau degradări de performanță la nivelul stațiilor de lucru și să asigure integrarea deplină cu componentele platformei de securitate prevăzute.
În secțiunea "Soluție de gestiune a autorizării", se specifică necesitatea integrării cu NGFW "în vederea permiterii accesului în rețeaua securizată" fără autentificare suplimentară. Descrie această cerință o tehnologie specifică de autentificare transparentă? Vor fi acceptate soluții standard din industrie pentru controlul accesului la rețea (NAC) și managementul identității care utilizează protocoalele RADIUS, 802.1x, TACACS+ și SAML pentru integrarea cu un NGFW de la orice producător?
Prin cerința „fără autentificare suplimentară” se înțelege modul de autentificare pasivă sau transparentă prin protocolul NTLM pentru dispozitivele conectate la MS Active Directory sau care au trecut anterior prin autentificare utilizând metoda Single-Sign-On (SSO). Sunt permise soluțiile cu caracteristicile enumerate de dvs., cu respectarea obligatorie a celorlalte cerințe ale caietului de sarcini și cu includerea în cadrul soluției a componentei One-Time Password (OTP), cu licență pentru 200 de dispozitive mobile Android și iOS.
Dorim să aducem la cunoștința dvs. faptul că echipamentele de tip Next Generation Firewall (NGFW), indiferent de producător (Cisco, Check Point, Fortinet, Palo Alto etc.), în mod obișnuit nu dețin certificare Energy Star. Acest tip de certificare se aplică altor categorii de echipamente (PC-uri, servere, switch-uri de rețea mari etc.), dar nu este disponibil pentru firewall-uri dedicate.
În schimb, pentru a evalua eficiența energetică a acestor echipamente, un indicator relevant și utilizat pe scară largă în industrie este certificarea 80 PLUS a surselor de alimentare, care garantează un nivel ridicat de eficiență energetică și fiabilitate.
Având în vedere cele menționate, vă rugăm respectuos să luați în considerare eliminarea cerinței privind prezentarea certificării Energy Star (sau a echivalentelor acesteia) pentru NGFW din documentația de participare și înlocuirea ei cu cerința de prezentare a unei surse de alimentare cu certificare minimum 80 PLUS.
Modificarile au fost operate