Zadavatel: Česká republika Ministerstvo zemědělství Název veřejné zakázky: Dodávka SAN switchů včetně příslušenství pro datová centra Sídlem: Těšnov 65/17, 110 00 Praha 1 Nové Město Evidenční číslo veřejné zakázky: 521982 Zastoupený: IČO: 00020478 Ing. Luděk Novotný, ředitel odboru provozu informačních a komunikačních technologií Druh zadávacího řízení: otevřené zadávací řízení na dodávky dle 21 odst. 1 písm. a) zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů (dále jen ZVZ ) DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM č. 2 dle 49 ZVZ 1 (celkem 5)
Česká republika Ministerstvo zemědělství jako zadavatel výše uvedené veřejné zakázky obdržela dne 24. 3. 2016 žádost dodavatele o dodatečné informace k zadávacím podmínkám této veřejné zakázky. Na níže uvedené dotazy poskytuje zadavatel následující odpověď. Dotaz č. 1: Na základě analýzy požadavků zadavatele uvedených v Příloha č. 1 Podrobný popis předmětu plnění je jisté, že požadované funkcionality a jejich kombinace vedou k eliminaci všech výrobců vyjma jediného a to společnosti Brocade Communications Systems. Pokud zadavatel nemá zákonný důvod požadovat řešení pouze od tohoto jediného výrobce a tyto konkrétní funkcionality, což velmi pravděpodobně nemá vzhledem k faktu, že nyní provozuje SAN infrastrukturu na SAN přepínačích jiného výrobce, požadujeme odstranění a následnou změnu níže uvedených požadavků dokumentu Příloha č. 1 Podrobný popis předmětu plnění ZD, aby ZD vyhověli alespoň 2 největší světoví výrobci SAN přepínačů: A) Požadavek Podpora Fiber Channel over IP nahradit požadavkem Nabízené řešení musí být rozšiřitelné o řešení Fiber Channel over IP B) Požadavek Správa s využitím CLI prostřednictvím SSH, podpora SSH2, AES minimálně 128bit, CTR nebo GCM režimu, HMAC minimálně SHA 256, možnost vypnout jednotlivé algoritmy KEx, MAC a šifrování nahradit požadavkem za Správa s využitím CLI prostřednictvím SSH, podpora SSH2 C) Požadavek Podpora logování na syslog servery UDP i TLS včetně oboustranného ověřování certifikáty (požadavky na TLS viz vzdálená správa přes web) nahradit požadavkem Podpora logování na syslog servery D) Požadavek Podpora šifrování na ISL algoritmem AES 256 popř. jiným symetrickým algoritmem s ekvivalentní silou, s dynamickou výměnou klíčů a s výkonem 16 Gbps, včetně plného licenčního krytí. nahradit požadavkem Podpora šifrování na ISL algoritmem minimálně AES 128 popř. jiným symetrickým algoritmem s ekvivalentní silou, s dynamickou výměnou klíčů a s výkonem 16 Gbps, včetně plného licenčního krytí. Odpověď č. 1: Zadavatel vycházel při stanovení požadavků nejen z potřeby obměny provozovaných technologií, ale rovněž ze strategie vedoucí k posílení bezpečnosti, a to jak fyzické (zdvojení SAN switchů), tak kybernetické bezpečnosti, tj. zadavatel reflektuje požadavky současné legislativy i známé hrozby a útoky proti protokolům, mediím, algoritmům a software. Z těchto důvodů zadavatel stanovil 2 (celkem 5)
podmínky na dodaný hardware s výhledem používání těchto zařízení po dobu min. 5 let, a to tak, aby bylo možné plnit podmínky stanovené legislativou i omezit rizika průniků do SAN/LAN, ztráty dat a další bezpečnostní požadavky reflektující současný stav a vývoj v informačních a komunikačních technologií. Zadavatel stanovil požadavky na kryptografické algoritmy zejména v návaznosti na vyhlášku č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti. Ad A) Zadavatel trvá na požadavku, aby nabízené zařízení umožňovalo využití protokol Fiber Channel over IP. Tato skutečnost musí být zjevná z technických specifikací/technických listů (datasheetů) uvedených výrobcem. Zadavatel nepožaduje, aby součástí nabídky byly servisní karty/moduly určené pro Fiber Channel over IP, ale tyto moduly musí být v daný čas dostupné na trhu a dodané řídící jednotky a software musí umožňovat nasazení tohoto protokolu, tj. je nepřípustné, aby podpora Fiber Channel over IP byla např. v roadmapě výrobce. Ad B) Zadavatel nevyhovuje požadavku uchazeče. Požadavky zadavatele na použitou kryptografii při využití CLI vycházejí z průniku požadavků stanovených v Příloze č. 3 vyhlášky č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti, a dlouhodobě známých zranitelností. Pro podporu rozhodnutí zadavatel vyloučit některé algoritmy či režimy uvádíme příklad režimu CBC, který byl z možných algoritmů vyloučen na základě více než 7 let známé zranitelnosti (VU#958563 / CVE 2008 5161). Při stanovení požadavků na šifrování byl zadavatel kromě zohlednění bezpečnostních nálezů (známých zranitelností) u některých starších algoritmů a metod veden rovněž podporou vybraných algoritmů u klientů používaných na straně zadavatele. Zadavatel tak stanovil výčet požadavků, které zařízení musí splňovat, to neznamená, že zařízení nemůže podporovat i další šifrovací algoritmy, metody, atd. nad rámec požadavků stanovených v zadávací dokumentaci, ale pro umožnění komunikace v celé šíři provozované infrastruktury a posílení bezpečnostních principů, zejména s ohledem na platnou legislativu a bezpečnostní nálezy v některých protokolech a algoritmech, stanovil výčtem požadavky, které zařízení musí splňovat, aby nedocházelo k dalším investicím a bylo možné posílit bezpečnost infrastruktury zadavatele. Ad C) Zadavatel nevyhovuje požadavku uchazeče. Zadavatel považuje za srovnatelné řešení z pohledu funkčních a bezpečnostních požadavků vůči podpoře Syslog komunikace s TLS enkapsulací zabezpečení Syslog komunikace pomocí IPSec s následujícími parametry: 3 (celkem 5)
režim transportu, enkapsulace ESP popř. AH+ESP, ohadování SA pomocí IKEv1, ověření protistrany sdíleným tajemstvím nebo pomocí certifikátů, dohadování klíčů buď algoritmem DH minimálně 2048 bitů s cyklickou podgrupou minimálně 224 bitů nebo algoritmem ECDH s minimální délkou klíče 224 bitů, šifrování IKE zpráv a přenášených dat algoritmem AES s délkou klíče minimálně 128 bitů, zajištění integrity IKE zpráv a přenášených dat algoritmem HMAC SHA 256 nebo silnějším; pro zajištění integrity přenášených dat lze též využít autentizované šifry (GCM). Tyto požadavky na kryptografii v IPSec vycházejí z průniku požadavků uvedených v Příloze č. 3 vyhlášky č. 316/2014 Sb., a operačních systémů používaných pro Syslog servery provozovanými na MZe. Ad D) Zadavatel v tomto případě stanovil minimální požadavky a akceptuje řešení, které je ekvivalentní. Jako ekvivalentní je možné považovat např. šifrování SAN komunikace na ISL algoritmem AES 128 GCM za podmínky, že je implementována výměna klíče a inicializačního vektoru podle doporučení NIST SP 800 38D. Dotaz č. 2: Dále bychom chtěli ověřit výši jistoty dle bodu 13 ZD. V uvedeném bodě je uvedena výše jistoty 200.000 Kč (slovy: sedm set tisíc korun českých). Jaká je tedy výše jistoty? Odpověď č. 2: Zadavatel uvádí, že v čl. 13 zadávací dokumentace došlo v důsledku administrativního pochybení k chybnému slovnímu vyjádření výše jistoty. Jistota je požadována ve výši 200.000, Kč (slovy: dvě stě tisíc korun českých). Tato nejasnost v zadávacích podmínkách již byla odstraněna v rámci dodatečných informací č. 1 ze dne 16. 3. 2016. 4 (celkem 5)
Zadavatel na základě těchto dodatečných informací zároveň rozhoduje o prodloužení lhůty pro podání nabídek do 3. 5. 2016, 10:00 hodin. V Praze dne 1. 4. 2016 Česká republika Ministerstvo zemědělství Ing. Luděk Novotný, ředitel odboru provozu informačních a komunikačních technologií 5 (celkem 5)