Datum van de informatiesessie: 11 augustus

BIJZONDER BESTEK: ALGEMENE OFFERTEAANVRAAG VOOR « VEILIGHEIDSPLATFORM – FIREWALL EN ANTIVIRUS WORKSTATIONS – SERVERS » VOOR REKENING VAN DE FEDERALE OVERHEIDSDIENST FINANCIËN

III.1.1 Inleiding Beheer van het project en methodologie III.1.2.4 Dimensionering Actieve verbindingen III.2.1 Inleiding Beheer van het project en methodologie IV.8 BIJLAGE VIII : Beheer van het project en methodologie

Datum van de zitting voor de opening van de offertes: 9 september 2011 Datum van de informatiesessie: 11 augustus 2011 1 FOD Financiën – Veiligheidsplatform en antivirus

2 FOD Financiën – Veiligheidsplatform en antivirus

Inhoudstafel I. Administratieve bepalingen ............................................................................................................ 6 I.1 Beschrijving van de opdracht ................................................................................................... 6 I.1.1 Lot 1 : Veiligheidsplatform................................................................................................. 6 I.1.2 Lot 2 : Antivirus workstations en servers. ......................................................................... 8 I.2 De aanbestedende overheid .................................................................................................. 10 I.3 Gebruik door andere federale aanbestedende overheden .................................................... 10 I.4 Vertrouwelijkheidsverklaring ................................................................................................... 11 I.5 Gunningswijze ........................................................................................................................ 11 I.6 Procedure voor latere onderhandelingen ............................................................................... 11 I.7 Vaststelling van de prijzen ...................................................................................................... 11 I.8 Duur van de opdracht ............................................................................................................. 12 I.9 Informatiesessie ..................................................................................................................... 12 I.10 Vorm en inhoud van de offertes ........................................................................................... 13 I.11 Tijdelijke verenigingen .......................................................................................................... 15 I.12 Vrije varianten ...................................................................................................................... 15 I.13 Opties ................................................................................................................................... 15 I.14 Gestanddoeningstermijn ...................................................................................................... 15 I.15 Indiening van de offertes ...................................................................................................... 15 I.16 Opening van de offertes ....................................................................................................... 17 I.17 Procedure voor gunning van de opdracht ............................................................................ 17 I.17.1 Kwalitatieve selectiecriteria ........................................................................................... 17 I.17.2 Regelmatigheid van de offertes .................................................................................... 22 I.17.3 Gunningscriteria ............................................................................................................ 22 II. Contractuele bepalingen ............................................................................................................. 25 II.1 Kennisgeving van de gunning van de opdracht .................................................................... 25 II.2 De bestelbon en zijn modaliteiten ......................................................................................... 26 II.3 Leidinggevende ambtenaar ................................................................................................... 26 II.4 Borgstelling ............................................................................................................................ 27 II.5 Leverbare aard van het voorgestelde systeem ..................................................................... 28 II.6 Uitvoering van de opdracht ................................................................................................... 28 II.6.1 Clausule van technologische evolutie ........................................................................... 28 II.6.2 Uitvoeringstermijnen en planning .................................................................................. 28 II.6.3 « KICK-OFF »-meeting .................................................................................................. 29 II.6.4 Stuurcomité (Steering Committee) ................................................................................ 29 II.6.5 Reporting ....................................................................................................................... 29 II.6.6 Plaats voor uitvoering van de opdracht en bijzonderheden .......................................... 29 II.6.7 Personeel van de aannemer ......................................................................................... 30 II.6.8 Onderaannemers ........................................................................................................... 31 II.6.9 Door de FOD Financiën ter beschikking gestelde middelen ......................................... 32 II.6.10 Te respecteren normen en standaarden ..................................................................... 33 II.6.11 Beheer van veranderingen (« change management ») ............................................... 33 II.6.12 Bijzondere verbintenissen aangaande de verkregen informatie ................................. 35 II.6.13 Aansprakelijkheden ..................................................................................................... 36 II.7 Opvolging van de gepresteerde en controle door derden ..................................................... 37 II.7.1 Opvolging van de goede uitvoering van de opdracht .................................................... 37 II.7.2 Controles door derden ................................................................................................... 37 II.8 Evaluatie van de gepresteerde services en controlewerkzaamheden .................................. 38 II.9 Voorlopige oplevering ............................................................................................................ 39 II.10 Garantie ............................................................................................................................... 39 II.11 Definitieve oplevering .......................................................................................................... 40 II.12 Opleveringsmodaliteiten en -kosten .................................................................................... 40 II.13 Intellectuele eigendom ........................................................................................................ 40 II.14 Deponering bij een Escrow agent ....................................................................................... 42 II.15 Facturatie, betaling en prijsherziening ................................................................................ 43 II.15.1 Facturatie en betaling .................................................................................................. 43 3 FOD Financiën – Veiligheidsplatform en antivirus

II.15.2 Prijsherziening ............................................................................................................. 43 II.15.3 Clausule van meest begunstigde klant ........................................................................ 44 II.16 Publiciteit - referenties ......................................................................................................... 45 II.17 Laattijdige leveringen .......................................................................................................... 45 II.18 Verweermiddelen van de administratie - Geschillen ........................................................... 45 III. Beschrijving van de technische vereisten .................................................................................. 47 III.1 Lot 1 : Veiligheidsplatform .................................................................................................... 47 III.1.1 Inleiding ........................................................................................................................ 47 III.1.2 Beschrijving van het project. ........................................................................................ 47 III.1.3 Voor te stellen infrastructuur ........................................................................................ 55 III.1.4 Aan te bieden services ................................................................................................. 73 III.2 Lot 2 : Antivirus workstations en servers. ............................................................................. 91 III.2.1 Inleiding ........................................................................................................................ 91 III.2.2 Antivirus workstations .................................................................................................. 91 III.2.3 Antivirus Servers .......................................................................................................... 94 III.2.4 Technische documentatie ............................................................................................ 99 III.2.5 SLA voor de centrale architectuur en de clients .......................................................... 99 IV. Bijlagen .................................................................................................................................... 101 IV.1 BIJLAGE I : Beschrijving van de computersites van de FOD Financiën – Beperkingen met betrekking tot de installatie van de machines ........................................................................... 101 IV.1.1 Technische karakteristieken van de computerzaal North Galaxy .............................. 102 IV.1.2 Technische karakteristieken van de DRS-site in Anderlecht ...................................... 105 IV.2 BIJLAGE II : Beschrijving van het interne netwerk ............................................................ 107 IV.2.1 Netwerkservices ......................................................................................................... 107 IV.2.2 Services Fysieke Netwerkvoorzieningen .................................................................... 113 IV.3 BIJLAGE III : Model van inschrijving .................................................................................. 115 IV.4 BIJLAGE IV : Modellen van prijstabellen ........................................................................... 117 IV.4.1 Lot 1 : Veiligheidsplatform .......................................................................................... 117 IV.4.2 Lot 2 : Antivirus Workstations en Servers ................................................................... 119 IV.5 BIJLAGE V : Referentiemodel ........................................................................................... 121 IV.6 BIJLAGE VI : Curriculum vitae ........................................................................................... 122 IV.7 BIJLAGE VII : Vraag en antwoord formulier ...................................................................... 124 IV.8 BIJLAGE VIII : Beheer van het project en methodologie ................................................... 125 IV.8.1 PMFin .......................................................................................................................... 125 IV.8.2 PID .............................................................................................................................. 126 IV.8.3 Governance structuren ............................................................................................... 127 IV.8.4 De Kick-off meeting .................................................................................................... 128 IV.8.5 Stuurgroepvergadering ............................................................................................... 128 IV.8.6 Andere vergadermomenten ........................................................................................ 128 IV.8.7 Kwaliteit....................................................................................................................... 128 IV.8.8 Rapporteringen ........................................................................................................... 129 IV.8.9 Het wijzigingsbeheer (zie ook deel lI, Wijzigingsbeheer (request for change)) .......... 129


Auteur van het project Naam: Stafdienst ICT Adres: Koning Albert II-laan 33 bus 95 te 1030 Brussel Contactpersonen: Administratieve informatie

N. ORBAN (Fr) , tel. 0257/64.312 [email protected]

Technische informatie

Jean LECLERCQ / Michaël HAUSSY (Fr), tel. 0257/64182 0257/63608 [email protected] [email protected]

Toepasselijke reglementering 1. Wet van 24 december 1993 (BS van 22-01-1994) betreffende de overheidsopdrachten en sommige opdrachten voor aanneming van werken, leveringen en diensten, en haar latere wijzigingen. 2. Koninklijk besluit van 8 januari 1996 (BS van 26-01-1996) betreffende de overheidsopdrachten voor aanneming van werken, leveringen en diensten en de concessies van openbare werken, en zijn latere wijzigingen. 3. Koninklijk besluit van 26 september 1996 (BS van 18-10-1996) tot bepaling van de algemene uitvoeringsregels voor overheidsopdrachten en concessies van openbare werken, alsook de bijlage bij dit koninklijk besluit betreffende de algemene aannemingsvoorwaarden, en haar latere wijzigingen. Wat betreft de documenten die specifiek zijn voor de aanbestedende overheid: 1. Dit bijzonder bestek. 2. De berichten inzake de opdracht en de berichten van wijziging, aangekondigd of gepubliceerd in het Bulletin der Aannemingen en in het Publicatieblad van de Europese Unie, die in het algemeen betrekking hebben op overheidsopdrachten. 3. De verduidelijkingen resulterend uit de infosessie (gestelde vragen en door de aanbestedende overheid verstrekte antwoorden). Deze verduidelijkingen maken integraal deel uit van de contractvoorwaarden. De inschrijver wordt verondersteld er kennis van te hebben genomen en er rekening mee te hebben gehouden in zijn offerte. 4. Documenten waarnaar de aanbestedende overheid verwijst in het bijzonder bestek. Wat betreft de documenten die specifiek zijn voor de inschrijver:  

De offerte van de inschrijver. De verduidelijkingen en verbintenissen die door de FOD Financiën worden aanvaard en die als aanvulling op zijn offerte gelden (met dezelfde referentie) naar aanleiding van vragen en verzoeken om opheldering.


I. Administratieve bepalingen Dit eerste gedeelte heeft betrekking op de regeling tot gunning van een overheidsopdracht tot de aanstelling van de aannemer. De bepalingen in dit gedeelte houden verband met de wet van 24 december 1993 en het koninklijk besluit van 8 januari 1996 en zijn latere wijzigingen.

I.1 Beschrijving van de opdracht I.1.1 Lot 1 : Veiligheidsplatform De FOD Financiën gebruikt een uitgebreid TCP/IP-netwerk, dat is verspreid over het volledige nationale grondgebied en dat ongeveer 30.000 gebruikers telt. Dit netwerk is verbonden met diverse andere netwerken:

 Fedman geeft toegang tot het internet en tot de andere FOD’s en overheidsinstellingen.  Het WAN van de FOD Financiën, vandaag geïmplementeerd met Bilan  Huurlijnen naar bepaalde partners van de FOD Financiën, hetzij overheden (Europese Commissie), hetzij privépartners (dienstverleners).

Figuur 1 - Netwerkverbindingen De toegang tot het netwerk van de FOD Financiën vanuit de buitenwereld wordt beschermd door een firewall-infrastructuur. De firewall werd geïnstalleerd met het oog op een beveiligde internettoegang in het kader van de behoeften van de centrale diensten van de FOD Financiën. De FOD Financiën wenst vandaag een nieuwe beveiligingsinfrastructuur die voldoende krachtig is om de behoeften van de 30.000 ambtenaren te kunnen bestrijken, alsook de toegang tot de voorzieningen van de FOD Financiën voor minstens 5.000 gelijktijdige externe gebruikers via het 6 FOD Financiën – Veiligheidsplatform en antivirus

internet. Het gaat hier om externe gebruikers die toegang moeten hebben tot het interne netwerk van de FOD Financiën. Dit aantal moet trouwens aanzienlijk kunnen evolueren. De aannemer zal verantwoordelijk zijn voor de levering van een krachtige infrastructuur en een hoog veiligheidsniveau, in overeenstemming met de behoeften van de FOD Financiën. De aannemer zal verplicht zijn om aanpassingen door te voeren aan de infrastructuur en/of zijn manier om de FOD Financiën te beschermen, als er door de verantwoordelijken van de FOD Financiën tekortkomingen worden vastgesteld. De FOD Financiën verwacht van de aannemer het resultaat van zorgvuldige werkzaamheden, uitgevoerd door professionals in computerbeveiliging, dit om de voorgestelde infrastructuur te beheersen en daarbij een hoge beschikbaarheid van de services te bieden en bedreigingen maximaal te weerstaan. De figuur hierboven biedt een schematische weergave van de verschillende netwerken. Men kan er het volgende onderscheiden:

 Het LAN-netwerk waarmee de interne gebruikers zijn verbonden (LAN/users)  Het WAN-netwerk waarmee de gebruikers van de FOD Financiën zijn verbonden  Het netwerk waarmee de servers van de FOD Financiën zijn verbonden (onderverdelingen in meerdere netwerken mogelijk)

   

Specifieke interne netwerken DMZ-zones, in te richten door de aannemer Het internet-netwerk, toegankelijk via het Fedman-netwerk Specifieke netwerken naar bepaalde partners.

De inschrijver moet een architectuur voorstellen die in staat is om deze verschillende netwerken te beschermen en van elkaar te isoleren, idealiter via twee verschillende technologieën. Het prestatieniveau van de voorgestelde infrastructuur moet toereikend zijn om het gegenereerde netwerkverkeer te ondersteunen zonder impact op het niveau van throughput en met beperking van de « latency » tot een minimum. Drie luiken maken deel uit van lot 1: aankoop en installatie van een beveiligingsinfrastructuur, migratie vanuit de huidige omgeving, monitoring en onderhoud van de ingevoerde infrastructuur. Deze drie luiken worden hieronder gedetailleerd.

 Het bestek betreft de aankoop en de installatie van een beveiligingsinfrastructuur, met omvatting van de firewalls en de samenhangende voorzieningen, in staat om het netwerkverkeer te ondersteunen dat wordt gegenereerd door 30.000 gebruikers van de FOD Financiën. Deze gebruikers zijn ofwel interne gebruikers, aangesloten op het LAN van Financiën, ofwel externe gebruikers, verbonden via het WAN van Financiën. Bij de gebruikers van de FOD Financiën komen nog eens de (minstens) 5.000 gelijktijdige externe gebruikers die eerder werden vermeld. Deze infrastructuur zal niet alleen het verkeer van en naar het internet controleren, maar ook de stromen van en naar de andere verbindingen, met name de verbindingen vanuit en naar de andere FOD’s en overheidsinstellingen. De infrastructuur moet ook de veiligheid van de servers van Financiën en hun toepassingen, die toegankelijk zijn via het internet, garanderen. Tot slot omvat de infrastructuur ook apparatuur voor de analyse en de antiviruscontrole van de bestanden, bestemd vor de interne servers.

 De opdracht bestrijkt tevens de migratie van de bestaande omgeving naar de nieuwe. De migratie moet worden uitgevoerd met een strikt minimum aan dienstonderbrekingen.

 De opdracht omvat trouwens een belangrijke service voor het onderhoud van de installatie, voor de nodige updates met het oog op de vrijwaring van de beveiligingscapaciteit, en voor operationele supervisie van de beveiligingsinfrastructuur. Hiertoe moet de inschrijver een oplossing voorstellen voor permanente monitoring op afstand (vanuit zijn lokalen), in combinatie met de noodzakelijke diensten ter plaatse (FOD Financiën). 7 FOD Financiën – Veiligheidsplatform en antivirus

Opmerking en verduidelijking: de services van de Internet Service Provider en de huur van de lijnen zijn niet inbegrepen in de offerte van de inschrijver (behalve voor wat betreft de lijnen, bestemd voor de supervisie en het onderhoud van de beveiligingsinfrastructuur). De inschrijver moet elk beroep op onderaanneming vermelden met opgave van het aandeel van de opdracht dat wordt uitbesteed, alsook de naam van de onderaannemers.

I.1.2 Lot 2 : Antivirus workstations en servers. Op basis van de exacte inhoud van dit bestek wil de FOD Financiën:

 Beschikken over een volledige antivirusbescherming voor zijn Windows-workstations en zijn Windows-servers;

 Specifieke softwareprogramma’s aankopen die een volledige antivirusbescherming verzekeren op het vlak van de Windows-workstations en –servers;

 Specifieke softwareprogramma’s aankopen die de mogelijkheid bieden om de centrale beheersen distributiearchitectuur op gecentraliseerde wijze te bedienen en te beheren;

 Beschikken over services om de eerder genoemde architectuur en software te installeren, te configureren, in gang te zetten en operationeel te maken, met inbegrip van de noodzakelijke opleidingen;

 Het onderhoud van de apparatuur verzekeren. De FOD Financiën zal de hardware van het servertype leveren, met inbegrip van het besturingssysteem voor Microsoft Windows-servers dat nodig is voor de ontwikkeling, de expoitatie en de installatie. De inschrijver moet in zijn offerte de minimale specificaties en het aantal servers vermelden die noodzakelijk zijn voor de implementering van zijn oplossing. De aannemer blijft evenwel verantwoordelijk voor de voorziening van eventuele specifieke software die noodzakelijk is in het kader van de uitvoering van dit project. Hij moet in zijn offerte de gedetailleerde lijst van die software opnemen alsook de respectievelijke kostprijs ervan. De inschrijver moet elk beroep op onderaanneming vermelden met opgave van het aandeel van de opdracht dat wordt uitbesteed, alsook de naam van de onderaannemers.

I.1.2.1 Beschrijving : antivirussysteem voor de Windows-workstations I.1.2.1.1 De centrale beheersen distributiearchitectuur 

Automatische distributie van de upgrades en updates van de antivirusprogramma’s op de Windows-workstations



Centraal beheer en gedetailleerde reporting over de staat van elk Windowsworkstation op het vlak van de antivirusbescherming, verhinderde aanvallen, de meest voorkomende virussen en de meest geïnfecteerde gebruikers. Rapport over de clients waarvan de antivirussoftware werd afgehaald (Lost & Found of gelijkwaardige functionaliteit).



Er moet een inventarisfunctie worden opgenomen in het centrale beheer om de situatie van de mogelijke zwakke plekken van de clients te kunnen weergeven: geïnfecteerde bestanden, open poorten, lopende services … De niet-beschermde clients (geen antivirus) moeten automatisch worden gedetecteerd.



De clients moeten zelf automatisch kunnen bepalen welk gedeeld dossier of distributieserver is belast met de update, in functie van de kortste responstijd van de server. 8

FOD Financiën – Veiligheidsplatform en antivirus



De draagbare computers die niet zijn aangesloten op het netwerk van de FOD Financiën, maar die beschikken over een internetverbinding, moeten automatisch worden geüpdatet door de server van de antivirusleverancier. De aannemer moet een oplossing op maat voorzien voor de Windows-portables van de FOD, los van de oplossing die is bedoeld voor de Windows-workstations.



Noodzakelijke services voor het installeren, configureren en opstarten van deze architectuur, met inbegrip van de installatie van het besturingssysteem.

I.1.2.1.2 Specifiek antivirusprogramma voor de Windows-workstations   

De noodzakelijke licenties om de software op de Windows-workstations te kunnen gebruiken De noodzakelijke supportservices om de software te updaten gedurende 3 +1 +1 jaar vanaf de kick-off, en gedurende deze periode een permanente antivirusbescherming te verzekeren op de Windows-workstations De noodzakelijke services voor het installeren en configureren van de software op de Windows-workstations van de FOD. Men dient rekening te houden met het feit dat de huidige antivirusclient McAfee is. Geografisch gezien zijn de workstations verspreid over heel België.

I.1.2.1.3 Specifieke software voor de centrale beheersen distributiearchitectuur De nodige licenties en services om de centrale beheersen distributiearchitectuur te installeren, die de Windows-workstations een blijvende, geactualiseerde bescherming zal bieden tegen virussen.

I.1.2.1.4 Contract voor onderhoud van de centrale architectuur Het onderhoudscontract omvat met name het preventieve, evolutieve en correctieve onderhoud van de software, alsook de technische assistentie.

I.1.2.1.5 Andere services    

SLA documentatie opleiding en kennisoverdracht bijkomende assistentie.

I.1.2.2 Beschrijving : antivirussysteem voor de servers I.1.2.2.1 Centrale beheersen distributiearchitectuur - moet verzekeren :   

Automatische distributie van de upgrades en updates van de antivirusprogramma’s op de Windows-servers Centraal beheer en gedetailleerde reporting over de situatie van elke Windows-server op het vlak van antivirusbescherming. Noodzakelijke services voor het installeren, configureren en opstarten van deze architectuur, met inbegrip van de installatie van het besturingssysteem.


I.1.2.2.2 De specifieke antivirussoftware voor de Windows-servers   

De nodige licenties om de software te gebruiken op de Windows-servers De nodige supportservices om de software te updaten gedurende 3+1+1 jaar en gedurende deze termijn een blijvende antivirusbescherming op de Windows-servers te garanderen De noodzakelijke services voor het installeren en configureren van de software op de servers van de FOD.

I.1.2.2.3 Specifieke software voor de centrale beheersen distributiearchitectuur De noodzakelijke licenties en services om de centrale beheersen distributiearchitectuur te installeren die de Windows-servers een blijvende en geactualiseerde bescherming zal bieden tegen virussen.

I.1.2.2.4 Contract voor onderhoud van de centrale architectuur Het onderhoudscontract omvat met name het preventieve, evolutieve en correctieve onderhoud van de software, alsook de technische assistentie.

I.1.2.2.5 Andere services    

SLA documentatie opleiding en kennisoverdracht bijkomende assistentie.

I.2 De aanbestedende overheid De aanbestedende overheid is de Belgische staat, vertegenwoordigd door de Minister van Financiën, Wetstraat 12, 1000 Brussel. Alle correspondentie met betrekking tot de opdracht kan worden gericht aan het volgende adres: FOD Financiën Stafdienst ICT Koning Albert II-laan 33 bus 95 1030 BRUSSEL

I.3 Gebruik door andere federale aanbestedende overheden De FOD Financiën is de aanbestedende overheid, bevoegd voor de supervisie en de controle over de opdracht. In het kader van deze opdracht en in overeenstemming met artikel 2, 4° van de wet van 15 juni 2006 kunnen echter andere federale aanbestedende overheden of federale overheidsinstellingen zich beroepen op de voorwaarden van deze opdracht om te voldoen aan eventuele behoeften, zonder hiertoe een beroep te moeten doen op de procedure van mededinging. Bijgevolg moet men, telkens er in deze tekst melding wordt gemaakt van « FOD Financiën », daadwerkelijk lezen « FOD Financiën » voor alles wat de gunning betreft of eraan voorafgaat, of « FOD Financiën of een andere federale aanbestedende overheid of federale overheidsinstelling » voor alles wat de uitvoering betreft . 10 FOD Financiën – Veiligheidsplatform en antivirus

I.4 Vertrouwelijkheidsverklaring Met de indiening van zijn offerte is de inschrijver automatisch gebonden aan de volgende clausule: De persoon of de personen die optreedt/optreden als gevolmachtigde(n) en die deze offerte elektronisch heeft/hebben ondertekend, garandeert/garanderen de vertrouwelijkheid van de gegevens en de resultaten van hun verwerking die werden bekomen in het kader van de opdracht, beschreven in dit bijzonder bestek. Hieruit volgt dat deze gegevens en de resultaten van hun verwerking:  indien nodig uitsluitend zullen worden gebruikt voor de totstandbrenging van het voorwerp van de opdracht,  niet zullen worden verspreid noch gekopieerd,  niet langer zullen worden bewaard dan noodzakelijk is voor de uitvoering van de opdracht.

I.5 Gunningswijze De opdracht wordt gegund via een algemene offerteaanvraag. In toepassing van artikel 18 van de wet van 24 december 1993 betreffende de overheidsopdrachten en sommige opdrachten voor aanneming van werken, leveringen en diensten, kan de aanbestedende overheid ofwel verzaken aan het gunnen van de opdracht, ofwel de procedure overdoen, desgevallend volgens een andere methode. Aangezien de opdracht betrekking heeft op meerdere loten, heeft de aanbestedende overheid het recht om slechts bepaalde loten te gunnen en om eventueel te beslissen dat de andere loten het voorwerp moeten uitmaken van één of meer nieuwe opdrachten, desgevallend volgens een andere methode.

I.6 Procedure voor latere onderhandelingen In overeenstemming met artikel 17, § 2, 2°, b van de wet van 24 december 1993 betreffende overheidsopdrachten, behoudt de aanbestedende overheid zich het recht voor om middels een procedure voor onderhandeling zonder publiciteit gedurende een periode van maximaal drie jaar na het afsluiten van onderhavig contract, aan de inschrijver, die de eerste opdracht heeft gekregen, een opdracht voor nieuwe services te gunnen, bestaande uit een herhaling van diensten die gelijkaardig zijn aan de diensten die in dit bestek lastenboek staan beschreven

I.7 Vaststelling van de prijzen Deze opdracht is een opdracht van het gemengde type voor lot 1 en voor lot 2. Alle prijzen, vermeld in de formulieren « BIJLAGE IV : Modellen van prijstabellen IV.4 » moeten verplicht worden opgemaakt in euro. In zijn offerte moet de inschrijver de prijzen van alle gedeelten van de offerte vermelden zoals gevraagd in « BIJLAGE IV : Modellen van prijstabellen IV.4 ». Hij moet ook elk gedeelte detailleren. 11 FOD Financiën – Veiligheidsplatform en antivirus

Het gebruik van het model « BIJLAGE IV : Modellen van prijstabellen IV.4 », zoals bijgevoegd in het bestek, is verplicht. Het niet gebruiken van dit model kan leiden tot de uitsluiting van de offerte. Er zal geen rekening worden gehouden met prijzen die op een andere plaats zijn vermeld dan in deel 2 van de offerte.

I.8 Duur van de opdracht De opdracht kent een duur van drie jaar, te rekenen vanaf de kick-off. De aannemer zal verplicht zijn om zijn diensten te verzekeren gedurende twee bijkomende jaren (1 + 1) op verzoek van de aanbestedende overheid en tegen de voorwaarden, vermeld in zijn offerte. De aannemer blijft dus contractueel gebonden tijdens de oorspronkelijke termijn, vermeerderd met de eventuele verlengingen ervan.

I.9 Informatiesessie Gezien de complexiteit van de opdracht heeft de aanbestedende overheid besloten om een eenmalige infosessie te organiseren ten behoeve van de kandidaat-inschrijvers. Na afloop van deze infosessie zal er op geen enkele van de gestelde vragen meer worden geantwoord; dit om alle kandidaat-inschrijvers op gelijke voet te behandelen. Er zal uitsluitend worden geantwoord op vragen die schriftelijk werden ingediend en dit uiterlijk op 8 augustus 2011 door middel van het formulier vragen / antwoorden, als bijlage toegevoegd aan dit bijzonder bestek (zie “Bijlage: formulier vragen / antwoorden”). Deze vragen mogen uitsluitend worden ingediend via e-mail en in een spreadsheet, zoals die in bijlage, op het adres [email protected] De informatiesessie zal plaatsvinden op 11 augustus 2011 om 10 u. op dit adres : FOD Financiën Koning Albert II laan 33 1030 Brussel C5 . Zaal Mandarin. Alle vragen moeten verplicht de nodige referenties naar het bijzonder bestek bevatten, zodat een snel antwoord wordt vergemakkelijkt (bijv. deel 1, punt 1.1, paragraaf 1, pagina 1). Gelieve tevens de taal van het door u gebruikte bijzonder bestek te vermelden (de paginering kan verschillen al naargelang de taal). Tijdens deze infosessie zal er een kort overzicht worden gepresenteerd van het voorwerp van de opdracht. De antwoorden op de tijdig ingediende vragen zullen mondeling worden verstrekt tijdens de infosessie en zullen vervolgens worden gepubliceerd op de internetsite van de FOD Financiën. Aan geïnteresseerde ondernemingen wordt gevraagd om zich voorafgaandelijk bekend te maken via een e-mail naar het adres [email protected] en om de naam en de functie mee te delen van de perso(o)n(en) die zal (zullen) worden afgevaardigd naar de infosessie. Om organisatorische redenen worden er per geïnteresseerde onderneming maximaal twee personen toegelaten. De FOD Financiën behoudt zich het recht voor om de deelname aan de informatiesessie te weigeren voor personen die zich niet 24 uur vooraf hebben kenbaar gemaakt.


Indien de geïnteresseerde ondernemingen onvolkomenheden, onduidelijkheden, enz. opmerken in het bijzonder bestek, worden ze uitgenodigd om dit schriftelijk te laten weten vóór de infosessie, en dit volgens dezelfde modaliteiten als voor het versturen van de vragen. De FOD Financiën hecht bijzonder veel belang aan de gelijke behandeling van de inschrijvers en stelt de specificaties van zijn bestekken op in het licht van die bekommernis. Indien een geïnteresseerde firma desondanks meent dat haar kandidatuur wordt uitgesloten of dat haar kansen worden verminderd door bepaalde specificaties uit dit bestek, wordt ze verzocht om dit schriftelijk mee te delen, uiterlijk tijdens de infosessie. Zonodig zal de FOD, indien hij dit noodzakelijk acht, het bestek aanpassen om er rekening mee te houden.

I.10 Vorm en inhoud van de offertes De inschrijver is verplicht tot het gebruik van het offerteformulier in bijlage van onderhavig bijzonder bestek. Indien evenwel andere formulieren worden gebruikt, is hij verplicht om op elk document de overeenstemming te bekrachtigen met het offerteformulier dat bij het bijzonder bestek is gevoegd (art. 89 van het K.B. van 8 januari 1996). De offerte en de bijlagen die bij het offerteformulier zijn gevoegd, worden opgesteld in het Nederlands of in het Frans. De inschrijver moet de taal opgeven die moet worden gebruikt voor de interpretatie van het contract, dat wil zeggen Nederlands of Frans. De documenten met een technische inslag die bij de offerte worden gevoegd, mogen in het Engels zijn opgemaakt, indien er geen vertaling zou bestaan in de taal van de offerte. Met de indiening van zijn offerte verzaakt de inschrijver automatisch aan zijn eigen algemene of bijzondere verkoopvoorwaarden, ook als deze zouden voorkomen in één of meer bijlagen van zijn offerte. De inschrijvers zijn verplicht zich expliciet te verbinden tot het naleven van alle administratieve en contractuele bepalingen van onderhavig bijzonder bestek. Elk voorbehoud of gebrek aan verbintenis inzake één van deze bepalingen kan leiden tot de onregelmatigheid van de offerte.

Wat betreft de structuur van de offerte: De offerte van de inschrijver moet verplicht worden gepresenteerd volgens het onderstaande schema: Deel 1 – Administratief gedeelte A. Offerteformulier (model : zie hieronder) B. Volmachten van de gevolmachtigden C. Kwalitatieve selectie 

Criteria van uitsluiting



Selectiecriterium met betrekking tot de economische en financiële middelen van de inschrijver



Criteria van technische capaciteit D. Informatie over de onderaannemers (indien van toepassing)

Deel 2 – Financieel gedeelte De prijstabel : de kosten detailleren en samenvatten (model : zie hieronder) Deel 3 – Technisch voorstel 13 FOD Financiën – Veiligheidsplatform en antivirus

De offerte volgt de structuur van deel 3 van het bestek Deel 4 – Verplichte bijlagen Bijlage 1: Referenties van recente projecten, zowel in de privésector als de overheidssector (model: zie hieronder) Bijlage 2: Curriculum Vitae (model : zie hieronder) Deel 5 – Specifieke bijlagen Bijlage A, B, C, … : Bijlagen die de inschrijver nuttig acht om toe te voegen. Elk voorstel van de inschrijver dat de door de aanbestedende overheid opgelegde structuur niet aanhoudt, kan als onregelmatig worden beschouwd. Deel 3 – het technisch voorstel mag geen enkele administratieve vermelding en/of prijsaanduiding bevatten. Er zal geen rekening worden gehouden met administratieve vermeldingen of vermeldingen van prijzen op een andere plaats dan in deel 2. Er wordt gevraagd om het aantal te presenteren bestanden tot een minimum te beperken. Zo kunnen aparte bestanden bijvoorbeeld worden gebundeld in grotere documenten. Het is tevens essentieel om de bestanden te ordenen aan de hand van een nummering, zodat de structuur van de offerte duidelijk is. Er wordt ook gevraagd dat de pagina’s in elk bestand een ononderbroken nummering krijgen. Wat betreft de gevolmachtigden: Elke offerte die wordt ingediend door gevolmachtigden, moet vermelden in naam van welke entiteit de gevolmachtigden acteren. Wie de offerte elektronisch heeft ondertekend, moet op de datum van de ondertekening gemachtigd zijn om de opdrachtgever te verbinden tot het totale bedrag van de offerte. De gevolmachtigden voegen bij de offerte een elektronische kopie van de authentieke of onderhandse akte die hen de machtiging verleent, of een kopie van deze akte. Ze moeten eveneens het nummer vermelden van de bijlage bij het Belgisch Staatsblad waarin de mandaten werden gepubliceerd. Wat betreft de onderaannemers Elk beroep op onderaannemers moet duidelijk worden aangegeven in de offerte van de inschrijver. Deze laatste moet het type van de contractuele relatie beschrijven die hem bindt aan elk van zijn onderaannemers. De naam en het adres van de onderaannemers moeten bij de offerte worden gevoegd, met vermelding van het deel of de delen van de opdracht die moeten worden uitgevoerd door elke onderaannemer. De onderaannemers moeten overigens voldoen aan de « criteria van uitsluiting » vermeld in het punt « procedure voor gunning van de opdracht ». De onderaannemers moeten bij voorkeur een ISO 9001-certificaat (of gelijkwaardig) bezitten voor de activiteit die aan hen wordt uitbesteed. De inschrijver moet bij zijn offerte alle inlichtingen voegen waarmee de situatie van elk van zijn onderaannemers kan worden nagegaan. Wat betreft de documenten met een technische inslag De documenten van technische aard (geen publicitaire brochures !) die bij de offerte worden gevoegd in deel 5 – specifieke bijlagen, mogen zijn opgesteld in het Engels, indien er geen vertaling zou bestaan in de taal van de offerte; andere talen zijn niet toegelaten. 14 FOD Financiën – Veiligheidsplatform en antivirus

Te gebruiken formulieren (terug te vinden in bijlage van dit bijzonder bestek): 1. 2. 3. 4.

Het offerteformulier: zie “bijlage : offerteformulier” Het formulier voor de prijstabel : zie “bijlage : inventaris” Het formulier voor de referenties: zie “bijlage : model voor referenties” Het formulier voor de curricula vitae: zie “bijlage: curriculum vitae”

I.11 Tijdelijke verenigingen De overhandiging van een offerte door een tijdelijke vereniging is toegestaan. Het offerteformulier (zie formulier dat is opgenomen in dit bijzonder bestek: « bijlage : offerteformulier ») is volledig en werd ondertekend door alle leden van de tijdelijke vereniging of door één of meerdere leden die volgens de regels zijn gemachtigd om alle leden van de tijdelijke vereniging te vertegenwoordigen (het bewijs van die volmacht moet in dat geval worden voorgelegd). Elk lid van de tijdelijke vereniging moet voldoen aan de criteria van uitsluiting, verderop beschreven in dit document. De evaluatie van de economische, financiële en technische capaciteit heeft betrekking op de tijdelijke vereniging en niet op elk van de leden afzonderlijk. Elk lid van de tijdelijke vereniging wordt solidair verantwoordelijk gehouden voor alle verplichtingen die resulteren uit deze aanbesteding.

I.12 Vrije varianten Het is verboden om vrije varianten voor te stellen.

I.13 Opties Het voorstellen van « vrije opties » is niet toegestaan. De gevraagde opties moeten verplicht deel uitmaken van de offerte.

I.14 Gestanddoeningstermijn De inschrijvers blijven gebonden door hun offerte gedurende een termijn van 240 kalenderdagen, te rekenen vanaf de dag die volgt op die van de opening van de offertes.

I.15 Indiening van de offertes De aanbestedende overheid verplicht in het kader van deze opdracht het beroep op elektronische middelen voor de indiening van de offertes. 15 FOD Financiën – Veiligheidsplatform en antivirus

Als blijkt dat bepaalde stukken niet met elektronische middelen kunnen worden gecreëerd, of als het te ingewikkeld blijkt om ze op die manier te creëren, kunnen die stukken worden aangeleverd op papier en dit vóór de uiterste datum voor ontvangst. Het gebruik van documenten op papier moet een voorafgaandelijk akkoord krijgen vanwege de aanbestedende overheid. Dit akkoord kan worden aangevraagd op het volgende adres : FOD Financiën Stafdienst ICT – Cel overheidsopdrachten Koning Albert II-laan 33 bus 95 1030 Brussel E-mail : [email protected] Om bepaalde onverwachte problemen te vermijden met het doorsturen, het ontvangen of het openen van de vragen om deelname of de offertes, ingediend langs elektronische weg, geeft de aanbestedende overheid de inschrijvers de toelating om gelijktijdig een offerte via elektronische middelen in te dienen én, bij wijze van back-up, een kopie, opgemaakt via elektronische middelen of op papier. Dit back-upexemplaar wordt in een gesloten omslag gestoken die duidelijk de vermelding draagt "back-upexemplaar" en wordt tijdig ingediend binnen de normale termijn voor ontvangst. Deze kopie mag enkel worden geopend als er zich problemen voordoen met het doorsturen, het ontvangen of het openen van de vraag om deelname of van de offerte, doorgestuurd langs elektronische weg. Ze vervangt in dat geval definitief het document, doorgestuurd langs elektronische weg. Wat betreft de indiening zelf: Vóór hun opening worden de elektronische offertes ingediend via de website voor e-tendering https://eten.publicprocurement.be/, die de naleving garandeert van de voorwaarden van artikel 81 ter van het KB van 8 januari 1996. Er dient opgemerkt dat de verzending van een offerte via e-mail niet voldoet aan die voorwaarden. Het is bijgevolg niet toegestaan om de offerte op die manier in te dienen. Los van de eventueel toegestane varianten mag elke inschrijver slechts één enkele offerte per opdracht indienen. De offerte moet bij de aanbestedende overheid toekomen vóór de uiterste datum voor de ontvangst van de offertes. Door de indiening van zijn offerte langs elektronische weg aanvaardt de inschrijver dat de gegevens, gegenereerd door het systeem voor ontvangst, worden geregistreerd (artikel 81 quinquies van het KB van 8 januari 1996). Er dient opgemerkt dat de ondertekening op elektronische wijze moet gebeuren. Een gescande handgeschreven ondertekening wordt niet als een aanvaardbare ondertekening beschouwd. Zo nodig moeten de gevraagde attesten worden gescand om ze bij de offerte te voegen. U vindt meer informatie op de volgende website: http://www.publicprocurement.be of via de helpdesk e-procurement :  

FR: Liza Torossian, 02 790 52 66, [email protected] NL: Peter Christiaens, 02 790 52 58, [email protected]


Als een inschrijver een reeds verzonden offerte wil wijzigen of intrekken: Dit moet gebeuren volgens de bepalingen in artikel 105 van het KB van 8 januari 1996. De wijziging of de intrekking van een reeds ingediende offerte kan geschieden op een elektronische wijze die voldoet aan artikel 81 ter van het KB van 8 januari 1996 of op papier. Om een reeds ingediende offerte te wijzigen of in te trekken, is een schriftelijke verklaring noodzakelijk. Deze moet worden ondertekend door de inschrijver of zijn gevolmachtigde. Het voorwerp en de reikwijdte van de wijzigingen moeten, op straffe van nietigverklaring van de offerte, nauwkeurig worden vermeld. De intrekking moet onvoorwaardelijk zijn. De intrekking mag ook via telegram of fax worden gecommuniceerd, voor zover deze toekomt in de handen van de voorzitter van de zitting voor de opening van de offertes, vóór deze de zitting voor geopend verklaart.

I.16 Opening van de offertes De openbare zitting voor de opening van de elektronische offertes zal plaatsvinden op 9 september 2011 om 10 uur op het volgende adres: FOD Financiën

North Galaxy Koning Albert II-laan 33 1030 Brussel C5. Kleine zaal.

I.17 Procedure voor gunning van de opdracht I.17.1 Kwalitatieve selectiecriteria Administratieve vereenvoudiging Door eenvoudig deel te nemen aan de procedure tot gunning van een overheidsopdracht verklaart de inschrijver dat hij zich niet in een van de uitsluitinggevallen bevindt als bedoeld in de artikelen 17, 43 en 69 van het koninklijk besluit van 8 januari 1996 betreffende de overheidsopdrachten voor aanneming van werken, leveringen en diensten, en de concessies voor openbare werken. De aanbestedende overheid onderzoekt de juistheid van de impliciete verklaring op erewoord in hoofde van de inschrijver wiens offerte als beste gerangschikt is. Daartoe vraagt zij de betrokken inschrijver via de snelste middelen en binnen de termijn die zij aanduidt, de inlichtingen of documenten te leveren die toelaten zijn persoonlijke toestand na te gaan, en dat vóór elke beslissing over de toewijzing van de opdracht. Deze inlichtingen zullen echter door de aanbestedende overheid zelf via elektronische middelen bij de gegevensbeheerders worden opgevraagd, indien deze via deze middelen kosteloos toegankelijk zijn. Een inschrijver kan van de deelname aan een opdracht worden uitgesloten indien bij dit nazicht zou blijken dat de verklaring op erewoord niet overeenstemt met zijn persoonlijke toestand op de uiterste datum voor de ontvangst van de aanvragen tot deelneming bij beperkte procedure of onderhandelingsprocedure met bekendmaking of op de uiterste datum voor de ontvangst van de offertes bij open procedure. Een regularisatie a posteriori is hoe dan ook onmogelijk. Een dergelijke uitsluiting is eveneens mogelijk indien tijdens 17 FOD Financiën – Veiligheidsplatform en antivirus

het verloop van de procedure zou blijken dat de persoonlijke toestand van de kandidaat of van de inschrijver niet meer in overeenstemming is met de verklaring op erewoord. In deze beide hypothesen maakt de aanbestedende overheid een gecorrigeerde rangschikking op, rekening houdend met de mogelijke weerslag van het verwijderen van de aanvraag tot deelneming of de offerte van de uitgesloten kandidaat of inschrijver, met name ingeval van toepassing van de bepalingen betreffende het natrekken van abnormale prijzen van artikel 110, § 4, van het koninklijk besluit van 8 januari 1996. De aanbestedende overheid zal de opdracht vervolgens kunnen toewijzen aan de inschrijver wiens offerte onmiddellijk na deze van de uitgesloten inschrijver is gerangschikt, na ten aanzien van hem eveneens deze bepalingen te hebben toegepast.


I.17.1.1 Criteria van uitsluiting Eerste uitsluitingscriterium §.1.

§ 2.

§.3.

De Belgische inschrijver die personeel in dienst heeft dat is onderworpen aan de wet van 27 juni 1969 tot herziening van het wetsbesluit van 28 december 1944 betreffende de sociale zekerheid van de werknemers, moet vóór de limietdatum voor de ontvangst van de offertes in regel zijn met de bijdragen in het kader van de sociale zekerheid. De aanbestedende overheid zal die informatie rechtstreeks opvragen via het elektronisch loket. Is in regel met de toepassing van onderhavig artikel, de inschrijver die volgens de stand van zaken uiterlijk op de dag vóór de limietdatum voor de ontvangst van de offertes: 1° aan de Rijksdienst voor Sociale Zekerheid alle vereiste aangiften heeft overgemaakt tot en met de aangiften betreffende het voorlaatste trimester dat is verstreken ten opzichte van de limietdatum voor de ontvangst van de offertes en 2° voor de bedoelde aangiften geen achterstallige bijdragen voor een bedrag van meer dan 2.500 EUR is verschuldigd, tenzij hij voor de bewuste schulden betalingstermijnen heeft verkregen die hij strikt naleeft. Maar ook al ligt het achterstallige bedrag aan bijdragen hoger dan 2.500 EUR, toch zal de inschrijver als zijnde in regel worden beschouwd indien hij vóór de beslissing om de opdracht toe te wijzen, kan aantonen dat hij op de dag waarop het attest zijn situatie vaststelt, tegenover een aanbestedende overheid in de zin van artikel 4, §1 en § 2, 1° tot en met 8° en 10° van de wet, of tegenover een publieke onderneming in de zin van artikel 26 van dezelfde wet, één of meer gegarandeerde, invorderbare schuldvorderingen bezit die vrij zijn van elke verbintenis tegenover derden, en dit voor een bedrag dat, op 2.500 EUR na, minstens gelijk is aan het bedrag waarvoor hij te laat is met de betaling van zijn bijdragen. De buitenlandse inschrijver moet volgende zaken bij zijn offerte voegen of aan de aanbestedende overheid overleggen vóór de limietdatum voor de ontvangst van de offertes: 1° een attest, afgegeven door de bevoegde overheid, dat bevestigt dat hij volgens de stand van zaken uiterlijk op de dag vóór de limietdatum voor de ontvangst van de offertes, op die datum in regel is met zijn verplichtingen aangaande de betaling van de bijdragen voor de sociale zekerheid volgens de wettelijke bepalingen van het land waar hij is gevestigd. Wanneer een dergelijk document niet wordt afgegeven in het betrokken land, kan het worden vervangen door een verklaring onder ede of door een plechtige verklaring die door de geïnteresseerde partij is afgelegd voor een gerechtelijke of administratieve autoriteit, een notaris of een gekwalificeerde professionele instelling van het bewuste land; 2° een attest in overeenstemming met § 1, indien hij personeel in dienst heeft dat is onderworpen aan de wet van 27 juni 1969 tot herziening van het wetsbesluit van 28 december 1944 betreffende de sociale zekerheid van de werknemers. De aanbestedende overheid kan in eender welk stadium van de procedure en via alle middelen die ze nuttig acht informeren naar de situatie van elke inschrijver inzake de betaling van de bijdragen voor de sociale zekerheid.

Tweede uitsluitingscriterium De inschrijver mag zich niet in een van de volgende situaties bevinden: 1. zich bevinden in een staat van faillissement of vereffening, zijn activiteiten hebben stopgezet of een gerechtelijk akkoord hebben bekomen, of zich bevinden in elke andere vergelijkbare situatie die het resultaat is van een soortgelijke procedure die in de nationale weten regelgeving voorkomt;


2. een faillissements verklaring hebben ingediend, een vereffeningprocedure hebben opgestart of een gerechtelijk akkoord hebben aangevraagd of een soortgelijke procedure hebben lopen die in de nationale weten regelgeving voorkomt. Voor de Belgische inschrijvers zal de aanbestedende overheid die informatie rechtstreeks opvragen via het elektronisch loket. Voor buitenlandse inschrijvers moet het attest afkomstig zijn van de bevoegde administratieve instelling van het betrokken land; bij gebrek daaraan moet de inschrijver een verklaring op erewoord verstrekken, gecertificeerd door een notaris of door een gerechtelijke of administratieve autoriteit. Derde uitsluitingscriterium De inschrijver moet zijn verplichtingen inzake de directe belastingen en de btw zijn nagekomen. De Belgische inschrijver moet bij zijn offerte een recent (maximaal 6 maanden oud, gerekend vanaf de datum van de opening van de offertes) attest 276C2 van de Administratie der Directe Belastingen voegen, en een recent (maximaal 6 maanden oud, gerekend vanaf de datum van de opening van de offertes) attest van de btw-administratie waaronder hij valt, waaruit blijkt dat hij zijn verplichtingen tegenover voornoemde administraties is nagekomen. De buitenlandse inschrijver moet bij zijn offerte een of meer recente attesten voegen (maximaal 6 maanden oud, gerekend vanaf de datum van de opening van de offertes) van de administratie(s) die in zijn land bevoegd is/zijn voor de inning van de directe belastingen en de btw (of de taksen die in zijn land de btw vervangen), waaruit blijkt dat hij zijn verplichtingen tegenover voornoemde administratie(s) is nagekomen. Indien dergelijk(e) attest(en) niet wordt/worden afgegeven in zijn land, is het voldoende dat hij een verklaring op erewoord bijvoegt, gecertificeerd door een notaris of door een gerechtelijke of administratieve autoriteit van zijn land. Vierde uitsluitingscriterium In welk stadium dan ook van de procedure wordt uitgesloten van toegang tot deze opdracht, die dienstverlener die bij een vonnis dat in kracht van gewijsde is gegaan, veroordeeld is geweest voor het volgende, en waarvan de aanbestedende overheid kennis heeft: 1. deelneming aan een criminele organisatie zoals gedefinieerd in artikel 324bis van het Strafwetboek; 2. omkoping zoals gedefinieerd in artikel 246 van het Strafwetboek; 3. fraude in de zin van artikel 1 van de Overeenkomst aangaande de bescherming van de financiële belangen van de Europese Gemeenschappen, goedgekeurd bij de wet van 17 februari 2002; 4. het witwassen van geld zoals gedefinieerd in artikel 3 van de wet van 11 januari 1993 tot voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld en de financiering van terrorisme. Met het oog op de toepassing van onderhavige paragraaf kan de aanbestedende overheid, indien zij de persoonlijke situatie van een dienstverlener in vraag stelt, zich richten tot de bevoegde autoriteiten in België of in het buitenland om die informatie te bekomen die zij hiertoe noodzakelijk acht. Vijfde uitsluitingcriterium De niet-naleving van de milieu- en de sociale wetgeving, die het voorwerp is geweest van een definitieve uitspraak of een beslissing met een gelijkaardig gevolg, kan worden beschouwd als een schending van de professionele gedragsregels door de betrokken economische operator, of als een zware fout die aanleiding kan geven tot de uitsluiting van de inschrijving op de aanbesteding van de betrokken actor. Ref.: art. 53 en 54 van de richtlijn 2004/17/CE en art. 45 van de richtlijn 2004/18/CE


I.17.1.2 Selectiecriterium met betrekking tot de economische en financiële middelen van de inschrijver De inschrijver voorziet het bewijs van zijn economische en financiële capaciteit door middel van zijn omzet voor de activiteiten waarop de opdracht betrekking heeft en die werden gerealiseerd in de loop van de drie laatste boekjaren. De financiële capaciteit moet minstens 50% van het totaalbedrag van de offerte van de inschrjiver bedragen om te worden geselecteerd.

I.17.1.3 Criteria van technische capaciteit

Eerste criterium inzake de technische capaciteit van de inschrijver. De inschrijver moet het bewijs leveren van de realisatie van minstens twee gelijkwaardige projecten, voor een vergelijkbaar aantal interne gebruikers (projecten, uitgevoerd binnen de onderneming van de inschrijver of binnen de onderneming(en) van de onderaannemer(s) worden niet in aanmerking genomen voor dit criterium). Hiertoe voorziet hij een lijst van de belangrijkste opdrachten, voltooid in de loop van de drie laatste jaren. Hij voorziet tevens een lijst met gelijkaardige projecten die hij in dezelfde periode heeft gerealiseerd, naast de openbare en privé-instanties voor deze projecten werden gerealiseerd. Indien het om diensten aan publieke overheden gaat, wordt het bewijs geleverd door certificaten die zijn uitgeschreven of ondertekend door de bevoegde overheid. Indien het om services aan privé-personen gaat, wordt het bewijs geleverd door certificaten, afkomstig van deze personen. Bij gebrek daaraan kan de inschrijver zijn prestaties zelf voor uitgevoerd verklaren. De inschrijver moet de datum, het totaalbedrag van de opdracht en de gegevens van een contactpersoon binnen de betrokken onderneming of organisatie voorzien. Het gebruik van het model “referentiemodel” (zie addenda aan het bestek: referentiemodel) is vereist voor de presentatie van de referenties. Tweede criterium inzake de technische capaciteit van de inschrijver. De inschrijver moet vermelden hoe hij de kwaliteit van zijn diensten en zijn producten garandeert. Hij moet zijn beheerssysteem beschrijven voor het beheren van zijn processen en zijn activiteiten om te voldoen aan de eisen van zijn klanten en zich te houden aan de geldende reglementen. De inschrijver moet preciseren in welke mate de voorgestelde systemen in overeenstemming zijn met de aanbevelingen « Common Criteria » - zie de site : http://www.commoncriteriaportal.org/ Wat betreft de services, moet de inschrijver zijn certificatieniveaus op het vlak van beveiliging preciseren. Bovendien is een ISO 9001-certificatie (of gelijkwaardig) vereist vanwege de dienstverlener. Indien er een beroep wordt gedaan op onderaanneming, wenst de FOD Financiën dat de onderaannemers eveneens een ISO 9001-certificatie (of gelijkwaardig) bezitten.


I.17.2 Regelmatigheid van de offertes De offertes van de kandidaten zullen onderzocht worden op het vlak van hun regelmatigheid overeenkomstig artikelen 89 en volgende van het Koninklijk besluit van 8 januari 1996 en de bepalingen in dit bijzonder bestek. De onregelmatige offertes zullen worden uitgesloten. Elk voorstel zal worden onderzocht om zich ervan te vergewissen of het strookt met de vooropgestelde behoeften. Indien wordt vastgesteld dat aan een opgegeven behoefte niet wordt voldaan, zal de offerte onregelmatig worden verklaard. De in de offerte van de inschrijver voorgestelde oplossing moet voldoen aan de vooropgestelde technische behoeften, welke in dit bestek terug te vinden zijn. Elk financieel of prijsvoorstel dat onvolledig is, tegenstrijdigheden of belangrijke onjuistheden bevat, of dat niet voldoet aan de vereisten qua prijsvoorstellen zoals in dit bestek bepaald, kan onregelmatig worden verklaard. Alleen de regelmatig bevonden offertes zullen in aanmerking worden genomen om aan de gunningcriteria te worden getoetst.

I.17.3 Gunningscriteria De keuze van de meest voordelige offerte zal door de FOD Financiën gemaakt worden op basis van de gegevens en de inlichtingen die door de inschrijver bij de offerte worden gevoegd, en op basis van de hierna beschreven criteria. De gunning zal gebeuren op basis van de meest interessante regelmatige offerte, rekening houdend met de criteria hieronder. De inschrijver moet bij zijn offerte alle inlichtingen voegen die nodig zijn voor de evaluatie van zijn offerte in het licht van de gunningscriteria en hun eventuele subcriteria, zoals hierna gedetailleerd. Alle criteria (en alle eventuele subcriteria) krijgen een wegingscoëfficiënt waarmee de bekomen score zal worden vermenigvuldigd. De hierna vermelde criteria zijn de enige die zullen worden gehanteerd om de keuze tussen de offertes te maken.


I.17.3.1 Lot 1 : Veiligheidsplatform. De gunning zal gebeuren volgens de onderstaande tabel met criteria. 1.Prijs 2.Voorgestelde architectuur/Infrastructuur

3.Services voor monitoring, beheer, assistentie en onderhoud

4.Invoering van de oplossing

Volgens de volgende subcriteria Algehele architectuur Kwaliteit van de voorgestelde producten Beschikbaarheid van de voorgestelde oplossing Prestatieniveau van de voorgestelde oplossing Globaal beheersgemak /auditmogelijkheden Volgens de volgende subcriteria Respect voor de vertrouwelijkheid van de gegevens Proactiviteit Services voor helpdesk, assistentie en opleiding Services voor onderhoud en SLA Evolutie van de oplossing inzake het aspect services Volgens de volgende subcriteria Definitie van de « Security Policy » Installatie van de oplossing

5. Duidelijkheid en kwaliteit van de offerte

40% 25% 5% 5% 5% 5% 5% 22%

5%

5% 5% 5% 2% 10% 5% 5% 3%

Op straffe van uitsluiting moet de inschrijver minstens 60% behalen voor elk van de hoofdcriteria 2 - 3 - 4. De globale architectuur zal worden geëvalueerd volgens de manier waarop de inschrijver de verschillende systemen onderling organiseert. Het gebruik van technologieën die ten opzichte van elkaar geschikt zijn (bijvoorbeeld de 2 firewall-lagen van verschillende technologieën, het oordeelkundig gebruik van virtualisatie om een maximale veiligheid te bieden...). De kwaliteit van de voorgestelde producten zal worden geëvalueerd ten opzichte van hun EALcriteria of respectievelijke equivalenten, alsook de functionaliteiten van elk product. De beschikbaarheid van de oplossing zal worden geëvalueerd volgens het redundante karakter van de oplossing, haar capaciteit om de verschillende services te verzekeren ondanks pannes. Het prestatieniveau van de oplossing zal worden geëvalueerd volgens de capaciteit van de oplossing om de vereiste prestaties voor de verschillende services te leveren; de gevraagde prestaties staan beschreven in het document. Het globale beheersgemak/controleerbaarheid houdt rekening met de manier waarop de verschillende systemen toegankelijk zijn voor de verantwoordelijken van de FOD Financiën, om een beeld te krijgen van de status en de configuratie van de apparatuur. De installatie van de oplossing omvat de plaatsing in de lokalen van de FOD Financiën én de migratie van de verschillende services. 23 FOD Financiën – Veiligheidsplatform en antivirus

Het subcriterium proactiviteit zal rekening houden met de voorstellen van de inschrijver met betrekking tot mechanismen om het hoofd te bieden aan veiligheids- of prestatieproblemen (updating in het algemeen, analyse van logs, correlaties tussen logs, enz.). De evolutie van de oplossing wat betreft het aspect services zal het evolutiepotentieel van de oplossing evalueren vanuit het standpunt van de prestaties, de uitbreiding van het aantal gebruikers en het aspect van de bijkomende functionaliteiten.

I.17.3.2 Lot 2 : Antivirus workstations en servers De offerte zal worden beoordeeld aan de hand van de volgende criteria in functie van hun respectievelijk gewicht : 1. De prijs 2. De prestaties, de technische kwaliteit en de mogelijkheden van de antivirussoftware * 3.De technische kwaliteit en de mogelijkheden van het programma voor een centraal antivirusbeheer 4.De technische waarde van de voorgestelde services 5.De kwaliteit en de mogelijkheden voor reporting door de beheerder 6. De SLA (Service Level Agreement) en de voorgestelde boetes ** 7.De duidelijkheid en de kwaliteit van de offerte

40% 25%

10%

10% 7%

5%

3%

* in the wild on demand, zoo on demand, er zal ook een snelheidstest worden uitgevoerd, test met gearchiveerde en gecomprimeerde bestanden, test met bestanden in Office-formaat **Elementen van de SLA, meting van de SLA, voorgestelde boetes De inschrijvers zullen worden verzocht om een demonstratie uit te voeren. Deze uitnodiging loopt niet vooruit op de regelmatigheid van de offerte die nog steeds kan worden onderzocht. Deze uitnodiging biedt de inschrijver de kans om zijn offerte te presenteren vanuit praktisch oogpunt; alleen de offerte zal worden gebruikt om een keuze te maken. Om in goede orde te worden gerangschikt voor de gunning van de opdracht, moet de inschrijver minstens 60% van de punten behalen voor elke van de belangrijkste gunningscriteria, te weten de criteria 2, 3, 4, 5.


II. Contractuele bepalingen Dit tweede gedeelte legt de procedure vast met betrekking tot de uitvoering van de opdracht. Voor zover er niet van wordt afgeweken, zijn het koninklijk besluit van 26 september 1996 en zijn latere aanpassingen tot bepaling van de algemene uitvoeringsregels voor overheidsopdrachten van werken, leveringen en diensten, en voor concessies van openbare werken, van toepassing, net zoals de bepalingen van de bijlage bij dit koninklijk besluit met betrekking tot de algemene aannemingsvoorwaarden en haar latere aanpassingen.

II.1 Kennisgeving van de gunning van de opdracht Overeenkomstig artikel 65/8 van de wet van 23 december 2009 (invoeging van een nieuw boek betreffende de motivering, de informatie en de rechtsmiddelen in de wet van 24 december 1993 betreffende de overheidsopdrachten en sommige opdrachten voor aanneming van werken, leveringen en diensten), communiceert de aanbestedende instantie, onmiddellijk na het nemen van de gunningsbeslissing:

Uittreksel van §1 : 1° aan elke niet-geselecteerde inschrijver, de motieven voor zijn niet-selectie, in de vorm van een uittreksel van de gemotiveerde beslissing; 2° aan elke inschrijver van wie de offerte onregelmatig is bevonden, de motieven voor de wering, in de vorm van een uittreksel van de gemotiveerde beslissing; 3° aan elke inschrijver van wie de offerte niet is gekozen en aan de gekozen inschrijver, de gemotiveerde beslissing. De in het eerste lid bedoelde kennisgeving omvat in voorkomend geval eveneens : 1° de nauwkeurige vermelding van de exacte duur van de termijn bedoeld in artikel 65/11, eerste lid; 2° de aanbeveling om de aanbestedende instantie binnen diezelfde termijn per telefax, e-mail of een ander elektronisch middel te verwittigen indien de belanghebbende een vordering tot schorsing indient overeenkomstig artikel 65/11; 3° het telefaxnummer of het elektronisch adres waarnaar de in artikel 65/11, derde lid, bedoelde verwittiging kan worden verzonden. De aanbestedende instantie doet deze kennisgeving onverwijld per telefax of e-mail of een ander elektronisch middel, alsook, dezelfde dag, bij aangetekende brief.

§ 2. De in § 1 bedoelde kennisgeving doet geen enkele contractuele verbintenis ontstaan ten aanzien van de gekozen inschrijver en schorst de termijn tijdens dewelke de inschrijvers gebonden blijven door hun offerte, voor zover een dergelijke termijn en artikel 65/11 toepasselijk zijn. Voor alle voor die opdracht ingediende offertes eindigt de schorsing van de bedoelde termijn : 1° indien geen vordering tot schorsing is ingesteld als bedoeld in artikel 65/11, tweede lid, de laatste dag van de termijn bedoeld in artikel 65/11, eerste lid; 25 FOD Financiën – Veiligheidsplatform en antivirus

2° indien een vordering tot schorsing is ingesteld als bedoeld in artikel 65/11, tweede lid, de dag waarop de in artikel 65/15 bedoelde verhaalinstantie een beslissing heeft genomen; 3° in elk geval ten laatste vijfenveertig dagen na de in paragraaf 1 bedoelde kennisgeving.

Bepaalde inlichtingen mogen niet gecommuniceerd worden wanneer hun verspreiding de toepassing van de wet in de weg staat, ingaat tegen het openbare nut, schade berokkent aan de gewettigde commerciële belangen van openbare of privé-ondernemingen of een eerlijke concurrentie tussen bedrijven onmogelijk maakt.

II.2 De bestelbon en zijn modaliteiten De bestelbon is gericht aan de aannemer en dit ofwel via een aangetekend schrijven, ofwel per fax, ofwel via elk ander medium waarmee de verzenddatum op zekere wijze kan worden vastgesteld. De daaruit volgende briefwisseling met betrekking tot de bestelbon (en de uitvoering van de services) volgt dezelfde regels als de regels, voorzien voor de verzending van de bestelbon, telkens een partij voor zichzelf het bewijs van haar interventie wenst te regelen. In het geval van ontvangst van de bestelbon na een termijn van twee werkdagen, mag de leveringstermijn worden verlengd naarmate de vastgestelde vertraging voor de ontvangst van de bestelbon, en dit na een schriftelijk en gerechtvaardigd verzoek vanwege de aannemer. Als de bestellende dienst na onderzoek van de schriftelijke vraag van de aannemer meent dat deze gerechtigd of deels gerechtigd is, communiceert de dienst de aannemer schriftelijk welke verlenging van de termijn wordt geaccepteerd. Indien de bestelbon overduidelijk foutief of onvolledig is opgemaakt en indien dit de uitvoering van de bestelling verhindert, brengt de aannemer de bestellende dienst onmiddellijk schriftelijk op de hoogte zodat er een oplossing wordt gevonden die een normale uitvoering van de bestelling mogelijk maakt. Indien nodig vraagt de aannemer een verlenging van de termijn voor de uitvoering van de services onder dezelfde voorwaarden als degene die zijn voorzien in het geval van een laattijdige ontvangst van de bestelbon. Klachten in verband met de bestelbon zijn in elk geval niet langer ontvankelijk indien ze niet werden ingediend binnen < aantal dagen, minstens 15 > kalenderdagen, te rekenen vanaf de eerste dag die volgt op de dag waarop de aannemer de bestelbon heeft ontvangen.

II.3 Leidinggevende ambtenaar De leidinggevende ambtenaar is belast met de controle over de uitvoering van de opdracht. Naam: Louis Collet Functie: Directeur Stafdienst ICT Telefoon : 0257/6.41.92 In dienst bij: Stafdienst ICT Adres: Koning Albert II-laan 33 bus 95 in 1030 Brussel De leidinggevende ambtenaar is als enige bevoegd om wijzingen aan de opdracht aan te brengen in de loop van de uitvoering. 26 FOD Financiën – Veiligheidsplatform en antivirus

II.4 Borgstelling De borgstelling is bepaald op 5 % van het totaalbedrag, exclusief BTW, van de opdracht. Het aldus bekomen bedrag wordt naar boven afgerond tot een tiende van een euro.

De borgsom kan worden samengesteld in overeenstemming met de wettelijke en reglementaire beschikkingen, hetzij in klinkende munt, hetzij in staatsfondsen, hetzij in de vorm van een collectieve borgstelling. De borgsom kan eveneens worden samengesteld door middel van een garantie, die wordt toegekend door een kredietinstelling, die voldoet aan de voorschriften van de wet van 22 maart 1993 betreffende het statuut van en de controle op kredietinstellingen, of door een verzekeringsonderneming die voldoet aan de voorschriften van de wet van 9 juli 1975 betreffende de controle op verzekeringsondernemingen, en die is erkend voor sectie 15 (borg). De aannemer moet binnen dertig kalenderdagen, volgend op de dag van de afsluiting van het contract, het bewijs aanleveren van de samenstelling van de borgsom door hemzelf of door een derde, en dit op één van de volgende manieren:

1° wanneer het gaat om een borg in speciën, middels de overschrijving van het bedrag op de postchequerekening van de Deposito- en Consignatiekas (postchequerekening nr. 679-2004099-79) of van een openbare instelling die een gelijkaardige functie vervult als die van de voornoemde Kas, hierna genoemd openbare instelling die een gelijkaardige functie vervult ; 2° wanneer het gaat om een borg in staatsfondsen, via een deposito van de borg in handen van de kassier van de Staat in de zetel van de Nationale Bank in Brussel of in één van de provinciale agentschappen ervan, voor rekening van de Deposito- en Consignatiekas, of van een openbare instelling die een gelijkaardige functie vervult; 3° wanneer het gaat om een collectieve borgstelling, via een deposito door een onderneming die deze activiteit wettelijk uitoefent, van een akte van solidaire borgstelling bij de Deposito- en Consignatiekas of bij een openbare instelling die een gelijkaardige functie vervult; 4° wanneer het gaat om een garantie, via de akte van verbintenis van de kredietinstelling of de verzekeringsonderneming.

Deze bewijsstukken worden, al naargelang het geval, aan de aanbestedende overheid geleverd via: 1° hetzij het ontvangstbewijs van het deposito van de Deposito- en Consignatiekas of een openbare instelling die een gelijkaardige functie vervult; 2° hetzij een bericht van debet, overhandigd door de kredietinstelling of de verzekeringsonderneming; 3° hetzij het bewijs van deposito, afgeleverd door de kassier van de Staat of door een openbare instelling die een gelijkaardige functie vervult; 4° hetzij het origineel van de akte van solidaire borgstelling, goedgekeurd door de Deposito- en Consignatiekas of door een openbare instelling die een gelijkaardige functie vervult; 5° hetzij het origineel van de akte van verbintenis, opgesteld door de kredietinstelling of de verzekeringsonderneming die de garantie verstrekt. Deze documenten, ondertekend door de depositogever, tonen aan ten gunste van wie de borgstelling is gevormd, en verduidelijken de precieze aanwending ervan middels een beknopte aanduiding van het voorwerp van de opdracht en van de referentie aan het bijzondere lastenboek, alsook de naam, de voornaam en het volledige adres van de 27 FOD Financiën – Veiligheidsplatform en antivirus

aannemer en eventueel van de derde die het deposito heeft verricht voor zijn rekening, met de vermelding “geldschieter” of “gevolmachtigde”, al naargelang het geval. Indien het bewijs van de borg niet werd geleverd binnen de gestelde termijn, zal er een boete worden toegepast. De afwezigheid van een borgstelling kan leiden tot de verbreking van het contract. De termijn van dertig kalenderdagen die eerder werd vermeld, wordt opgeschort tijdens de sluiting van de onderneming van de aannemer tijdens de jaarlijkse betaalde vakantieperiode en op compensatiedagen die wettelijk zijn voorzien of die verplicht werden gesteld in een collectieve arbeidsovereenkomst. Het bewijs voor de samenstelling van de borgsom moet worden verzonden naar het volgende adres: FOD Financiën Stafdienst B&BC Afdeling Contracten Koning Albert II-laan 33, bus 785 1030 Brussel De borgsom kan worden vrijgemaakt op verzoek van de aannemer, en dit voor 80% na de voorlopige oplevering van de uitrusting en voor de resterende 20% na het verstrijken van de garantieperiode.

II.5 Leverbare aard van het voorgestelde systeem De eventuele apparatuur, de systeemsoftware (behalve de stukken die specifiek worden ontwikkeld in de loop van het project) en de toepassingsprogramma’s die worden voorgesteld, moeten officieel verkrijgbaar en leverbaar zijn bij de indiening van de offerte. Hun eventuele onderhoud moet eveneens beschikbaar zijn (het mag derhalve niet gaan om β-versies van de software, pre-releases, enz. …).

II.6 Uitvoering van de opdracht II.6.1 Clausule van technologische evolutie Indien, vóór het verstrijken van de leveringstermijn, een technologische evolutie leidt tot software/hardware die meer geavanceerd is op het vlak van prestatieniveau of functionaliteiten dan wat wordt voorgesteld in de offerte, en dit zonder prijsverhoging, is de aannemer verplicht om de aanbestedende overheid op de hoogte te brengen en de vervanging voor te stellen. De aanbestedende overheid is vrij om het voorstel te aanvaarden of te weigeren.

II.6.2 Uitvoeringstermijnen en planning De inschrijver moet bij zijn offerte een uitvoeringskalender voegen, rekening houdend met de maximale duur van het contract. Deze kalender moet worden gepresenteerd in de vorm van GANTT-tabellen.


Specifiek voor lot 1 : Veiligheidsplatform: de inschrijver moet in het bijzonder rekening houden met de maximale termijn van 6 maanden om de migratie uit te voeren vanaf de kick-off. Specifiek voor lot 2 : Antivirus workstations en servers : de inschrijver moet in het bijzonder rekening houden met de maximale termijn van 9 maanden om de migratie uit te voeren vanaf de kick-off.

II.6.3 « KICK-OFF »-meeting Binnen een termijn van maximaal één kalendermaand na de kennisgeving van de opdracht moeten de aannemer en de Federale Overheidsdienst/de Administratie verplicht hun eerste vergadering van de stuurgroep, KICK-OFF-vergadering genaamd, houden. In deze eerste vergadering kan men de respectievelijke ploegen met hun samenstelling en hun competenties voorstellen, de kalender van de vergaderingen en van de stuurgroep regelen, de planning van de realisatie van de opdracht definiëren, de principes van de SLA uiteenzetten, …

II.6.4 Stuurcomité (Steering Committee) Het stuurcomité omvat, enerzijds, de verantwoordelijke voor het project bij de aannemer, samen met de verschillende volgens de vooruitgang van het project erbij betrokken personen, en anderzijds de Cel voor de begeleiding van het project die de Administratie vertegenwoordigt. De Cel voor begeleiding is de enige instantie waaraan de aannemer rekenschap moet afleggen; zij laat zich bijstaan door een intern Comité voor opvolging. Het stuurcomité staat in voor de contractuele, administratieve en technische aspecten van de uitvoering van de opdracht (levering, opleveringen, garantie, naleving SLA, vooruitgang van het project, kwaliteit van de uitvoeringen...). Het vormt de zetel van de rapportering.

II.6.5 Reporting Periodiek, en wel volgens een kalender die in gezamenlijk overleg wordt bepaald tijdens de « kickoff »-vergadering, zal de aannemer een compleet verslag opmaken voor de stuurgroep (steering committee) over de vooruitgang van het project (status van elke realisatiefase) en over eventuele problemen met voorgestelde oplossingen.

II.6.6 Plaats voor uitvoering van de opdracht en bijzonderheden II.6.6.1 De uitvoering van de services Met het oog op een optimale samenwerking met de personeelsleden van de FOD Financiën, moet het personeel van de aannemer dat prestaties verzorgt binnen de gebouwen van de FOD Financiën, zoveel mogelijk hetzelfde werkschema aanhouden als de collega’s van Financiën. Onder “normale kantooruren” worden verstaan alle werkdagen van maandag tot vrijdag, van 07u30 tot 18u00, volgens de variabele uurregeling die bij de FOD Financiën van kracht is. De data van 2 november, 15 november en de periode tussen kerst en nieuw worden net als de eerste werkdag van het jaar door de FOD Financiën beschouwd als feestdagen. Er worden ook verplichte "bruggen" voorzien die elk jaar zullen worden meegedeeld.


II.6.6.2 Leveringen II.6.6.2.1 Leveringen en installatie De aannemer moet aan de FOD Financiën alle noodzakelijke inlichtingen en faciliteiten verstrekken met het oog op de controle van de voorbereiding en de uitvoering van de leveringen. Er kan geen enkele levering geschieden zonder dat de geadresseerde dienst minstens vier werkdagen vóór de datum van verzending van de goederen of van installatie van de software schriftelijk op de hoogte werd gebracht, behoudens tegenbericht van de aanbestedende overheid. De uitrustingen (software) zullen door de aannemer worden geleverd en geïnstalleerd in overeenstemming met een gedetailleerde kalender die in gezamenlijk overleg te bepalen is na de kennisgeving van de gunning van de opdracht. De lokalen voor de installatie zullen door de FOD Financiën worden klaargemaakt in overeenstemming met de voorschriften die staan beschreven in de offerte die door de aannemer wordt overhandigd.

II.6.6.2.2 Technische specificaties De leveringen en services moeten in alle opzichten overeenstemmen met de plannen, documenten en thema’s die van toepassing zijn op deze opdracht. Zelfs bij gebrek aan een contractuele technische specificatie moeten de leveringen en services voldoen aan alle vereisten en regels van een goede uitvoering.

II.6.6.2.3 Verpakkingen De eventuele verpakkingen blijven de eigendom van de aannemer en worden door hem weggehaald binnen tien kalenderdagen, te rekenen vanaf de leveringsdatum. Na die termijn heeft de FOD Financiën het recht om de verpakking terug te sturen op kosten van de aannemer. Het materiaal zal worden uitgepakt in de lokalen die door de bestemmeling worden aangewezen en volgens diens instructies.

II.6.7 Personeel van de aannemer 1

Voor deze opdracht moet de aannemer een projectleider aanstellen (in het kader van PMfin ook omschreven als de « externe projectcoördinator ») die hem zal vertegenwoordigen in zijn contacten met de FOD Financiën. Het personeel van de aannemer dat zal worden ingezet om de opdracht te realiseren, moet:  over de nodige ervaring beschikken in het kader van de voorgestelde oplossing of vergelijkbare oplossingen;  in staat zijn om alle noodzakelijke teksten, verslagen, samenvattingen, enz. te begrijpen die worden gebruikt of geproduceerd door beide partijen in het kader van onderhavige opdracht, en dit zowel in het Nederlands als in het Frans; over voldoende mondelinge en schriftelijke kennis beschikken om te kunnen communiceren in het Nederlands of in het Frans, en indien mogelijk door elkaar in beide talen;  de projectleider moet in staat zijn om mondeling zowel in het Frans als in het Nederlands te communiceren. De dienst voor assistentie en technische ondersteuning moet bovendien vlot kunnen communiceren in beide talen.

1

Een unieke projectmethodologie binnen de FOD Financiën, die is gebaseerd op de internationaal erkende methode Prince2


Het personeel van de aannemer moet voldoen aan alle wettelijke beschikkingen die in België van kracht zijn inzake immigratie en werkvergunningen. De aannemer zal de FOD Financiën vrijwaren voor alle schade in het algemeen die de FOD Financiën zou kunnen ondervinden ten gevolge van het niet respecteren door de aannemer of zijn personeelsleden van de wettelijke bepalingen terzake.

De aannemer moet beschikken over voldoende personeelsleden die de nodige en juiste kennis bezitten voor de uitvoering van de taken. De betrokken personeelsleden moeten eveneens beschikken over voldoende kennis inzake de instrumenten die in het kader van het project worden gebruikt. De aannemers moeten in staat zijn onmiddellijk om tegemoet te komen aan de behoeften die zullen ontstaan ingevolge de gunning van de opdracht. Het projectteam dat door de aannemer ter beschikking wordt gesteld, moet toereikend zijn met het oog op een voortreffelijke uitvoering van de opdrachten die hem worden toevertrouwd.

De personeelsleden die worden ingezet voor de uitvoering van de opdracht, moeten dezelfde zijn als diegenen die in de offerte worden voorgesteld. Desgevallend zal het personeel dat ter beschikking wordt gesteld voor de uitvoering, van een evenwaardig niveau en ervaring zijn. De FOD Financiën moet akkoord gaan met de samenstelling van het team, voorgesteld voor het project. De aannemer garandeert voor de volle duur van het contract de stabiliteit van de personen die worden belast met de uitvoering van onderhavige opdracht. In de loop van de uitvoering zal de aannemer geen wijzigingen aanbrengen in de samenstelling van het projectteam zonder voorafgaandelijke toelating vanwege de FOD Financiën. De FOD Financiën kan de onmiddellijke vervanging eisen van één of meer personen van het projectteam van de aannemer indien hij meent dat hun kwalificaties of hun prestaties de goede uitvoering van de opdracht in het gedrang brengen. De verandering dient plaats te vinden binnen 10 werkdagen na het verzoek vanwege de FOD Financiën en dient kosteloos te geschieden, te rekenen vanaf de kennisgeving van het incident aan de inschrijver. De inschrijvers moeten bij hun offerte het curriculum vitae voegen (verplicht volgens het model van “curriculum vitae”) van de personen die worden belast met de uitvoering van de opdracht. De offerte moet een duidelijk voorstel bevatten aangaande de reële samenstelling van het projectteam en het type van de profielen die zullen deelnemen aan de uitvoering van de opdracht . Er kan een bepaald aantal personen worden voorgesteld per profiel, maar de inschrijver moet vermelden hoeveel en welke leden van het personeel zullen deel uitmaken van het reële projectteam. De lijst met de voorgestelde personeelsleden (effectieve teamleden en eventuele plaatsvervangers) moet worden beschouwd als een volledige lijst die alle personeelsleden omvat die in aanmerking komen om deel uit te maken van het projectteam.

II.6.8 Onderaannemers De aannemer draagt de volledige verantwoordelijkheid voor de levering van alle producten en services, beoogd in deze opdracht. Het beroep op onderaannemers ontheft de aannemer niet van zijn verantwoordelijkheden inzake de verwachte prestaties in het kader van de opdracht. In het geval van een verandering van onderaannemer ten opzichte van de offerte moet de aannemer de FOD Financiën op de hoogte brengen, die akkoord moet gaan voordat de aannemer tot de verandering mag overgaan. 31 FOD Financiën – Veiligheidsplatform en antivirus

Het feit dat de dienstverlener het geheel of een gedeelte van zijn verbintenissen toevertrouwt aan derden, ontslaat hem niet van zijn verantwoordelijkheid jegens de FOD Financiën. Deze laatste erkent geen enkele contractuele relatie met deze derden.

II.6.9 Door de FOD Financiën ter beschikking gestelde middelen II.6.9.1 Technische middelen De aannemer stelt aan zijn personeelsleden al het nodige materiaal ter beschikking het het oog op de uitvoering van hun opdracht (draagbare computer, enz.). De FOD Financiën stelt slechts een beperkt aantal lokalen ter beschikking van de aannemer. Indien deze hun aantal ontoereikend acht, moet hij gebruik maken van zijn eigen lokalen. Het personeel van de aannemer krijgt een beperkte toegang tot het netwerk van de FOD Financiën, naast een e-mailadres. De FOD Financiën beschikt niet over parkeerplaatsen voor het personeel van de aannemer. De FOD Financiën zal geen enkele aanpassing verrichten aan de werkposten van de personeelsleden van de aannemer met het oog op hun betere werking binnen de infrastructuur van de FOD. De aannemer kan in geen geval overgaan tot een wijziging, verstoring of overbelasting van de infrastructuur van de FOD via de toevoeging van werkposten voor zijn personeel in deze infrastructuur, behalve voor wat rechtstreeks is gekoppeld aan de ontwikkeling van de betrokken toepassing. De aannemer is geheel verantwoordelijk voor de bescherming van de bewuste werkposten tegen virussen en voor het beheer van de posten. Hij zal prioritair gebruik maken van de instrumenten, die door de FOD Financiën ter beschikking worden gesteld. In het geval dat er andere softwareprogramma’s zouden moeten worden gebruikt in het kader van het project, zal dat gebruik, na aanvaarding door het stuurcomité, onder de verantwoordelijkheid van de aannemer vallen en zal de kostprijs van dat gebruik vervat liggen in de prijs van de services. Het personeel van de aannemer moet de interne procedures en de reglementen betreffende het gebruik van en de toegang tot de ter beschikking gestelde middelen naleven, en kan geen toevoeging of wijziging vragen voor wat betreft de werkomgeving van de aanbestedende overheid. Als bepaalde gebreken in de logistieke ondersteuning de dienstverlening in het gedrang zouden brengen, moet er een beroep worden gedaan op de arbitragemogelijkheden die beschreven staan in het punt “Verweermiddelen van de administratie – Geschillen” vooraleer men zijn toevlucht neemt tot een rechtsgeding.

II.6.9.2 Taken van de medewerkers van de FOD Financiën De medewerkers van de FOD Financiën nemen deel aan het (de) project(en) voor wat betreft :    

de definitie van de inhoud van het/elk project ; de deelname aan de selectie van de oplossingen: architectuur, enz. ; de validering van de realisatiedocumenten: specificatiedossiers, realisatiedossiers, acceptatiedossiers, testdossier, handleidingen, onderhoudsboeken, enz. ; de kwaliteitscontroles, onder meer de controle van de overeenstemming van de documentatie met de realisatie, van de naleving van de normen inzake documentatie en programmering, enz. ;


 

desgevallend : de verplichte deelname aan de opleveringstests (technische en functionele aspecten), ongeacht of het gaat om unitaire functioneringstests, integratietests of algemene werkingstests; de logistieke ondersteuning van de realisatieteams, voor wat betreft de terbeschikkingstelling van de nodige technische middelen voor de realisatie, en dit al naargelang wat er in gezamenlijk overleg zal worden bepaald.

De realisatie zal stap na stap van nabij worden opgevolgd door de medewerkers van de FOD Financiën, die met de nodige hulp vanwege de aannemer zullen belast zijn met de controle (en zo nodig de definitie) van de normen en standaarden op het vlak van (waar dat van toepassing is) de architectuur, de toepassingsregels, de werkprocedures, de documentatie, de prgrammering, enz. Ze moeten er tevens op toezien dat de normen strikt worden nageleefd, zodat de doorgevoerde oplossingen vervolgens integraal en zonder specifieke problemen kunnen worden hernomen door de FOD Financiën.

II.6.10 Te respecteren normen en standaarden De realisatieteams die door de aannemer aan de FOD Financiën ter beschikking worden gesteld, zullen de methodes en de standaarden toepassen die door de FOD Financiën worden gespecificeerd of die met zijn akkoord worden gekozen. Deze standaarden hebben minimaal betrekking op :      

de technische normen voor softwareprogramma’s ; de methode van projectbeheer (PMFin, een unieke projectmethodologie binnen de FOD Financiën die is gebaseerd op de internationaal erkende methode Prince2) ; het bijhouden van de documentatie; de regels voor de programmering (creatie, codestructuren, commentaren, afspraken inzake naamgeving, ontwikkelingsstandaarden conform met ICT fundamenten, inbegrepen open standaarden, enz.) ; de beheersregels, gedefinieerd door de beheersservices van de besturingsomgevingen; de procedures voor de basisgaranties.

Alle normen, die worden gehanteerd door de FOD Financiën, komen voor in een verklarend document, beschikbaar op http://minfin.fgov.be/portail1/fr/cadrefr.htm (onder « ICT et plans informatiques ») en http://minfin.fgov.be/portail1/nl/cadrenl.htm (onder “ICT en informaticaplan”) . Elke verwijzing naar om het even welke norm of methodologie in dit bestek hangt af van de exacte beschrijving in het officiële document op die site. Alleen het tactisch comité is binnen de FOD Financiën bevoegd om normen en methodologieën te wijzigen of toe te voegen. Als de aannemer de goedkeuring van een nieuwe norm nodig heeft, moet hij daartoe een verzoek indienen bij het tactisch comité en zich integraal onderwerpen aan diens beslissing.

II.6.11 Beheer van veranderingen (« change management ») II.6.11.1 Algemeen De FOD Financiën kan op elk moment tijdens de uitvoering van het contract aan de dienstverlener voorstellen om eender welk aspect van de uitvoering van het contract aan te passen, te ontwikkelen of te beperken, onder meer de inhoud van de services (« voorstel tot wijziging» in PMFin request for change). 33 FOD Financiën – Veiligheidsplatform en antivirus

Activiteiten of aspecten waarop kon worden geanticipeerd of die konden worden voorzien door de dienstverlener bij de overhandiging van zijn offerte of die er redelijkerwijze deel van uitmaken, zijn inbegrepen in de uitvoering van het contract en kunnen dus niet het voorwerp uitmaken van een voorstel tot wijziging. De dienstverlener mag een voorstel tot wijziging, afkomstig van de FOD Financiën, niet weigeren, indien de wijziging in kwestie een beperking van de kosten of de volumes met zich meebrengt. Zolang een voorstel tot wijziging niet op formele wijze is bekrachtigd door de partijen (en door het stuurcomité) en behalve als de partijen schriftelijk een ander akkoord hebben gesloten, moet de dienstverlener het contract blijven uitvoeren alsof er geen voorstel tot wijziging bestond. De dienstverlener zal als enige verantwoordelijk zijn voor elke averij of verlies, resulterend uit de uitvoering van een wijziging waarvoor de FOD Financiën geen schriftelijke voorafgaandelijke toestemming heeft gegeven.

II.6.11.2 Modaliteiten De dienstverlener verzekert dat hij altijd zal beschikken over de nodige mensen en middelen voor de uitvoering van wijzigingen. Een wijziging mag alleen aanleiding geven tot een aanpassing van de prijs, als ze een aanzienlijke meerkost met zich meebrengt voor de dienstverlener. De dienstverlener mag geen bijkomende kosten factureren voor de bestudering van een voorstel tot wijziging of de voorbereiding van een rapport erover.

II.6.11.3 Procedure Onverminderd de artikels 7 en 8 van het koninklijk besluit van 26 september 1996 tot vaststelling van de algemene uitvoeringsregels voor overheidsopdrachten, zal een contractwijziging enkel bindend zijn als ze werd voorgesteld, verwerkt en bekrachtigd in overeenstemming met deze bepaling. Als een van de partijen wijzigingen aan het contract wenst aan te brengen, moet ze de details van die wijzigingen schriftelijk overmaken aan de andere partij. Als de FOD Financiën een wijziging voorstelt, moet de dienstverlener aan de FOD Financiën binnen een redelijke termijn en zonder meerprijs een raming bezorgen van de benodigde tijd, voorzien voor de uitvoering van de wijziging, en van het verwachte gevolg van voornoemde wijziging op het niveau van het contract. Als de FOD Financien beslist om deze wijziging niet door te woeren, zal er geen enkele aanpassing gebeuren aan het contract. Als de FOD Financiën deze wijziging wenst door te voeren en als de beide partijen het voorstel tot wijziging accepteren, moeten ze gezamenlijk de wijziging definiëren samen met de gevolgen van de wijziging op het vlak van de acceptatiemodaliteiten, en dit in een « contractbijlage » die ze moeten ondertekenen. De dienstverlener moet de afgesproken wijziging onmiddellijk uitvoeren in overeenstemming met de bepalingen van die bijlage. Als de dienstvelener een wijziging vraagt, mag de FOD Financiën zijn goedkeuring niet ondoordacht weigeren of uitstellen. Als de beide partijen het voorstel tot wijziging accepteren, moeten ze gezamenlijk de wijziging definiëren samen met de gevolgen van de wijziging op het vlak van de acceptatiemodaliteiten, en dit in een « contractbijlage » die ze moeten ondertekenen. De dienstverlener moet de afgesproken wijziging onmiddellijk uitvoeren in overeenstemming met de bepalingen van die bijlage.


II.6.12 Bijzondere verbintenissen aangaande de verkregen informatie Alle resultaten en rapporten die door de aannemer worden geproduceerd tijdens de uitvoering van deze opdracht, vormen de eigendom van de aanbestedende overheid en mogen niet worden gepubliceerd of gecommuniceerd aan derden, tenzij na de schriftelijke toelating vanwege de aanbestedende overheid. De uitvoerder van de diensten en zijn medewerkers zijn gebonden door een zwijgplicht betreffende de informatie waarvan ze bij de uitvoering van deze opdracht kennis zullen nemen. Deze informatie kan in geen geval worden gecommuniceerd aan derden zonder de schriftelijke toelating van de aanbestedende overheid. De uitvoerder van de services mag deze opdracht evenwel als referentie vermelden Alle inlichtingen waarvan de personeelsleden van de aannemer kennis zullen nemen in het kader van de opdracht, alle documenten die hen worden toevertrouwd, alle vergaderingen waaraan ze deelnemen, worden als strikt vertrouwelijk beschouwd. De informatie in kwestie: 

kan worden vastgelegd op eender welke informatiedrager, zoals papier, film, magneetband, schijf, diskette, geïntegreerde montage, enz.;



kan mondeling aan de aannemer worden verstrekt, via een demonstratie en/of via overdracht van een informatiedrager met de gewenste informatie; de informatie kan ook aan de aannemer ter kennis worden gebracht ter gelegenheid van de uitvoering van onderhavige opdracht of van een taak die hem in het kader van onderhavige opdracht door de FOD Financiën wordt toevertrouwd;



kan bijvoorbeeld geheel of gedeeltelijk bestaan uit studies, handleidingen, ontwerpplannen, fabricageplannen, technische beschrijvingen, detailplannen, functionele specificaties, procedures, computerprogramma’s, uitvoerbare codes, berekeningen, enz.

De aannemer verbindt zich tot geheimhouding, zowel tijdens als na de uitvoering van de opdracht, van alle vertrouwelijke gegevens, van welke aard ook, die hem zullen worden meegedeeld of waarvan hij in de loop van zijn opdracht kennis zal nemen. De aannemer garandeert dat zijn personeel en zijn onderaannemers de vertrouwelijkheid van de gegevens zullen respecteren. Hij verbindt zich ertoe geen vertrouwelijke gegevens te verstrekken aan derden, inbegrepen eventuele filialen en andere ondernemingen die met de aannemer zijn geassocieerd. Hij zal aan zijn personeelsleden en aan die van zijn onderaannemers die rechtstreeks bij de opdracht zijn betrokken, enkel de gegevens bekend maken die noodzakelijk zijn voor de uitvoering van hun taken in het kader van onderhavige opdracht. De hierboven genoemde verplichtingen zijn niet van toepassing op informatie van de FOD Financiën:    

waarvan de aannemer op een voor de FOD Financiën aanvaardbare wijze kan aantonen dat ze reeds in zijn bezit was op het moment dat ze hem voor het eerst door de FOD Financiën werd meegedeeld; die, op het moment dat ze bekend was bij de FOD Financiën, reeds openbaar was; die, nadat ze bekend was bij de FOD Financiën, openbaar werd gemaakt op een andere wijze dan door toedoen van de aannemer; of die de aannemer van een derde heeft verkregen die te goeder trouw beschikte over de informatie van de FOD Financiën en die was gemachtigd om deze mee te delen aan de aannemer. 35


De aannemer verbindt zich ertoe :  

om het geheel of een gedeelte van de informatie van de FOD Financiën niet te kopiëren, indien deze zich bevindt op een drager die hem door de FOD Financiën ter beschikking werd gesteld; om anderzijds het geheel of een gedeelte van de informatie van de FOD Financiën niet vast te leggen op een informatiedrager, behalve voor de uitvoering van taken die hem door de FOD Financiën werden opgelegd en voor zover dit noodzakelijk is.

Alle informatie die door de FOD Financiën aan de aannemer ter beschikking wordt gesteld, en elke informatiedrager met informatie van de FOD Financiën, die aan de aannemer door de FOD Financiën wordt toevertrouwd, blijven de integrale eigendom van de FOD Financiën, zoals ook elke informatiedrager waarop de aannemer informatie van de FOD Financiën heeft gekopieerd of vastgelegd, de integrale eigendom is van de FOD Financiën. De FOD Financiën behoudt op elk moment het recht om de aannemer te verzoeken om het geheel of een gedeelte van de informatiedragers waarop de aannemer de informatie van de FOD Financiën heeft opgeslagen, terug te bezorgen. De aannemer verbindt zich ertoe de gevraagde dragers onmiddellijk terug te bezorgen zonder ze te kopiëren. De aannemer verbindt zich ertoe om na afloop van de uitvoering van de opdracht zonder verwijl aan de FOD Financiën alle informatiedragers terug te bezorgen die informatie van de FOD Financiën bevatten en die aan de aannemer ter beschikking werden gesteld met het oog op de uitvoering van de opdracht, voor zover deze informatiedragers nog niet eerder werden terugbezorgd aan de FOD Financiën. Alle informatie van de FOD Financiën blijft de eigendom van de FOD Financiën. Door informatie ter beschikking te stellen verleent de FOD Financiën aan de aannemer geen enkel licentierecht, expliciet noch impliciet, op patenten, auteursrechten of andere intellectuele rechten. De aannemer verbindt zich ertoe om de informatie van de FOD Financiën voor geen andere doeleinden te gebruiken dan voor de uitvoering van onderhavige opdracht of van een taak die hem door de FOD Financiën werd toevertrouwd in het kader van onderhavige opdracht. De aannemer is verantwoordelijk voor alle schade waarvan de FOD Financiën het slachtoffer zou zijn ten gevolge van het niet respecteren door de aannemer zelf of door leden van zijn personeel van de verplichtingen die hem worden opgelegd krachtens onderhavig artikel.

II.6.13 Aansprakelijkheden De leverancier is aansprakelijk voor zijn leveringen tot op het moment waarop de werkzaamheden voor controle van de levering zijn uitgevoerd, behalve als de verliezen of beschadigingen, die zich voordoen in de magazijnen van de bestemming, te wijten zijn aan feiten of omstandigheden, bedoeld in artikel 16 van de Algemene Aannemingsvoorwaarden. De dienstverlener draagt de volle verantwoordelijkheid voor fouten en gebreken die zich voordoen in de geleverde diensten, in het bijzonder in de studies, de berekeningen, de plannen of in alle andere stukken die door hem worden voorgelegd in het kader van de uitvoering van de opdracht. De dienstverlener vrijwaart de aanbestedende overheid overigens tegen alle schadevergoedingen en interesten die deze zou verschuldigd zijn aan derden omwille van vertraging in de uitvoering van de diensten of omwille van het in gebreke blijven van de dienstverlener. 36 FOD Financiën – Veiligheidsplatform en antivirus

De dienstverlener garandeert dat alle services die moeten worden uitgevoerd in het kader van het contract, zullen worden uitgevoerd in overeenstemming met de beste professionele normen, door personeel dat voldoende opgeleid en bevoegd is, met respect voor de voorziene deadlines. De dienstverlener is verantwoordelijk voor het niveau van kwaliteit van de uitgevoerde prestaties en verbindt zich ertoe alles in het werk te stellen om de doelstellingen van de missie te realiseren die hem werd toevertrouwd in het kader van de uitvoering van de opdracht. Op basis van artikel 1384 van het burgerlijk wetboek is de dienstverlener in elk geval verantwoordelijk voor alle feiten die verband houden met de activiteiten, uitgeoefend voor rekening van de FOD Financiën, en die worden gepleegd door leden van zijn personeel.

II.7 Opvolging van de gepresteerde en controle door derden II.7.1 Opvolging van de goede uitvoering van de opdracht De FOD Financiën heeft het recht om een permanente bewaking te handhaven van de leveringen en de services die worden uitgevoerd door het team dat betrokken is bij de uitvoering van de opdracht. Het uitvoerende team moet aan de vertegenwoordigers van de FOD Financiën alle nodige inlichtingen en faciliteiten verstrekken met het oog op de vervulling van die taken. De plannen, specificaties, dossiers, enz., die in het kader van deze opdracht worden opgesteld door het personeel van de aannemers met inbegrip van de normen die zullen worden gehanteerd, dienen door de FOD Financiën te worden goedgekeurd vóór de uitvoering. De FOD Financiën beschikt over een termijn van 15 kalenderdagen om deze documenten goed te keuren of opmerkingen te formuleren. Indien er opmerkingen zijn, moeten de betrokken documenten voldoende worden gecorrigeerd vóór de uitvoering, zonder dat deze verbeteringen een herziening van de geplande uitvoeringstermijn tot gevolg hebben, tenzij de opmerkingen het gevolg zouden zijn van een nieuwe eis vanwege de FOD Financiën. Elke overschrijding van de geplande termijn voor de aanvaarding van een document leidt, op verzoek van de betrokken aannemer, tot een verlenging van de uitvoeringstermijn. Het feit dat een vertraging kan worden toegeschreven aan de FOD Financiën, ontslaat de aannemer niet van de verplichting om toe te zien op een beperking van de gevolgen van die vertraging. De aannemer kan zich niet beroepen op het feit dat deze controle wordt uitgevoerd, met de bedoeling zich te onttrekken aan zijn verantwoordelijkheid wanneer de leveringen of prestaties zouden worden geweigerd omwille van bepaalde gebreken van welke aard ook en wanneer daaruit een verlenging van de uitvoeringstermijn voortvloeit.

II.7.2 Controles door derden Met het oog op de evaluatie van de uitgevoerde diensten en de opvolging van het project kan de aanbestedende overheid een beroep doen op een derde partij. De aannemer is verplicht samen te werken met de derde partij en haar alle nodige informatie te verstrekken met het oog op een goede uitoefening van die controlewerkzaamheden. In dit kader wenst de FOD Financiën de offerte van de aannemer ter beschikking te stellen van interne en externe personen van de FOD Financiën, die zijn belast met de evaluatie en de controle. De inschrijvers moeten duidelijk aangeven welke gedeelten van hun offerte niet ter beschikking kunnen worden gesteld van personen buiten de FOD Financiën, die zijn belast met de evaluatie en de controle. 37 FOD Financiën – Veiligheidsplatform en antivirus

Als de inschrijver geen enkele beslissing terzake neemt in zijn offerte, zal dit worden geïnterpreteerd als het ontbreken van beperkingen wat hem betreft in het kader van de « controle door derden », zodat zijn hele offerte kan worden voorgelegd aan personen buiten de FOD, belast met de evaluatie en de controle.

II.8 Evaluatie van de gepresteerde services en controlewerkzaamheden De FOD Financiën zal overgaan tot een volledige controle van de constitutieve voorzieningen binnen elk van de realisatiefases zoals die werden bepaald in de kalender voor de realisatie van het project, en dit binnen 30 dagen volgend op de bekendmaking door de aannemer van hun voltooiing. De controles hebben betrekking op de geschiktheid en de goede werking van de uitrustingen. De controle van de geschiktheid heeft tot doel vast te stellen of de uitrustingen beantwoorden aan de hoeveelheden en de specificaties die door de FOD Financiën werden opgelegd. De controle van de goede werking heeft tot doel vast te stellen of de installaties een goede werking kunnen garanderen onder normale bedrijfsomstandigheden (met andere woorden, of de installaties voldoen op het vlak van de vooraf bepaalde services). De controlewerkzaamheden omvatten met name:     

Het vaststellen dat de leveringen en de bijbehorende services wel degelijk werden uitgevoerd Het nagaan of alle functievoorzieningen operationeel zijn en werden geprogrammeerd Het controleren van de capaciteiten op het vlak van prestatievermogen, veiligheid, stevigheid, belasting, … Het eventueel installeren van testinstrumenten om de eerder vermelde controlewerkzaamheden te kunnen uitvoeren Het controleren van de levering van de documentatie

De controlewerkzaamheden worden als succesvol beschouwd wanneer de uitrustingen binnen de gestelde termijnen blijken te voldoen aan de hiertoe voorziene controles. Het tijdsschema van deze controlewerkzaamheden wordt in gezamenlijk overleg bepaald. Indien tijdens de controlewerkzaamheden niet of slechts gedeeltelijk wordt tegemoetgekomen aan het prestatievermogen en/of de functiemogelijkheden die in het bijzonder bestek worden gevraagd en/of die in de offerte en in eventuele aanvullende documenten worden aangekondigd, verbindt de aannemer zich ertoe om voor eigen rekening de nodige verbeteringen of wijzigingen aan te brengen, of om het geheel of een gedeelte van de softwarevoorzieningen te vervangen door de levering van een conforme voorziening, en dit binnen 30 kalenderdagen volgend op de datum van het proces-verbaal dat de vaststelling doet van de onmogelijkheid om de voorlopige oplevering af te kondigen. Na die termijn behoudt de FOD zich het recht voor om de boetes voor vertraging toe te passen. In deze veronderstelling moeten alle opleveringstesten opnieuw worden uitgevoerd, nadat de aannemer de nodige wijzigingen, aanvullingen of vervangingen heeft doorgevoerd.

Indien de uitrustingen ongeschikt worden bevonden en/of niet goed functioneren binnen de gestelde termijnen, kan de FOD Financiën: 

ofwel de ambtshalve opgelegde maatregelen toepassen die voorzien worden in artikel 66 van de algemene aannemingsvoorwaarden, als bijlage voorzien bij het K.B. van 26 38


september 1996, dat de algemene regels bepaalt voor overheidsopdrachten en voor concessies van openbare werken; 

de

uitvoering

van

ofwel bijzondere schikkingen treffen met de aannemer.

Aangezien niet alle situaties kunnen worden geëvalueerd, ontslaat de voorlopige oplevering de aannemer niet van zijn verantwoordelijkheid inzake de aanpassing van het systeem in het geval van de vaststelling van onvolkomenheden ten opzichte van de vraag, geformuleerd in het bijzonder bestek of in het voorstel, vermeld in de offerte.

II.9 Voorlopige oplevering Na afloop van de met succes verrichte controlewerkzaamheden zal de FOD Financiën een proces-verbaal opstellen van voorlopige oplevering van de uitrustingen die in de bewuste fase aan bod komen. Het proces-verbaal van voorlopige oplevering zal door beide partijen worden ondertekend. In het geval dat de diensten die deel uitmaken van de opdracht, bestaan uit louter intellectuele prestaties, zoals studies, analyses, consultancy-verslagen, enz., wordt de voorlopige oplevering beschouwd als de definitieve oplevering.

II.10 Garantie In dit gedeelte verwijst het begrip « element » naar elke methodologie, uitrusting of software, en bij uitbreiding naar alles wat onder de periode van garantie en/of onderhoud valt en wat werd ontwikkeld/geleverd door de aannemer en deel uitmaakt van deze opdracht. De garantietermijn van elk element van de opdracht wordt bepaald op minstens een jaar, te rekenen vanaf de datum van de voorlopige oplevering. Als elementen gebreken vertonen, als de functies en/of prestaties en/of het respect voor de SLA (Service Level Agreement – akkoord inzake het serviceniveau), voorgeschreven in het bestek of aangekondigd in de offerte van de aannemer, niet of slechts gedeeltelijk volstaan, in de mate dat de tekortkomingen niet het gevolg zijn van een abnormaal gebruik van de elementen, verbindt de aannemer zich ertoe voor eigen rekening alle noodzakelijke herstellingen of correcties uit te voeren of zo nodig de defecte elementen te vervangen binnen de termijnen, vermeld in de specificaties van de SLA. De volledige garantietermijn is van toepassing op de te vervangen elementen. Tijdens de garantieperiodes zijn de sancties van de SLA van toepassing. In het geval van onbeschikbaarheid van de oplossing tijdens de garantieperiode zal deze laatste worden verlengd met een duur die gelijk is aan die onbeschikbaarheid. De garantie dekt met name :  het herstel of de vervanging ter plaatse van defecte elementen ;  de correctie van de parameters;  de versterking van het systeem indien dit niet voldoet aan de vooraf gerealiseerde SLA;  de duur van de gepresteerde werken;  de verplaatsingen van het personeel van de aannemer.


De aannemer moet erop letten de elementen te updaten tijdens de garantieperiode. Deze updates houden zowel verband met eventuele ‘correcties’ als met evoluties van het geïnstalleerde element.

II.11 Definitieve oplevering De definitieve oplevering wordt afgekondigd op verzoek van de aannemer na het verstrijken van de garantieperiode en minstens één jaar na de voorlopige oplevering, voor zover de FOD tijdens deze periode geen klachten heeft geformuleerd aangaande de goede werking. In dit laatste geval zal de definitieve oplevering worden uitgesteld tot het moment waarop het systeem op correcte wijze zal hebben gefunctioneerd gedurende een ononderbroken periode van één jaar. De definitieve oplevering zal worden vastgelegd in een proces-verbaal dat wordt ondertekend door de aannemer en door de FOD Financiën. De FOD Financiën beschikt over een termijn van 15 kalenderdagen, te rekenen vanaf het verzoek, om het proces-verbaal van aanvaarding op te stellen dat de toestemming voor de oplevering verleent. Er wordt geen enkele betaling voorzien bij de definitieve oplevering.

II.12 Opleveringsmodaliteiten en -kosten Opleveringsmodaliteiten De services zullen nauwlettend worden opgevolgd in de loop van hun uitvoering en dit door één of meer vertegenwoordigers van de aanbestedende overheid. De identiteit van deze vertegenwoordiger(s) zal aan de uitvoerder van de services worden meegedeeld op het moment dat de uitvoering van de services een aanvang neemt.

Opleveringskosten Alle kosten die verband houden met de levering en met de voorlopige en/of definitieve oplevering(en), zijn ten laste van de aannemer.

II.13 Intellectuele eigendom Intellectuele eigendom De intellectuele en industriële eigendomsrechten, met name met betrekking tot de tekeningen, modellen, literaire werken en/of documenten (op duurzame wijze of in machinetaal geregistreerd), rapporten, software en databases, alsook de methodes, de knowhow, de concepten en andere ontwikkelingen, waarvan de FOD Financiën eigenaar of licentiehouder is, zullen verder blijven toebehoren aan de FOD Financiën als eigenaar of licentiehouder (hierna genoemd de « intellectuele eigendom van de Administratie »). Alle intellectuele eigendomsrechten die voortvloeien uit een wijziging of een aanpassing van de intellectuele eigendom van de Administratie, komen automatisch toe aan de FOD Financiën. De dienstverlener verbindt zich ertoe elke wijziging of aanpassing op nauwkeurige wijze te documenteren. De hele documentatie, ongeacht in welke vorm, die betrekking heeft op die wijzigingen of aanpassingen van de intellectuele eigendom van de Administratie, wordt beschouwd als een volwaardig onderdeel ervan. 40 FOD Financiën – Veiligheidsplatform en antivirus

De intellectuele en industriële eigendomsrechten, met name met betrekking tot de tekeningen, modellen, literaire werken en/of documenten (op duurzame wijze of in machinetaal geregistreerd), rapporten, software en databases, alsook de methodes, de knowhow, de concepten en andere ontwikkelingen, die de dienstverlener en/of de onderaannemer(s), aangesteld door de dienstverlener, creëren in het kader van de uitvoering van de opdracht, worden hierna genoemd « specifieke ontwikkelingen ». De intellectuele en industriële eigendomsrechten, met name met betrekking tot de tekeningen, modellen, literaire werken en/of documenten (op duurzame wijze of in machinetaal geregistreerd), rapporten, software en databases, alsook de methodes, de knowhow, de concepten en andere ontwikkelingen, die de dienstverlener gebruikt in het kader van de uitvoering van de opdracht en die de eigendom zijn van de dienstverlener en/of de onderaannemer(s), aangesteld door de dienstverlener, of die de eigendom zijn van derden, worden hierna genoemd « Andere componenten ». Onmiddellijk na hun creatie behoren de « specifieke ontwikkelingen » toe aan de FOD Financiën in volle en exclusieve eigendom. Om de FOD Financiën in staat te stellen de specifieke ontwikkelingen te gebruiken, aan te passen, te (laten) onderhouden (door derden) en/of te reproduceren, verbindt de dienstverlener zich er zo nodig toe en/of acht hij zich in staat om aan de FOD Financiën een niet-exclusieve, overdraagbare, universele, onherroepelijke en voor sublicenties geschikte licentie te verlenen, voor wat betreft de andere componenten die worden gebruikt tijdens en na de uitvoering van de opdracht, en dit voor de duur van de wettelijke bescherming van de intellectuele eigendomsrechten met het oog op het gebruik, de wijziging en de reproductie van de andere componenten. De dienstverlener ziet ervan af de specifieke ontwikkelingen op enige wijze voor andere doeleinden te gebruiken dan voor de uitvoering van deze opdracht, zonder het voorafgaande, schriftelijke en uitdrukkelijke akkoord vanwege de FOD Financiën; hij zal erop toezien dat zijn werknemers, vertegenwoordigers en onderaannemers eveneens worden gebonden door deze verplichting. De dienstverlener verbindt zich ertoe de documentatie (met inbegrip van alle relevante technische specificaties) en in het geval van software ook de broncode van de specifieke ontwikkelingen aan de FOD Financiën ter beschikking te stellen en blijvend voor deze laatste up-to-date te houden zonder bijkomende kosten, in de vorm van een bruikbare ontwikkelings- en productieomgeving. De vergoeding die de FOD Financiën uitkeert voor de levering van de services omvat de vergoedingen voor de overdracht of het gebruiksrecht van deze intellectuele eigendomsrechten. Garanties De dienstverlener zal ervan afzien om, waar ook ter wereld, het intellectuele eigendomsrecht op de specifieke ontwikkelingen op te eisen of te beweren daar op enigerlei wijze recht op te hebben, of om een octrooiaanvraag of een verzoek om eender welke vergelijkbare bescherming in te dienen. Hij zal erop toezien dat zijn werknemers, vertegenwoordigers en onderaannemers eveneens worden gebonden door deze verplichting. De dienstverlener garandeert dat hij alle rechten en alle noodzakelijke toelatingen bezit om de eerder beschreven intellectuele eigendomsrechten over te dragen of er een gebruikslicentie voor toe te staan. De dienstverlener verbindt zich ertoe aan de FOD Financiën alle vereiste hulp te bieden bij het vervullen van de formaliteiten die zich opdringen, en bij het ondernemen van de nodige stappen om de geldigheid van de overdracht van voornoemde rechten te verzekeren en te bewijzen. De dienstverlener verbindt zich ertoe en acht zich in staat om deze verplichting te laten naleven door zijn werknemers, zijn vertegenwoordigers en eventuele onderaannemers. De dienstverlener zal de FOD Financiën op de hoogte brengen van alle andere componenten die worden gebruikt tijdens de voorziening van de services.


De dienstverlener garandeert dat de overgedragen rechten betreffende de specifieke ontwikkelingen en de andere componenten geen afbreuk zullen doen aan de intellectuele en andere rechten van derden. Indien door een derde partij een proces wordt aangespannen omwille van een vermeende schending van het intellectuele eigendomsrecht of een ander recht van deze derde partij door om het even welke persoon naar aanleiding van de levering of het gebruik van de services, moet de dienstverlener op het eerste verzoek vanwege de FOD Financiën alle mogelijke informatie verschaffen, naast de nodige hulp en assistentie (met name zijn vrijwillige interventie in een proces na het eerste verzoek vanwege de FOD Financiën) om de FOD Financiën de kans te bieden zijn verdediging op efficiënte en effectieve wijze te organiseren. De dienstverlener moet alle kosten dragen die voortvloeien uit een dergelijke beschuldiging (advocatenkosten inbegrepen). Als de FOD Financiën naar aanleiding van zo’n proces een boete en/of schadevergoedingen en interesten moet betalen, zal de dienstverlener die betaling op zich nemen. Indien de services naar aanleiding van zo’n proces niet langer met succes kunnen worden geleverd of als een verleende dienst niet langer met succes kan blijven bestaan, moet de dienstverlener deze opnieuw invoeren na overleg met de FOD Financiën en voor zijn eigen rekening. Zonder afbreuk te doen aan de verplichting van de dienstverlener om de informatie betreffende deze opdracht en de vertrouwelijke informatie geheim te houden, heeft de dienstverlener het recht om de knowhow of de ervaring, die hij heeft opgedaan in het kader van de uitvoering van de opdracht, aan te wenden voor andere doeleinden dan voor de uitvoering van de opdracht.

II.14 Deponering bij een Escrow agent In het kader van de uitvoering van deze opdracht en de overgangsmaatregelen moet de dienstverlener uiterlijk bij de voorlopige oplevering de broncode van de specifieke ontwikkelingen neerleggen bij een escrow agent. Hij moet hetzelfde doen voor elke wijziging of update daarvan en van de bijbehorende technische documentatie (genoemd « gedeponeerd materiaal »), en dit in de vorm van een bruikbare omgeving en ter intentie van de FOD Financiën. Na de ondertekening van het contract moet de dienstverlener de FOD Financiën zo snel mogelijk op de hoogte brengen aangaande de specifieke ontwikkelingen die afkomstig zijn van derden, en die worden gebruikt om de services te verlenen. In gezamenlijk overleg met de FOD Financiën zal dan worden gespecificeerd welke regels moeten worden gehanteerd en welke bijkomende garanties desgevallend aan die derde partijen moeten worden gevraagd om de continuïteit van het recht op gebruik van die specifieke ontwikkelingen als onderdeel van de genoemde services te verzekeren, en dit zowel tijdens de uitvoering van deze opdracht als met het oog op een eventuele transitie. Voor zover dit redelijkerwijze noodzakelijk blijkt, moet de dienstverlener zich sterk maken dat hij van deze derde partijen kan bekomen dat ze bij een escrow agent de broncode van de specifieke ontwikkelingen deponeren, die worden gebruikt voor het presteren van de services, en dit onder dezelfde voorwaarden als gespecificeerd in dit artikel. De dienstverlener is integraal verantwoordelijk voor het neerleggen van het gedeponeerde materiaal. De dienstverlener moet erop toezien dat de versie van het bij de escrow agent neergelegde materiaal steeds up-to-date is en in de vorm van een bruikbare omgeving. De FOD Financiën heeft het recht om de inhoud van het gedeponeerde materiaal op elk moment te laten controleren. De vergoeding, door de overheidsadministratie betaald voor de levering van de services, omvat de services van de escrow agent en de kosten die te maken hebben met de creatie en de neerlegging van het gedeponeerde materiaal. 42 FOD Financiën – Veiligheidsplatform en antivirus

II.15 Facturatie, betaling en prijsherziening II.15.1 Facturatie en betaling In de mate dat de aanbestedende overheid in het bezit is van een regelmatig opgestelde factuur (met vermelding van de btw en het nummer van de betreffende bestelbon), vergezeld van het proces-verbaal van voorlopige oplevering, is de procedure de volgende: 

 

Voor de leveringen en services wordt het volledige verschuldigde bedrag gefactureerd bij de voorlopige oplevering. Voorschotten zijn niet mogelijk; de betalingen kunnen alleen maar a posteriori worden uitgevoerd voor reeds geleverde en geaccepteerde leveringen en services. De periodieke betalingen met betrekking tot het onderhoud worden gefactureerd middels maandelijkse schijven. De licentierechten worden jaarlijks gefactureerd bij het begin van de termijn. De kosten in verband met de (bijkomende/ondersteunende) services die worden gepresteerd na de voorlopige oplevering, kunnen worden gefactureerd zodra ze zijn voltooid en geaccepteerd (proces-verbaal van voorlopige oplevering : time-sheet ondertekend door de verantwoordelijke ambtenaar).

De factuur moet worden opgemaakt in euro. De aannemer verstuurt zijn facturen (in twee exemplaren) naar het volgende adres: FOD Financiën Centrale facturatiedienst Koning Albert II-laan 33 bus 788 1030 Brussel De betaling wordt uitgevoerd binnen 50 kalenderdagen te rekenen vanaf de ontvangst van de factuur. Verwijlinteresten worden berekend in overeenstemming met artikel 15, §4 van de algemene aannemingsvoorwaarden.

II.15.2 Prijsherziening Voor de leveringen wordt geen enkele prijsherziening toegestaan. De prijsherziening van de services is mogelijk. De regels voor herziening zijn de volgende: 

De prijzen mogen jaarlijks worden herzien.



Elk jaar vraagt de dienstverlener de prijsherziening aan via een aangetekende brief gericht aan de aanbestedende overheid

FOD Financiën Stafdienst B&BC Afdeling Contracten Koning Albert II-laan 33, bus 785 1030 Brussel 

De prijsherziening treedt in werking : 43


o

o



op de verjaardag van het bericht van gunning van de opdracht als de dienstverlener zijn herzieningsverzoek heeft ingediend vóór deze datum. De prijsherziening heeft enkel betrekking op de services die daadwerkelijk worden gepresteerd na de verjaardag van de gunning van de opdracht. de 1ste dag van de maand die volgt op de verzending van de aangetekende brief als de dienstverlener één of meer verjaardagen heeft laten voorbijgaan. De prijsherziening heeft enkel betrekking op de services die daadwerkelijk worden gepresteerd na de hierboven bedoelde datum (opgelet : de dienstverlener moet een nieuw verzoek indienen voor de prijsherziening van de services die na de volgende verjaardag moeten worden gepresteerd).

De prijsherziening wordt berekend volgens deze formule :

  S P  P0 *  0,8 *  0.2  S0   waarbij : P = herziene prijs P0 = oorspronkelijke prijs S0 = AGORIA-loonindex (enkel voor Belgische dienstverleners; buitenlandse dienstverleners moeten een analoge index voorstellen) – nationaal gemiddelde, sociale lasten inbegrepen, voor contracten vanaf 11/07/1981, geldig voor de maand die voorafgaat aan de opening van de offertes. S = zoals S0 hierboven, maar geldig in de maand die voorafgaat aan de verjaardag van de kennisgeving van de gunning van de opdracht. 

Voor de indexen, zie : http://www.agoria.be



De aanbestedende overheid behoudt zich het recht voor om de prijzen te herzien bij een indexdaling. In dat geval volgt de herziening de bovenstaande regels, behalve dat de aangetekende brief uitgaat van de aanbestedende overheid.

II.15.3 Clausule van meest begunstigde klant De aannemer moet de FOD Financiën beschouwen als zijnde zijn meest begunstigde klant. Als de opdracht meerdere jaren loopt, moet de aannemer elk jaar, vanaf het tweede jaar van de uitvoering van het contract, de prijzen voor deze opdracht aanpassen, en dit door de laagste prijzen toe te passen die hij aanbiedt voor vergelijkbare prestaties aan zijn andere klanten in België, voor zover deze laagste prijzen onder de eenheidsprijzen blijven die gelden bij het begin van de opdracht. De verklaringen die in dit verband worden afgelegd door de aannemer en die bepalend zijn voor de naleving van deze verplichting, kunnen in de boeken van de aannemer worden gecontroleerd door een auditeu”, betaald door de FOD Financiën, tijdens de kantooruren en zonder verplaatsing van de betreffende documenten. De auditeur zal zich beperken tot het al dan niet certificeren van de relevante gegevens. Als de auditeur besluit tot niet-certificatie, beschikt de aannemer over 30 kalenderdagen om de prijzen aan te passen. Deze prijsaanpassing kan slechts eenmaal per jaar gebeuren.


II.16 Publiciteit - referenties Door de aannemer noch door zijn onderaannemers mag geen enkele mededeling, persbericht, informatief onderzoeksrapport en/of gelijkaardige publieke mededeling betreffende het project worden gepubliceerd zonder de voorafgaandelijke schriftelijke toelating van een bevoegde vertegenwoordiger van de FOD Financiën.

II.17 Laattijdige leveringen De aannemer mag zich beroepen op tekortkomingen, vertragingen of willekeurige feiten die hij toeschrijft aan de aanbestedende overheid of haar ambtenaren en die bij hem vertraging en/of schade veroorzaken, met het oog op het bekomen van een verlenging van de uitvoeringstermijnen, de herziening of de verbreking van de opdracht en/of schadevergoedingen. De aanbestedende overheid mag zich beroepen op tekortkomingen, vertragingen of willekeurige feiten die ze toeschrijft aan de aannemer of zijn personeel en die bij haar vertraging en/of schade veroorzaken, met het oog op het bekomen van een herziening of verbreking van de opdracht en/of schadevergoedingen Onder voorbehoud van de voorschriften betreffende de ambtshalve voorziene maatregelen in artikels 20, 66 en 75 van de algemene aannemingsvoorwaarden, en als de levering van een bepaalde fase drie maanden na de afgesproken uitvoeringsdatum niet heeft plaatsgevonden, en als de aannemer in de tussentijd geen verlenging heeft bekomen van de levertermijn, behoudt de Administratie zich het recht voor om te verzaken aan de opdracht (cf. artikel 9, K.B. van 26 september 1996). In deze context moet de levering worden beschouwd als een levering van goederen en diensten.

II.18 Verweermiddelen van de administratie - Geschillen De verweermiddelen van de FOD Financiën zijn deze, die zijn voorzien in de artikelen 20 en 75 van de Algemene Aannemingsvoorwaarden (in bijlage bij het koninklijk besluit van 26 september 1996). De opdracht moet worden uitgewerkt, opgevat en uitgevoerd in overeenstemming met het Belgisch recht. De partijen verbinden zich ertoe om hun verplichtingen te goeder trouw na te komen en om samen te werken met het oog op het welslagen van de operatie. De geschillen inzake de verplichtingen die voortvloeien uit de beschikkingen die de opdracht bepalen, moeten in overleg worden geregeld. 

De partijen moeten proberen, vooraleer hun toevlucht te nemen tot andere middelen, de zaak in der minne te regelen. Daartoe zal de meest gerede partij de andere partij per eenvoudig aangetekend schrijven de slechte uitvoering van het contract betekenen. Indien mogelijk zal er een oplossing bij deze kennisgeving worden gevoegd. De andere partij beschikt dan over een termijn van 15 dagen, te rekenen vanaf de verzending van de aangetekende brief, om de ontvangst ervan te bevestigen en akkoord te gaan met de voorgestelde oplossing.




Bij gebrek aan een akkoord en alvorens een rechtszaak aan te spannen, zullen de partijen proberen om een compromis te vinden middels onderhandelingen die worden aangevat zodra is gebleken dat de zaak niet in der minne kan worden geregeld. De onderhandelingen zullen plaatsvinden op het adres vermeld onder het punt “leidinggevende ambtenaar” van Deel II in aanwezigheid van de personen, die daartoe door beide partijen zijn aangeduid. Behoudens andere afspraken, zullen de onderhandelingen de duur van 30 kalenderdagen, te rekenen vanaf de eerste aangetekende brief, niet mogen overschrijden.

Alle geschillen aangaande de uitvoering van deze opdracht zullen exclusief worden beslecht door de bevoegde rechtbanken van het gerechtelijke arrondissement van Brussel. De voertaal is het Nederlands of het Frans. De aanbestedende overheid is in geen geval verantwoordelijk voor schade, toegebracht aan personen of goederen, die het rechtstreekse of onrechtstreekse gevolg is van de activiteiten die noodzakelijk zijn voor de uitvoering van deze opdracht. De uitvoerder van de diensten vrijwaart de aanbestedende overheid tegen alle claims van schadevergoedingen en interesten die door derden tegenover haar in dit kader worden geuit.


III. Beschrijving van de technische vereisten De inschrijver wordt geacht kennis te hebben genomen van de eisen in verband met de « ICT-normen » van de FOD Financiën met betrekking tot de nieuwe gecentraliseerde computerinfrastructuur (de documentatie over deze nieuwe infrastructuur en de bijbehorende standaarden is beschikbaar op de portaalsite van de FOD Financiën op het adres http://minfin.fgov.be/portail1/fr/ict/ict.htm, onder de rubriek « ICT-fundamenten ». De inschrijver moet zich uitdrukkelijk verbinden tot het naleven van deze huidige en toekomstige fundamenten tijdens de uitvoering van deze opdracht. De niet-naleving van deze essentiële voorschriften van het bijzonder bestek vormt een reden voor de absolute nietigverklaring van zijn offerte.

III.1 Lot 1 : Veiligheidsplatform III.1.1 Inleiding De volgende punten moeten in acht worden genomen:

 Evolutieve oplossing: de oplossing moet evolutief zijn. Dat betekent niet dat de voorgestelde uitrustingen om het even welke toekomstige belasting moeten kunnen ondersteunen, maar dat het mogelijk moet zijn om ze te upgraden en/of uit te breiden.

 De inschrijver moet preciseren in welke mate de voorgestelde systemen conform zijn met de aanbevelingen « Common http://www.commoncriteriaportal.org/

Criteria

»

-

zie

de

site :

 Wat betreft de services, moet de inschrijver zijn certificatieniveaus op het gebied van beveiliging preciseren. Bovendien is een ISO 9001-certificatie (of gelijkwaardig) vereist vanwege de dienstverlener. In het geval van een beroep op onderaanneming wenst de FOD Financiën dat de onderaannemers eveneens een ISO 9001-certificaat (of gelijkwaardig) zouden bezitten.

 De migratie van de oude oplossing naar de nieuwe infrastructuur moet volledig worden uitgevoerd binnen 6 maanden na de kick-off (de oude infrastructuur moet volledig worden gedesactiveerd en losgekoppeld).

 De leverancier verbindt zich tot het deelnemen aan de jaarlijkse oefeningen voor het

heropstarten na een crash ; de scenario’s voor technisch herstel moeten worden voorbereid, zoals aangegeven door de FOD Financiën; daarbij moet het mechanisme voor het beheer van wachtwoorden worden geaccepteerd dat wordt gebruikt in het geval van een catastrofe.

 Beheer van het project en methodologie zie IV.8 BIJLAGE VIII : Beheer van het project en methodologie

III.1.2 Beschrijving van het project. III.1.2.1 Inleiding De FOD Financiën gebruikt een uitgebreid TCP/IP-netwerk, dat is verspreid over het volledige nationale grondgebied en dat ongeveer 30.000 gebruikers telt. Dit netwerk is verbonden met diverse andere netwerken:

 Fedman geeft toegang tot het internet en tot de andere FOD’s en overheidsinstellingen.  Het WAN van de FOD Financiën, vandaag geïmplementeerd met Bilan 47 FOD Financiën – Veiligheidsplatform en antivirus

 Huurlijnen naar bepaalde partners van de FOD Financiën, hetzij overheden (Europese Commissie), hetzij privépartners (dienstverleners).

Figuur 2 - Netwerkverbindingen De toegang tot het netwerk van de FOD Financiën vanuit de buitenwereld wordt beschermd door een firewall-infrastructuur. De firewall werd geïnstalleerd met het oog op een beveiligde internettoegang in het kader van de behoeften van de centrale diensten van de FOD Financiën. De FOD Financiën wenst vandaag een nieuwe beveiligingsinfrastructuur die voldoende krachtig is om de behoeften van de 30.000 ambtenaren te kunnen bestrijken, alsook de toegang tot de voorzieningen van de FOD Financiën voor minstens 5.000 gelijktijdige externe gebruikers via het internet. Het gaat hier om externe gebruikers die toegang moeten hebben tot het interne netwerk van de FOD Financiën. Dit aantal moet trouwens aanzienlijk kunnen evolueren. De aannemer zal verantwoordelijk zijn voor de levering van een krachtige infrastructuur en een hoog veiligheidsniveau, in overeenstemming met de behoeften van de FOD Financiën. De aannemer zal verplicht zijn om aanpassingen door te voeren aan de infrastructuur en/of zijn manier om de FOD Financiën te beschermen, als er door de verantwoordelijken van de FOD Financiën tekortkomingen worden vastgesteld. De FOD Financiën verwacht van de aannemer het resultaat van zorgvuldige werkzaamheden, uitgevoerd door professionals in computerbeveiliging, dit om de voorgestelde infrastructuur te beheersen en daarbij een hoge beschikbaarheid van de services te bieden en bedreigingen maximaal te weerstaan. De figuur hierboven biedt een schematische weergave van de verschillende netwerken. Men kan er het volgende onderscheiden:

 Het LAN-netwerk waarmee de interne gebruikers zijn verbonden (LAN/users)  Het WAN-netwerk waarmee de gebruikers van de FOD Financiën zijn verbonden  Het netwerk waarmee de servers van de FOD Financiën zijn verbonden (onderverdelingen in meerdere netwerken mogelijk)

 Specifieke interne netwerken  DMZ-zones, in te richten door de aannemer 48 FOD Financiën – Veiligheidsplatform en antivirus

 Het internet-netwerk, toegankelijk via het Fedman-netwerk  Specifieke netwerken naar bepaalde partners.

De inschrijver moet een architectuur voorstellen die in staat is om deze verschillende netwerken te beschermen en van elkaar te isoleren, idealiter via twee verschillende technologieën. Het prestatieniveau van de voorgestelde infrastructuur moet toereikend zijn om het gegenereerde netwerkverkeer te ondersteunen zonder impact op het niveau van throughput en met beperking van de « latency » tot een minimum. Drie luiken maken deel uit van lot 1: aankoop en installatie van een beveiligingsinfrastructuur, migratie vanuit de huidige omgeving, monitoring en onderhoud van de ingevoerde infrastructuur. Deze drie luiken worden hieronder gedetailleerd.

 Het bestek betreft de aankoop en de installatie van een beveiligingsinfrastructuur, met omvatting van de firewalls en de samenhangende voorzieningen, in staat om het netwerkverkeer te ondersteunen dat wordt gegenereerd door 30.000 gebruikers van de FOD Financiën. Deze gebruikers zijn ofwel interne gebruikers, aangesloten op het LAN van Financiën, ofwel externe gebruikers, verbonden via het WAN van Financiën. Bij de gebruikers van de FOD Financiën komen nog eens de (minstens) 5.000 gelijktijdige externe gebruikers die eerder werden vermeld. Deze infrastructuur zal niet alleen het verkeer van en naar het internet controleren, maar ook de stromen van en naar de andere verbindingen, met name de verbindingen vanuit en naar de andere FOD’s en overheidsinstellingen. De infrastructuur moet ook de veiligheid van de servers van Financiën en hun toepassingen, die toegankelijk zijn via het internet, garanderen. Tot slot omvat de infrastructuur ook apparatuur voor de analyse en de antiviruscontrole van de bestanden, bestemd vor de interne servers.

 De opdracht bestrijkt tevens de migratie van de bestaande omgeving naar de nieuwe. De migratie moet worden uitgevoerd met een strikt minimum aan dienstonderbrekingen.

 De opdracht omvat trouwens een belangrijke service voor het onderhoud van de installatie, voor de nodige updates met het oog op de vrijwaring van de beveiligingscapaciteit, en voor operationele supervisie van de beveiligingsinfrastructuur. Hiertoe moet de inschrijver een oplossing voorstellen voor permanente monitoring op afstand (vanuit zijn lokalen), in combinatie met de noodzakelijke diensten ter plaatse (FOD Financiën). Opmerking en verduidelijking: de services van de Internet Service Provider en de huur van de lijnen zijn niet inbegrepen in de offerte van de inschrijver (behalve voor wat betreft de lijnen, bestemd voor de supervisie en het onderhoud van de beveiligingsinfrastructuur). De inschrijver moet elk beroep op onderaanneming vermelden met opgave van het aandeel van de opdracht dat wordt uitbesteed, alsook de naam van de onderaannemers.

III.1.2.2 Globale karakteristieken van de oplossing De oplossing moet evolutief zijn en moet een aanzienlijke toename mogelijk maken van het netwerkverkeer, het aantal interfaces, de verbindingssnelheid van de interfaces, en het aantal interne en externe gebruikers. De oplossing moet zich tevens aanpassen aan de nieuwe vereisten op het vlak van veiligheid (nieuwe bedreigingen, nieuwe hackingtechnieken…). Dit aspect zal bijzondere aandacht krijgen in de evaluatie van de offertes. De inschrijver moet duidelijk uitleggen:

 hoe zijn uitrusting in die uitbreidingen zal voorzien  de bijkomende uitrustingen en software die noodzakelijk zullen zijn  de eventueel te vervangen componenten die niet opnieuw kunnen worden gebruikt. De te installeren beveiligingsinfrastructuur moet volstrekt redundant zijn. Hij moet bestaan uit twee volledige uitrustingen. Elk geheel moet in staat zijn om helemaal alleen de functies te garanderen die zijn voorzien in dit bijzonder bestek, in het geval van het uitvallen van het andere geheel. 49 FOD Financiën – Veiligheidsplatform en antivirus

De beide systemen moeten worden geïnstalleerd in twee aparte sites, de ene in het gebouw North Galaxy en de andere in de back-upsite van de FOD Financiën (South Galaxy, Anderlecht). De inschrijver moet in zijn offerte duidelijk de voorgestelde globale architectuur beschrijven en de werkingswijze: lokale redundantie (binnen een geheel) en globale redundantie (de beide veiligheidssystemen onderling).

III.1.2.3 Informatiestroom De voorgestelde architectuur moet een efficiënte controle van het verkeer tussen de verschillende netwerken mogelijk maken. Hij moet overigens het verkeer tussen de verschillende netwerken geheel of gedeeltelijk kunnen verbieden naargelang de wens van de FOD Financiën. De externe netwerken waarmee de FOD Financiën is verbonden, zijn : Fedman-netwerk, internet (via Fedman), huurlijnen met partners zoals internationale overheidsinstellingen (Europese instellingen) of dienstverleners, eventuele PSTN-lijnen, WAN-netwerk van de FOD Financiën, verschillende interne netwerken, gewijd aan bepaalde gebruikers en bepaalde servers. De gebruikersgemeenschappen die zich aanmelden via deze verschillende verbindingsmiddelen en waarvan het verkeer moet worden gecontroleerd, worden hieronder geïdentificeerd. De functionaliteiten waartoe ze toegang moeten hebben, worden meer gedetailleerd in het vervolg van deze paragraaf.

 De gebruikers van de FOD Financiën, aangesloten op het interne LAN van de FOD Financiën.

 De gebruikers van de FOD Financiën, aangesloten op het WAN van de FOD Financiën.  De gebruikers van de FOD Financiën, aangesloten via het internet (homeworkers, partners,…)

 Het SMTP-verkeer tussen de interne mail van de FOD Financiën en de externe mail (internet of andere nationale overheidsinstellingen)

 De externe gebruikers, verbonden via het internet of via Fedman  De externe gebruikers, verbonden via het netwerk van de partners  De servers van de DMZ (of sommige ervan) De firewall moet de kans bieden om minstens de volgende netwerken op redundante en gecontroleerde wijze onderling te verbinden:

 Interne netwerken : LAN, WAN, mailservers, webserver, … De inschrijver moet een segmentering van het interne netwerk voorstellen die efficiënt is op het vlak van beveiliging.

 Externe netwerken :FedMan (inclusief het internet)  Partners : Europese gemeenschap en speciale verbindingen met partners De FOD Financiën beschikt over een acces point tot elk van de externe netwerken in elk van de beide implementeringssites.

     

DMZ DMZ mail DMZ Web DMZ FTP DMZ VPN DMZ toepassingen (minstens 10)

Men dient minstens twee interfaces te voorzien voor elk van de netwerken per site. Aangezien de DMZ’s voor de toepassingen verspreid zijn over verschillende lokalen van eenzelfde datacenter, 50 FOD Financiën – Veiligheidsplatform en antivirus

moet men een oplossing doorvoeren die de mogelijkheid biedt om de bekabeling tussen de lokalen (lokale routers) te beperken. Vanuit elke interface met de buitenwerekd zullen één of meer verbindingen vetrekken naar de overeenstemmende externe sites. De fysieke interfaces van de firewalls moeten trunking mogelijk maken en de voorgestelde oplossing moet er gebruik van kunnen maken. In het geval van trunking op het niveau van de firewalls, moet men op redundante wijze minstens vier interfaces van 10 Gbps en vier bijkomende interfaces met een capaciteit van 1 Gbps voorzien. Als de voorgestelde oplossing gebruik maakt van trunking, moet de inschrijver de methode van bescherming uitleggen. De oplossing moet minimaal 20 gedemilitariseerde zones toestaan (DMZ), in overeenstemming met verschillende controlerichtlijnen. Elke DMZ vormt een infrastructuur die is verspreid over de beide implementeringssites. Het moet mogelijk zijn om het verkeer van en naar de gedemilitariseerde zones te controleren, ongeacht de herkomst en de bestemming ervan. De uitrusting moet de volgende controlefuncties kunnen verzekeren, die worden geïllustreerd met onderstaande figuur.


Figuur 3 - Informatiestroom 52 FOD Financiën – Veiligheidsplatform en antivirus

 De gebruikers van de FOD Financiën, verbonden met het interne LAN van de FOD Financiën, moeten toegang hebben tot de volgende services : HTTP-, HTTPS-, TELNET-, uitgaand FTP-verkeer (verbinding ingeleid door de gebruiker) naar Fedman en internet. Het verkeer moet worden gecontroleerd om te verhinderen dat bepaalde leden van het personeel van de FOD Financiën ongeschikte websites bezoeken. De inschrijver moet de noodzakelijke architectuur voorstellen voor de bescherming van het netwerk van de FOD Financiën in functie van de te ondersteunen protocollen. HTTP-, HTTPS-, TELNET-, uitgaand FTP-verkeer (verbinding ingeleid door de gebruiker) naar het netwerk van de partners voor bepaalde ambtenaren. De inschrijver moet de noodzakelijke architectuur voorstellen voor de bescherming van het netwerk van de FOD Financiën in functie van de te ondersteunen protocollen. HTTP-, HTTPS- en uitgaand FTP-verkeer naar servers, gesitueerd in de DMZ. Verkeer, nodig omwille van het beheer van de servers, gesitueerd in de DMZ. Deze service is voorbehouden aan bepaalde gebruikers van de FOD Financiën om de gegevensoverdracht mogelijk te maken tussen deze servers en bepaalde systemen van het interne netwerk van de FOD Verkeer van en naar het intranet van de FOD Financiën (alle toepassingen).

 De gebruikers van de FOD Financiën, verbonden met het WAN van de FOD Financiën, moeten toegang hebben tot de volgende services : HTTP-, HTTPS-, TELNET-, uitgaand FTP-verkeer (verbinding ingeleid door de gebruiker) naar Fedman en internet. Het verkeer moet worden gecontroleerd om te verhinderen dat bepaalde leden van het personeel van de FOD Financiën ongeschikte websites bezoeken. De inschrijver moet de noodzakelijke architectuur voorstellen voor de bescherming van het netwerk van de FOD Financiën in functie van de te ondersteunen protocollen. HTTP- (inclusief newsgroup), HTTPS-, TELNET-, uitgaand FTP-verkeer (verbinding ingeleid door de gebruiker) naar het netwerk van de partners voor bepaalde ambtenaren. De inschrijver moet de noodzakelijke architectuur voorstellen voor de bescherming van het netwerk van de FOD Financiën in functie van de te ondersteunen protocollen. HTTP-, HTTPS- en uitgaand FTP-verkeer naar servers, gesitueerd in de DMZ. Verkeer van en naar het intranet van de FOD Financiën (alle toepassingen).

 Een gebruiker van de FOD Financiën, verbonden via het internet (homeuser) moet toegang hebben tot de volgende services: Als de gebruiker gemachtigd is, moet hij toegang hebben tot het verkeer van en naar het intranet van de FOD Financiën (alle toepassingen). De inschrijver moet de meest geschikte oplossing voorstellen: de gebruiker moet worden geauthentiseerd en de oplossing moet de vertrouwelijkheid en de integriteit van het verkeer garanderen.

 Het SMTP-verkeer tussen de interne mail van de FOD Financiën en de externe mail (internet of andere nationale overheidsinstellingen) moet worden gecontroleerd en moet de detectie en de stopzetting mogelijk maken van spamming, phishing, malwares, enz…. Dit dient integraal te worden verzorgd op het niveau van de hardware van TLS/SSL.

 De externe gebruikers, verbonden via het internet of via Fedman, moeten toegang hebben tot de volgende services: HTTP-, HTTPS- en inkomend FTP-verkeer (verbinding ingeleid door de externe gebruiker) naar overheidsservers, beheerd door de FOD Financiën en gelokaliseerd in de DMZ. Sommige aangemelde gebruikers moeten de mogelijkheid hebben om de systemen van de FOD Financiën te bevragen (specifieke TCP UDP-poorten). De externe gebruikers, verbonden via het netwerk van de partners, moeten toegang hebben tot de volgende services: HTTP-verkeer naar overheidsservers, beheerd door de FOD Financiën en gelokaliseerd in de DMZ. 53 FOD Financiën – Veiligheidsplatform en antivirus

Sommige aangemelde gebruikers moeten de mogelijkheid hebben om de systemen van de FOD Financiën te bevragen (specifieke TCP UDP-poorten).

 De servers van de DMZ (of sommige ervan) moeten toegang hebben tot de volgende services: Mogelijkheid om op verzoek toegang te krijgen tot gegevens, gehost op de interne servers van het LAN van de FOD Financiën volgens beveiligde procedures. Deze lijst met functies beschrijft de belangrijkste vormen van gebruik die zijn voorzien. Hij moet de inschrijver helpen bij het bepalen van de producten die het meest geschikt zijn om goede oplossingen in te voeren voor de gestelde problemen. De lijst kan evolueren in functie van nieuwe behoeften ; de inschrijver mag de lijst uitbreiden om zijn aanbod te verbeteren. Om een vertraging van het verkeer te vermijden, die kan worden veroorzaakt door een verkeersinspectie op niveau 7 (« application inspection »), moet deze functionaliteit kunnen worden geactiveerd per stroom, zodat er bijvoorbeeld geen gebruik van kan worden gemaakt tussen de gebruikers, verbonden met het LAN, en de servers van het intranet. De inschrijver moet uitleggen hoe de voorgestelde oplossing aan deze vereiste voldoet.

III.1.2.4 Dimensionering Voor de dimensionering van de infrastructuur die hij voorstelt, moet de inschrijver zich baseren op de volgende cijfers, die het verkeer weergeven tussen de buitenwereld en het netwerk van de FOD Financiën. Deze cijfers houden geen rekening met het verkeer binnenin de FOD Financiën (tussen gebruikers op het LAN of WAN en het intranet). Het zijn metingen in absolute cijfers. Niettemin gaat het in 75% van de sessies om unieke inbound-outbound sessies in de "state table" firewall.

III.1.2.4.1 Huidige situatie SMTP Inbound (inclusief verbindingen) Outbound

Verbindingen/uur 24000,00

Gem. grootte mail (kbyte) 900,00

7000,00

360,00

Verkeer (mbit/s) 400,00

Actieve verbindingen 60000,00

geweigerde

HTTP

III.1.2.4.2 Prognoses voor de toekomst (2016) SMTP Inbound (inclusief verbindingen) Outbound HTTP

Verbindingen/uur 120000,00

Gem. grootte mail (kbyte) 3000,00

35000,00

3000,00

Verkeer (mbit/s) 2000,00

Actieve verbindingen 256000,00

geweigerde


III.1.2.4.3 Dimensionering van de mail

 Aantal gelijktijdige verbindingen – 8 000  "Unburdened throughput" – 50 000 berichten/uur  Mogelijkheid tot "Parallel queuing" (continuous mail delivery) III.1.2.4.4 Dimensionering van de Firewall-capaciteit

 De inbound / outbound sessies hebben een "over lap" van ongeveer 75% (ze vormen in feite slechts één enkele sessie in de firewall in 75% van de gevallen), zodat het gemiddelde van de sessies kan worden berekend.

 De internetinterface: Dual 10 Gigabit (coupling of interfaces) per site en dual 1 Gigabit (coupling of interfaces) per site. 1.000.000 gelijktijdige sessies, met een minimale build up rate (capaciteit om sessies te creëren) van 30.000 nieuwe sessies per seconde, 10 Gbit throughput in grote pakketten en 5 Gbit throughput in kleine pakketten.

 DMZ-interface = Dual Gigabit (coupling of interfaces) per site per server.  Interne interface = Dual 10 Gigabit (coupling of interfaces) per site en dual 1 Gigabit (coupling of interfaces) per site.

III.1.2.4.5 Dimensionering van de DMZ-capaciteit

 Interface webservers = elke server moet dual gigabit hebben voor de redundantie.  In functie van het aantal servers moet men switches voorzien met een backplane van 300Gbit+ en in staat om 96+ poorten aan te bieden. De switch moet een uplink hebben naar de « applications loadbalancers » of hij moet een geïntegreerde « loadbalancer » hebben. De inschrijver moet voldoende poorten voorzien in functie van zijn architectuur en de componenten die hij voorstelt.

 Interface Web Content Scanning = Dual 2 Gigabit  Interface Mail Content Scanning = Dual Gigabit III.1.3 Voor te stellen infrastructuur III.1.3.1 Globale architectuur De architectuur van de oplossing moet worden gebaseerd op een configuratie van firewalls in twee lagen (een externe laag en een interne laag), aangevuld met de noodzakelijke voorzieningen en uitrustingen om te voldoen aan de verschillende functionele behoeften, zoals ze zijn uiteengezet in het kader van dit hoofdstuk « Technische Oplossing ». In zijn antwoord moet de inschrijver een voorstel van globale architectuur uitwerken, dat alle vereiste functionaliteiten implementeert: hij moet in het bijzonder toezien op een beschrijving van de integratie van de verschillende voorgestelde componenten en de wijze waarop zijn componenten interageren om het maximale veiligheidsniveau te voorzien.

III.1.3.1.1 Integratie van de verschillende technologieën De Administratie is voorstander van een globale architectuur die meerdere verschillende technologieën integreert, voor zover deze verschillende technologieën samenwerken met het oog op een versterking van de veiligheid van het geheel. Voor al het inkomende of uitgaande verkeer van de FOD Financiën zal de voorkeur worden gegeven aan een oplossing die de producten van minstens drie verschillende technologieën combineert. 55 FOD Financiën – Veiligheidsplatform en antivirus

De inschrijvers moeten in hun antwoord de keuze van de voorgestelde leveranciers verantwoorden alsook de bestaande complementariteit onder hen. De ingezette controletechnieken moeten zoveel mogelijk actief zijn op een niveau, dat aansluit bij het toepassingsniveau, dit om een zo volledig mogelijke controle van het verkeer te bekomen. Het veiligheidssysteem moet berusten op een betrouwbaar besturingssysteem. Het kan gaan om een standaardsysteem dat zorgvuldig is beveiligd of om een gespecialiseerd systeem. De inschrijver moet zijn keuze verklaren en verantwoorden. De voorgestelde technologieën moeten in staat zijn om IPv4 en IPv6 integraal en krachtig te ondersteunen in de 2 gevallen (geen noemenswaardige verschillen tussen IPv4- en IPv6supporthardware van de 2 protocollen, geen software-emulatie). De FOD Financiën plant de implementering van een oplossing voor Network Access Control (NAC) gebaseerd op de standaard 802.1x. De oplossing met de firewall, vpn, proxy’s moet op gestandaardiseerde wijze kunnen worden geïntegreerd in een NAC-oplossing. Een integratie van de systemen zal noodzakelijk zijn om te kunnen beschikken over een eenvoudige en gecentraliseerde oplossing voor toegangscontrole: gebruik van één enkele database met gebruikers, uitwisseling van toegangsrechten, uitweg naar het internet voor niet-gekende gebruikers, integratie in de VPN-oplossing, enz.

III.1.3.1.2 Identificatie van de gebruikers De voorgestelde infrastructuur moet volledig conform zijn met de open standaarden, die een ondersteuning mogelijk maken van de integratie van de componenten van de offerte (vb. proxyfunctionaliteit internettoegang/geen internettoegang) via de authenticatie van de gebruikers op basis van een centrale « gebruikersdatabase ». Men kan hier bijvoorbeeld denken aan de integratie in het systeem voor identificatie, authenticatie en autorisatie van de FOD Financiën, LDAP/LDAPS, Active Directory (via login/password) en eID. Een dergelijke functie voor authenticatie moet minimaal aanwezig zijn voor het verkeer via http, https, ftp, nntp en telnet. De gebruiker moet worden geïdentificeerd en zijn identiteit moet minstens worden gecontroleerd door een procedure van het type "login + wachtwoord". De inschrijver moet preciseren voor welk type van toepassing een dergelijke identificatieprocedure kan worden toegepast. Hij moet ook preciseren welk ander type van controle kan worden uitgevoerd (badge, token, eid, certificat …). Als het systeem meerdere uitrustingen omvat die dit controletype gebruiken, is het wenselijk om een oplossing voor uniek beheer van de gebruikers in te voeren. De inschrijver moet verduidelijken hoe deze controle zal worden geïntegreerd in een gecentraliseerde structuur voor identificatie, authenticatie en autorisatie van de FOD Financiën Technische vereisten Het beoogde systeem moet de volgende functies bezitten:

 Het systeem moet worden geïntegreerd in de functie « Identity Management » van de FOD Financiën.

 De rechten van de gebruikers en de toegang zijn afkomstig van het systeem voor identificatie, authenticatie en autorisatie van de FOD Financiën

 De identiteit van de gebruikers moet kunnen worden gevalideerd met behulp van de elektronische identiteitskaart.

 De gebruikers moeten zo weinig mogelijk hun « username/password » ingeven om toegang te krijgen tot de netwerktoepassingen. Om een kostenraming van de installatie en de configuratie mogelijk te maken, gaan we uit van de volgende veronderstellingen:

 Het aantal groepen : 1000 56 FOD Financiën – Veiligheidsplatform en antivirus

 Het aantal te configureren services voor elke groep, alsook de verschillende mogelijkheden van elke verbinding voor elke groep (een gebruiker kan verschillende rechten hebben naargelang hij is aangemeld op kantoor of thuis) : 30 services per groep, waarbij elke groep zich kan aanmelden op twee verschillende manieren.

III.1.3.1.3 Registratie van evenementen Het veiligheidssysteem moet de capaciteit hebben om evenementen en incidenten te registreren die de gegevensstroom karakteriseren, dit met het oog op de analyse van de incidenten en de aanmaak van rapporten. De inschrijver moet de voorgestelde oplossing beschrijven, met verduidelijking van de types van geregistreerde evenementen, de mogelijkheden om evenementen te filteren, de types van rapporten die kunnen worden geproduceerd, en de capaciteit om statistieken op te maken. Het veiligheidssysteem moet een registratiecapaciteit hebben die de kans biedt om de geregistreerde evenementen gedurende een jaar te bewaren. De noodzakelijke voorzieningen om deze evenemten te registreren en te bewaren maken deel uit van deze opdracht. De logging-bestanden moeten worden bewaard gedurende een minimale termijn van een jaar. De inschrijver moet in zijn antwoord de verwachte volumes voor deze bestanden detailleren op basis van het verwachte volume voor het verkeer. Hij moet in zijn antwoord de aanbevolen oplossing voor de bewaring van deze bestanden preciseren. De inschrijver moet preciseren of het systeem alarmprocedures voorziet bij de vaststelling van een incident. Hij moet uitleggen waaruit die alarmprocedures bestaan: aanmaak van rapport, melding aan de gebruiker, melding aan een bewakingsconsole, productie van berichten … De inschrijver moet in staat zijn om te antwoorden op vragen om opzoekingen of statistieken, met name op enquêtes van de gerechtelijke politie ten aanzien van het gedrag van bepaalde gebruikers, en dit met terugwerkende kracht voor een minimale termijn van 1 jaar. Dit systeem moet kunnen worden geïntegreerd in het aanwezige algemene systeem, en in het auditsysteem van het systeem voor identificatie, authenticatie en autorisatie van de FOD Financiën. Er moet een informatie-uitwisseling mogelijk zijn in beide richtingen, bijvoorbeeld de evenementen van servers binnen DMZ zouden informatie kunnen sturen naar het veiligheidsplatform via het globale systeem voor registratie van evenementen van de FOD Financiën, zoals ook de evenementen van de proxy’s zouden kunnen worden verzonden naar het globale systeem voor registratie van evenementen van de FOD Financiën. De informatieuitwisseling tussen de systemen ontslaat de leverancier niet van de verplichting om alle evenementen te registreren. De informatie, ontvangen van externe systemen, moet in acht worden genomen bij de analyse van evenementen of de aanmaak van rapporten.

III.1.3.1.4 Prioriteitstelling van verkeer De voorgestelde oplossing moet de kans bieden om bandbreedte te reserveren voor een specifiek toepassingstype, voor een groep van machines of voor een bepaalde bestemming (bijvoorbeeld een website), of om er prioriteit aan te verlenen met het oog op de verzekering van de werking. Men denkt hier met name aan communicatietoepassingen (bijvoorbeeld Voice over IP).

III.1.3.1.5 Installatie binnen de omgeving van de FOD Financiën De voorgestelde hardware en de installatie ervan moeten compatibel zijn met de technische kenmerken van de lokalen waarin ze worden geïnstalleerd. De inschrijver vindt in bijlage de essentiële technische informatie met de beschrijving van de computerzalen van de gebouwen North Galaxy en South Galaxy. Geen enkele uitrusting mag in deze zalen worden geïnstalleerd als ze niet compatibel is met de technische voorschriften. De inschrijver is verplicht om bij zijn offerte de informatie te voegen die aantoont dat de voorgestelde hardware voldoet aan die voorschriften. Er wordt geen enkele inrichting geaccepteerd buiten wat is voorzien in de bijlage. De inschrijver heeft evenwel het recht om een bepaalde ordening van zijn uitrusting voor te stellen, voor zover deze geen impact heeft op de structuur en de organisatie van de computerzalen. Die inrichting moet worden uitgevoerd door de aannemer, die er de kosten van zal dragen. 57 FOD Financiën – Veiligheidsplatform en antivirus

De inschrijver moet bovendien de volgende informatie verstrekken

 Het gewicht en de afmetingen van elke geïnstalleerde unit, de nodige ruimte voor hun installatie, de maximale afstand tussen de verschillende uitrustingen

 De kenmerken van de stroomtoevoer van elke geïnstalleerde unit  De warmteafgifte van elke geïnstalleerde unit  Een beschrijving van de verbindingen met en de aansluitingen op het kabelsysteem van het netwerk, te voorzien door de FOD Financiën. De offerte moet melding maken van de voorwaarden waaraan de inrichting van de lokalen, hun airconditioning en de stroomtoevoer moeten voldoen, naast alle accessoires die noodzakelijk zijn voor het gebruik en de goede werking van de voorgestelde uitrusting. Hiertoe moet ze met name de technische specificaties vermelden die een correcte aansluiting mogelijk maken van de voorgestelde voorzieningen op het elektriciteitsnet van de Administratie, naast het verbruik en de warmteafgifte. De offerte moet ook een nauwkeurige beschrijving omvatten van de werken voor:

 inrichting ;  installatie ;  aansluiting, die moeten worden uitgevoerd door de Administratie tijdens de installatie van de uitrusting (uitsluitend de elektrische aansluitingen en de verbindingen met de verschillende netwerken van de FOD Financiën; de interne aansluitingen moeten in de offerte zijn vervat). De beschrijving moet alle noodzakelijke elementen bevatten die de Administratie in staat stellen om heel nauwkeurig alle elementen, accessoires, kabels, enz. te bepalen die moeten worden besteld om de gewenste architectuur op te bouwen. Het meubilair (vb. : rack-kasten) moet in de offerte zijn begrepen. De gebruikte kasten moeten worden uitgerust met een systeem voor inbraakdetectie met de mogelijkheid om een alarm te genereren bij het monitoringsysteem van de aannemer.

III.1.3.1.6 Integratie in de bestaande netwerkarchitectuur

 Internet/FedMan  Voor de verbinding met het internet zal de huidige FedMan-verbinding ter beschikking van de aannemer worden gesteld. De toegang tot FedMan zal op redundante wijze worden georganiseerd in de beide aparte sites. De afstand tussen de sites kan oplopen tot 100 km .  Om het verkeer dat bestemd is voor het internet te kunnen verdelen over de beide internetverbindingen, moet eventueel een beroep worden gedaan op het BGP-protocol op het niveau van de border routers.

 Intern netwerk  De back-end FW moet een interface hebben met de back-end internet (momenteel CISCO switch 6500). Als de voorgestelde oplossing dit noodzakelijk maakt, moet de inschrijver de switches voorstellen om zijn oplossing te integreren in de globale architectuur van de FOD Financiën.  De switches, met fouttolerantie en redundantie (actieve-passieve modus), verzekeren de verbinding tussen de verschillende servers, hosts en firewalls binnen de veiligheidsinfrastructuur. In deze context vervullen ze de volgende functies: Support van de VLAN’s Beheer van bandbreedte Redirectie Support van vezelverbindingen Support van protocollen voor routing Support van lokale load-balancing en tussen de beide sites. Volledige support van IPv4 en IPv6


 De aannemer moet de prestaties van de te installeren switches definiëren om het gevraagde prestatieniveau te garanderen.  Het aantal fysieke interfaces op het niveau van de firewalls moet hoger zijn dan of gelijk aan 16 (10 gigabits). De inschrijver moet het aantal ondersteunde interfaces preciseren.  Het aantal VLAN’s moet hoger zijn dan 1024. Trunking van VLAN’s moet worden ondersteund.

III.1.3.1.7 Redundantie De in te voeren veiligheidsinfrastructuur moet volledig redundant zijn. Hij moet bestaan uit twee complete uitrustingen, gesitueerd in twee aparte sites (North Galaxy en DRP-site). De redundantie moet tweevoudig zijn : globaal en lokaal. Globaal moet elk geheel in staat zijn om helemaal alleen alle functies, voorzien in dit bijzonder bestek, te verzekeren (met het vereiste prestatieniveau), indien het andere geheel uitvalt. De globale en de lokale failover (omslag bij problemen) moeten volledig automatisch gebeuren. Lokaal mag een tekortkoming van een uitrusting de werking van het lokale geheel niet in het gedrang brengen. Op dezelfde manier mag een tekortkoming van een uitrusting de werking van de gehele oplossing niet in het gedrang brengen (verdeeld over de beide sites). In de normale modus is de productiesite alleen actief en komt de site voor Disaster Recovery slechts tussenbeide in het geval van een ernstig falen op het niveau van de productiesite. De inschrijver moet de kritieke componenten bepalen die moeten worden geïnstalleerd in redundante modus op het niveau van elke site, dit om te kunnen voorzien in de verplichtingen qua beschikbaarheid, prestatieniveau, evolutiepotentieel en onderhoudsmogelijkheden. De beide sites zijn onderling verbonden met optische vezels. De afstand mag maximaal 100 km bedragen. Deze lijnen maken geen deel uit van dit bestek. De inschrijver moet alles detailleren wat nodig is voor de scheiding van de beide sites, rekening houdend met de in België beschikbare infrastructuur. De hoofdsite bestaat uit zes lokalen, verbonden via optische vezels. De vezels worden geïnstalleerd door de Administratie. De secundaire site bestaat uit één enkel lokaal. Voor alle vereiste functies moet de voorgestelde oplossing volledig redundant zijn.

III.1.3.1.8 Prestatieniveau Het verlies van pakketten moet onder 0,00001% blijven, behalve eventueel in de volgende gevallen:

   

Bij overbelasting van een communicatielijn naar buiten In geval van re-routing In geval van gepland onderhoud Als de door de firewall te ondersteunen belasting hoger is dan de specificaties die in het bijzonder bestek en het antwoord van de inschrijver staan vermeld.

De latency-tijd van de IP-communicaties moet korter zijn dan 50 milliseconden. De inschrijver moet beschrijven in welke omstandigheden deze waarden niet zouden kunnen worden gerespecteerd.


III.1.3.1.9 Beheer van het systeem Het veiligheidssysteem moet voorzien zijn van de nodige accessoires om het beheer en de exploitatie ervan te kunnen verzekeren in goede omstandigheden. In het bijzonder moet men de accessoires voorzien die de mogelijkheid bieden tot back-up en herstel van de configuraties van de verschillende uitrustingen die samen het systeem vormen, alsook alle geregistreerde gegevens met betrekking tot evenementen, incidenten en metingen van prestatieniveau en betrouwbaarheid. De inschrijver moet bondig de back-upprocedures beschrijven en moet preciseren of daaruit een risico op serviceonderbrekingen resulteert. De inschrijver moet de belangrijkste procedures voor het beheer van het systeem beschrijven, en met name het maken van back-upkopieën, de regelmatige updating van de software, antivirussystemen,… alsook de aanpassing van de regels voor toegangscontrole. Hij moet in het bijzonder de weerslag van deze procedures op de exploitatie van het systeem preciseren, en met name de uitvoeringsduur en het risico op serviceonderbrekingen.

III.1.3.1.10 Certificatie De inschrijver moet voor elk van de voorgestelde producten het niveau van EAL-certificatie (Evaluation Assurance Level) of gelijkwaardig beschrijven.

III.1.3.2 Invoering van een « Security Policy » Het project moet aanvangen met de invoering van een « security policy » voor de netwerken, te definiëren in overleg tussen de aannemer en de FOD Financiën op basis van de bestaande Security Policy. Deze taak moet worden vervuld binnen twee maanden, volgend op de gunning van de opdracht. De policy moet tevens de samenwerking met de componenten beschrijven die door de FOD Financiën worden gebruikt, bijvoorbeeld LDAP, functie « Identity Management » van de FOD Financiën, elektronische identiteitskaart (eID), … De « security policy » moet de uitwerking van het volgende omvatten:

 In acht te nemen aanbevelingen in het raam van de ontwikkelingen van toepassingen vanuit een « veiligheidsoogpunt »

 In acht te nemen aanbevelingen voor de ingebruikneming van servers in de DMZ en binnen het interne netwerk

 Een benadering voor de sensibilisering van de gebruikers (zie paragraaf « opleiding »). Een gedetailleerd en concreet rapport moet de aanbevelingen bundelen die men in de praktijk moet brengen in het kader van de opdracht. De aannemer moet in detail uitleggen hoe hij van plan is deze studie te realiseren. Hij moet ook de nodige informatie verschaffen voor de evaluatie van de verschillende voorgestelde deliverables. III.1.3.3 De verschillende functionaliteiten III.1.3.3.1 Inleiding De verschillende te implementeren functionaliteiten worden beschreven op functioneel vlak en op het vlak van de bijzondere vereisten. De inschrijver moet in zijn antwoord het volgende beschrijven:

   

De voorgestelde oplossing en hoe deze beantwoordt aan de gevraagde functionaliteit. De geschiktheid ten opzichte van de geformuleerde technische eisen. Hoe hij deze functionaliteiten zal integreren in zijn veiligheidsinfrastructuur De benadering die hij voorstelt om de migratie van de huidige situatie naar de nieuwe te realiseren 60


 De mogelijkheden om deze functionaliteit evolutief (scalable) te maken.  De voordelen/nadelen van het voorgestelde product/oplossing  Zijn kennis van en zijn ervaring met de technologie en de producten die worden gebruikt bij deze functionaliteit

 Zijn antwoord op de eventuele specifieke eisen, beschreven voor elke functionaliteit. III.1.3.3.2 Functionaliteit « Dubbele redundante firewall-laag » Beschrijving van de functionaliteit Zoals eerder uitgelegd, moet de architectuur van de oplossing gebaseerd zijn op een configuratie van firewalls in twee lagen. De functionaliteit « Dubbele redundante firewall-laag » omvat het centrale gedeelte van de beveiligde internettoegang, dat wil zeggen de routers, firewalls en switches (layer 4/7). Elke toegang vanuit het internet of FedMan en vanuit het interne netwerk, moet fouttolerant, redundant en in de modus « actif-passif » verlopen, met statefull fail-over (firewall pool). De beide pools moeten afkomstig zijn van verschillende fabrikanten. Binnenin elke pool zullen slechts perfect identieke firewalls worden geaccepteerd. De voorgestelde firewalls moeten de kans bieden om het hoofd te bieden aan de evolutie van het verkeer en de ondersteunde functionaliteiten. Deze evolutiecapaciteit wordt gekenmerkt door:

 Mogelijkheid om interfaces toe te voegen  Mogelijkheid om te voorzien in een toenemende vraag: vergroting van het RAM , de schijfruimte, ….

 Onafhankelijkheid ten opzichte van het hardwareplatform dat de FW ondersteunt. De inschrijver moet detailleren hoe de voorgestelde oplossing zal tegemoetkomen aan die vragen. De belangrijkste noodzakelijke functies op FW-niveau zijn:

 Access control  « Network address translation » : dynamische vertaling van de niet-officiële IP-adressen (dynamische NAT), statische vertaling van de niet-officiële IP-adressen (statische NAT).

 « Statefull inspection » en « Connection control » : de toegepaste controletechnieken moeten zoveel mogelijk actief zijn op een niveau dat aansluit bij het toepassingsniveau, dit om een zo compleet mogelijke controle te realiseren. Een technologie van het type « statefull inspection » wordt als een minimum beschouwd.

 Auditing/logging/Status/ Version control van de geïnstalleerde software  « Content security » : de bedoeling van deze firewalls zal erin bestaan op intelligente wijze het IP-verkeer te analyseren, waarbij de informatie over de status van de communicatie en de toepassingen up-to-date wordt gehouden Het veiligheidssysteem moet functies bezitten die de detectie en eventueel de verwijdering van potentieel gevaarlijke codes mogelijk maken (vb. : Java-applets, ActiveXcomponenten, Java-scripts, Visual Basic-scripts, ….). Het veiligheidssysteem moet functies voor filtering van de inhoud bezitten. De inschrijver moet in zijn beschrijving van het systeem het type van filtering uitleggen dat zijn systeem mogelijk maakt.

 VPN en encryptie.  Zoals voor de rest van de infrastructuur is IPv4- en IPv6-support vereist; de prestaties van IPv4 en IPv6 moeten gelijkaardig zijn (geen software-emulatie van IPv6 bijvoorbeeld). Technische vereisten De voorgestelde firewalls moeten zodanig worden gedimensioneerd dat ze een belasting ondersteunen, zoals beschreven in paragraaf « III.1.2.4 - Dimensionering » 61 FOD Financiën – Veiligheidsplatform en antivirus

De voorgestelde firewalls moeten in staat zijn om virtualisatie te ondersteunen. De inschrijver moet uitleg geven over het aantal ondersteunde firewalls voor elke uitrusting, alsok over het aantal voorgestelde virtuele firewalls. Hij moet uitleggen hoe hij van plan is dit concept uit te voeren in het kader van de voorgestelde architectuur, alsook wat de financiële implicaties van de oplossing zijn.

III.1.3.3.3 Functionaliteit « Definitie en bescherming van de DMZ’s » Beschrijving van de functionaliteit De functionaliteit « Definitie en bescherming van de DMZ’s » omvat alle bijkomende componenten die nodig zijn om de verschillende DMZ’s op het vlak van veiligheid te kunnen definiëren en isoleren. De volgende DMZ’s moeten worden gedefinieerd:

      

Web server DMZ (Reverse Proxy) Application server DMZ (nombre à définir : minimum 14) Mail relay DMZ DNS DMZ Web relay DMZ Remote Access DMZ DMZ FTP

De architectuur van de netwerken van de DMZ’s moet redundant zijn. Een panne van een uitrusting mag een toepassingssysteem niet beletten om een functioneel verbindingspunt te vinden in zijn lokaal. Technische vereisten Om prestatieredenen moet het mogelijk zijn om de servers van de verschillende DMZ’s te configureren in « load balancing» met verschillende parameters en volgens verschillende methodes voor de verdeling van de query’s. De infrastructuur moet ook de systemen voor « load balancing » kunnen ondersteunen, die zijn geïnstalleerd aan de kant van de servers binnen de DMZ’s. De oplossing moet het volgende kunnen :

   

De informatie van de back-endservers op proactieve wijze interpreteren. Gelijkaardig verkeer beperken via gebruik van de cache De duurzaamheid handhaven voor de verbindingen van dezelfde client De pakketten tussen de 2 sites comprimeren

De noodzakelijke hardware voor de fysieke opbouw van de DMZ’s moet worden geleverd door de aannemer. De in de DMZ geïnstalleerde toepassingssystemen moeten fysiek in verschillende lokalen worden gelokaliseerd. In elk lokaal moet de Administratie beschikken over een verbindingspunt (met redundantie) dat minstens 24 daadwerkelijk beschikbare poorten omvat om de toepassingssystemen van de Administratie te verbinden. Het aantal beschikbare poorten moet later kunnen worden uitgebreid. De throughput van de oplossing voor load balancing mag in geen geval een beperking vormen inzake de bandbreedte, aangeboden door de globale oplossing. De DMZ’s zijn netwerken die zich uitstrekken over de beide sites en over alle lokalen.


III.1.3.3.4 Functionaliteit « Integriteit webverkeer » Beschrijving van de functionaliteit De functionaliteit « Integriteit webverkeer » moet erop toezien dat al het webverkeer, afkomstig van het internet, dat in het interne netwerk van de FOD Financiën binnenkomt, vrij is van alle types van « malware » (virus, spyware, worms, trojan, enz). Technische vereisten De volgende inspectiemechanismen moeten mogelijk zijn:

    

Proxy voor uitgaand webverkeer Reverse Proxy voor inkomend webverkeer Antivirus op inkomend verkeer http/https/ftp Anti-Spyware op inkomend verkeer http/https/ftp entrant Detectie van en bescherming tegen Phishing, malicious codeware, key loggers, back doors and P2P, TCP tunneling, Web email, Instant messaging

De oplossing moet redundant zijn en erg evolutief. Specifieke vereisten De inschrijver moet uitleggen hoe het mogelijk is om volgende zaken te implementeren

 De controle van het verkeer voor Instant messaging  De bescherming tegen illegaal downloaden (en met name het interne gebruik van peerto-peer software door de ambtenaren van de FOD Financiën).

 De bescherming tegen proxy-avoidance III.1.3.3.5 Functionaliteit « Beperking van ongewenste websites » Beschrijving van de functionaliteit De inschrijver moet de mogelijkheid voorzien om de interne gebruikers van de FOD Financiën te beletten om zogenaamd ongewenste internetsites te bezoeken. Het gaat hier hoofdzakelijk om pornografische sites en sites met games, het downloaden van muziek, films en video, sociale netwerken, persoonlijke pagina’s, … Deze functie mag slechts een eenvoudig onderhoud vergen vanwege de FOD Financiën (werking volgens vooraf bepaalde categorieën). De FOD zal met andere woorden niet verplicht zijn om de lijst met de betrokken sites op te stellen en te actualiseren: deze service zal deel uitmaken van de offerte van de inschrijver. Bovendien moet de inschrijver de mogelijkheid voorzien om het gebruik van de toegang tot het internet te beperken volgens de uurregeling of tot bepaalde categorieën van interne gebruikers. Minimaal moet deze beperking berusten op een maximale maandelijkse duur en op toegelaten uurroosters (bijvoorbeeld vóór 9 uur, tussen 12 en 14 uur en na 16.30 uur). Technische vereisten Het systeem moet in staat zijn om :

 Te werken op basis van « white lists » en « black lists ». 63 FOD Financiën – Veiligheidsplatform en antivirus

     

Te werken op basis van rollen, gedefinieerd in een LDAP en/of LDAPS. Te werken op basis van vooraf bepaalde categorieën van sites (automatische update). Te werken op basis van quota’s. Het verkeer te regelen op basis van de gebruikte bandbreedte. Te blokkeren per type van bestand. Policies te definiëren voor controle per protocol.

Het verbod om ongewenste sites te bezoeken, moet kunnen worden gedesactiveerd door de DMZ-beheerder van het veiligheidssysteem van de FOD Financiën, en dit individueel voor bepaalde personen, via het systeem voor identificatie, authenticatie en autorisatie van de FOD Financiën. Deze personen moeten immers toegang hebben tot de sites in kwestie voor de behoeften van hun taken. Pogingen om toegang te krijgen tot ongewenste sites moeten gedurende een periode van minstens een jaar worden bewaard.

III.1.3.3.6 Functionaliteit Site-to-site VPN De partners van de FOD Financiën met wie een permanente verbinding noodzakelijk is, zijn met de FOD Financiën verbonden via een beveiligde VPN-tunnel die is gecodeerd via verschillende methodes. Deze tunnels stoppen op het niveau van de veiligheidsinfrastructuur.

III.1.3.3.7 Functionaliteit « Remote Access voor ambtenaren, IT-beheerders en partners » Beschrijving van de functionaliteit De externe gebruikers (remote users) moeten op veilige wijze toegang kunnen krijgen tot de interne netwerken van de FOD Financiën via de veiligheidsinfrastructuur.

 TLS/SSL-VPN (onmisbare functionaliteiten : van het type network connect (volledige netwerkconnectiviteit) + rewriting http/https + Remote Desktop Access + type :Windows Secure Access Manager (tussenliggende uitvoerbare client, uitgevoerd op de serveur/appliance)) De FOD Financiën heeft de volgende volumes geraamd:

 Minimaal 5.000 gelijktijdige verbindingen De aannemer moet een mechanisme voorzien om te garanderen dat de bestanden, uitgewisseld in TLS/SSL-VPN, vrij zijn van virussen. Hij moet ook een optioneel mechanisme voorzien voor controle van de staat van de remote computer (aanwezigheid van een actieve en up-to-date antivirus, kritieke updates van het OS, enz …). De gebruikers van deze verschillende functionaliteiten moeten worden geïdentificeerd en hun activiteit moet worden gecontroleerd. De gebruiker moet worden geïdentificeerd via een solide identificatieprocedure : gebruikersnaam + wachtwoord + bijkomend identificatiemiddel zodat een hoog niveau van veiligheid is verzekerd. Het systeem moet de identificatiecontrole via elektronische identiteitskaart ondersteunen voor Belgische gebruikers en via token (digipass) voor buitenlandse gebruikers (Vasco-compatibiliteit noodzakelijk om de continuïteit van het gebruik van reeds verdeelde digipassen te verzekeren) Het systeem moet kunnen functioneren met het interne systeem voor identificatie en autorisatie van de FOD Financiën (Identity & Access Management, Ldap, Active Directory)


De VPN-infrastructuur moet de behoorlijk geïdentificeerde gebruiker de mogelijkheid bieden om toegang te krijgen tot bepaalde voorzieningen van het interne netwerk. Elke gebruiker zal slechts toegang hebben tot de voorzieningen waarvoor hij een toegangsmachtiging heeft. De VPNinfrastructuur moet de capaciteit hebben om deze toegangsmachtigingen te beheren en te controleren, op basis van een gebruikersprofiel (individueel en per groep). De inschrijver moet het type van licensing voor het voorgestelde product uitleggen (gelijktijdige gebruikers, gemachtigde gebruikers, naargelang het verwerkte verkeer of andere). Technische vereisten

 Een VPN TLS/SSL-uitgang.  De computer van de gebruikers moet worden beschermd tegen externe aanvallen wanneer ze zijn verbonden met het netwerk van de FOD Financiën.

 De geldigheid van de certificaten moet worden nagegaan ten opzichte van een CRL of via OCSP (idealiter OCSP met CRL als fallback).

 Als het certificaat niet kan worden gevalideerd, moet het systeem een TLS/SSL-sessie opzetten die wordt omgeleid naar een webpagina die het gepaste foutbericht weergeeft.

 De CRL’s moeten regelmatig worden geüpdatet (idealiter 3 uur).  Bij gebruik van OCSP voor de validering moet de URL OCSP worden afgeleid van de informatie die voorkomt in het certificaat.

 Een deel van de in het certificaat gevonden informatie zal noodzakelijk zijn voor de toegang tot een webtoepassing. De front-end TLS/SSL moet in staat zijn om de informatie van het certificaat te communiceren naar de webserver. Idealiter moet de beheerder van de front-end SSL de doorgestuurde informatie kunnen kiezen. De inschrijver moet de mogelijkheden van de door hem voorgestelde oplossing uitleggen.

 De functionaliteit « automatische installatie » van de verschillende toepassingsmodules die moeten worden geïnstalleerd op de remote machine, zal op transparante wijze worden verzorgd door het VPN-systeem (geen manuele installatie nodig)

 Er zijn verschillende services beschikbaar : netwerkconnectiviteit, ssh-uitgang (ssh by web), telnet-uitgang (telnet by web), url rewirting, remote destop (RDP windows)….

 Het gebruik van het systeem moet compatibel zijn met oudere (nog actieve)

besturingssystemen van Windows, Mac en Unix like (linux,…), en met recente besturingssystemen; mobiele apparaten zoals blackberry, iphone, android, windows phone (6.5 en 7) moeten eveneens worden ondersteund.

III.1.3.3.8 Functionaliteit « Intrusion Detection and Prevention » Beschrijving van de functionaliteit De functionaliteit « Intrusion Detection and Prevention » vormt een van de middelen die moeten worden gebruikt om de interne netwerken en de DMZ-netwerken van de FOD Financiën te beschermen tegen aanvallen, gericht op de netwerken, de systemen en de toepassingen. Deze tools bewaken de netwerken en de hosts permanent om elke verdachte activiteit of programma aan het licht te brengen, te vergelijken met de corporate policy, te melden en zo mogelijk te blokkeren en/of te verwijderen. Technische vereisten De functionaliteit moet voldoen aan de volgende technische vereisten:

 Deze proactieve tools maken gebruik van « in line » geschikte probes in de veiligheidsinfrastructuur.


 De mogelijkheid om functionaliteiten van het type « honeypot » te installeren, dit om te anticiperen op potentiële aanvallen tegen de webservers en deze tegen te houden.

 De mogelijkheid om fail-open (alles kan passeren in het geval van een falen van de server/appliance) en fail-close (alls wordt tegengehouden in het geval van een falen van de server/appliance) configuraties te installeren.

 Het systeem voor Intrusion Detection and Prevention mag in geen geval een « bottleneck » vormen in de veiligheidsinfrastructuur. Het moet dus de inbraken kunnen filteren naargelang de door het netwerk ondersteunde capaciteit. Specifieke vereisten De aannemer moet uitleggen:

 Hoe hij de logs in real time en periodiek zal analyseren.  Welke rapporten hij gaat aanmaken voor de veiligheidstechnicus en de directie van de opdrachtgever.

III.1.3.3.9 Functionaliteit « Host based Security » Beschrijving van de functionaliteit Naast de antivirusdetectie die is gebaseerd op signatures bij de kritieke servers, moet de inschrijver een oplossing voorstellen voor proactieve detectie en preventie van inbraak in de « hostservers ». De oplossing moet de toegang tot de configuratie van de systemen en tot het bestandssysteem controleren, naast het gebruik van « removable » hardware en elk abnormaal gedrag door niet-gemachtigde gebruikers en programma’s. Technische vereisten De functionaliteit moet voldoen aan de volgende technische vereisten :

 De policies voor detectie en preventie moeten los van elkaar kunnen worden geconfigureerd.

 De mechanismen voor detectie en preventie moeten op modulaire wijze kunnen worden geconfigureerd. De inschrijver moet de mogelijkheden van het voorgestelde product uitleggen.

 Alle services (IP) moeten worden geïnspecteerd: het systeem moet een mechanisme van het type « self-learning » gebruiken om de services, gebruikt in de architectuur van de FOD Financiën, te detecteren.

 De inschrijver moet de impact van de voorgestelde oplossing op de prestaties van het hostsysteem beschrijven. Momenteel zijn de ondersteunde servers:

 20 X Windows-server : (le = light edition) A. Windows le-server 2003 (Enterprise Edition, Standard Edition). B. Windows le-server 2003 x64 (Enterprise Edition, Standard Edition). C. Windows le-server 2008 (Enterprise Edition, Standard Edition). D. Windows le-server 2008 R2 (Enterprise Edition, Standard Edition). E. Windows le-server 2008 R2 le Core-server (Standard Edition, Enterprise Edition).

 30 X Sun Solaris (10) on Sun SPARC platform.  5 X Debian.  5 X IBM AIX 5.3 on Power 5 platform. 66 FOD Financiën – Veiligheidsplatform en antivirus

 5 X IBM AIX 7.x on Power 7 platform.  5 X HP-UX on PA-RISC platform. De toekomstige versies moeten eveneens worden ondersteund.

III.1.3.3.10 Functionaliteit « Integriteit van het mailverkeer » Beschrijving van de functionaliteit De laag « Integriteit mailverkeer » moet erop toezien dat al het inkomende en uitgaande mailverkeer, afkomstig van het internet en toekomend in het netwerk van de FOD Financiën, vrij is van alle types van « malware » (virus, spyware, worms, trojan, enz). Alle passerende SMTP-berichten en hun bijlagen moeten worden gecontroleerd door een SMTPantivirus die het volgende mogelijk maakt:

 De analyse van alle bijlagen die wellicht een virus zouden kunnen vervoeren (.exe, .com, .sys, .drv, .dll, enz..) en documenten die uitvoerbare codes bevatten…,

 De analyse van zip-, rar-archieven,…,  De weigering van bepaalde types van bijlagen,  Het in quarantaine plaatsen van mails met verboden of twijfelachtige bijlagen. Technische vereisten De volgende veiligheidscontroles (lijst niet volledig) moeten in elk geval mogelijk zijn:

 Aanvallen via e-mail en slecht gevormde berichten: mogelijke zwakke plekken in SMTP, IMAP en POP 3.

 Ongewenste of gevaarlijke bijlagen; mogelijkheid tot filteren op basis van de extensie van de bijlagen.

 Virussen, trojans, wormen, spyware… voor inkomend en uitgaand verkeer. De signatures moeten detectiemethodes.

regelmatig

worden

geactualiseerd,

alsook

de

heuristische

 Content filtering inbound en outbound.  Mail relaying  Geavanceerde mogelijkheden voor policy-based beheer - Integratie in het « Identity Management » van de FOD Financiën, gebaseerd op LDAP. Mogelijkheid om policies te definiëren op het niveau van gebruikers en/of groepen.

 De mail moet in beide richtingen worden gescand (inbound en outbound)  Het systeem moet een functie voor antirelay-filtering bezitten.  De update van de antivirus-signatures moet worden gegarandeerd (updatetermijnen te preciseren).

 De manier van beheer van de met wachtwoorden beschermde bijlagen (zip, MS-Office, …) moet worden gepreciseerd.

 De inschrijver moet de herkomst van de gehanteerde technologieën preciseren. De voorgestelde oplossing moet redundant en evolutief zijn (zoals de hele voorgestelde architectuur).


III.1.3.3.11 Functionaliteit « Antispam » Beschrijving van de functionaliteit Het platform moet een antispamoplossing implementeren die moet vermijden dat er ongewenste mails worden gericht aan de ambtenaren van de FOD Financiën. Technische vereisten (onvolledige lijst)

 Antispam : de inschrijver moet de karakteristieken van het voorgestelde product of producten geven. Minstens 90% van de spams moet worden gestopt (aangemerkt als spam) en het aantal «false positives» moet lager zijn dan 1/1.000.000.

 Mails die gedetecteerd zijn als «possible spam» moeten aan de gebruiker kunnen worden voorgelegd, die zal beslissen of hij de mail al dan niet wil ontvangen. De inschrijver moet preciseren waar de gedetecteerde mails worden opgeslagen (quarantaine).

 De gebruiker moet de mogelijkheid hebben om zelf zijn witte en zwarte lijsten aan te maken (white & black lists).

 De inschrijver moet de ingezette technologieën en methodes voor detectie van berichten van het type SPAM of HOAX detailleren (lexicale analyses, analyse van html-formaten, analyse van headers, analyse en filtering van beelden, beheer van white lists/black lists, met name de IP-reputatie …).

 De inschrijver moet de mogelijkheden voor het beheer van de oplossing preciseren (regels voor scoring van spams, white lists/black lists, regels voor beheer/actie ten aanzien van spam- of hoax-berichten, …).

 Bij gebruik van databases voor detectie wordt aan de inschrijvers gevraagd om de frequentie van de updates te preciseren.

III.1.3.3.12 Functionaliteit « Beveiligd DNS-systeem» Beschrijving van de functionaliteit De functionaliteit « Beveiligd DNS-systeem » omvat alle noodzakelijke componenten om een krachtige en veilige Domain Name Server-infrastructuur te installeren. Men dient 2 niveaus van DNS-services te onderscheiden:

 Interne DNS. De ambtenaren van de FOD Financiën doen een beroep op deze service om via een naam de interne servers van de FOD Financiën te lokaliseren. De interne servers zijn gegroepeerd in een intern DNS-domein, dat niet is gekend door het internet. De interne DNS-service bestaat. Hij maakt geen deel uit van deze opdracht.

 Externe DNS. De externe DNS-service moet een externe internetgebruiker de kans bieden om via een naam de servers te lokaliseren die in de DMZ zijn gesitueerd en die zijn bestemd om een dienst te verlenen aan het publiek. Deze service moet worden gekoppeld aan de DNS-service van de provider, met het oog op de distributie van de adressen op het internet. Deze service zal ook de verbreking DNS – IP tot stand brengen voor onder andere de servers, aanwezig in de DMZ.  De noodzakelijke voorzieningen voor de invoering van deze service maken deel uit van deze opdracht.  De ambtenaren van de FOD Financiën lokaliseren via een naam de verschillende internetsites. Deze service wordt verleend door de provider. De te leveren DNS moet 68 FOD Financiën – Veiligheidsplatform en antivirus

worden geconfigureerd om deze query’s te forwarden naar een externe DNS (geleverd door de provider).  Op dezelfde wijze moeten de ambtenaren van de FOD Financiën via een naam de servers kunnen lokaliseren die zich bevinden in de DMZ en die zijn bedoeld om een dienst te verlenen aan het publiek. Technische vereisten Elk niveau van DNS-service moet bestaan uit minstens twee (primaire + secundaire) gesynchroniseerde servers, die daadwerkelijk beschikbaar zijn voor de gebruiker. Er moeten gepaste beschermingsmaatregelen worden voorzien. De beide DNS-servers moeten als back-up voor elkaar werken in de modus statefull fail-over. De DNS-service moet worden gebouwd op basis van krachtige DNS-appliances met een hoog veiligheidsniveau. DNS en DNSSEC moeten integraal worden ondersteund, en de prestaties moeten vergelijkbaar zijn en de belasting aankunnen. Specifieke vereisten De inschrijver moet uitleggen hoe hij erop zal toezien dat de oplossing makkelijk te beheren is, met een minimum aan onderhoud, maar zonder compromissen op het vlak van beveiliging.

o Functionaliteit « Verzoek om controle van aanwezigheid van kwaadwillige programma’s in bestanden » Context De FOD Financiën wisselt tal van digitale documenten uit met de buitenwereld. Om de veiligheid van de informatiesystemen van de FOD en zijn partners te garanderen, is het noodzakelijk te verzekeren dat de uitgewisselde documenten geen kwaadwillige programma’s bevatten. Hiertoe worden de individuele werkposten, het systeem voor electronic messaging en de proxy-server van de FOD uitgerust met antivirussoftware. Maar deze antivirusprogramma’s behandelen enkel de bestanden die rechtstreeks worden gemanipuleerd door de ambtenaren via hun werkpost (gedownloade bestanden, bijlagen bij emails, . . .). Om de beveiliging van de FOD Financiën aan te vullen, moet men ook de onschadelijkheid verzekeren van de bestanden die door toepassingen worden ontvangen of verzonden, en die niet worden gemanipuleerd door de ambtenaren van de FOD Financiën. Momenteel bestaat er geen geïnstalleerd systeem bij de FOD dat de toepassingen in staat stelt om makkelijk na te gaan of de gegevens die ze manipuleren, geen kwaadwillige codes bevatten. Het is dus noodzakelijk om een service in te voeren die door een toepassing kan worden opgeroepen wanneer ze de onschadelijkheid wenst na te gaan van de gegevens die ze heeft ontvangen of die ze wil gaan doorsturen. Buiten de toepassingen zou deze service ook kunnen worden gebruikt door de FTP-servers. Definitie van de vereisten Dit gedeelte beschrijft de vereisten voor de antivirus vanuit het oogpunt van de oproeper. Functionele vereisten : – De antivirus moet alle types van kwaadwillige gegevens en programma’s kunnen detecteren (virus, malware, zwakke plek PDF, zwakke plek Flash, . . .) ; – Deze detectie moet ook binnenin gearchiveerde en/of gecomprimeerde bestanden kunnen gebeuren (.zip, .tar.gz, en andere formaten). Als het archief (of een van zijn componenten) wordt beschermd met een wachtwoord, moet het worden geweigerd ; 69 FOD Financiën – Veiligheidsplatform en antivirus

– De meeste kwaadwillige gegevens en programma’s richten zich op de Windowssystemen. De antivirus moet dus minstens deze bedreigingen kunnen detecteren, maar het zou ideaal zijn dat hij ook de kwaadwillige gegevens en programma’s kan detecteren voor Mac-, Linux- of Solaris-systemen ; – De antivirus moet het mogelijk maken om duidelijk de oorzaak voor de verwerping van een bestand te identificeren en de naam van de eventueel ontdekte malware te geven: naam van het geïnfecteerde bestand (ook binnenin een archief), naam van de malware, beschrijving, enz. ; – Het antivirusrapport moet makkelijk kunnen worden verwerkt door de oproeper zodat het kan worden opgenomen in een webpagina of in logs. Het rapport mag echter gestructureerd zijn zodat zijn parsing of zijn automatische verwerking wordt vergemakkelijkt. In dit geval moet de structuur van het rapport correct worden gedocumenteerd; – De antivirus moet kunnen worden opgeroepen door minstens één van de volgende interfaces, in volgorde van voorkeur : o ICAP-protocol : generieke interface met oplossingen voor filtering (verplicht) o FTP-protocol (met gepersonaliseerde foutcodes) (facultatief) o API JAVA (facultatief) o Webservice (facultatief) – De antivirus moet tegelijkertijd door meerdere clients kunnen worden opgeroepen (parallelle support van meerdere « sessies »), ook via meerdere interfaces voor toegang (meerdere clients verbonden, bijvoorbeeld via API Java, ICAP, FTP, ...); – De update van de antivirus moet automatisch en transparant verlopen ; – (Optioneel) Voor volumineuze bestanden moet de antivirus een manier voorzien om de verwerkingstijd te ramen of een manier waarmee de vooruitgang van de verwerking kan worden gekend. Niet-functionele vereisten : – De antivirus moet 24/24 uur en 7/7 dagen beschikbaar zijn, ook tijdens zijn update; – Net zoals de rest van de veiligheidsinfrastructuur moet het systeem redundant zijn op lokaal niveau (minstens stroomtoevoer en netwerk) en binnen de site (identiek systeem in de remote noodsite); – Er moeten minstens twee aparte services beschikbaar zijn: een voor de productieomgeving, een andere voor de overige omgevingen ; – De antivirus moet zich bevinden in een netwerkzone die toegankelijk is vanuit het CCFFframework en eventueel vanuit andere toepassingen ; – De responstijd moet acceptabel en voorspelbaar zijn – De architectuur moet « scalable » zijn. Men moet het prestatieniveau kunnen verhogen door bijvoorbeeld bijkomende machines toe te voegen of door de services te migreren naar krachtigere machines. Respect voor de standaarden en de goede praktijken van de FOD Financiën : – In het algemeen moet de antivirus harmonieus worden opgenomen in de infrastructuur van de FOD Financiën. Zijn ingebruikneming en zijn onderhoud moeten gebeuren in overleg met de betrokken partijen (voornamelijk het firewall-team, ICT Operaties en ICT Netwerken). Hij moet de standaarden en de goede praktijken van de FOD Financiën respecteren, in het bijzonder: – moeten updates kunnen gebeuren met respect voor de verplichtingen die te maken hebben met de goede praktijken en het beleid inzake netwerkbeveiliging van de FOD (in bepaalde zones is bijvoorbeeld een rechtstreekse verbinding met het internet niet toegestaan; een omweg langs een filterende gevolmachtigde server –proxy- is verplicht).

III.1.3.3.13 Functionaliteit « Out-Of-Band Management » Beschrijving van de functionaliteit Om de verschillende netwerken beveiligingssystemen te kunnen bewaken en beheren, is er een apart segment « Out-of-Band management » noodzakelijk. Het moet via een specifieke interface worden verbonden met alle componenten. Alle noodzakelijke beheerssystemen moeten zich in dit segment bevinden. 70 FOD Financiën – Veiligheidsplatform en antivirus

Het netwerk of de netwerken voor out-of-band network management moeten zelf ook worden beveiligd met een firewall-technologie op basis van statefull inspection. De monitoring en het onderhoud op afstand, uitgevoerd door de aannemer, moeten gestoeld zijn op een redundant systeem (binnen elke site). Het veiligheidssysteem moet kunnen worden beheerd vanuit een console van het interne netwerk van de FOD Financiën. De beheersprocedures moeten gebruiksvriendelijk zijn. De beheersconsole kan een gewone werkpost zijn of een speciale console. De speciale hardware en/of software die hiervoor nodig is, moet in de offerte zijn begrepen. Er zou een console, ter beschikking van de beheerder van de FOD Financiën, moeten worden aangesloten op een netwerk dat losstaat van het netwerk van Financiën (computerzaal of lokaal van operator) en een beveiligd remote systeem, te gebruiken op de computers van de beheerders van de FOD Financiën. Het beheer moet ook kunnen worden verzekerd vanuit een console, gelokaliseerd bij de dienstverlener. Technische vereisten Deze post omvat de levering, de installatie, de configuratie (beveiliging inbegrepen) van een compleet systeem voor out-of-band management, met inbegrip van de servers/appliances en de software, alsook hun integratie in de realisaties van andere posten. Dit bestrijkt :

   

Out-Of-Band management firewall Out-Of-Band management LAN (switch) De noodzakelijke servers voor Out-Of-Band management De noodzakelijke lijnen binnen elke site tussen de inschrijver en de Out-Of-Bandhardware zijn voor rekening van de inschrijver.

De aannemer moet zelf het prestatieniveau van deze systemen bepalen. Specifieke vereisten De inschrijver moet uitleg geven over de soorten taken die al dan niet mogelijk zullen zijn via dit managementsegment.

III.1.3.3.14 Optionele functionaliteit « Web Application Firewall ». Gewoonlijk wordt er een "Web Application Firewall"-oplossing geplaatst achter de traditionele firewall en vóór de webservers voor de toepassingen, dit om deze internettoepassingen te beschermen tegen aanvallen vanuit het internet. De WAF’s voorzien in bescherming tot en met de laag Toepassingen (L7). Veel aanvallen hanteren methodes die in het bijzonder de zwakke punten van de software zelf benutten. Daardoor worden ze niet altijd even efficiënt gedetecteerd door de tradionele beveiligingssystemen zoals "netwerk-firewalls" en IDS- en IPS-systemen. De inschrijver moet uitleggen hoe het systeem dat hij als optie voorstelt, de kans biedt om de beveiliging, de prestaties en de monitoring van de kritieke webtoepassingen op efficiënte wijze vervolledigt. Hij moet beschrijven hoe de voorgestelde uitrusting bescherming zal bieden tegen bijvoorbeeld de volgende HTTP/S-aanvallen: DoS


"Cross-site scripting" SQL-injectie Bufferoverloop Manipulatie van Cookies Manipulatie van verborgen velden "Brute Force" Encoding attacks XML-bommen

Bijkomend moet hij een beschrijving geven van de bescherming die de WAF zal bieden aan de FTP- en SMTP-protocollen. Deze uitrusting moet volledige IPV6-support (zonder emulatie) verzekeren en : Vlan-support Virtualisatie SSL-versnelling Authenticatie van de client via het systeem voor identificatie, authenticatie en autorisatie van de FOD Financiën en LDAP/RADIUS

Momenteel is dit het gebruik van de reverse proxy’s tijdens de meest gebruikte maand : 6000 GigaByte 2300000 bezoeken 150000000 pagina’s 125000000 bestanden 150000000 hits De Web Application Firewalls moeten de huidige belasting én de toekomstige belasting ondersteunen.

III.1.3.3.15 Optionele functionaliteit « XML-gateway ». In professionele omgevingen communiceren de toepassingen onderling met gebruikmaking van "webservices". Vooral met de komst van Web 2.0 is het bouwen van flexibele, connected architecturen zonder beperkingen een courante praktijk geworden. Maar het gebruik van "Web Services" brengt veiligheidsverplichtingen met zich mee die niet altijd kunnen worden ingevuld met traditionele oplossingen, zoals "netwerk-firewalls" en IPS-systemen. Authenticatie, validering van berichten, SSL-codering en –decodering, en op de inhoud gebaseerde routing worden verzorgd door de XML-gateways. Op die manier kunnen de toepassingsservers worden ontlast en de prestaties verbeterd. Tegelijkertijd worden de veiligheids-policies centraal beheerd. De inschrijver moet uitleggen hoe de door het voorgestelde uitrusting zal voldoen aan die verwachting. Hij moet ook de soorten aanvallen beschrijven die de hardware voor zijn rekening neemt. DoS-aanvallen XML-aanvallen Aanvallen met ‘brute force’ SQL Injection Virussen in SOAP-bijlagen …

De hardware moet een volledige IPv6-support (geen emulatie) voorzien, naast : Support voor veelvoudige protocollen, zoals HTTP, REST, XML, FTP, SMTP en POP VLAN-support Virtualisatie

Versnelling "Versleuteling/ontsleuteling" Support van de authenticatie van de client via het systeem voor identificatie, authenticatie en autorisatie van de FOD Financiën en LDAP/RADIUS


III.1.4 Aan te bieden services III.1.4.1 Inleiding De nieuwe infrastructuur, voorgesteld door de inschrijver, en zijn verschillende onderlinge verbindingen moeten in grote mate aan de basis liggen van een verbetering van de dienstverlening van de FOD Financiën en zijn partners. Deze infrastructuur is echter blootgesteld aan bugs, hackers en andere virussen. Aangezien de FOD Financiën veel belang hecht aan de vertrouwelijkheid, de integriteit en de beschikbaarheid van zijn gegevens, en dit 24 uur op 24 en 7 dagen op 7, zal de FOD het geheel of een gedeelte van de activiteiten, die daaraan moeten bijdragen, uitbesteden. Daarom overweegt de FOD Financiën een geheel van services toe te vertrouwen aan een dienstverlener, rekening houdend met de huidige risicio’s en in overeenstemming met een voor de FOD Financiën aanvaardbare risicofactor. De door de aannemer in handen te nemen services worden als volgt gerangschikt:

 Services voor de installatie van de voorgestelde infrastructuur en voor de migratie vanuit de bestaande infrastructuur.

 Services voor onderhoud en beheer van de voorgestelde infrastructuur, om er de werking van te garanderen volgens de criteria van prestatieniveau, beschikbaarheid en omgevingsbescherming van de FOD Financiën. Hiertoe moet de inschrijver een oplossing voor beheer en monitoring op afstand voorstellen, gekoppeld aan services ter plaatse.

 De aanwezigheid 5/5 werkdagen ter plaatse van een ingenieur van de firma die de functies van consultant, technisch adviseur en Design Authority zal vervullen.

 Opleidingsservices. Deze verschillende types van services worden beschreven in de volgende paragrafen. De inschrijver moet duidelijk zijn aanpak specificeren inzake de volgende punten:

 Het evalueren van bepaalde veiligheidsrisico’s in functie van de activiteiten van de FOD, om gefundeerde beslissingen te kunnen nemen.

 Het vertalen van de functionele behoeften in geschikte tools (hardware, software en services) in functie van de veiligheidsrisico’s.

 Het handhaven van het afgesproken niveau van veiligheid.  De andere punten die de inschrijver nuttig acht. III.1.4.2 Services voor installatie van de infrastructuur en voor migratie De FOD Financiën hecht het grootste belang aan de kwaliteit van de indienststelling en aan de totstandbrenging van de operationele ITIL-processen. De dienstverlener moet in zijn offerte specifiek de nodige assistentie voorzien voor het operationele opstarten van de installatie, tot en met de acceptatietests. In de operationele lancering van de installatie is ook het het gebruik van tools en prestatietests begrepen, die de dienstverlener moet voorzien in zijn offerte. De acceptatie- en prestatietests moeten worden uitgevoerd ten opzichte van een door de FOD Financiën gevalideerd testpakket en in aanwezigheid van de FOD Financiën en de diverse partijen.


III.1.4.2.1 Installatie en assistentie bij het opstarten De offerte moet alle services omvatten die noodzakelijk zijn voor de installatie, de programmering en de indienstneming van het systeem. De aannemer moet een volledige assistentie verzekeren, met name voor wat betreft de bestudering en het opstarten van het systeem. Deze assistentie moet absoluut toereikend zijn qua kwantiteit en kwaliteit, om een probleemloze lancering van de voorgestelde systemen te verzekeren. Ze moet met name een geheel van assistentieprestaties omvatten, die tegemoetkomen aan de behoeften inzake aanpassingen, die noodzakelijk worden bevonden gedurende de eerste zes maanden van de exploitatie. Het belang van de geboden assistentie moet expliciet voorkomen in de offerte.

III.1.4.2.2 Migratie van de bestaande infrastructuur De FOD Financiën maakt gebruik van verschillende verbindingen met de buitenwereld. Hij beschikt reeds over een firewall tussen het internet en zijn interne netwerk. Sommige verbindingen met andere FOD’s of overheidsinstellingen worden gecontroleerd door routers en door een beroep op access-lists of NAT-functies. De te migreren services zijn met name de SSLVPN, de VPN site-naar-site, de mail-relays, de proxy’s, de antivirus, de firewalls, de DNS, de loadbalancers, de inbraakdetectie, de veiligheidscontrole van de servers, … De door deze voorzieningen ondersteunde functionaliteiten moeten worden hernomen door de nieuwe infrastructuur. De aannemer moet er de migratie van verzekeren terwijl hij alle maatregelen treft om dienstonderbrekingen tot een minimum te beperken. Aangezien het LAN-netwerk alsmaar belangrijker wordt in het kader van de veiligheid, moet de inschrijver duidelijk het migratietraject uitleggen dat de FOD Financiën moet volgen om zijn interne netwerk te beschermen tegen aanvallen.

III.1.4.3 Monitoring prestaties

op

afstand:

veiligheidsalarmen,

beschikbaarheid

en

De aannemer moet beschikken over een infrastructuur waarmee hij de staat van de veiligheidsinfrastructuur van de FOD Financiën permanent en op afstand kan superviseren. Deze monitoringinfrastructuur zal NSOC (Network and Security Operating Center) worden genoemd in het vervolg van dit document. De FOD Financiën laat de keuze van de lokalisering van de monitoringinfrastructuur (NSOC) vrij. Maar om het erg vertrouwelijke karakter van de door de FOD Financiën verwerkte gegevens te garanderen, zal de Belgische wetgeving inzake de bescherming van persoonlijke gegevens en de persoonlijke levenssfeer van kracht zijn; de aannemer moet er dus op toezien de Belgische wetgeving inzake de bescherming van persoonlijke gegevens en de persoonlijke levenssfeer strikt na te leven door alle nodige schikkingen te treffen om eraan te voldoen. De inschrijver moet de genomen maatregelen uitleggen voor het omgaan met een situatie van het type « Disaster » binnen zijn NSOC. De inschrijver moet uitleggen hoe zijn eigen supervisie-infrastructuur wordt beschermd tegen aanvallen (via het netwerk en fysieke). Hij moet ook aantonen dat er afdoende maatregelen zijn genomen om ongeoorloofde toegang tot zijn eigen NSOC te beletten. De inschrijver moet de SLA’s communiceren die hij heeft afgesloten met de andere Service Providers als ze betrekking hebben of van invloed kunnen zijn op de dienstverlening aan de FOD Financiën.


De FOD Financiën gaat uit van het principe dat de belangrijkste activiteiten voor de supervisie en het beheer van de veiligheid een 24/7-benadering vergen, met speciale prioriteit voor de analyse « 24/7 real time » en voor de correlatie van de incidenten die zich voordoen binnen de verschillende systemen (vb. FW, IDP,…). De updating van nieuwe zwakke plekken moet hierin zijn begrepen, dit met het oog op een proactieve bescherming van het netwerk van de FOD Financiën. Om ook « heimelijke » inbraken (hacking op lange termijn) aan het licht te kunnen brengen, moet de inschrijver zijn mogelijkheden en benadering uitleggen, met speciale prioriteit voor de correlatie tussen de gegevens van de logs van de voorgestelde veiligheidsinfrastructuur en die van de andere logs (systemen, databases en toepassingen). Deze services kunnen offline worden verzekerd. Als er zich niettemin een virus manifesteert (vb. interne oorzaak), moet de inschrijver uitleggen hoe hij de FOD Financiën kan helpen om de auteurs te pakken te krijgen, met behulp van officieel erkende methodes en tools, die kunnen worden gebruikt in bepaalde gerechtelijke procedures. De veiligheidsbeheerders van de stafdienst ICT moeten op elk moment in read-only toegang hebben tot minstens alle systemen van de configuratie, volgens de beheersprocedures die gezamenlijk werden gedefinieerd en die de verzekering van de SLA’s mogelijk maken. Deze monitoringinfrastructuur zal één van de middelen zijn waarover de aannemer beschikt voor de uitvoering van de « Services voor beheer, onderhoud en assistentie » beschreven in paragraaf III.1.4.5 De interactie tussen het NSOC en de uit te voeren services wordt hieronder bij wijze van voorbeeld geïllustreerd:

 Elke anomalie die wordt ontdekt door het NSOC, zal worden geanalyseerd en zal eventueel aanleiding geven tot een incident.

 Het NSOC zal de informatie vergaren die de volgende processen zal voeden: Service Level Management, Capacity Management, Availability Management.

III.1.4.4 Service Desk – SPOC De aannemer zal een hulplijn inrichten, die 24X7X365 bereikbaar is in het Nederlands en het Frans. Er wordt een tweedelijnssupport in het Nederlands en het Frans geëist, met een vast (centraal) aanspreekpunt. De inschrijver moet zijn supportniveaus/-structuur beschrijven. Net zoals het eerder beschreven NSOC, vormt de Service Desk een van de middelen die de aannemer inzet voor de prestatie van de services, beschreven in de volgende paragraaf.

III.1.4.5 Services voor beheer, onderhoud en assistentie De gevraagde service betreft het beheer van de uitrustingen en het operationele beheer om een globale beschikbaarheid van de beveiligingsservice te kunnen garanderen. Onder beschikbaarheid (van hardware en software) verstaan we de mogelijkheid om toegang te hebben tot de toepassingen en services, geleverd door de inschrijver, via elk clientsysteem dat correct is geconfigureerd en dat zijn functies correct uitoefent. De voorgestelde services moeten de volgende processen bestrijken (ITIL-nomenclatuur) :

 Op het vlak van de « Service Support » Incident Management Problem Management Change Management Configuration Management Release Management 75 FOD Financiën – Veiligheidsplatform en antivirus

 Op het vlak van de « Service Delivery » Service Level Management Capacity Management Availability Management IT Service Continuity Management De FOD Financiën beschrijft hieronder zijn verwachtingen met betrekking tot deze processen. De inschrijver moet zijn benadering ten aanzien van elk van de hieronder opgesomde ITIL-processen beschrijven.

III.1.4.5.1 Verwerking van incidenten en problemen Zodra de administratie abnormaal gedrag vaststelt (defect, te lange responstijd, bedreiging van de veiligheid…), brengt ze de aannemer op de hoogte. Deze laatste neemt de gepaste organisatorische maatregelen om altijd onverwijld beschikbaar te zijn, 7 dagen op 7, zowel overdag als ‘s nachts. De exacte procedure zal worden bepaald in overleg. Een incident wordt gemeld per telefoon, fax, sms of e-mail. Men moet echter rekening houden met het feit dat bij het voorkomen van een probleem dat het veiligheidssysteem aantast, de e-mail misschien niet beschikbaar is. De oproepprocedure moet zodanig worden georganiseerd dat men later kan bepalen, en zo nodig kan bewijzen, wat het voorwerp en het tijdstip van de oproep waren. Zodra de inschrijver een probleem vaststelt, verwittigt hij de administratie via verschillende communicatiemiddelen, naargelang de ernst van het incident (mail, sms, telefoon, enz.) en neemt hij de nodige maatregelen om het op te lossen. Er dient genoteerd dat het monitoringsysteem een maximum aan mogelijke incidenten moet beheren. Het is aan de aannemer om een zo krachtig mogelijk systeem voor de detectie van incidenten te installeren, dit om de aanwezigheid van een probleem te kennen zodra het zich voordoet, zonder dat de FOD Financiën dit moet rapporteren (detectie van systeem- en service-incidenten, bijvoorbeeld internetsites ontoegankelijk vanuit een client via de proxy’s). Het begrip ’incident’ wordt over het algemeen opgevat als een functiestoornis, gemeld door een gebruiker. De hieronder geformuleerde beide uitbreidingen van deze definitie zullen echter eveneens worden gelijkgesteld met incidenten, want ze zullen hetzelfde verwerkingsproces volgen als de eigenlijke functiestoornissen:

 Verzoeken om een nieuwe service (of de uitbreiding van een bestaande service) worden beschouwd als Verzoeken om Verandering (RFCS) maar worden in de praktijk gelijkgesteld met Incidenten (identieke behandeling) en worden verwerkt in het kader van het Beheer van Incidenten

 Automatische Alarmeringen: ze worden vaak beschouwd als een onderdeel van de courante exploitatie. Deze evenementen, gegenereerd door het systeem, worden verwerkt in het kader van het Beheer van Incidenten. De verschillende types van incidenten worden gerangschikt per categorie volgens de onderstaande tabel : Ernst van het incident Level 1

Definitie van de ernst Belangrijkste functies van het veiligheidssysteem inactief Directe bedreiging voor de veiligheid van het interne netwerk

Level 2

Stoornis van een nietessentiële functie Herstel van een subsysteem via de tijdelijke overname door een vervangsysteem

Level 3

Voorbeelden Onderbreking van de informatiestroom Ontoereikende responstijden Abnormale vermindering van de beschikbare bandbreedte Detectie van een aanval op het veiligheidssysteem of een beveiligde server


In overleg met de administratie mag de inschrijver de categorieën detailleren. Binnen het proces zijn dit de activiteiten voor het Beheer van Incidenten:

    

Detectie en registratie van incidenten. Initiële support en classificatie. Onderzoek en diagnose. Globale opvolging van incidenten. Oplossing en herstel Bij herhaalde defecten, die de vervanging of de uitbreiding van de hardware met zich meebrengen, is de aannemer verplicht voor eigen rekening de hardware, de systeemsoftware of de nodige toepassingen te leveren, te installeren en te programmeren, om zich te kunnen houden aan het beloofde prestatieniveau.

 Afsluiting van incidenten De aannemer informeert de administratie telkens een incident werd opgelost. De in dit stadium niet opgeloste incidenten worden beschouwd als geïsoleerde incidenten, die bestaan vanaf het moment waarop ze voor het eerst worden gemeld. Een incident wordt als opgelost beschouwd, vanaf het moment waarop het als zodanig is verklaard door de aannemer, op voorwaarde dat de administratie heeft kunnen vaststellen dat alles goed is. De ITIL-definitie van de doelstelling van het Beheer van Incidenten is de volgende:

 De negatieve impact van incidenten en problemen, veroorzaakt door fouten in de computerinfrastructuur, op de bedrijfsactiviteiten beperken

 De herhaalde terugkeer van de incidenten, veroorzaakt door deze fouten, voorkomen Daartoe zoekt het Beheer van Incidenten de eerste oorzaak van incidenten en leidt het acties in om de situatie te verbeteren of recht te zetten.

 Reactief (of curatief) aspect : het gaat om de oplossing van problemen in antwoord op één of meer reeds bekendgemaakte incidenten.

 Proactief (of preventief) aspect : identificatie en oplossing van gekende problemen en fouten voordat het incident zich voordoet. De inschrijver moet beschrijven welke onderhoudsservices hij voorstelt in het kader van dit bestek. Het is essentieel dat herstellingen snel gebeuren. Tijdens de duur van het contract wenst de FOD Financiën de beschikbaarheid van het reservemateriaal te kunnen nagaan. Er moet een mogelijkheid bestaan tot uitwisseling tussen de systemen voor het beheer van veranderingen en incidenten van de leverancier en de FOD Financiën.

III.1.4.5.2 Beheer van de Configuraties (Configuration Management) Het proces voorziet een logisch model van de infrastructuur met identificatie, controle, onderhoud en verificatie van de verschillende elementen in de loop van hun levensduur. De praktische doelstellingen die hieruit voortvloeien zijn de volgende :

 Verslag uitbrengen bij de organisatie over alle goederen en configuraties van de Informaticaproductie

 Relevante informatie verschaffen over de configuraties om de andere processen te ondersteunen

 Solide basissen bieden voor het Beheer van Incidenten, Problemen, Veranderingen en Nieuwe Versies

 De in de infrastructuur opgeslagen informatie vergelijken en de verschillen corrigeren. 77 FOD Financiën – Veiligheidsplatform en antivirus

Reikwijdte De reikwijdte van het Beheer van Configuraties is de identificatie, de registratie en de restitutie van de informatie over alle componenten van de infrastructuur, met inbegrip van:

 Hun versies  De subcomponenten van een component  Hun onderlinge relaties Dit omvat :

 De hardware  De software en de toepassingen  De bijbehorende documentatie Basisactiviteiten

 Planning : planning en definitie van het proces, de organisatie en de technieken. Het is noodzakelijk om het volgende te definiëren en te valideren : De doelstellingen van het proces De analyse van de huidige situatie van de activa en de configuraties De organisatorische en technische context waarin het proces kadert De politiek van de bijbehorende processen De activiteiten van het proces

 Identificatie  Het doel is het selecteren, identificeren en labelen van de Configuratie-elementen (CLS of Configuration Items) met hun « eigenaars », hun relaties en hun documentatie, om ze op te nemen in de CMDB (Configuration Management database)  Het Beheer van Configuraties maakt een efficiënt Beheer van Veranderingen mogelijk door de snelle kennis van de impact van een verandering op de infrastructuur.

 Controle : zich ervan vergewissen dat de componenten zijn gewijzigd met de nodige toelatingen (Verzoek om Verandering). De controle betreft de toevoeging, de wijziging en de verwijdering van een element.

 Bewaring van de historiek: opspoorbaarheid van de evolutie van een component (ontwikkeling, test, productie of in stock)

 Verificatie en audit : verificatie van het fysieke bestaan van de Configuratie-elementen en validering van de informatie, opgeslagen in de CMDB en de gevalideerde libraries. Dit omvat de validering van de documentatie, geleverd met een nieuwe versie, en de configuratiedocumentatie voor de indienstneming.

III.1.4.5.3 Beheer van Veranderingen (Change management). De ITIL-definitie van de doelstelling van het Beheer van Veranderingen is de volgende:  Zich ervan vergewissen dat de standaardmethodes en –procedures worden gebruikt voor een efficiënte en snelle behartiging van alle veranderingen, met de bedoeling de impact van consecutieve incidenten op de implementering van deze veranderingen te beperken en bijgevolg de dagelijkse exploitatie te verbeteren. Wanneer een verandering noodzakelijk is geworden, moet men de risico’s van haar uitvoering evalueren naast de continuïteit van de businessactiviteit tijdens en na die uitvoering. In het kader van de procedure van change management moet elke verandering, uitgevoerd door de klant of de aannemer, in principe binnen 8 werkuren worden voorgelegd aan de voorafgaandelijke goedkeuring van de andere partij, behoudens andere afspraak in het op te 78 FOD Financiën – Veiligheidsplatform en antivirus

stellen handboek met procedures. Elke niet gevalideerde verandering, uitgevoerd door de klant, ontslaat de aannemer van zijn SLA-verplichtingen (zie verderop) ten aanzien van deze specifieke verandering. De aannemer is echter verplicht om eventuele werkingsanomalieën, te wijten aan de verandering, zo snel mogelijk te melden via gsm en e-mail.

III.1.4.5.4 Beheer van Versies (Release Management) De ITIL-definitie van de doelstelling van het Beheer van Versies is de volgende: De productieomgeving en haar services beschermen via het gebruik van formele procedures en via verificaties tijdens de doorvoering van veranderingen. Gedetailleerde doelstellingen

 Plannen en superviseren van de ingebruikneming van een software en de bijbehorende hardware

 Uitwerken en implementeren van de tools voor distributie en installatie van veranderingen

 Zich verzekeren dat de gewijzigde hardware en software traceerbaar en veilig zijn, en dat alleen correcte, toegelaten en geteste versies worden geïnstalleerd

 Communiceren en beheren van de verwachtingen van de klant tijdens de planning en het verloop van de ingebruikneming

 Valideren van de exacte inhoud van een distributie en het scenario voor ingebruikneming, in samenhang met het Beheer van Veranderingen

 Installeren van nieuwe softwareversies en hardware in productie, met respect voor de procedures van het Beheer van Veranderingen en Configuraties

 Zich verzekeren dat de oorspronkelijke distributies van alle software zijn opgeslagen en beveiligd in de Bibliotheek met Definitieve Softwareversies (Definitive Software Library of DSL) en dat de CMDB up-to-date is. Reikwijdte

 Planning, ontwerp, configuratie en homologering van de hardware en software om een geheel van componenten te creëren, bedoeld om in gebruik te worden genomen in productie (kit voor installatie of ingebruikneming)

 Planning en voorbereiding van de ingebruikneming van een verandering voor een geheel van gebruikers en sites

   

Communicatie, voorbereiding en opleiding met betrekking tot een verandering Audits hardware en software voor en na de doorvoering van een verandering Ingebruikneming van de veranderingen Update van de CMDB en de DSL

III.1.4.5.5 Metingen van beschikbaarheid en prestatieniveau De meting van de beschikbaarheid en het prestatieniveau moet worden uitgevoerd op basis van een geheel van indicatoren, gericht op de beschikbaarheid van de services (bijvoorbeeld : een beschikbaarheidsindicator van de « proxy-service » voldoet niet, een beschikbaarheidsindicator van de toegang tot het internet via de proxy informeert ons of de service effectief beschikbaar is). De inschrijver moet indicatoren voorstellen waarvan de meting in acht zal worden genomen voor de evaluatie van de SLA en de eventuele toepassing van de voorziene boetes. De inschrijver moet ook de technische middelen en de toegepaste methodes beschrijven om de beschikbaarheid en het prestatieniveau te meten. De aannemer moet de FOD Financiën de noodzakelijke (technische) tools en procedures verschaffen om de beschikbaarheid en de prestaties van het systeem vast te stellen en te 79 FOD Financiën – Veiligheidsplatform en antivirus

controleren. De gehanteerde meetinstrumenten moeten gedetailleerd worden beschreven. Elke maand zal de FOD van de aannemer een rapport krijgen met de meetresultaten, dat zal worden besproken tijdens de maandelijkse SLM-meeting (Service Level Management). De FOD moet ook toegang krijgen tot de door de aannemer gehanteerde meetinstrumenten, en dit minstens in readonly. De gebruikte logginginformatie voor het meten van de beschikbaarheid en de prestaties moet minstens 1 jaar worden bewaard. Ze moet ook regelmatige back-ups krijgen. Dit is de verantwoordelijkheid van de aannemer. De inschrijver moet in detail een beschrijving geven van de gebruikte middelen, geïntegreerd in het loggingsysteem, om elke vorm van vervalsing van de meetgegevens van de prestaties door één van de partijen te verhinderen. Het veiligheidssysteem moet voorzieningen bevatten waarmee het verkeer, de responstijden en alle nuttige informatie kunnen worden gemeten om de goede werking van het systeem na te gaan. Deze gegevens moeten worden geregistreerd met het oog op de analyse van incidenten en de aanmaak van rapporten. De inschrijver moet de voorgestelde oplossing beschrijven met verduidelijking van de types van de uitgevoerde en geregistreerde metingen, de mogelijkheden voor filtering van de evenementen, de types van rapporten die kunnen worden geproduceerd, en de capaciteit om statistieken te produceren. Het veiligheidssysteem moet een registratiecapaciteit bezitten die de mogelijkheid biedt om deze informatie gedurende een jaar te bewaren. De noodzakelijke uitrustingen voor het meten, registreren en bewaren van deze informatie maken deel uit van deze opdracht.

III.1.4.5.6 Beheer van de Capaciteit (Capacity Management) Het Beheer van de Capaciteit is verantwoordelijk voor de verzekering dat de capaciteit van de infrastructuur inzake serviceniveaus (Service Level: SLs) in overeenstemming is met de toenemende vraag van de organisatie (kosten en prestaties). Het proces omvat :

 De opvolging van de prestaties van de services en de componenten van de infrastructuur

 De activiteiten voor optimalisering (tuning) met betrekking tot het gebruik van de bestaande middelen

 De kennis van alle verzoeken op het vlak van voorzieningen en de opmaak van prognoses voor toekomstige verzoeken

 De productie van een capaciteitsplan om de kwaliteit van de geleverde services te verzekeren Supervisie (monitoring) Het gebruik van alle voorzieningen en services opvolgen zodat de overeengekomen serviceniveaus kunnen worden gehaald en de businessvolumes worden verwerkt zoals voorzien. Activiteiten

 Meetinstrumenten invoeren: voor de capaciteitsinformatie: mate van gebruik van voorzieningen, netwerkdebieten, enz. voor de prestatie-informatie: responstijd beschikbaarheid van de services vanuit en naar de verschillende zones (FedMan/Internet, de DMZ-zones, de interne zones, enz...)

 Drempels en referentiesituaties bepalen: drempels voor overbenutting van de voorzieningen of drempels, gedefinieerd binnen de waarden van de SLA’s


 Alarmeren in geval van overschrijding van de drempels en aanmaken van rapporten over anomalieën Analyse De verzamelde informatie moet worden geanalyseerd om de trends te identificeren en referentiesituaties op te maken (baseline).

 Via regelmatige meting en vergelijking met deze referentiesituaties, vaststelling van voorwaarden voor overschrijding van het gebruik van de voorzieningen en de services.

 Vergelijking ook met de evolutieprognoses.  Potentiële detecties van probleemsituaties Verbetering van de prestaties (tuning) De analyse van de verzamelde gegevens kan domeinen aan het licht brengen waar de configuratie moet worden aangepast om een systeemvoorziening beter te benutten of om de prestaties van een specifieke service te verbeteren.

III.1.4.6 SLA III.1.4.6.1 Algemeen De geboden oplossing moet worden ondersteund met een Service Level Agreement (SLA). De SLA moet het serviceniveau beschrijven dat de FOD verwacht en waartoe de aannemer zich verbindt. De SLA heeft betrekking op:

 De globale beschikbaarheid van het systeem om zijn functie te vervullen volgens het verwachte kwaliteitsniveau: deze parameter consolideert de volgende kenmerken : De beschikbaarheid van het systeem : werkt het systeem of niet ? Het prestatieniveau van het systeem : het zal als onbeschikbaar worden beschouwd als het verwachte prestatieniveau niet wordt gehaald Het door het systeem geboden veiligheidsniveau: het zal als onbeschikbaar worden beschouwd als er veiligheidslekken worden waargenomen.

 De oplossing van problemen. Als het serviceniveau, gedefinieerd in de SLA, niet wordt gehaald, worden er boetes toegepast. De boetes vertegenwoordigen een percentage van de maandelijkse globale kostprijs voor het onderhoud. Daaronder moeten worden verstaan de kosten, die te maken hebben met het onderhouden en het vrijwaren van de uitrusting in goede staat, het handhaven van haar capaciteit om het systeem te beschermen, en het opvolgen van het systeem. De boetes worden ingehouden op de kosten voor support en onderhoud, betaald op de vervaldag. De SLA is van toepassing vanaf de migratie van de eerste service naar de nieuwe infrastructuur. De eventuele boetes zijn verschuldigd met betrekking tot de lopende onderhouds- en servicecontracten. Het bedrag van de boetes is vastgesteld volgens de volgende principes:

 Een boete heeft te maken met de onbeschikbaarheid of een veiligheidsfout van het systeem, ten opzichte van de beschikbaarheid van de bekeken periode

 Een boete heeft te maken met incidenten die niet werden opgelost binnen een redelijke termijn; deze boete is verschuldigd voor elk incident afzonderlijk.

 De verschillende boetes zijn cumulatief. De aannemer verbindt zich tot het behalen van het hieronder beschreven resultaat. De cijfers, metingen en boetes, alsook de overeenstemmende clausules, mogen in geen geval worden gewijzigd. Een « best effort » wordt nooit geaccepteerd als een resultaat. De aannemer mag in 81 FOD Financiën – Veiligheidsplatform en antivirus

principe niet raken aan het resultaat: hij mag daarentegen modaliteiten en procedures voorstellen om het resultaat te kunnen behalen. Later, na de gunning van de opdracht, moeten de procedures en modaliteiten worden besproken, in overleg aangepast en eventueel aangevuld als de FOD Financiën dat nodig acht. Eveneens moeten de basisprincipes, geformuleerd in dit bijzonder bestek en in de offerte van de aannemer, worden gerespecteerd. De kwaliteit van de service zal worden geëvalueerd rekening houdend met enerzijds de goede werking van de technische infrastructuur van het veiligheidssysteem, en anderzijds het daadwerkelijk bereikte veiligheidsniveau. Om een correcte evaluatie van de werking van het systeem mogelijk te maken, moet de inschrijver in zijn offerte het nominale gegevensdebiet specificeren waartoe hij zich verbindt in het systeem, rekening houdend met alle controles en activiteiten die betrekking hebben op de informatiestroom, alsook met de nominale verspreidingstermijn.

III.1.4.6.2 Globale beschikbaarheid. De geboden oplossing moet minstens 99,80% correct kunnen functioneren op maandelijke basis. Men meent dat een correcte werking niet verzekerd is als:

   

De informatiestroom wordt onderbroken (beschikbaarheid) De verspreidingstermijn hoger ligt dan normaal (prestatieniveau) De veiligheid van de informatiestroom niet langer is gegarandeerd (security level) Of als gegevens regelmatig zoek raken (prestatieniveau).

De globale beschikbaarheid zal worden geëvalueerd volgens een gemiddelde beschikbaarheid per gebruikte interface en per type van verkeer, gewogen ten opzichte van het gemiddelde verkeer, zoals dat naar voren komt uit de statistieken met de meetgegevens van het systeem. Bij gebrek aan bruikbare statistieken moeten de nominale debieten worden gehanteerd. Het falen van de interne interface komt overeen met een onbeschikbaarheid van 100% voor het bewuste verkeerstype, ongeacht de staat van de andere interfaces. Definitie van de « serviceperiodes » De operationele veiligheidsservice zal zijn diensten ononderbroken verlenen gedurende 365 dagen op 365 en 24 uur op 24. De dagelijkse diensturen tijdens de serviceperiode worden als volgt gedefinieerd:

 Van 06.00 tot 24.00 uur: Peak-Hours service  Van 24.00 tot 06.00 uur: Off-peak hours service Onderhoud Het geplande onderhoud kan de onbeschikbaarheid van de veiligheidsservice veroorzaken of een impact hebben op het prestatieniveau van de service. De veiligheidsinfrastructuur moet minstens twee volledige overeenstemmende uitrustingen omvatten met twee toegangswegen. Het onderhoud moet zodanig worden georganiseerd dat er slechts één toegangsweg tegelijk wordt onderbroken.

 Venster voor onderhoud  Er kunnen onderhoudsperiodes worden voorzien in overleg met de FOD Financiën. Dit geplande onderhoud moet plaatsvinden middels een voorafgaand akkoord van de FOD Financiën en moet lang genoeg vóór zijn uitvoering worden 82 FOD Financiën – Veiligheidsplatform en antivirus

gecomuniceerd door de leverancier (naargelang het type van de interventie kan de termijn worden aangepast door de FOD Financiën). Tijdens deze onderhoudsperiode zijn belangrijke updates van de software of wijzigingen in de topologie, de configuratie, verzoeken om wijziging of kleinere veranderingen die eventueel een impact zouden kunnen hebben op de service, de installatie van softwarepatches of geringe configuratieveranderingen zonder impact op de service, toegestaan. Als blijkt dat deze veranderingen een impact hebben op de services, moeten ze worden gecommuniceerd.  Wanneer de mogelijkheid bestaat dat er een impact is op de services, mag de tijd, besteed aan het onderhoud, niet worden meegenomen in de berekening van de beschikbaarheidsgraad. De noodzakelijke periode voor het onderhoud met een mogelijke impact moet voorafgaandelijk worden gedefinieerd door de aannemer in samenspraak met de FOD Financiën voor elke interventie (de FOD Financiën beslist zelf als er geen overeenstemming is).

 Venster voor kritiek onderhoud  Omwille van de proactieve positie die de FOD Financiën verwacht van de leverancier, zouden er vensters voor kritiek onderhoud kunnen worden geëist na een wederzijds akkoord tussen de FOD Financiën en de leverancier. Een « venster voor kritiek onderhoud » wordt gedefinieerd als « elke correctieve actie naar aanleiding van een groot veiligheidsprobleem dat de vertrouwelijkheid, de integriteit of de beschikbaarheid van de service in het gedrang zou kunnen brengen ».  De tijd, besteed aan het kritieke onderhoud, wordt meegenomen in de berekening van de KPI’s.  Als het onderhoud om een of andere reden moet worden uitgevoerd tijdens een « peak-periode » en als de systemen moeten worden stilgelegd, zal de tijd, besteed aan dit onderhoud, worden beschouwd als een periode van onbeschikbaarheid en worden meegenomen in de berekening van de KPI’s, tenzij er vooraf een formele goedkeuring van de FOD Financiën werd verkregen. Hoe dan ook moeten alle onderhoudsvensters worden bepaald in overleg tussen de aannemer en de verantwoordelijken van de FOD Financiën; de beschrijving hierboven is indicatief. Geprogrammeerde stillegging is niet vervat in de meetperiode. De meting wordt om de maand uitgevoerd, zonder rekening te houden met geprogramemerde stillegging. De boete bedraagt x% van de totale kostprijs van de services per maand, volgens de onderstaande tabel: Beschikbaarheid ten opzichte van de periode (maandelijkse basis) van « service beschikbaarheid » 99,80% 99,70% 99,60% 99,50 % 99,40 % 99,30 % 99,20 % 99,10 % 99,00 % Per 0,5 % onder 99 %

Boete % (SLA)

0 1 2 3 4 5 6 7 8 2,5 % bovenop die 8 maximum van 100 %

%, met een absoluut

De evaluatie van de beschikbaarheid zal geen rekening houden met periodes van onbeschikbaarheid te wijten aan:

 Een gegevensdebiet dat aanzienlijk hoger ligt dan het aangekondigde debiet  Een defect van een voorziening buiten het veiligheidssysteem (vb. een defecte lijn) 83 FOD Financiën – Veiligheidsplatform en antivirus

 Een foutieve interventie vanwege een personeelslid van de administratie, indien deze wijziging niet door de aannemer werd gevalideerd volgens de procedure van change management, overeengekomen binnen 8 werkuren na de interventie

 Elke oorzaak die ontegensprekelijk niet kan worden toegeschreven aan de aannemer en aan uitrustingen, software of prestaties die niet door hem werden geleverd (de prestaties van een onderaannemer, in dienst genomen door de aannemer in het kader van deze opdracht, maken deel uit van de prestaties van de aannemer). Security level De belangrijkste functie van het systeem voor de beveiliging van het netwerk is dit te beschermen tegen kwaadwillige handelingen, handelingen die schadelijk zijn, zelfs zonder de intentie te hebben om schade toe te brengen (vb. doorsturen van een bericht dat een virus bevat), of abnormaal verkeer dat vergelijkbare gevolgen heeft. Men dient hier verschillende soorten aanvallen in aanmerking te nemen:

 Tijdelijke verstoring van de werking van een te beschermen informaticasysteem (vb. aanvallen van het type « denial of service »)

 Permanente aantasting van de werking van een te beschermen informaticasysteem (vb. via besmetting met een virus)

 Ongeoorloofde consultatie van gegevens binnen een te beschermen informaticasysteem  Vernietiging of aanpassing van gegevens binnen een te beschermen informaticasysteem

 … Zodra er een lacune wordt vastgesteld in de beveiliging van een gegevensstroom, wordt deze stroom als onderbroken beschouwd en zijn de overeenstemmende boetes van toepassing. Het incident wordt echter niet meegenomen in de berekening van de onbeschikbaarheid als:

 Wordt vastgesteld dat het incident werd veroorzaakt of bevorderd door een foutieve interventie van een personeelslid van de administratie

 Wordt vastgesteld dat het incident werd veroorzaakt of bevorderd door een onvoorzichtige openstelling van de toegangswegen en dit op uitdrukkelijk verzoek van de administratie; de aannemer is evenwel verantwoordelijk om de FOD Financiën te waarschuwen. In het geval van vernietiging, wijziging of ongeoorloofde inzage van gegevens die door de aannemer moeten worden beveiligd, en als zijn verantwoordelijkheid duidelijk wordt vastgesteld, zal de boete per inbreuk 10% van de totale kostprijs van de services per maand bedragen voor gegevens die als minder vertrouwelijk worden beschouwd (bijvoorbeeld gegevens op een workstation die niet in de categorie van vertrouwelijke gegevens thuishoren) en zal de boete per inbreuk 20% van de totale kostprijs van de services per maand bedragen voor vertrouwelijke gegevens (bijvoorbeeld gegevens over natuurlijke personen en gegevens over ondernemingen). Deze boetes komen bovenop de andere boetemechanismen. Naargelang de omstandigheden is het mogelijk om het begin en het einde van een incident vast te stellen:

 Door de rechtstreekse vaststelling van een personeelslid van de administratie  In het kader van een controle van de veiligheid van het netwerk  Op basis van geschreven of geregistreerde sporen (vb. logfiles) op voorwaarde dat de FOD Financiën eveneens vaststelt dat het probleem is opgelost.

 Door de rechtstreekse vaststelling van de aannemer op voorwaarde dat de FOD Financiën dezelfde vaststelling doet. 84 FOD Financiën – Veiligheidsplatform en antivirus

Zodra de administratie een incident vaststelt, meldt ze dit aan de aannemer. Zodra de aannemer een incident vaststelt, meldt hij dit aan de administratie. Als het begin en het einde van een incident heel precies kunnen worden bepaald met behulp van de geregistreerde informatie over de werking van de veiligheidssystemen, moet men zich baseren op die gegevens. Als het incident de goede werking van een belangrijk informaticasysteem dat binnen het netwerk moet worden beschermd, in het gedrang brengt (systeem voor collectief gebruik of individueel systeem voor specifiek, belangrijk gebruik), wordt de werking van het veiligheidssysteem als hersteld beschouwd zodra het veiligheidsincident is opgelost en het beschadigde systeem is hersteld binnen een normale termijn. Als het incident geen onmiddellijk waarneembare en meetbare schade verzoorzaakt (vb. consultatie van gegevens zonder toelating, wordt de werking van het veiligheidssysteem als onderbroken beschouwd tussen het moment waarop het incident wordt vastgesteld en het moment waarop een oplossing wordt aangereikt.

Als het incident wordt vastgesteld door het personeel van de inschrijver en als het geen onmiddellijk waarneembare en meetbare schade veroorzaakt, zal het niet worden meegenomen in de berekening van de onbeschikbaarheid van het systeem gedurende een periode die overeenstemt met de normale interventietermijn voor een uniek incident (zie punt « Behandeling van incidenten en problemen »). Prestatieniveau Op basis van Controle- en Observatiepunten, die moeten worden geïnstalleerd binnen de begrenzingen van de infrastructuur, moet de leverancier in staat zijn om indicatoren te verschaffen met het oog op de controle van het prestatieniveau. Indien tijdens die controlewerkzaamheden niet of slechts gedeeltelijik wordt voldaan aan de prestaties en/of functionaliteiten, gevraagd in het bestek en/of aangekondigd in de offerte en in de aanvullende documenten, verbindt de leverancier zich ertoe voor eigen rekening de noodzakelijke wijzigingen of aanvullingen te voorzien of om het geheel of een gedeelte van de softwarevoorzieningen te vervangen door een conforme voorziening. In die veronderstelling moeten alle opleveringstests opnieuw worden uitgevoerd, nadat de leverancier die nodige wijzigingen, aanvullingen of vervangingen heeft doorgevoerd. De prestatie-indicatoren moeten worden besproken tijdens de fase van onderhandeling met de leveranciers in het kader van de opmaak van de SLA. De inschrijver moet in zijn offerte de prestatie-indicatoren beschrijven die hij voorstelt te gebruiken, naast de ingezette technische middelen om ze te meten, of het nu gaat om middelen, geïntegreerd in de geleverde infrastructuur, of meetinstrumenten waarover de dienstverlener beschikt. Hij moet ook preciseren hoe hij van plan is ze te gebruiken. De modaliteit voor de reële toepassing van deze prestatie-indicatoren moet worden besproken tijdens de fase van onderhandeling met de leverancier in het kader van de opmaak van de SLA.


III.1.4.6.3 Behandeling van incidenten en problemen Voor elke categorie van incidenten wordt een maximale termijn vastgelegd: Ernst van het incident

Unieke incidenten : 100% Veelvoudige incidenten : van de oproepen opgelost 100% van de oproepen Veelvoudige incidenten: 80% opgelost van de oproepen opgelost Level 1 5 uur 8 uur Level 2 1 werkdag 2 werkdagen Level 3 5 werkdagen 10 werkdagen In het geval van een uniek incident moet de oplossing plaatsvinden binnen de termijnen van de tweede kolom. Bij veelvoudige en gelijktijdige incidenten zijn de termijnen van de tweede en de derde kolom van toepassing. Als een incident bijkomende incidenten genereert, zal de ernst van het totale incident (en dus de opgelegde interventietermijn) die van het meest ernstige incident zijn. Elk incident moet worden behandeld en opgelost binnen een maximale termijn die afhangt van de aard en de ernst van het incident. Elk incident dat niet wordt opgelost binnen de maximale termijn, zal aanleiding geven tot een boete van 3% van de totale maandelijkse kostprijs voor het onderhoud. De boete is maandelijks veschuldigd voor elk incident dat niet is opgelost binnen de gestelde termijn. Elke incident dat niet is opgelost binnen maand x wordt automatisch verschoven naar maand x+1 en geeft aanleiding tot een nieuwe boete, als het niet tijdig werd opgelost. De boete komt bovenop de boetes voor een ontoereikende beschikbaarheid, bedoeld in vorig punt.

III.1.4.7 Permanente consultancy De aanwezigheid 5/5 werkdagen ter plaatse van een ingenieur van de firma die de funcies van consultant zal vervullen, met name op deze gebieden: technisch adviseur, systeembeheerder en designarchitect, gericht op veiligheid. Deze personen (1 man/dag) moeten beschikbaar zijn op de site om de verantwoordelijken van de FOD Financiën bij te staan. Deze post moet worden vervuld door meerdere personen die een goede kennis moeten hebben van onze infrastructuur ; elk van deze personen moet adviescompetenties hebben op de volgende gebieden: technisch adviseur, systeembeheerder en designarchitect, gericht op veiligheid. Meerdere personen om alle werkdagen te bestrijken en om het hoofd te bieden aan de toevallige afwezigheid van één van deze mensen (ziekte). Wanneer een nieuwe consultant wordt opgenomen, moet deze alle kennis over onze infrastructuur worden bijgebracht alvorens te worden opgenomen in het team, en dit zonder bijkomende kosten. Deze consultant realiseert niet alle uit te voeren taken; hij bereidt de verzoeken voor zodat ze worden uitgevoerd door zijn collega’s, verantwoordelijk voor de diensten voor beheer, onderhoud en assistentie. Op verzoek van de FOD Financiën doet hij snelle interventies met betrekking tot de apparatuur.

III.1.4.8 Punctuele consultancy. Op verzoek van de FOD Financiën zal de aannemer aan de FOD Financiën een specialist van de firma ter beschikking stellen die antwoordt op specifieke vragen. De voorgestelde specialist moet zorgvuldig worden gekozen in functie van de uit te voeren werken.

III.1.4.9 Opleiding III.1.4.9.1 Organisatie van de opleidingen De aannemer moet de opleidingsactiviteiten verzorgen in het Nederlands en het Frans. Het Engels mag uitzonderlijk worden gebruikt voor bepaalde specifieke opleidingen, op uitdrukkelijke voorwaarde dat de FOD Financiën vooraf zijn akkoord geeft. 86 FOD Financiën – Veiligheidsplatform en antivirus

Het personeel, belast met de opleidingsactiviteiten, moet:  Een erkende expertise bezitten in de opleiding die wordt verstrekt ;  PERFECT de taal beheersen waarin de training wordt gegeven ;  Beschikken over essentiële pedagogische kwaliteiten om de kennis op gestructureerde en systematische wijze over te dragen aan de deelnemers aan de training;  De pedagogische middelen kunnen hanteren en zich er op het gepaste moment van bedienen;  Rekening houden met de opmerkingen van de aanbestedende overheid voor wat betreft de inhoud en de presentatie van de opleiding. De FOD Financiën is er voorstander van dat de voorgestelde opleidingen uitmonden in een certificatie. De aanbestedende overheid behoudt zich het recht voor om per telefoon, fax of e-mail, gevolgd door een bevestiging via aangetekende brief, de onmiddellijke vervanging te eisen van een of meer docenten die niet zouden voldoen aan de vereiste kwalificaties, en dit door docenten die minstens gelijkwaardige capaciteiten bezitten als degene die werden geformuleerd in de offerte. Deze opleidingsactiviteiten moeten plaatsvinden ofwel in de lokalen van de FOD Financiën, ofwel in de lokalen van de aannemer. Naargelang de omstandigheden zal de FOD Financiën alleen beslissen over de plaats van de opleidingen. Als de opleiding echter zou worden gegeven in de lokalen van de aannemer, mag de aannemer lokalen voorstellen buiten zijn eigen gebouwen, voor zover deze zich bevinden in de Brusselse regio. De lokalen moeten een pc per deelnemer bevatten, naast de nodige didactische apparatuur. De cursusmaterialen moeten voor elke deelnemer worden voorzien in zijn eigen taal. Van deze vereiste mag niet worden afgeweken zonder de FOD Financiën vooraf te hebben verwittigd en diens toestemming te hebben gekregen. De aannemer zal erop toezien drankjes aan te bieden aan de deelnemers en zal ‘s middags een lunch organiseren en voorzien voor elk van de deelnemers, dit voor de totale duur van de opleidingssessie. Zo nodig zal de FOD Financiën de aannemer vragen om nieuwe trainingssessies te organiseren tijdens de hele duur van de opdracht (nieuwe deelnemers, nieuwe hardware, nieuwe software, enz…).

III.1.4.9.2 Opleiding van de beheerders Er moet een opleiding in het Nederlands en het Frans worden verzorgd voor de systeemingenieurs (maximaal 5 personen). Deze moet betrekking hebben op alle aspecten van de producten, services en software. De offerte moet de teneur van de trainingen specificeren. Voor trainingen die het voorwerp uitmaken van specificaties vanwege de softwareleveranciers, moet het cursusmateriaal van de gecertificeerde opleidingen worden gebruikt. De trainer van elke opleiding moet als moedertaal de taal hebben waarin hij de training moet geven.


III.1.4.10 Sensibilisering van de gebruikers De inschrijver moet in zijn services een benadering voorstellen voor de sensibilisering van de gebruikers. Deze benadering moet worden gedefinieerd in de fase van de definitie van de « Security Policy ». De inschrijver moet de benadering voorstellen die hem het meest geschikt lijkt om de gebruikers te sensibiliseren inzake de soorten gevaren die ze lopen en inzake de middelen om er het hoofd aan te bieden.

III.1.4.11 Rapporten De aannemer moet op maandelijkse basis de volgende rapporten voorzien over de geleverde services:

        

Beschikbaarheid van de infrastructuur Prestatieniveau Incidenten Status van de Change Requests Top 500 van denied, rejected verbindingen Top 500 gebruik van bandbreedte door servers (interne gebruikers/servers) Top 500 gebruik van bandbreedte door servers (externe gebruikers/servers) Open punten/acties Staat van veranderingen, upgrades, patches en andere onderhoudsoperaties + planning van softwareupgrades.

Op het vlak van de veiligheid moet de aannemer de volgende rapporten kunnen aanmaken (lijst onvolledig) :

             

Inbound Denies and Drops per Source IP. Denies and Drops per Firewall Rule. Number of Inbound HTTP or HTTPS Hits per Source IP. Number of Outbound Connections, per Port. Suspicious Inbound Denies and Drop per Port. Number of Inbound HTTP or HTTPS Hits per Source IP. Number of Inbound Events per Hour of the Day. Number of Outbound Events per Hour of the Day. Rules most Frequently Fired. Machines Connected to, Inbound, per Destination. Number of Outbound HTTP or HTTPS Hits per Destination IP. Suspicious Inbound Denies and Drops per Destination IP. Number of Outbound HTTP or HTTPS Hits per Source IP. Number of Inbound Connections, per Port.

Wat betreft de rapporten over het netwerk moet de aannemer de volgende rapporten kunnen aanmaken. Hij moet ook de drempels (threshold) specificeren die hij voorziet voor elke parameter (lijst onvolledig). 88 FOD Financiën – Veiligheidsplatform en antivirus

Level Device

Report Device Errors

Device Status

Interface

Errors

Multicast traffic

Status Traffic

Elements reported IP Discards In (%) IP Discards Out (%) IP No Route (%) SNMP Agent Restart Operstatus Check Availability (%) Round Trip Time (ms) Loss In (%) Loss Out (%) Errors In (packets/sec) Errors Out (packets/sec) Discards In (packets/sec) Unknown Protocols In (packets/sec) Throughput in Unicast (packets/sec) Throughput out Unicast (packets/sec) Throughput in NonUnicast (packets/sec) Throughput out NonUnicast (packets/sec) Operstatus Check Availability (%) Throughput In (bytes/sec) Throughput Out (bytes/sec) Utilisation In (%) Utilisation Out (%)

Threshold

De inschrijver moet vermelden hoe hij de beschikbaarheid van de DNS-, SMTP- en http-services wil meten en rapporteren.

III.1.4.12 Technische documentatie De aannemer moet aan de administratie alle noodzakelijke technische documentatie bezorgen voor het gebruik van het systeem, en dit ofwel in het Nederlands en in het Frans, of in het Engels, in functie van de taal waarin ze voorhanden is. De documentatie moet meer bepaald de technische handleidingen bevatten die de karakteristieken en de gebruiksregels beschrijven van de uitrustingen en softwareprogramma’s die deel uitmaken van het project, alsook een gedetailleerde beschrijving van het gehele systeem met verduidelijkingen over de verschillende subsystemen en de bijbehorende verbindingen. De offerte moet het mediumtype preciseren waarin de documentatie zal worden voorzien (papier, cd-rom, …), alsook de standaardhoeveelheden en de voorwaarden waartegen bijkomende exemplaren kunnen worden besteld. De aannemer is verplicht om alle karakteristieken met betrekking tot het gebruik van de geleverde uitrustingen te verschaffen op eenvoudig verzoek van de administratie.


III.1.4.13 Personeel en veiligheid Het personeel van de aannemer dat moet werken in de lokalen van de FOD Financiën, moet zich onderwerpen aan de veiligheidsmaatregelen die van toepassing zijn in die lokalen. Deze maatregelen omvatten maatregelen voor toegangscontrole. Elke persoon die werkt in de lokalen van de FOD Financiën, moet worden geïdentificeerd en moet in het bezit zijn van een identiteitsbewijs. De FOD Financiën behoudt zich het recht voor om de toegang tot zijn lokalen te ontzeggen aan een persoon die niet de vereiste veiligheidsgaranties kan voorleggen. De aannemer en zijn personeel zijn gebonden aan het beroepsgeheim voor alle informatie die hen in het kader van de opdracht ter kennis wordt gebracht over de organisatie van de FOD Financiën of de door hem verwerkte informatie. Ze zijn tevens gebonden aan het beroepsgeheim voor alle informatie die hen in het kader van de opdracht ter kennis wordt gebracht over de netwerkarchitectuur van de FOD Financiën en de ingezette middelen om deze te beschermen. De aannemer moet zijn werkzaamheden en interventies in de lokalen van de FOD Financiën zodanig organiseren dat

 De werking van de diensten van de administratie niet in het gedrang wordt gebracht,  De veiligheid van de site niet in het gedrang wordt gebracht,  De veiligheid van het personeel dat er werkt, niet in het gedrang wordt gebracht.


III.2 Lot 2 : Antivirus workstations en servers. III.2.1 Inleiding Dit lot betreft de bescherming tegen malwares van de Windows-machines (workstations en servers) alsook de analyse en de opslag van bestanden. De leverancier verbindt zich tot het deelnemen aan de jaarlijkse oefeningen voor disaster recovery; de scenario’s voor technisch herstel moeten worden voorbereid zoals aangegeven door de FOD Financiën en moeten het mechanisme voor het beheer van wachtwoorden accepteren dat wordt gebruikt in het geval van een catastrofe. Er moet een mogelijkheid bestaan tot uitwisseling tussen de systemen voor het beheer van veranderingen en incidenten van de leverancier en dat van de FOD Financiën. De inschrijver moet elk beroep op onderaanneming vermelden met opgave van het aandeel van de opdracht dat wordt uitbesteed, alsook de naam van de onderaannemers. De inschrijver houdt rekening met het volgende punt : IV.8 BIJLAGE VIII : Beheer van het project en methodologie.

III.2.2 Antivirus workstations III.2.2.1 Technische specificaties van de centrale architectuur voor beheer en distributie III.2.2.1.1 Architectuur Support OS: De gevraagde server(s) moet(en) de volgende besturingssystemen ondersteunen gecertificeerd zijn voor deze systemen : Desktop : Windows 2000(dit jaar beëindigd), Windows XP, Windows Server : Windows 2003, Windows 2003 R2, Windows 2008

en 7

Beschrijving De inschrijver moet een gedetailleerde beschrijving voorzien van de vereiste hardware- en softwarecomponenten voor de serverarchitectuur. Het voorstel moet voldoende gedetailleerd zijn op technisch vlak opdat de administratie op basis van het voorstel van de inschrijver kan oordelen over de functionaliteiten.

III.2.2.2 Technische specificaties van de speficieke software voor het antivirusbeheer van de centrale architectuur voor beheer en distributie en van de specifieke software voor antivirusbeheer van de Windows-workstations De FOD Financiën wenst een geïntegreerd systeem te installeren dat de kans biedt om de antivirussoftware op alle Windows-workstations te beheren vanuit een centrale architectuur.   

Het moet mogelijk zijn om vanuit deze centrale software op afstand een antivirusprogramma op alle Windows-workstations te installeren, alsook de vereiste updates voor dit programma, en dit op volstrekt automatische wijze. De software, bedoeld voor de centrale server(s), moet dus worden aangepast aan het antivirusprogramma, dat te installeren is op de Windows-stations. De installatiefase dekt eveneens naast de ingebruikstelling van de centrale architectuur de installatie en de configuratie van antivirusclients op de Windows-stations. 91


  

              

Het moet tevens mogelijk zijn om vanuit elk Windows-station een gedetailleerde status van het antivirusprogramma in te kijken. Het door de inschrijver voorgestelde beheerssysteem moet de nodige middelen bevatten om de toepassing van de SLA te kunnen nagaan. De door de aannemer op de Windows-stations geïnstalleerde software moet beschikbaar zijn in het Nederlands, het Frans, het Duits en het Engels. De aannemer moet erop toezien dat de taal van de op de stations te installeren antivirussoftware dezelfde is als die van het besturingssysteem, geïnstalleerd op deze stations. De software moet het station ‘on access' kunnen scannen (op het moment van de toegang) en 'on demand' (op verzoek). De software moet het station ’in memory’ (in geheugen) kunnen scannen op basis van de processen, en moet “malicious processes” (kwaadaardige processen) kunnen stopzetten. Het moet mogelijk zijn om de persoonlijke firewall op elk station te activeren via een centrale tool voor activering en configuratie. De belasting van de processor die het antivirusprogramma uitvoert op de workstations, moet kunnen worden gesuperviseerd en ingesteld vanuit een centrale console. De belasting van het netwerk door de updates van de software moet zo beperkt mogelijk blijven. De updates moeten op incrementele basis plaatsvinden. De beheerstool moet zodanig worden geconfigureerd dat het mogelijk is om een verdeling tot stand te brengen, zowel op het vlak van de administratieve organisatie als van de geografische spreiding van de Windows-stations. Het moet mogelijk zijn om verschillende beleidslijnen (regels) toe te kennen aan de bovenvermelde verdelingen (gebruikersgroepen) of een gelijkaardige functionaliteit De software moet een mogelijkheid bieden om de TCP-poorten op alle Windows-stations te beheren, en ze zo nodig ook te sluiten. Deze activiteiten moeten op afstand en op gecentraliseerde wijze kunnen worden gestuurd. De software moet de vereiste bescherming kunnen blijven verzekeren in het geval van een eventuele migratie. De software moet kunnen worden geconfigureerd volgens een architectuur op basis van de Active Directory. De voorgestelde oplossing moet echter losstaan van deze Active Directory-omgeving en moet volstrekt autonoom functioneren. Het gecentraliseerde beheer van het systeem is bijzonder belangrijk. De invoering van een testomgeving moet door de aannemer worden voorzien ; de updates van de antivirussoftware moeten kunnen worden getest binnen deze omgeving vóór hun gecentraliseerde distributie. Het moet eveneens mogelijk zijn om reeds geïnstalleerde updates te desactiveren bij problemen. De agent van de antivirussoftware moet niet worden gedesactiveerd door de lokale gebruiker (die beschikt over standaardrechten). De inschrijver voorziet in zijn offerte naast de reeds tot dusver aangehaalde support ook de mogelijkheid om te beschikken over een specialist van de firma om speciale problemen te onderzoeken en op te lossen.

III.2.2.3 Rapporten De reporting ten behoeve van de beheerders is erg belangrijk. De inschrijver moet een gedetailleerd overzicht voorzien van alle rapporten (« reporting ») die kunnen worden aangemaakt, naast de mogelijkheden voor consignatie in een logbestand (logging) en verzending van alarmberichten (alerting). De rapporten moeten ook in grafische vorm kunnen worden voorgelegd. De software moet de mogelijkheid bieden om de beheerders automatisch te verwittigen bij specifieke problemen (“ticketting system”).

III.2.2.4 Karakteristieken van de Windows-workstations


Het begrip ‘Windows-workstation’ duidt op alle pc’s, inbegrepen de portables (in totaal 30.000 units), aangesloten op het netwerk. Zie BIJLAGE II : Beschrijving van het interne netwerk IV.2 voor een beschrijving van het netwerk. Het besturingssysteem, geïnstalleerd op de Windows-stations, is Microsoft Windows 2000 (dit jaar beëindigd), Windows XP en Windows 7. Dit systeem is geïnstalleerd in de volgende talen: Nederlands, Frans, Duits. Het antivirusprogramma dat reeds aanwezig is op de Windows-stations, is McAfee Enterprise versie 8.8 en de agent van ePolicy Orchestrator versie 4.5 met de servers voor het beheer van ePolicy Orchestrator. De inschrijver moet rekening houden met het feit dat er slechts één antivirusprogramma actief mag zijn op de Windows-stations. De aannemer moet een oplossing hebben die de mogelijkheid biedt om de bestaande antivirussoftware te desinstalleren. Aangezien de Windows-stations verspreid zijn over heel België, moet de installatie van de antivirusclient op deze stations op afstand kunnen worden uitgevoerd, en dit op gecentraliseerde wijze. De aannemer moet de installatie en de configuratie van de antivirussoftware op de workstations op zich nemen. Deze Windows-stations worden centraal geconfigureerd en beheerd (Active Directory) en maken deel uit van een Windows-domein (meerdere domeinen mogelijk). De installatie en de updates moeten kunnen worden uitgevoerd:  Zonder dat de gebruiker lokale beheersrechten heeft met betrekking tot de machine ;  Zonder interventie vanwege de gebruiker. De updates moeten bovendien kunnen worden uitgevoerd zonder dat het station opnieuw moet worden opgestart.

III.2.2.5 Opleiding De aannemer moet de opleidingsactiviteiten verzorgen in het Nederlands en het Frans. Het Engels mag uitzonderlijk worden gebruikt voor bepaalde specifieke opleidingen, op uitdrukkelijke voorwaarde dat de FOD Financiën vooraf zijn akkoord geeft. Het personeel, belast met de opleidingsactiviteiten, moet:  Een erkende ervaring bezitten in de opleiding die wordt verstrekt ;  PERFECT de taal beheersen waarin de training wordt gegeven ;  Beschikken over essentiële pedagogische kwaliteiten om de kennis op gestructureerde en systematische wijze over te dragen aan de deelnemers aan de training;  De pedagogische middelen kunnen hanteren en zich er op het gepaste moment van bedienen;  Rekening houden met de opmerkingen van de aanbestedende overheid voor wat betreft de inhoud en de presentatie van de opleiding. De FOD Financiën is er voorstander van dat de voorgestelde opleidingen uitmonden in een certificatie. De aanbestedende overheid behoudt zich het recht voor om per telefoon, fax of e-mail, gevolgd door een bevestiging via aangetekende brief, de onmiddellijke vervanging te eisen van een of meer docenten die niet zouden voldoen aan de vereiste kwalificaties, en dit door docenten die minstens gelijkwaardige capaciteiten bezitten als degene die werden geformuleerd in de offerte. Deze opleidingsactiviteiten moeten plaatsvinden ofwel in de lokalen van de FOD Financiën, ofwel in de lokalen van de aannemer. Naargelang de omstandigheden zal de FOD Financiën alleen beslissen over de plaats van de opleidingen. Als de opleiding echter zou worden gegeven in de lokalen van de aannemer, mag de aannemer lokalen voorstellen buiten zijn eigen gebouwen, voor zover deze zich bevinden in de Brusselse regio. 93 FOD Financiën – Veiligheidsplatform en antivirus

De lokalen moeten een pc per deelnemer bevatten, naast de nodige didactische apparatuur.

De cursusmaterialen moeten voor elke deelnemer worden voorzien in zijn eigen taal. Van deze vereiste mag niet worden afgeweken zonder de FOD Financiën vooraf te hebben verwittigd en diens toestemming te hebben gekregen. De aannemer zal erop toezien drankjes aan te bieden aan de deelnemers en zal ‘s middags een lunch organiseren en voorzien voor elk van de deelnemers, dit voor de totale duur van de opleidingssessie. Zo nodig zal de FOD Financiën de aannemer vragen om nieuwe trainingssessies te organiseren tijdens de hele duur van de opdracht (nieuwe deelnemers, nieuwe hardware, nieuwe software, enz…). Er moeten door de aannemer opleidingen worden georganiseerd en verzorgd voor maximaal 10 personen van de FOD Financiën. Deze trainingen moeten erkend zijn door de leverancier van het voorgestelde product en moeten bij voorkeur aan de deelnemers de kans bieden om een certificaat te bekomen. De aannemer moet ook zorgen voor het nodige cursusmateriaal en voor maaltijden voor de deelnemers.

III.2.2.6 Interventie Als blijkt dat door de installatie van een antivirusupdate één of meer services en/of workstations onbeschikbaar worden voor de eindgebruikers, of als dit een impact heeft op de diensten van Financiën, dan moet de aannemer de verantwoordelijkheid nemen om de services te herstellen. De SLA van deze services heeft de hoogste prioriteit. De opvolging van het incident met de antivirussoftware bij de leverancier wordt uitgevoerd door de aannemer. De aannemer informeert de FOD Financiën over de vooruitgang. De aannemer verwittigt de contactpersonen bij de FOD Financiën tijdens de toepassing van bepaalde patches als er zich problemen kunnen voordoen.

III.2.2.7 Support Op verzoek van de verantwoordelijken van de FOD Financiën moet de aannemer gekwalificeerd personeel ter beschikking stellen van de FOD Financiën, bijvoorbeeld in het kader van de oplossing van problemen of voor de realisatie van oplossingen die niet worden gedekt door deze opdracht.

III.2.3 Antivirus Servers III.2.3.1 Technische specificaties van de centrale architectuur voor beheer en distributie III.2.3.1.1 Architectuur Support OS: De gevraagde server(s) moet(en) de volgende besturingssystemen gecertificeerd zijn voor deze systemen: Windows XP Windows 7 Windows 2000 server Windows le server 2003 (Enterprise Edition, Standard Edition) Windows le server 2003 x64 (Enterprise Edition, Standard Edition) Windows le server 2008 (Enterprise Edition, Standard Edition)

ondersteunen

en


Windows le server 2008 R2 (Enterprise Edition, Standard Edition) Windows le server 2008 R2 le server Core (Standard Edition, Enterprise Edition) Windows 2000 server mag worden ondersteund, maar zal niet worden uitgesloten; de ondersteuning van de andere versies van Windows server (hoger dan Windows 2000) is verplicht. Beschrijving De inschrijver moet een gedetailleerde beschrijving voorzien van de benodigde hardware- en softwarecomponenten voor de serverarchitectuur. Momenteel een honderdtal fysieke Windowsservers en 660 virtuele machines (150 Windows van het type workstation XP of 7 en 510 Windows-servers). Deze virtuele machines draaien op VMware 4.1 cluster naar rato van ongeveer 12 virtuele machines per host. Het voorstel moet voldoende gedetailleerd zijn op technisch vlak opdat de administratie op basis van het voorstel van de inschrijver kan oordelen over de functionaliteiten.

III.2.3.2 Technische specificaties van de specifieke software voor het antivirusbeheer van de centrale architectuur voor beheer en distributie en van de specifieke antivirussoftware voor de Windows-servers De FOD Financiën wenst een geïntegreerd systeem te installeren dat de mogelijkheid biedt om de antivirussoftware op alle Windows-servers vanuit een centrale architectuur te beheren.              

Het moet mogelijk zijn om vanuit deze centrale software op afstand een antivirusprogramma of een agent te installeren op alle Windows-servers, alsook de vereiste updates van dit programma, en dit op volstrekt automatische wijze. De software, bedoeld voor de centrale server(s), moet dus compatibel zijn met de antivirussoftware, te installeren op de Windows-servers. De installatiefase bestrijkt naast de ingebruikstelling van de centrale architectuur eveneens de installatie en de configuratie van antivirusclients (of agents) op de Windows-servers. Het moet tevens mogelijk zijn om vanuit elke Windows-server een gedetailleerde status van het antivirusprogramma of de agent in te kijken. De software moet de server ‘on access' kunnen scannen (op het moment van de toegang) en 'on demand' (op verzoek). De software moet de server ’in memory’ (in geheugen) kunnen scannen en moet “malicious processes” (kwaadaardige processen) kunnen stopzetten. De belasting van het netwerk door de updates van de software moet zo beperkt mogelijk blijven. De updates moeten op incrementele basis plaatsvinden. De software moet een mogelijkheid bieden om de TCP-poorten op alle Windows-servers te beheren, en ze zo nodig ook te sluiten. Deze activiteiten moeten op afstand en op gecentraliseerde wijze kunnen worden gestuurd. De software moet de vereiste bescherming kunnen blijven verzekeren in het geval van een eventuele migratie. De software moet kunnen worden geconfigureerd volgens een architectuur op basis van de Active Directory. De voorgestelde oplossing moet echter losstaan van deze Active Directory-omgeving en moet volstrekt autonoom functioneren. Het gecentraliseerde beheer van het systeem is bijzonder belangrijk. De invoering van een testomgeving moet door de aannemer worden voorzien en gedetailleerd ; de updates van de antivirussoftware moeten kunnen worden getest binnen deze omgeving vóór hun gecentraliseerde distributie. Bij problemen moet het mogelijk zijn om reeds geïnstalleerde updates te desinstalleren . Het aantal machines zal toenemen afhankelijk van het aantal nieuwe projecten op het x86platform. We voorzien echter dat de verhouding van het aantal virtuele machines per fysieke host toeneemt omwille van de verhoging van het prestatieniveau van de fysieke machines, geïnstalleerd in de loop van 2011, en de volgende hosts die zullen worden geleverd. De geraamde verhouding in het raam van het volgende lot met servers situeert 95


















zich tussen 30 en 45 virtuele machines/host. Het aantal virtuele servers zou binnen 5 jaar moeten verdubbeld of verdrievoudigd zijn. De FOD Financiën actualiseert regelmatig zijn infrastructuur, de besturingssystemen op de fysieke machines en op de virtuele machines, en de virtualisatielaag (momenteel VMware 4.1 cluster). De aannemer moet zijn oplossing indien nodig aanpassen met het akkoord van de FOD Financiën om deze evolutie op doeltreffende wijze te begeleiden, waarbij een niveau van veiligheid wordt geboden dat minstens gelijkwaardig is. Elke nieuwe versie van de oplossing moet worden onderworpen aan de beslissing van de FOD Financiën. Er dient opgemerkt dat bepaalde Windows-servers (fysieke of virtuele) in de DMZ moeten worden geplaatst. De inschrijver moet beschrijven hoe de installatie, het beheer, de updates en de tuning moeten worden geregeld voor de antivirusprogramma’s binnen zones, die moeten worden geïsoleerd van de rest van de serverinfrastructuur. Daarenboven moet de inschrijver de nodige tuning op zich nemen voor de verschillende servers (tuning die eventueel verschilt naargelang de versie van de SE en van de servertoepassingen, de aard van de stromen, de belasting, het vereiste veiligheidsniveau, …). De voorstellen van de aannemer moeten ter goedkeuring aan de FOD Financiën worden uiteengezet vooraleer ze worden doorgevoerd. Het is aan de inschrijver om een oplossing voor te stellen, zowel voor de fysieke servers als voor de virtuele servers, die geschikt is op het gebied van veiligheid maar ook van prestatieniveau. De oplossing kan gebaseerd zijn op het gebruik van antivirusclients of agents, maar voor het virtuele gedeelte ook op een integratie in de oplossing voor virtualisatie (momenteel VMWare 4.1). Er dient genoteerd dat de versies zullen evolueren, maar ook dat de volgende opdracht « virtualisatie » het hergebruik van deze oplossing niet garandeert. De inschrijver moet detailleren hoe zijn oplossing kan worden aangepast aan een verandering van het virtualisatieplatform. Een oplossing die meerdere virtualisatieomgevingen kan ondersteunen (minstens op licentieniveau) is ideaal om het hoofd te bieden aan dit soort veranderingen. De oplossing moet centraal worden aangestuurd door redundante servers per site (failover), door de aannemer geïnstalleerd en onderhouden. Deze servers moeten de installatie op afstand, de update van de op de clients benodigde software, de update van de bestanden met definities en de programmering van de clients mogelijk maken (mogelijkheid om clients of groepen van clients verschillend te programmeren). De mogelijkheid om automatisch updates van de definitiebestanden uit te voeren (geen interventie van gebruiker/beheerder) op minstens 2 manieren: ten eerste met gebruikmaking van de centrale server, geïnstalleerd bij de FOD Financiën, en ten tweede, in het geval van een mislukking van de eerste poging, rechtstreeks via het internet. Dit om de problematiek op te lossen van computers, die worden gebruikt buiten het netwerk van de FOD Financiën. Deze beheersservers moeten worden geïnstalleerd binnen de al dan niet gevirtualiseerde omgeving van de Wintel-architectuur van de FOD Financiën. De FOD Financiën zal de licenties voorzien voor de besturingssystemen en de mogelijkheid om een database te gebruiken binnen de omgeving met geconsolideerde databases. In alle gevallen moet een automatische redundantie (geen menselijke interventie) per site worden doorgevoerd door de leverancier ; daarbij mogen de mechanismen die bij de FOD Financiën aanwezig zijn voor de redundantie, worden ingezet (redundante virtuele machines …). Vóór de implementering van een nieuwe antivirusoplossing voorziet de FOD Financiën de nieuwe omgeving te kunnen testen in een hiertoe bestemd gedeelte. Als de FOD Financiën dat vereist, moet de aannemer de nieuwe oplossing in gebruik nemen in die omgeving om tests uit te voeren (aannemer en FOD Financiën). Het merendeel van de gedeelde bestanden wordt opgeslagen in een NAS-oplossing (momenteel Celerra NS-G8). De volgende protocollen worden gebruikt: CIFS, NFS en FTP. De antivirusoplossing voor de servers moet de mogelijkheid bieden om de bestanden op deze servers te scannen, dit om te garanderen dat de bestanden, aanwezig in het NAS en doorgestuurd naar de gebruikers, vrij zijn van alle malware. De oplossing mag de aan de gebruikers geboden service niet aantasten; deze moet doeltreffend en effectief blijven. De inschrijver voorziet bovenop de tot dusver aangehaalde support ook de mogelijkheid om te beschikken over een specialist van de firma met het oog op het onderzoeken en oplossen van specifieke problemen. 96




De aannemer moet alle nodige documentatie voorzien opdat het systeem kan worden beheerd door de personeelsleden van de FOD Financiën.

III.2.3.3 Rapporten De reporting ten behoeve van de beheerders is erg belangrijk. De inschrijver moet een gedetailleerd overzicht voorzien van alle rapporten (« reporting ») die kunnen worden aangemaakt, naast de mogelijkheden voor consignatie in een logbestand (logging) en verzending van alarmberichten (alerting). De rapporten moeten ook in grafische vorm kunnen worden voorgelegd. De software moet de mogelijkheid bieden om de beheerders automatisch te verwittigen bij specifieke problemen (“ticketting system”). Het systeem moet regelmatige rapporten verschaffen over de incidenten (kwaadaardige software al dan niet ontdekt en verwijderd, aantal gescande bestanden, aantal bestanden die niet konden worden gescand, omgeving waarvan de antivirus werd uitgeschakeld of waarvan de antivirus niet correct werkt, omgeving zonder antivirus, verlopen bestanden met definities, enz …) met alle nuttige informatie voor de opvolging. Voor speciale incidenten, gedefinieerd door de FOD Financiën (evolutief) met de hulp van de dienstverlener, bijvoorbeeld de detectie van een malware zonder de mogelijkheid tot verwijdering, moet de centrale server bovendien erg snel het probleem communiceren aan de service voor opvolging van de FOD Financiën (momenteel HP OpenView). De voorgestelde oplossing moet worden geïntegreerd in de huidige oplossing en moet door de inschrijver worden aangepast in het geval van een verandering van de opvolgingsservice. Het gebruik van OpenView Operations Manager SPI is mogelijk, alsook het SNMP-protocol, aangepast aan de oplossing voor opvolging (momenteel HP OpenView Network Node Manager).

III.2.3.4 Karakteristieken van de Windows-servers III.2.3.4.1 Huidige situatie Er bestaat een alternatief platform, gebaseerd op een x86-architectuur : 64 of 32 bits. Alle servers van de Wintel-architectuur zijn van het bladetype. Categorie A B C C D

Type van bladeserver HP Proliant BL465c G1 HP Proliant BL685c G1 HP Proliant BL465c G1 HP Proliant BL465c G5 HP Proliant BL685c G1

Processor 2 x Amd Opteron 2218 4 x Amd Opteron 8218 2 x Amd Opteron 2220 2 x Amd Opteron 2384 4 x Amd Opteron 8220

RAM 8 GB 16 GB 16 GB 32 GB 32 GB

Schijven 2*72 GB 2*72 GB 2*72 GB 2*72 GB ** 2*72 GB **

Zo nodig mogen de servers worden aangesloten op het corporate SAN.

III.2.3.4.2 Voorziene evolutie De dienst ICT-Operations heeft een nieuwe serverconfiguratie aangekocht. De onderstaande tabel geeft een gedetailleerd overzicht van dit nieuwe platform van C-Class Blades. Categorie Type van bladeserver Processor A HP Proliant BL465c G7 2 x Amd Opteron 6172 B HP Proliant BL685c G7 4 x Amd Opteron 6164 ** Servers bestemd voor virtualisatie en SQL-databases.

RAM 24 GB 128 GB

Schrijven 2*72 GB 2*72 GB **

III.2.3.4.3 Platform voor virtualisatie VMWARE ESX 4.1 is de huidige standaard voor de virtualisatie. Voor de toepassingen berust de oplossing voor ‘Disaster Recovery’ op de gegevensreplicatie, aangeboden door de 97 FOD Financiën – Veiligheidsplatform en antivirus

storageservice. De virtuele machines kunnen dan via een script worden heropgestart binnen de site voor disaster recovery. Er wordt een maximum aan bestaande Windows-servers geconsolideerd binnen deze omgeving. Alle nieuwe projecten die een beroep doen op Windows-servers, functioneren op dit platform. De FOD Financiën spant zich in om de virtualisatie maximaal te consolideren en te benutten. Momenteel zijn er een honderdtal fysieke Windows-servers en 660 virtuele machines (150 Windows-machines van het workstationtype XP of 7 en 510 Windows-servers). Deze virtuele machines draaien op VMware 4.1 cluster naar rato van ongeveer 12 virtuele machines per host. Er bestaan 5 omgevingen : productie, acceptatie, integratie, ontwikkeling en training. De productie kan worden beschouwd als de enige omgeving waarmee een eindgebruiker verbinding kan maken. Deze productieomgeving omvat 100 fysieke servers en 250 virtuele servers.

III.2.3.5 Opleiding De aannemer moet de opleidingsactiviteiten verzorgen in het Nederlands en het Frans. Het Engels mag uitzonderlijk worden gebruikt voor bepaalde specifieke opleidingen, op uitdrukkelijke voorwaarde dat de FOD Financiën vooraf zijn akkoord geeft. Het personeel, belast met de opleidingsactiviteiten, moet:  Een erkende expertise bezitten in de opleiding die wordt verstrekt ;  PERFECT de taal beheersen waarin de training wordt gegeven ;  Beschikken over essentiële pedagogische kwaliteiten om de kennis op gestructureerde en systematische wijze over te dragen aan de deelnemers aan de training;  De pedagogische middelen kunnen hanteren en zich er op het gepaste moment van bedienen;  Rekening houden met de opmerkingen van de aanbestedende overheid voor wat betreft de inhoud en de presentatie van de opleiding. De FOD Financiën is er voorstander van dat de voorgestelde opleidingen uitmonden in een certificatie. De aanbestedende overheid behoudt zich het recht voor om per telefoon, fax of e-mail, gevolgd door een bevestiging via aangetekende brief, de onmiddellijke vervanging te eisen van een of meer docenten die niet zouden voldoen aan de vereiste kwalificaties, en dit door docenten die minstens gelijkwaardige capaciteiten bezitten als degene die werden geformuleerd in de offerte. Deze opleidingsactiviteiten moeten plaatsvinden ofwel in de lokalen van de FOD Financiën, ofwel in de lokalen van de aannemer. Naargelang de omstandigheden zal de FOD Financiën alleen beslissen over de plaats van de opleidingen. Als de opleiding echter zou worden gegeven in de lokalen van de aannemer, mag de aannemer lokalen voorstellen buiten zijn eigen gebouwen, voor zover deze zich bevinden in de Brusselse regio. De lokalen moeten een pc per deelnemer bevatten, naast de nodige didactische apparatuur. De cursusmaterialen moeten voor elke deelnemer worden voorzien in zijn eigen taal. Van deze vereiste mag niet worden afgeweken zonder de FOD Financiën vooraf te hebben verwittigd en diens toestemming te hebben gekregen. De aannemer zal erop toezien drankjes aan te bieden aan de deelnemers en zal ‘s middags een lunch organiseren en voorzien voor elk van de deelnemers, dit voor de totale duur van de opleidingssessie. Zo nodig zal de FOD Financiën de aannemer vragen om nieuwe trainingssessies te organiseren tijdens de hele duur van de opdracht (nieuwe deelnemers, nieuwe hardware, nieuwe software, enz…). 98 FOD Financiën – Veiligheidsplatform en antivirus

Er moeten door de aannemer opleidingen worden georganiseerd en verzorgd voor maximaal 10 personen van de FOD Financiën. Deze trainingen moeten erkend zijn door de leverancier van het voorgestelde product en moeten bij voorkeur aan de deelnemers de kans bieden om een certificaat te bekomen. De aannemer moet ook zorgen voor het nodige cursusmateriaal en voor maaltijden voor de deelnemers.

III.2.3.6 Interventie Als blijkt dat door de installatie van een antivirusupdate één of meer services en/of servers onbeschikbaar worden voor de eindgebruikers, of als dit een impact heeft op de diensten van Financiën, dan moet de aannemer de verantwoordelijkheid nemen om de services te herstellen. De SLA van deze services heeft de hoogste prioriteit. De opvolging van het incident met de antivirussoftware bij de leverancier wordt uitgevoerd door de aannemer. De aannemer informeert de FOD Financiën over de vooruitgang. De aannemer verwittigt de contactpersonen bij de FOD Financiën tijdens de toepassing van bepaalde patches als er zich problemen kunnen voordoen.

III.2.3.7 Support Op verzoek van de verantwoordelijken van de FOD Financiën moet de aannemer gekwalificeerd personeel ter beschikking stellen van de FOD Financiën in het kader van bijvoorbeeld de oplossing van problemen of voor de uitvoering van oplossingen die niet worden gedekt door deze opdracht.

III.2.4 Technische documentatie De aannemer moet aan de administratie alle noodzakelijke technische documentatie bezorgen voor het gebruik van het systeem, en dit ofwel in het Nederlands en in het Frans, of in het Engels, in functie van de taal waarin ze voorhanden is. De documentatie moet meer bepaald de technische handleidingen bevatten die de karakteristieken en de gebruiksregels beschrijven van de uitrustingen en softwareprogramma’s die deel uitmaken van het project, alsook een gedetailleerde beschrijving van het gehele systeem met verduidelijkingen over de verschillende subsystemen en de bijbehorende verbindingen. De offerte moet het mediumtype preciseren waarin de documentatie zal worden voorzien (papier, cd-rom, …), alsook de standaardhoeveelheden en de voorwaarden waartegen bijkomende exemplaren kunnen worden besteld. De aannemer is verplicht om alle karakteristieken met betrekking tot het gebruik van de geleverde uitrustingen te verschaffen op eenvoudig verzoek van de administratie. .

III.2.5 SLA voor de centrale architectuur en de clients Voor de servers voor beheer en distributie is een beschikbaarheidsniveau van minstens 99% vereist op basis van een periode van 1 maand. De inschrijver moet een SLA voorstellen die minstens de volgende punten bestrijkt:    

Beschikbaarheid van de centrale server(s) voor beheer en distributie. Beschikbaarheid van de up-to-date antivirusfuncties op de clients. Doeltreffendheid van de bescherming. Interventietermijn bij incidenten. 99


In zijn offerte moet de inschrijver voor elk deel van de SLA het volgende specificeren o De volledige beschrijving van de SLA o De toepasselijke boetes in het geval van niet-naleving van de voorwaarden van de SLA o De noodzakelijke instrumenten en procedures voor de vaststelling en de controle van het SLA-niveau De kwaliteit van de SLA en het niveau van de boetes zullen in aanmerking worden genomen voor de gunning van deze opdracht.


IV. Bijlagen IV.1 BIJLAGE I : Beschrijving van de computersites van de FOD Financiën – Beperkingen met betrekking tot de installatie van de machines De inschrijver vindt hier alle essentiële technische gegevens over de computerlokalen van het gebouw North Galaxy en de DRS-site van Anderlecht. Uitrustingen die niet voldoen aan de technische voorwaarden, worden niet toegelaten tot deze lokalen. De inschrijver moet bij zijn offerte de gegevens voegen die bewijzen dat de voorgestelde hardware aan die voorwaarden voldoet. Inrichtingen die verschillen van degene waarvan sprake is in de bijlage, worden niet toegelaten. De inschrijver heeft evenwel het recht om bepaalde inrichtingen voor zijn apparatuur voor te stellen, in de mate dat deze geen impact hebben op de structuur en de organisatie van de computerlokalen. Deze inrichtingen zijn voor rekening van de aannemer. Het is mogelijk om af te wijken van bepaalde voorwaarden, op voorwaarde dat dit het voorwerp vormt van een voorafgaandelijke haalbaarheidsstudie, goedgekeurd door de verantwoordelijke van het computercentrum, en dat dit uitdrukkelijk worden voorzien in het bestek. Het is overigens aanbevolen om een evaluatiecriterium te voorzien dat rekening houdt met de beperkingen, opgelegd aan de FOD Financiën door de inrichtingseisen van de inschrijver. Er kunnen afwijkingen worden overwogen op de volgende gebieden: -

Indeling van de computerzalen in gangpaden. De afwijkingen zijn mogelijk voor apparatuur waarvan de afmetingen overduidelijk niet compatibel zijn met de standaardindeling van de zalen. - Bekabeling Zo nodig kan men bijkomende bekabelingswerken voorzien in een zaal of tussen twee zalen. Deze bijkomende bekabeling kan noodzakelijk zijn als : - het volume van de standaardkabels, noodzakelijk voor het project, groter is dan dat van de beschikbare kabels in de vooraf bekabelde structuur - het project gebruik maakt van een kabeltype dat niet beschikbaar is in de bestaande structuur. De bekabelingswerken moeten worden uitgevoerd door de FOD Financiën of door de aannemer, naargelang de situatie. De werken moeten in elk geval in goede banen worden geleid volgens de voorschriften van de verantwoordelijke van het computercentrum. De volgende voorwaarden moeten worden nageleefd : - de kabels moeten worden geplaatst in de bestaande goten; - de kabels moeten correct worden vastgemaakt aan de kabeltrajecten ; - men mag geen extra gaten maken in de muren van de lokalen; - als een kabel door een muur moet, moet hij de bestaande gaten gebruiken; - de gaten moeten correct worden opgevuld om uitslaande brand te voorkomen. - Belasting van de vloer Sommige plaatsen in het computercentrum bieden meer mogelijkheden dan de plaatsen, beschreven in bijlage (vooral op het gebied van belasting van de vloer). Deze plaatsen mogen echter slechts gebruikt worden als de locatie van de apparatuur is gekend vóór de publicatie van het bestek. In dit geval wordt aangeraden om in het bestek de specificaties te preciseren die veranderingen ten opzichte van de bijlage. Het is niet toegestaan om gaten te maken zonder het akkoord van de verantwoordelijke van het computercentrum. De aannemer mag de muren of de vloeren niet doorboren zonder het akkoord van de verantwoordelijke van het computercentrum. De inschrijver vindt hier alle essentiële technische gegevens en de beschrijving van de computerlokalen van het gebouw North Galaxy en de DRS-site van Anderlecht. Uitrustingen die niet voldoen aan de technische voorwaarden, worden niet toegelaten tot deze lokalen. De inschrijver moet bij zijn offerte de gegevens voegen die bewijzen dat de voorgestelde hardware aan die voorwaarden voldoet.


IV.1.1 Technische karakteristieken van de computerzaal North Galaxy IV.1.1.1 Verdeling van de lokalen van het complex Het computercomplex omvat meerdere computerzalen (CZ) naast speciale lokalen voor de centrale apparatuur voor gegevenstransmissie (Data). Men vindt er ook een consolelokaal op een andere verdieping. De huidige consoles voor het beheer van de toepassingen zijn geïnstalleerd in dit lokaal.

IV.1.1.2 Inrichting van de zalen De machines zijn geïnstalleerd in rijen van 90 cm breed, met een vrije ruimte van 1,5 m tussen de rijen. Deze tussenruimte is beperkt tot 90 cm in de 'data-lokalen' (netwerkvoorzieningen). Opmerkingen : Machines van meer dan 90 cm diepte kunnen worden geïnstalleerd in de CZ (met een absolute limiet van 1,2 m) voor zover hun installatie de vrije doorgang in de zaal niet hindert. Deze overschrijdingen worden niet toegestaan in de ‘data-lokalen’. Het Canalis-systeem voor stroomtoevoer is gemonteerd aan het plafond. De stroom komt langs boven toe in de machines. De kabels voor gegevenstransmissie bevinden zich in de blinde vloer. Langs de rijen machines is elke zaal voorzien van een opening met een deksel van 30 x 30 cm. Die opening dient voor : - de aansluiting van de kabels voor gegevenstransmissie; - de toevoer van koellucht.

IV.1.1.3 Belasting van de vloer Gegarandeerde minimale belasting overal : 4,7 kN/m² = 479 kg/m²

Gegarandeerde minimale belasting Computerzalen (CZ) Telecomzalen (Data) Gangpaden

kN/m² Centrum 5,0 4,7 4,7

kN/m² Rand 4,7 4,7

kg/m² Centrum 510 479 479

kg/m² Rand 479 479

Punctuele belasting : maximaal500 kg

IV.1.1.4 Hoogte, breedte Computerzalen (CZ) : Nominale hoogte van de zaal: 2,40 m (NB: aanwezigheid van lijnen op 2,40 m op bepaalde plaatsen) Gegarandeerde hoogte zonder obstakels: 2,30 m Toegangsdeur goederen: - hoogte : 2,40 m - breedte : 2 vleugels (1,66 m) Telecomzalen (Data) : Nominale hoogte van de zaal: 2,40 m (NB: aanwezigheid van lijnen op 2,40 m op bepaalde plaatsen) Gegarandeerde hoogte zonder obstakels: 2,30 m Toegangsdeur goederen: - nuttige hoogte : 2 m - breedte : 1 vleugel (1,03 m) Gangen Nominale hoogte: 2,40 m (NB: aanwezigheid van lijnen op 2,40 m op bepaalde plaatsen) Gegarandeerde hoogte zonder obstakels: 2,30 m Gegarandeerde minimale breedte : 1,40 m 102 FOD Financiën – Veiligheidsplatform en antivirus

Bijzonderheid : Gang telecomzaal Data 1 : Nominale hoogte: 2,40 m (NB: aanwezigheid van lijnen op 2,40 m op bepaalde plaatsen) Gegarandeerde hoogte zonder obstakels: 2,30 m Hoogte toegangsdeur : 2,10 m Gegarandeerde minimale breedte : 1,20 m Toegangsdeuren tot de site Via hoofdlift - hoogte : 2,30 m - breedte : 2 vleugels (1,66 m) Via hulplift - hoogte : 2 m - breedte : 2 vleugels (1,66 m)

IV.1.1.5 Toegang tot het gebouw De apparatuur en de goederen komen in het gebouw toe via de laadbrug van het Solvay-plein.

IV.1.1.6 Lift Hoofdlift Nuttig laadvermogen : 1.875 kg Lengte : 2,85 m Breedte deur : 1,30 m Hoogte deur : 2,40 m Hulplift Nuttig laadvermogen : 1.875 kg Lengte : 2,85 m Breedte: 1,30 m Hoogte : 2,09 m

IV.1.1.7 Stroomtoevoer Stroomtoevoer via Canalis : standaardcapaciteit : 40A (driefase) (het verbruik van een machine mag dus niet hoger zijn dan 40A éénfase of driefase). Het Canalis-systeem is bevestigd aan het plafond. De stroomkabels dalen dus af van het plafond. Er zijn geen elektrische aansluitingen in de blinde vloer. Per machinekamer telt men twee Canalis-goten. De Canalis-goten worden gevoed via twee aparte verdeelkasten. Om foutieve aansluitingen van ongeschikte apparatuur te vermijden, zijn de 16A-aansluitingen voorzien van Wieland-stekkers. De stroomkabels worden gevoed door UPS-systemen. De UPS worden op hun beurt gevoed door: - het publieke stroomnet, via een algemene transformator, gereserveerd voor het computercentrum; - een dieselgenerator. Bij een panne van de algemene stroomtoevoer worden de computers gevoed door de UPS. Deze zijn verdeeld in twee autonome batterijen van elk twee of drie UPS-modules. De beide batterijen zijn gesynchroniseerd.

IV.1.1.8 Netwerkkabels De computerzalen zijn uitgerust met een gestructureerde bekabeling. In elke computerzaal vindt men : - een netwerk met kabels van het type UTP categorie 6 ; - een netwerk met kabels in optische vezel (multimode OM3/50 µm) ; 103 FOD Financiën – Veiligheidsplatform en antivirus

- verdeelkasten. Naast de machines zijn er schakelborden naar rato van één bord per vloertegel. Elke tegel is goed voor: - 6 RJ45-aansluitingen - 2 optische SC duplex-aansluitingen (= 4 draden) De computerzaal is verbonden met twee ‘data-lokalen’ via een optisch vezelnetwerk (multimode 50/125 µm OM3). Elke zaal is verbonden met elk van de twee ‘data-lokalen’. De ‘data-lokalen’ zijn trouwens onderling verbonden. Een UTP-kabelnetwerk cat. 6 verbindt de computerzalen met de beide ‘data-lokalen’. Elke zaal is verbonden met de beide ‘data-lokalen’. De ‘data-lokalen’ zijn trouwens onderling verbonden. Opgelet: de kabels kunnen langer zijn dan 100 m. Alle kabels bevinden zich in kabelgoten. Alle bijkomende kabels moeten eveneens in de goten worden geplaatst.

IV.1.1.9 Airconditioning De airconditioning produceert een koude luchtstroom in de blinde vloer. De koude lucht wordt naar de machines geleid via openingen van 30 x 30 cm met een deksel in de tegels onder de machines. Het gebruik van geperforeerde vloertegels kan worden overwogen maar is niet de standaardpraktijk. De warme lucht wordt aangezogen door openingen bovenin de omringende muren. Er bestaat geen systeem voor waterkoeling in de computerzalen en dit procédé is ook niet gewenst.

IV.1.1.10 Diversen De zalen zijn uitgerust met een systeem voor automatische blussing met FM200-gas. Deze installatie wordt aangevuld met CO2-brandblussers. De installatie voor waterblussing bevindt zich in de gangen buiten de zalen. Men voorziet noch wenst watersystemen in de zalen.

IV.1.1.11 Door de inschrijver te verschaffen inlichtingen In zijn offerte moet de inschrijver de gegevens opnemen die aantonen dat de voorgestelde uitrusting compatibel is met de omgeving van de computerzalen. Hij moet met name de volgende twee berekeningen maken : Berekening van het gewicht Voor de berekening van het gewicht stemt een geïnstalleerde unit naargelang het geval overeen met: - een machine die één enkele plaats inneemt ; - een geheel van op elkaar gestapelde machines; - een kast die plaats geeft aan meerdere voorzieningen. Voor elke geïnstalleerde unit moet de inschrijver de afmetingen specificeren (hoogte, diepte, breedte), naast het gewicht van de afzonderlijke elementen en het totale gewicht van de unit. Berekening van de stroomsterkte Voor elke elektrische aansluiting op het Canalis-systeem moet de inschrijver het stroomverbruik per apparaat en het totale verbruik specificeren. Het stroomverbruik wordt berekend in werking en bij het opstarten. Nodige netwerkkabels In zijn offerte moet de inschrijver de aansluitingen specificeren waarvan zijn systeem gebruik zal maken. Aansluitingen op bestaande netwerkkabels: - Aantal en aard van de aansluitingen op het netwerk van Financiën; 104 FOD Financiën – Veiligheidsplatform en antivirus

-

Aantal en aard van de rechtstreekse aansluitingen tussen dezelfde zaal; - Aantal en aard van de rechtstreekse aansluitingen tussen verschillende zalen ; Speciale aansluitingen (alleen indien voorzien in het bestek) - Aantal en aard van de rechtstreekse aansluitingen tussen dezelfde zaal ; - Aantal en aard van de rechtstreekse aansluitingen tussen verschillende zalen.

van elkaar verwijderde machines in van elkaar verwijderde machines in

van elkaar verwijderde machines in van elkaar verwijderde machines in

Speciale inrichtingen In zijn offerte moet de inschrijver uitleg geven over de speciale inrichtingen die hij noodzakelijk acht voor de werking van zijn apparatuur. Deze inrichtingen kunnen betrekking hebben op de locatie of op de apparatuur, naargelang het geval. Alleen inrichtingen, voorzien in deze bijlage van het bestek, zijn toegelaten. De inrichtingen voor de apparatuur zijn volledig voor rekening van de inschrijver.

IV.1.1.12 Mogelijke inrichtingen De FOD Financiën zal zelf zorg dragen voor de volgende inrichtingen: -

Plaatsing van de elektriciteitskasten voor de aansluiting op het Canalis-systeem voor stroomvoorziening; Het gaat hier om : - aansluitingskasten - vermogensautomaten - stroomkabel - Wieland-aftakdoos

-

Vervanging van bepaalde vloertegels in de blinde vloer door geperforeerde tegels. Aansluitingen op gestructureerde bekabeling. Aansluiting van de kabelcircuits op het netwerk van de FOD Financiën. De aansluiting van de machines op de schakelborden in de blinde vloer moet worden uitgevoerd door de aannemer in samenwerking met de FOD Financiën. De aannemer is belast met de voorziening van aansluitingskabels van de juiste lengte. - Meubels De FOD Financiën voorziet de nodige tafels en stoelen voor de installatie van de apparatuur. In zijn offerte moet de inschrijver het specifieke meubilair voorzien dat hij noodzakelijk acht voor de installatie van zijn apparatuur. De FOD Financiën behoudt zich echter het recht voor om de apparatuur te laten installeren in een speciaal meubel dat door hem wordt voorzien. De aannemer moet deze inrichtingen lang genoeg op voorhand aankondigen. In normale omstandigheden bedraagt de voorafgaande kennisgevingstermijn twee maanden. Geen enkele andere inrichting van de site zal worden toegestaan als ze niet uitdrukkelijk is voorzien in het bestek.

IV.1.2 Technische karakteristieken van de DRS-site in Anderlecht IV.1.2.1 Organisatie van de site De DRS-site bestaat uit een grote computerzaal die plaats biedt aan de systemen van meerdere klanten. Alle systemen van de FOD Financiën bevinden zich in dezelfde zaal.

IV.1.2.2 Organisatie van de zalen De machines zijn geïnstalleerd in rijen van 90 cm breed met een vrije ruimte van 1,5 m tussen de rijen. Opmerking : 105 FOD Financiën – Veiligheidsplatform en antivirus

Machines met een diepte van meer dan 90 cm kunnen in de zaal worden geïnstalleerd, met een absolute limiet van 1,2 m, op voorwaarde dat hun installatie de vrije doorgang in de zaal niet belet.

IV.1.2.3 Begrenzingen van de zalen Belasting van de vloer : 1.000 kg/m² verdeelde belasting 350 kg punctuele belasting Hoogte van de zaal : 3 m Hoogte van de toegangswegen : 2,10 m

IV.1.2.4 Netwerkbekabeling De computerzaal is uitgerust met een gestructureerde bekabeling volgens: - een kabelnetwerk van het type UTP categorie 6 - een optisch vezelnetwerk (multimode OM3/50 µm) met LC-connectors - kasten voor bundeling van kabels. Alle kabels zijn geplaatst in goten. Alle nieuwe kabels moeten worden geplaatst rekening houdend met de bestaande goten.


IV.2 BIJLAGE II : Beschrijving van het interne netwerk Het laatste referentiedocument is beschikbaar op de pagina: http://www.minfin.fgov.be/portail2/fr/modernisation/ict.htm#A ICT-fundamenten van de FOD Financiën- Architectural Building Blocks De tekst die volgt in bijlage 2 wordt gecommuniceerd ter informatie.

IV.2.1 Netwerkservices De netwerkservices bieden een gemeenschappelijke visie inzake transportsemantiek om de meest kwalitatieve systeem- en toepassingsservices transparant te ondersteunen, en dit onafhankelijk van de laag van het netwerktransport. De netwerkservices omvatten 5 services: · Data Connectivity Services, · IP Telephony Services, · Diagnose van de gegevensstroom, · Extranet Connectivity, · Time Synchronization, De FOD Financiën gebruikt een uitgebreid TCP/IP-netwerk, dat is verspreid over het hele nationale grondgebied, en ongeveer 30.000 gebruikers telt. Het WAN van de FOD Financiën is vandaag geïmplementeerd met Bilan. Dit netwerk is verbonden met diverse andere netwerken: · Fedman geeft toegang tot het internet en tot andere FOD’s en overheidsinstellingen. Huurlijnen naar bepaalde partners van de FOD Financiën, al dan niet overheids- (Europese Commissie) of privé-instellingen (dienstverleners). De toegang tot het netwerk van de FOD Financiën vanuit de buitenwereld wordt beschermd met een firewall-infrastructuur. De firewall werd geïnstalleerd met het oog op een beveiligde toegang tot het internet in het kader van de behoeften van de centrale diensten van de FOD Financiën.


Figuur 4: overzicht van het netwerk

IV.2.1.1 DATA connectivity o

Beschrijving

De dienst Data Connectivity verzekert de beschikbaarheid van bekabelde netwerktoegang tot het interne netwerk van de FOD Financiën vanuit een gebouw van de FOD Financiën. Deze service stoelt op de diverse netwerkcomponenten die aanwezig zijn binnen de FOD Financiën, zoals Ethernet-verbindingen. Kenmerken

Beschrijving

Belangrijkste services Belangrijke standaarden Huidige implementering

Verbinding met het Ethernet- en telefoonnetwerk.

o

IEEE 802.3, TCP/IP Per eindgebruiker voorziet men gemiddeld 1,5 RJ45-verbinding. De pc’s en de IP-telefonie maken gebruik van dezelfde bekabeling en switchpoorten.

Gewenste evolutie

Voor elke gebruiker minstens 1 LAN-poort installeren voor de telefoon en de pc. De capaciteit voorzien in functie van de telefonie, met optimalisering en redundantie. 108 FOD Financiën – Veiligheidsplatform en antivirus

Het kernidee is uniformiteit, wat zich moet vertalen in switches, die rechtstreeks compatibel zijn in alle LAN’s.

IV.2.1.2 IP-telefonie o

Beschrijving

De dienst ‘IP-telefonie’ dient voor de interne en externe communicatie via een vernieuwde infrastructuur. Op basis van deze infrastructuur worden de volgende services verzekerd : Messaging (Voice Mail) Teleconferenties (Conference Call) Call- en Hunt-groepen Directiesecretariaat (Management Assistant) Elektronische telefoongids (Directory) Callcenters Integratie fax Alle interne gebruikers zijn met deze infrastructuur verbonden. Daartoe beschikt elke gebruiker over zijn eigen nummer, waar hij zich ook bevindt.

Kenmerken

Beschrijving

Belangrijkste services

Service voor messaging (Voice Mail) Teleconferenties (Conference Call) Call-& Hunt-groepen Directiesecretariaat (Management-Assistant) Elektronische telefoongids (Directory) Callcenters Integratie fax

Relevante standaarden

trunking: SIP, H323, Intern : SCCP


Kenmerken

Beschrijving

Huidige implementering

De toegang tot de omgeving voor IP-telefonie wordt gegarandeerd door: Cisco IP Phone 7911/7912

Cisco IP Phone 7940/7941

Cisco Soft Phone

De infrastructuur die de service voor IP-telefonie ondersteunt, is redundant. Elke dag is er een back-up van de centrale server (Call Manager) in het kader van de gebruikelijke back-ups. In het geval van een catastrofe moet de service zo snel mogelijk worden hersteld, met een maximaal gegevensverlies van 24 uur (op basis van dagelijkse back-ups). De geïnstalleerde infrastructuur maakt het mogelijk om 360 gelijktijdige communicaties met externe gesprekspartners te versturen (basis : 12 PRA met 30 kanalen per PRA). De interne communicatie is onbeperkt.

De gehanteerde oplossing voor IP-telefonie berust op de volgende producten: CallManager versie 7.1.5 Unity Connection versie 7.1.5 IPCC version Express 7.0.(1) SR 05 IP Communicator versie 7.0.3.3 Peter Connects 6.2.B1b RightFax versie 9.3

o

Gewenste evolutie

Convergente telefonieservices voor alle medewerkers.

IV.2.1.3 Diagnoses van de gegevensstromen o

Beschrijving

Onderzoek van onderbrekingen en prestatiefouten van de end-to-end gegevensstromen. Kenmerken Beschrijving Belangrijkste services Relevante standaarden

Analyse van het verkeer van het bestaande client/servernetwerk SNMP, Netflow, ICMP, ...


Kenmerken

Beschrijving


Sniffer, Fluke Optiview, Fluke SuperAgent Rapports (SLA/QoS) Belgacom

o

Gewenste evolutie

De waaier van tools uitbreiden rekening houdend met de evolutie van de verkeersmodellen (met name P2P) en de protocollen.

IV.2.1.4 Extranet-connectiviteit o

Beschrijving

Deze dienst moet toezien op de beschikbaarheid van de noodzakelijke infrastructuur voor telewerk. Hij zorgt voor de connectiviteit tussen de interne gebruikers en de externe voorzieningen, de mobiele gebruikers en de centrale voorzieningen, alsook de nodige verbindingen voor de externe klanten. Deze service omvat ook het beheer van de VPN-gebruikers. De communicatie maakt altijd gebruik van andere netwerken dan degene die zijn toevertrouwd aan het beheer van de afdeling Networks. Kenmerken

Beschrijving


Telewerken (VPN-client) Gegevenstransmissie tussen het interne netwerk en de externe organisaties (VPN-site) SSL, IPsec Authenticatie via e-ID. * De regels voor toegang op afstand via het internet (VPN-client) worden uiteengezet in « FinNet-VPN Policy & Procedure », beschikbaar op het intranet. * De services met betrekking tot de invoering en het beheer van de VPN-site zijn steeds gekoppeld aan projectactiviteiten. In dit opzicht moeten ze niet worden behandeld als een standaardwijziging.

Relevante standaarden Huidige implementering

o

Gewenste evolutie

Er werd geen enkele verandering op korte of lange termijn gedefinieerd ten aanzien van dit fundament.

IV.2.1.5 Tijdelijke synchronisatie o

Beschrijving

Deze dienst verzekert de synchronisatie van de interne systemen voor tijdsregistratie met een centraal atoomuurwerk. Kenmerken

Beschrijving

Belangrijkste services Relevante standaarden Huidige implementering

IEEE-1588 NTP Stratum-1 Elproma 111


o

Gewenste evolutie

Wat betreft dit fundament werd er op korte of lange termijn geen verandering gedefinieerd.

IV.2.1.6 Internetprotocollen o

Beschrijving

De internetprotocollen berusten op de IP-technologie. Dit omvat Transmission Control Protocol/Internet Protocol (TCP/IP), Universal Datagram Protocol (UDP) en andere protocollen. TCP/IP verwijst naar een familie van netwerkprotocollen, gebaseerd op standaarden, waarbij TCP de host-to-host verbinding voorziet en IP de routing van de gegevens van een bron naar een bestemming verzekert. De TCP/IP-laag omvat de protocollen File Transfert (FTP), Simple Mail Transfer Protocol (SMTP), News Transfer Protocol (NNTP), etc. De TCP/IP-protocollen stellen verschillende netwerken in staat om te functioneren als één gecoördineerde eenheid. Intranets zijn netwerken die gebruikmaken van de internettechnologie, maar waarvan de toegang wordt gecontroleerd door een unieke gecoördineerde eenheid. De belangrijkste service is de DHCPservice (Dynamic Host Configuration Protocol) voor de interne platformen van de FOD Financiën. Deze service ziet toe op de dynamische toewijzing van IP-adressen aan alle 30.000 pc’s van het netwerk van de FOD FIN. Deze service is ondergebracht binnen een actieve/passieve MS Windows 2008-cluster, geografisch opgesplitst over 2 sites met 1 maal per dag export van de database. Kenmerken

Beschrijving

Belangrijkste services Relevante standaarden

DHCP


o

DHCP RFC2131, RFC1918 (10.x.x.x) BOOTP De IP-services worden geïmplementeerd door DHCP De DHCP-services worden verzekerd door een actieve/passieve Ms Windows 2008-cluster, geografisch verdeeld over de 2 sites.

Gewenste evolutie

Om elk verlies van informatie te vermijden, beoogt men de nodige technologische ondersteuning zodat er permanent een tweede computercentrum kan worden aangehouden op hetzelfde niveau als het hoofdcentrum. In de toekomst moet men een oplossing voor Disaster Recovery overwegen die moet worden uitgewerkt met de DRS-site van Anderlecht. De huidige cluster-implementering werd reeds getest tijdens de Disaster Recovery-campagnes en voldoet momenteel.

IV.2.1.7 WAN-services o

Beschrijving

Een Wide Area Network (WAN) is een netwerk dat ICT-communicatiediensten verleent aan een ruimere geografische zone dan de zone die wordt bediend door een LAN, en dat gebruik kan maken van communicatiefaciliteiten van het publieke type, aangeboden door leveranciers van externe netwerken. De Wan-services worden momenteel ondersteund door het BiLAN-netwerk.


Kenmerken

Beschrijving


Interconnectiviteit van LAN-netwerken

Relevante standaarden Huidige implementering

Netwerk: MPLS, BGP, Ipv4, Diffserv Fysiek: Ehternet, SDSL, Leased Lines Het netwerk dat voor de onderlinge verbindingen zorgt tussen de gebouwen van het ministerie, berust op BiLAN. De bandbreedte is begroot volgens de onderstaande regels : · Bandbreedte gegevens : 10 kbps/gebruiker · Bandbreedte spraak : 15 kbps/gebruiker Anders gezegd, een gebouw dat plaats biedt aan 75 gebruikers die ook gebruikmaken van IP-telefonie, is aangesloten met een bandbreedte van minstens 2 Mbps (75 x (10+15) = 1875). De lijntechnologie kan SDSL, huurlijn of optische vezel zijn. Beheer van bandbreedte (QoS, Infrastructuur)

o

Gewenste evolutie

Redundante verbindingen (met name voor IP-tel).

IV.2.1.8 Mobiele connectiviteit o

Beschrijving

Deze service dekt de draadloze verbinding met het interne FinNet-netwerk van Financiën van buiten de gebouwen van Financiën. Kenmerken

Beschrijving


Draadloze verbinding met FinNet

Relevante standaarden

GPRS UMTS HSDPA Via : GSM-modem SmartPhone PDA PCMCIA-kaart voor laptop Modem geïntegreerd in de pc’s


o

Gewenste evolutie

Draadloze netwerkconnectiviteit voor de mobiele toepassingen.

IV.2.2 Services Fysieke Netwerkvoorzieningen IV.2.2.1 Beschrijving De ABB’s Fysieke Netwerkvoorzieningen behelzen de hardware die het netwerk ondersteunt en die alle componenten van de LAN’s, WAN’s, Wireless en persoonlijke lokale netwerken omvat, 113 FOD Financiën – Veiligheidsplatform en antivirus

met inbegrip van de kabels, routers, hubs, bridges, switches, netwerkkaarten, controller, fibres, patch panel, transmitters, receivers, enz. Kenmerken Belangrijkste services Relevante standaarden Huidige implementering

Beschrijving

Zie de specificaties van de hardware. De horizontale bekabeling is van het type UTP Categorie 6. De verticale optische bekabeling is van het type OM-3. De volgende actieve hardware wordt gebruikt voor de lokale Ethernetnetwerken: Catalyst 3750-24PS-S PoE (nieuw platform)


IV.3 BIJLAGE III : Model van inschrijving Administratieve aspecten Voorwerp van de inschrijving Bijzonder bestek : VEILIGHEIDSPLATFORM – FIREWALL EN ANTIVIRUS WORKSTATIONS – SERVERS Voorwerp van de opdracht : WORKSTATIONS – SERVERS

VEILIGHEIDSPLATFORM

–

FIREWALL

EN

ANTIVIRUS

Identificatie van de inschrijver: Onderneming   

Firmanaam of benaming : Juridische vorm : Nationaliteit :

Maatschappelijke zetel Straat : Nr : Plaats : Postcode : Land : Telefoonnummer : Faxnummer : BTW-nummer : RSZ-nummer : Ondernemingsnummer : Contactperso(o)n(en) en telefoonnummer(s) :

en voor dewelke DeHeer/Mevrouw (*)

Bus :

(naam) (functie)

gedomicilieerd op het adres : (straat) (postcode en gemeente) (land) optredend als inschrijver of gevolmachtigde, hierna ondertekent en zich verbindt tot de uitvoering … Bij goedkeuring van deze offerte zal de borgstelling worden gevormd volgens de voorwaarden en termijnen, beschreven in dit bijzonder bestek. De betalingsinstelling van de aanbestedende overheid zal de verschuldigde sommen voldoen via storting of overschrijving Op het rekeningnummer : IBAN-code 115 FOD Financiën – Veiligheidsplatform en antivirus

BIC-code Voor de interpretatie van het contract het Nederlands/Frans (*) wordt als taal

gekozen.

Alle briefwisseling betreffende de gunning en de uitvoering van de opdracht dient naar het volgende adres te worden verzonden: Contactpersoon : Telefoon : Fax : E-mail : Postadres : Bij deze aanvaard ik/aanvaard ik niet (schrappen wat niet past) het gebruik van elektronische communicatiemiddelen (e-mail) voor de correspondentie met de aanbestedende overheid in het kader van onderhavige opdracht. Geldigheidsduur van de inschrijving Deze inschrijving blijft geldig tot: ……………………………………. (minimaal 240 dagen)

Ik machtig de aanbestedende overheid om alle nuttige informatie (bijv. van financiële aard) over mijn onderneming op te vragen bij andere instanties. Ik verbind mij om in overeenstemming met de bepalingen van onderhavig bestek, de prestaties/leveringen uit te voeren die gedetailleerd worden opgesomd in de prijstabellen die bij onderhavige inschrijving zijn gevoegd, en dit in overeenstemming met de tarieven die erin worden vermeld.

Gedaan :

Te

Op

2011.

De inschrijver of de gevolmachtigde: (naam) (functie)


IV.4 BIJLAGE IV : Modellen van prijstabellen Het voorstel van de in de offerte vermelde prijzen moet op straffe van nietigverklaring worden ingedeeld volgens de onderstaande tabellen. Deze prijstabellen moeten worden ondertekend door de inschrijver of zijn gevolmachtigde. Met prijzen die op een andere plaats worden vermeld, wordt geen rekening gehouden. In geval van afwijkingen tussen onderhavige inventaris en een gedetailleerde inventaris van de inschrijver, zullen uitsluitend de prijzen van de inventaris, die in bijlage van dit bijzonder bestek worden voorzien, in aanmerking worden genomen.

IV.4.1 Lot 1 : Veiligheidsplatform Op straffe van nietigverklaring moet de presentatie van de prijzen in de offerte de hierna beschreven methode aanhouden. Het gebruik ervan is verplicht op straffe van nietigverklaring van de offerte. De prijstabellen moeten worden ondertekend door de inschrijver of zijn gevolmachtigde. Met prijzen die elders in de offerte worden vermeld, wordt geen rekening gehouden: deze zullen worden beschouwd als onbestaande met alle mogelijke gevolgen vandien voor de conformiteit van de offerte. Alle elementen van de prijstabellen moeten mechnisch worden ingevuld, dat wil zeggen anders dan manueel. De inventaris van de prijzen moet de FOD Financiën een gedetailleerd totaalbeeld van de verschillende prijzen geven. Alle details van de prijzen moeten erin vermeld worden.

Posten Hardware* Software* Services** Punctuele consultancy III.1.4.8 Opleiding. III.1.4.9 Optie web application firewall III.1.3.3.14 Hardware Software Services Optie xml-gateway III.1.3.3.15 Hardware Software Services

Zonder btw € Aankoop € Aankoop € Aankoop

Met btw € Aankoop € Aankoop € Aankoop

Zonder btw € Onderhoud/jaar € Onderhoud/jaar € Services/jaar €/man-dag

Met btw € Onderhoud/jaar € Onderhoud/jaar € Services/jaar €/man-dag

€/docent-dag

€/docent-dag

€ Aankoop € Aankoop


€ Onderhoud/jaar € Onderhoud/jaar € Services/jaar






*Nodig voor de realisatie van de voor te stellen infrastructuur in punt III.1.3 en beantwoordend aan alle voor te stellen services in III.1.4 met uitzondering van de opties options web application firewall III.1.3.3.14 en xml-gateway III.1.3.3.15. ** Alle services van III.1.4 moeten worden meegerekend met uitzondering van de Punctuele Consultancy III.1.4.8, de Opleiding III.1.4.9 en de services met betrekking tot de opties web application firewall III.1.3.3.14 en xml-gateway III.1.3.3.15.

Alle informatie over Lot1 moet in acht worden genomen voor elk punt van de prijstabel. Men mag bijvoorbeeld niet het punt Beschrijving van het project. III.1.2 over het hoofd zien onder het voorwendsel dat het hierboven niet worden vermeld. Alle kosten met betrekking tot dit lot moeten aanwezig zijn in deze tabel. Voor elke post in de bovenstaande tabel moet een gedetailleerde tabel worden voorzien (voor sommige wordt hieronder een stramien gegeven). Voor de gedetailleerde tabellen moet het btw117 FOD Financiën – Veiligheidsplatform en antivirus

tarief worden weergegeven voor elk van de prijzen. Het onderhoud wordt niet gefactureerd voor het eerste jaar van garantie. HARDWARE De inschrijver vult de tabel met de eenheidsprijzen en de prijzen van het onderhoud/jaar in op één lijn per unit en telkens met vermelding van het voorwerp, het aantal, de eenheidsprijs en de totaalprijs. Het onderhoud zal niet worden gefactureerd voor het eerste garantiejaar. De prijs van het onderhoud zal dezelfde zijn voor de jaren 4 en 5 als die worden gevraagd. De totalen van deze tabel moeten overeenstemmen met de bedragen, vermeld in de vorige tabel. Een unit kan een aftakdoos, een kast of een verbindingskabel zijn. Unit Switch A Router B Kabel C Rack D Server E

Aantal

Totaalprijs eenheidsprijs zonder btw zonder btw

Btw-tarief

Btw-tarief Onderhoud/jaar

TOTAAL

SOFTWARE De inschrijver moet de prijs van alle software van zijn offerte specificeren. De prijzen moeten worden gespecificeerd per aparte software, met licenties voor 30.000 interne gebruikers en de nodige licenties voor minstens 5000 gelijktijdige externe gebruikers. De inschrijver moet de prijs voor de initiële licenties en voor het jaarlijkse onderhoud preciseren. De inschrijver moet hier nog een gedetailleerde tabel aan toevoegen. SERVICES De inschrijver moet hier nog een gedetailleerde tabel voor elke service van III.1.4 aan toevoegen.

De prijsinventaris moet eindigen met het volgende: Gedaan te : Datum : Naam :


IV.4.2 Lot 2 : Antivirus Workstations en Servers IV.4.2.1 Antivirus Workstations Prijs Prijs met btw Prijselementen zonder btw Licenties voor centrale architectuur voor beheer en distributie van de software per jaar (30.000 workstations te beheren) Licentie voor de antivirussoftware per 100 workstations per jaar Implementering van het servergedeelte: (30.000 workstations te beheren) Implementering van de antivirusclients op de workstations (30.000 workstations te beheren) Onderhoud I.1.2.1.4 en interventie III.2.2.6 (per jaar) (30.000 workstations te beheren) Bijkomende assistentie III.2.2.7 (€/consultant-dag) Documentatie* III.2.4 Opleidingen (max. 10 personen te trainen ; deze prijs is geen prijs per persoon noch per dag!)** III.2.2.5

Btw-tarief

* Deze prijs moet de volledige documentatie bestrijken die noodzakelijk is voor alle gebruikte producten en voor het gebruik van het volledige geleverde systeem (als er een nieuw product wordt gebruikt in de loop van de uitvoering van de opdracht, zal dit een bijkomende documentatie vergen die zal worden vervat in deze prijs). ** Deze prijs moet alle noodzakelijke opleidingen bestrijken voor alle gebruikte producten en voor het gebruik van het volledige geleverde systeem (als er een nieuw product wordt gebruikt in de loop van de uitvoering van de opdracht, zal dit een of meer bijkomende opleidingen vergen die zullen worden vervat in deze prijs) Deze prijstabel moet worden ingevuld rekening houdend met de beschrijving van de vraag in punt III.2.1. Er is bijvoorbeeld sprake van de formulering van een prijs per jaar voor de antivirus, geïnstalleerd op een workstation, in de wetenschap dat de opdracht een aantal van 30.000 workstations bestrijkt. Alle informatie over dit lot moet in acht worden genomen voor elk punt van de prijstabel. Voor elke post in de tabel hierboven moet een gedetailleerde tabel worden voorzien.

Gedaan te,

op (datum)


IV.4.2.2 Antivirus en Firewall Servers Prijs Prijs met btw Prijselementen zonder btw Licenties voor centrale architectuur voor beheer en distributie van de software per jaar (voor alle servers) Licentie voor de antivirussoftware voor 10 Windows-servers per jaar Implementering van het servergedeelte (voor alle servers) Implementering van de antivirusclients op de Windows-servers (voor alle servers) Onderhoud I.1.2.1.4 en interventie III.2.3.6 (per jaar) (voor alle servers) Bijkomende assistentie III.2.3.6 (€/consultantdag) Documentatie* III.2.4 Opleidingen (max. 10 personen te trainen ; deze prijs is geen prijs per persoon noch per dag!)** III.2.3.5

Btw-tarief

* Deze prijs moet de volledige documentatie bestrijken die noodzakelijk is voor alle gebruikte producten en voor het gebruik van het volledige geleverde systeem (als er een nieuw product wordt gebruikt in de loop van de uitvoering van de opdracht, zal dit een bijkomende documentatie vergen die zal worden vervat in deze prijs). ** Deze prijs moet alle noodzakelijke opleidingen bestrijken voor alle gebruikte producten en voor het gebruik van het volledige geleverde systeem (als er een nieuw product wordt gebruikt in de loop van de uitvoering van de opdracht, zal dit een of meer bijkomende opleidingen vergen die zullen worden vervat in deze prijs)

Deze prijstabel moet worden ingevuld rekening houdend met de beschrijving van de vraag in punt III.2.3. Er is bijvoorbeeld sprake van de formulering van een prijs per jaar voor 10 servers, in de wetenschap dat de opdracht een aantal van 100 fysieke servers en 660 virtuele servers bestrijkt (er valt op te merken dat volgens de voorziene evolutie het aantal virtuele servers zou moeten verdubbelen en zelfs verdrievoudigen). Alle informatie over Lot 2 moet in acht worden genomen voor elk punt van de prijstabel. Voor elke post in de tabel hierboven moet een gedetailleerde tabel worden voorzien.

Gedaan te,

op (datum)


IV.5 BIJLAGE V : Referentiemodel NB : het gebruik van dit formulier is verplicht 1. Naam van het project 2. Naam van de onderneming …………………………… 4. Naam van een contactpersoon …………………………… 6. Toepassingsgebied van de ontwikkeling of het project …………………………… 8. Aanvangsdatum (fase per fase) - …………………………… - …………………………… 10. Budget (EUR) …………………………… 11. Lijst en korte beschrijving van rol en aandeel van eventuele onderaannemers 12. Complexiteit

13. Lijst en korte beschrijving van de bronsystemen 14. Lijst en korte beschrijving van de systemen voor de realisatie van het project 15. Projectbeheer

……………………………………………………………………. 3. Bedrijfssector ……………………………………………………………………. 5. Contactgegevens ……………………………………………………………………. 7. Beoogde doelstellingen ……………………………………………………………………. 9. Einddatum …………………… A. Hardware …………………… A.Naam onderneming(en) ……………………

B. Software …………………… B. Aandeel in opdracht

C. Services …………………… C. Vakkennis

……………………

……………………

<< Aantal gebruikers, aantal IT-systemen zonder pc’s (aantal mainframes, mini’s en servers) / … >> ……………………………………………………………………. A. Hardware B. Software C.Ontwikkelingsomgeving …………………… A. Hardware

…………………… B. Software

…………………… C.Ontwikkelingsomgeving

……………………

……………………

……………………

Tool / methode

……………………………………………………………………. 16. Lijst van aan project Profiel 1 Profiel 2 Profiel 3 toegewezen profielen; (TOTAAL) aantal …………………… …………………… …………………… personen en mandagen voor integrale project Profiel 4 Profiel 5 Profiel … ……………………

……………………

……………………


IV.6 BIJLAGE VI : Curriculum vitae NB : het gebruik van dit model is verplicht. De inschrijver moet bij het invullen van de CV’s erop toezien dat de namen van de personen voluit worden geschreven en ook de behaalde diploma’s en onderwijsinstellingen waar deze behaald werden, duidelijk moeten worden beschreven. De aanbestedende overheid verbindt zich ertoe deze gegevens met uiterste discretie te zullen behandelen en ze enkel te gebruiken voor het beoordelen van de offerte. De aanbestedende overheid houdt zich het recht voor om CV’s, die niet op deze manier werden ingevuld als onvoldoende te beschouwen, en bijgevolg niet in rekening te nemen bij de evaluatie van de offerte. Indien de vermelde diploma’s niet in overeenstemming zijn met de behaalde diploma’s, houdt de aanbestedende overheid zich het recht voor om de offerte uit te sluiten.

Naam

……………………………………………………

Functie in onderhavig project

…………………………………………………… …………………………………………………… ……………………………………………………

Beschrijving van de relevantie van de voorgestelde persoon binnen deze opdracht: De inschrijver dient hierbij in zo gedetailleerd mogelijk aan te tonen dat het voorgestelde profiel zijn nut zal hebben bij deze opdracht. Opleidingen: Humaniora of gelijkwaardig:  diploma behaald op (datum)

……………………………………………………

Niet universitair hoger onderwijs (eventueel meerdere malen te herhalen):  Titel ……………………………………………………  Diploma behaald op (datum) ……………………………………………………  Aan de instelling …………………………………………………… Universitair hoger onderwijs (eventueel meerdere malen te herhalen):  Titel ……………………………………………………  Diploma behaald op (datum) ……………………………………………………  Aan de instelling …………………………………………………… Professionele ervaring: Bij de inschrijver: 





Huidige functie o Titel …………………………………………………… o Functieomschrijving …………………………………………………… o Sinds …………………………………………………… Voorgaande functie (eventueel meerdere malen te herhalen) o Titel …………………………………………………… o Functieomschrijving …………………………………………………… Van ……….…..……… tot …………..………. Betrokken bij volgende projecten, opgenomen in addendum « referentiemodel » (project en functie) …………………………………………………… …………………………………………………… 122




Betrokken bij andere grote projecten (naam, klant en vervulde functie) …………………………………………………… ……………………………………………………

Bij maximaal 3 andere bedrijven:  functie (maximaal 3x te herhalen) …………………………………………………… Van ……….…..……… tot …………..………. Technische vaardigheden:  Hardware  -

Software Besturingssystemen Databases Programmeertalen Kantoortoepassingen Andere (specifiëren)

…………………………………………………… …………………………………………………… …………………………………………………… …………………………………………………… …………………………………………………… …………………………………………………… ……………………………………………………

Andere vaardigheden:  Op het vlak van management ……………………………………………………  Op het vlak van consultancy ……………………………………………………  Andere (enkel indien relevant) …………………………………………………… Talenkennis:  Frans

begrijpend - actief - passief (schrappen wat niet past) …………………………………………………… Nederlands begrijpend - actief - passief (schrappen wat niet past) commentaar …………………………………………………… Engels begrijpend - actief - passief (schrappen wat niet past) commentaar …………………………………………………… Andere (enkel indien relevant) …………………………………………………… commentaar

  


IV.7 BIJLAGE VII : Vraag en antwoord formulier Opmerking: Indien de vraag niet aan een paragraaf kan gekoppeld worden, wordt in de eerste kolom “algemeen” vermeld. paragraaf paginanr. taal

Vraag


IV.8 BIJLAGE VIII : Beheer van het project en methodologie IV.8.1 PMFin De inschrijver past PMFin, onze methodologie en werkwijze voor projecten toe. PMFin is dé unieke projectmethodologie, de standaard binnen de FODFIN, gebaseerd op de internationale standaard Prince 2. Deze methodologie wordt ondersteund door een projecttool ProjectMaster.


IV.8.2 PID De inschrijver wordt uitgenodigd om ons een “Project initiation document” (PID) te bezorgen, waarin de belangrijkste taken om dit project te realiseren, opgesomd worden. Dit document wordt voor ons een product, werkpakket binnen onze eigen PID.

Het Project Initiaton document voldoet aan een aantal minimum verwachtingen : 

Beschrijving van de achtergrond van het project, de definiëring van het project, projectdoelstellingen, scope



Een deugdelijke en volledig opgebouwde PBS (product breakdown structure) : producten, beschrijving, kwaliteits- en acceptatieverwachtingen.



Een volledige WBS (work breakdown structure), een gedetailleerde en realistische projectplanning met mijlpalen (GANTT) met vermelding van duur van de verschillende fasen, subfasen activiteiten en taken, de in te zetten middelen, benodigde middelen, gespecificeerd per fase (financieel, personeel, andere) Die planning wordt up-to-date gehouden.



Een omvattende risicoanalyse met definiëring van beheersmaatregelen.



Voorstel van projectstructuur (rekeninghoudend met de rollen beschreven binnen dit hoofdstuk)



Afhankelijkheden met andere projecten



Kwaliteitsplan



Communicatieplan (met aspecten change management)



Rapportering, opvolging van de utvoering (status en voortgang)

Naar aanleiding van de kick-off wordt deze PID gefinaliseerd, aangevuld en uiteindelijk ter validatie voorgelegd aan de stuurgroep met in begrip van de sponsor. De inschrijver moet zijn structuur en zijn capaciteiten inzake organisatie van professionele diensten beschrijven, met name de aangeboden diensten, het geografische bereik, de niveaus en de kwaliteiten van het personeel. Die PID moet de taken, de duur en het aantal betrokken personen weergeven, en dit per onderscheiden (deel)fase. Het dient eveneens details te verschaffen over de vereiste medewerking van personeel van de FOD Financiën. Na de toewijzing van het project zal door de inschrijver een volledig en gedetailleerd PID en projectplanning verder worden uitgewerkt en voorgelegd aan de projectbeheersstructuur van de FOD Financiën Een formele goedkeuring van voormelde PID, met inbegrip van projectplanning, door de Stuurgroep van het project is noodzakelijk alvorens de volgende fase kan worden aangevat. Het is de verantwoordelijkheid van de inschrijver om deze PID up-to-date te houden tijdens de duur van het project. Elke wijziging aan de PID moet formeel worden goedgekeurd door de Stuurgroep van het project. 126 FOD Financiën – Veiligheidsplatform en antivirus

De opgemaakte PID zal voor ons dienen als informatiebron voor onze eigen PID, bestaande uit producten en werkpakketten waarvoor de inschrijver verantwoordelijk zal zijn.

IV.8.3 Governance structuren Alle projecten worden aangestuurd en beheerd binnen de projectbeheerstructuren van de FOD Financiën. Deze worden binnen onderstaand schema gesitueerd:

Projectleider Ieder project wordt binnen de FOD Financiën geleid door een eigen (business) Projectleider. Deze wordt aangesteld door de Sponsor, in samenspraak met de Stuurgroep. De inschrijver zal een eigen externe projectcoördinator (externe projectleider) aanduiden. Deze draagt samen met de Projectleider de volle verantwoordelijkheid voor de goede uitvoering van het project. De stuurgroep De Stuurgroep heeft een ruime bevoegdheid: zij waakt over de scope en de doelstellingen van het project, keurt de PID. met inbegrip van gedetailleerde planning en alle wijzigingen daarvan, goed, bewaakt de voortgang van het project, bevestigt de aanvaarding van deliverables (producten, deelopleveringen), beoordeelt de kwaliteit van de eind- en deelproducten, spreekt zich uit over alle betwistingen en/of problemen die door de Projectleider worden geagendeerd. Verder behandelt ze alle contractuele, administratieve en technische aspecten m.b.t. de uitvoering van de opdracht (garantie, respecteren van de SLA, kwaliteit van de uitvoeringen, enz.). Daartoe zal de projectleider en de externe projectcoördinator ook dan op regelde tijdstippen rapporteren aan de stuurgroep over status, voortgang, risico’s en problemen.. In de stuurgroep zetelt de sponsor, een senior profiel van de inschrijver, projectleider en externe projectcoördinator, een vertegenwoordiger van de gebruikers. Anderen kunnen worden uitgenodigd, zoals de operationele PMO, de ICT projectcoördinator, de workpackage verantwoordelijke,en specifieke pprojectmedewerkers 127 FOD Financiën – Veiligheidsplatform en antivirus

Projectteam Het projectteam bestaat uit verschillende profielen (interne en externen), die rapporteren aan respectievelijk hun workpackage verantwoordelijke, projectleider. De volgende rollen maken idealiter deel uit van het team : ICT Project coördinator (verzekert de link met Stafdienst ICT), Change coördinator (verzekert het veranderbeheer (P&O en communicatie),Externe coördinator (Contractant) Operationationeel PMO Het operationele PMO kan de projectleider bijstaan in het beheren en beheersen van zijn project, in het toepassen van PMFin en het gebruik van de projecttool ProjectMaster, ondersteunen in het rapportering voor stuurgroep en dircom.

IV.8.4 De Kick-off meeting Binnen een periode van maximaal 1 maand, gerekend vanaf de toewijzing van de opdracht, zullen de opdrachtnemer en de FOD Financiën verplicht een eerste stuurgroepvergadering houden, kickoff meeting genoemd. Tijdens de Kick-off wordt akte genomen van de officiële start van het project. In deze eerste vergadering kunnen, indien toepasbaar binnen het kader van het bestek, de PID wordt besproken, de samenstellingen en de vakkennis van de respectievelijke teams worden voorgesteld, de agenda voor de rapporteringen en de vergaderingen van de stuurgroep worden vastgelegd, afspraken rond projectmanagement, de planning voor de realisatie van de opdracht worden bepaald, de principes van de SLA worden uitgelegd, enz. Een document opgemaakt in twee exemplaren door de aannemer, en gevalideerd door de aanbestedende overheid, bekrachtigt officieel de aanvang van het project zodra de kickoffmeeting heeft plaatsgevonden.

IV.8.5 Stuurgroepvergadering Van bij de kick-off vergadering, de eerste stuurgroep, stuurgroepvergadering vastgelegd, in principe maandelijks.

worden

de

data

voor

de

De sponsor of projectleider kan altijd een extra stuurgroep bijeen roepen.

IV.8.6 Andere vergadermomenten Wekelijks zal de projectleider samen met het projectteam vergaderen en een verslag opstellen rond de projectstatus. Dit verslag wordt verspreid naar een aantal belangrijke betrokkenen (te bepalen bij de kick-off)

IV.8.7 Kwaliteit In de PID wordt een belangrijk deel besteed aan de kwaliteit. De inschrijver geeft in zijn PID aan hoe hij de kwaliteit zal bewaken. Daarenboven kan de FODFIN een extra kwaliteitscontrole door de QUAC (Quality Assurance Control Comité) ivm. het respecteren van de standaarden en normen organiseren, of een kwalititeitscontrole door derden. 128 FOD Financiën – Veiligheidsplatform en antivirus

IV.8.8 Rapporteringen Tijdens de hoger vermelde vergadermomenten en op afgesproken tijdstippen zal de inschrijver de nodige rapporteringen doen de ingezette middelen (personeel, methodes, hardware, software), voortgang, status… Periodiek, zijnde maandelijks volgens een kalender die in gezamenlijk overleg wordt bepaald tijdens de kick-off vergadering, zal de opdrachtnemer een compleet verslag opmaken voor de stuurgroep over de vooruitgang van het project (status van elke realisatiefase) en over eventuele problemen met voorgestelde oplossingen. Er zullen door de opdrachtnemer ook coördinatie- en werkverslagen worden opgemaakt over de vooruitgang van het project (status van elke realisatiefase) en over eventuele problemen met de voorgestelde oplossingen. Deze vergaderingen zullen punctueel plaatsvinden op verzoek van de partijen. Het ritme van deze ontmoetingen zal worden bepaald door de vooruitgang van de projectfases. De plaats van deze vergaderingen zal samen met de data worden gepreciseerd door de FOD Financiën. De inschrijver en de door hem aangestelde projectcoördinator zullen de Projectleider alle informatie ter beschikking stellen die noodzakelijk is om zicht te houden op het reële verloop van de werkzaamheden uit hoofde van de inschrijver en de situatie t.o.v. de vooropgestelde planning. Deze rapportering t.a.v. de Projectleider gebeurt op wekelijkse basis aan de hand van een status die is weergegeven op de Gantt Chart van het project en aangevuld met een korte schriftelijke toelichting m.b.t. headlines en eventuele problemen, inclusief hun remediëring. Alle details m.b.t. de wijze waarop deze rapportering dient te gebeuren zal bij de aanvang van het project worden meegedeeld. Alle inhoudelijke aspecten (planning, risico’s, kwaliteit, oplevering, resources, …) zullen vooreerst besproken worden binnen het Projectteam. Wanneer de Projectleider het noodzakelijk acht zullen problemen ter bespreking en deliberatie worden voorgelegd aan de Stuurgroep. De Projectleider rapporteert maandelijks over de voortgang van het project ten overstaan van de Stuurgroep. Voorkomend kan de Projectleider de externe projectcoördinator uitnodigen op de vergadering van de Stuurgroep ter ondersteuning en om bepaalde aspecten meer in detail toe te lichten.

IV.8.9 Het wijzigingsbeheer (zie ook deel lI, Wijzigingsbeheer (request for change)) Iedere wijziging (de scope, de vooropgestelde resultaten/producten, de planning, de budgetten, …) binnen het project moeten deel uitmaken van een wijzigingsaanvraag waarbinnen de reden tot wijziging en de impact ervan omstandig worden beschreven. De Stuurgroep evalueert de gegrondheid en de opportuniteit van de voorgestelde wijziging. Zij kan zich hiertoe laten bijstaan door de (operationele) PMO en/of een (externe) expert ter zake. De formele goedkeuring van de Leidend Ambtenaar is noodzakelijk alvorens de vooropgestelde wijzigingen ten uitvoer te brengen. In voorkomend geval zal de opdrachtnemer instaan voor de actualisering van de PID.



Datum van de informatiesessie: 11 augustus

Recommend Documents