BESTEK Nr. ICT/2013.01 ALGEMENE OFFERTEAANVRAAG voor de installatie en het onderhoud van een gedemilitariseerde zone (DMZ) in de informatica sector voor rekening van de FOD Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking
Bestek ICT/2013.01 bladzijde 2/55
INHOUDSTAFEL. A. ALGEMENE BEPALINGEN............................................................................................................................ 4 1. Voorwerp en aard van de opdracht........................................................................................................... 4 2. Duur van de overeenkomst. ....................................................................................................................... 5 3. Aanbestedende overheid – Bijkomende informatie. ............................................................................... 5 4. Informatiesessie. .......................................................................................................................................... 5 5. Indienen en openen van de offertes. ........................................................................................................ 5 5.1 Indienen van offertes............................................................................................................................... 5 5.2 Opening van offertes ............................................................................................................................... 7 6. Leidende dienst - leidend ambtenaar. ...................................................................................................... 7 7. Beschrijving van de te presteren diensten. .............................................................................................. 7 8. Documenten van toepassing op de opdracht. ......................................................................................... 8 8.1. Wetgeving. .............................................................................................................................................. 8 8.2. Documenten betreffende de opdracht. ................................................................................................. 8 9. Offertes.......................................................................................................................................................... 8 9.1. In de offerte te vermelden gegevens...................................................................................................... 8 9.2. Geldigheidsduur van de offerte........................................................................................................... 10 9.3. Bij de offerte te voegen stalen, documenten en bescheiden. ............................................................. 10 10. Prijzen........................................................................................................................................................ 11 10.1. Prijzen. ................................................................................................................................................ 11 10.2. Prijsherziening. .................................................................................................................................. 11 11. Aansprakelijkheid van de dienstverlener.............................................................................................. 11 12. Selectiecriteria - Regelmatigheid van de offertes - Gunningscriteria............................................... 12 12.1. Selectiecriteria. ................................................................................................................................... 12 12.1.1. Uitsluitingscriteria........................................................................................................................... 12 12.1.2. Selectiecriteria inzake de financiële draagkracht van de inschrijver. ........................................ 14 12.1.3. Selectiecriteria met betrekking tot de technische bekwaamheid van de inschrijver................. 15 12.2. Regelmatigheid van de offertes. ........................................................................................................ 15 12.3. Gunningscriteria. ............................................................................................................................... 15 12.3.1. Lijst van de gunningscriteria. ........................................................................................................ 16 12.3.2. Eindkwotatie.................................................................................................................................... 16 13. Borgtocht................................................................................................................................................... 17 14. Opleveringen. ........................................................................................................................................... 18 15. Uitvoering van de diensten..................................................................................................................... 18 15.1. Termijnen en clausules. ..................................................................................................................... 18 15.1.1 Termijnen ......................................................................................................................................... 18 15.1.2. Uitvoeringsvoorwaarde................................................................................................................... 18 15.2. Plaats waar de diensten moeten worden uitgevoerd en formaliteiten. .......................................... 18 15.2.1. Plaats waar de diensten moeten worden uitgevoerd. ................................................................... 18 15.2.2. Evaluatie van de uitgevoerde diensten. ......................................................................................... 19 16. Facturatie en betaling van de diensten. ............................................................................................... 19 17. Aanbestedingsberichten en rechtzettingen.......................................................................................... 19 18. Bijzondere verbintenissen voor de dienstverlener.............................................................................. 19 19. Geschillen. ................................................................................................................................................ 20 20. Boeten wegens laattijdige uitvoering van de diensten. ...................................................................... 20 B. TECHNISCHE VOORSCHRIFTEN. .............................................................................................................. 21 1. Actuele informatiestromen ........................................................................................................................ 21 2. Actuele beveiligingsopzet ......................................................................................................................... 21 3. Objectief ...................................................................................................................................................... 21 4. De voorgestelde architectuur ................................................................................................................... 22 5. Redundantie en prestatieniveau .............................................................................................................. 25 6. Out-Of-Band Management ....................................................................................................................... 25 7. Integratie in de bestaande netwerkarchitectuur .................................................................................... 25 8. TO-BE Specificaties................................................................................................................................... 28 8.1 Stateful Firewalling & IPS (Intern) ..................................................................................................... 28 8.2 Stateful Firewalling & IPS (Extern) .................................................................................................... 29 8.3 Site-to-Site VPN Terminatie................................................................................................................. 30 8.4 Forward WEB integriteit ..................................................................................................................... 31
Bestek ICT/2013.01 bladzijde 3/55
8.5 Reverse WEB & Loadbalancing .......................................................................................................... 32 8.6 Remote Access ....................................................................................................................................... 33 8.7 User Access Controle ............................................................................................................................ 33 8.8 Mail integriteit....................................................................................................................................... 34 8.9 Domain Name Service (Extern) ........................................................................................................... 34 8.10 SIEM Logging ..................................................................................................................................... 35 9. Installatie binnen de omgeving van de FOD BZ.................................................................................... 36 10. Operationeel Beheer ............................................................................................................................... 37 10.1 Inleiding ............................................................................................................................................... 37 10.2 Migratie van de bestaande infrastructuur ........................................................................................ 39 10.3 Monitor en beheer op afstand ............................................................................................................ 40 10.4 Service Desk – SPOC .......................................................................................................................... 40 10.5 Services voor beheer, onderhoud en assistentie................................................................................ 40 10.6 Incident Management ......................................................................................................................... 41 10.7 Configuration/Change Management ................................................................................................. 41 10.8 Release Management ......................................................................................................................... 42 10.9 Capacity Management ........................................................................................................................ 43 10.10 Service Level Agreements................................................................................................................. 44 10.11 Consultancy op afroep ...................................................................................................................... 46 10.12 Opleiding............................................................................................................................................ 47 10.13 Rapportering ..................................................................................................................................... 47 C. BIJLAGEN....................................................................................................................................................... 49 INLICHTINGENBLAD ............................................................................................................................... 50 OFFERTEFORMULIER .............................................................................................................................. 51
Bestek ICT/2013.01 bladzijde 4/55
Federale Overheidsdienst Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking Karmelietenstraat 15 1000 Brussel Stafdirectie ICT Fax 02/501 88 95
BESTEK nr. ICT/2013.01 ALGEMENE OFFERTEAANVRAAG voor de installatie en het onderhoud van een gedemilitariseerde zone (DMZ) in de informatica sector voor rekening van de FOD Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking
A. ALGEMENE BEPALINGEN. In toepassing van artikel 3, paragraaf 1, van het KB van 26 september 1996 wordt de aandacht van de inschrijvers gevestigd op het feit dat er in dit bestek werd afgeweken van artikel 75 van de bijlage van het koninklijk besluit van 26 september 1996 inzake de boeten wegens laattijdige uitvoering, in het bijzonder op het vlak van het percentage van de boeten per kalenderdag en van het maximum percentage van de boeten berekend op de waarde van de diensten.
1. Voorwerp en aard van de opdracht. De onderhavige opdracht betreft de installatie van beveiligingsinfrastructuur, migratie vanuit de huidige omgeving, onderhoud van de geleverde infrastructuur en monitoring van een deel van de geleverde infrastructuur. Deze vier luiken worden hieronder gedetailleerd. 1. Het bestek betreft de installatie van een beveiligingsinfrastructuur dewelke firewalls omvatten met bijhorende beveiligingsapparatuur die in staat zijn om het netwerkverkeer te controleren dat wordt gegenereerd door +/- 3200 gebruikers van de FOD Buitenlandse Zaken (FOD BZ). Deze infrastructuur zal niet alleen het verkeer van en naar het Internet controleren, maar ook de stromen van en naar andere instanties, met name de verbindingen vanuit en naar de andere FOD’s en overheidsinstellingen (zowel nationaal als internationaal) alsook connectiviteit voor partners. De infrastructuur moet ook de veiligheid van de servers van FOD BZ en hun toepassingen, die toegankelijk zijn vanuit het internet en het Wide Area Network (WAN), garanderen. 2. De opdracht omvat tevens de migratie van de bestaande omgeving naar de nieuwe. De migratie moet worden uitgevoerd met een strikt minimum aan dienstonderbrekingen. 3. De opdracht omvat ook een belangrijke service voor het onderhoud van de installatie en voor de nodige updates met het oog op het op peil houden van het beveiligingsniveau. 4. Voor de operationele supervisie van een deel van de beveiligingsinfrastructuur dient de inschrijver een oplossing voor te stellen voor permanente monitoring op afstand vanuit zijn Security Operation Centre (SOC), in combinatie met de noodzakelijke diensten ter plaatse (FOD BZ). Om een objectieve vergelijking te kunnen maken tussen de verschillende aanbieders, gaat de FOD BZ ervan uit dat geen componenten gerelateerd aan de bestaande installatie kunnen herbruikt worden. Op het einde van het contract, is de aanbieder verantwoordelijk om - op zijn kosten - alle apparatuur in beheer van de inschrijver weg te halen evenals de terminatiekosten van alle diensten die werden opgenomen in het project (lijn naar SOC, apparatuur, andere diensten…). De FOD BZ zal hiervoor op het einde van het contract onder geen enkel beding een meerkost accepteren.
Bestek ICT/2013.01 bladzijde 5/55
Hiervoor wordt de procedure van de algemene offerteaanvraag gekozen. Deze opdracht omvat één enkel perceel. Dit is een gemengde opdracht (K.B. 8 januari 1996, art. 86). De diensten met betrekking tot de 4 luiken van de opdracht (zie hierboven) worden tegen een maandelijkse globale prijs geleverd. De consultancy- en opleidingsdiensten worden volgens prijslijst geleverd.
2. Duur van de overeenkomst. De opdracht begint op de eerste kalenderdag die volgt op de dag waarop de opdrachtnemer de kennisgeving van het sluiten van de opdracht heeft ontvangen en wordt afgesloten voor een periode van vier (4) jaar. Een verlenging van de geldigheidsduur van de opdracht is niet voorzien. De uitvoering van de diensten voorzien in het onderhavig bestek moet, in alle gevallen, worden beëindigd binnen de voorziene termijn, in overeenstemming met punt 15.1.
3. Aanbestedende overheid – Bijkomende informatie. De aanbestedende overheid is de Belgische Staat, vertegenwoordigd door de FOD Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking – Karmelietenstraat 15 in 1000 Brussel. Bijkomende inlichtingen inzake de procedure kunnen worden opgevraagd bij Mevrouw Patricia De Jonghe, Tél. : 02/501 81 86 Fax : 02/501 88 95 E-mail :
[email protected] Bijkomende inlichtingen inzake het inhoudelijke aspecten van de opdracht kunnen worden opgevraagd bij De Heer Frédéric Ruelle Tel. : 02/501 88 96 Fax : 02/501 88 95 E-mail :
[email protected]
4. Informatiesessie. Er is geen informatiesessie voorzien.
5. Indienen en openen van de offertes. 5.1 Indienen van offertes De offertes worden vóór de opening van de offertes, ofwel elektronisch ingediend via de e-tendering applicatie (zie hieronder voor meer informatie), ofwel per schrijven (een aangetekend schrijven wordt aanbevolen) opgezonden naar, ofwel persoonlijk neergelegd bij de aanbestedende overheid. De offertes worden aanvaard voor zover de zitting van opening van de offertes niet voor geopend is verklaard. Offerte verstuurd via elektronische middelen De elektronische offertes kunnen verstuurd worden via de e-tendering internetsite https://eten.publicprocurement.be/ die de naleving waarborgt van de voorwaarden van artikel 81 quater van het KB van 8 januari 1996. Er dient opgemerkt te worden dat het versturen van een offerte per e-mail niet aan deze voorwaarden voldoet. Daarom wordt het niet toegestaan op deze wijze offerte in te dienen.
Bestek ICT/2013.01 bladzijde 6/55
Onafgezien van eventuele toegestane varianten, mag iedere inschrijver slechts één offerte indienen per opdracht. De inschrijver kan bepaalde bij te voegen documenten die niet of uiterst moeilijk via elektronische middelen kunnen worden aangemaakt op papier bezorgen vóór de uiterste ontvangstdatum. Indien nodig worden de attesten zoals gevraagd gescand om ze bij de offerte te voegen. Door zijn offerte volledig of gedeeltelijk via elektronische middelen in te dienen, aanvaardt de inschrijver dat de gegevens die voortvloeien uit de werking van het ontvangstsysteem van zijn offerte worden geregistreerd. (Artikel 81 quater van het KB van 8 januari 1996). De offerte moet bij de aanbestedende overheid toekomen vóór de uiterste ontvangstdatum van de offertes. Om te verhelpen aan sommige problemen die zich kunnen voordoen bij de overlegging, de ontvangst of de opening van met elektronische middelen ingediende offertes geeft de aanbestedende overheid aan de inschrijver de toestemming om zowel een offerte, overgelegd met elektronische middelen, in te dienen als een veiligheidskopie, opgesteld met elektronische middelen of op papier. Deze veiligheidskopie wordt in een definitief gesloten envelop gestoken waarop duidelijk “veiligheidskopie” wordt vermeld en wordt binnen de opgelegde ontvangsttermijn ingediend. Deze kopie mag enkel worden geopend ingeval van een tekortkoming bij de overlegging, de ontvangst of de opening van de met elektronische middelen overgelegde offerte. Ze vervangt in dat geval definitief het met elektronische middelen overgelegd stuk. De veiligheidskopie is voor het overige onderworpen aan de op de offertes toepasselijke regels van dit bestek en het Koninklijk Besluit van 8 januari 1996. Meer informatie kan worden teruggevonden op volgende website : http://www.publicprocurement.be of Via de e-procurement helpdesk op het nummer : +32 (0)2 790 52 00 Offerte die niet elektronisch wordt ingediend De offertes die niet elektronisch worden ingediend, worden in een omslag gestoken die wordt gesloten. Op deze omslag dienen de volgende vermeldingen te worden aangebracht: -
het nummer van het bestek; de datum en het uur van de opening van de offertes.
Deze omslag wordt gestoken in een tweede omslag met de volgende vermeldingen: -
het woord «offerte» in de linkerbovenhoek; het adres van de bestemmeling: Federale Overheidsdienst Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking Stafdirectie ICT Karmelietenstraat 15 1000 BRUSSEL
Wijzigen of intrekken van een reeds ingediende offerte Indien een inschrijver een reeds opgestuurde of ingediende offerte wenst te wijzigen of in te trekken, moet dit gebeuren volgens de bepalingen in artikel 105 van het KB van 8 januari 1996. De wijziging of intrekking van een reeds ingediende offerte kan via elektronische middelen die voldoen aan artikel 81 quater van het KB van 8 januari 1996 of op papier. Om een reeds opgestuurde of ingediende offerte te wijzigen of in te trekken, is een schriftelijke verklaring vereist, die door de inschrijver of zijn gemachtigde behoorlijk is ondertekend. Het voorwerp en de draagwijdte van de wijzigingen moeten, op straffe van nietigheid van de offerte nauwkeurig vermeld worden. De intrekking moet onvoorwaardelijk zijn. De intrekking kan ook per telegram, telex of telefax worden medegedeeld voor zover:
Bestek ICT/2013.01 bladzijde 7/55
1° zij bij de voorzitter van de zitting voor het openen van de offertes toekomt alvorens hij de zitting opent, 2° en zij wordt bevestigd per aangetekende brief, afgegeven bij de post ten laatste de dag die aan de zitting voor het openen van de offertes voorafgaat. Deze voorwaarde is niet van toepassing indien elektronische middelen die voldoen aan artikel 81 quater van het KB van 8 januari 1996 worden gebruikt. Opmerking : Om technische en organisatorische redenen verkiest de aanbestedende overheid dat offertes elektronisch worden ingediend. De keuze ligt natuurlijk steeds bij de inschrijver en zal op geen enkele manier een rol spelen bij de analyse en evaluatie van de offerte. In het raam van het onderzoek van de offertes door de aanbestedende overheid, worden de inschrijvers erop gewezen dat zij het bezoek aan hun installaties door afgevaardigden van de aanbestedende overheid moeten toelaten.
5.2 Opening van offertes
Op 20/08/2013 om 14u15, Karmelietenstraat 15, 1000 Brussel, wordt overgegaan tot de opening in openbare zitting van de offertes ingediend voor deze opdracht.
6. Leidende dienst - leidend ambtenaar. De leidende dienst in de zin van artikelen 1 en 2 van de algemene aannemingsvoorwaarden is de aanbestedende overheid. Enkel de aanbestedende overheid is bevoegd voor de controle en het toezicht op de opdracht. De leidend ambtenaar (die een ambtenaar van de aanbestedende overheid zal zijn) zal worden aangeduid in de kennisgeving van de gunning van de opdracht. De grenzen van zijn bevoegdheid zullen worden vermeld.
7. Beschrijving van de te presteren diensten. Cf. B. TECHNISCHE VOORSCHRIFTEN
Bestek ICT/2013.01 bladzijde 8/55
8. Documenten van toepassing op de opdracht. 8.1. Wetgeving. -
-
De wet van 24 december 1993 betreffende de overheidsopdrachten en sommige opdrachten voor aanneming van werken, leveringen en diensten; Het koninklijk besluit van 8 januari 1996 betreffende de overheidsopdrachten van werken, leveringen en diensten en de concessies van openbare werken; Het koninklijk besluit van 26 september 1996 tot bepaling van de algemene uitvoeringsregels van de overheidsopdrachten en van de concessies voor openbare werken + bijlage : algemene aannemingsvoorwaarden voor de overheidsopdrachten voor aanneming van werken, leveringen en diensten en voor de concessies voor openbare werken; Alle wijzigingen aan de wet en de voormelde besluiten die van toepassing zijn op de dag van de opening van de offertes;
8.2. Documenten betreffende de opdracht. -
Onderhavig bestek nr. ICT/2013.01 De goedgekeurde offerte.
9. Offertes. 9.1. In de offerte te vermelden gegevens. De aandacht van de inschrijvers wordt gevestigd op artikel 10 van de wet van 24 december 1993 en artikel 78 van het koninklijk besluit van 8 januari 1996 in verband met de onverenigbaarheden. De inschrijver is verplicht het bij het onderhavig bestek gevoegde offerteformulier te gebruiken. Indien toch andere documenten worden gebruikt, is hij verplicht om op elk document de conformiteit met het bij het bestek gevoegde offerteformulier te attesteren (Art. 89 van het KB van 8 januari 1996).
De offerte en de bijlagen gevoegd bij het offerteformulier worden opgesteld in het Nederlands of in het Frans. Door het neerleggen van zijn offerte ziet de inschrijver automatisch af van zijn algemene of bijzondere verkoopsvoorwaarden, zelfs als deze op de een of andere bijlage zijn vermeld in zijn offerte . De inschrijver duidt in zijn offerte duidelijk aan welke informatie vertrouwelijk is en/of betrekking heeft op technische of commerciële geheimen en dus niet mag bekendgemaakt worden door de aanbestedende overheid. Het offerteformulier is bij het bestek gevoegd. Opstellen van het antwoord De offerte van de aanbieder dient een technisch- en een commercieel luik te bevatten. 1°) Technisch luik Het technische luik van de offertes dient opgesteld te worden zoals hieronder beschreven met dien verstaande dat de bieders verzocht worden om de geleverde informatie in hun offerte te beperken tot wat hen specifiek gevraagd wordt. Eventuele uitbreidingen, toevoegingen, brochures of bijkomende informatie kunnen bijgevoegd worden in bijlage. Het technische gedeelte van de offerte dient als volgt ingedeeld te worden met in achtname van het aantal toegelaten pagina’s: - Synopsis (2 pagina’s in totaal) - Algemene voorstelling van het bedrijf (4 pagina’s in totaal).
Bestek ICT/2013.01 bladzijde 9/55
- Algemene aanpak (10 pagina’s in totaal) - Antwoord per functionaliteit (40 pagina’s in totaal voor alle functies samen) - Optionele informatie - Bijlagen Synopsis (2 pagina’s alles inbegrepen) Deze synthese dient beknopt te zijn. Zij mag de kernboodschappen weergeven van het project en de essentiële elementen van de offerte met betrekking tot elk onderdeel. De aanbieders kunnen deze synthese gebruiken om hun capaciteit om dit project in zijn geheel en professioneel te realiseren aan te tonen. Algemene voorstelling van het bedrijf (4 pagina’s alles inbegrepen). In dit onderdeel kunnen de aanbieders zich voorstellen (historiek, marktaandeel, verkoop en resultaten, geografische vertegenwoordiging van de activiteiten, enz.) Algemene aanpak (10 pagina’s alles inbegrepen) Dit onderdeel zal de voorgestelde oplossing in zijn geheel beschrijven. Verder zullen alle technische limieten (maximum capaciteiten, etc.) gerelateerd aan deze offerte in dit deel dienen vermeld worden. Bovendien worden de aanbieders verzocht een duidelijk onderscheid te maken tussen: - de karakteristieken en de diensten die vandaag beschikbaar zijn en de diensten die het in de toekomst zullen zijn (roadmap), - de elementen die effectief inbegrepen zijn in de offerte en de elementen die optioneel aangeboden worden. In dit onderdeel dienen de aanbieders gedetailleerde informatie te geven met betrekking tot de migratie van de huidige beveiligingsmiddelen van de FOD BZ naar de nieuwe opzet. Deze beschrijving dient de FOD BZ in staat te stellen een precies beeld te verkrijgen van de aanpak van de aanbieders zowel op vlak van projectmatige organisatie alsook op vlak van de gebruikte technieken teneinde de impact naar de FOD BZ te minimaliseren. Antwoord per functionaliteit (maximum 40 pagina’s voor alle modules samen). In dit onderdeel dient een gedetailleerde offerte voorgelegd te worden voor elk van de technische oplossingen die beschreven zijn in dit bestek. Elke dienst dient behandeld te worden als een apart hoofdstuk. Elk onderdeel dient punt per punt en gedetailleerd beantwoord te worden. Alle beperkingen met betrekking tot de dienstverlening van de aanbieders dienen eveneens vermeld te worden in de voorziene paragraaf in het betreffende onderdeel. Bijkomende informatie Dit onderdeel is optioneel. Het is bedoeld om de bieders de gelegenheid te geven om hun antwoord aan te vullen met relevante informatie. Bijlagen In dit onderdeel kunnen de bijlagen bij de offerte toegevoegd worden. 2°) Commercieel luik Het commerciële luik van de offerte dient gescheiden te worden van het technische luik De volgende inlichtingen zullen worden vermeld in de offerte : -
de maandelijkse globale prijs van de offerte in letters en in cijfers (excl. BTW) ; de eenheidsprijzen in letters en in cijfers voor de consultancy- en opleidingsdiensten (excl. BTW) ; het bedrag van de BTW ; de handtekening van de persoon bevoegd om de offerte te ondertekenen ; de hoedanigheid van de persoon die de offerte ondertekent ;
Bestek ICT/2013.01 bladzijde 10/55
-
de datum waarop voormelde persoon de offerte heeft ondertekend ; het volledige inschrijvingsnummer van de inschrijver bij de Kruispuntbank van de Ondernemingen (voor de Belgische inschrijvers) ter informatie, de maandelijkse kosten in detail, volgens onderstaand schema: Service
Basis/Optie
Stateful Firewalling & IPS (Intern) Stateful Firewalling & IPS (Out Of Band) Stateful Firewalling & IPS (Cortesy) Stateful Firewalling & IPS (Extern) Site-to-Site VPN Terminatie Forward WEB integriteit User Access Controle Instrastructuur (Racks, Switches, Cabling, etc..) SIEM Logging Operationeel beheer (Service Management, Monitoring, SOC connectiekosten, Reporting, etc) Host integriteit checking vanop User Access Controle service
Basis Basis
Maandelijkse kost
Basis Basis Basis Basis Basis Basis Basis Basis
Optie
9.2. Geldigheidsduur van de offerte. De inschrijvers blijven gebonden door hun offerte gedurende een termijn van 120 kalenderdagen, ingaande de dag na de opening van de offertes.
9.3. Bij de offerte te voegen stalen, documenten en bescheiden. De inschrijvers voegen bij hun offerte: -
alle documenten gevraagd in het raam van de selectiecriteria en de gunningscriteria (zie rubriek 12 hierna); De statuten en alle andere nuttige documenten die de bevoegdheid van de ondergetekende(n) bewijzen
Bestek ICT/2013.01 bladzijde 11/55
10. Prijzen. 10.1. Prijzen. Alle prijzen vermeld in het offerteformulier worden verplicht uitgedrukt in euro. Dit is een gemengde opdracht. De vier luiken als gedetailleerd beschreven in punt 1 van dit bestek worden geleverd tegen een maandelijkse globale prijs. De maandelijkse globale prijs is dus forfaitair. De dienstverlener wordt geacht in zijn maandelijkse globale prijs alle mogelijke kosten die op de diensten wegen te hebben begrepen, met uitzondering van de btw De consultancy- en opleidingsdiensten zijn volgens prijslijst wat betekent dat enkel de eenheidsprijzen forfaitair zijn. De dienstverlener wordt geacht in zijn eenheidsprijzen alle mogelijke kosten die op de diensten wegen te hebbenbegrepen, met uitzondering van de btw. Gelieve dus te noteren dat alle éénmalige kosten, met inbegrip van de te installeren hardware, dienen verrekend te worden op basis van maandelijkse kosten. Om deze reden zullen in de financiële offerte geen eenmalige kosten opgenomen worden.
10.2. Prijsherziening. Voor de onderhavige opdracht is geen prijsherziening mogelijk.
11. Aansprakelijkheid van de dienstverlener. De dienstverlener draagt de volle aansprakelijkheid voor de fouten en nalatigheden die in de verleende diensten voorkomen, inzonderheid in de studies, de berekeningen, de plannen of in alle andere ter uitvoering van de opdracht door hem voorgelegde stukken. De dienstverlener vrijwaart de aanbestedende overheid bovendien tegen elke schadevergoeding die deze aan derden verschuldigd is op grond van de vertraging bij de uitvoering van de diensten of op grond van het in gebreke blijven van de dienstverlener.
Bestek ICT/2013.01 bladzijde 12/55
12. Selectiecriteria - Regelmatigheid van de offertes - Gunningscriteria. 12.1. Selectiecriteria. De inschrijvers worden getoetst aan de hiernavolgende selectiecriteria. Enkel de offertes van de inschrijvers die voldoen aan de selectiecriteria worden in aanmerking genomen om deel te nemen aan de toetsing van de offertes aan de gunningscriteria vermeld in punt 12.3 van dit bestek, voor zover de ingediende offertes administratief en technisch regelmatig zijn. 12.1.1. Uitsluitingscriteria. Door het indienen van een offerte verklaart de inschrijver zich niet in een van onderstaande uistluitingsgevallen te bevinden. De aanbestedende overheid zal de juistheid van deze impliciete verklaring op erewoord onderzoeken in hoofde van de inschrijver wiens offerte het beste gerangschikt is. Daartoe zal zij de betrokken inschrijver vragen via de sneltste middelen en binnen de termijn die zij aanduidt, de inlichtingen of documenten te leveren die toelaten zijn persoonlijke toestand na te gaan. De inlichtingen of documenten die de aanbestedende overheid kosteloos via elektronische middelen bij de gegevensbeheerder kan opvragen, zal door de aanbestedende overheid zelf worden opgevraagd. Eerste uitsluitingscriterium. §.1. De Belgische inschrijver die personeel tewerkstelt dat is onderworpen aan de wet van 27 juni 1969 tot herziening van de besluitwet van 28 december 1944 betreffende de sociale zekerheid der arbeiders moet in orde zijn met zijn verplichtingen ten overstaan van de Rijksdienst voor Sociale Zekerheid. Hij wordt geacht in orde te zijn met voormelde verplichtingen indien blijkt dat hij ten laatste daags vóór de uiterste datum voor de ontvangst van de offertes: 1°
aan de Rijksdienst voor Sociale Zekerheid al de vereiste aangiften heeft toegezonden, tot en met diegene die slaan op het voorlaatste afgelopen kalenderkwartaal voor de ontvangst van de offertes en
2°
op deze aangiften geen verschuldigde bijdragen van meer dan 2.500 EURO moet vereffenen, tenzij hij voor die schuld uitstel van betaling heeft verkregen waarvan hij de termijnen strikt in acht neemt.
Evenwel zelfs wanneer de schuld aan bijdragen groter is dan 2.500 EURO, zal de inschrijver in orde beschouwd worden indien hij, alvorens de beslissing tot het gunnen van de opdracht wordt genomen, aantoont dat hij, ten laatste daags voor de uitsterste ontvangst van de offertes op een aanbestedende overheid in de zin van artikel 4, §1 en § 2, 1° tot 8° en 10° van de wet of op een overheidsbedrijf in de zin van artikel 26 van die wet, één of meer schuldvorderingen bezit die zeker, opeisbaar zijn en vrij van elke verbintenis tegenover derden zijn en waarvan het bedrag op 2.500 EURO na, ten minste gelijk is aan de achterstallige bijdragen. § 2.
Ten laatste daags voor de uiterste datum voor de ontvangst van de offertes moet de buitenlandse inschrijver: 1°
voldaan hebben aan de verplichtingen inzake betaling van de bijdragen voor de sociale zekerheid, overeenkomstig de wettelijke bepalingen van het land waar hij gevestigd is.
2°
in orde zijn met de bepalingen van § 1, indien hij personeel tewerkstelt dat onderworpen is aan de wet van 27 juni 1969 tot herziening van de besluitwet van 28 december 1944 betreffende de sociale zekerheid der arbeiders.
Bestek ICT/2013.01 bladzijde 13/55
§.3.
De aanbestedende overheid kan in welk stadium van de procedure ook, met alle middelen die zij dienstig acht inlichtingen inwinnen over de stand van betaling van de bijdragen voor de sociale zekerheid van om het even welke inschrijver.
Tweede uitsluitingscriterium. Wordt uitgesloten van deelname aan de gunningsprocedure: De dienstverlener die bij een vonnis dat in kracht van gewijsde is gegaan waaraan de aanbestedende overheid kennis heeft, veroordeeld is voor: 1°
deelname aan een criminele organisatie als bedoeld in artikel 324bis van het Strafwetboek;
2°
omkoping als bedoeld in artikel 246 van het Strafwetboek;
3°
fraude als bedoeld in artikel 1 van de overeenkomst aangaande de bescherming van de financiële belangen van de Gemeenschap, goedgekeurd door de wet van 17 februari 2002;
4°
witwassen van geld als bedoeld in artikel 3 van de wet van 11 januari 1993 tot voorkoming van het gebruik van het financieel stelsel voor het witwassen van geld en de financiering van terrorisme.
Met het oog op de toepassing van dit uitsluitingscriterium kan de aanbestedende overheid, indien zij twijfels heeft over de persoonlijke situatie van een leverancier, de bevoegde binnenlandse of buitenlandse autoriteiten verzoeken om de inlichtingen die ze terzake nodig acht. Derde uitsluitingscriterium. De inschrijver mag niet in één van de volgende gevallen verkeren: 1° in staat van faillissement of van vereffening verkeren, zijn werkzaamheden hebben gestaakt of een gerechtelijk akkoord hebben bekomen, of in een overeenstemmende toestand verkeren als gevolg van een gelijkaardige procedure die bestaat in de nationale wetgevingen en reglementeringen ; 2°
aangifte hebben gedaan van zijn faillissement, een procedure van vereffening of een gerechtelijk akkoord aanhangig hebben of een gelijkaardige procedure lopende hebben bestaande in de nationale wetgevingen en reglementeringen.
Vierde uitsluitingscriterium. De inschrijver mag niet bij een vonnis dat in kracht van gewijsde is gegaan, veroordeeld zijn geweest voor een misdrijf dit zijn professionele integriteit aantast. Vijfde uitsluitingscriterium. De inschrijver mag niet bij zijn beroepsuitoefening een ernstige fout hebben begaan, vastgesteld op grond die de aanbestedende overheden aannemelijk kunnen maken. Bovendien, verbindt de inschrijver, door de ondertekening van zijn offerte, zich tot het naleven van de normen bepaald in de basisconventies van de Internationale Arbeidsorganisatie (IAO), en in het bijzonder : 1. het verbod op dwangarbeid (verdrag nr. 29 betreffende de gedwongen of verplichte arbeid, 1930 en verdrag nr. 105 betreffende de afschaffing van de gedwongen arbeid, 1957); 2. het recht op vakbondsvrijheid (verdrag nr. 87 betreffende de vrijheid tot het oprichten van vakverenigingen en bescherming van het vakverenigingsrecht, 1948); 3. het recht van organisatie en collectief overleg (verdrag nr. 98 betreffende het recht van organisatie en collectief overleg, 1949); 4. het verbod op discriminatie inzake tewerkstelling en verloning (verdrag nr. 100 betreffende de gelijke verloning, 1951 en verdrag nr. 111 betreffende discriminatie (beroep en beroepsuitoefening), 1958);
Bestek ICT/2013.01 bladzijde 14/55
5. de minimumleeftijd voor kinderarbeid (verdrag nr. 138 betreffende de minimumleeftijd, 1973), alsook het verbod op de ergste vormen van kinderarbeid (verdrag nr. 182 over de ergste vormen van kinderarbeid, 1999). Het niet-naleven van de hierboven vermelde verdragen zal dus worden beschouwd als een ernstige fout bij de beroepsuitoefening in de zin van artikel 69, 4° van het KB van 8 januari 1996. De hogervermelde voorschriften zijn van toepassing ongeacht de andere voorschriften opgenomen in het artikel 69 van het hierboven vermeld besluit. Zesde uitsluitingscriterium. De inschrijver moet in orde zijn met de betaling van de verschuldigde directe belastingen en van de verschuldigde BTW. Zevende uitsluitingscriterium. De inschrijver mag zich niet in ernstige mate schuldig hebben gemaakt aan het afleggen van valse verklaringen bij het verstrekken van inlichtingen, opvorderbaar in het raam van deze opdracht. 12.1.2. Selectiecriteria inzake de financiële draagkracht van de inschrijver. De inschrijver moet tijdens één van de laatste drie boekjaren een totale omzet hebben gerealiseerd die ten minste 10.000.000,00 EURO bedroeg. Hij voegt bij zijn offerte een verklaring inzake de totale omzet gerealiseerd tijdens de laatste drie boekjaren, tenzij de totale omzet vermeld staat op de goedgekeurde jaarrekeningen die via het elektronisch loket kunnen worden geraadpleegd (dit zijn de jaarrekeningen neergelegd bij de Nationale Bank van België, opgesteld volgens het volledig boekhoudkundig schema, of volgens het verkort boekhoudkundig schema waarop de facultatieve vermelding van de gerealiseerde totale omzet ingevuld werd). De inschrijver moet tijdens één van de laatste drie boekjaren een omzet inzake de activiteiten die rechtstreeks verband houden met de diensten die in dit bestek worden beschreven, hebben gerealiseerd van 1.000.000,00 EURO. Hij voegt bij zijn offerte een verklaring inzake deze omzet gerealiseerd tijdens de laatste drie boekjaren. De inschrijver dient tevens over voldoende financiële slagkracht te beschikken. Deze financiële slagkracht zal worden beoordeeld op basis van de goedgekeurde jaarrekeningen van de laatste drie boekjaren neergelegd bij de Nationale Bank van België. De inschrijvers die de goedgekeurde jaarrekeningen hebben neergelegd bij de Nationale Bank van België hoeven deze niet bij hun offerte te voegen, aangezien de aanbestedende overheid deze jaarrekeningen kan raadplegen via het elektronisch loket van de federale overheid. De inschrijvers die de goedgekeurde jaarrekening van de laatste drie boekjaren niet bij de Nationale Bank van België hebben neergelegd, zijn verplicht om deze bij hun offerte te voegen. Deze verplichting geldt ook voor de jaarrekening die onlangs werd goedgekeurd en die nog niet bij de Nationale Bank van België werd gedeponeerd, omdat de wettelijk voorziene termijn voor het neerleggen ervan nog niet verstreken is. Voor eenmanszaken dient een staat van alle activa en passiva door een accountant IDAC of een bedrijfsrevisor te worden opgesteld. Deze staat dient door een erkend accountant IDAC of door de bedrijfsrevisor, naargelang het geval, voor echt te worden verklaard. Het document moet een recente financiële toestand weerspiegelen (maximum 6 maanden oud te rekenen vanaf de datum van de opening van de offertes). Indien de onderneming nog geen jaarrekening heeft gepubliceerd, volstaat een tussentijdse balans voor echt verklaard door de accountant IDAC of door de bedrijfsrevisor. Voor de buitenlandse ondernemingen dienen tevens de goedkeurende jaarrekeningen van de drie laatste jaren of een staat van alle activa en passiva van de onderneming bij de offerte te worden gevoegd. Indien de onderneming nog geen jaarrekening heeft gepubliceerd, volstaat een tussentijdse balans voor echt verklaard door de accountant of door de bedrijfsrevisor of door de persoon of organisme dat een soortgelijke functie in zijn land uitoefent.
Bestek ICT/2013.01 bladzijde 15/55
12.1.3. Selectiecriteria met betrekking tot de technische bekwaamheid van de inschrijver. Eerste criterium inzake de bekwaamheid van de inschrijver. De inschrijver moet over de volgende referenties aan diensten beschikken die werden uitgevoerd tijdens de laatste drie jaar: De inschrijver moet het bewijs leveren van de realisatie van minstens drie gelijkwaardige projecten, voor een vergelijkbaar aantal interne gebruikers (projecten, uitgevoerd binnen de onderneming van de inschrijver of binnen de onderneming(en) van de onderaannemer(s) worden niet in aanmerking genomen voor dit criterium). Hiertoe voorziet hij een lijst van de belangrijkste opdrachten, voltooid in de loop van de drie laatste jaren. Hij voorziet tevens een lijst met gelijkaardige projecten die hij in dezelfde periode heeft gerealiseerd, naast de openbare en privé-instanties voor deze projecten werden gerealiseerd. Indien het diensten aan overheden betreft, worden de diensten aangetoond door certificaten die door de bevoegde overheid zijn opgesteld of goedgekeurd. Indien het gaat om diensten aan privaatrechtelijke personen worden de diensten aangetoond door certificaten opgesteld door deze personen, of bij ontstentenis, door een verklaring van de inscrhrijver. De inschrijver moet de datum, het totaalbedrag van de opdracht en de gegevens van een contactpersoon binnen de betrokken onderneming of organisatie voorzien. Tweede criterium inzake de bekwaamheid van de inschrijver. De inschrijver moet vermelden hoe hij de kwaliteit van zijn diensten en zijn producten garandeert. Hij moet zijn beheerssysteem beschrijven voor het beheren van zijn processen en zijn activiteiten om te voldoen aan de eisen van zijn klanten en zich te houden aan de geldende reglementen. De volgende certificaties zijn vereist vanwege de inschrijver: Project management (PMI, Prince2), Service management (ITIL), Netwerken (CCNP, CCIE of gelijkwaardig), Beveiliging (CISSP en/of CISA, security vendor certifications, ISO27001, etc.). Bovendien is een ISO 9001-certificatie (of gelijkwaardig) vereist vanwege de dienstverlener. Indien er een beroep wordt gedaan op onderaanneming, wenst de FOD BZ dat de onderaannemers eveneens een ISO 9001-certificatie (of gelijkwaardig) bezitten. De inschrijver voegt bij zijn offerte een opgave van de diensten die hij door een onderaannemer zal laten uitvoeren. Derde criterium inzake de bekwaamheid van de inschrijver. De SOC dient zich te bevinden binnen de EU.
12.2. Regelmatigheid van de offertes. De offertes van de geselecteerde inschrijvers zullen worden onderzocht op het vlak van hun regelmatigheid. Onregelmatige offertes zullen worden geweerd. Enkel regelmatige offertes komen in aanmerking om te worden getoetst aan de gunningscriteria.
12.3. Gunningscriteria. Voor de keuze van de meest interessante offerte worden de regelmatige offertes van de geselecteerde inschrijvers aan een aantal gunningscriteria getoetst. Deze criteria zullen gewogen worden teneinde een eindklassement te bekomen.
Bestek ICT/2013.01 bladzijde 16/55
12.3.1. Lijst van de gunningscriteria. De gunningscriteria in dalende rangorde van belangrijkheid, zijn de volgende :
1) Prijs
50p
2) Technische waarde
50p
a) Globale Architectuur Architectuur Design Kwaliteit van de voorgestelde producten Kwaliteit van de aangeboden functionaliteit Globaal beheersgemak / audit mogelijkheden
25p 5p 7,5p 7,5p 5p
b) Services voor monitoring, beheer, assistentie en onderhoud SOC beveiliging en omgang met vertrouwelijkheid van de gegevens Niveau van proactiviteit, services voor helpdesk en assistentie, services voor reporting, opleiding en adhoc consulting Services voor onderhoud en SLA c) Installatie van de oplossing, Transitie van AS-IS naar TO-BE
15p 5p 5p 5p 10p
12.3.2. Eindkwotatie. De kwotaties voor de 2 gunningscriteria zullen worden opgeteld. De opdracht zal worden gegund aan de inschrijver met de hoogste eindkwotatie, nadat de aanbestedende overheid ten opzichte van deze inschrijver de juistheid van de impliciete verklaring op erewoord heeft nagegaan en op voorwaarde dat uit de controle blijkt dat de impliciete verklaring op erewoord overeenkomt met de werkelijkheid. De evaluatie van de gunningscriteria gebeurt als volgt: -
voor de beoordeling van gunningscriterium 1 (Prijs) wordt de volgende formule toegepast:
(Totaal bedrag van de goedkoopste offerte / totaal bedrag van de offerte) x 50 Het totale bedrag van de offerte bestaat uit de maandelijkse globale prijs vermenigvuldigd met 42 (= duur van de opdracht, zijnde 48 maanden waarvan 6 maanden (180 dagen) voor de installatie in mindering worden gebracht), de prijs voor een dag opleiding voor 5 personen vermenigvuldigd met 2 (1 opleiding in het Frans en 1 opleiding in het Nederlands) en uit de prijs voor een dag consultancy vermenigvuldigd met 80 (raming van het aantal benodigde dagen na de implementatie van de oplossing). Ter herinnering, om een objectieve vergelijking te kunnen maken tussen de respectieve offertes van de inschrijvers, mag de huidige apparatuur niet opnieuw worden gebruikt. - voor de beoordeling van gunningscriterium 2 (Technische waarde) wordt een studie/gedetailleerde vergelijking gemaakt van de gevraagde inachtneming en kwaliteit van de integratie en van de functionaliteiten.
Bestek ICT/2013.01 bladzijde 17/55
13. Borgtocht. De borgtocht bedraagt 5 % van het totaal bedrag, excl. BTW, van de opdracht (Cf. 12.3.2 Eindkwotatie). Het aldus bekomen bedrag wordt afgerond naar het hogergelegen tiental euro. Overeenkomstig de wets- en reglementsbepalingen kan de borgtocht hetzij in speciën of publieke fondsen, hetzij onder de vorm van een gezamenlijke borgtochtstelling worden gesteld. De borgtocht kan eveneens worden gesteld via een waarborg toegestaan door een kredietinstelling die voldoet aan de voorschriften van de wet van 22 maart 1993 op het statuut van en het toezicht op de kredietinstellingen of door een verzekeringsonderneming die voldoet aan de voorschriften van de wet van 9 juli 1975 betreffende de controle der verzekeringsondernemingen en die toegelaten is tot tak 15 (borgtocht). De dienstverlener moet, binnen de dertig kalenderdagen volgend op de dag van de gunning van de opdracht, het bewijs leveren dat hij of een derde de borgtocht op een van de volgende wijzen heeft gesteld: 1° wanneer de borgtocht in speciën wordt gesteld, door storting van het bedrag op de Postchequerekening van de Deposito- en Consignatiekas (PRK nr 679-2004099-79) of van een openbare instelling die een functie vervult die gelijkaardig is met die van genoemde Kas, hierna genoemd openbare instelling die een gelijkaardige functie vervult; 2° wanneer de borgtocht uit publieke fondsen bestaat, door neerlegging van deze voor rekening van de Deposito-en Consignatiekas in handen van de Rijkskassier op de zetel van de Nationale Bank te Brussel of bij een van haar provinciale agentschappen of van een openbare instelling die een gelijkaardige functie vervult; 3° wanneer de borgtocht gedekt wordt door een gezamenlijke borgtochtmaatschappij, door neerlegging via een instelling die deze activiteit wettelijk uitoefent, van een akte van solidaire borg bij de Deposito- en Consignatiekas of bij een openbare instelling die een gelijkaardige functie vervult; 4° wanneer de borgtocht gesteld wordt door middel van een waarborg, door de verbintenisakte van de kredietinstelling of van de verzekeringsonderneming. Dit bewijs wordt geleverd, naargelang van het geval, door overlegging aan de aanbestedende overheid van: 1° hetzij het ontvangstbewijs van de Deposito- en Consignatiekas of van een openbare instelling die een gelijkaardige functie vervult; 2° hetzij het debetbericht van de kredietinstelling of van de verzekeringsonderneming; 3° hetzij het deposito-attest van de Rijkskassier of van een openbare instelling die een gelijkaardige functie vervult; 4° hetzij de originele akte van solidaire borg, geviseerd door de Deposito- en Consignatiekas of van een openbare instelling die een gelijkaardige functie vervult; 5) hetzij het origineel van de verbintenisakte opgemaakt door de kredietinstelling of de verzekeringsonderneming die een waarborg heeft toegestaan. Deze documenten, ondertekend door de deponent, vermelden waarvoor de borgtocht werd gesteld en de preciese bestemming, bestaande uit de beknopte gegevens betreffende de opdracht en verwijzing naar het bestek, alsmede de naam, voornamen en volledig adres van de dienstverlener en eventueel deze van de derde die voor rekening van de dienstverlener het deposito heeft verricht, met de vermelding “geldschieter” of “gemachtigde”, naargelang het geval. De termijn van dertig kalenderdagen hiervoor vermeld wordt opgeschort tijdens de sluitingsperiode van de onderneming van de dienstverlener voor de betaalde jaarlijkse vakantiedagen en de inhaalrustdagen die op reglementaire wijze of in een algemeen bindende verklaarde collectieve arbeidsovereenkomst werden bepaald. Het bewijs van borgtochtstelling dient te worden gezonden aan het adres dat zal worden vermeld in de kennisgeving van de gunning van de opdracht. De borgtocht wordt in één keer vrijgegeven na het definitief aanvaarden van de laatste opdracht uitgevoerd op basis van de overeenkomst afgesloten op basis van dit bestek, op uitdrukkelijke vraag van de dienstverlener en op voorwaarde dat de geleverde diensten zijn opgeleverd.
Bestek ICT/2013.01 bladzijde 18/55
14. Opleveringen. De diensten zullen tijdens hun uitvoering nauwlettend worden opgevolgd door een afgevaardigde van de aanbestedende overheid.
15. Uitvoering van de diensten. 15.1. Termijnen en clausules. 15.1.1 Termijnen De diensten voor de installatie moeten worden uitgevoerd binnen een termijn van 180 kalenderdagen te rekenen vanaf de tweede werkdag die volgt op de datum van versturing van de bestelbon. De sluitingsdagen voor de jaarlijkse vakanties in de onderneming van de dienstverlener worden niet meegerekend. De bestelbon wordt per aangetekend schrijven, per fax of op iedere andere manier die onomstotelijk toelaat de datum van versturing te bepalen, naar de dienstverlener verstuurd. De opeenvolgende uitwisseling van briefwisseling eigen aan de bestelbon (en de uitvoering van de diensten) volgen dezelfde regels als deze voorzien voor de versturing van de bestelbon en dit telkens als één van beide partijën wenst een bewijs te hebben van zijn tussenkomst. In geval van ontvangst van de bestelbon na de termijn van twee werkdagen, kan de uitvoeringstermijn na schriftelijke aanvraag en verantwoording van de dienstverlener verlengd worden naar verhouding van de vastgestelde vertraging van de ontvangst van de bestelbon. Indien de bestellende dienst, na onderzoek van het schriftelijk verzoek van de dienstverlener, het geheel of gedeeltelijk gegrond vindt, laat deze hem schriftelijk weten welke verlenging van uitvoeringstermijn aanvaard wordt. In geval van duidelijk onjuiste of onvolledige inhoud van de bestelbon, welke elke uitvoering van de bestelling verhindert, verwittigt de dienstverlener onmiddellijk per schrijven de bestellende dienst opdat een oplossing voor een normale afhandeling van de bestelling gevonden kan worden. Indien nodig, vraagt de dienstverlener een verlenging van de uitvoeringstermijn aan volgens dezelfde voorwaarden zoals voorzien in geval van laattijdige ontvangst van de bestelbon. In ieder geval zijn de betwistingen eigen aan de bestelbon, die niet werden ingediend binnen de 15 kalenderdagen te rekenen vanaf de eerste dag die volgt op de datum van ontvangst van de bestelbon door de dienstverlener, niet meer ontvankelijk. 15.1.2. Uitvoeringsvoorwaarde De inschrijver engageert zich, gedurende de volledige uitvoering van de opdracht, de 8 basisconventies van de IAO, zoals ze opgenomen zijn in punt 12.1.1 van dit bestek, te respecteren. Het niet respecteren van dit engagement kan, op basis van artikel 20, §1, 4° van de Algemene aannemingsvoorwaarden, bijgevoegd bij het Koninklijk Besluit van 26 september 1996, aanleiding geven tot de toepassing van maatregelen van ambtswege voorzien in § 6 van hetzelfde artikel en meer bepaald tot de eenzijdige verbreking van de opdracht.
15.2. Plaats waar de diensten moeten worden uitgevoerd en formaliteiten. 15.2.1. Plaats waar de diensten moeten worden uitgevoerd. De diensten zullen worden uitgevoerd op het volgende adres: Federale Overheidsdienst Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking Karmelietenstraat 19 1000 BRUSSEL
Bestek ICT/2013.01 bladzijde 19/55
15.2.2. Evaluatie van de uitgevoerde diensten. Indien tijdens de uitvoering van de diensten abnormaliteiten worden vastgesteld, zal dit onmiddellijk aan de dienstverlener worden gemeld door middel van een fax of een e-mailbericht, dat nadien zal worden bevestigd door middel van een aangetekend schrijven. De dienstverlener is verplicht om niet conform uitgevoerde diensten te herbeginnen. Op het ogenblik dat de diensten zullen uitgevoerd zijn, zal een evaluatie worden gemaakt van de kwaliteit en conformiteit van de uitgevoerde diensten. Van deze evaluatie zal een proces-verbaal worden opgemaakt, waarvan het origineel exemplaar zal worden overgemaakt aan de dienstverlener. Niet behoorlijk of niet conform uitgevoerde diensten zullen moeten worden herbegonnen.
16. Facturatie en betaling van de diensten. Wat het maandelijkse globale bedrag betreft, stuurt de dienstverlener op het eind van elke gepresteerde maand na de installatie de facturen (1 exemplaar) en het proces-verbaal van oplevering van de diensten (een origineel exemplaar) naar het onderstaande adres. Wat de consultancy- en opleidingsdiensten betreft, stuurt de dienstverlener na de diensten te hebben geleverd, de facturen (1 exemplaar) en het proces-verbaal van oplevering van de diensten (een origineel exemplaar) naar het onderstaande adres: Federale Overheidsdienst Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking Stafdirectie B&B Karmelietenstraat 15 1000 BRUSSEL Op de factuur zullen alle referenties vermeld worden die op de bestelbon staan alsook de naam van de contactpersoon. Enkel behoorlijk uitgevoerde diensten mogen worden gefactureerd. De betaling gebeurt binnen een termijn van 50 kalenderdagen te rekenen vanaf de keuring van de schuldvordering, voor zover de aanbestedende overheid binnen de vastgelegde termijn over de andere, eventueel vereiste documenten beschikt. De factuur dient te worden opgesteld in EURO.
17. Aanbestedingsberichten en rechtzettingen. De in het Bulletin der Aanbestedingen en het Publicatieblad van de Europese Gemeenschap aangekondigde of gepubliceerde berichten en rechtzettingen die betrekking hebben op de aannemingen in het algemeen, evenals de berichten en rechtzettingen betreffende deze aanneming maken integraal deel uit van huidig bestek. De inschrijver wordt geacht er kennis van genomen te hebben en er bij het opmaken van zijn offerte rekening mee gehouden te hebben.
18. Bijzondere verbintenissen voor de dienstverlener. Alle resultaten en rapporten die de dienstverlener opstelt ter uitvoering van deze opdracht, zijn eigendom van de aanbestedende overheid en kunnen slechts met schriftelijke toestemming van de aanbestedende overheid bekendgemaakt of aan derden meegedeeld worden. De dienstverlener en zijn medewerkers zijn gebonden door discretieplicht met betrekking tot informatie waarvan zij weet krijgen bij de uitvoering van die opdracht. De informatie kan in geen geval zonder schriftelijke toestemming van de aanbestedende overheid meegedeeld worden aan derden. De dienstverlener mag deze opdracht wel opgeven als referentie
Bestek ICT/2013.01 bladzijde 20/55
De dienstverlener verbindt er zich toe om, tenzij bij overmacht, de opdracht te laten uitvoeren door de in de offerte opgegeven personen. De vermelde personen of hun vervangers worden allen geacht effectief deel te nemen aan de opdracht. De vervangers moet worden erkend door de aanbestedende overheid.
19. Geschillen. Alle betwistingen met betrekking tot de uitvoering van deze opdracht worden uitsluitend beslecht voor de bevoegde rechtbanken van het gerechtelijk arrondissement Brussel. De voertaal is het Nederlands of het Frans. De aanbestedende overheid is in geen geval aansprakelijk voor de schade aan personen of goederen die rechtstreeks of onrechtstreeks het gevolg is van de activiteiten die nodig zijn voor de uitvoering van deze opdracht. De dienstverlener vrijwaart de aanbestedende overheid tegen elke vordering van schadevergoeding door derden in dit verband.
20. Boeten wegens laattijdige uitvoering van de diensten. In afwijking van artikel 75 van de bijlage bij het Koninklijk Besluit van 26 september 1996 wordt de boete wegens laattijdige uitvoering van de installatiediensten bepaald op 3,5 % van het maandelijkse totale bedrag per kalenderdag. Er wordt afgeweken van de bepalingen van artikel 75 inzake de boeten wegens laattijdige uitvoering van de diensten wegens het belangrijk nadeel voor de Belgische Staat die de laattijdige uitvoering van de diensten met zich meebrengt.
Bestek ICT/2013.01 bladzijde 21/55
B. TECHNISCHE VOORSCHRIFTEN. 1. Actuele informatiestromen De voorgestelde architectuur moet een efficiënte controle van het verkeer tussen de verschillende netwerken mogelijk maken. Hij moet overigens het verkeer tussen de verschillende netwerken geheel of gedeeltelijk kunnen inspecteren en indien nodig verbieden naargelang de wens van de FOD BZ. De externe netwerken waarmee de FOD BZ is verbonden, zijn: Fedman-netwerk, Internet (via Fedman), huurlijnen met partners zoals internationale overheidsinstellingen (Europese instellingen) of dienstverleners, eventuele PSTN-lijnen, WAN-netwerk van de ambassades (HERMES) en verschillende interne netwerken. Het betreft uitwisseling: met eigen personeel dat werkzaam is in een andere omgeving, zoals gedetacheerd personeel op andere locaties; met andere FODs en entiteiten (publiek en privé) die een invloed hebben, rechtreeks of onrechtstreeks met de activiteiten dan FOD BZ, zoals bij de invulling van een service contract; toegang voor (dringende) interventies van derde partijen (bvb ICT); toegang voor (inter)nationale organisaties die belangen op veiligheidsvlak, politiek vlak, militair vlak, economisch vlak en omgevingsvlak behartigen (Defensie, Europese commissie, ..). De uitwisseling gebeurt via: het internet, langs het DMZ een beveiligde tunnel (site-to-site VPN) over het internet een beschermde sessie voor één gebruiker (Client VPN) over het internet site-to-site gehuurde lijnen (LL-V35, SHDSL, X25) een MPLS WAN netwerk pseudowire (VLL) over regionale MAN verbinding (Fedcom) inbelverbindingen (PSTN/ISDN) en door toegang te geven of te krijgen tot: tot applicaties zoals email, tot databestanden, tot interne webservices, tot op de FOD geïnstalleerde beheersprogramma’s De informatie uitwisseling kan in beide richtingen gebeuren.
2. Actuele beveiligingsopzet Om veiligheidsredenen kan er geen informatie worden vrijgegeven over de huidige beveiligingsopzet.
3. Objectief De FOD BZ wenst vandaag een nieuwe beveiligingsinfrastructuur die voldoende performant is om de behoeften van de 3.200 ambtenaren te kunnen invullen, alsook de toegang tot de interne resources van de FOD BZ mogelijk te maken voor minstens 500 gelijktijdige externe gebruikers via het internet. Functioneel houdt deze beveiligingsinfrastructuur het volgende in: -
Vervanging van de interne en externe firewalls
-
Vervanging van de forward/reverse proxies/loadbalancers
-
Assistentie mbt de vervanging van de RAS dienst (door een Fedict dienst)
-
Assistentie mbt de vervanging van mail/web integriteit functies (door een Fedict dienst)
Bestek ICT/2013.01 bladzijde 22/55
-
Toevoegen van een SIEM omgeving (logging)
-
Toevoegen van Access management omgeving
-
Vervangen van de Cortesy Firewall (EU)
De dienstverlener zal verantwoordelijk zijn voor de levering en gedeeltelijk operationeel beheer van een performante infrastructuur en een hoog veiligheidsniveau en dit in overeenstemming met de behoeften van de FOD BZ. De dienstverlener zal verplicht zijn om aanpassingen door te voeren aan de infrastructuur en/of zijn manier van werken om de FOD BZ te beschermen als er door de verantwoordelijken van de FOD BZ tekortkomingen worden vastgesteld. De FOD BZ verwacht van de dienstverlener dat hij de beveiligingstechnieken op een ‘hoog niveau’ beheerst teneinde een verhoogde beschikbaarheid te kunnen garanderen en een maximale bescherming te kunnen bieden tegen bedreigingen (resultaatsverplichting). De oplossing moet evolutief zijn en moet een toename mogelijk maken van het netwerkverkeer, het aantal interfaces, de verbindingssnelheid van de interfaces en het aantal interne en externe gebruikers. De oplossing moet tevens aangepast kunnen worden aan de nieuwe vereisten op het vlak van veiligheid (nieuwe bedreigingen, nieuwe hacking technieken etc…). De inschrijver dient duidelijk te stellen hoe de voorgestelde apparatuur kan uitgebreid worden. De te installeren beveiligingsinfrastructuur dient volstrekt redundant te zijn en moet bestaan uit twee “access streets” gebaseerd op fysiek geschieden apparaten. Elke “access street” moet in staat zijn om - in het geval één datacenter zou wegvallen - integraal alle functies te garanderen die zijn voorzien in dit bestek. De beide “access streets” moeten worden geïnstalleerd in twee aparte sites, de ene in het gebouw Egmont 1 en de andere in het gebouw Egmont 2. De inschrijver moet in zijn offerte duidelijk (en in detail) de voorgestelde architectuur beschrijven alsook de werkingswijze. Opmerking en verduidelijking: de services van de Internet Service Provider (ISP) en de huur van de lijnen zijn niet inbegrepen in de offerte van de inschrijver (behalve voor wat betreft de lijnen, bestemd voor de supervisie en het onderhoud van de beveiligingsinfrastructuur). De inschrijver moet elk beroep op onderaanneming vermelden met melding van het aandeel van de opdracht die wordt uitbesteed, alsook de naam van de onderaannemer(s).
4. De voorgestelde architectuur De architectuur van de oplossing moet worden gebaseerd op een constellatie van firewalls in twee lagen (een externe laag en een interne laag), aangevuld met de noodzakelijke voorzieningen en apparatuur om te voldoen aan de verschillende functionele beveiligingsbehoeften. Voor omgevingen met een potentieel hoog risico mandateert FOD BZ de aanwezigheid van een dubbele (interne + externe) perimeter firewall architectuur. Dit is van toepassing op alle Internet verbindingen, inclusief VPNs die over een publiek netwerk (Internet) worden getransporteerd. De rol (en dus feature set) van de interne en de externe perimeter firewalls dienen echter niet volledig equivalent te zijn (zie verder in de technische bepalingen). Voor omgevingen met een medium risico potentieel is een enkele perimeter voldoende: dit is toepasselijk op: WLAN perimeters (toekomst); Internet DMZs (deze bevinden zich per definitie tussen de interne en externe (Internet) perimeter; Koppeling naar betrouwbare netwerken (vb FOD BZ WAN). In zijn antwoord moet de inschrijver een voorstel van architectuur uitwerken, dat alle vereiste functionaliteiten in acht neemt: hij moet in het bijzonder toezien op de beschrijving van de integratie van de verschillende voorgestelde componenten en de wijze waarop deze componenten samenwerken zodoende het veiligheidsniveau kan gemaximaliseerd worden. Voor al het inkomende of uitgaande verkeer van de FOD BZ zal de voorkeur worden gegeven aan een oplossing die de producten van minstens twee verschillende beveiligingstechnologieën combineert.
Bestek ICT/2013.01 bladzijde 23/55
Het veiligheidssysteem moet berusten op een betrouwbaar besturingssysteem. Het kan gaan om een standaardsysteem dat zorgvuldig is beveiligd of om een gespecialiseerd systeem. De inschrijver moet zijn keuze terdege verklaren en verantwoorden. De voorgestelde technologieën moeten in staat zijn om IPv4 en IPv6 integraal en op voldoende performante wijze te ondersteunen: geen noemenswaardige verschillen tussen IPv4 en IPv6 ondersteuning, geen IPv6 software-emulatie vertaalslag mogelijk maken tussen beide protocollen. De verschillende voorgestelde componenten (firewall, vpn, proxy’s, etc..) dienen op een gestandaardiseerde wijze te kunnen geïntegreerd worden in een “Access management” oplossing die een koppeling zal maken met de FOD BZ AD omgeving. Een integratie van de systemen zal noodzakelijk zijn om te kunnen beschikken over een eenvoudige en gecentraliseerde oplossing m.b.t. toegangscontrole (gebruik van één enkele database met gebruikers, uitwisseling van toegangsrechten, “guest-access” naar het internet voor niet-gekende gebruikers, integratie in de VPNoplossing etc.).
Bestek ICT/2013.01 bladzijde 24/55
De volgende tekening geeft de gevraagde functionele TO-BE architectuur weer:
BUZA CENTRAL NETWORK ZONE x
ZONE y
ZONE z
N4 ZONE x
Egmont 1 OOB FW
TRUSTED PARTIES
N4 ZONE y
EU Zone
Egmont 2
Border Protection 2-Layer of Defence
Virtual Firewals
Cortesy
Egmont 1 OOB FW
Virtual Firewals
TRUSTED PARTIES To Hermes (WAN)
To Hermes (WAN) IPS/ IDP integrated
IPS/ IDP integrated
FW Mgt & Report
FW Mgt & Report
Forward WEB INTEGRITY To BUZA AD
To BUZA AD Identity Mgt
Identity Mgt
SIEM Logging
SIEM Logging
IN SCOPE
Reverse WEB & Loadbalancing
IPSEC VPN integrated
UNTRUSTED PARTIES
Border Protection 1-Layer of Defence
IPSEC VPN integrated
IPS/ IDP integrated
UNTRUSTED PARTIES
IPS/ IDP integrated
FEDMAN MAIL INTEGRITY
To AD
To SIEM
By Fedict
DNS
Domain name Services
DNS
To SIEM
By Fedict
To Identity (SAML2) SSL VPN
Remote Access & Identity
By Fedict
Internet (Belnet)
BUZA RAS
To SIEM SSL VPN
EU
Bestek ICT/2013.01 bladzijde 25/55
5. Redundantie en prestatieniveau De in te voeren veiligheidsinfrastructuur dient volledig redundant te zijn en dient te bestaan uit twee complete series van apparatuur, gesitueerd in twee aparte sites (Egmont 1 en Egmont 2). De beide sites zijn onderling verbonden met optische vezels (dark fiber). Deze lijnen maken geen deel uit van dit bestek. Voor alle vereiste functies dient de voorgestelde oplossing dus volledig redundant te zijn. Alle interne security zones dienen onderling redundant doorverbonden te worden op een FW cluster, stretched tussen in sites Egmont 1 en Egmont 2. Deze twee datacentra vormen ook de hub van alle verbindingen naar de gebruikerszones, partner zones en DMZ. Doorverbindingen tussen subnetten binnen een security zone zullen in de regel plaatsvinden op de core switches in deze beide DCs, maar doorverbindingen tussen security zones worden door de core switches/routers “gedelegeerd” naar de firewall clusters. Het verlies van pakketten moet onder 0,01% blijven, behalve eventueel in de volgende gevallen: Bij overbelasting van een communicatielijn naar buiten In geval van re-routing In geval van gepland onderhoud Als de door de firewall te ondersteunen belasting hoger is dan de specificaties die in het bestek en het antwoord van de inschrijver staan vermeld.
6. Out-Of-Band Management Het Out Of Band netwerk bevat een aparte OOB Firewall cluster en zal redundant worden opgezet. De Out-Of-Band zone zal de volgende componenten omvatten: OOB Firewall cluster OOB switches Firewall Management platform SIEM componenten Access management
7. Integratie in de bestaande netwerkarchitectuur Internet/FedMan In de nieuwe configuratie zal de Inschrijver uitgaan van de aanwezigheid van de volgende Internet toegang karakteristieken: Één primaire Fedman lijn (1 Gbps) in site Egmont 1, voor basis trafiek Één secundaire Fedman lijn (1 Gbps) in site Egmont 1, als backup op de primaire lijn. Deze lijn zal in de loop van 2013 verhuizen naar Egmont 2 om te voldoen naar de vraag van geografische redundantie. Voor de verbinding met het internet zal de huidige FedMan-verbinding ter beschikking van de inschrijver worden gesteld. De toegang tot FedMan zal op redundante wijze worden ingericht op beide sites. Om het verkeer dat bestemd is voor het internet te kunnen overfalen naar en verdelen over beide internetverbindingen, zal beroep gedaan worden op HSRP en BGP-protocollen op het niveau van de Internet routers. Intern netwerk De back-end FW moet een interface hebben met de back-end core switch (momenteel Nortel switch Passport 8610). Alleen indien de voorgestelde architectuur dit noodzakelijk acht, dient de inschrijver extra switches voor te stellen om zijn oplossing te integreren in de globale LAN architectuur van de FOD BZ. Op termijn zal een koppeling op 10Gbit/s noodzakelijk zijn.
Bestek ICT/2013.01 bladzijde 26/55
DMZ netwerk De scheiding tussen de security zones wordt binnen elke site bewerkstelligd hetzij door gescheiden VLANs indien het intrusie-risico beperkt is, hetzij door fysiek gescheiden paden (met aparte switches) indien het intrusie-risico groot is (bvb. bij doorverbinding binnen Internet zones). Er dienen steeds fysiek gescheiden switches gebruikt te worden voor en achter de Firewalls. De switches, met fouttolerantie en redundantie (actieve-passieve), verzekeren de verbinding tussen de verschillende servers, hosts en firewalls binnen de veiligheidsinfrastructuur (DMZ). In deze context vervullen ze de volgende functies: -
Ondersteuning van VLAN’s Ondersteuning van optische interfaces Ondersteuning van L2 protocollen Ondersteuning van stacking Volledige Ondersteuning voor IPv4 en IPv6
De inschrijver moet de prestaties van de te installeren switches definiëren om het gevraagde prestatieniveau te garanderen. Het aantal fysieke interfaces op het niveau van de firewalls moet hoger zijn dan of gelijk aan 24 (100M/1000M). De inschrijver moet het aantal ondersteunde interfaces preciseren. Het aantal VLAN’s moet hoger zijn dan 1024. Trunking van VLAN’s moet worden ondersteund Externe factoren De transitie van de AS-IS situatie naar de TO-BE situatie zal in synergie moeten gebeuren met de parallelle evolutie van de netwerk backbone van FOD BZ. Dit houdt ondermeer in: Kableringswerken (in de datarooms) Aanleg dark fiber tussen de centrale gebouwen (Egmont 1 – Egmont2) Vervanging van de core en distributie LAN en WLAN infrastructuur in de centrale sites. Deze nieuwe infrastructuur bestaat vandaag quasi exclusief uit Nortel/Avaya apparatuur maar zal op termijn worden vervangen. Verder consolidatie van de server parken in sites Egmont 1 en Egmont 2 Dit kan dependenties creëren m.b.t. de timing van de installaties.
Bestek ICT/2013.01 bladzijde 27/55
De volgende tekening geeft de gevraagde technische TO-BE architectuur weer:
Hermes DMZ
Hermes DMZ
Bestek ICT/2013.01 bladzijde 28/55
8. TO-BE Specificaties De verschillende te implementeren functionaliteiten worden in dit hoofdstuk zowel op functioneel vlak beschreven als op het vlak van bijzondere vereisten. De inschrijver dient in zijn antwoord het volgende te beschrijven: De voorgestelde oplossing en hoe deze een antwoord biedt aan de gevraagde functionaliteit. De geschiktheid ten aanzien van de geformuleerde technische vereisten. Hoe deze functionaliteiten zullen geïntegreerd worden in de veiligheidsinfrastructuur De aanpak die wordt voorgesteld om de migratie van de huidige situatie naar de nieuwe te realiseren De mogelijkheden om deze functionaliteit evolutief (scalable) te maken. De voordelen/nadelen van de voorgestelde producten/oplossingen De kennis en ervaring m.b.t. de gebruikte technologie en de producten die zullen worden aangewend Antwoord op eventuele specifieke eisen, beschreven voor elke functionaliteit.
8.1 Stateful Firewalling & IPS (Intern) De bedoeling van deze laag is de interne netwerken van FOD BZ te beschermen tegen aanvallen van zowel binnenuit als buitenaf gericht op de interne systemen en toepassingen. Deze bescherming omvat stateful firewalling en IPS, en dient application en user aware te zijn, en zodoende de mogelijkheid te bieden een security policy op te bouwen op basis van applicaties in plaats van poorten en gebruikersnamen in plaats van IP adressen. Deze moet een concept van zoning kunnen ondersteuning om interne netwerken in zones op te kunnen delen en van elkaar te scheiden. Virtualisatie dient ondersteund te worden voor de uitvoering van het interne zoning concept van FOD BZ (minimum 10 virtuele instanties). Deze component dient dedicated opgezet te worden op locatie van FOD BZ. Signatures en andere dynamische updates voor bijvoorbeeld de IPS functie dienen vanuit het Internet / Cloud gedownload te worden. Fysische vereisten minimum 16x Gigabit koper, 4x Gigabit fiber, 2x 10 Gigabit Twinax of fiber dedicated Management interface en console poort minimum FW/IPS throughput 5Gbps (het geïntegreerde IPS systeem mag geen bottleneck vormen) dual hot-swappable power supplies and harddisks 19” rack mountable Beschikbaarheid minimum active/standby HA clustering, de clustering methode moet per virtuele instantie configureerbaar zijn zero-downtime failover & upgrade, bij voorkeur zonder session loss Management dedicated centraal hardware of virtueel management platform selectie van toegestane management protocollen (bijv.: HTTPS, SSH, SNMP) ondersteuning voor ‘segregation of duties' scheduled updates van signatures voor dynamische componenten zoals IPS Historische logs dienen gecentraliseerd te worden op het management platform of op een externe storage die vanaf het centraal management benaderd kan worden, in beide gevallen dienen voldoende logs lokaal bewaard te kunnen worden om eventuele connectiviteitsproblemen met het centraal management of de externe storage te kunnen overbruggen zodat logs niet verloren gaan alerting op basis van logs is vereist, event correlatie op basis van logs is een plus audit logs van administrator acties en (automatische) versioning van firewall policies rulebase audit tools met weergave van hits/rule en aanbevolen optimizaties (eventueel door middel van third party tools)
Bestek ICT/2013.01 bladzijde 29/55
Netwerk minimum 500.000 concurrent sessions dynamische NAT (meer-op-een NAT) en statische NAT (een-op-een NAT) IEEE 802.1q VLAN tagging en inspectie IEEE 802.3ad LACP link aggregatie OSPF en BGP dynamische routering DiffServ/DSCP QoS classificatie, markering, policing en/of shaping, met mogelijkheid tot instellen van bandbreedte limitaties en garanties per type verkeer (minstens source en destination IP adres en protocol of poort, gebruikers en applicaties zijn een plus) Complete IPv6 implementatie zonder performantieverlies (indien geen volledige ondersteuning mogelijk is, zal ondersteuning op basis van roadmap aanvaard worden) Security SSL decryptie en inspectie van SSL geencrypteerd verkeer DDOS protectie (rate limiting, malformed packets, scans) gebruiker/IP mapping via Active Directory en NTLM / Captive Portal de mogelijkheid om tijdsgebonden policies (Time based policies) te implementeren is een plus Applicatie intelligente (web2.0, etc..) protocol inspectie van de meest courante protocollen zoals FTP, H.323, SIP, RDP... voor dynamisch openen van poorten, en applicatie herkenning van de meest courante protocollen zoals HTTP om zo policies op te kunnen bouwen met applicaties in plaats van poortnummers DLP (Data Leakage/Loss Prevention), de mogelijkheid om te scannen en tegenhouden van documenten die per email het netwerk verlaten op basis van de inhoud, de gebruikte template of metadata in het document Koppeling met Active Directory om beveiligingspolicies met Active Directory accounts op te bouwen (gebruiker / IP ‘mappings’). Integratie met de SIEM component Koppeling naar de User Access Managementcomponent (Radius, …)
8.2 Stateful Firewalling & IPS (Extern) Deze laag heeft evenals als doel de DMZ & interne netwerken van FOD BZ te beschermen tegen aanvallen op interne systemen en toepassingen, en dient alsook stateful firewalling en IPS te omvatten en application aware te zijn. De volgende externe Firewalls kunnen onderscheiden worden: - Internet Firewalls (cluster) - OOB Firewall (cluster) - Cortesy Firewall (single) De externe firewall laag dient de DMZ in zones op te kunnen delen en de OOB firewalls dienen het OOB netwerk te beveiligen. De OOB firewalls dienen bovendien user aware te zijn, de externe firewalls en Cortesy Firewall niet. Deze componenten dienen dedicated opgezet te worden op locatie van FOD BZ. Signatures en andere dynamische updates voor bijvoorbeeld de IPS functie dienen vanuit de cloud gedownload te worden. Fysische vereisten Extern: minimum 12x koper, 4x fiber; OOB/Cortesy: minimum 8x koper dedicated Management interface en console poort (niet voor OOB/Cortesy) Extern: minimum FW/IPS throughput 2Gbps; OOB/Cortesy : minimum FW/IPS throughput 500Mbps (het geïntegreerde IPS systeem mag geen bottleneck vormen) dual hot-swappable power supplies (niet voor OOB/Cortesy) 19” rack mountable (niet voor OOB/Cortesy)
Bestek ICT/2013.01 bladzijde 30/55
Beschikbaarheid active/standby HA clustering, de clustering methode moet per virtuele instantie configureerbaar zijn (niet voor OOB/Cortesy) zero-downtime failover & upgrade, bij voorkeur zonder session loss (niet voor OOB/Cortesy) Management dedicated centraal hardware of virtueel management platform selectie van toegestane management protocollen (bijv.: HTTPS, SSH, SNMP) support voor ‘segregation of duties’ en waar mogelijk ‘workflow management’ scheduled updates van signatures voor dynamische componenten zoals IPS Historische logs dienen gecentraliseerd te worden op het management platform of op een externe storage die vanaf het centraal management benaderd kan worden, in beide gevallen dienen voldoende logs lokaal bewaard te kunnen worden om eventuele connectiviteitsproblemen met het centraal management of de externe storage te kunnen overbruggen zodat logs niet verloren gaan alerting op basis van logs is vereist, event correlatie op basis van logs is een plus audit logs van administrator acties en (automatische) versioning van firewall policies rulebase audit tools met weergave van hits/rule en aanbevolen optimizaties (eventueel door middel van third party tools) Netwerk Extern: minimum 500.000 concurrent sessions; OOB/Cortesy : minimum 100.000 concurrent sessions dynamische NAT (meer-op-een NAT) en statische NAT (een-op-een NAT) IEEE 802.1q VLAN tagging en inspectie IEEE 802.3ad LACP link aggregatie (niet voor OOB/Cortesy) OSPF en BGP dynamische routering (niet voor OOB/Cortesy) DiffServ/DSCP QoS classificatie, markering, policing en/of shaping, met mogelijkheid tot instellen van bandbreedte limitaties en garanties per type verkeer (source en destination IP adres, protocol, poort, of applicatie) (niet voor OOB/Cortesy) Complete IPv6 implementatie (en translatie) zonder performantieverlies (indien geen volledige ondersteuning mogelijk is, zal ondersteuning op basis van roadmap aanvaard worden) Security SSL decryptie en inspectie van SSL geencrypteerd verkeer DDOS mitigatie (rate limiting, malformed packets, scans) Applicatie intelligente (web2.0, etc..) protocol inspectie van de meest courante protocollen zoals FTP, H.323, SIP, RDP... voor dynamisch openen van poorten, en applicatie herkenning van de meest courante protocollen zoals HTTP om zo policies op te kunnen bouwen met applicaties in plaats van poortnummers Integratie met de SIEM component Koppeling naar de User Access Managementcomponent (Radius, …)
8.3 Site-to-Site VPN Terminatie Het betreft een component bestemd voor IPsec VPN terminatie. Deze tunnels zullen voornamelijk dienst doen voor verbindingen naar third party support leveranciers en eventueel geencrypteerde backups langs het publieke internet tussen de verschillende FOD BZ posten. Dit onderdeel kan mee geïntegreerd worden in de externe firewall laag. Het is ook toegestaan deze functionaliteit te voorzien op dedicated toestellen in de vorm van aparte firewalls of routers. Fysische vereisten dedicated Management interface en console poort indien op aparte hardware minimum AES-256 throughput 1Gbps 19” rack mountable
Bestek ICT/2013.01 bladzijde 31/55
Beschikbaarheid active/standby HA clustering (SA Failover) zero-downtime upgrade Management integratie met het management platform voor de externe firewalls is een plus selectie van toegestane management protocollen (bijv.: HTTPS, SSH, SNMP) support voor ‘segregation of duties’ en waar mogelijk ‘workflow management’ logging dient lokaal te gebeuren of extern, indien logging extern opgeslagen wordt dient deze lokaal gecached te kunnen worden om connectiviteitsproblemen met de externe storage te kunnen overbruggen, integratie met het centraal management voor de firewalls is een plus alerting van problemen met VPN tunnels audit logs van administrator acties Netwerk NAT van verkeer binnen een VPN tunnel IEEE 802.1q VLAN tagging en inspectie DiffServ/DSCP QoS classificatie, markering, policing, en shaping, met mogelijkheid tot instellen van bandbreedte limitaties en garanties per type verkeer (source en destination IP adres, protocol of poort) Complete IPv6 implementatie zonder performantieverlies (indien geen volledige ondersteuning mogelijk is, zal ondersteuning op basis van roadmap aanvaard worden) Security de mogelijkheid om tijdsgebonden policies te implementeren is een plus Mogelijkheid tot authenticatie door middel van PSKs (Pre-Shared Secrets) of certificaten met automatisch certificate enrollment process IPsec suite inclusief 3DES, AES256 encryptie en SHAx hashing methodes Integratie met de SIEM component Koppeling naar de User Access Managementcomponent (Radius, ..) Bijzondere service aspecten De contractant is verantwoordelijk voor het 24/7 beschikbaar houden van alle tunnels. Dit houdt o.a. ook de contactname met de technische staf van de VPN peer in om eventuele operationele problemen op te lossen.
8.4 Forward WEB integriteit De bedoeling hier is om internet gebruikers van FOD BZ te beletten ongewenste websites op het publieke internet te bezoeken door middel van URL filtering, en bovendien inkomende web content te inspecteren op malware (virussen, trojans, worms, spyware...). Deze component dient over de mogelijkheid te beschikken om SSL geëncrypteerde content te decrypteren en alsook te inspecteren. Dit onderdeel kan mee geïntegreerd worden in de interne firewall laag. Het is bovendien ook toegestaan deze functionaliteit te voorzien op dedicated toestellen in de vorm van proxy servers. Fysische vereisten dedicated Management interface en console poort indien op aparte hardware maximaal aantal gebruikers is 3500 19” rack mountable Beschikbaarheid active/standby HA clustering zero-downtime failover & upgrade, bij voorkeur zonder session loss Management management door middel van een applicatie of web-based, of integratie met het management platform voor de interne firewalls.
Bestek ICT/2013.01 bladzijde 32/55
selectie van toegestane management protocollen (bijv.: HTTPS, SSH, SNMP) support voor ‘segregation of duties’ en waar mogelijk ‘workflow management’ scheduled updates van URLs, signatures voor dynamische componenten zoals URL filter categorieen en virus definities historische logs van bezochte websites inclusief zowel de toegestane als geblokkeerde sites over 1 jaar retentie logging dient lokaal te gebeuren of extern, indien logging extern opgeslagen wordt dient deze lokaal gecached te kunnen worden om connectiviteitsproblemen met de externe storage te kunnen overbruggen aggregatie van gebruikersactiviteiten om zodoende per gebruiker een overzicht van het surfgedrag te kunnen weergeven audit logs van administrator acties Netwerk DiffServ/DSCP QoS classificatie, markering, policing, en shaping, met mogelijkheid tot instellen van bandbreedte limitaties en garanties per type verkeer (source en destination IP adres, protocol of poort, en gebruikers) Complete IPv6 implementatie zonder performantieverlies (indien geen volledige ondersteuning mogelijk is, zal ondersteuning op basis van roadmap aanvaard worden) Security SSL decryptie en inspectie van SSL geëncrypteerd verkeer gebruiker/IP mapping via Active Directory en NTLM / ‘Captive Portal’ tijdsgebonden policies met intervallen en periodieke quota De protocollen HTTP, HTTPS, en FTP moeten ondersteund worden URL filtering gebaseerd op dynamische categorieën met ‘white’- en ‘blacklisting’ functionaliteiten beheer van bandbreedte quota’s blokkeren van bepaalde bestandstypes inspectie binnen gecomprimeerde bestanden Koppeling met Active Directory om beveiligingspolicies met Active Directory gebruikers en groepen op te bouwen Integratie met de SIEM component Koppeling naar de User Access Management component (Radius, …)
8.5 Reverse WEB & Loadbalancing Vereist is een component die de mogelijkheid voorziet om interne resources (e.g. Exchange 2010) toegankelijk te maken voor gebruikers (zowel intern als derde partijen). De meeste interne resources dienen enkel beschikbaar te zijn voor gekende gebruikers van FOD BZ, maar enkelen moeten ook toegankelijk gemaakt worden voor derde partijen. Belangrijk is hier bovendien weer ondersteuning van SSL geëncrypteerde content en bijgevolg moet ook deze component in staat zijn SSL sessies te decrypteren (offloading) en te manipuleren. Deze moet beschikken over gevorderde functionaliteiten zoals HTTP header rewriting en “intelligente” server loadbalancing. Een goede (applicatie) integratie met Microsoft Exchange, Sharepoint en Lync is essentieel. Fysische vereisten aparte hardware dedicated Management interface en console poort 19” rack mountable Beschikbaarheid active/standby HA clustering zero-downtime failover & upgrade, bij voorkeur zonder session loss Management selectie van toegestane management protocollen (bijv.: HTTPS, SSH, SNMP)
Bestek ICT/2013.01 bladzijde 33/55
support voor ‘segregation of duties’ en waar mogelijk ‘workflow management’ historische logs statistieken zoals bandbreedte en uptime per achterliggende server / server farm audit logs van administrator acties Netwerk Ondersteuning tot 2000 concurrent sessions limiteren van bandbreedte voor specifieke toepassingen Complete IPv6 implementatie zonder performantieverlies (indien geen volledige ondersteuning mogelijk is, zal ondersteuning op basis van roadmap aanvaard worden). Ook de vertaalslag (NAT64) dient mogelijk te zijn om IPv4-only services bereikbaar te maken vanuit IPv6-only gebruikers op het Internet. Load balancing van servers in verschillende ‘farms’ opgedeeld met verschillende parameters en balancing methods Ondersteuning van X-Forwarded-For ter identificatie van het source IP adres (na Source NAT44 of NAT64 translatie) Security & Application SSL decryptie of offloading De mogelijkheid tot sterke authenticatie door middel van e-ID, SMS, (software) token en client certificate is verplicht De protocollen HTTP, HTTPS, en FTP moeten ondersteund worden, inclusief header rewriting capaciteiten de protocollen NTLM, KERBEROS, RADIUS, (AD) LDAP, LDAPS en SAML2 (IDP/SP) dienen ondersteund te worden Koppeling met Active Directory om policies met Active Directory gebruikers en groepen op te bouwen Integratie met de SIEM component Koppeling naar de User Access Managementcomponent (Radius, …) Een goede (applicatie) integratie met Microsoft Exchange en Sharepoint is essentieel.
8.6 Remote Access Deze functie zal geleverd en beheerd worden door Fedict via het Fedman netwerk.
8.7 User Access Controle Er dient een User Access platform te worden opgezet voor zowel het beheer van (niet-AD) credentials als het beheer van toegangspolicies voor zowel RAS als LAN gebruikers (wired/wireless). Dit platform dient zich tussen de DMZ componenten en de Active Directory omgeving van FOD BZ te bevinden. Het systeem dient voldoende schaalbaar te zijn om in eerste instantie een ontsluiting te kunnen voorzien voor de RAS gebruikers (afhandelen van strong authentication, afchecken van endpoint integriteit in de toekomst, LDAP met de AD, autorisatie mogelijkheden) en vervolgens voor alle interne gebruikers (wired/wireless). De voorgestelde infrastructuur dient volledig conform te zijn aan open standaarden teneinde een integratie van de voorgestelde componenten kan gegarandeerd worden via de authenticatie van de gebruikers op basis van een centrale gebruikersdatabase. (vb. proxy-functionaliteit, internettoegang/geen internettoegang, etc.). Men kan hier bijvoorbeeld denken aan de integratie met het systeem voor identificatie, authenticatie en autorisatie van de FOD BZ op basis van LDAP/LDAPS met Active Directory (via login/password) en op basis van eID met het Rijksregister. De gebruiker moet worden geïdentificeerd en zijn identiteit moet minstens worden gecontroleerd door een procedure van het type "login + wachtwoord" (interne toegang). De inschrijver dient te preciseren voor welk type van toepassing een dergelijke identificatieprocedure kan worden toegepast. Hij dient ook te preciseren welk ander type van controle kan worden uitgevoerd (token, certificaat, SMS, …).
Bestek ICT/2013.01 bladzijde 34/55
De inschrijver moet verduidelijken hoe deze controle zal worden geïntegreerd in een gecentraliseerde opzet voor identificatie, authenticatie en autorisatie van de FOD BZ Dit platform kan apart opgezet worden of geïntegreerd worden in een van de andere componenten (bijv. Reverse WEB & Loadbalancing). Fysische vereisten dedicated Management interface en console poort indien op aparte hardware 19” rack mountable Beschikbaarheid active/standby Management selectie van toegestane management protocollen (bijv: HTTPS, SSH, SNMP) support voor ‘segregation of duties’ en waar mogelijk ‘workflow management’ historische logs van authenticatie pogingen, inclusief zowel geslaagde als niet geslaagde logging dient lokaal te gebeuren of extern, indien logging extern opgeslagen wordt dient deze lokaal gecached te kunnen worden om connectiviteitsproblemen met de externe storage te kunnen overbruggen aggregatie van acties per authenticatie sessie is een plus, statistieken per gebruiker zoals de duur van sessies Security De mogelijkheid tot sterke authenticatie door middel van e-ID, SMS, (software) token en hardware/client certificate is verplicht de mogelijkheid om tijdsgebonden policies te implementeren is een plus de protocollen NTLM, KERBEROS, RADIUS, (AD) LDAP, LDAPS en indien mogelijk SAML2 (IDP/SP) dienen ondersteund te worden Optioneel, host integrity checking functionaliteit (zijn alle benodigde endpoint componenten geïnstalleerd en up-to-date) Koppeling met Active Directory om policies met Active Directory gebruikers en groepen op te bouwen Integratie met de SIEM component
8.8 Mail integriteit Deze functie zal geleverd en beheerd worden door Fedict via het Fedman netwerk.
8.9 Domain Name Service (Extern) De DNS servers van Fedman vullen momenteel de rollen in van recursive and caching name servers voor alle uitgaand DNS verkeer vanuit de DMZ. De authoritative name server voor domein diplomatie.begium.be wordt ook beheerd door Fedman.
Bestek ICT/2013.01 bladzijde 35/55
8.10 SIEM Logging Dit systeem omvat een overkoepelende Security Event Management functionaliteit dat real-time logs van de verschillende security componenten kan inlezen, analyseren, rapporteren en correleren in de toekomst. De inschrijver dient de voorgestelde oplossing te beschrijven, met verduidelijking van de types van geregistreerde evenementen, de mogelijkheden om evenementen te filteren, de types van rapporten die kunnen worden geproduceerd, en de capaciteit om statistieken op te maken. De logging-bestanden moeten worden bewaard gedurende een minimale termijn van een jaar. De inschrijver moet in zijn antwoord de verwachte volumes voor deze bestanden detailleren op basis van het verwachte volume voor het verkeer. Hij moet in zijn antwoord de aanbevolen oplossing voor de bewaring van deze bestanden preciseren. De inschrijver moet preciseren of het systeem alarmprocedures voorziet bij de vaststelling van een incident. Hij moet uitleggen waaruit die alarmprocedures bestaan: aanmaak van rapport, melding aan de gebruiker, melding aan een bewakingsconsole, productie van berichten … De inschrijver moet in staat zijn om te antwoorden op vragen om opzoekingen of statistieken, met name op bevragingen van de gerechtelijke politie ten aanzien van het gedrag van bepaalde gebruikers, en dit met terugwerkende kracht voor een minimale termijn van 1 jaar. Dit systeem moet kunnen worden geïntegreerd in het aanwezige algemene systeem, en in het auditsysteem van het systeem voor identificatie, authenticatie en autorisatie van de FOD BZ. Er moet een informatie-uitwisseling mogelijk zijn in beide richtingen, bijvoorbeeld de evenementen van servers binnen DMZ zouden informatie kunnen sturen naar het veiligheidsplatform via het globale systeem voor registratie van evenementen van de FOD BZ, zoals ook de evenementen van de proxy’s zouden kunnen worden verzonden naar het globale systeem voor registratie van evenementen van de FOD BZ. Dit onderdeel dient opgezet te worden op dedicated hardware of als service. Fysische vereisten (in geval van een fysiek toestel) minimum 2x Gigabit en mogelijkheid tot aansluiting op SAN dedicated Management interface en console poort tot 3000 EPS (events per second) Opslag: 25GB logs per dag (niet gecompresseerd) actieve front-to-back koeling 19” rack mountable Beschikbaarheid redundantie is niet vereist zero-downtime failover & upgrade, bij voorkeur zonder session loss Management management door middel van een applicatie of web-based selectie van toegestane management protocollen (bijv: HTTPS, SSH, SNMP) support voor ‘segregation of duties’ en waar mogelijk ‘workflow management’ historische events en statistieken over 1 jaar retentie, en de mogelijkheid om rapporten te genereren op basis van deze gegevens logging dient lokaal te gebeuren of extern, indien logging extern opgeslagen wordt dient deze lokaal gecached te kunnen worden om connectiviteitsproblemen met de externe storage te kunnen overbruggen, archivatie op een off-line medium moet bovendien mogelijk zijn uitgebreide alerting mogelijkheden een goede ondersteuning van de andere aangeboden oplossingen om logging van alle componenten te normaliseren tot events op het centraal platform is zeer belangrijk Mogelijkheid tot correlatie in de toekomst audit logs van administrator acties Mogelijkheid tot archivering van logs na 1 jaar (tot 5 jaar)
Bestek ICT/2013.01 bladzijde 36/55
Netwerk Complete IPv6 implementatie zonder performantieverlies (indien geen volledige ondersteuning mogelijk is, zal ondersteuning op basis van roadmap aanvaard worden) Security Windows SSO of LDAP integratie is een plus SNMPv2c en SNMPv3, en Syslog moeten ondersteund worden Koppeling met Active Directory om IP adressen in events te vertalen naar gebruikersnamen Koppeling naar de User Access Managementcomponent (Radius, .)
9. Installatie binnen de omgeving van de FOD BZ De inschrijver dient de volgende informatie te verstrekken: Het gewicht en de afmetingen van elke geïnstalleerde unit, de nodige ruimte voor installatie, de maximale afstand tussen de verschillende apparaten De kenmerken van de stroomtoevoer van elke geïnstalleerde unit De warmteafgifte van elke geïnstalleerde unit Een beschrijving van de verbindingen met en de aansluitingen op het kabelsysteem van het netwerk, te voorzien door de FOD BZ. De offerte moet melding maken van de voorwaarden waaraan de inrichting van de lokalen, airconditioning en de stroomtoevoer moeten voldoen, naast alle accessoires die noodzakelijk zijn voor het gebruik en de goede werking van de voorgestelde apparatuur. Hiertoe moet de inschrijver de technische specificaties vermelden die een correcte aansluiting mogelijk maken van de voorgestelde voorzieningen op het elektriciteitsnet van de FOD BZ, naast het verbruik en de warmteafgifte. De offerte moet ook een nauwkeurige beschrijving omvatten van de werken voor: inrichting; installatie; aansluiting, die moeten worden uitgevoerd door de FOD BZ tijdens de installatie van de apparatuur (uitsluitend de elektrische aansluitingen en de verbindingen met de verschillende netwerken van de FOD BZ; de interne aansluitingen moeten in de offerte zijn vervat). De beschrijving moet alle noodzakelijke elementen bevatten die FOD BZ in staat stellen om heel nauwkeurig alle elementen, accessoires, kabels, enz. te bepalen die moeten worden besteld om de gewenste architectuur op te bouwen. De benodigde rack-kasten dienen in de offerte worden opgenomen. Alle security elementen die aangeboden worden door de inschrijver maar in beheer blijven van FOD BZ (dus boven de demarcatielijn) dienen in een aparte (gesloten) rack te worden gehuisvest, mogelijks in een gescheiden beveiligde ruimte. De gebruikte kasten moeten worden uitgerust met een systeem voor inbraakdetectie met de mogelijkheid om een alarm te genereren bij het monitoringsysteem.
Bestek ICT/2013.01 bladzijde 37/55
10. Operationeel Beheer 10.1 Inleiding Aangezien FOD BZ veel belang hecht aan de vertrouwelijkheid, de integriteit en de beschikbaarheid van zijn gegevens, en dit 24 uur op 24 en 7 dagen op 7, zal FOD BZ het geheel of een gedeelte van de activiteiten die daaraan bijdragen, uitbesteden. Voor alle systemen die deel uitmaken van het bestek dient levering, installatie, initiële configuratie en training te worden aangeboden. Echter het operationeel beheer dient beperkt te worden tot de “Internet facing” services. Deze kunnen als volgt worden opgesomd: Internet facing Firewall & IPS Reverse WEB proxy & Loadbalancing De Inschrijver verbindt zich er toe het volledige operationeel beheer van de infrastructuur gerelateerd aan de “Internet facing” services op zich te nemen. Alle andere diensten zullen in beheer blijven van FOD BZ. De volgende tekening geeft de gevraagde demarcatie weer:
Bestek ICT/2013.01 bladzijde 38/55
OUT OF BAND Management
OUT OF BAND Management
De door de inschrijver te beheren diensten worden als volgt samengevat: Installatie van de voorgestelde infrastructuur en migratie vanuit de bestaande omgeving. Onderhoud en beheer van (een deel) van de voorgestelde infrastructuur, om er de werking van te garanderen volgens de vastgelegde criteria op vlak van prestaties, beschikbaarheid en beveiliging. Hiertoe dient de inschrijver een oplossing voor “beheer en monitoring op afstand” voor te stellen, met een beveiligde verbinding naar de te beheren omgeving te Brussel. Adhoc aanwezigheid van engineers/consultants om specifieke niet-permanente functies in te vullen zoals onsite support & troubleshooting, consultancy voor advies & innovatie, begeleiden/uitvoeren van Proof Of Concept etc. Opleiding
Bestek ICT/2013.01 bladzijde 39/55
Maar om het vertrouwelijke karakter van FOD BZ gegevens van persoonlijke aard (vb. uitwisselen van visum gegevens) te garanderen, zal de Belgische wetgeving inzake de bescherming van persoonlijke gegevens en de persoonlijke levenssfeer van kracht dienen te zijn; de inschrijver moet er dus op toezien de Belgische wetgeving inzake de bescherming van persoonlijke gegevens en de persoonlijke levenssfeer strikt na te leven door alle nodige schikkingen te treffen zodat hieraan kan voldaan worden. Het interne netwerk van FOD BZ bevat security zones waarbinnen geclassificeerde data wordt behandeld. Geclassificeerde data dienen beschermd te worden conform verschillende richtlijnen waaronder de meest belangrijke de Europese richtlijn is. Deze staat beschreven in “EU Council Decision of 31 March 2011 on the security rules for protecting EU classified information”. Bedoeling is te voorkomen dat geclassificeerde data lekt en in handen komt van niet geautoriseerde personen of instanties. De betreffende security zones zijn extra beveiligd en bevinden zich achter interne Firewalls die in beheer zijn (en in beheer zullen blijven) van FOD BZ. Ook al zal de inschrijver niet rechtstreeks in aanraking komen met geclassificeerde data zelf, toch zullen de Firewalls die in scope zijn van dit bestek deel uitmaken van de globale bescherming (in dit geval eerste lijnsbescherming) en bijgevolg onderworpen dienen te worden aan regelmatige homologaties uitgevoerd door FOD BZ waarvan de resultaten opgeëist worden door NATO en de EU. De inschrijver dient de benodigde maatregelen te treffen conform de gestelde EU richtlijnen en dient de volle medewerking te geven in geval van zo’n homologatie.
10.2 Migratie van de bestaande infrastructuur De opdracht omvat tevens de migratie door de inschrijver van de bestaande omgeving naar de nieuwe (met inbegrip van de diensten die in het beheer zullen zijn van Fedict) De te migreren services op nieuwe hardware platformen kunnen als volgt worden samengevat: Twee lagen Firewalls VPN’s (client, site-to-site) Mail-relay voor beveiliging (mail integriteit) Forward and reverse proxies (web integriteit) DMZ Loadbalancers Remote access services DNS services De inschrijver dient hiervoor dus nieuwe hardware voor te stellen waarbij het voor sommige diensten toegelaten is om meerdere functies te combineren op hetzelfde hardware platform. Alle huidige + bijkomende gevraagde functionaliteiten dienen ondersteund te worden door de nieuwe infrastructuur (of door Fedict voor sommige diensten). De inschrijver dient tijdens de migratie alle voorzieningen en maatregelen te treffen teneinde de dienstonderbrekingen tot een minimum te herleiden. Tevens dient de inschrijver het ganse migratietraject in detail toe te lichten en duidelijk te visualiseren (project plan met milestones, dependencies, etc..) De DNS (Infoblox), RAS (Checkpoint) en AS/AV (Barracuda) diensten dienen niet gerealiseerd te worden aangezien deze functies door Fedict zullen worden overgenomen via FEDMAN. Wel dient de inschrijver tijdens de uitvoering van de migratie hiervoor de nodige maatregelen te nemen zoals de coördinatie met Fedict alsook de DNS configuraties (met inbegrip van alle records) die Fedict dient op te zetten. Voor de nieuwe gevraagde functionaliteiten (SIEM, Identity, …) dienen nieuwe platformen te worden opgezet.
Bestek ICT/2013.01 bladzijde 40/55
10.3 Monitor en beheer op afstand De inschrijver moet beschikken over een infrastructuur waarmee de toestand van de veiligheidsinfrastructuur van FOD BZ permanent en op afstand kan gesuperviseerd worden. FOD BZ laat de keuze van de locatie van de monitoring infrastructuur vrij op voorwaarde dat een positieve invulling kan gegeven worden aan de volgende aspecten m.b.t. de aangeboden SOC (Security Operations Center): Het respecteren van de Belgische wetgeving inzake de bescherming van persoonlijke gegevens en de persoonlijke levenssfeer Fysieke beveiliging van zijn SOC en het nemen van afdoende maatregelen tot ongeoorloofde toegang via gekoppelde netwerken conform of vergelijkbaar met de NATO standaarden De SOC dient zich te bevinden binnen de EU Aanwezigheid van disaster recovery plannen en procedures met inbegrip van audits en conformiteitstesten op regelmatige basis. FOD BZ gaat uit van het principe dat de belangrijkste activiteiten voor de supervisie en het beheer van haar veiligheidsinfrastructuur een 24/7-benadering vergen, met speciale prioriteit voor de analyse van de incidenten die zich voordoen binnen de verschillende systemen (vb. FW, IDP, AV, …). Gedetecteerde anomalieën dienen geanalyseerd te worden en zullen eventueel aanleiding geven tot een incident. Het spreekt voor zich dat – met het oog op een proactieve bescherming binnen de 24/7 dienstverlening - benodigde updates onmiddellijk dienen geïnstalleerd van zodra nieuwe vulnerabiliteiten worden ontdekt. Er dient voor de systemen op afstand ‘read-only’ toegang gegeven te worden (SNMP, netflow indien mogelijk, evt. een beperkte set van commando’s via SSH). Kort samengevat: 24/7 operationele monitoring van de beschikbaarheid en goede werking (netwerk interfaces, CPU, memory, load, ...) Periodieke updates van software en hardware Periodieke aanpassing van IDS/IPS signatures Onmiddellijke patching van kritische vulnerabiliteiten bij kennisname
10.4 Service Desk – SPOC De inschrijver zal een service desk ter beschikking stellen, die 24X7X365 bereikbaar is voor de wachtdiensten van FOD BZ en zowel de Nederlandse, Franse als Engelse taal machtig is. Er wordt tevens tweedelijns-support in drie talen geëist, met een vast (centraal) aanspreekpunt. Eindgebruikers van FOD BZ zullen nooit rechtstreeks met Service Desk communiceren. De wachtdiensten van FOD BZ bevinden zich in Brussel, Washington en Bangkok De inschrijver dient de voorgestelde supportniveaus/-structuur duidelijk te omschrijven.
10.5 Services voor beheer, onderhoud en assistentie Het betreft het beheer van de apparatuur en gerelateerde operationele taken om een globale beschikbaarheid van de gevraagde beveiligingsservice te kunnen garanderen De volgende processen (ITIL-nomenclatuur) worden hierna besproken: Incident Management
Bestek ICT/2013.01 bladzijde 41/55
Change Management Configuration Management Release Management Capacity Management Availability Management (zie hoofdstuk SLA)
Voor de opvolging van deze diensten zal door de inschrijver een vaste Service Manager aangeduid worden. Hij zal deelnemen aan vergaderingen die door de FOD om de drie maanden georganiseerd zullen worden. Hij zal tevens op regelmatige basis het operationeel dashboard en de rapporten voorstellen. Hij zal eveneens het eerste contact zijn bij problemen alsook voor operationele wijzigingen op het netwerk. Hij zal minstens jaarlijks of per semesters of beter nog proactief aan de FOD BZ een update van de dienstencatalogus voorleggen, rekening houdend met de prijswijzigingen en de nieuwe beschikbare opties.
10.6 Incident Management De exacte aan te wenden procedure zal worden bepaald in nauw overleg. Een incident wordt gemeld per telefoon, fax, sms of e-mail. Er dient echter rekening gehouden te worden met het feit dat het e-mail systeem misschien niet beschikbaar is bij een incident dat het veiligheidssysteem zelf aantast. De procedure moet zodanig worden georganiseerd dat men later kan bepalen, en zo nodig kan bewijzen, wat het voorwerp en het tijdstip van het incident was. Zodra de inschrijver een probleem vaststelt, dient FOD BZ op de hoogte gebracht te worden via verschillende communicatiemiddelen, en dit naargelang de ernst van het incident (vb. via mail, SMS, telefoon, enz.) en dienen de nodige maatregelen genomen te worden om het probleem op te lossen. De offerte dient rekening te houden met de schaalbaarheid van het monitoringsysteem dat tevens voldoende proactiviteit dient te bevatten om eventuele problemen te detecteren van zodra ze zich voordoen, zonder dat FOD BZ deze zelf dient te rapporteren (detectie van systeem- en serviceincidenten, bijvoorbeeld internetsites ontoegankelijk vanuit een client via de proxy’s etc.). De verschillende types van incidenten dienen gerangschikt te worden per categorie (van criticiteit) In overleg met FOD BZ kunnen deze categorieën achteraf verder ‘finetuned’ en gedetailleerd worden. De inschrijver wordt gevraagd zijn standaard incident management proces in detail te omschrijven.
10.7 Configuration/Change Management Verder omvat het beheer van de oplossing ook de uitvoering van een gestructureerd Change Management proces m.b.t. de configuraties van de security devices. Het belangrijkste aspect betreft hier ongetwijfeld het policy/rulebase beheer. We onderscheiden hier de volgende types van wijzigingen: o Logische wijzigingen, bvb. herconfiguraties van diensten, activering van nieuwe diensten, deactivering van bestaande diensten, wijzigingen van parameters, ... o Fysische wijzigingen, bvb. hardware uitbreidingen Logische wijzigingen moeten worden uitgevoerd volgens een strikt change management proces, met expliciete validatiestappen door beide partijen. De Inschrijver wordt uitgenodigd zijn proces in dit verband te beschrijven, eventueel aan de hand van een voorbeeld. De volgende onderwerpen zullen minstens aan bod dienen te komen: o Service change request & validatie proces: welk is het administratief proces? Welke validatiestappen dienen doorlopen te worden? o Implementatie van een nieuwe dienst o Validatie van een nieuwe dienst: kwaliteitsmetingen, failover testing, ... o Documentatie van de nieuwe dienst; opzetten en documentatie van een rulebase MAC “protocol” : formulieren, contactpersonen, ... Het gevraagde proces dient een logisch model te voorzien met identificatie, controle, onderhoud en verificatie van de verschillende elementen in de loop van hun levensduur: Identificatie
Bestek ICT/2013.01 bladzijde 42/55
Het doel is het selecteren, identificeren en labelen van alle elementen in scope met hun “owners”, hun relaties en hun documentatie, om ze op te nemen in de CMDB (Configuration Management database) o Het Beheer van Configuraties maakt een efficiënt beheer van veranderingen mogelijk Controle: zich ervan vergewissen dat de componenten zijn gewijzigd met de nodige toelatingen (verzoek om verandering). Deze controle betreft de toevoeging, wijziging en het verwijderen van een element. Configuratie retentie: traceerbaarheid van changes van een bepaalde component (ontwikkeling, test, productie of in stock) Verificatie en audit : verificatie van het effectieve fysieke bestaan van de elementen in beheer en validatie van de informatie, opgeslagen in de CMDB en de gevalideerde libraries. Dit omvat de validatie van de documentatie en de configuratiebeschrijving voor de ingebruikname. o
10.8 Release Management Het betreft het plannen en superviseren van de ingebruikname van een beveiligingssoftware en de bijbehorende hardware. De inschrijver dient rekening te houden met de volgende aspecten. Uitwerken en implementeren van tools voor distributie en installatie. De gewijzigde hardware en software dienen traceerbaar en beveiligd te zijn (alleen correcte, toegelaten en geteste versies worden geïnstalleerd). Communiceren en beheren van de verwachtingen tijdens de planning en het verloop van de migratie Valideren van de exacte inhoud van een ‘distributie’. Installeren van nieuwe softwareversies en hardware in productie, rekening houdend met de procedures rond change- en configuratiemanagement Verzekeren dat de oorspronkelijke distributies van alle software zijn opgeslagen en beveiligd in een bibliotheek met DSL (Definitive Software Library of DSL) en dat de CMDB up-to-date is.
Bestek ICT/2013.01 bladzijde 43/55
10.9 Capacity Management Het betreft hier de garantie dat de capaciteit van de infrastructuur inzake serviceniveaus (Service Levels) steeds in overeenstemming is met de toenemende vraag van de organisatie. Hiertoe dient de inschrijver het volgende in acht te nemen: Het invoeren meetinstrumenten: voor de capaciteitsinformatie: mate van gebruik van de services, netwerkdebieten, enz. voor de prestatie-informatie: responstijd / beschikbaarheid van de services vanuit en naar de verschillende zones. Het bepalen van ‘thresholds’ en referentiesituaties: ‘thresholds’ voor overbenutting van services of ‘thresholds’ gedefinieerd binnen de waarden van de SLA’s. Het genereren van alarmen in geval van overschrijding van de ‘thresholds’ en aanmaken van rapporten over anomalieën. De verzamelde informatie dient geanalyseerd te worden teneinde de trends te identificeren en referentiesituaties op te maken (baseline); evolutieprognoses en proactieve detecties van probleemsituaties. Eventueel aanbeveling tot aanpassen van de configuraties ter verbetering/optimalisatie van de dienstverlening. Het veiligheidssysteem moet de nodige voorzieningen bevatten waarmee het verkeer, de responstijden en alle nuttige informatie kunnen worden gemeten om de goede werking van het systeem te kunnen garanderen. Deze gegevens dienen geregistreerd te worden met het oog op de analyse van incidenten en de aanmaak van rapporten. De inschrijver dient de voorgestelde oplossing te beschrijven met duidelijke vermelding van de verschillende types van de uitgevoerde en geregistreerde metingen, de mogelijkheden tot filtering van de events, de types van rapporten die kunnen worden gegenereerd en de mogelijkheid om statistieken te genereren. Het veiligheidssysteem moet voldoende retentie bezitten die de mogelijkheid biedt om deze informatie gedurende een jaar te bewaren.
Bestek ICT/2013.01 bladzijde 44/55
10.10 Service Level Agreements De geboden oplossing dient bekrachtigd te worden door middel van Service Level Agreements (SLA’s). Deze SLA’s dienen het service niveau te bezegelen dat FOD BZ verwacht en waartoe de inschrijver zich verbindt. De gevraagde SLA’s hebben betrekking op: De globale beschikbaarheid van het geheel van security diensten volgens het verwachte kwaliteitsniveau; deze parameter consolideert de volgende kenmerken: o De (end-to-end) beschikbaarheid van het systeem. Werkt het of niet? o Het prestatieniveau van het systeem: het systeem zal als onbeschikbaar worden beschouwd als het verwachte prestatieniveau niet wordt gehaald o Het door het systeem geboden veiligheidsniveau: het zal als onbeschikbaar worden beschouwd als er ‘noemenswaardige’ veiligheidslekken worden waargenomen. De oplossing van Incidenten. Het uitvoeren van Changes
Globale beschikbaarheid. De geboden oplossing moet minstens 99,9% correct kunnen functioneren op maandelijkse basis. Een correcte werking is niet verzekerd als: de informatiestroom wordt onderbroken (onbeschikbaarheid); er zware problemen met performance optreden; de veiligheid van de informatiestroom niet langer gegarandeerd is (security level); als gegevens regelmatig zoek raken (prestatieniveau). Als het serviceniveau, gedefinieerd in de SLA, niet wordt gehaald, worden er boetes toegepast. De boetes vertegenwoordigen een percentage van de maandelijkse globale kostprijs voor de diensten in beheer van de inschrijver. Het bedrag van de boetes is vastgesteld volgens de volgende principes: Een boete heeft te maken met de onbeschikbaarheid of een veiligheidsfout van het systeem, ten aanzien van de beschikbaarheid van de geobserveerde periode Incidenten die niet werden opgelost binnen een redelijke termijn (zie verder); deze boete is verschuldigd voor elk incident afzonderlijk. De verschillende boetes zijn cumulatief.
Beschikbaarheid (maandelijkse basis)
Boete (%)
< 99,80% en ≥ 99,70%
10
< 99,70% en ≥ 99,60%
20
< 99,60% en ≥ 99,50
30
< 99,50 % en ≥ 99,40 %
40
< 99,40 % en ≥ 99,30 %
50
< 99,30 % en ≥ 99,20 %
60
< 99,20 % en ≥ 99,10 %
70
< 99,10 % en ≥ 99 %
80
< 99,00 %
100
De veiligheidsinfrastructuur moet minstens twee volledige overeenstemmende fysieke delen (Access Street) omvatten met twee toegangswegen (zowel intern als naar het Internet). Het onderhoud moet zodanig worden georganiseerd dat er slechts één fysiek deel tegelijk wordt onderbroken. Alle onderhoudsvensters worden bepaald in overleg tussen de inschrijver en de verantwoordelijken binnen FOD BZ.
Bestek ICT/2013.01 bladzijde 45/55
Het geplande onderhoud moet plaatsvinden middels een voorafgaand akkoord van FOD BZ en moet tenminste 5 werkdagen voorhand vóór de effectieve uitvoering worden gecommuniceerd door de inschrijver zodat FOD BZ maatregelen kan treffen. In geval van impact is op de services mag de tijd, besteed aan het onderhoud, niet worden meegenomen in de berekening van de beschikbaarheidsgraad. Voor elke correctieve actie naar aanleiding van een groot veiligheidsprobleem dat de vertrouwelijkheid, de integriteit of de beschikbaarheid van de service in het gedrang zou kunnen brengen en waarbij de systemen daardoor onmiddellijk dienen stilgelegd te worden, zal de tijd, besteed aan dit onderhoud, worden beschouwd als een periode van onbeschikbaarheid en worden meegenomen in de berekening van de boetes, tenzij er vooraf een formele goedkeuring van FOD BZ werd verkregen. De inschrijver dient in zijn offerte alle voorgestelde “performance –indicators’ te beschrijven alsook aan te tonen via welke apparatuur/tooling/functionaliteit deze kunnen worden gemeten en gerapporteerd. Zodra er een lacune wordt vastgesteld in de beveiliging van een gegevensstroom, wordt deze stroom als onderbroken beschouwd en zijn de overeenstemmende boetes van toepassing. Als het incident geen onmiddellijk waarneembare en meetbare schade veroorzaakt (vb. consultatie van gegevens zonder toelating, wordt de werking van het veiligheidssysteem als onderbroken beschouwd tussen het moment waarop het incident wordt vastgesteld en het moment waarop een oplossing wordt aangereikt Als het incident wordt vastgesteld door het personeel van de inschrijver en als het geen onmiddellijk waarneembare en meetbare schade veroorzaakt, zal het niet worden meegenomen in de berekening van de onbeschikbaarheid van het systeem. In het geval van vernietiging, wijziging of ongeoorloofde inzage van gegevens die door de inschrijver moeten worden beveiligd, en als zijn verantwoordelijkheid duidelijk wordt vastgesteld, zal de boete per inbreuk 10% van de totale kostprijs van de services per maand bedragen. De evaluatie van de beschikbaarheid zal geen rekening houden met periodes van onbeschikbaarheid te wijten aan: Een gegevensdebiet dat aanzienlijk hoger ligt dan het gevraagde debiet Een defect buiten het veiligheidssysteem (vb. een defecte lijn) Een foutieve interventie vanwege een personeelslid van FOD BZ, indien deze wijziging niet door de inschrijver werd gevalideerd volgens de procedure van change management, overeengekomen binnen 8 werkuren na de interventie Elke oorzaak die ontegensprekelijk niet kan worden toegeschreven aan de inschrijver en aan apparatuur, software of prestaties die niet door hem werden geleverd (de prestaties van een onderinschrijver, in dienst genomen door de inschrijver in het kader van deze opdracht, maken deel uit van de prestaties van de inschrijver). Het incident werd veroorzaakt of bevorderd door een foutieve interventie van een personeelslid van FOD BZ Het incident werd veroorzaakt of bevorderd door een onvoorzichtige openstelling van de toegangswegen en dit op uitdrukkelijk verzoek van FOD BZ; de inschrijver is evenwel verantwoordelijk om FOD BZ te waarschuwen.
Bestek ICT/2013.01 bladzijde 46/55
Behandeling van incidenten en problemen Voor elke categorie van incidenten wordt een maximale termijn vastgelegd Ernst van het Incident
Opgelegde interventietermijn
Niveau 1 - Critical (onbeschikbaarheid) Niveau 2 – Important Niveau 3 – Minor
SLA Beschikbaarheid binnen de 4 uur binnen de 3 dagen
Als een incident bijkomende incidenten genereert, zal de ernst van het totale incident (en dus de opgelegde interventietermijn) die van het meest ernstige incident zijn. Elk incident moet worden behandeld en opgelost binnen een maximale termijn die afhangt van de aard en de ernst van het incident. Elk incident dat niet wordt opgelost binnen de maximale termijn, zal aanleiding geven tot een boete van 3% van de totale maandelijkse kostprijs voor het onderhoud. De boete is maandelijks verschuldigd voor elk incident dat niet is opgelost binnen de gestelde termijn. Elke incident dat niet is opgelost binnen maand x wordt automatisch verschoven naar maand x+1 en geeft aanleiding tot een nieuwe boete, als het niet tijdig werd opgelost. De boete komt bovenop de boetes voor een ontoereikende beschikbaarheid. Het aanvragen van changes Standaard MACs (Move, Adds and Changes) van “8 uur time-to-implement” zullen de regel zijn, maar uitzonderlijk moeten ook critical MACs “1 uur time-to-implement” mogelijk zijn. Standaard Change (time-to-implement)
Critical Change (time-to-implement)
Binnen de 8 uur
Binnen 1 uur
Elk change dat niet wordt opgelost binnen de maximale termijn, zal aanleiding geven tot een boete van 1% van de totale maandelijkse kostprijs voor het onderhoud. De boete is maandelijks verschuldigd voor elk incident dat niet is opgelost binnen de gestelde termijn. Elke change dat niet is opgelost binnen maand x wordt automatisch verschoven naar maand x+1 en geeft aanleiding tot een nieuwe boete, als het niet tijdig werd opgelost. De boete komt bovenop de boetes voor een ontoereikende beschikbaarheid.
10.11 Consultancy op afroep Voor de security diensten onder beheer van FOD BZ, wordt adhoc security engineering / consulting gevraagd voor de volgende taken: Assistentie bij designchanges en complexe configuraties (steeds op locatie van FOD BZ) Assistentie bij troubleshooting en problemen (steeds op locatie van FOD BZ) Beantwoorden van technische vragen Uitvoeren van configuratie audits Innovatie De security diensten onder beheer van FOD BZ geven toegang tot geclassificeerde data. De voorgestelde consultants/engineers dienen derhalve security cleared te zijn (Nationaal). Het aantal dagen wordt geraamd op maximum 50 dagen gedurende het eerste jaar en 10 dagen voor elk jaar daarop volgend. Voor de invulling zal er steeds in samenspraak een planning worden opgemaakt Er worden minstens twee security engineers gevraagd. De inschrijver wordt gevraagd de CV’s van deze personen mee op te nemen in haar antwoord.
Bestek ICT/2013.01 bladzijde 47/55
10.12 Opleiding De inschrijver dient opleidingsactiviteiten te voorzien in het Nederlands/Frans voor maximaal 5 personen van FOD BZ. Het Engels mag uitzonderlijk worden gebruikt voor bepaalde specifieke opleidingen, op uitdrukkelijke voorwaarde dat FOD BZ vooraf zijn akkoord geeft. Het personeel, belast met de opleidingsactiviteiten, dient: Een erkende expertise te bezitten in de opleiding die wordt verstrekt; PERFECT de taal te beheersen waarin de training wordt gegeven; Te beschikken over essentiële pedagogische kwaliteiten om de kennis op gestructureerde en systematische wijze over te dragen aan de deelnemers van de training; De pedagogische middelen te kunnen hanteren Rekening te houden met de opmerkingen van de aanbestedende overheid voor wat betreft de inhoud en de presentatie van de opleiding. Deze opleidingsactiviteiten dienen paats te vinden ofwel in de lokalen van FOD BZ, ofwel in de lokalen van de inschrijver. Als de opleiding echter zou worden gegeven in de lokalen van de inschrijver, mag de inschrijver lokalen voorstellen buiten zijn eigen gebouwen, voor zover deze zich bevinden in de Brusselse regio.
10.13 Rapportering De Inschrijver verbindt er zich toe periodiek een aantal standaard rapporten af te leveren. Deze rapporten vergen in de regel geen menselijke interventie en dienen standaard afleverbaar te zijn door de rapporteringstools gelinkt met de security oplossing. Deze lijst van rapporten moet kunnen evolueren in de loop van het contract, zonder te resulteren in enige meerkost. De Inschrijver dient de maandelijkse rapportering op elektronische wijze te voorzien (email & ondemand via een on-line portal/dashboard). De aangeleverde data moet het mogelijk maken om een correct en volledig beeld te vormen van de gemonitorde componenten. De data dient zo correct, actueel en objectief mogelijk te zijn. De data moet in hoofdcategorieën gegroepeerd worden met de mogelijkheid om via "drill down" meer gedetailleerde informatie op te vragen. De aangeleverde data moeten het reële gebruik van de diensten weergeven. De gemonitorde informatie moet uiteraard afgestemd zijn op de door de dienstverlener aangeboden Service Level Agreement (SLA). De online portal als de maandelijkse SLA rapporten zullen ondermeer de volgende statistieken bevatten: o o o o o o
Beschikbaarheid van de infrastructuur Aantal behandelde en gesloten tickets/incidenten Gedetailleerd rapport van elk behandeld ticket/incident Overzicht van de Service aanvragen (Change Requests) Status van veranderingen, upgrades, patches en andere onderhoudsoperaties + planning van softwareupgrades etc.. Open punten/acties (actionlog)
Op het vlak van de veiligheid moet de inschrijver de volgende rapporten kunnen aanmaken (niet limitatieve lijst) : Top van denied, rejected sessies Top gebruik van bandbreedte door servers (gebruikers/servers) Top gebruik van applicaties Top gebruikers Threat log (critical, etc..) Inbound Denies and Drops per Source IP. Denies and Drops per Firewall Rule. Number of Inbound HTTP or HTTPS Hits per Source IP. Number of Outbound Connections, per Port. Suspicious Inbound Denies and Drop per Port. Number of Inbound HTTP or HTTPS Hits per Source IP.
Bestek ICT/2013.01 bladzijde 48/55
Number of Inbound Events per Hour of the Day. Number of Outbound Events per Hour of the Day. Rules most Frequently Fired. Machines Connected to, Inbound, per Destination. Number of Outbound HTTP or HTTPS Hits per Destination IP. Suspicious Inbound Denies and Drops per Destination IP. Number of Outbound HTTP or HTTPS Hits per Source IP. Number of Inbound Connections, per Port.
Bestek ICT/2013.01 bladzijde 49/55
C. BIJLAGEN. -
Inlichtingenblad ; één offerteformulier.
GOEDGEKEURD: 1000 BRUSSEL De Directeur ICT.
Jorg LEENAARDS
Bestek ICT/2013.01 bladzijde 50/55
INLICHTINGENBLAD
BELANGRIJK : GELIEVE STRICT DE VOORSCHRIFTEN VAN ARTIKEL 89 VAN HET KONINKLIJK BESLUIT VAN 8 JANUARI 1996 NA TE LEVEN. DIT ARTIKEL VAN HET KONINKLIJK BESLUIT VAN 8 JANUARI 1996 BEPAALT HET VOLGENDE: “De inschrijver maakt zijn offerte op en vult de samenvattende opmetingsstaat of de inventaris in op het eventueel bij het bestek behorende formulier. Indien hij deze op andere documenten maakt dan op het voorziene formulier moet de inschrijver op ieder van deze documenten verklaren dat het document conform het bij het bestek behorende model is. De documenten worden door de inschrijver of zijn gemachtigde ondertekend. Doorhalingen, overschrijvingen, aanvullingen of wijzigingen, zowel in de offerte als in de bijlagen, die de essentiële voorwaarden van de opdracht zoals prijzen, termijnen, technische specificaties kunnen beïnvloeden, moeten eveneens door de inschrijver of zijn gemachtigde ondertekend worden.”
1. Aanduidingen op het offerteformulier. -
Voor een natuurlijke persoon die als inschrijver optreedt dient te worden vermeld: zijn naam, zijn voornaam, zijn hoedanigheid of beroep en zijn nationaliteit.
-
Voor de vennootschappen aanduiden: “De firma ................................................................. (firmanaam of benaming, vorm, nationaliteit en zetel) vertegenwoordigd door ondergetekende (naam, voornaam, hoedanigheid)”.
-
Voor de verenigingen zonder rechtspersoonlijkheid aanduiden: “Ondergetekenden ......................................................... (voor partner van de tijdelijke vereniging: de naam, de voornaam, de hoedanigheid of het beroep, de nationaliteit en de woonplaats, het inschrijvingsnummer bij de Kruispuntbank van de Ondernemingen van elke partner van de tijdelijke vereniging of het inschrijvingsnummer bij de Kruispuntbank van de Ondernemingen van de vereniging zelf, indien de tijdelijke vereniging ingeschreven is bij de Kruispuntbank van de Ondernemingen, in tijdelijke vereniging voor onderhavige aanneming, verbinden zich hoofdelijk op hun roerende en onroerende goederen .......................................................”.
Bovendien, in de offerte vernoemen, diegene onder hen die ermede belast is de vereniging te vertegenwoordigen tegenover de aanbestedende overheid. -
Voor de Belgische ondernemingen die personeel tewerk stellen moet het volledige inschrijvingsnummer van de inschrijver bij de Kruispuntbank van de Ondernemingen vermeld worden.
-
Alle bijlagen dragen volgende vermelding : “Om gevoegd te worden bij mijn offerte van ...................... en er integraal deel van uitmakend” (gevolgd door handtekening en datum alsook de naam, voornaam en hoedanigheid van degene die ondertekent). 2. Indienen der offertes Zoals vermeld in het bestek moet de offerte, in dubbel exemplaar (twee originelen of één origineel en één kopie) verstuurd worden naar, of afgegeven worden op het adres van de aanbestedende overheid en op de vastgestelde dag en uur, vermeld in het bestek, onder de vorm zoals deze in het bestek duidelijk wordt beschreven.
Bestek ICT/2013.01 bladzijde 51/55
OFFERTEFORMULIER Federale Overheidsdienst Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking Karmelietenstraat 15 1000 Brussel Stafdirectie ICT Fax : 02/501 88 95 BESTEK Nr. ICT/2013.01
ALGEMENE OFFERTEAANVRAAG voor de installatie en het onderhoud van een gedemilitariseerde zone (DMZ) in de informatica sector voor rekening van de FOD Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking De firma (volledige benaming) met als adres: (straat) (postnr en gemeente) (land) Ingeschreven bij de Kruispuntbank van de Ondernemingen onder nummer en waarvoor Mijnheer/Mevrouw (*)
(naam) (functie)
gedomicilieerd op het adres (straat) (postnr en gemeente) (land) als inschrijver of gevolmachtigde optreedt en hieronder ondertekent, verbindt zich tot de uitvoering, overeenkomstig de voorwaarden en bepalingen van het bestek ICT/2013.01 van de hiervoor omschreven dienst vormende het ENIGE PERCEEL van dit document uit te voeren, tegen de hierondervermelde maandelijkse globale prijs en de eenheidsprijzen, aangeduid in letters en in cijfers, uitgedrukt in EURO, exclusief BTW, van:
Bestek ICT/2013.01 bladzijde 52/55
a) maandelijkse globale prijs, excl. btw :
[in letters en in cijfers in EURO] waarbij de BTW dient te worden gevoegd voor een bedrag van:
[in letters en in cijfers in EURO] wat een forfaitaire eenheidsprijs, inclusief BTW, geeft van:
[in letters en in cijfers in EURO]
b) forfaitaire eenheidsprijs, exclusief btw, voor 1 dag consultancy:
[in letters en in cijfers in EURO] waarbij de BTW dient te worden gevoegd voor een bedrag van:
[in letters en in cijfers in EURO] wat een forfaitaire eenheidsprijs, inclusief BTW, geeft van:
[in letters en in cijfers in EURO]
Bestek ICT/2013.01 bladzijde 53/55
c) forfaitaire eenheidsprijs, excl. btw, voor 1 opleiding voor +/- 5 personen :
[in letters en in cijfers in EURO] waarbij de BTW dient te worden gevoegd voor een bedrag van:
[in letters en in cijfers in EURO] wat een forfaitaire eenheidsprijs, inclusief BTW, geeft van:
[in letters en in cijfers in EURO]
Bestek ICT/2013.01 bladzijde 54/55
In het geval deze offerte wordt goedgekeurd, zal de borgtocht worden gestort overeenkomstig de in het bestek gestelde voorwaarden en termijnen. In de offerte is de vertrouwelijke informatie en/of de informatie die betrekking heeft op technische of commerciële geheimen duidelijk aangeduid. Het betalingsorganisme van de aanbestedende overheid zal de verschuldigde sommen betalen door storting of overschrijving op het rekeningnummer IBAN BIC Er wordt gekozen voor de
Nederlandse/Franse (*)
taal voor de interpretatie van het contract.
Alle briefwisseling betreffende de uitvoering van de opdracht moet worden gestuurd naar:
(straat) (postnr. en gemeente) (
Gedaan:
Te
op
en F-nummer)
20
De inschrijver of gevolmachtigde: (naam) (functie) (handtekening)
GOEDGEKEURD, 1000 BRUSSEL
Jorg LEENAARDS Directeur ICT
Bestek ICT/2013.01 bladzijde 55/55
PRO MEMORIE : DOCUMENTEN DIE VERPLICHT BIJ DE OFFERTE DIENEN TE WORDEN GEVOEGD : -
Alle documenten en inlichtingen gevraagd in het raam van de selectiecriteria en van de gunningscriteria; Vergeet niet alle pagina’s van uw offerte, uw inventaris en van de bijlagen van een ononderbroken nummering te voorzien.
NUTTIGE RAAD VOOR DE INDIENDING VAN DE OFFERTE De offertes worden vóór de opening van de offertes ofwel per schrijven (een aangetekend schrijven wordt aanbevolen) opgezonden naar, ofwel persoonlijk neergelegd bij de aanbestedende overheid. De offertes worden aanvaard voor zover de zitting van opening van de offertes niet voor geopend is verklaard. De offertes worden in een omslag gestoken die wordt gesloten. Op deze omslag dienen de volgende vermeldingen te worden aangebracht : -
de volledige identiteit van de aanbestedende overheid het nummer van het bestek; de datum en het uur van de opening van de offertes.
Deze omslag wordt gestoken in een tweede omslag met de volgende vermeldingen : -
het woord «offerte» in de linkerbovenhoek; op de plaats waar het adres van de bestemming moet worden vermeld:
Federale Overheidsdienst Buitenlandse Zaken, Buitenlandse Handel en Ontwikkelingssamenwerking Stafdirectie ICT Karmelietenstraat 15 1000 BRUSSEL