Zadavatel:
Česká republika – Ministerstvo zemědělství
Název veřejné zakázky: Dodávka SAN switchů včetně příslušenství pro datová centra
Sídlem:
Těšnov 65/17, 110 00 Praha 1 – Nové Město
Ing. Luděk Novotný, ředitel Zastoupený: odboru provozu informačních a komunikačních technologií IČO:
00020478
Evidenční číslo veřejné zakázky: 521982 Druh zadávacího řízení: otevřené zadávací řízení na dodávky dle § 21 odst. 1 písm. a) zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů (dále jen „ZVZ“)
DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM č. 2 dle § 49 ZVZ
1 (celkem 5)
Česká republika – Ministerstvo zemědělství jako zadavatel výše uvedené veřejné zakázky obdržela dne 24. 3. 2016 žádost dodavatele o dodatečné informace k zadávacím podmínkám této veřejné zakázky. Na níže uvedené dotazy poskytuje zadavatel následující odpověď. Dotaz č. 1: Na základě analýzy požadavků zadavatele uvedených v „Příloha č. 1 Podrobný popis předmětu plnění“ je jisté, že požadované funkcionality a jejich kombinace vedou k eliminaci všech výrobců vyjma jediného a to společnosti Brocade Communications Systems. Pokud zadavatel nemá zákonný důvod požadovat řešení pouze od tohoto jediného výrobce a tyto konkrétní funkcionality, což velmi pravděpodobně nemá vzhledem k faktu, že nyní provozuje SAN infrastrukturu na SAN přepínačích jiného výrobce, požadujeme odstranění a následnou změnu níže uvedených požadavků dokumentu „Příloha č. 1 Podrobný popis předmětu plnění“ ZD, aby ZD vyhověli alespoň 2 největší světoví výrobci SAN přepínačů: A) Požadavek „Podpora Fiber Channel over IP“ nahradit požadavkem „Nabízené řešení musí být rozšiřitelné o řešení Fiber Channel over IP“ B) Požadavek „Správa s využitím CLI prostřednictvím SSH, podpora SSH2, AES minimálně 128bit, CTR nebo GCM režimu, HMAC minimálně SHA‐256, možnost vypnout jednotlivé algoritmy KEx, MAC a šifrování“ nahradit požadavkem za „Správa s využitím CLI prostřednictvím SSH, podpora SSH2“ C) Požadavek „Podpora logování na syslog servery – UDP i TLS včetně oboustranného ověřování certifikáty (požadavky na TLS viz vzdálená správa přes web)“ nahradit požadavkem „Podpora logování na syslog servery“ D) Požadavek „ Podpora šifrování na ISL algoritmem AES‐256 popř. jiným symetrickým algoritmem s ekvivalentní silou, s dynamickou výměnou klíčů a s výkonem 16 Gbps, včetně plného licenčního krytí.“ nahradit požadavkem „Podpora šifrování na ISL algoritmem minimálně AES‐128 popř. jiným symetrickým algoritmem s ekvivalentní silou, s dynamickou výměnou klíčů a s výkonem 16 Gbps, včetně plného licenčního krytí.“ Odpověď č. 1: Zadavatel vycházel při stanovení požadavků nejen z potřeby obměny provozovaných technologií, ale rovněž ze strategie vedoucí k posílení bezpečnosti, a to jak fyzické (zdvojení SAN switchů), tak kybernetické bezpečnosti, tj. zadavatel reflektuje požadavky současné legislativy i známé hrozby a útoky proti protokolům, mediím, algoritmům a software. Z těchto důvodů zadavatel stanovil 2 (celkem 5)
podmínky na dodaný hardware s výhledem používání těchto zařízení po dobu min. 5 let, a to tak, aby bylo možné plnit podmínky stanovené legislativou i omezit rizika průniků do SAN/LAN, ztráty dat a další bezpečnostní požadavky reflektující současný stav a vývoj v informačních a komunikačních technologií. Zadavatel stanovil požadavky na kryptografické algoritmy zejména v návaznosti na vyhlášku č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti. Ad A) Zadavatel trvá na požadavku, aby nabízené zařízení umožňovalo využití protokol Fiber Channel over IP. Tato skutečnost musí být zjevná z technických specifikací/technických listů (datasheetů) uvedených výrobcem. Zadavatel nepožaduje, aby součástí nabídky byly servisní karty/moduly určené pro Fiber Channel over IP, ale tyto moduly musí být v daný čas dostupné na trhu a dodané řídící jednotky a software musí umožňovat nasazení tohoto protokolu, tj. je nepřípustné, aby podpora Fiber Channel over IP byla např. v roadmapě výrobce. Ad B) Zadavatel nevyhovuje požadavku uchazeče. Požadavky zadavatele na použitou kryptografii při využití CLI vycházejí z průniku požadavků stanovených v Příloze č. 3 vyhlášky č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti, a dlouhodobě známých zranitelností. Pro podporu rozhodnutí zadavatel vyloučit některé algoritmy či režimy uvádíme příklad režimu CBC, který byl z možných algoritmů vyloučen na základě více než 7 let známé zranitelnosti (VU#958563 / CVE‐2008‐5161). Při stanovení požadavků na šifrování byl zadavatel kromě zohlednění bezpečnostních nálezů (známých zranitelností) u některých starších algoritmů a metod veden rovněž podporou vybraných algoritmů u klientů používaných na straně zadavatele. Zadavatel tak stanovil výčet požadavků, které zařízení musí splňovat, to neznamená, že zařízení nemůže podporovat i další šifrovací algoritmy, metody, atd. nad rámec požadavků stanovených v zadávací dokumentaci, ale pro umožnění komunikace v celé šíři provozované infrastruktury a posílení bezpečnostních principů, zejména s ohledem na platnou legislativu a bezpečnostní nálezy v některých protokolech a algoritmech, stanovil výčtem požadavky, které zařízení musí splňovat, aby nedocházelo k dalším investicím a bylo možné posílit bezpečnost infrastruktury zadavatele. Ad C) Zadavatel nevyhovuje požadavku uchazeče. Zadavatel považuje za srovnatelné řešení z pohledu funkčních a bezpečnostních požadavků vůči podpoře Syslog komunikace s TLS enkapsulací zabezpečení Syslog komunikace pomocí IPSec s následujícími parametry: 3 (celkem 5)
režim transportu,
enkapsulace ESP popř. AH+ESP,
ohadování SA pomocí IKEv1,
ověření protistrany sdíleným tajemstvím nebo pomocí certifikátů,
dohadování klíčů buď algoritmem DH minimálně 2048 bitů s cyklickou podgrupou minimálně 224 bitů nebo algoritmem ECDH s minimální délkou klíče 224 bitů,
šifrování IKE zpráv a přenášených dat algoritmem AES s délkou klíče minimálně 128 bitů,
zajištění integrity IKE zpráv a přenášených dat algoritmem HMAC‐SHA‐256 nebo silnějším; pro zajištění integrity přenášených dat lze též využít autentizované šifry (GCM).
Tyto požadavky na kryptografii v IPSec vycházejí z průniku požadavků uvedených v Příloze č. 3 vyhlášky č. 316/2014 Sb., a operačních systémů používaných pro Syslog servery provozovanými na MZe. Ad D) Zadavatel v tomto případě stanovil minimální požadavky a akceptuje řešení, které je ekvivalentní. Jako ekvivalentní je možné považovat např. šifrování SAN komunikace na ISL algoritmem AES‐128‐GCM za podmínky, že je implementována výměna klíče a inicializačního vektoru podle doporučení NIST SP‐800‐38D. Dotaz č. 2: Dále bychom chtěli ověřit výši jistoty dle bodu 13 ZD. V uvedeném bodě je uvedena výše jistoty 200.000 Kč (slovy: sedm set tisíc korun českých). Jaká je tedy výše jistoty? Odpověď č. 2: Zadavatel uvádí, že v čl. 13 zadávací dokumentace došlo v důsledku administrativního pochybení k chybnému slovnímu vyjádření výše jistoty. Jistota je požadována ve výši 200.000,‐ Kč (slovy: dvě stě tisíc korun českých). Tato nejasnost v zadávacích podmínkách již byla odstraněna v rámci dodatečných informací č. 1 ze dne 16. 3. 2016. 4 (celkem 5)
Zadavatel na základě těchto dodatečných informací zároveň rozhoduje o prodloužení lhůty pro podání nabídek do 3. 5. 2016, 10:00 hodin. V Praze dne 1. 4. 2016
Digitálně podepsal Ing. Luděk Novotný DN: c=CZ, o=Česká republika Ministerstvo zemědělství [IČ 00020478], ou=13310 - Odbor provozu inform. a kom. Technologií, ou=10004012, cn=Ing. Luděk Novotný, serialNumber=P456016, title=Ředitel odboru Datum: 2016.04.01 14:18:41 +02'00'
___________________________________________ Česká republika – Ministerstvo zemědělství Ing. Luděk Novotný, ředitel odboru provozu informačních a komunikačních technologií
5 (celkem 5)
