Biologie | Chimie | Didactica | Fizica | Geografie | Informatica | |
Istorie | Literatura | Matematica | Psihologie |
Cerinte privind securitatea sistemului si integritatea datelor - serviciile de certificare
Cerinte generale
Sistemul informatic trebuie protejat impotriva incercarilor deliberate sau accidentale de acces neautorizat la datele pe care acestea le inmagazineaza.
Sistemul trebuie sa permita urmatoarele facilitati:
- Ierarhizarea in grupuri a utilizatorilor finali;
- Impiedicarea accesului utilizatorilor finali de a se conecta la acele subsisteme care sunt in stare de eroare, fara a le afecta pe celelalte;
- Asigurarea securitatii tuturor interfetelor sistemului informatic, prevenind accesul utilizatorilor neautorizati la sistem;
- Raportarea pe baze periodice a detaliilor privitoare la accesul in sistem al utilizatorilor;
Pentru fiecare rol, in functie de specificul activitatii acestuia, se vor stabili componentele sistemului informatic care trebuie sa acopere activitatea curenta. Se va realiza asocierea intre salariatul care lucreaza si utilizatorul declarat in cadrul aplicatiei, caruia i s-a acordat un set de drepturi de acces la informatiile din baza de date. Toate tranzactiile efectuate de utilizatori vor fi inregistrate in fisiere speciale.
Se vor furniza functionalitati de administrare care sa permita oferirea sau revocarea drepturilor de acces, accesul la informatii pe baza de parole.
Drepturile de acces se vor acorda diferentiat in functie de: modul, operatie, grad de securizare a informatiei, nivel organizational. Administrarea acestor drepturi se va face insa in mod centralizat, profilele/grupurile putind acoperi toate apliicatiile de mediu, fara exceptie.
Furnizorul sistemului informatic integrat trebuie sa asiste clientul in realizarea unei politici de securitate a organizatiei.
Sistemul nu va permite accesul la datele din baza de date decat prin intermediul functiilor incluse in sistemul standard integrat.
Sistemul va permite administrarea drepturilor pentru grupuri de utilizatori la nivel de module, functii, comenzi si campuri din formulare. Administrarea acestor drepturi se va face insa in mod centralizat, dintr-o interfata unica, profilele/grupurile definite astfel putind acoperi toate apliicatiile de mediu, fara exceptie.
Aplicatiile vor trebui sa includa sisteme de protectie si recuperare a inregistrarilor in caz de caderi si vor trebui sa aiba puncte de verificare la repornire, iar o data repornit procesul de recuperare a datelor, acesta va fi complet automat.
In caz de avarii vor fi inregistrate suficiente informatii de diagnosticare pentru a ajuta la identificarea si solutionarea problemei.
Cerinte specifice privind serviciile de certificare
Autoritatea contractanta si-a propus ca obiectiv in strategia proprie implementarea semnaturii electronice in sistemul informatic integrat pentru urmatoarele scopuri:
- Semnarea electronica a documentelor din arhiva electronica, in scopul de a furniza copii certificate, inclusiv prin acces on-line;
- Eliberarea de documente semnate electronic, atat la nivel central cat si local
- Schimb securizat de documente semnate electronic cu autoritatile cu care se afla in regim de colaborare
In acest sens solutia propusa va include o autoritate de certificare locala:
- Va include toate modulele necesare (CA, RA, CRL etc.)
- Toate componentele solutiei vor fi redundante 100%
- Certificatele digitale emise vor fi stocate pe dispozitive criptografice
- Se va asigura nivelul FIPS 140-2 Lvl 3 pentru protectia cheilor autoritatii.
Certificare / Cerinte generale minime obligatorii:
- Servicii de emitere certificate digitale, valabile pentru 1 an, pe dispozitiv securizat, inclusiv dispozitivele securizate de creare a semnaturii electronice (dispozitive criptografice pentru stocarea certificatelor digitale) precum si servicii asociate (verificare semnaturi, revocare certificate etc) pentru toti angajatii ANPM si angajatii altor institutii terte ce au acces in sistem pe toata durata contractului;
- Servicii de reinnoire a certificatelor emise precum si serviciile asociate (verificare semnaturi, revocare certificate etc);
- Servicii de asistenta tehnica si suport,
- Certificatele emise sau reinnoite trebuie sa asigure autentificarea si recunoasterea documentelor transmise in format electronic precum si autentificarea VPN si SSL;
- Dispozitivele securizate de creare a semnaturii electronice oferite trebuie sa asigure generarea, stocarea si utilizarea certificatelor calificate.
Cerinte tehnice si functionale minimale obligatorii pentru certificate digitale calificate
- Formatul cererilor de certificate sa respecte standardul PKCS#10. Formatul certificatelor emise sa respecte standardul X.509 v1 si v3;
- Certificatele calificate vor avea structura conforma cu anexele nr. 3 si 4 din Normele tehnice si metodologice de aplicare a Legii nr. 455/20011 potrivit ETSI TS 101 862 v. (2001-06), RFC 2459 si cu Recomandarile 1TU-T X. 509.
- Certificatele emise trebuie sa aiba urmatoarele extensii de aplicatie: digital signature, key exchange, smartcardlogon.
- Utilizarea certificatelor calificate emise de ofertant trebuie sa asigure urmatoarele functii:
- Confidentialitate
- Integritate
- Non-repudiere
- Autentificare.
- Certificatele emise trebuie sa poata fi utilizate si pentru autentificare SSL si VPN;
- Fiecare certificat trebuie sa contina cel putin urmatoarele informatii:
nume si prenume
adresa de e-mail
denumirea ANPM departamentul sau functia
perioada de valabilitate
serial number.
Cerinte minime obligatorii privind dispozitivele securizate de creare a semnaturii electronice (DSCS) - e-token ????:
Sa poata fi utilizate intr-o infrastructura PKI pentru aplicatii de:
semnare digitala de documente si fisiere (PDF, Word, Open Office);
transport securizat al cheilor (key exchange);
e-mail securizat (S/MIME - Secure / Multipurpose Internet Mail Extensions);
autentificare
criptare
Sa se poata conecta la portul USB al statiilor de lucru si/sau notebook-urilor utilizand protocoalele USB 1 si/sau USB 0.
Sa asigure generarea on-board a cheilor RSA cu lungime de 1024 de biti.
Sa aiba carcasa rezistenta la apa si la loviri accidentale.
Sa ofere conectivitate de tip “Plug-and-Play”;
Sa fie suportate pe cel putin urmatoarele Sisteme de operare: Windows 2000/2003 Server, Windows XP Professional; dispozitivele administratorilor vor trebui sa fie compatibile si cu serverele pe care acestia le administreaza
Sa suporte cel putin urmatoarele standarde de incriptare: PKCS#11 v01, CAPI (Microsoft Crypto API), X.509 v3 certificate storage, SSL v3, IPSec/IKE.
Sa integreze minimum urmatorii algoritmi de securitate: RSA 1024-bit DES, 3DES (Triple DES), SHA1 .
Nivelul de securitate al chip-ului sa fie ITSEC LE4, FIPS 140-1 nivel 2 .
Cerinte minime obligatorii pentru solutie privind serviciile de certificare:
Sa asigure toate serviciile aferente gestiunii certificatelor calificate X.509 (emitere, publicare, revocare/suspendare, reinnoire) folosite pentru semnare, criptare, autentificare.
Sa publice certificatele in servere specializate care sa permita verificarea on-line a acestora.
Sa publice CRL-ul (lista certificatelor revocate);
Sa asigure serviciile de inregistrare in vederea emiterii/reinnoirii de certificate si de ridicare a certificatelor.
Cerinte privind serviciile de asistenta tehnica si suport
Serviciile de asistenta tehnica si suport vor acoperi:
problemele legate de dispozitivele si certificatele emise/reinnoite de ofertant;
problemele legate de instalarea si utilizarea certificatelor.
Serviciile de asistenta tehnica si suport ofertat vor fi oferite prin Service Desk, cu cel putin urmatorul program: luni - vineri, orele 8 - 20 si sambata, orele 8-1
In cazul primirii unei solicitari de asistenta tehnica/suport in situatia aparitiei unor probleme in utilizarea certificatelor digitale, serviciul de tip Help Desk va confirma imediat apelul catre persoana autorizata a Autoritatii contractante - prin telefon, fax sau e-mail - si va comunica si perioada estimata de remediere.
Timpul de raspuns, care reprezinta timpul scurs intre primirea solicitarii de asistenta tehnica/suport si momentul In care personalul ofertantului va confirma apelul catre persoana autorizata din partea Autoritatii contractante si va comunica termenul estimat de remediere: maxim 4 ore lucratoare.
Timpul de remediere, care reprezinta timpul scurs intre primirea solicitarii de asistenta tehnica/suport si momentul rezolvarii problemei semnalate: maxim 8 ore lucratoare.
Modalitati de revocare certificate
Ofertantul va prezenta detaliat modalitatile in care asigura solutia pentru revocarea certificatelor emise:
on-line, prin acces securizat pe Internet la site-ul intern ANPM, pe baza unei parole stiute doar de utilizatorul final;
alte modalitati de revocare
Alte cerinte:
Ofertantul trebuie sa asigure, pe toata perioada contractului, remedierea sau inlocuirea gratuita a dispozitivelor securizate de creare a semnaturii electronice, inclusiv serviciile asociate (revocare certificat, emitere certificat nou), daca este cazul.
Cerinte privind flexibilitatea sistemului de certificare
Scalabilitate si flexibilitate in distribuirea sistemului, care sa permita extinderea sau modificarea structurii organizatorice a utilizatorilor;
Sa fie complet configurabil si capabil sa faca fata necesitatilor unui numar crescand de utilizatori .
Fiecare aplicatie sau dispozitiv hardware va fi livrat insotit de manuale de instalare si operare atit tiparite cit si in format electronic. Aplicatiile de mediu vor avea si help online exhaustiv.
Fiecare aplicatie livrata va dispune de manuale de operare tiparite in limba Romana. Ofertantul trebuie sa asigure existenta unui manual pentru fiecare aplicatie in fiecare locatie unde va fi accesibil sistemul (centrele nationale, regionale si locale).
Fiecare aplicatie livrata va fi insotita si de manuale de administrare. Manualul va fi disponibil in limba Romana sau Engleza.
Ofertantul trebuie sa propuna metode de transfer al cunostintelor privind aplicatiile software dezvoltate ca parte din acest proiect.
Ofertantul va dezvolta in cadrul aplicatiei de e-learning, o biblioteca cu lectii destinate personalului de specialitate IT, de mediu si pentru utilizatorii externi , in vederea intelegerii corecte a valorii si utilitatii acestui proiect pentru toti utilizatorii;
Ofertantul va propune de asemenea un program de instruire a utilizatorilor, cu precizarea detaliilor de organizare (Sali folosite, durata, numar de sesiuni, numar participanti, echipamente folosite)
Ofertantul va trebui sa includa instruire din mers (On-the-job-training) pentru utilizatorii cheie ai beneficiarului, prin implicarea lor in diferite etape ale proiectului.
Atat operatorii aplicatiilor, ai contact center-ului si ai sistemului integrat de mediu precum si administratorii acestuia necesita training-uri autorizate de producator pentru aplicatiile si tehnologiile cuprinse in SIM.
Programele de training vor fi derulate conform unui project plan propus de catre Furnizor si va cuprinde cel putin urmatoarele module:
Nr |
Curs |
Numar persoane |
Numar zile |
|
1 |
Configurare Access Securizat pentru echipamentele de retea tip firewall/VPN |
6 |
5 |
|
2 |
Configurare Acces Securizat pentru echipamentele de retea |
6 |
5 |
|
3 |
Curs echipamente Token |
6 |
3 |
|
4 |
|
10 |
5 |
|
5 |
|
6 |
5 |
Cursurile trebuie sa fie autorizate de producatorul echipamentelor in cauza si sa fie condus de un trainer certificat. O descriere a fiecarui curs in parte va fi anexata ofertei.
Echipa de Implementare
Echipa de implementare trebuie sa indeplineasca urmatoarele conditii:
Nr |
Certificare |
Numar persoane |
Obs |
1 |
ISACA Certified Information Security Manager (CISM) |
1 |
|
2 |
Certified Information Systems Security Professional (CISSP) |
1 |
|
3 |
Microsoft Certified (MCSE Security, MCDBA, MCT, MCSD, MCP) |
1 |
|
4 |
ISO/IEC 27001 (replacing BS 7799) Lead Auditor |
1 |
|
5 |
Project Manager Proffessional (PMP) |
1 |
|
O copie ale fiecarei certificari va fi anexata ofertei. Se va prezenta si structura organizationala a echipei in format flow-chart anexata planului de proiect.
Capacitatea tehnica si profesionala ????
1 Capacitatea tehnica si / sau profesionala a unui ofertant se va aprecia in functie de experienta, eficienta si eficacitate. In acest sens ofertantul va remite urmatoarele documente:
2 Fisa de informatii generale – Formularul B3;
3 Autorizare – Formularul BDe asemena, ofertantul va remite un document scris din partea producatorului din
care sa reiasa ca este reprezentant legal autorizat in
4 Experienta similara – Formularul B6 pentru ultimii 3 ani; Orice fisa referitoare la un contract incheiat cu un achizitor/client din Romania trebuie sa fie insotita de recomandarea din partea achizitorului/clientului respectiv
5 Lista cu subcontractantii insotita de acordul de subcontractare conform Formular B7; subcontractantii care urmeaza sa indeplineasca mai mult de 10% (in exprimare valorica) din contractul de achizitie publica trebuie sa completeze cu propriile date Formularul B
6 Documente emise de organisme acreditate, care confirma certificarea sistemului calitatii si mediului. Ofertantul va avea implementat standardul ISO 9001:2000
7 Dovezi privind functionarea sistemului de managementul calitatii si mediului:
a) descrierea sistemului de managementul calitatii cu precizarea particularitatilor de aplicare la lucrarile care fac obiectul ofertei;
b) certificatul sistemului de managementul calitatii si mediului; Pentru furnizare de produse : certificatul sistemului de managementul calitatii al producatorului si al distribuitorului, sau informatii privind stadiul implementarii acestuia.
8 Dosar numit „CERTIFICAREA TEHNICO-MANAGERIALA”, in care sunt prezentate documentele referitoare la implementare.
Documente necesare:
(1) Programului de Management Calitatii
(2) Programului de Management de Mediu;
(3) Tratarea Riscului (identificare, evaluare, management);
(4) Securitatea informatiilor sistemului;
(5) Recomandari din partea altor achizitori / clienti – minim 2, care trebuie sa cuprinda:
modul de indeplinire al obligatiilor;
neconformitati care au condus la refaceri partiale sau totale de lucrari;
cazuri de accidente tehnice produse din vina exclusiva a contractantului;
receptii amanate sau respinse;
(6) declaratii privind dotarile specifice, utilaje, echipamente, mijloace de transport, etc, pe care ofertantul se angajeaza sa le utilizeze pentru indeplinirea contractului; se va completa Formular B9.
(7) declaratii privind informatii cu personalul angajat si al cadrelor de conducere – Formular B10. Se vor remite CV-urile acestor persoane cat si ale altor specialisti cu sarcini cheie pentru indeplinirea contractului. In cazul asocierii se vor prezenta cele de mai sus pentru toti partenerii asociati.
(8) Declaratie pe propria raspundere ca echipamentele livrate vor fi noi, fabricate cu maxim 6 luni inainte de data livrarii, ca sunt identice cu cele prezentate pe paginile web ale producatorilor.
(9) Documente (autorizatii) pentru furnizarea legala a componentelor software ale produselor comercializate (inclusiv licente);
(10) Angajamentul ferm al ofertantului din care sa rezulte ca in cazul in care va fi declarat castigator indeplineste urmatoarele conditii:
prezentarea unui call-center pentru preluarea nefunctionalitatilor;
suport tehnic de specialitate conform conditiilor contractuale.Se vor mentiona in clar si detaliat pe niveluri de suport pe care le ofera, conform cerintelor din caietul de sarcini
remedierea defectiunilor hardware si software (repararea sau inlocuire a echipamentelor) aparute in perioada de garantie se va efectua in maxim 24 de ore de la data sesizarii acestora.
(11) Toate echipamentele de acelasi tip facand parte din aceasi solutie oferite in cadrul acestui contractului trebuie sa parvina de la acelasi producator.
(12) Autorizare pentru livrarea produselor si implementarea licentelor
Obligativitatea prezentarii Formularului B5 de catre ofertanti, in vederea realizarii “Sistemului Integrat de Mediu” si care vor furniza integral sau partial echipamentele enumerate in Documentatia tehnica.
De asemenea, ofertantul va remite
un document scris din partea producatorului din care sa reiasa ca este
reprezentantul legal autorizat in
Cerinte pentru consumabile
In cadrul acestui proiect nu se specifica explicit consumabilele pentru dispozitivele livrate. Ofertantul trebuie sa puna la dispozitie la livrarea fiecarui dispozitiv consumabilele necesare functionarii acestuia. Consumabilele vor fi parte integranta din livrarea respectiva, fiind nealterate (neincepute).
Copyright © 2024 - Toate drepturile rezervate