Unterstützungsleistungen für den Bereich Netzsicherheit und Infrastruktur (ANÜ) Referenznummer der Bekanntmachung: VG-3000-2022-0071
Bekanntmachung vergebener Aufträge
Ergebnisse des Vergabeverfahrens
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Wiesbaden
NUTS-Code: DE7 Hessen
Postleitzahl: 65185
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://vergabe.hessen.de
Abschnitt II: Gegenstand
Unterstützungsleistungen für den Bereich Netzsicherheit und Infrastruktur (ANÜ)
ANÜ- Administratoren im Bereich Netzsicherheit und Infrastrukturdienste. Die Einsatzschwerpunkte sind die Entstörung im Rahmen des Incident Managements sowie die Implementierung von Standardchanges im Rahmen des Change Managements.
Hessische Zentrale für Datenverarbeitung
Mainzer Straße 29
65185 Wiesbaden
Umfang / Volumen der Ausschreibung Um die Unterstützung abrufen zu können, wird ein Rahmenvertrag für die Vergabe von bis zu 3.520 Personenstunden pro Vertragsjahr angestrebt. Zur ständigen Unterstützung durch Leiharbeitnehmer wird von einer durchschnittlichen wöchentlichen Stundenzahl von 40 Stundeneines einzelnen Leiharbeitnehmer ausgegangen. Der Auftraggeber verpflichtet sich zu einer Mindestabnahmemenge von 2.400 Personenstunden je Vertragsjahr . Als Leistungsbeginn wird der 01.Februar 2023 angestrebt. Technische Rahmenbedingungen Technik In der Verantwortung des Teams Netzwerksicherheit und Infrastrukturdienste liegt der Betrieb der Absicherung von Netzübergängen im LAN und WAN-Umfeld. Diese "Sicherheits-Gateways" umfassen u.a. den Internetzugang, Zugänge zu Fremdnetzen, Sicherung von internen Netzzonen und Absicherung von Kundenlokationen. Eine weitere Aufgabe des Teams ist der Betrieb einer sicheren Mailkommunikation zwischen dem Landesnetz, dem Internet und Fremdnetzen. Dazu gehört auch der Betrieb eines zentralen DNS-Dienstes. Für diese Aufgaben wurde in der HZD eine Infrastruktur von Firewallsystemen, Mailrelaysystemen, DNS-Servern und Proxyservern aufgebaut. Die Administration dieser Systeme liegt in der Verantwortung des Teams Netzwerksicherheit und Infrastrukturdienste. Für den Betrieb der Firewallsysteme sind hauptsächlich Checkpoint Firewalls im Einsatz. Hier werden nach bestimmten Vorgaben und Sicherheitsrichtlinien Firewallregelwerke implementiert. Diese regeln die Zugriffe zwischen den Netzwerken. Bei den Checkpoint Firewalls werden unterschiedliche Features genutzt. Die Firewalls werden zentral über ein Multi-Domain Security Management System administriert. Die meisten Systeme werden aufgrund der Ausfallsicherheit als active-passive-Cluster (VRRP) betrieben. Für die Firewalls wird das Checkpoint-Betriebssystem GAIA verwendet. Neben statischem Routing ist auch das dynamische Routing-Protokoll OSPF im Einsatz. Antispoofing ist bei den Firewalls grundsätzlich konfiguriert. Zwischen den Gateways existieren auch Ende zu Ende Verschlüsselung mit Hilfe von IPSec-VPN. Des Weiteren sind auch das IPS-Blade, ApplicationControl-Blade und zukünftig Identity Awareness Blade der Checkpoint-Software im Einsatz. Für die Bereitstellung des Internetzugangs werden http-Proxys mit dem aktuellen Produkt Broadcom ProxySG (Bluecoat) und der Applikation squid (auch als HA-Cluster) betrieben. Eventuell wird nach Neuausschreibung in einem Jahr ein anderes Produkt im Einsatz sein. Für den zentralen DNS-Dienst Linux-Server mit ISC BIND genutzt. Zur Sicherstellung der zentralen Mailkommunikation wird unter dem Betriebssystem Linux (SUSE) der MTA (Mail Transfer Agent) Postfix mit diversen Anti Spam Maßnahmen verwendet. Service Management Prozesse Die HZD hat u.a. folgende IT Service Management Prozesse nach dem ITIL Framework in der Version 2 und 3 etabliert, die in diesem Zusammenhang relevant sind: Die Prozesse werden aktuell durch ein toolbasiertes System auf Basis ARS Remedy unterstützt. Dies befindet sich zur Zeit in Migration nach Cherwell. Die Prozesse werden aktuell mit Ausnahme des Configuration Management durch ein toolbasiertes System auf Basis ARS Remedy unterstützt. Dieser Ansatz wird nach einander in den einzelnen Prozesse auf die neue Lösung Cherwell migriert. Konkret wird das Incident Management in Q4 / 2022 migriert. Das Change Management wird danach folgen, ein konkreter Migrationstermin ist noch nicht absehbar. Das Configuration Management ist nicht betroffen. Incident Management Im Team Netzwerksicherheit und Infrastrukturdienste besteht die Aufgabe einer Störungsbearbeitung (2nd-Level Support) im Rahmen des Incident Management. Die Tickets des Ticketsystems werden entweder automatisch erzeugt oder bei einer Störungsmeldung durch den Service Desk oder andere Fachgruppen erstellt. Die Aufgabe des Teams ist die Analyse des Incidents und die schnellstmögliche Wiederherstellung des Service. Hierzu können über das Ticketsystem andere Fachbereiche zur Lösung des Vorfalles hinzugezogen werden. Change Management Änderungen an den Systemen und Firewallregelwerken werden durch das Change Management gesteuert. Configuration Management Die Konfiguration der betreuten Komponenten wird in einem Configuration Management gesteuert. Der Prozess wird durch das aktuelle ITSM-Werkzeug unterstützt, sowie von Konfigurationsverwaltungstools auf Basis von herstellerspezifischen Managementumgebungen (z.B. Checkpoint Multi-Domain Security-Management) und eines Wikis durchgeführt. Teamorganisation Personelle Ausstattung Das Betriebsteam besteht aus 8 internen Mitarbeitern. Die Leiharbeitnehmer unterstützen dieses Team in seiner Arbeit. Das Team wird durch eine Team- und Gesamtbetriebsleitung geführt. Organisation und Steuerung Die Team-Organisation und Steuerung wird durch den Gesamtbetriebsleiter wahrgenommen. Innerhalb des Teams gibt es personenbezogene inhaltliche Schwerpunkte. Die Teammitglieder können sich fachlich gegenseitig vertreten. Das Team orientiert sich an den ITIL-Prozessen Als wichtigste Prozesse sind Incident, Change und Configuration Management zu nennen. Die Güteüberwachung erfolgt über ein internes Qualitätsmanagementsystem. Arbeitszeiten Die Leiharbeitnehmer haben grundsätzlich eine wöchentliche Arbeitszeit von 40 Stunden (bei täglicher Arbeitszeit von 8 Stunden, max. 10 Stunden, zzgl. Pausen) von Montag bis Freitag. Die regelmäßige tägliche Arbeitszeit soll Montag bis Freitag zwischen 08:00 Uhr und 16:30 Uhr abgeleistet werden. Soweit es aus dienstlichen Gründen erforderlich ist, können im Einzelfall zwischen dem Entleiher und dem Leiharbeitnehmer hiervon abweichende Arbeitszeiten vereinbart werden. Sofern die oben genannten Arbeitszeiten dem dienstlichen Zweck des gesamten geschlossenen Arbeitnehmerüberlassungsvertrags (Einzelauftrag) entgegenstehen, können bereits im Einzelauftrag abweichende regelmäßige Arbeitszeiten vereinbart werden. Die Arbeitszeiten sind dann innerhalb des folgenden Zeitrahmens festzusetzen: Montag bis Freitag 6:00 - 21:00 Uhr Die so geregelte wöchentliche Arbeitszeit soll insgesamt ebenfalls 40 Stunden betragen. Arbeiten außerhalb der Geschäftszeiten und Wartungsfenster: Die Leiharbeitnehmer sollen bei Bedarf in geringem Umfang auch Rufbereitschaften und Arbeiten in Wartungsfenstern außerhalb der Geschäftszeiten oder an Wochenenden nach kurzfristiger, schriftlicher Ankündigung übernehmen können. Das Wartungsfenster für Wartungsarbeiten ist dienstags von 18:00 Uhr bis 22:00 Uhr. In Einzelfälle finden Wartungen auch in davon abweichenden Zeitfenstern statt. Arbeitsumfeld/ Arbeitsorganisation Den Leiharbeitnehmern werden durch die HZD grundsätzlich der Arbeitsplatz und entsprechende Arbeitsmittel gestellt. Die Leistungen werden durch die fachlich verantwortlichen Personen beauftragt und die Umsetzung durch diese überprüft. Die Leiharbeitnehmer sind grundsätzlich entsprechend den fachlichen Notwendigkeiten in die Prozesse des Auftragsgebers mit eingebunden. Beschreibung der Leistung Die Arbeitsschwerpunkte der angeforderten Leistung für einen Security Administrator liegen in der Umsetzung von Änderungen auf Basis von Change Requests auf Sicherheitskomponenten sowie der Bearbeitung und Analyse von Störungsmeldungen in den Themengebieten: • Firewall Systeme: Checkpoint • Linux: SLES und OpenSUSE • Mailrelay Systeme: Postfix • DNS: ISC-BIND • Proxy: Broadcom ProxySG (Bluecoat), SQUID Unterstützung bei der Administration der in der HZD eingesetzten Sicherheitskomponenten. Konkret gefordert sind Leistungen im Rahmen des Incident Manangement und des Change Management. Die Leiharbeitnehmer müssen in der Lage sein, folgende Aufgaben ITIL-konform auszuführen: Incident Management -Diagnose von Störungen über Managementwerkzeuge oder direkten Zugriff auf die Komponenten -Lösung der Störungen oder qualifizierte Weiterleitung an andere Fachgruppen des AG - Kommunikation und ggf. Eskalation zu Kunden, Service Providern, Service Partnern des AG oder anderen Fachgruppen des AG - Die Aufgabe umfasst im einzelnen folgende Tätigkeiten >Detaillierte Diagnose im 2nd Level Support > Störungsbehebung durch schnellst mögliche Wiederherstellung des Services > Dokumentation im Trouble Ticket System und den Service Dokumenten im Configuration Management Change Management -Teilnahme am allgemeinen Change Prozess der HZD - Durchführung von (Standard-)Änderungen an den eingesetzten Sicherheitskomponenten nach Vorgabe der HZD - Typische Beispiele für Standard Änderungen sind: > Anpassung der Regelwerke von Firewalls anhand vorgegebener Metriken (Quelle, Ziel, Port, Protokoll) > Anpassung von DNS Einträgen > Eintrag von VPN Verbindungen > Anpassen der Dokumentation Zwingende Qualifikationen sind: • Beherrschung der Deutschen Sprache fließend in Wort und Schrift Es wird eine mind. dreijährige Berufserfahrung in jedem der folgenden Gebieten einer Enterprise-Umgebung erwartet: • Netzwerkprotokollfamilie TCP/IP, insbesondere Routing, VLAN und Layer-7 Protokolle • Betrieb von Firewalls, insbesondere Checkpoint Systeme ab R77 • ITIL-ITSM Incident, Change und Problem Management Prozesse • Bearbeitung und Troubleshooting von Störungen im Incident Management Es wird eine mindestens zweijährige Berufserfahrung in jedem der folgenden Gebieten einer Enterprise-Umgebung erwartet: • Linux, insbesondere SUSE • SMTP Mail Transfer Agenten, insbesondere Postfix • Proxy Dienste, insbesondere SQUID • Domain Name Service Dienste, insbesondere ISC Bind Über die erbrachte Leistung ist nach Vorgabe des Auftraggebers ein monatlicher Leistungsnachweis zu führen. Dieser Nachweis ist dem Rahmenvertrag beigefügt. In der Regel enthält dieser tagesgenaue Aufzeichnungen über die verbrauchte Zeit (stundengenau) und die dort durchgeführte Tätigkeit. Die Nachprüfung des Leistungsnachweises erfolgt durch den zuständigen Projekt- bzw. Bereichsleiter. Der Leistungsnachweis ist Anlage der monatlichen Rechnung.
Die Leistungen aus der Rahmenvereinb. können bis zu einem Höchstwert von 1.626.000,00 Euro (netto) bei einer max. Laufzeit von 4 Jahren abgerufen werden. Ist dieser Höchstwert erreicht, endet die Rahmenvereinb., ohne dass es einer ges. Kündigung bedarf. Die Möglichkeit des AG in den Grenzen des § 132 GWB Auftragserweiterungen vor Erreichen der Höchstmenge vorzunehmen bleibt hiervon unberührt.
Abschnitt IV: Verfahren
Abschnitt V: Auftragsvergabe
Unterstützungsleistungen für den Bereich Netzsicherheit und Infrastruktur (ANÜ)
Postanschrift:[gelöscht]
Ort: Frankfurt am Main
NUTS-Code: DE712 Frankfurt am Main, Kreisfreie Stadt
Postleitzahl: 60327
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Abschnitt V: Auftragsvergabe
Unterstützungsleistungen für den Bereich Netzsicherheit und Infrastruktur (ANÜ)
Postanschrift:[gelöscht]
Ort: Ismaning
NUTS-Code: DE21 Oberbayern
Postleitzahl: 85737
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Abschnitt V: Auftragsvergabe
Unterstützungsleistungen für den Bereich Netzsicherheit und Infrastruktur (ANÜ)
Postanschrift:[gelöscht]
Ort: Frankfurt am Main
NUTS-Code: DE712 Frankfurt am Main, Kreisfreie Stadt
Postleitzahl: 60486
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Abschnitt VI: Weitere Angaben
Postanschrift:[gelöscht]
Ort: Darmstadt
Postleitzahl: 64283
Land: Deutschland
Telefon: [gelöscht]
Fax: [gelöscht]