Acesse a página inicial

Menu principal
 

 Para imprimir o texto da consulta sem formatação, clique em IMPRIMIR no final da página.
Para visualizar os dados, clique em DADOS DA CONSULTA

CONSULTA PÚBLICA Nº 39
    Introdução






    Termo de Referência

    1)      OBJETO

    1.1        Contratação de empresa para fornecimento de SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO PARA DAR SUPORTE ÀS ATIVIDADES DE GESTÃO DE RISCO RELACIONADAS À SEGURANÇA DAS INFRAESTRUTURAS CRÍTICAS DE TELECOMUNICAÇÕES, composto de software, hardware e materiais acessórios para sua instalação, sistema operacional, serviços de metodologia, modelo de gestão de tratamento e resposta a incidentes, gestão de risco, treinamento, documentação, operação assistida e suporte manutenção e, com foco prioritariamente nas sedes dos próximos grandes eventos esportivos internacionais para atender a necessidade da Anatel.

    2)      FUNDAMENTAÇÃO DA CONTRATAÇÃO

    2.1        O governo federal assinou compromissos com a FIFA – Federação Internacional de Futebol Associada, em 2007, dentro do processo de escolha do país que iria sediar a Copa de 2014. Neste acordo, o país se comprometeu em atender 11 obrigações que vão desde isenções tributárias, questões trabalhistas, segurança, proteção e aspectos de telecomunicações e tecnologia da informação. A 11ª garantia assinada pelo Governo Federal para este Grande Evento Internacional visa garantir a segurança e o uso das redes e serviços de telecomunicações de interesse coletivo por  modernos sistemas e tecnologias atualizados, disponibilizados e apropriados para a demanda da Copa.

    2.2        Em atendimento às necessidades apresentadas pela FIFA e pela União, a Anatel criou o Grupo de Trabalho para os Grandes Eventos Internacionais, formalizado pela Portaria nº 470, de 2 de junho de 2011. Esse Grupo de Trabalho foi criado com o intuito de assessorar o Conselho Diretor da Anatel na gestão da infraestrutura para os grandes eventos internacionais compreendidos entre 2011 e 2016, incluindo no âmbito dos trabalhos a Copa das Confederações de 2013, a Copa do Mundo em 2014 e as Olimpíadas de 2016 que serão realizados no país.

    2.3        Dentro do GT, que conta com a participação de diversas áreas da Agência, criou-se o Projeto Setor, que visa garantir a construção por parte das prestadoras uma infraestrutura de alto desempenho compatível com as necessidades de comunicações que demandam alto tráfego de dados e voz, qualidade e acesso a todos os usuários dos principais serviços outorgados. O Projeto Setor é composto por diversos subprojetos, dentre os quais se encontra o Projeto de Segurança de Infraestruturas Críticas de Telecomunicações. Desta forma, o objetivo estratégico deste projeto é atender à demanda nacional nos compromissos assumidos entre a FIFA e o Brasil.

    2.4        O Projeto de Segurança de Infraestruturas Críticas de Telecomunicações (SIEC) tem como necessidade corporativa da Anatel identificar e avaliar os riscos que possam afetar a segurança das redes de infraestruturas críticas de telecomunicações e que possam prejudicar a qualidade dos serviços de telecomunicações, com foco inicial nos grandes eventos internacionais. Para tanto, pretende-se que o processo para gestão de riscos a ser usado pela Anatel esteja de acordo com a Norma ABNT NBR ISO 31000:2009 – Gestão de riscos – Princípios e diretrizes. Além disso, o processo para gestão de riscos também deve incorporar Regulamentação específica em elaboração no âmbito deste projeto.

    2.5        Portanto, almeja-se introduzir um ambiente preventivo para o controle da qualidade e dos investimentos em rede, melhorando a percepção do usuário quanto aos serviços de telecomunicações, antecipando interrupções e bloqueios na prestação dos serviços.

    2.6        Para a implementação do processo de gestão de riscos faz-se necessário o tratamento de grande quantidade de dados obtidos das prestadoras e das fiscalizações realizadas pela Anatel. Deste modo é necessária a disponibilização de uma Solução e de serviços associados (como operação assistida) que operacionalizem a gestão de riscos, bem como a infraestrutura que dê o suporte necessário à solução.

    2.7        O Projeto Setor está previsto no Plano Diretor de Tecnologia da Informação - PDTI, no subitem 22.3.9.6, sob o qual o projeto de segurança da infraestrutura crítica está denominado, constando do item 22.3.9.6.1.

    2.8        Atualmente a Anatel não conhece, de forma sistemática, o risco de segurança associado a todas as infraestruturas críticas de telecomunicações. Além do mais, não há normas dentro da Agência que estabeleçam requisitos para o gerenciamento dos riscos relacionados à segurança das infraestruturas críticas de telecomunicações. Com a aproximação dos próximos grandes eventos internacionais, aumentam a probabilidade de ameaças e incidentes na segurança em função da maior exposição do país no âmbito internacional. Portanto, faz-se necessária a ação da Agência no sentido de identificar e minimizar tais riscos.

    2.9        Destaca-se que o tema de Infraestrutura Crítica já vem sendo tratado no âmbito da Anatel há alguns anos. A Portaria da Anatel nº 222, de 12 de março de 2007, criou Grupo de Trabalho para tratar deste tema, em função do projeto de Proteção de Infraestrutura Crítica de Telecomunicações (PICT), que foi executado pela Fundação CPqD, no período de 2007 até 2009, com recursos do Fundo para o Desenvolvimento Tecnológico das Telecomunicações (Funttel).

    2.10    O projeto PICT foi formalizado por meio do Convênio MC nº 007/2005, e seus aditivos, celebrado entre a União, por intermédio do Ministério das Comunicações e a Fundação CPqD. Dentre os principais resultados obtidos pelo projeto PICT, destacam-se:

    2.10.1    Identificação da Infraestrutura Crítica de Telecomunicações no escopo dos jogos Pan-Americanos de 2007. Os resultados obtidos subsidiaram o planejamento da segurança da infraestrutura de telecomunicações utilizada durante os XV Jogos Pan-americanos;

    2.10.2    Contextualização sobre o tema no mundo. Esse estudo direcionou a estratégia nacional de proteção de infraestrutura crítica e contribuiu para o fomento à criação de grupos de trabalho na esfera do governo federal;

    2.10.3    Desenvolvimento do sistema de proteção de infraestrutura crítica de telecomunicações.

    2.11    No âmbito do Governo Federal, o tema da Segurança das Infraestruturas Críticas também vem sendo tratado por vários órgãos. A Câmara de Relações Exteriores e Defesa Nacional (CREDEN) instituiu Grupo Técnico de Segurança de Infraestruturas Críticas (GTSIC) para estudar e propor a implementação de medidas e de ações relacionadas com a segurança das infraestruturas críticas nas áreas de energia, transporte, água e telecomunicações, por meio da Resolução nº 2, de 24 de outubro de 2007. Compete à CREDEN formular políticas e diretrizes de matérias relacionadas com a área das relações exteriores e defesa nacional do Governo Federal, de acordo com o Decreto nº 4.081, de e 6 de agosto de 2003.

    2.12    A Portaria nº 2, de 8 de fevereiro de 2008 do Gabinete de Segurança Institucional da Presidência da República (GSIPR) definiu as atribuições dos GTSICs. A Portaria Interministerial nº 16 – GSIPR/CH, de 18 de julho de 2008, assinada pelo Ministro de Estado Chefe do Gabinete de Segurança Institucional da Presidência da República e pelo Ministro de Estado das Comunicações, instituiu o Grupo Técnico de Segurança de Infraestrutura Crítica das Telecomunicações (GTSIC – Telecom) composto pelo GSIPR, Ministério das Comunicações, Agência Nacional de Telecomunicações (Anatel) e outros órgãos e especialistas convidados pelo GTSIC – Telecom.

    2.13    O Gabinete de Segurança Institucional da Presidência da República instituiu o Subgrupo Técnico de Segurança de Infraestruturas Críticas de Radiodifusão (SGTSIC – Radiodifusão) e o Subgrupo Técnico de Segurança de Infraestruturas Críticas de Telecomunicações (SGTSIC – Telecomunicações), por meio das Portarias nº 4 e 5 – GSIPR/CH, de 27 de janeiro de 2009. Encontra-se em elaboração, pelo GSIPR, proposta de Decreto que aprova o Plano Nacional de Segurança de Infraestruturas Críticas (PNSIEC).

    2.14    De acordo com o Art. 2º da Portarias nº 5 GSIPR/CH, consideram-se IEC (Infraestruturas Críticas) as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.

    2.15    São atribuições do SGTSIC – Telecomunicações, conforme Art. 6º, da Portaria nº 5 – GSIPR/CH:

    I - pesquisar e propor um método de identificação de IEC;

    II - identificar as IEC;

    III - levantar e avaliar as vulnerabilidades das IEC identificadas e sua interdependência;

    IV - selecionar as causas e avaliar os riscos que possam afetar a segurança das IEC;

    V - propor, articular e acompanhar medidas necessárias à segurança das IEC; e

    VI - estudar, propor e implementar um sistema de informações que conterá dados atualizados de IEC para apoio a decisões. (grifo nosso).

    2.16    No âmbito internacional, a preocupação com a segurança cibernética e com as infraestruturas críticas já vem sendo posta em pauta. Em 2002 e 2004, foram aprovadas, pelas Nações Unidas, as Resoluções UN 57/239 e 58/199 sobre a “Criação de uma cultura sobre segurança cibernética” e sobre a “Proteção da infraestrutura crítica da informação”.

    2.17    Na WSIS (Cúpula Mundial da Sociedade da Informação) a UIT ficou encarregada de atuar como um facilitador da Linha de Ação C5 da WSIS na “Construção de confiança e segurança no uso das TIC (tecnologias de informação e comunicação)”.

    2.18    A Resolução 71 da Conferência de Plenipotenciários da UIT (Antalya, 2006), definiu o Plano Estratégico da UIT para 2008-2011. A meta 4 deste Plano definiu que a UIT deveria envolver-se no “desenvolvimento de ferramentas, com base nas contribuições dos Estados-membros, para promover a confiança do usuário final, e para salvaguardar a eficiência, segurança, integridade e interoperabilidade das redes”, com a definição de eficiência e segurança das redes de informação e comunicação contendo: inter alia, spam, crime cibernético, vírus, worms e ataques de negação de serviços.

    2.19    Como facilitador da Linha de Ação C5 da WSIS, a UIT iniciou as atividades da Agenda Global de Segurança Cibernética (GCA – Global Cybersecurity Agenda) em 17 de maio de 2007. Desenhada como um fórum internacional para cooperação e resposta, a GCA foca na construção de parcerias e colaboração entre todos os atores relevantes na luta contra as ameaças cibernéticas. A GCA definiu cinco pilares estratégicos, também chamados de áreas de trabalho: medidas legais, medidas técnicas e procedimentais, estruturas organizacionais, construção de capacidades e cooperação internacional.

    2.20    As “medidas legais” são focadas em como conduzir os desafios legislativos devido às atividades criminosas cometidas nas redes de TIC de uma maneira internacionalmente compatível. As “medidas técnicas e procedimentais” focam nas medidas chave para promover a adoção de abordagens avançadas para melhorar a segurança e a gestão do risco no espaço cibernético, incluindo esquemas de acreditação, protocolos e padrões. As “estruturas organizacionais” são focadas na prevenção, detecção, resposta e gerenciamento de crises dos ataques cibernéticos, incluindo sistemas de proteção da infraestrutura crítica da informação. A “construção de capacidades” é focada na elaboração de estratégias para a construção de capacidades para aumentar a conscientização, transferir conhecimento e melhorar a segurança cibernética na agenda de política nacional. Finalmente, a “cooperação internacional” é focada na cooperação internacional diálogo e coordenação na lida como as ameaças cibernéticas.

    2.21    Desta forma, o tema Segurança de Infraestruturas Críticas nas Telecomunicações tem sido amplamente discutido em âmbito nacional e internacional. Porém, a Anatel ainda não possui uma estrutura interna para gerenciar os riscos associados às redes e serviços de telecomunicações.  Portanto, mostra-se necessária a atuação da Anatel neste campo, evidenciado pela necessidade trazida pelos grandes eventos internacionais, quando eventuais ataques às redes tornam-se mais propensos e a administração de desastres passa a ser imperativo. Destaca-se também a necessidade de manutenção da qualidade dos serviços, diminuindo questões de interrupções, que terá sua gestão aprimorada com o desenvolvimento do Projeto e questão.

    3)      BENEFÍCIOS E OBJETIVOS DA CONTRATAÇÃO

    3.1        Benefícios da contratação: 

    3.1.1        Possibilitar à Agência implantar gestão dos riscos envolvidos nas redes e na prestação dos serviços de telecomunicações.

    3.1.2        Permitir o monitoramento dos riscos associadas à prestação dos serviços de telecomunicações durante os grandes eventos internacionais, com destaque à Copa do Mundo.

    3.1.3        Possibilitar o atendimento de atribuição do Subgrupo Técnico de Segurança de Infraestruturas Críticas de Telecomunicações do Gabinete de Segurança Institucional da Presidência da República.

    3.2        Objetivos da contratação:

    3.2.1        Identificar as infraestruturas críticas de telecomunicações, com prioridade para as sedes dos grandes eventos internacionais;

    3.2.2        Identificar, analisar e avaliar os riscos que possam afetar a segurança das infraestruturas críticas de telecomunicações, com prioridade para as sedes dos grandes eventos internacionais;

    3.2.3        Acompanhar o tratamento dos riscos identificados;

    3.2.4        Monitorar a resposta a incidentes on line.

    4)      DESCRIÇÃO DA SOLUÇÃO DE TECNOLOGIA DA INFORMAÇÃO

    4.1        A solução de TI que dará suporte às atividades de gestão de risco relacionadas à segurança das infraestruturas críticas de telecomunicações terá como foco prioritário as sedes dos próximos grandes eventos esportivos internacionais, de modo a atender a necessidade da Anatel.

    4.2        Conforme detalhado no Anexo A, a solução de TI é composta pelos seguintes itens:

    1       SOFTWARE PARA GOVERNANÇA, RISCO, CONFORMIDADE E MONITORAMENTO DAS REDES DE TELECOMUNICAÇÕES

    1.1    Módulo de Análise e Avaliação

    1.2    Módulo de Painel de Controle

    1.3    Modulo de Tratamento

    1.4    Módulo de Conformidade

    1.5    Módulo de Redes

     

    2       SERVIÇOS ASSOCIADOS AO SOFTWARE

    2.1    Metodologia de Gestão de Riscos

                       - Processo de Gestão de Riscos - Serviços de telecomunicações

                       - Processo de Gestão de Riscos - Redes de telecomunicações

                       - Projeto Piloto - Copa das Confederações

                       - Projeto Piloto - Copa do Mundo

    2.2    Modelo de Gestão de Tratamento e Respostas a Incidentes de Segurança da Infraestrutura Crítica de Telecomunicações

    2.3    Gestão de Riscos

                       - Contexto de Serviços de telecomunicações

                       - Contexto de Redes de telecomunicações

                       - Projeto Piloto - Copa das Conderações

                       - Projeto Piloto  - Copa do Mundo

    2.4    Treinamento

                       - Treinamento Inicial - 40 horas (1 turma de 10 pessoas)

                       - Treinamento Operacional - 24 horas (4 turmas de 20 pessoas)

                       - Treinamento Avançado - 40 horas (1 turma de 12 pessoas)

                       - Treinamento Estratégico - 4 horas (1 turma de 20 pessoas)

    2.5    Operação Assistida

     

    3       SUPORTE E MANUTENÇÃO

     

    4       HARDWARE E SISTEMA OPERACIONAL

     

     

    5)      REQUISITOS DA SOLUÇÃO

    5.1              Durante as pesquisas por contratações similares no âmbito de outros órgãos Administração Pública Federal, foram identificas as seguintes:

    5.1.1        Ata de Registro de Preços nº 4/2011 – “Registro de preços para a contratação de serviços técnicos especializados para a execução de Projeto de Governança, Risco e Conformidade do Ministério de Trabalho e Emprego”- MTE.

    5.1.2        Contrato nº 103/2011 da Agência Nacional de Águas – ANA, que tem como objeto a execução de Projeto de Governança, Risco e Conformidade, em adesão à Ata de Registro de Preço nº 4/2011 do MTE.

    5.1.3        Ata de Registro de Preços nº 3/2012 - “Registro de preços para a contratação de Solução de Tecnologia da Informação que possibilite a execução de Projeto de Governança, Risco e Conformidade do Ministério de Desenvolvimento, Indústria e Comércio Exterior – MDIC”.

    5.2              Embora esses Órgãos e Entidades da Administração Pública Federal possuam uma solução de Governança, Risco e Conformidade, estas soluções são voltadas às atividades de gestão de risco em tecnologia da informação e pessoal e não contemplam as necessidades específicas do setor de telecomunicações. Estas soluções não incluem o módulo de redes que, apesar de ser uma solução comum no mercado, é usada para fins de gestão de rede de telecomunicações e não utilizada ainda pela Administração Pública.

    5.3              A Especificação Técnica da Solução de gestão de riscos para segurança das infraestruturas críticas de telecomunicações, consta no ANEXO A deste Termo de Referência.

    5.4           Foram consideradas para elaboração deste Termo de Referência:

    5.4.1             Lei Federal nº 8.666/1993: Institui normas para licitações e contratos da Administração Pública e dá outras providências;

    5.4.2             Lei Geral das Telecomunicações – LGT, Lei nº 9.472 de 16 de julho de 1997.

    5.4.3             Lei Federal nº 10.520/2002: Institui no âmbito da União, Estados, Distrito Federal e Municípios, modalidade de licitação denominada pregão, para aquisição de bens e serviços comuns, e dá outras providências;

    5.4.4             Lei Complementar nº 123/2006: Institui o Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte; altera dispositivos das Leis no 8.212 e 8.213, ambas de 24 de julho de 1991, da Consolidação das Leis do Trabalho - CLT, aprovada pelo Decreto-Lei no 5.452, de 1o de maio de 1943, da Lei no 10.189, de 14 de fevereiro de 2001, da Lei Complementar no 63, de 11 de janeiro de 1990; e revoga as Leis no 9.317, de 5 de dezembro de 1996, e 9.841, de 5 de outubro de 1999.

    5.4.5             Decreto nº 2.271/1997: Dispõe sobre a contratação de serviços pela Administração Pública Federal direta, autárquica e fundacional e dá outras providências.

    5.4.6             Decreto nº 3.555/2000: Aprova o Regulamento para a modalidade de licitação denominada pregão, para aquisição de bens e serviços comuns;

    5.4.7             Decreto nº 5.450/2005: Regulamenta o pregão, na forma eletrônica, para aquisição de bens e serviços comuns, e dá outras providências;

    5.4.8             Decreto nº 6.204/2007: Regulamenta o tratamento favorecido, diferenciado e simplificado para as microempresas e empresas de pequeno porte nas contratações públicas de bens, serviços e obras, no âmbito da administração pública federal.

    5.4.9             Decreto nº 7.174/2010: Regulamenta a contratação de bens e serviços de informática e automação pela administração pública federal;

    5.4.10         Instrução Normativa SLTI nº 04/2010: Dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal;

    5.4.11         Instrução Normativa SLTI nº 01/2010: Dispõe sobre os critérios de sustentabilidade ambiental na aquisição de bens, contratação de serviços ou obras pela Administração Pública Federal direta, autárquica e fundacional e dá outras providências.

    5.4.12         Instrução Normativa SLTI/MP nº 02/2008: dispõe sobre regras e diretrizes para a contratação de serviços, continuados ou não.

    5.4.13         Norma ABNT NBR ISO 31000:2009: gestão de riscos – princípios e diretrizes.

     

    6)      MODELO DE PRESTAÇÃO DE SERVIÇOS E DE FORNECIMENTO DO SOFTWARE

    6.1              Não continuados, mediante entrega, instalação, produtos e capacitação e operacionalização do software de governança, riscos, conformidade e monitoramento de redes e serviços agregados de implantação.

    6.2              Propõe-se a modalidade licitatória Pregão Eletrônico, tipo menor preço global, uma vez que há padronização dessa solução no mercado de tecnologia da informação, e os padrões de desempenho e qualidade dessa solução podem ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado, conforme preconiza o art. 1° da Lei nº 10.520, de 2002.

    6.3              Não há viabilidade técnica de parcelamento da Solução de Tecnologia da Informação devido à necessidade de perfeita integração entre os módulos do software e sua intrínseca ligação entre o software, serviços e equipamentos necessários à implantação e implementação da Solução.

    6.4              Nos orçamentos recebidos, houve a indicação de 3 (três) orçamentos que contemplavam a solução completa e outros que dispunham de partes da Solução. Desta forma, para ampliar a concorrência e competição durante a licitação, propõe-se a permissão de formação de consórcios para prover a solução almejada nesta contratação.

    6.5              A entrega dos bens e serviços definidos no Termo de Referência deverão respeitar os seguintes prazos máximos, conforme as condições definidas nas etapas abaixo:

    6.5.1        Etapa 1 – Entrega e instalação de hardware e sistema operacional

    ·                                   Entregar e instalar hardware e sistema operacional de suporte à solução de tecnologia da informação para o projeto SIEC, conforme item 4 do Anexo A.

    ·                                   Prazo máximo de entrega até 10 de dezembro de 2012.

    6.5.2        Etapa 2 – Instalação de módulos de software e entrega da licença de uso.

    ·                                   Instalar, nos servidores da Anatel, e entregar as licenças de uso dos seguintes módulos, conforme itens 1.1, 1.2, 1.3 e 1.4 do ANEXO A:

    a)                                    Módulo de Análise e Avalição

    b)                                    Módulo de Painel de Controle

    c)                                     Módulo de Tratamento

    d)                                    Módulo de Conformidade

    ·                                   Prazo máximo de entrega até 1 de Abril de 2013.

    6.5.3        Etapa 3 – Treinamento inicial

    ·                                   Realizar o treinamento inicial de até 40 horas para uma turma de até 10 pessoas, conforme item 2.4.2 do ANEXO A.

    ·                                   Este treinamento tem o objetivo capacitar os servidores responsáveis pela coordenação do projeto em conceitos sobre gestão de riscos, baseados na Norma ABNT NBR ISO 31000:2009 e no uso do software.

    ·                                   Prazo máximo de entrega até o dia 19 de abril de 2013.

    6.5.4        Etapa 4 – Projeto Piloto: Copa das Confederações

    ·                                   Realizar o projeto piloto de gestão de risco nas cidades sede da Copa das Confederações, conforme itens  2.1 e 2.3 do ANEXO A.

    a)                                    O Software de GRC deverá ser configurado para o contexto específico da Copa das Confederações, identificando os riscos que possam afetar o bom funcionamento das redes e serviços de telecomunicações durante o evento. Além das redes e serviços devem ser consideradas as atividades da própria Anatel relativas ao evento.

    b)                                    Deverá ser entregue um memorial descritivo que demonstre como foi configurado o Software para a Copa das Confederações e que permita à equipe técnica da Anatel fazer a configuração do Software em outros eventos.

    ·                                   Prazo máximo de entrega até o dia 30 de abril de 2013.

    6.5.5        Etapa 5 – Gestão de riscos - contexto serviço

    ·                                   Entregar Metodologia de gestão de risco no contexto de serviços de telecomunicações, conforme item 2.1 do Anexo A, contendo:

    a)                                    implementação do modelo no Software de Governança, Risco e Conformidade ofertado; e

    b)                                    memorial descritivo da metodologia, aplicada para serviços de telecomunicações, a ser entregue em meio físico e em arquivo eletrônico.

    ·                                   Entregar serviço: Gestão de riscos no contexto de serviços de telecomunicações, conforme item 2.3 do Anexo A, contendo:

    a)                                    Ativos carregados no software e Relatório de Inventário de Ativos

    b)                                    Relatório de Análise de Riscos (cenário atual)

    c)                                     Relatório Operacional de Riscos

    d)                                    Plano de Ação de Tratamento das não conformidades

    ·                                   Prazo máximo de entrega até o dia 31 de julho de 2013.

    6.5.6        Etapa 6 – Módulo de Redes

    ·                                   Instalar, nos servidores da Anatel, e entregar, conforme Item 1.5 do Anexo A, as licenças de uso do seguinte módulo:

    a)                                    Módulo de Redes

    ·                                   O Módulo de Redes deverá estar perfeitamente integrado com módulos entregues na Etapa 1;

    ·                                   Prazo máximo de entrega até o dia 1 de novembro de 2013.

    6.5.7        Etapa 7 – Gestão de riscos - contexto rede

    ·                                   Entregar Metodologia de gestão de risco no contexto de redes de telecomunicações, conforme Item 2.1 do Anexo A, contendo:

    a)                                    implementação do modelo no Software de Governança, Risco e Conformidade ofertado; e

    b)                                    memorial descritivo da metodologia, aplicada para as redes de telecomunicações, a ser entregue em meio físico e em arquivo eletrônico.

    ·                                   Entregar serviço: Gestão de riscos no contexto de redes de telecomunicações, conforme Item 2.3 do Anexo A, contendo:

    a)                                    Ativos carregados no software e Relatório de Inventário de Ativos

    b)                                    Relatório de Análise de Riscos (cenário atual)

    c)                                     Relatório Operacional de Riscos

    d)                                    Plano de Ação de Tratamento das não conformidades

    ·                                   Prazo máximo de entrega até o dia 1 de novembro de 2013.

    6.5.8        Etapa 8 – Modelo de Gestão de Tratamento e Respostas a Incidentes

    ·                                   Entregar Modelo de gestão de tratamento e respostas a incidentes de segurança de infraestrutura crítica de telecomunicações, conforme Item 2.2 do Anexo A, contendo:

    a)                                    Modelo de Gestão de Resposta a Incidentes

    b)                                    Proposta de Implantação

    ·                                   Prazo máximo de entrega até o dia 18 de novembro de 2013.

    6.5.9        Etapa 9 – Treinamentos Operacional, Avançado e Estratégico

    ·                                   Realizar os seguintes treinamentos, conforme itens 2.4.3, 2.4.4 e 2.4.5 do ANEXO A:

    a)                                    Treinamento Operacional: 4 turmas de 20 pessoas com duração de 24 horas por turma;

    b)                                    Treinamento Avançado: uma turma de 12 pessoas com duração de 40 horas;

    c)                                     Treinamento Estratégico: uma turma de 20 pessoas com duração de 4 horas.

    ·                                   Este treinamento tem o objetivo capacitar os servidores responsáveis pela coordenação do projeto em conceitos sobre gestão de riscos, baseados na Norma ABNT NBR ISO 31000:2009 e no uso do software.

    ·                                   Prazo máximo de entrega até o dia 13 de dezembro de 2013.

    6.5.10    Etapa 10 – Projeto Piloto: Copa do Mundo

    ·                                   Realizar o projeto piloto de gestão de risco nas cidades sede da Copa do Mundo, conforme itens 2.1 e 2.3 do ANEXO A.

    a)                                    O Software de GRC deverá ser configurado para o contexto específico da Copa do Mundo, identificando os riscos que possam afetar o bom funcionamento das redes e serviços de telecomunicações durante o evento. Além das redes e serviços devem ser consideradas as atividades da própria Anatel relativas ao evento.

    b)                                    Deverá ser entregue um memorial descritivo que demonstre como foi configurado o Software para a Copa do Mundo e que permita à equipe técnica da Anatel fazer a configuração do Software em outros eventos.

    ·                                   Prazo máximo de entrega até o dia 30 de abril de 2014.

    6.6              Conclusa as etapas supracitadas, conforme prazo e condições estabelecidas neste Termo de Referência, a CONTRATANTE emitirá em até 15 (quinze) dias corridos o Termo de Recebimento Definitivo.

    6.7              A contratada deverá apresentar, para avaliação da Anatel, o Planejamento de Elaboração do Projeto no prazo de, no máximo, 15 dias corridos, a contar da assinatura do contrato, detalhando a elaboração de todos os serviços previstos, apontando responsabilidades, resultados a serem obtidos, entrega de produtos, calendário de realização de treinamentos, bem como outras informações pertinentes. O Planejamento deverá ser baseado no cronograma de execução das etapas descritas acima.

    6.8              A contratada deverá apresentar em seu planejamento o conjunto de atividades com a descrição de todas as atividades a serem desenvolvidas e os pontos de controle propostos para cada serviço, especificando inequivocamente os resultados a serem obtidos e os prazos envolvidos no cumprimento das metas estabelecidas.

    6.9              O Planejamento de Execução do Projeto deverá prever atividades de controle e atualizações periódicas a serem realizadas mensalmente, após a aprovação do planejamento por parte da Anatel.

    Transferência do Conhecimento

    6.10          Quanto à solução a ser implantada, a contratação e execução deverá observar os seguintes parâmetros:

    ·                                   Obrigatoriamente deverá ocorrer treinamento da solução implementada para a equipe da Anatel e/ou outras que esta indicar como necessário.

    ·                                   Manuais sobre o funcionamento da solução deverão ser entregues, em português (BRASIL).

    6.11          Todos os processos para a elaboração da Gestão de Risco para a Segurança da Infraestrutura Crítica de Telecomunicações deverão ser documentados e entregues à Anatel, de forma a permitir que a equipe técnica possa operar a solução de forma independente da empresa fornecedora da solução.

    6.12          Toda a execução será obrigatoriamente acompanhada e com a participação, quando couber, da equipe técnica da Anatel ou quem esta indicar.

    6.13          Os serviços listados no Item 2.5 (Operação Assistida) – ANEXO A, serão objeto de emissão de Ordem de Serviço específica, conforme a necessidade tendo como resultado os produtos gerados, sendo seu pagamento efetuado após a entrega e aprovação dos mesmos.

    6.14          Os quantitativos constantes deste item não caracterizam compromisso de utilização.

    6.15          As ordens de serviço devem conter as atividades, esforços, parâmetros de medição, prazo, demandante e outras informações que viabilizem a melhorar a compreensão e a medição dos resultados esperados.

    7)      LOCAL DE ENTREGA DA SOLUÇÃO

    7.1              Os serviços contratados serão executados nas dependências da CONTRATANTE e atenderão a todas as unidades da Anatel.

    7.2              Havendo a necessidade de comparecimento de técnicos deste serviço em reuniões técnicas em quaisquer unidades da Anatel, em Brasília ou em qualquer lugar no território nacional, a CONTRATADA deverá arcar com todos os custos inerentes a este deslocamento.

    8)      VIGÊNCIA E PRORROGAÇÃO DO CONTRATO DE FORNECIMENTO

    8.1              O contrato vigorará até a entrega do Suporte e Manutenção, conforme descrito no Item 12 deste Termo de Referência.

    8.1.1        Durante a vigência do contrato poderão ser executados os serviços de Operação Assistida, realizados sob demanda, conforme descrito no Item 2.5 do Anexo A deste Termo de Referência.

    8.2              Quando da prorrogação contratual, a Anatel deverá:

    8.2.1        Assegurar-se de que os preços contratados continuam compatíveis com aqueles praticados no mercado, de forma a garantir a continuidade da contratação mais vantajosa, em relação à realização de uma nova licitação; e

    8.2.2        Realizar a negociação contratual para a redução/eliminação dos custos fixos ou variáveis não renováveis que já tenham sido amortizados ou pagos no primeiro ano da contratação, sob pena de não renovação do contrato.

    8.3              O Contrato não poderá ser prorrogado quando:

    8.3.1        Os preços estiverem superiores aos estabelecidos como limites pelas Portarias do Ministério do Planejamento, Orçamento e Gestão, admitindo-se a negociação para redução de preços; ou

    8.3.2        A contratada tiver sido declarada inidônea ou suspensa no âmbito da União ou do próprio órgão contratante, enquanto perdurarem os efeitos.

    8.4              O Contrato só poderá ser reajustado, observado o interregno mínimo de um ano e a apresentação pela CONTRATADA de demonstração analítica da variação dos componentes dos seus custos, tendo como parâmetros básicos os preços de mercado à época dos insumos indispensáveis à prestação dos serviços ora contratados, excluídos aqueles sob controle direto ou indireto da CONTRATADA.

    9)      GARANTIA DA EXECUÇÃO CONTRATUAL

    9.1              O Contratado deverá apresentar à Contratante, no prazo máximo de 10 (dez) dias úteis, contado da data do protocolo de entrega da via do contrato assinada, comprovante de prestação de garantia correspondente ao percentual de 5% (cinco por cento) do valor total atualizado do contrato, podendo optar por caução em dinheiro, títulos da dívida pública, seguro-garantia ou fiança bancária.

    9.2              Ocorrendo qualquer aumento de quantitativos, a garantia será renovada ou integralizada no mesmo percentual acima sobre o valor global acrescido.

    9.3              A garantia assegurará qualquer que seja a modalidade escolhida, o pagamento de:

    9.3.1                      prejuízo advindo do não cumprimento do objeto do contrato e do não adimplemento das demais obrigações nele previstas;

    9.3.2                      prejuízos causados à administração ou a terceiro, decorrentes de culpa ou dolo durante a execução do contrato;

    9.3.3                      as multas moratórias e punitivas aplicadas pela Administração ao Contratado; e

    9.3.4                       obrigações trabalhistas, fiscais e previdenciárias de qualquer natureza, não honradas pelo Contratado.

    9.4              A inobservância do prazo fixado para apresentação de garantias acarretará a aplicação de multa de 0,2% (dois décimos por cento) do valor do contrato por dia de atraso, até o máximo de 5% (cinco por cento).

    9.5              O atraso superior a 30 (trinta) dias para apresentação de garantias autoriza a Administração a promover a rescisão do contrato, por descumprimento ou cumprimento irregular das cláusulas deste contrato, conforme dispõem os incisos I e II do art. 78 da Lei n.º 8.666/93.

    9.6              O garantidor deverá declarar expressamente que tem plena ciência dos termos e das cláusulas contratuais.

    9.7              Será considerada extinta a garantia:

    9.7.1                      com a devolução da apólice, carta fiança ou autorização para o levantamento de importâncias depositadas em dinheiro a título de garantia, acompanhada de declaração da Administração, mediante termo circunstanciado, de que o Contratado cumpriu todas as cláusulas do contrato;

    9.7.2                      no término da vigência deste contrato, caso a Administração não comunique a ocorrência de sinistros.

    10)  ATENDIMENTO TÉCNICO

    10.1          Durante a execução do contrato, a CONTRATADA deverá fornecer atendimento técnico relativo aos serviços contratados nas formas presencial, e remota, através do serviço telefônico, e-mail ou atendimento online devendo operar ininterruptamente, no mínimo das 9 h às 18 h em dias úteis;

    10.2          A abertura dos chamados relativos a falhas ou mau funcionamento em geral, deve realizada por meio do serviço telefônico, e-mail ou atendimento online;

    10.3          O atendimento técnico na forma presencial será requerido sempre que ocorrerem falhas ou mau funcionamento do software ofertado sempre que não puderem ser solucionados remotamente;

    10.4          Deverá dispor de sistema de atendimento para o registro e acompanhamento dos chamados técnicos;

    10.5          As manutenções preventivas dos serviços prestados deverão ser negociadas com antecedência mínima de 5 (cinco) dias úteis.

    11)  GARANTIA DOS PRODUTOS

    11.1          Os produtos terão garantia na medida em que forem entregues. A garantia de todos os produtos será finalizada 12 (doze) meses após a emissão do Termo de Recebimento Definitivo da Etapa 10 – Projeto Piloto: Copa do Mundo, descrita no Item 6 deste Termo.

    11.2          Durante o período de garantia é de responsabilidade da contratada o suporte e as atualizações das versões do software fornecido.

    11.3          Em casos de vício do produto o Contratado deverá sanar o defeito em até 3 dias.

    11.4          As condições para o atendimento durante a garantia são as mesmas fixadas no Item 10 - Atendimento Técnico deste Termo.

    12)  SUPORTE E MANUTENÇÃO

    12.1          Após o término da garantia do produto, descrita no Item 11 deste Termo de Referência, deverão ser fornecidos os serviços de suporte e manutenção da solução contratada para os próximos 12 meses, podendo ser prorrogado nos termos do Artigo 57 da Lei nº. 8666/93.

    12.2          Para dar início aos serviços de suporte e manutenção a Contratante emitirá uma Ordem de Serviços específica.

    12.3          A CONTRATADA deverá prover por um período de 12 meses os serviços referentes ao suporte técnico e manutenção da solução dos quais serão demandados por meio de contato telefônico ou e-mail.

    12.4          Após a abertura do chamado para suporte técnico, a contratada deverá realizar os atendimentos por meio de atendimento telefônico onde não sendo possível solucionar o problema reportado por este meio, deverá ser realizado o atendimento presencial para solução do problema.

    12.5          Atendimentos telefônicos e presenciais:

    12.5.1                  Os atendimentos telefônicos deverão ocorrer nos dias úteis entre os horários de 08h00 e 18h00.

    12.5.2                  Durante a abertura do chamado, o responsável pela sua abertura deverá pontuar/classificar a urgência do atendimento que será tomada como referencia para definição dos prazos para atendimento descritos abaixo:

    ·                  Urgência Baixa:

    Serão classificados com urgência baixa os chamados referentes a problemas que não afetem as atividades desenvolvidas no software e deverão ser atendidas em até 48h a contar de sua abertura.

    ·                  Urgência Média:

    Serão classificados com urgência média os chamados referentes a problemas que afetem atividades mais sem que comprometam os prazos e a qualidade das mesmas e deverão ser atendidas em até 24h a contar de sua abertura.

    ·                    Urgência Alta:

    Serão classificados com urgência alta os chamados referentes a problemas que afetem atividades e comprometam os prazos e a qualidade das atividades onde deverão ser atendidos em até 4h de sua abertura.

    ·                  Urgência Muito Alta:

    Serão classificados com urgência muito alta os chamados referentes a problemas que possam ocasionar a perda de dados ou comprometam a disponibilidade, integridade e confidencialidade das informações constantes no software. Estes chamados deverão ser atendidos em até 2h de sua abertura.

    12.6          Os prazos para resolução dos problemas deverão ser definidos em comum acordo entre o responsável pela abertura do chamado e a CONTRATADA. Havendo atraso o qual não haja uma justificativa aceitável por parte da CONTRATADA, deverá ser cobrada uma multa no valor de 2% da fatura do período apurado. Caso ocorra mais de um atraso no mês, a multa será multiplicada pelo número de atrasos do período.

    13)  ELEMENTOS PARA A GESTÃO DO CONTRATO

    13.1          A CONTRATADA deverá, obrigatoriamente, no início do projeto elaborar um Plano de Inserção, em conjunto com a equipe da Anatel, e mantê-lo atualizado durante toda a execução do projeto.

    13.2          A reunião inicial do projeto será convocada pelo gestor do contrato, com a participação dos Fiscais Técnico, Requisitante e Administrativo do Contrato, da contratada e dos demais intervenientes por ele identificados, cuja pauta observará, pelo menos:

    13.2.1    presença do representante legal da contratada, que apresentará o preposto da mesma;

    13.2.2    entrega, por parte da contratada, do termo de compromisso de manutenção de sigilo e do termo de ciência, constantes dos ANEXOS F e G.

    13.2.3    esclarecimentos relativos a questões operacionais, administrativas e de gerenciamento do contrato;

    13.3          Apresentar, ao final de todas as reuniões realizadas na Anatel, ATA indicando o objetivo da reunião, participantes, exposições de Descrição dos Processos os motivos e respectivas conclusões, prazos, pendências e outras informações pertinentes.

    13.4          A CONTRATANTE, por meio de servidores designados para este fim, acompanhará e fiscalizará todos os procedimentos de execução do objeto, se certificando do cumprimento das condições estabelecidas e tomando todas as medidas cabíveis para a plena execução contratual.

    13.5          A CONTRATANTE disponibilizará as informações necessárias sobre o seu ambiente tecnológico para o fiel cumprimento do Contrato, e, por meio de equipe técnica, assistirá a CONTRATADA nas etapas de execução, como forma de evitar a ocorrência de danos de qualquer natureza, inclusive a terceiros.

    13.6          O produto concernente a cada etapa e a todo o objeto contratado será recebido definitivamente, por servidor ou comissão designada pela autoridade competente, mediante Termo de Recebimento Definitivo, assinado pelas partes, após o decurso do prazo de observação, ou vistoria que comprove a adequação do objeto aos termos contratuais, bem como a ocorrência ou não de qualquer pendência quanto ao objeto avençado, observado o disposto no art. 69 da Lei nº 8.666/93.

    13.7          À CONTRATADA caberá sanar as irregularidades identificadas na execução do objeto, inclusive quanto à transferência de tecnologia.

    13.7.1    Após a entrega de cada etapa do objeto deste Termo de Referência, a contar da data de assinatura do Termo de Recebimento Provisório, a Anatel disporá de 15 dias para avaliação e aceitação do produto;

    13.7.2    Caso haja necessidade de adequação/modificação do produto da etapa do projeto, a Contratada disporá de 15 dias para eventuais ajustes e adequação do produto às demandas da Anatel.

    13.8          O objeto contratado será rejeitado caso esteja em desacordo com as normas e diretrizes constantes deste Contrato e seus anexos, devendo a CONTRATANTE formalizar a ocorrência por meio de documento escrito, no qual apontar-se-ão as razões para não emiti-lo, indicando as falhas e pendências verificadas.

    13.9          O Modelo de Termo de Recebimento Definitivo consta do ANEXO C deste Termo de Referência, o qual deverá ser devidamente assinado pela autoridade competente designada no mesmo.

    13.10      Em caso de rejeição total/parcial do objeto contratado, ou nas hipóteses de descumprimento de outras obrigações contratuais, avaliadas quando do recebimento, ficará a CONTRATADA sujeita à aplicação das sanções administrativas cabíveis, bem como do ônus destas decorrentes.

    13.11        A concessão do prazo estabelecido para substituição e/ou cumprimento das determinações não impede a aplicação das sanções administrativas cabíveis.

    13.12      O Recebimento Definitivo é condição indispensável para o pagamento.

    13.13      O encaminhamento formal de Ordens de Serviço ou de Fornecimento de Bens pelo Gestor do Contrato ao preposto da contratada, conterão no mínimo:

    13.13.1     a definição e a especificação dos serviços a serem realizados ou bens a serem fornecidos;

    13.13.2     o volume de serviços a serem realizados ou a quantidade de bens a serem fornecidos segundo as métricas definidas em contrato;

    13.13.3     o cronograma de realização dos serviços ou entrega dos bens, incluídas todas as tarefas significativas e seus respectivos prazos; e

    13.13.4     a identificação dos responsáveis pela solicitação na Área Requisitante da Solução.

    13.14      No caso, de ordens de serviço, não é necessária a finalização da Ordem de Serviço, mas sim do produto especifico, desde que esse tenha valor dimensionado na própria ordem de serviço.

    13.14.1     Não serão efetuados quaisquer pagamentos em função de horas executadas, a referência para pagamento é a entrega do produto.

    13.15      Os mecanismos formais de comunicação a serem utilizados são documentos escritos tais como ofícios, ordens de serviço, termos de recebimento, entre outros.

    13.16      Considerando que o contrato é de aquisição de solução de tecnologia da informação, incluindo software, hardware e serviços, a partir da entrega da Etapa 10, o contrato visará a garantia, por 12 (doze) meses, e o suporte e manutenção, por mais 12 (doze) meses.

    13.17      Ainda em relação à documentação, a contratada compromete–se a fornecer para a ANATEL, toda a documentação relativa à prestação dos serviços prestados durante a instalação, configuração e garantia da solução.

    13.18      Em caso de rescisão antecipada, a Administração poderá assumir o objeto do contrato e os recursos do contratado necessários à sua execução, reter créditos e executar garantias e multas devidas.

    13.19      Ao final das atividades de instalação e configuração da solução, todos os privilégios por ventura concedidos à contratada serão revogados por parte da Anatel.

    13.20      Além da documentação a ser criada, foi previsto neste planejamento da contratação, a entrega por parte da contratada dos manuais da solução de tecnologia da informação, tanto de software e hardware quanto dos serviços.

    13.21      O monitoramento da execução, que consiste em:

    13.21.1     confecção e assinatura do Termo de Recebimento Provisório, a cargo do Fiscal Técnico do Contrato, quando da entrega do objeto resultante de cada Ordem de Serviço ou de Fornecimento de Bens;

    13.21.2     avaliação da qualidade dos serviços realizados ou dos bens entregues e justificativas, de acordo com os Critérios de Aceitação definidos em contrato, a cargo dos Fiscais Técnico e Requisitante do Contrato;

    13.21.3     identificação de não conformidade com os termos contratuais, a cargo dos Fiscais Técnico e Requisitante do Contrato;

    13.21.4     verificação de aderência aos termos contratuais, a cargo do Fiscal Administrativo do Contrato;

    13.21.5     verificação da manutenção das condições classificatórias referentes à pontuação obtida e à habilitação técnica, a cargo dos Fiscais Administrativo e Técnico do Contrato;

    13.21.6     encaminhamento das demandas de correção à contratada, a cargo do Gestor do Contrato;

    13.21.7     encaminhamento de indicação de sanções por parte do Gestor do Contrato para a Área Administrativa;

    13.21.8     confecção e assinatura do Termo de Recebimento Definitivo para fins de encaminhamento para pagamento, a cargo do Gestor e do Fiscal Requisitante do Contrato, com base nas informações produzidas nas alíneas “a” a “g” desta cláusula;

    13.21.9     autorização para emissão de nota(s) fiscal(is), a ser(em) encaminhada(s) ao preposto da contratada, a cargo do Gestor do Contrato;

    13.21.10  verificação das regularidades fiscais, trabalhistas e previdenciárias para fins de pagamento, a cargo do Fiscal Administrativo do Contrato;

    13.21.11  verificação da manutenção da necessidade, economicidade e oportunidade da contratação, a cargo do Fiscal Requisitante do Contrato;

    13.21.12  verificação de manutenção das condições elencadas no Plano de Sustentação, a cargo dos Fiscais Técnico e Requisitante do Contrato;

    13.21.13  encaminhamento à Área Administrativa de eventuais pedidos de modificação contratual, a cargo do Gestor do Contrato; eContrataç

    13.21.14  manutenção do Histórico de Gerenciamento do Contrato, contendo registros formais de todas as ocorrências positivas e negativas da execução do contrato, por ordem histórica, a cargo do Gestor do Contrato.TI 2

    13.22      No caso de substituição ou inclusão de empregados por parte da contratada, o preposto deverá entregar termo de ciência assinado pelos novos empregados envolvidos na execução contratual.

    13.23      No caso de aditamento contratual, o Gestor do Contrato deverá, com base na documentação contida no Histórico de Gerenciamento do Contrato e nos princípios da manutenção da necessidade, economicidade e oportunidade da contratação, encaminhar à Área Administrativa, com pelo menos 60 dias de antecedência do término do contrato, documentação explicitando os motivos para tal aditamento.

    13.24      Os indicadores de nível de serviço para definição da NMA – Nota Mensurável de Avaliação dos serviços prestados são critérios objetivos e mensuráveis estabelecidos e acordados entre a CONTRATANTE e a CONTRATADA, com a finalidade de aferir e avaliar diversos fatores relacionados aos serviços contratados. Para mensurar esses fatores serão utilizados indicadores relacionados à natureza e característica dos serviços contratados, para os quais são estabelecidas metas quantificáveis a serem cumpridas pela CONTRATADA.

    13.25      Independente do item ou motivo de não atendimento aos requisitos deste Termo de Referência, a CONTRATADA, deve encaminhar solução em no máximo 15 (quinze) dias corridos.

    13.26      O nível de serviço indica a variação considerada aceitável pela Anatel dos indicadores para a mensuração da prestação dos serviços. O acordo de nível de serviço aqui descrito apresenta todos os indicadores que compreendem essa avaliação.

    13.27      As sanções de multa poderão ser aplicadas à CONTRATADA juntamente coma de advertência, suspensão temporária para licitar e contratar com a Anatel.

    13.28      A multa, aplicada após regular processo administrativo, será descontada dos pagamentos eventualmente devidos pela CONTRATANTE ou cobrada judicialmente.

    13.29      O valor correspondente a qualquer multa aplicada à CONTRATADA, respeitado o princípio do contraditório e da ampla defesa, deverá ser recolhido em até 5 (cinco) dias corridos, após a confirmação do recebimento da notificação, em favor da  CONTRATANTE, ficando a CONTRATADA obrigada a comprovar o recolhimento, mediante a apresentação da cópia do recibo do depósito efetuado.

    13.30      As multas referidas nesta cláusula serão recolhidas em qualquer agência integrante da Rede Arrecadadora de Receitas Federais, por meio de Documento de Arrecadação de Receitas Federais – DARF, a ser preenchido de acordo com instruções fornecidas pela CONTRATANTE, pagas diretamente à mesma, ou ainda, cobradas judicialmente, nos termos dos §§ 2º e 3º, do Art. 86, da Lei nº 8.666/93, com suas posteriores alterações.

    13.31      As multas não têm caráter indenizatório e seu pagamento não eximirá a CONTRATADA de ser acionada judicialmente pela responsabilidade civil derivada de perdas e danos junto a CONTRATANTE, decorrentes das infrações cometidas.

    13.32      A CONTRATADA responderá pelos erros e danos ocasionados pelos produtos gerados com defeitos e vícios, sendo aplicada a cláusula de sanções e outras penalidades previstas na lei n. 8666/93.

    13.33      Surgindo divergências quanto à interpretação do acordo pactuado ou quanto à execução das obrigações dele decorrentes ou constatando-se casos omissos, as partes buscarão solucionar as divergências de acordo com os princípios de boa fé, da equidade, da razoabilidade e da economicidade.

    13.34      Todas as atividades desenvolvidas pela CONTRATADA serão de propriedade da Anatel, incluindo arquivos em meio magnético e ou óptico, tais como: códigos-fonte, códigos executáveis, documentação e outros produtos gerados no contexto dos serviços, devendo ser mantido o sigilo sobre eles.

    13.35      Não será permitida a cessão, citação ou qualquer referência pública a nenhum dos trabalhos realizados no Contrato com a exceção dos autorizado pela Anatel.

    13.36      A CONTRATADA obrigar-se-á a manter a mais absoluta confidencialidade a respeito de quaisquer informações, dados, processos, fórmulas, códigos, cadastros, fluxogramas, diagramas lógicos, dispositivos, modelos ou outros materiais de propriedade da Anatel, aos quais tiver acesso em decorrência da prestação de serviços objeto da presente contratação, ficando terminantemente proibida de fazer uso ou revelação destes, sob qualquer justificava, sob pena de aplicação das sanções cabíveis, além do pagamento de indenização por perdas e danos.

    13.37      Uma avaliação do indicador de nível de serviço será considerada insatisfatória quando não forem cumpridos os parâmetros definidos nos níveis de serviço.

    13.38      O representante da CONTRATANTE realizará a avaliação do nível de serviço ao fim de cada etapa do contrato considerando os pontos perdidos nas avaliações dos indicadores descritos abaixo.

    13.39      NOTA MENSAL DE AVALIAÇÃO (NMA) = 100 -(Σ PONTOS PERDIDOS)

    13.40      Sempre que a NMA for maior ou igual a 85 e menor que 90 a empresa CONTRATADA receberá advertência.

    13.41      Sempre que a NMA for maior ou igual a 80 e menor que 85 a empresa CONTRATADA receberá multa de 2% sobre o valor a ser faturado pela execução da etapa.

    13.42      Sempre que a NMA for maior ou igual a 75 e menor que 80 a empresa CONTRATADA receberá multa de 5% sobre o valor a ser faturado pela execução da etapa.

    13.43      Sempre que a NMA for menor que 75 a empresa CONTRATADA receberá multa de 7% sobre o valor faturado pela execução da etapa, facultada a rescisão contratual, sem prejuízo das demais penalidades previstas na Lei nº. 8.666/93.

    13.44      A reincidência de 2 advertências, consecutivas ou não, acarretará em multa mínima de 2% sobre o valor a ser faturado pela conclusão da etapa, podendo chegar a 7%, facultada a rescisão contratual.

    13.45      Em caso de rescisão contratual por inexecução parcial ou inadequada do objeto deste termo de referência poderá ser aplicada a pena de suspensão temporária.

    13.46      Em caso de rescisão contratual por inexecução do objeto deste termo de referência poderá a CONTRATANTE declarar a CONTRATADA inidônea.

    13.47      Os indicadores de nível de serviço para execução dos serviços:

    Indicador

    Métrica

    Propósito da Métrica

    Realização das

    Atividades Planejadas

    100% das atividades

    Realizadas  satisfatoriamente, dentro

    do prazo acordado na

    emissão da Ordem de

    Serviço.

     

    Subtrair – 5 pontos na Nota de Avaliação Mensal para o não cumprimento da métrica, acrescido de 0,5 pontos perdidos para cada dia de atraso na entrega

    do produto.

    Prestação de

    Informações Gerenciais

     

    Quando da necessidade de

    desenvolvimento de novos relatórios a  CONTRATADA deverá

    disponibilizar a demanda

    em até 05 (cinco) dias

    úteis.

    Se ocorrer atraso, sem

    justificativa aceita pelo

    representante da

    CONTRATANTE, será

    considerada uma

    avaliação insatisfatória

    para cada ocorrência.

     

    Subtrair 2,5 pontos na Nota de Avaliação Mensal e 0,25 pontos para cada dia de atraso.

     

    Indisponibilidade

    Quando o suporte técnico não obedecer os prazos ou não houver solução satisfatória dos problemas identificados.

    Se ocorrer atraso, sem

    justificativa aceita pelo

    representante da

    CONTRATANTE, será

    considerada uma

    avaliação insatisfatória

    para cada ocorrência.

    Subtrair 2,0 pontos na Nota de Avaliação Mensal para cada avaliação insatisfatória.

    Qualidade

    Redação clara e

    objetiva.

    Subtrair 1,0 ponto na Nota de Avaliação Mensal para cada item do produto avaliado como

    insatisfatório.

     

    Atendimento das

    expectativas da

    CONTRATANTE no que

    tange ao escopo dos

    produtos solicitados.

    Subtrair 1,0 ponto na Nota de Avaliação Mensal para cada item do produto avaliado como

    insatisfatório.

     

     

    13.48      O pagamento será efetuado mediante apresentação do Termo de Recebimento Definitivo e da nota fiscal por parte da contratada.

    13.49      O pagamento será efetuado em 10 (dez) parcelas, para a entrega das etapas descritas no Item 6 deste Termo de Referência. Para o Suporte e Manutenção, a execução ocorrerá após o término da garantia dos produtos e os pagamentos serão mensais, num total de 12 (doze) meses, conforme descrito no Item 12 deste Termo de Referência. Para a Operação assistida, a execução será sob demanda e os pagamentos serão realizados após a execução da demanda específica. Será obedecido o seguinte cronograma físico-financeiro:

    Parcela

    Execução

    Prazo

    Valor (%)

    1ª parcela

    Entrega da Etapa 1

    10/12/2012

    0,5

    2ª parcela

    Entrega da Etapa 2

    1/4/2012

    28,5

    3ª parcela

    Entrega da Etapa 3

    19/4/2013

    0,6

    4ª parcela

    Entrega da Etapa 4

    30/4/2013

    5,8

    5ª parcela

    Entrega da Etapa 5

    31/7/2013

    6,0

    6ª parcela

    Entrega da Etapa 6

    1/11/2013

    8,4

    7ª parcela

    Entrega da Etapa 7

    1/11/2013

    6,0

    8ª parcela

    Entrega da Etapa 8

    18/11/2013

    3,7

    9ª parcela

    Entrega da Etapa 9

    13/12/2013

    5,9

    10ª parcela

    Entrega da Etapa 10

    30/4/2014

    5,8

     

    Suporte e Manutenção

    Mensal (12 meses), com

    9,5

     

    Operação Assistida

    Sob demanda

    (8000 horas)

    19,3

    14)  GESTÃO E FISCALIZAÇÃO

    14.1           A gestão da presente Contratação será de responsabilidade do (CARGO de acordo com tabela de competência), de acordo com o Decreto nº 2.338/1997, em conformidade com a Portaria nº 410, de 10/06/2009, publicada no DOU de 26/06/2009, alterada pela Portaria nº 155, de 25/02/2011, publicada no DOU no dia 04/03/2011 e Portaria nº 696, de 29/06/2007, alterada pela Portaria nº 411, de 10/06/2009, publicada no Boletim Interno em 22/06/2009.

    14.2          O acompanhamento e a fiscalização da Contratação será de responsabilidade do(s) Agentes(s) Fiscalizador(es), designados(s) por Portaria, anexa(s) ao processo, cabendo a este(s) anotar(em) no formulário Registro de Ocorrências, disponível no Sistema de Controle e Acompanhamento de Contratos (SICAC), todas as ocorrências verificadas durante a execução do Contrato, gerando relatório de execução contratual (conformidade do software e dos serviços prestados de acordo com os termos contratuais), determinando o que for necessário à regularização das faltas ou defeitos observados (com fundamento no Art. 5º, inciso III, da Portaria nº 696/2007 e alterações posteriores, c/c § 1º, art. 66 da Lei nº 8.666/1993).

    14.3          A Administração, devidamente representada na forma legal, poderá rejeitar, no todo, ou em parte, o objeto contratado, sem ônus para a Anatel, se executados em desacordo com as especificações estabelecidas no Termo de Referência e seus anexos, em Contrato e na sua proposta.

    14.4          O relatório de conformidade dos serviços prestados, relativo ao período cujo pagamento esteja sendo realizado, deverá ser impresso pelo Agente Fiscalizador e acompanhar o documento de cobrança, visando dar suporte à decisão do Gestor no momento do atesto da despesa.

    14.5          O atesto do documento de cobrança será feito pelo Gestor da Contratação, diante da verificação da conformidade do objeto da Contratação, no período de medição, registrada por meio do relatório de execução da Contratação no SICAC, indicando em seu verso eventual glosa a ser aplicada.

    14.6          As decisões e providências que ultrapassarem a competência do(s) Agente (s) Fiscalizador(es) deverão ser solicitadas ao Gestor, em tempo hábil, para adoção das medidas convenientes.

    14.7          A fiscalização de que trata este item não exclui nem reduz a responsabilidade do Fornecedor pelos danos causados à Administração ou a terceiros, decorrentes de ato ilícito na execução da Contratação, ou por qualquer irregularidade e, na ocorrência desta, não implica em corresponsabilidade da Administração.

    14.8          A CONTRATADA será a única e exclusiva responsável pelo fornecimento do objeto, à CONTRATANTE é reservado o direito de, sem que de qualquer forma restrinja a plenitude dessa responsabilidade, exercer a mais ampla e completa fiscalização da execução contratual, diretamente ou por prepostos designados.

    15)  OBRIGAÇÕES DA CONTRATANTE

    15.1          Prestar as informações e os esclarecimentos solicitados pela Contratada;

    15.2          Permitir o acesso dos funcionários da Empresa Contratada às suas dependências para entrega do referido objeto e quando for necessário;

    15.3          Comunicar à contratada ocorrências que poderão comprometer a o fornecimento dos produtos constantes deste Termo de Referência;

    15.4          Rejeitar, no todo ou em parte, os produtos fornecidos pela Contratada fora das especificações deste Termo de Referência;

    15.5          Fiscalizar a entrega e conferir os produtos, podendo: recusar, interromper, solicitar a realização ou devolução de qualquer entrega que não esteja de acordo com as condições e exigências estabelecidas neste Termo de Referência;

    15.6          Observar para que, durante toda a vigência da contratação, seja mantida a compatibilidade com as obrigações assumidas e as condições de habilitações exigidas;

    15.7          Aplicar a CONTRATADA, quando necessário, as sanções legais cabíveis, sendo garantida a ampla defesa.

    16)  OBRIGAÇÕES DA CONTRATADA

    16.1          Assinar o contrato de fornecimento, no prazo máximo de 5 (cinco) dias contados da convocação.

    16.2          Comunicar a CONTRATANTE por escrito e em tempo hábil, qualquer anormalidade que esteja impedindo a execução do objeto, prestando todos os esclarecimentos julgados necessários;

    16.3          Cumprir fielmente toda a execução do objeto contratado, de acordo com as condições e exigências previamente estabelecidas neste Termo de Referência;

    16.4          Alocar, conforme as necessidades, os recursos técnicos e humanos necessários para a devida condução do Projeto, coordenando-os ao longo da execução.

    16.5          Substituir, sempre que exigido pela Anatel, o empregado que esteja em serviço, cuja atuação, permanência ou comportamento forem julgados prejudiciais, inconvenientes ou insatisfatórios à execução dos serviços.

    16.6          Reparar, corrigir ou substituir, às suas expensas, no total ou em parte, o objeto do contrato em que se verificarem vícios, defeitos ou incorreções;

    16.7          Responsabilizar-se por todas as providências e obrigações estabelecidas na legislação específica de acidentes do trabalho, quando, em ocorrência da espécie, forem vítimas os seus empregados no desempenho dos serviços ou em conexão com eles, ainda que acontecido em dependência do CONTRATANTE;

    16.8          Responsabilizar-se pelo objeto deste Projeto, respondendo civil e criminalmente por todos os danos, perdas e prejuízos que, por dolo ou culpa sua, de seus empregados, prepostos ou terceiros, no exercício de suas atividades vierem a, direta ou indiretamente, causar ou provocar ao CONTRATANTE e a terceiros, não excluindo ou reduzindo essa responsabilidade à fiscalização ou o acompanhamento pelo órgão interessado;

    16.9          Aceitar, pelos mesmos preços e nas mesmas condições contratuais, acréscimos e supressões que lhe forem determinadas, nos limites legais.

     

    QUANTO AO CONTRATO DE FORNECIMENTO:

    16.10      Prestar todas as informações solicitadas pela CONTRATANTE relativas ao fornecimento do objeto, inclusive durante o período de garantia contratual;

    16.11      Efetuar todas as etapas de execução do objeto de acordo com as condições, prazos e especificações técnicas estabelecidas neste Termo de Referência;

    16.12      Prover a CONTRATANTE das informações necessárias à adequada execução do objeto;

    16.13      Conduzir o projeto em conjunto com a equipe da Anatel, de forma a viabilizar a efetiva transferência do conhecimento e incorporar as necessidades de ajustes ao longo do processo em conformidade com o presente Termo de Referência;

    16.14      Realizar a entrega de todos os produtos nas dependências da Anatel em Brasília, observado o horário de funcionamento da Agência;

    16.15      Responsabilizar-se por quaisquer danos em arquivos de dados e informações de operação, ambiente de rede e sistemas, causados por defeitos dos softwares;

    16.16      Responsabilizar-se por quaisquer danos causados à CONTRATANTE ou a terceiros, decorrentes de dolo ou culpa na execução do contrato, não excluindo essa responsabilidade a fiscalização ou acompanhamento realizado pela CONTRATANTE;

    16.17      Responsabilizar-se pelas despesas de seu pessoal decorrentes da execução dos serviços, incluindo viagens, estadias e refeições se aplicável;

    16.18      Prestar as informações e os esclarecimentos sobre a descrição dos Processos de execução do objeto deste Termo de Referência que venham a ser solicitados pela Anatel;

    16.19      Cumprir e obedecer às normas internas de segurança, de acesso e permanência as dependências físicas da CONTRATANTE, quando necessária a execução do objeto;

    16.20      Manter sigilo de todos os dados ou informações da CONTRATANTE, obtidas em função da execução do objeto;

    16.21      Firmar TERMO DE CIÊNCIA E O TERMO DE COMPROMISSO DE MANUTENÇÃO DE SIGILO constante dos ANEXOS F e G, a ser assinado pelos empregados diretamente envolvidos na contratação e pelo representante legal do fornecedor, respectivamente.

    16.22      Assumir toda a responsabilidade pelos encargos fiscais, comerciais e trabalhistas resultantes da execução do objeto;

    16.23      Observar a vedação de veiculação de publicidade a respeito do Contrato firmado com a Administração, salvo com prévia autorização da CONTRATANTE;

    16.24      Cumprir fielmente todas as cláusulas que definem a forma, regime, prazos, condições e exigências para prestação de garantia e assistência técnica ao objeto da contratação.

    QUANTO À GARANTIA E AO SUPORTE E MANUTENÇÃO:

    16.25      O prazo de vigência da Garantia é de 12 (doze) meses, a contar da emissão do Termo de Recebimento Definitivo de entrega da Etapa 10 – Projeto Piloto Copa do Mundo, conforme descrito no Item 6 deste Termo de Referência..

    16.26      Durante o período de garantia é de responsabilidade da contratada o suporte e as atualizações das versões do software fornecido.

    16.27      Durante o prazo de garantia a CONTRATADA deverá prover por um período de 12 meses os serviços referentes ao suporte técnico da solução dos quais serão demandados por meio de contato telefônico ou e-mail.

    16.28      Após a abertura do chamado para suporte técnico, a contratada deverá realizar os atendimentos por meio de atendimento telefônico onde não sendo possível solucionar o problema reportado por este meio, deverá ser realizado o atendimento presencial para solução do problema.

    16.29      Deverá a CONTRATADA possuir profissionais devidamente habilitados/qualificados para prestação de assistência técnica, durante todo o período de garantia.

    16.30      Aplica-se à Garantia as disposições da Lei 8.078, de 11 de setembro de 1990, ficando a CONTRATADA no cometimento de infrações, sujeita conforme o caso, as sanções administrativas, sem prejuízo das de natureza civil, penal e das definidas em normas específicas, podendo inclusive ser aplicadas cumulativamente, sendo garantida a ampla defesa.

    17)  ESTIMATIVA DE PREÇOS

     

     

     

     

     

    18)  ADEQUAÇÃO ORÇAMENTÁRIA

    18.1       As despesas decorrentes da contratação da solução correrão à conta dos recursos consignados no Orçamento Geral da União, a cargo da Anatel, disponibilizados na UGR nº 41.30.19.

    19)  SANÇÕES

    19.1          Se no decorrer da sessão pública da licitação ou na execução do objeto do presente Edital, ficar comprovada a existência de qualquer irregularidade ou ocorrer inadimplemento contratual pelo qual possa ser responsabilizada a LICITANTE/CONTRATADA, esta, sem prejuízo das demais sanções previstas nos arts. 86 a 88, da Lei nº 8.666/93, poderá sofrer as seguintes penalidades:

    a)            advertência por escrito;

    b)            multa de 10% (dez por cento), calculada sobre o valor total da proposta ou lance ofertado pela LICITANTE DESISTENTE devidamente atualizado, na hipótese de desistência injustificada do lance, após o ENCERRAMENTO da fase de lances, conforme previsto nos subitens 6.2.1, 6.2.2e 6.2.3 deste Termo de Referência, sem prejuízo da aplicação de outras sanções previstas no art. 28, do Decreto nº 5.450/2005, inclusive de impedimento de licitar e contratar com a União, previsto no subitem 20.5 deste Termo de Referência;

    c)            multa de 10% (dez por cento) calculada sobre o valor total da contratação devidamente atualizado, sem prejuízo da aplicação de outras sanções previstas no art. 87 da Lei nº 8.666/93, na hipótese de recusa injustificada da vencedora em celebrar o contrato, no prazo máximo de 05 (cinco) dias úteis, após regularmente convocada, caracterizando inexecução total das obrigações acordadas.

    19.2          A aplicação das sanções previstas neste Edital não exclui a possibilidade de aplicação de outras, previstas na Lei nº 8.666/1993 e no art. 28, do Decreto nº 5.450/2005, inclusive a responsabilização da licitante vencedora por eventuais perdas e danos causados à Anatel.

    19.3          A multa deverá ser recolhida no prazo máximo de 10 (dez) dias corridos, a contar da data do recebimento da comunicação enviada pela Anatel.

    19.4          O valor da multa poderá ser descontado da Nota Fiscal/Fatura ou de crédito existente na Anatel, em favor da CONTRATADA, sendo que, caso o valor da multa seja superior ao crédito existente, a diferença será cobrada na forma da lei.

    19.5          Com fundamento no artigo 7º da Lei nº 10.520, de 17 de julho de 2002, e no art. 28 do Decreto nº 5.450, de 31 de maio de 2005, a CONTRATADA ficará impedida de licitar e contratar com a União e será descredenciada no SICAF, pelo prazo de até 05 (cinco) anos, garantida a ampla defesa, sem prejuízo das multas previstas neste Termo de Referência e das demais cominações legais quando: apresentar documentação falsa; ensejar o retardamento da execução do objeto; falhar ou fraudar na execução do contrato; comportar-se de modo inidôneo; não mantiver a proposta; fizer declaração falsa; cometer fraude fiscal.

    19.6          As sanções previstas neste Edital são independentes entre si, podendo ser aplicadas de forma isolada ou cumulativamente, sem prejuízo de outras medidas cabíveis.

    19.7          Não será aplicada multa se, justificada e comprovadamente, o atraso na execução dos serviços advier de caso fortuito ou de força maior.

    19.8          A atuação da CONTRATADA no cumprimento das obrigações assumidas será registrada no Sistema Unificado de Cadastro de Fornecedores – SICAF, conforme determina o § 2º, do art. 36, da Lei nº 8.666/1993.

    19.9          Em qualquer hipótese de aplicação de sanções, serão assegurados à licitante vencedora o contraditório e a ampla defesa.

    19.10      As sanções abaixo descritas poderão ser aplicadas a CONTRATADA por período de até 36 (trinta e seis) meses.

    DO CONTRATO DE FORNECIMENTO

    19.11      Com fundamento nos artigos 86 e 87 da Lei n.º 8.666, de 21 de junho de 1993, a CONTRATADA ficará sujeita, no caso de inexecução parcial ou total da obrigação, assegurada a prévia e ampla defesa, às seguintes penalidades:

    a)            Advertência;

    b)            Multa:

    1)                multa de até 10% (dez por cento) sobre o valor da Nota Fiscal/Fatura afeta aos serviços, referente à etapa em que for constatada o descumprimento dos prazos atrelados à execução dos serviços de manutenção corretiva previstos no Edital, no Termo de Referência ou no termo contratual;

    2)            multa de até 10% (dez por cento) sobre o valor da Nota Fiscal/Fatura afeta aos serviços, referente à etapa em que for constatada o descumprimento de qualquer obrigação prevista no Edital, no Termo de Referência ou no termo contratual, ressalvadas aquelas obrigações para as quais tenham sido fixadas penalidades específicas;

    3)            multa de até 10% (dez por cento) sobre o valor total da contratação, se constatado o descumprimento de qualquer obrigação prevista no Edital, no Termo de Referência ou no termo contratual, ressalvadas aquelas obrigações para as quais se fixou as penalidades específicas;

    4)            pela inobservância dos demais prazos atrelados à execução dos serviços, multa de 0,33% (zero vírgula trinta e três por cento) incidente sobre o valor total da contratação, por dia de atraso, a ser cobrada pelo período máximo de 30 (trinta) dias. A partir do 31º (trigésimo primeiro) dia de atraso, o contrato será rescindido;

    5)            multa de 10% (dez por cento) sobre o valor total da contratação, nos casos de rescisão contratual por culpa da CONTRATADA;

    19.12      Suspensão temporária do direito de participar de licitação e impedimento de contratar com a Anatel, pelo prazo de até 2 (dois) anos;

    19.13      Declaração de inidoneidade para licitar ou contratar com a Administração Pública, enquanto perdurarem os motivos determinantes da punição ou até que seja promovida a reabilitação, perante a própria autoridade que aplicou a penalidade, que será concedida sempre que a CONTRATADA ressarcir o CONTRATANTE pelos prejuízos resultantes e após decorrido o prazo da sanção aplicada.

    19.14      As sanções de multa poderão ser aplicadas à CONTRATADA juntamente com a de advertência, suspensão temporária para licitar e contratar com a Administração do CONTRATANTE e impedimento de licitar e contratar com a União; descontando-a do pagamento a ser efetuado.

    19.15      No caso de multa, cuja apuração ainda esteja em processamento, ou seja, na fase da defesa prévia, a CONTRATANTE poderá fazer a retenção do valor correspondente à multa, até a decisão final da defesa prévia. Caso a defesa prévia seja aceita, ou aceita parcialmente pela CONTRATANTE, o valor retido correspondente será depositado em favor da CONTRATADA, em até 05 (cinco) dias úteis a contar da data da decisão final da defesa apresentada.

    DA GARANTIA E DO SUPORTE E MANUTENÇÃO

    19.16      Com fundamento no art. 56 da Lei 8.078, de 11 de setembro de 1990, e art. 87 da Lei 8.666, de 21 de junho de 1993, fica a CONTRATADA sujeita as sanções administrativas de multa, de suspensão temporária de atividade e de impedimento de contratar com a Administração, sem prejuízo das demais sanções legais cabíveis.

    19.17      As sanções, quando couber, serão aplicadas pela autoridade administrativa, assegurada a ampla defesa e podendo dar-se cumulativamente, inclusive por medida cautelar, antecedente ou incidente de procedimento administrativo.

    19.18      A multa aplicada será sobre o valor da etapa do produto em referência (objeto da demanda de assistência), conforme abaixo:

    a)        0,5% (zero vírgula cinco por cento) quando a CONTRATADA houver descumprido o prazo de atendimento, referente ao objeto da demanda de assistência;

    I.               Descumprido o prazo de atendimento, referente ao objeto da demanda de assistência, e independente da multa que trata a alínea “a”, a CONTRATADA deverá prover o atendimento em no máximo 25% do tempo correspondente ao tipo de urgência, conforme descrito no item 17 deste termo de referência, sob pena de incorrer em penalidade, conforme prevê a alínea “c”;

    b)        Os percentuais, valores referentes às multas relativas a cada objeto de demanda de assistência técnica, serão apuradas e encaminhadas à CONTRATADA no final de cada mês, para as providências de recolhimento;

    c)         15% (quinze por cento) quando houver a recusa temporária e injustificada da CONTRATADA na prestação de assistência técnica, no prazo, forma e condições previamente estabelecidas em Contrato.

    20)  CRITÉRIOS DE SELEÇÃO DO FORNECEDOR

    20.1          Propõe-se a modalidade licitatória Pregão Eletrônico tipo menor preço global, uma vez que há padronização dessa solução no mercado de tecnologia da informação, e os padrões de desempenho e qualidade dessa solução podem ser objetivamente definidos pelo edital, por meio de especificações usuais no mercado, conforme preconiza o art. 1° da Lei nº 10.520, de 2002.

    20.2          Não há viabilidade técnica de parcelamento da Solução de Tecnologia da Informação devido à necessidade de perfeita integração entre os módulos do software e sua intrínseca ligação entre o software e os serviços necessários à implantação e implementação da Solução.

    20.3          Nos orçamentos recebidos, houve a indicação de 3 orçamentos que contemplavam a solução completa e outros que dispunham de partes da Solução. Desta forma, para ampliar a concorrência e competição durante a licitação, propõe-se a permissão de formação de consórcios para prover a solução almejada nesta contratação.

    20.4          Para fins de Habilitação Técnica, deverá a proponente apresentar Atestado(s) de Capacidade Técnica (ACT) em nome da licitante, expedido(s) por pessoa(s) jurídica(s) de direito público ou privado, que comprove o fornecimento de objeto compatível com as especificações técnicas constante deste Termo de Referência:

    20.4.1         O(s) Atestado(s) deve(m) apresentar em seu corpo a descrição clara dos fornecimentos, envolvendo no mínimo:

    ·                 Nome da contratante;

    ·                 CNPJ da contratante;

    ·                 Identificação do responsável pela emissão do atestado;

    ·                 Nome do Software utilizado;

    ·                 Descrição dos serviços;

    20.4.2         O(s) Atestado(s) deve(m) comprovar em seu corpo a experiência, envolvendo no mínimo:

    ·                 Fornecimento de Licença de uso de Software de Governança, Riscos e Conformidade;

    ·                 Elaboração de Metodologia de Gestão de Riscos;

    ·                 Elaboração de Processo de Tratamento e Respostas a Incidentes;

    ·                 Execução de projeto de Gestão de Riscos;

    ·                 Treinamento em Gestão de Risco

    20.5          A LICITANTE deverá apresentar comprovação de que possui em seu corpo técnico (Regime CLT – Consolidação das Leis Trabalhistas ou Estatuto ou Contrato Social no caso de sócios ou Contrato de Trabalho), profissionais com as seguintes qualificações mínimas:

    20.5.1         Para exercer a função de Gerente de Projeto, o profissional indicado deverá possuir:

    a)                       Curso Superior completo, comprovado pela apresentação de cópia autenticada de diploma, reconhecido pelo MEC;

    b)                       Experiência em gestão de projetos, comprovado pela apresentação de curriculum vitae e atestados.

    c)                                    Certificação PMP - PMI, comprovada pela apresentação de cópia autenticada do certificado;

    20.5.2         Pelos menos 01 (um) Consultor indicado deverá possuir:

    a)      Curso Superior completo em engenharia, comprovado pela apresentação de cópia autenticada de diploma, reconhecido pelo MEC;

    b)      Experiência em atividades de monitoramento de redes em centro de gerencia de redes de prestadora de serviço de telecomunicações, comprovado pela apresentação de curriculum vitae e declaração emitida por pessoa jurídica.

    20.5.3         Pelos menos 01 (um) Consultor indicado deverá possuir:

    a)      Curso Superior completo, comprovado pela apresentação de cópia autenticada de diploma, reconhecido pelo MEC;

    b)      Experiência em projetos de gestão de risco, comprovado pela apresentação de curriculum vitae e declaração emitida por pessoa jurídica;

    c)      Certificação no software ofertado;

    20.6          A LICITANTE deverá possuir Metodologia de Execução de Projeto em conformidade com as práticas do PMBOK do Instituto PMI.

    20.6.1         Para efeito de comprovação deverá ser incluso nas informações técnicas, ANEXO A, descritivo da metodologia da CONTRATADA.

    20.7          Como condição para assinatura do contrato, a LICITANTE provisoriamente classificada em primeiro lugar deverá em no máximo 5 (cinco) dias após a convocação comprovar que possui condições para a execução contratual conforme todos os requisitos constantes do ANEXO A .

    20.7.1         A comprovação de condições para atendimento dos requisitos ocorrerá em no máximo 5 (cinco) dias úteis, nas dependências da ANATEL.

    20.7.2         Somente após a comprovação de condições para atendimento dos requisitos é que a LICITANTE será convocada a assinar o contrato.

    20.7.3         Caso a LICITANTE não comprove que possui condições para atendimento dos requisitos, a LICITANTE será desclassificada e a segunda colocada será convocada e assim sucessivamente.

    21)  DISPOSIÇÕES GERAIS

    21.1          A licença de uso dos softwares deverá ser perpétua, ou seja, sem prazo de expiração, além de permitir, no mínimo, atualizações de segurança durante seu ciclo de vida (enquanto houver suporte ao produto).

    22)  ANEXOS

    22.1          ANEXO A: ESPECIFICAÇÃO TÉCNICA DA SOLUÇÃO DE TI.

    22.2          ANEXO B: TERMO DE RECEBIMENTO PROVISÓRIO.

    22.3          ANEXO C: TERMO DE RECEBIMENTO DEFINITIVO.

    22.4          ANEXO D: PLANILHA DE FORMAÇÃO DE PREÇOS.

    22.5          ANEXO E: ORDEM DE SERVIÇO.

    22.6          ANEXO F: TERMO DE CIÊNCIA.

    22.7          ANEXO G: TERMO DE COMPROMISSO DE MANUTENÇÃO DE SIGILO.

    22.8          ANEXO H: TERMO DE ENCERRAMENTO DE CONTRATO.

    22.9          ANEXO I: PLANO DE INSERÇÃO

     

     

     


    Anexo A - Introdução

    Introdução

     

    O objetivo da solução de tecnologia de informação é dar apoio às atividades de gestão de riscos da Anatel relacionadas à segurança das infraestruturas críticas de telecomunicações, com foco nas sedes dos próximos grandes eventos esportivos internacionais.

     

    De acordo com as Portaria nº 4 e 5 – GSIPR, de 27 de janeiro de 2009:

    “Consideram-se Infraestruturas Críticas as instalações, serviços, bens e sistemas que se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.”

     

    A solução será composta por composta por software, hardware e materiais acessórios para sua instalação, sistema operacional, serviços de metodologia, modelo de gestão de tratamento e resposta a incidentes, gestão de risco, treinamento, documentação, operação assistida e suporte e manutenção de modo a atender às necessidades da Anatel.

     

    A solução apresentada deverá suportar a autenticação de usuários através de certificado digital padrão ICP-Brasil. A solução poderá utilizar como padrão de autenticação do framework utilizado atualmente pela ANATEL.

     

    A CONTRATADA deverá garantir a completa interoperabilidade e compatibilidade dos componentes de hardware e software utilizados na solução, particularmente em consonância com as premissas estabelecidas no documento de referência da arquitetura de Padrões de Interoperabilidade de Governo Eletrônico (e-PING), disponível no endereço eletrônico http://www.eping.e.gov.br.

     

    O software deverá ter duas funcionalidades principais:

    - Gestão dos riscos associados à segurança das redes de telecomunicações (itens: 1.1 a 1.4); e

    - Monitoramento das redes de telecomunicações (item 1.5).

     

    A gestão de riscos será feita de acordo a norma ABNT NBR ISO 31000:2009 – Gestão de riscos – princípios e diretrizes. O primeiro passo para a realização da gestão de riscos é elaboração de um inventário dos ativos que terão seus riscos analisados. Devido à enorme quantidade de ativos de telecomunicações existentes no país, faz-se necessário priorizar os ativos mais importantes ou estratégicos, que serão objeto da gestão de riscos. Estima-se que o número de ativos estratégicos é em torno de 5.000 (cinco mil). Os ativos que darão suporte aos grandes eventos esportivos internacionais deverão fazer parte deste rol.

     

    Para a realização da gestão de riscos deverá ser estabelecido um conjunto de controles para avaliar cada ativo inventariado anteriormente. A conformidade ou não conformidade com relação aos controles será informada pelas prestadoras de serviços de telecomunicações (por meio de carga de dados no software) e poderá ser fiscalizada pela Anatel. Os controles influenciam no nível de risco dos ativos e dos serviços de telecomunicações.

     

    O monitoramento das redes de telecomunicações destina-se a permitir que o regulador obtenha informações on line do estado das redes, bem como formar um histórico das condições das redes. O módulo de redes (item 1.5) do software deverá estar integrado com os módulos de gestão de risco (itens 1.1 a 1.4) de forma a permitir a troca de dados sobre os eventos relevantes ocorridos nas redes que possam influenciar no nível de risco das redes e serviços de telecomunicações.

     

    Estima-se que o número de ativos a ser monitorado para todas as prestadoras de serviços de telecomunicações é de em torno 1.000.000 (um milhão). Para cada ativo estima-se ser suficiente o envio de um pacote de dados de 100 Bytes a cada 30 minutos, o que resulta num total de 100 Megabytes recebidos a cada 30 minutos.

     

    Deverá ser desenvolvido um “coletor de dados” para receber as informações de rede acima mencionadas que deverão ser enviadas pelas prestadoras de serviços de telecomunicações.


    Anexo A - 1. Software de Governança, Riscos e Conformidade (GRC) e Monitoramento das redes de telecomunicações

    1. Software de Governança, Riscos e Conformidade (GRC)  e Monitoramento das redes de telecomunicações

     

     

     

    Deverão ser entregues como produtos da instalação os seguintes itens:

    ·         Relatório de Instalação do Software

    ·         Documento que comprove a licença de uso do software

    ·         CD (ou DVD) de instalação do software

    ·         Manual do Software em Português

     

    a) REQUISITOS GERAIS

     

    Baseado em padrões internacionais, como:

    ·         ABNT NBR ISO/IEC 27002:2007

    ·         ABNT NBR ISO 31000:2009

    ·         ABNT NBR ISO/IEC 27005:2008

    ·         ABNT ISO Guia 73:2009

    Possuir método de medição de risco compatível com a norma ABNT NBR ISO 31000:2009.

     

    A licença do software deve ser para no mínimo 100 (cem) usuários com até 40 (quarenta) usuários simultâneos.

     

    Suportar acesso ao sistema de maneira autenticada e criptografada.

     

    Possuir interfaces e manuais na língua portuguesa - Brasil.

     

    O software deve possuir o recurso de AJUDA em português - Brasil.

     

    Possuir relatórios baseados em templates customizáveis.

     

    Permitir exportação dos relatórios em extensão .XLS, .RTF e .HTML

     

    Caso não seja uma solução web, possibilitar a instalação de seus módulos CLIENTE, SERVIDOR e PDA (Pocket PC) em plataformas Microsoft.

     

    Possibilitar integração com o LDAP - Lightweight Directory Access Protocol, permitindo assim que os usuários de acesso utilizem suas credenciais do Microsoft Active Directory (AD).

     

    Possuir uma aplicação para gerenciar base de dados utilizadas no software.

     

    Permitir a comunicação ao banco de dados por autenticação via SQL Server ou via Microsoft Windows. .

     

    Permitir comunicação com os bancos de dados dos sistemas da Anatel e recepção e tratamento de dados fornecidos pelas prestadoras de serviços de telecomunicações em formato e interface a ser definido pela Anatel.

     

    Permitir o envio de mensagem de texto para celular (SMS) e envio de e-mails para comunicação de informações relevantes geradas ou coletadas pelo sistema.

     

    Possuir serviço de atualização automática da aplicação e suas bases de conhecimento por meio de um recurso de Live-Update.

     

    Informar histórico de atualizações após Live-Update.

     

    Permitir a definição da política de autenticação e senha.

     

    Permitir gravar trilha de auditoria com as seguintes definições:

     

    Ativar/desativar a gravação dos logs.

     

    Definição de tamanho máximo do log em Megabyte.

     

    Definição de tamanho por percentual de log ocupado para emissão de alertas.

     

    Permitir a ativação de log circular (log rotate)

     

    Registro das operações ocorridas, indicando no mínimo o usuário (autor da  

    operação), a descrição do evento, a data e hora de cada evento.

     

    Caso não seja uma solução web, efetuar log de entrada dos usuários nos módulos PDAs, SmarthPhones, integrados ao log.

     

    Possuir perfis de acesso por usuários com funções definidas pela Anatel.

     

    Suportar integração com sistemas internos da Anatel via XML, planilhas Excel e arquivos CSV.

     

    Suportar a personalização de interfaces de administração (área de trabalho), além de permitir inclusão, exclusão ou alteração de campos de entrada de dados.

     

    Permitir a definição e alteração de fluxo de trabalho conforme processos internos da Anatel.

     

    Permitir integração com sistemas internos da Anatel via banco Oracle e SQL Server.

     

    Suportar uso de indicadores de risco para visão executiva.

     

    Prover API via web services para possibilitar que outros sistemas possam ativar funcionalidades e consumir informações da solução.

     

    Suportar alteração no processo de gestão de riscos e conformidade sem necessidade de codificação, conhecimento de programação ou intervenção do fornecedor.

     

    Suportar a criação de lembretes customizados para ações de envio de informações sobre itens de verificação para a Anatel por meio de email ou SMS a usuários cadastrados.

     

    Exibir o cálculo de risco de forma transparente para que se saiba como um determinado índice de risco foi obtido.

     

    Suportar alteração nos parâmetros de cálculo de risco sem necessidade de codificação, conhecimento de programação ou intervenção do fornecedor.

     

    Exibir visão de índices de risco de maneira detalhada (por ativo) e agregado por prestadora, por região geográfica e por serviço de telecomunicação.

     

    Suportar processos de tratamento de riscos de maneira customizável e sem necessidade de codificação, conhecimento de programação ou intervenção do fornecedor.

     

    Suportar integração com outros sistemas da Anatel.

     

    Suportar anexos como imagens e documentos.

     

    Suportar a associação de incidentes com grupos internos da Anatel para acompanhamento de ações das prestadoras e da fiscalização.

     

    Permitir a associação entre incidentes no sistema para análise de incidentes similares e registro dessa vinculação.

     

    Permitir a análise de risco das prestadoras baseada em critérios financeiros e administrativos além das informações referentes aos ativos.

     

    Suportar o controle das normas de qualidade para as prestadoras com alertas e notificações automatizadas no descumprimento dessas normas.

     

    Permitir a visão de índices de conformidade por operadora, por região e pro serviço prestado.

     

    Suportar dashboards web individualizados por usuário, com gráficos das informações, com controle de acesso em função de diferentes perfis de acesso.

     

    NOTAS SOBRE ITENS DE VERIFICAÇÃO

     

    Nota 1 - O Software de Governança, Risco e Conformidade deverá estar habilitado para trabalhar com itens de verificação.

     

    Nota 2 - Quando da proposta comercial a Licitante deverá levar em conta um número ilimitado de itens de verificação. Estima-se um total de 1.000.000 (um milhão) de itens de verificação, porém, dadas as constantes inovações tecnológicas do setor de telecomunicações e a expansão constante da rede, em especial com a licitação do 4G e do 450mhz, que prevê a instalação de novos serviços no meio rural, não é possível limitar o número de ativos da rede.

     

    Nota 3 - Entendem-se como “itens de verificação” quaisquer itens que possam ser analisados por meio do uso do Software ofertado (exemplos: estações, centrais, rotas, serviços de telecomunicações, entre outros. ).

     

     


    Anexo A - 1.1 - Módulo de Análilse e Avaliação

    1.1 MÓDULO DE ANÁLISE E AVALIAÇÃO

     

     

    1.1.1.       Permitir a configuração de uma estrutura funcional, com a finalidade de inventariar a realidade das redes e serviços de telecomunicações.

     

    1.1.2.       Permitir a inclusão, edição ou deleção de áreas físicas ou lógicas  das redes e serviços de telecomunicações.

     

    1.1.3.       Permitir a inserção dos itens de verificação..

     

    1.1.4.       Permitir a extração do Active Diretory (AD) diretamente para a estrutura de inventário das redes e serviços de telecomunicações.

     

    1.1.5.       Permitir a exportação e importação da estrutura funcional através de arquivos XML, planilhas Excel.

     

    1.1.6.       Permitir a inclusão de campos customizáveis para cada item de verificação contendo: Texto, Número Real, checkbox, árvore, Data, Anexo, Multiseleção.

     

    1.1.7.       Permitir a inclusão de coordenadas geográficas nas áreas da estrutura funcional, e nos itens de verificação como recurso para emissão de relatórios georreferenciados.

     

    1.1.8.       Permitir a inclusão, edição ou deleção dos níveis táticos e estratégicos, bem como o grau de importância, relevância das redes e serviços de telecomunicações.

     

    1.1.9.       Permitir a definição dos responsáveis, recursos-humanos, por cada área da estrutura funcional, obtendo ainda, o cadastro do e-mail, telefone, função, dentre os outros aspectos relevantes.

     

    1.1.10.    Permitir a definição de gestores por área física ou lógica criada na estrutura funcional, com a finalidade de perfil de acesso.

     

    1.1.11.    Permitir atribuir grau de importância (relevância) em cada item de verificação.

     

    1.1.12.    Permitir atribuir grau de criticidade em cada item de verificação.

     

    1.1.13.    Permitir atribuir um período de avaliação de cada item de verificação, determinando automaticamente um prazo de validade para cada análise realizada.

     

    1.1.14.    Permitir a vinculação dos itens de verificação aos seus processos táticos e estes aos processos estratégicos, bem como mapear as relevâncias entre os mesmos.

     

    1.1.15.    Permitir a reorganização dos objetos: áreas da estrutura funcional e itens de verificação, por meio do recurso de arrasto.

     

    1.1.16.    Permitir a vinculação de bases de conhecimento a cada item de verificação para a fase de Análise.

     

    1.1.17.    Permitir realizar análises de Governança.  

     

    1.1.18.    Permitir criar múltiplas organizações, onde os itens de verificação e as áreas físicas e lógicas sejam distintas.

     

    1.1.19.    Permitir a inserção de bases de conhecimento relativas às redes e serviços de telecomunicações para implementar o item de checagem, suas justificativas de implementação com devidas referências e fontes de ameaças relacionadas a ele.

     

    1.1.20.    Possuir para os controles a possibilidade de coleta automática nos itens de verificação, respondendo desta forma a base de conhecimento sem a necessidade de utilização de recursos manuais como copia e colagem dos itens de verificação ou resposta manual.

     

    1.1.21.    Permitir a verificação da situação de cada item de checagem como acatado, ou não-acatado e que não tenha relação com o ambiente.

     

    1.1.22.    Permitir a diferenciação das bases de conhecimento que estejam  em produção e desenvolvimento.

     

    1.1.23.    Permitir a exportação para edição inserindo um usuário específico que terá acesso por meio de senha.

     

    1.1.24.    Permitir exportar/importar a base de conhecimento em desenvolvimento para formato XLS.

     

    1.1.25.    Permitir controle de versão das bases de conhecimento em desenvolvimento.

     

    1.1.26.    Permitir criação de grupos de itens de checagem para melhoria da visualização e geração de relatórios.

     

    1.1.27.    Permitir a visualização do histórico de versionamento com as alterações realizadas em cada versão.

     

    1.1.28.    Permitir definição do grau de exposição ao risco conforme Norma ABNT NBR ISO 31000 (eventos em potencial/consequência).

     

    1.1.29.    Permitir a inclusão de novas ameaças.

     

    1.1.30.    Permitir a vinculação de uma ou mais ameaças por item de checagem.

     

    1.1.31.    Possibilitar a definição de Responsável e Substituto do projeto.

     

    1.1.32.    Possibilitar a cópia de projetos existentes com ou sem informação dos riscos ou conformidade já identificados.

     

    1.1.33.    Permitir a inclusão de itens de verificação ou área física ou lógica completa definida na estrutura funcional, como escopo do projeto de análise.

     

    1.1.34.    Possibilitar definir responsáveis por checagem em cada item de verificação.

     

    1.1.35.    Possibilitar a visualização do status de checagem em percentual de completude.

     

    1.1.36.    Possibilitar o armazenamento da data de abertura e fechamento dos projetos de análise.

     

    1.1.37.    Possuir indicação da situação do projeto em Aberto e Concluído.

     

    1.1.38.    Possuir campos de descrição e informações para preenchimento e detalhamento do projeto.

     

    1.1.39.    Permitir a seleção do escopo por meio de filtragem por: itens de verificação, área física ou lógica, níveis estratégicos e táticos e campos customizáveis.

     

    1.1.40.    Permitir a exportação do escopo definido para os formatos Excel e HTML.

     

    1.1.41.    Possibilitar a seleção de campos para visualização dos itens a serem analisados.

     

    1.1.42.    Cada campo deve permitir ser ordenado.

     

    1.1.43.    Cada campo deve permitir ser filtrado aplicando lógica se necessário.

     

    1.1.44.    Permitir salvar a customização definida dos campos apresentados.

     

    1.1.45.    Permitir a visualização do somatório dos itens de verificação de acordo com os filtros aplicados.

     

    1.1.46.    Permitir que os questionários sejam visualizados em múltiplos projetos pelos gestores.

     

    1.1.47.    Possuir Coletor Web.

     

    1.1.48.    Permitir que as análises sejam respondidas em formato web.

     

    1.1.49.    Permitir realizar customizações na forma como as perguntas são apresentadas.

     

    1.1.50.    Permitir o envio destes questionários por e-mail para o usuário atribuído no projeto de análise.

     

    1.1.51.    Permitir que seja solicitada senha para visualização do questionário web, afim de validar o usuário.

     

    1.1.52.    Permitir a inserção de comentários para cada item de checagem.

     

    1.1.53.    Permitir a inserção de anexos de qualquer tipo para cada item de checagem.

     

    1.1.54.    Possuir Coletor PDAs/SmartPhones/Tablets

     

    1.1.55.    Permitir o uso de aparelhos do tipo Personal Device Assistant, SmartPhone e Tablets utilizando Windows Mobile,Mac iOS ou Android.

     

    1.1.56.    Permitir a autenticação com usuário e senha para visualização das bases de conhecimento.

     

    1.1.57.    Permitir a coleta de evidências do tipo imagem e áudio através dos dispositivos para cada item de checagem.

     

    1.1.58.    Permitir a coleta do georreferenciamento em cada item de checagem respondido.

     

    1.1.59.    Permitir a resposta dos questionários em modo online, ou off-line, caso não seja uma solução web.

     

    1.1.60.    Permitir o envio de modo online direto para a base do software.

     

    1.1.61.    Possuir Coletor Software.

     

    1.1.62.    Permitir a exportação do checklist para formato Excel.

     

    1.1.63.    Permitir a alteração do grau de exposição ao risco para cada item de checagem.

     

    1.1.64.    Permitir a exportação para formato off-line, podendo ser atribuído autenticação com usuário e senha.

     

    1.1.65.    Permitir atribuir responsável específico para análise.

     

    1.1.66.    Permitir a inserção de comentários para cada item de checagem.

     

    1.1.67.    Permitir a verificação durante a resposta de como implementar o item de checagem, suas justificativa de implementação com devidas referencias e fontes e ameaças.

     

    1.1.68.    Permitir a inserção de anexos em qualquer formato.

     

    1.1.69.    Permitir as respostas em modo prático, podendo ser selecionados mais de um item de checagem por vez.

     

    1.1.70.    Possuir informe visual da quantidade de itens de checagem respondidos, quantos acatadas, não acatados e que não se aplicam ao ambiente.

     

    1.1.71.    Permitir realizar buscas dentro do questionário por palavras chaves, podendo distinguir as buscas em: Item de checagem, justificativas de implementação, os comentários feitos pelos analistas, ameaças ou referências.

     

    1.1.72.    Permitir que o checklist seja fechado evitando modificações.

     

    1.1.73.    Permitir que o questionário após seu fechamento ser visualizado em modo de leitura (sem  modificações).

     

    1.1.74.    Permitir visualização do histórico do checklist, possuindo no mínimo: data e hora da inserção no projeto de análise, nome do usuário, procedimento realizado (abertura, fechamento, modificações, etc).

     

    1.1.75.    Permitir a avaliação da conformidade, de forma automática com base em um projeto de análise de riscos dos itens de checagem.

     

    1.1.76.    Permitir a visualização da associação de cada item de checagem quanto aos requisitos dos frameworks relacionados a ele.

     

    1.1.77.    Permitir criar escalas de conformidades e maturidades.

     

    1.1.78.    Permitir verificar a conformidade em relação aos itens de checagem presentes nos projetos de análise em aberto ou concluído.

     

    1.1.79.    Permitir filtro da data de fechamento limite para seleção dos projetos de análise que serão confrontados com os frameworks a serem definidos.

     

    1.1.80.    Permitir mecanismo de resposta automática para os requisitos dos frame

    works a serem definidos.

     

    1.1.81.    Possuir mecanismo capaz de exportar os frameworks respondidos ou não em formato HTML.

     

    1.1.82.    Permitir a emissão de Relatórios.

     

    1.1.83.    Permitir a geração de relatório de conformidade mostrando a quantidade de itens de checagem relacionados a cada requisito do framework.

     

    1.1.84.    Permitir a geração de relatório detalhado de conformidade mostrando quais são os controles relacionados a cada requisito do framework.

     

    1.1.85.    Todos os relatórios devem possuir meios de filtragem.

     

    1.1.86.    Emitir relatório executivo que contém informações de índices de todas as redes e serviços de telecomunicações, de ameaças possíveis, de agentes de ameaças possíveis, processos de nível tático e estratégico, além de orientações para a gestão de riscos.

     

    1.1.87.    Emitir relatório executivo que contém uma visão de scorecard, ou seja, obter graficamente  informações de todo um projeto no formato de painel de controle.

     

    1.1.88.    Emitir uma representação gráfica que permite visualizar a interdependência de um item de verificação com sua camada tática e esta a sua camada estratégica, bem como os índices encontrados no momento de análise de riscos, obtendo assim uma visão de governança da segurança de infraestrutura crítica de telecomunicações.

     

    1.1.89.    Emitir relatório operacional que permite visualizar os comentários realizados na análise de riscos.

     

    1.1.90.    Exibir anexos do tipo imagem para cada item de verificação.

     

    1.1.91.    Exibir situações não conformes.

     

    1.1.92.    Exibir as boas práticas definidas na fase de metodologia de gestão de risco.

     

    1.1.93.    Permitir agrupamento de acordo com a estrutura da base de conhecimento.

     

    1.1.94.    Emitir uma visão de georeferenciamento das áreas da estrutura funcional, obtendo assim uma visão por cor dos níveis de riscos de acordo com os itens de verificação analisados.

     

    1.1.95.    Emitir uma visão de georeferenciamento dos itens de verificação, obtendo assim uma visão por cor dos níveis de riscos de cada base de conhecimento analisada.

     

    1.1.96.    Permitir a geração de relatório apresentando a consolidação dos comentários registrados nos itens de checagem durante o projeto.

     

    1.1.97.     Permitir ordenação por item de checagem.

     

    1.1.98.     Permitir ordenação por item de verificação.

     

    1.1.99.    Permitir a geração de relatório contendo a estrutura física e lógica mapeadas nas redes e serviços de telecomunicações  na   organização apresentando, no mínimo, :

     

    1.1.99.1.          descrição de cada item e o .

     

    1.1.99.2.         responsável pelo item.

     

    1.1.100.Emitir planilhas por ameaça, por itens de verificação, por situações de existência ou não de boas práticas, distribuição dos riscos em cada camada (tática e estratégica), dentre outros.

     

    1.1.101.Permitir a inclusão e retirada, customização, de diferentes colunas nas planilhas.

     

    1.1.102. Emitir gráficos com informações, como: Risco por ameaça, por base de conhecimento, por camada estratégica e tática, dentro outros.

     

    1.1.103. Permitir realizar a exportação dos gráficos gerados.

     

    1.1.104.Permitir a criação de Planos de ação.

     

    1.1.105.Permitir criar responsáveis e substitutos para cada plano de ação.

     

    1.1.106.Possuir indicação da situação do plano de ação em aberto e concluído.

     

    1.1.107.Possuir campos de descrição e informações para preenchimento e detalhamento do plano de ação.

     

    1.1.111 Permitir a seleção de escopo através de filtros, com:

     

    - Itens de verificação

     

    - Projetos de análises

     

    - Camadas táticas e estratégicas

     

    - Bases de conhecimento

     

    1.1.112 Permitir realizar a tomada de decisão de aceitação ou não de um risco encontrado com sua justificativa.

     

    1.1.113 Permitir documentar os riscos aceitáveis encontrados.

     

    1.1.114 Permitir criar tarefas consolidadas ou individuais para as partes envolvidas e/ou interessadas.

     

    1.1.115 Permitir exibição detalhada de cada item de checagem a ser tratado.

     

    1.1.116 Permitir visualizar os itens ainda não tratados.

     

    1.1.117 Permitir categorizar no Plano de ação a urgência para a devida priorização no tratamento dos riscos.

     

    1.1.118 Permitir o envio dos riscos não aceitáveis para o tratamento dinâmico em um recurso com interface web, para interação das partes envolvidas e interessadas.

     

    1.1.119 Permitir a exportação do escopo do plano de ação definido para os formatos Excel e HTML.


    Anexo A - 1.2 - Módulo de Painel de Controle

    1.2 MÓDULO DE PAINEL DE CONTROLE

     

    1.2.1 Possuir interface Web para monitoramento dos indicadores

     

    1.2.2 Possuir interface de autenticação (usuário e senha) para acesso.

     

    1.2.3 Permitir selecionar a qual organização (caso possua mais de uma) deseja acesso.

     

    1.2.4 Possuir serviço agregado ao sistema operacional onde seja possível efetuar o processamento dos gráficos por período pré-determinado.

     

    1.2.5 Possibilidade de criação de gráficos a partir das análises realizadas.

     

    1.2.6 Criação de gráficos consultando bancos SQL Server através de “QUERY”.

     

    1.2.7 Deve ser apresentada na mesma interface dos demais gráficos.

     

    1.2.8 Possibilidade de autenticação ao banco de Dados por usuário e senha ou integrada ao Windows.

     

    1.2.9 Criação de gráficos em diferentes projetos realizados.

     

    1.2.10 Todos os gráficos devem possuir mecanismo de controle de visualização e modificação, permitindo:

     

    a. Somente o criador visualizá-lo.

    b. Somente o criador poderá modificá-lo, outros podem visualizar

    c. Gráfico público, todos visualizam, somente autor edita.

    d. Todos com acesso ao sistema podem alterar e visualizar.

    e. Possibilidade de seleção de indicadores gráficos criados a partir de:

     

                - Risco encontrado.

     

                - Índice de segurança.

     

                - Índice de conformidade.

     

                - Quantidade de itens de verificação cadastrados no sistema.

     

                - Quantidade de questionamentos conformes.

     

                - Quantidade de questionamentos não conformes.

     

    1.2.11 Agrupamentos dos gráficos em:

     

                - Ameaças aos elementos cadastrados.

     

                - Bases de conhecimentos geradas.

     

                - Itens de verificação das análises.

     

                - Áreas físicas ou lógicas cadastradas.

     

                - Itens de checagem.

     

                - Nível de Risco.

     

                - Camada estratégica

     

                - Camada Tática

     

                - Responsável pelos elementos cadastrados.

     

                - Grupos de Itens de checagem.

     

    1.2.12 Possibilidade de visualização em tipos distintos de gráficos 2D e 3D, dentre eles:

    a. Radar.

    b. Pizza.

    c. Barras.

    d. Linhas.

    e. Rosca.

    f. Áreas.

     

    1.2.13 Possibilidade de visualização gráfica do histórico das análises por:

    a. Determinada época.

    b. Série Histórica.

     

    1.2.14 Permite a Inserção de filtros baseadas em:

     

                - Escolha por elementos cadastrados.

     

                - Responsável pelos elementos cadastrados.

     

                - Agrupamentos criados dentro das bases de conhecimento.

     

                - Camada Tática.

     

                - Camada Estratégica.

     

                - Nível do risco identificado.

     

                - Fontes potenciais de danos.

     

                - Causador da fonte potencial de dano.

     

    1.2.15 Permitir o agrupamento dos gráficos criados em painéis de controles pré-selecionados.

     

    1.2.16 Permitir agrupar gráficos de análises e consulta a banco SQL Server.

     

    1.2.17 Permitir a divisão do painel em linhas e colunas, cada campo contando um gráfico distinto.

     

    1.2.18 Permitir aumentar e/ou diminuir o nível de detalhamento dos gráficos, imergindo em um de seus componentes formadores.

     

    1.2.19 Permitir a mudança do tipo de gráfico mesmo após sua definição inicial.

     

    1.2.20 Mostrar Legendas e/ou Rótulo dos gráficos.

     

    1.2.21 Permitir a mudança de senha dos usuários na interface do painel de indicadores.

     

    1.2.22 Permitir cópia das configurações dos gráficos ou do painel.

     

    1.2.23 Permitir visualizar o responsável pela ultima modificação do gráfico ou painel.

     

    1.2.24 Permitir exportar os valores dos gráficos para formato XLS.


    Anexo A - 1.3 - Módulo de Tratamento

    1.3 MÓDULO DE TRATAMENTO - CONTROLE DE AÇÕES

     

    1.3.1 Possuir interface Web para controle das ações.

     

    1.3.2 Possuir interface de autenticação (usuário e senha) para acesso.

     

    1.3.3 Permitir selecionar a qual organização (caso possua mais de uma) deseja acesso.

     

    1.3.4 Permitir a definição de grupos de regras de acesso diferentes das vinculadas ao software.

     

    1.3.5 Perfis de acesso com diversos usuários associados a determinado grupo de regras.

     

    1.3.6 Permitir a visualização da relação estabelecida entre os grupos de regra e os perfis de acesso.

     

    1.3.7 Permitir o envio de mensagem institucional ao usuário ao efetuar logon.

     

    1.3.8 Possibilitar o cadastro de mensagens ao usuário com informações e arquivos anexados.

     

    1.3.9 Possuir envio de alertas para as partes envolvidas e interessadas para cada inclusão ou atualização de informação nos eventos.

     

    1.3.10 Emitir relatórios por camada estratégica e tática, por urgência, por impacto ou severidade, por grupos de tratamento, entre outros.

     

    1.3.11 Projetar interfaces web com informações gráficas em:

     

                - Pizza das quantidades de ações x urgência.

     

                - Quantidade de ações x impacto ou severidade

     

                - Tabelas com as áreas e percentuais de ações tratadas ou em tratamento

     

                - Dez ações com maiores urgências e possíveis impactos nas camadas táticas e estratégicas.

     

    1.3.16 Possuir atualização automática das projeções das telas web com informações gráficas.

     

    1.3.17 Permitir a customização dos textos do recurso de alertas, quanto a:

     

                - Atualização de uma ação.

     

                - Nova ação.

     

                - Qualquer mudança de priorização.

     

                - Inclusão de novos alertados (agentes externos e áreas de interesse).

     

                - Vinculação com camadas táticas e estratégicas dentre outros aspectos relevantes.

     

    1.3.18 Permitir a inserção de ações diretamente do software (Plano de Ação) e/ou o cadastramento de ações com ao menos os seguintes itens:

     

                - Descritivo da ação.

     

                - Resumo (Título).

     

                - Associar item de verificação proveniente da organização.

     

                - Grau de urgência no tratamento da ação.

     

                - Grau de severidade para o processo.

     

                - Atribuição do responsável a ação.

     

                - Criação de grupos de tratamento para a ação.

     

                - Possibilidade de mensuração da ação segundo critérios da instituição.

     

                - Definição de prazo de conclusão da ação.

     

                - Definição de Local da ação.

     

    1.3.19 Permitir associar agente externo (sem acesso ao sistema) para que receba informações das ações.

     

    1.3.20 Permitir a importação de novas ações utilizando planilhas pré-definidas em formato XLS.

     

    1.3.21 Permitir a listagem das ações para fácil identificação, contendo:

     

                - Customização dos campos apresentados.

     

                - Filtro para cada campo escolhido.

     

                - Ordenação por cada campo escolhido

     

                - Edição múltipla das ações listadas.

     

                - Fechamento de forma simultânea de diversas ações.

     

                - Cancelamento de forma simultânea de diversas ações.

     

                - Seleção da quantidade de ações a serem exibidas.

     

                - Exportação da seleção de ações para formato XLS.

     

    1.3.22 Permitir o acompanhamento das ações, com os seguintes atributos:

     

                - Atualização das ações com níveis de urgência e criticidade.

     

                - Inclusão de novas atividades.

     

                - Possibilidade de direcionamento de grupo de tratamento responsável pela atividade.

     

                - Atribuição de novos valores para ação.

     

                - Possibilidade de fechar a ação.

     

                - Possibilidade de anexar arquivos.

     

    1.3.23 Permitir a geração dos seguintes relatórios das ações:

     

                - Por status da ação (aberta, fechada, etc).

     

                - Por data (dia de abertura, fechamento, atualização).

     

                - Pelo grau de urgência.

     

                - Por áreas associadas aos eventos.

     

                - Visualização rápida das ações mais urgentes.

     

    1.3.24 Permitir o envio de forma automática de relatórios diários com a situação das ações em tratamento.

     

    1.3.25 Permitir listagem das atividades relacionadas para cada uma das ações.

     

    1.3.26 Permitir exportação para formato XLS.

     

    1.3.27 Permitir listagem da mensuração atribuída pela organização para cada uma das suas ações.

     

    1.3.28 Permitir que as ações sejam georreferenciadas.

     

    1.3.29 Permitir visualização das ações no mapa de acordo com as coordenadas estabelecidas.


    Anexo A - 1.4 - Módulo de Conformidade

    1.4 MÓDULO DE CONFORMIDADE

     

    1.4.1 Possibilitar a medição de conformidade de padrões e frameworks de mercado e padrões e frameworks a serem definidos fase de metodologia de gestão de risco aplicado à segurança da infraestrutura crítica de redes e serviços de telecomunicações.

     

    1.4.2 Realizar consolidação automática dos dados das análises de riscos com os seguintes

    padrões e frameworks definidos na fase de metodologia de gestão de risco aplicado à segurança da infraestrutura crítica de redes e serviços de telecomunicações.

     

    1.4.3 Permitir a classificação de níveis de maturidade para cada domínio ou objetivo dos padrões e frameworks.


    Anexo A - 1.5 - Módulo de Redes

    1.5. MÓDULO DE REDES

     

    1.5.1.       Permitir a estruturação da topologia da rede de telecomunicações baseada em correlação entre os itens de verificação, considerados para este módulo como sendo os elementos de rede, de forma a permitir a avaliação do grau de relevância destes itens de verificação, levando-se em conta a hierarquia entre os elementos de rede.

    1.5.2.       Permitir a leitura de base de dados composta com informações a serem fornecidas pela Anatel, em que parte dos dados será alimentada pelas prestadoras de serviços de telecomunicações de forma online, que conterá no mínimo:

    1.5.2.1.              Elementos de Rede e Rotas de Transmissão – número único padronizado pela Anatel

    1.5.2.2.              Coordenadas geográficas dos itens de verificação (Elementos de Rede e Rotas de Transmissão)

    1.5.2.3.              Status – indicar o estado operacional dos itens de verificação e de controle

    1.5.2.4.              Prestadora Responsável – indicar qual operadora é responsável pelo item de verificação

    1.5.2.5.              Capacidade Instalada – indicar a capacidade do item de verificação

    1.5.2.6.              Ocupação – indicar o percentual de uso da capacidade do item de verificação

    1.5.2.7.              Tráfego – indicar o tráfego do item de verificação

    1.5.2.8.              Usuários – número exato ou estimado de usuários atendidos pelo elemento

    1.5.2.9.              Serviço Associado – indicar qual serviço de telecomunicações o item de verificação está associado

    1.5.2.10.       Correlação/hierarquia com outros elementos – correlacionar dependência dos elementos mapeados entre si, quando viável

    1.5.2.11.       Alarme de eventos críticos.

    1.5.3.       Permitir o armazenamento de eventos relevantes, sendo o status um indicador passível de atualização constante.

    1.5.4.       Os dados mencionados devem ser passíveis de visualização em mapa do país com possibilidade de avaliação nacional, regional ou municipal.

    1.5.5.       Permitir integração para visualização em ferramentas de GIS (Geographic Information
    System).

    1.5.6.       O inventário deverá mesclar informações de banco de dados de sistemas em operação na Anatel com as informações a serem informadas pelas prestadoras.

    1.5.7.       Permitir a exportação e importação de dados através de arquivos tipo texto, XML e planilhas Excel.

    1.5.8.       Permitir a inclusão de campos customizáveis para cada item de verificação contendo: texto, número Real, checkbox, árvore, data, anexo, multisseleção, diagrama e figura.

    1.5.9.       Permitir a correlação entre elementos de uma prestadora, de forma que a interdependência entre itens de verificação (centrais, plataformas, transmissão e rede de acesso) seja estruturada.

    1.5.10.    Permitir a caracterização de importância dos elementos, por serviços, prestadoras e áreas de atendimento.

    1.5.11.    Permitir a definição da importância dos elementos considerando o tráfego cursado e/ou a quantidade de usuários atendidos ou localização estratégica do elemento.

    1.5.12.    Permitir filtros e pesquisas, em forma gráfica, em mapa e em planilha de forma a garantir a análise e relatórios por prestadora, serviço e localidades com base nos elementos supervisionados.

    1.5.13.    Permitir a visualização da topologia remotamente através de ferramenta Web browser.

    1.5.14.    Permitir alteração da topologia pela Anatel em forma gráfica através de ferramenta Web browser com o uso de senhas de acesso.

    1.5.15.    Permitir a interpretação de dados referentes à relação hierárquica dos itens de verificação de forma a definir a topologia (física e lógica) das redes de telecomunicações;

    1.5.16.    Permitir filtro de hierarquia dos itens de verificação;

    1.5.17.    Permitir a representação gráfica da relação hierárquica dos elementos de verificação por meio de diagramas;

    1.5.18.    Permitir a simulação de incidentes ou de aumento de tráfego envolvendo itens de verificação, com vistas a estimar o impacto do incidente e/ou verificar se a rede suportaria um aumento eventual do tráfego cursado;

    1.5.19.    Possibilitar o armazenamento dos eventos e correlacioná-los com os itens de verificação.

    1.5.20.    Deverá ser possível a correlação desses eventos recebidos com eventos externos (datas especiais, grandes eventos, previsões climáticas e etc.);

    1.5.21.    Possibilitar o controle dos dados enviados pelas prestadoras, de forma que eles tenham uma periodicidade mínima estabelecida. Em caso de falha nesta periodicidade, deverá haver formas automáticas de notificação à prestadora e à Anatel.

    1.5.22.    Permitir a visualização dos eventos em forma de mapas, com recursos de cores indicando a severidade do evento e facilidades de ampliação da visualização (drill down) até o item de verificação que originou o evento.

    1.5.23.    Permitir o armazenamento dos eventos de interrupção ou degradação dos serviços/sistemas que devem conter no mínimo: data e hora da ocorrência, data e hora da normalização, motivo causador, descrição, serviços e regiões impactados (informar degradações e interrupções), capacidade de transmissão impactada; Contingências adotadas; Medidas adotadas para solução do problema e notícias dadas à sociedade da referida interrupção.

    1.5.24.    Permitir a notificação em tempo real por e-mail e mensagens para dispositivos móveis, de forma a dar ciência de eventos considerados relevantes.

    1.5.25.    Permitir a extração de dados dos Sistemas e bases de dados existentes na Agência.

    1.5.26.    Indicar para cada elemento sua capacidade de tráfego instalada.

    1.5.27.    Indicar para cada elemento a capacidade utilizada de acordo com as informações e periodicidade recebidas.

    1.5.28.    Permitir a análise histórica gráfica dos dados de capacidade, tráfego e ocupação dos elementos, com informações de até 10 anos.

    1.5.29.    Alertar graficamente e por relatórios casos de ocupação críticos a serem definidos conjuntamente com a Agência.

    1.5.30.    Permitir uma extrapolação de tráfego nos elementos, de forma a analisar o impacto nas redes, com simulação de elevação ou redução de carga, de forma a auxiliar na indicação de riscos em especial para as localidades dos grandes eventos internacionais.

    1.5.31.    Permitir a simulação de impacto, via interface gráfica, com a indisponibilidade de elementos, indicando perda de capacidade na rede inserida, bem como os usuários, serviços e localidades afetados.

    1.5.32.    Permitir a integração com os demais módulos.

    1.5.33.    Deverá ser realizada a especificação e implementação de um coletor de dados para recebimento dos arquivos a serem disponibilizados pelas prestadoras de serviços de telecomunicações, com as seguintes características mínimas:

    1.5.33.1.         A especificação dos arquivos de carga de dados deverá ser validada pela Anatel;

    1.5.33.2.         Os arquivos deverão ser disponibilizados em formato XML, podendo ou não ser compactados;

    1.5.33.3.         Os campos dos arquivos deverão conter, no mínimo, os seguintes dados:

    ·                        Ordem (ou sequência);

    ·                        Nome da prestadora de serviço de telecomunicações;

    ·                        Nome do ativo;

    ·                        Tipo do ativo;

    ·                        Código do ativo nos sistemas da Anatel;

    ·                        Hierarquia do ativo na topologia da rede;

    ·                        Coordenadas geográficas do ativo;

    ·                        Capacidade máxima;

    ·                        Volume de tráfego;

    ·                        Status do ativo (operação / interrupção);

    ·                        Nível de bloqueio do ativo;

    ·                        Data e hora de início da interrupção do ativo (em caso de interrupção);

    ·                        Data e hora de normalização do ativo (em caso de volta à operação);

    ·                        Motivo da interrupção;

    ·                        Observação: texto para descrição da interrupção, identificação do problema, serviços e regiões impactadas, capacidade impactada, contingências adotadas, etc.

    1.5.33.4.         As regras de negócio do coletor de dados deverão ser validadas pela Anatel;

    1.5.33.5.         O coletor de dados deverá ser compatível e integrado aos sistemas da Anatel;

     


    Anexo A - 2 - Serviços

    2. SERVIÇOS

     

    A CONTRATADA deverá obrigatoriamente, no início do projeto, elaborar um Plano de Trabalho, em conjunto com as equipes da Anatel que farão a gestão do contrato, e mantê-lo atualizado durante toda a execução do projeto. O Plano deverá conter, no mínimo:

     

    ·         Reunião inicial de projeto

    ·         Definição das equipes envolvidas

    ·         Organograma do projeto

    ·         Estabelecimento de agenda de trabalho

    ·         Pontos de controle

    ·         Validação juntos as equipes envolvidas.

     

    Produtos esperados:

    ·         Plano de trabalho

    ·         Cronograma das atividades

    ·         Apresentação para as equipes da Anatel envolvidas.


    Anexo A - 2.1 - Metodologia de Gestão de Riscos

    2.1. METODOLOGIA DE GESTÃO DE RISCOS

     

    2.1.1. Projeto com a finalidade de elaborar e desenvolver uma metodologia de gestão de riscos, tendo como referência a Norma ABNT NBR ISO 31000 e objetivo gerenciar o risco de segurança das infraestruturas críticas de telecomunicações sob dois contextos:

     

    a)       Redes de telecomunicações

     

    Este nível contextualiza a gestão de riscos do setor sob o ponto de vista dos elementos das redes de telecomunicações, tais como: estações de telecomunicações (como: centrais telefônicas, estações rádio base, etc), rotas de transmissão de dados (como: rotas de fibra óptica, link de rádio, etc),

     

    Os dados necessários para fazer a gestão de riscos deste nível serão obtidos das prestadoras de serviços de telecomunicações. Estes dados dizem respeito às características da rede de telecomunicações como: tráfego, percentual de ocupação do elemento de rede, indisponibilidade do elemento de rede, etc.

     

    Estima-se um total de 1.000.000 (um milhão) de elementos de rede a serem inventariados (itens de verificação), no entanto, dada a dinâmica da inovação tecnológica do setor, o número de itens de verificação podem extrapolar esta previsão em poucos anos. Estima-se o recebimento de um pacote de dados (como: status, capacidade, ocupação, bloqueio, data e hora do início e fim de uma interrupção; e a causa da interrupção) a cada 30 minutos para cada elemento de rede. As informações recebidas por este pacote de dados deverão ser representadas pelo software por meio do Módulo de Redes (Item 2.5), de modo a possibilitar o monitoramento das redes de telecomunicações pela Anatel.

     

    Os elementos de rede considerados como estratégicos deverão ter o seu risco analisado pelo software, utilizando a metodologia de gestão de riscos definida neste item. Estima-se um total de 5.000 (cinco mil) elementos de rede estratégicos que serão objeto de gestão de risco.

     

    É de responsabilidade da contratada a definição, em comum com a Anatel, dos critérios para seleção dos elementos de rede considerados estratégicos.

     

    É de responsabilidade da contratada: definir, em comum acordo com a Anatel, o padrão e a periodicidade do pacote de dados a ser enviado pelas prestadoras de telecomunicações para carregamento no software, levando-se em conta as estimativas acima.

     

    É de responsabilidade da Anatel: determinar às prestadoras de telecomunicações o envio do pacote de dados no padrão e na periodicidade definidos.

     

     

     

     

    b)      Serviços de telecomunicações

     

    Este nível contextualiza a gestão de riscos sob o ponto de vista dos serviços de telecomunicações, considerando que a Anatel é responsável pela regulação e fiscalização destes serviços.

     

    Entende-se que os itens de verificação a serem inventariados são os principais serviços de telecomunicações (SMP, SME, STFC, SCM, TV por assinatura, etc) das principais prestadores de serviços de telecomunicações estratificados a nível de município.

     

    Os dados necessários para fazer a gestão de riscos deste nível serão obtidos, à priori, nos sistemas da Anatel.

     

    É de responsabilidade da contratada: avaliar os sistemas da Anatel que contém dados necessários para a gestão de risco das infraestruturas críticas de telecomunicações e desenvolver APIs (Application Programming Interface) para troca de dados entre o Software e os sistemas da Anatel.

     

     

    2.1.1.1. A metodologia proposta deverá ser aderente a metodologia do Software de Governança, Riscos e Conformidade ofertado como forma de proporcionar um processo de gestão de riscos efetivo das redes e serviços de telecomunicações no Brasil, no âmbito da Anatel.

     

    2.1.1.2. Deverá ser apresentado o fluxo de trabalho da metodologia considerando os processos definidos na metodologia onde as etapas do processo sejam passíveis de serem executados no Software de Governança, Riscos e Conformidade ofertado.

     

    2.1.2. PRODUTOS ESPERADOS:

     

    2.1.2.1. Processo de Gestão de Riscos para os contextos de redes e de serviços de telecomunicações, envolvendo:

     

    i.                    Estabelecimento do Contexto e Framework

     

    i.1 – Generalidades

     

    - devem ser estabelecidos os parâmetros externos e internos a serem levados em consideração para gerenciar riscos;

    - devem ser estabelecido o escopo e os critérios de risco para o restante do processo.

     

    i.2 – Estabelecimento do contexto externo

     

    O contexto externo pode incluir, mas não está limitado a:

    - ambientes cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional ou local;

    - relações com as partes interessadas externas e suas percepções de valores

     

    i.3 – Estabelecimento do contexto interno

     

    O contexto interno é algo dentro da Anatel que pode influenciar a maneira pela qual a Agência gerenciará os riscos.

    O processo de gestão de riscos deve estar alinhado com a cultura, processos, estrutura e estratégia da Anatel.

    Deve ser compreendido o contexto interno. Isto pode incluir, mas não está limitado a:

    - governança, estrutura organizacional, funções e responsabilidades;

    - políticas, objetivos e estratégias implementadas para atingi-los;

    - capacidades, entendidas em termos de recursos e conhecimentos (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias);

    - sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);

    - relações com as partes interessadas internas, e suas percepções e valores;

    - cultura da Anatel;

    - normas, diretrizes e modelos adotados pela Anatel.

     

    i.4 – Estabelecimento do contexto do processo de gestão de riscos

     

    O contexto do processo de gestão de riscos deve contemplar:

     

    - definição das metas e objetivos das atividades de gestão de riscos;

    - definição das responsabilidades pelo processo e dentro da gestão de riscos;

    - definição do escopo, bem como da profundidade e da amplitude das atividades da gestão de riscos a serem realizadas;

    - definição das metodologias de processo de avaliação de riscos;

    - definição da forma como são avaliados o desempenho e a eficácia da gestão de riscos;

    - identificação e especificação das decisões que têm que ser tomadas;

     

    i.5 – Definição dos critérios de risco

     

    Devem ser definidos os critérios utilizados para avaliar a significância do risco. Os critérios devem refletir os valores, objetivos e recursos da Anatel. Alguns critérios podem ser impostos por, ou derivados de requisitos legais e regulatórios.

     

    Ao definir os critérios de risco, convém que os fatores a serem considerados incluam os seguintes aspectos:

    - a natureza e os tipos de causas e de consequências que podem ocorrer e como elas serão medidas;

    - como a probabilidade será definida;

    - a evolução no tempo da probabilidade e/ou consequência(s);

    - como o nível de risco deve ser determinado;

    - os pontos de vista das partes interessadas;

    - o nível em que o risco se torna aceitável ou tolerável; e

    - se convém que combinações de múltiplos riscos sejam levadas em consideração e, em caso afirmativo, como e quais combinações convém que sejam consideradas.

     

    ii.    Processo de avaliação de riscos

     

    ii.1 – Generalidades

     

    O processo de avaliação de riscos é o processo global de identificação de riscos, análise de riscos e avaliação de riscos

     

    ii.2 – Identificação de riscos

     

    Devem ser identificadas a fontes de risco, áreas de impactos, eventos (incluindo mudanças nas circunstâncias) e suas causas e consequências potenciais. A finalidade desta etapa é gerar uma lista abrangente dos riscos baseados nestes eventos que possam criar, aumentar, evitar, reduzir, acelerar, ou atrasar a realização dos objetivos. A identificação abrangente é crítica, pois um risco que não é identificado nesta fase não será incluído em análises posteriores.

     

    A identificação deve incluir todos os riscos, estando suas fontes sob o controle da Anatel ou não, mesmo que as fontes ou causas dos riscos possam não ser evidentes. Convém que a identificação dos riscos inclua o exame de reações em cadeia provocadas por consequências específicas, incluindo os efeitos cumulativos e em cascata. Convém que também seja considerada uma ampla gama de consequências, ainda que a fonte ou causa do risco não esteja evidente. Além de identificar o que pode acontecer, é necessário considerar possíveis causas e cenários que mostrem quais consequências podem ocorrer. Convém que todas as causas e consequências significativas sejam consideradas.

     

    Devem ser aplicadas ferramentas e técnicas de identificação de riscos que sejam adequadas aos objetivos e capacidades da Anatel e aos riscos enfrentados. Informações pertinentes e atualizadas são importantes na identificação de riscos. Convém que incluam informações adequadas sobre os fatos por trás dos acontecimentos, sempre que possível. Pessoas com um conhecimento adequado devem ser envolvidas na identificação dos riscos

     

    ii.3 – Análise de riscos

     

    A análise de riscos envolve desenvolver a compreensão dos riscos. A análise de riscos fornece uma entrada  para a avaliação de riscos e para as decisões sobre a necessidades dos riscos serem tratados, e sobre as estratégias e métodos mais adequados de tratamento dos riscos. A análise de riscos também pode fornecer uma entrada para a tomada de decisões em que escolhas precisam ser feitas e as opções envolvem diferentes tipos e níveis de risco.

     

    A análise de riscos envolve a apreciação das causas e as fontes de risco, suas consequências positivas e negativas, e a probabilidade de que essas consequências possam ocorrer. Os fatores que afetam as consequências e a probabilidade sejam identificados. O risco é analisado determinando-se as consequências e sua probabilidade, e outros atributos do risco. Um evento pode ter várias consequências e pode afetar vários objetivos. Os controles existentes e sua eficácia devem ser levados em consideração.

     

    A forma que as consequências e a probabilidade são expressas e o modo com que elas são combinadas para determinar um nível de risco devem refletir o tipo de risco, as informações disponíveis e a finalidade para a qual a saída do processo de avaliação de riscos será utilizada. Isso deve ser compatível com um critério de risco. Também deve ser considerada a interdependência dos diferentes riscos e suas fontes.

     

    A confiança na determinação do nível de risco e sua sensibilidade a condições prévias e premissas devem ser consideradas na análise e comunicadas eficazmente para os tomadores de decisão e, quando apropriado, a outras partes interessadas. Convém que sejam estabelecidos e ressaltados fatores como a divergência de opinião entre especialistas, a incerteza, a disponibilidade, a qualidade, a quantidade e a contínua pertinência das informações, ou as limitações sobre a modelagem.

     

    A análise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis. Dependendo das circunstâncias, a análise pode ser qualitativa, semiquantitativa ou quantitativa, ou uma combinação destas.

     

    As consequências e suas probabilidades podem ser determinadas por modelagem dos resultados de um evento ou conjunto de eventos, ou por extrapolação a partir de estudos experimentais ou a partir dos dados disponíveis. As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Em alguns casos, é necessário mais que um valor numérico ou descritor para especificar as consequências e suas probabilidades em diferentes períodos, locais, grupos ou situações.

     

    ii.4 – Avaliação de riscos

     

    A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base nos resultados da análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento.

     

    A avaliação dos riscos envolve comparar o nível de risco encontrado durante o processo de análise com os critérios de risco estabelecidos quanto o contexto foi considerado. Com base nesta comparação, a necessidade do tratamento pode ser considerada.

     

    Convém, que as decisões levem em conta o contexto mais amplo do risco e considerem a tolerância aos riscos assumida por partes que não a própria Anatel. As decisões devem ser tomadas de acordo com os requisitos legais, regulatórios e outros requisitos.

     

    Em algumas circunstâncias, a avaliação dos riscos pode levar à decisão de se proceder a uma análise mais aprofundada. A avaliação dos riscos também pode levar à decisão de não se tratar o risco de nenhuma outra forma que seja manter os controles existentes. Esta decisão será influenciada pela atitude perante o risco da Anatel e pelos critérios de risco que foram estabelecidos.

     

     

    iii. Tratamento de riscos

     

    iii.1 – Generalidades

     

    O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos e a implementação dessas opções. Uma vez implementado, o tratamento fornece novos controles ou modifica os existentes.

     

    Tratar riscos envolve um processo cíclico composto por:

    - avaliação do tratamento de riscos já realizado;

    - decisão se os níveis de risco residual são toleráveis;

    - se não forem toleráveis, a definição e implementação de um novo tratamento para os riscos; e

    - avaliação da eficácia desse tratamento

     

    As opções de tratamento de riscos não são necessariamente mutuamente exclusivas ou adequadas em todas as circunstâncias. As opções podem incluir os seguintes aspectos:

    - ação de evitar o risco ao se decidir não iniciar ou descontinuar atividade que dá origem ao risco;

    - tomada ou aumento do risco na tentativa de tirar proveito de uma oportunidade;

    - remoção da fonte de risco;

    - alteração da probabilidade;

    - alteração das consequências;

    - compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e

    - retenção do risco por uma decisão consciente e bem embasada.

     

    iii.2 – Seleção das opções de tratamento de riscos

     

    Selecionar a opção mais adequada de tratamento de riscos envolve equilibrar, de um lado, os custos e os esforços de implementação e, de outro, os benefícios decorrentes, relativos a requisitos legais, regulatórios ou quaisquer outros, tais como a responsabilidade social e o da proteção do ambiente natural. As decisões também devem levar em consideração os riscos que demandam um tratamento economicamente não justificável, como, por exemplo, riscos severos (com grande consequência negativa), porém raros (com probabilidade muito baixa).

     

    Várias opções de tratamento podem ser consideradas e aplicadas individualmente ou combinadas. A Anatel, normalmente, beneficia-se com a adoção de uma combinação de opções de tratamento.

     

    Ao selecionar as opções de tratamento de riscos, devem ser considerados os valores e as percepções das partes interessadas, e as formas mais adequadas para se comunicar com elas. Quando as opções de tratamento de riscos podem afetar o risco no resto da Anatel ou com as partes interessadas, convém que a decisão seja levada ao órgão máximo de decisão da Agência. Embora igualmente eficazes, alguns tratamentos podem ser mais aceitáveis para algumas das partes interessadas do que para outras.

     

    O plano de tratamento deve identificar claramente a ordem de prioridade em que cada tratamento deva ser implementado.

     

    O tratamento de riscos, por si só, pode introduzir riscos. Um risco significativo pode derivar do fracasso ou da ineficácia das medidas de tratamento de riscos. O monitoramento precisa fazer parte do plano de tratamento de forma a garantir que as medidas permaneçam eficazes.

     

    O tratamento de riscos também pode introduzir riscos secundários que necessitam ser avaliados, tratados, monitorados e analisados criticamente. Esses novos riscos secundários devem ser incorporados no mesmo plano de tratamento do risco original e não tratados como um novo risco. A ligação entre esses riscos deve ser identificada e preservada.

     

    iii.3 – Preparação e implementação dos planos de tratamento de riscos.

     

    A finalidade dos planos de tratamento de riscos é documentar como as opções de tratamento escolhidas serão implementadas. As informações fornecidas nos planos de tratamento devem incluir:

    - as razões para a seleção das opções de tratamento, incluindo os benefícios que se espera obter;

    - os responsáveis pela aprovação do plano e os responsáveis pela implementação do plano;

    - ações propostas;

    - os recursos requeridos, incluindo contingências;

    - medidas de desempenho e restrições;

    - requisitos para a apresentação de informações de monitoramento; e

    - cronograma de programação

     

    Os planos de tratamento devem ser integrados com os processos de gestão da organização e discutidos com as partes interessadas apropriadas;

     

    Os tomadores de decisão e as partes interessadas devem estar cientes da natureza e da extensão do risco residual após o tratamento do risco. O risco residual deve ser documentado e submetido a monitoramento, análise crítica e, quando apropriado, a tratamento condicional.

     

    iv. Comunicação e consulta

     

    A comunicação e a consulta às partes interessadas internas e externas devem ocorrer durante todas as fases do processo de gestão de riscos.

     

    Os planos de comunicação e consulta devem ser desenvolvidos em um estágio inicial. Estes planos devem abordar questões relacionadas com o risco propriamente dito, suas causas, suas consequências (se conhecidas) e as medidas que estão sendo tomadas para trata-los. A comunicação e consulta interna e externa devem ser eficazes a fim de assegurar que os responsáveis pela implementação do processo de gestão de riscos e as partes interessadas compreendam os fundamentos sobre os quais as decisões são tomadas e as razões pelas quais ações específicas são requeridas.

     

    A equipe de consultores da contratada, em comum acordo com a Anatel, deverá:

     

    – auxiliar a estabelecer o contexto apropriadamente;

    – assegurar que os interesses das partes interessadas sejam compreendidos e considerados;

    – auxiliar a assegurar que os riscos sejam identificados adequadamente;

    – reunir diferentes áreas de especialização em conjunto para análise de riscos;

    – assegurar que diferentes pontos de vista sejam devidamente considerados quando da definição dos critérios de risco e na avaliação dos riscos;

    – garantir o aval e o apoio para um plano de tratamento;

    – aprimorar a gestão de mudanças durante o processo de gestão de riscos; e

    – desenvolver um plano apropriado para comunicação e consulta interna e externa.

     

    v. Monitoramento e análise crítica

     

    O monitoramento e análise crítica devem ser planejados como parte do processo de gestão de riscos e envolve a checagem ou vigilância regulares. Podem ser periódicos ou acontecer em resposta a um fato específico.

     

    As reponsabilidades relativas ao monitoramento e à análise crítica devem ser definidos.

     

    Os processos de monitoramento e análise crítica devem abranger todos os aspectos do processo de gestão de risco com a finalidade de:

    - garantir que os controles sejam eficazes e eficientes no projeto e na operação;

    - obter informações adicionais para melhorar o processo de avaliação de riscos;

    - analisar os eventos (incluindo os “quase incidentes”), mudanças, tendências, sucessos e fracassos e aprender com eles;

    - detectar mudanças no contexto externo e interno, incluindo alterações nos critérios de risco e no próprio risco, as quais podem requerer revisão dos tratamentos dos riscos e suas prioridades; e

    - identificar os riscos emergentes.

     

    O progresso na implementação dos planos de tratamento de riscos proporciona uma medida de desempenho. Os resultados podem ser incorporados na gestão, na mensuração e na apresentação (tanto externa quanto internamente) a respeito do desempenho global da Anatel.

     

    Os resultados do monitoramento e da análise crítica devem ser registrados e reportados externa e internamente conforme apropriado, e também devem ser utilizados como entrada para a análise crítica.

     

    vi. Registro do processo de gestão de riscos

     

    As atividades de gestão de risco devem ser rastreáveis. No processo de gestão de riscos, os registros fornecem os fundamentos para a melhoria dos métodos e ferramentas, bem como de todo o processo.

     

    As decisões relativas à criação de registros devem levar em consideração:

    - a necessidade da Anatel de aprendizado contínuo;

    - os benefícios da reutilização de informação para fins de gestão;

    - os custos e os esforços envolvidos na criação e manutenção de registros;

    - as necessidades de registros legais, regulatórios e operacionais;

    - o método de acesso, facilidade de recuperação e meios de armazenamento;

    - o período de retenção; e

    - a sensibilidade das informações.

     

    vi. Controles

     

    Deverão ser definidos, em comum acordo com a Anatel, quais os controles mais adequados para os contextos de redes e serviços de telecomunicações e para os projetos piloto da Copa das Confederações e Copa do Mundo.

     

     

    Nota 1: Os modelo de gestão de risco de segurança da infraestrutura crítica de telecomunicações para os contextos de rede e de serviço deverão ser entregues por meio de:

     

    a)       implementação do modelo no Software de Governança, Risco e Conformidade ofertado e

    b)      memorial descritivo da metodologia, aplicada para as redes e serviços de telecomunicações, a ser entregue em meio físico e em arquivo eletrônico.

     

     

     

    2.1.2.2. Projetos Piloto de Gestão de Riscos para a Segurança da Infraestrutura Crítica de Telecomunicações com foco nos seguintes eventos

     

    i. Copa das Confederações.

     

    ii. Copa do Mundo.

     

    Nota 1: Para os projetos piloto o Software de GRC deverá ser configurado para o contexto específico dos eventos, de modo que deverão ser identificados os riscos que possam afetar o bom funcionamento das redes e serviços de telecomunicações durante os eventos. Além das redes e serviços devem ser consideradas as atividades da própria Anatel relativas ao evento.

     

    Nota 2: Deve ser entregue memorial descritivo que demonstre como foi configurado o Software para os referidos eventos e que permita à equipe técnica da Anatel fazer a configuração do Software em outros eventos.


    Anexo A - 2.2 - Modelo de Gestão de Tratamento e Respostas a Incidentes de Segurnaça da Infraestrutura Crítica de Telecomunicaçõse

    2.2. MODELO DE GESTÃO DE TRATAMENTO E RESPOSTAS A INCIDENTES DE SEGURANÇA DA INFRAESTRUTURA CRÍTICA DE TELECOMUNICAÇÕES

     

    2.2.1.Projeto com a finalidade de definir o processo e as atividades para o correto tratamento de incidentes, com o foco na identificação, análise, avaliação, tratamento, dentre outras atividades, proporcionando como principal benefício a capacidade de resposta aos incidentes de forma unificada.

     

    2.2.2. O Processo de Tratamento e Respostas a Incidentes deverá utilizar como canal de comunicação entre os envolvidos utilizando o Software de Governança, Riscos e Conformidade ofertado. Deverão ainda ser parametrizados indicadores no Software de Governança, Riscos e Conformidade ofertado, que apóiem o grupo de Tratamento e Resposta a Incidentes na tomada de decisão no que tange os incidentes  de segurança e ameaças a eles relacionadas.

     

    2.2.3. Deverá ser gerada uma proposta para implantação do Grupo de Tratamento e Respostas a Incidentes considerando a estrutura funcional da Anatel e estratégia para sua criação.

     

    2.2.4. PRODUTOS ESPERADOS:

    i. Modelo de Gestão de Resposta a Incidentes

    ii. Proposta de Implantação

     


    Anexo A - 2.3 - Gestão de Riscos

    2.3. GESTÃO DE RISCOS

     

    2.3.1. OBJETIVO:

     

    2.3.1.1.  Inventariar, analisar, avaliar e tratar os riscos relacionados aos itens de verificação das redes e dos serviços de telecomunicações em conformidade com a Metodologia de Gestão de Riscos definida no Item 2.1.

     

    2.3.2. O SUBPROJETO DE GESTÃO DE RISCOS DEVERÁ CONTEMPLAR:

     

    2.3.2.1. INVENTÁRIO

     

    Deverão ser inventariados os ativos das redes e os serviços de telecomunicações. Deverá ser gerado um relatório de inventário de ativos para validação por representante da Anatel.

     

    2.3.2.2. ANÁLISE

     

    - Deverão ser analisados os ativos inventariados considerando seus respectivos componentes constantes no relatório de inventário entregue e validado na etapa anterior.

     

    - Deverão ser gerados relatórios gerenciais apresentando indicadores que  possibilitem a avaliação por parte dos gestores do atual nível de risco das redes e dos serviços de telecomunicações.

     

    - Deverão ser gerados relatórios operacionais que tragam consigo recomendações para a implantação das não conformidades, ainda que estas não possam ser tratadas.

     

    - A análise irá contemplar os itens de verificação de redes e de serviços de telecomunicações.

     

     - Deverá ser avaliada a conformidade das redes e dos serviços de telecomunicações com as boas práticas de segurança de infraestrutura crítica de telecomunicações e com os regulamentos sobre telecomunicações  emitidos pela Anatel.

     

     

    Nota: As análises de riscos e seu método de gestão deverão ser realizados e mantidos utilizando o Software de Governança, Riscos e Conformidade ofertado, no intuito de possibilitar avaliações futuras do projeto de Gestão de Riscos.

     

     

    2.3.2.3. AVALIAÇÃO

     

    Com base nos resultados das análises, deverá ser gerado um plano de ação para implantação dos controles como não conformes considerando a viabilidade de implantação do controle. O plano de ação deverá conter no mínimo:

     

    I. Ação a ser implantada;

    II. Prazo para Implantação;

    III. Área Funcional responsável; e

     

    Nota: O Software de Governança, Riscos e Conformidade ofertado deverá possibilitar o cadastramento das ações de tratamento do risco.

     

     

    2.3.2.4. TRATAMENTO

     

    Nesta etapa, a Contratada deverá disponibilizar equipe técnica especializada para apoio na execução do plano de ação dos controles não conformes.

     

     

    2.3.3. PRODUTOS ESPERADOS:

     

    i. Ativos carregados no software e Relatório de Inventário de Ativos

    ii. Relatório de Análise de Riscos (cenário atual)

    iii. Relatório Operacional de Riscos

    iv. Plano de Ação de Tratamento das não conformidades

     

    Obs.: Estes relatórios deverão ser obtidos a partir do Software contratado.

     


    Anexo A - 2.4 - Treinamento

    2.4. TREINAMENTO

     

     

    2.4.1. OBJETIVO:

     

    2.4.1.1. Esta etapa tem como objetivo a capacitação de servidores em níveis operacional, avançado e estratégico, por meio de instrutoria, para os servidores definidos pela Anatel os modelos de gestão de risco aplicados às redes e aos serviços de telecomunicações.  

     

    2.4.2. TREINAMENTO INICIAL:

     

    Deverá ser montado um plano de treinamento inicial para até 10 servidores escolhidos pela Anatel que farão parte do grupo de implantação do projeto SIEC na Anatel.

     

    O treinamento inicial deve preparar os servidores nos conceitos de gestão de risco e de funcionamento do software ofertados necessários para a implementação da solução contratada.  

    Deverá ser realizado 1 (um) treinamento inicial com duração estimada de 40 horas. 

    Deverá ser montado material didático e manual para iniciantes que deverá ser entregue durante o treinamento aos servidores em capacitação e em meio eletrônico para os gestores do contrato.

     

     

    2.4.3.    TREINAMENTO OPERACIONAL

     

    Deverá ser montado um plano de treinamento operacional para 80 servidores.

     

    O treinamento operacional deve preparar os servidores para exercer as atividades rotineiras junto ao sistema, explanando sobre a metodologia de gestão de risco e funcionamento da solução em nível de redes e serviço.

    Deverão ser realizados 4 (quatro) treinamentos operacionais, em turmas de no máximo 20 pessoas, com duração estimada de 24 horas.  

     

    Deverá ser montado material didático e manual operacional para ser entregue durante os treinamentos aos servidores em capacitação e em meio eletrônico para os gestores do contrato.

     

     

    2.4.4.    TREINAMENTO AVANÇADO

     

    Deverá ser ministrado 1 (um) treinamento avançado para 12 servidores com duração estimada de 40 horas.

     

    A capacitação de servidores no curso avançado terá como pré-requisito a participação no treinamento operacional

     

    O treinamento avançado deve preparar os servidores para exercer para a configuração do sistema para as necessidades específicas que surgirem para a adaptação/evolução da gestão do risco de segurança de infraestrutura crítica de redes e de serviços de telecomunicações.

    O treinamento avançado deve preparar os servidores para configurar o software para outros tipos de aplicações que o software permita mas que não sejam objetos deste contrato.

    Deverá ser montado material didático e manual avançado para ser entregue durante os treinamentos aos servidores em capacitação e em meio eletrônico para os gestores do contrato.

     

    2.4.5.    TREINAMENTO ESTRATÉGICO

     

    Deverá ser ministrado 1 (um) treinamento estratégico para 20 participantes.

     

    O treinamento estratégico deve preparar os participantes para compreender a gestão do risco de segurança de infraestrutura crítica de redes e de serviços de telecomunicações em nível estratégico, mostrando as funcionalidades da solução contratada, em nível macro, para a direção da Anatel.

    Deverá ser realizado 1 (um) treinamento estratégico com duração estimada de 4 horas.  A capacitação de participantes no curso estratégico não deverá apresentar pré-requisito.  

    Deverá ser montado material didático e manual estratégico para ser entregue durante os treinamentos aos participantes da capacitação e em meio eletrônico para os gestores do contrato.

     

    2.4.6.    DISPOSIÇÕES GERAIS

     

    Os treinamentos deverão ser realizados em Brasília, em português, em local fornecido pela CONTRATADA. O local de treinamento deverá possuir todas as facilidades para um perfeito desempenho das atividades incluindo os recursos áudio visuais e laboratórios necessários, sem ônus algum para a CONTRATANTE;

     

    A Anatel poderá disponibilizar suas instalações para a realização do treinamento. Entretanto, é responsabilidade da Contratada verificar se a infraestrutura da Anatel é adequada para a realização do treinamento e se estará disponível.

     

    Os cursos e palestras deverão ser práticos e teóricos.

     

    A contratada deverá fornecer certificado de conclusão de curso para todos os participantes que tiverem a presença mínima de 75%.

     

    Caberá à CONTRATADA prover todos os recursos didáticos necessários à realização do treinamento, incluindo, sala de aula, Datashow, apostilas, bloco de anotações, entre outros;

     

    Toda a documentação didática necessária aos cursos de treinamento deverá ser disponibilizada em papel impresso e mídia digital;

     

    Os cursos referentes a equipamentos e software deverão usar o material oficial de treinamento do respectivo fabricante por meio de qualquer um dos seus respectivos centros autorizados de treinamento;

     

    2.4.7. O PROGRAMA DE TREINAMENTO DEVERÁ TER NO MÍNIMO O SEGUINTE ESCOPO:

     

    2.4.7.1.Modelos de gestão de risco aplicado à infraestrutura crítica de telecomunicações nos contextos de rede e de serviço de telecomunicações;

     

    2.4.7.2. Configuração avançada do software de GRC para as necessidades dos modelos de gestão de risco aplicado à segurança de infraestrutura critica de telecomunicações;

     

    2.4.7.3. Norma Gestão de Riscos – Princípios e diretrizes, ABNT NBR ISO 31000:2009;

     

     

    2.4.8. PRODUTOS ESPERADOS

     

    i.          01 curso inicial com material didático e manual.

    ii.         04 cursos operacionais com material didático e manual.

    iii.        01 curso avançado com material didático e manual

    iv.        01 curso estratégico com material didático e manual


    Anexo A - 2.5 - Operação Assistida

    2.5. OPERAÇÃO ASSISTIDA

     

    2.5.1. OBJETIVO:

     

    2.5.1.1. Apoiar as equipes da Anatel na execução/revisão de atividades relacionadas com o objeto contratado bem como operação do software e atividades correlacionadas, utilizando o esforço em horas apenas como estimativa para precificação das Ordens de Serviço. Cada ordem de serviço deverá conter no mínimo:

     

    i. Dados da Contratada;

    ii. Objetivo;

    iii. Justificativa;

    iv. Descrição das atividades;

    v. Estimativa de esforço;

    vi. Planilha de Custos;

    vii. Cronograma e Prazos; e

    viii.Produtos.

     

    2.5.1.2. Para execução das atividades, estima-se uma quantidade de 8.000 (oito mil horas) horas de Operação Assistida.

     

    2.5.1.3. O pagamento das referidas ordens de serviço deverão ocorrer na entrega de cada um dos PRODUTOS descritos nas mesmas. As horas e prazos servem apenas para estimativa de valor, sendo vetado o pagamento de horas sem entrega de produtos.


    Anexo A - 3 - Suporte e Manutenção da Solução Contratada

    3 – SUPORTE E MANUTENÇÃO DA SOLUÇÃO CONTRATADA

     

     

    3.1 Após o término da garantia do produto, deverão ser fornecidos os serviços de suporte e manutenção do software para os próximos 12 meses, podendo ser prorrogado nos termos do Artigo 57 da Lei nº. 8666/93.

     

    3.2 A CONTRATADA deverá por meio dos serviços de manutenção, prover as atualizações evolutivas do software e todos os seus módulos. O valor total dos serviços de suporte e manutenção não poderá exceder a 20% do valor total de aquisição do software.

     

    3.3 A CONTRATADA deverá prover por um período de 36 meses os serviços referentes ao suporte técnico da solução dos quais serão demandados por meio de contato telefônico ou e-mail.

     

    3.4 Os serviços de suporte e manutenção serão pagos mensalmente mediante ateste do serviço por representante do Anatel que será fornecido no dia 25 de cada mês, ou próximo dia útil, e a nota fiscal referente a este serviço deverá ser apresentada no 1º dia útil do mês subsequente.

     

    3.5 Após a abertura do chamado para suporte técnico, a contratada deverá realizar os atendimentos por meio de atendimento telefônico onde não sendo possível solucionar o problema reportado por este meio, deverá ser realizado o atendimento presencial para solução do problema.

     

    3.5.1 Atendimentos telefônicos e presenciais:

    a. Os atendimentos telefônicos deverão ocorrer nos dias úteis entre os horários de 08h00 e 18h00.

     

    3.5.2 Durante a abertura do chamado, o responsável pela sua abertura deverá pontuar/classificar a urgência do atendimento que será tomada como referencia para definição dos prazos para atendimento descritos abaixo:

     

    a. Urgência Baixa:

    a.1) Serão classificados com urgência baixa os chamados referentes a problemas que não afetem as atividades desenvolvidas no software e deverão ser atendidas em até 48h a contar de sua abertura.

     

    b. Urgência Média:

    b.1) Serão classificados com urgência média os chamados referentes a problemas que afetem atividades mais sem que comprometam os prazos e a qualidade das mesmas e deverão ser atendidas em até 24h a contar de sua abertura.

     

    c. Urgência Alta:

    c.1) Serão classificados com urgência alta os chamados referentes a problemas que afetem atividades e comprometam os prazos e a qualidade das atividades onde deverão ser atendidos em até 4h de sua abertura.

     

    d. Urgência Muito Alta:

    d.1) Serão classificados com urgência muito alta os chamados referentes a problemas que possam ocasionar a perda de dados ou comprometam a disponibilidade, integridade e confidencialidade das informações constantes no software.

     

    3.5.3 Os prazos para resolução dos problemas deverão ser definidos em comum acordo entre o responsável pela abertura do chamado e a CONTRATADA. Havendo atraso o qual não haja uma justificativa aceitável por parte da CONTRATADA, deverá ser cobrada uma multa no valor de 2% da fatura do período apurado. Caso ocorra mais de um atraso no mês, a multa será multiplicada pelo número de atrasos do período.

     


    Anexo A - 4 - Hardware e Sistema Operacional

    4 – HARDWARE E SISTEMA OPERACIONAL

     

    4.1.             O hardware e o sistema operacional deverão suportar o software ofertado, e ter atender aos seguintes indicadores, considerados como performance mínima para a solução:

     

    Indicador

    Valor

    Tolerância

    Observação

    Eficiência

    (realizar com completude o objeto)

    100%

    100%

    Aceitar toda transação do software ofertado para que realize a funcionalidade.

     

     

    Disponibilidade

     

    100%

     

    98%

    A funcionalidade há de estar disponível por tempo integral após a implantação ou efetiva operação

    Taxa de Transferência

    1 Gbps

     

    10 Mbps

    Ajustar a velocidade de entrega dos dados às especificações técnicas da infraestrutura de rede.

    Tempo de Resposta

     

    1 segundo

     

    5 segundos

    Sujeito à análise do volume de dados manipulados para realização da transação.

     

     

     

     

     

     

     

     

     

     

     

     

    4.2.             O servidor deverá ser instalado em rack que será disponibilizado pela Anatel. Todos os demais materiais necessários para a instalação do hardware serão de responsabilidade da contratada.

    4.3.             Deverá ser fornecida a licença do sistema operacional para atender adequadamente ao software ofertado;

    4.4.             Os recurso de armazenamento (storage) deverão possuir no mínimo 4 TeraBytes.

    4.5.              Requisitos Gerais de HARDWARE

    4.5.1.          Permitir instalação em rack de 19’’ (dezenove polegadas);

    4.5.2.          Possuir LEDs de identificação de atividades de status do equipamento, de cada porta e alimentação;

    4.5.3.          Possuir fonte de alimentação de 100/240 VAC, frequência 50/60 Hz, com chaveamento automático;

    4.5.4.          Possuir cabo de alimentação para fonte com, no mínimo, 1,80m (um metro e oitenta centímetros) de comprimento;

    4.5.5.          Acompanhar cabos de alimentação para cada fonte de alimentação no padrão de tomada NEMA 5-15P e amperagem compatível com a potência do servidor;

    4.5.6.          Fontes de alimentação redundantes e hot-pluggable suficiente para o funcionamento na sua configuração máxima;

    4.5.7.          Possuir todos os acessórios necessários para operacionalização do equipamento, tais como: cabos de console, kits para montagem no rack, documentação técnica e manuais que contenham informações suficientes para possibilitar a instalação, configuração e operacionalização do equipamento;

    4.5.8.          Possuir no mínimo 2 (duas) portas Gibabit Ethernet 10/100/100BADE-T ou 1000Base-T ou 1000BASE-SX ou 1000BASE-LX;

    4.5.9.          Suporte a IPv4 e IPv6;

    4.5.10.      Suportar implementação de sincronismo de relógio interno via NTP ou SNTP;

    4.5.11.      Possuir compatibilidade com os protocolos de Gerenciamento SNMP;

    4.5.12.      Possuir no mínimo 1 porta console para gerenciamento e configuração;

    4.5.13.      Possibilitar a obtenção via SNMP de informações de capacidade e desempenho de CPU, memória e portas;

    4.5.14.      O equipamento ofertado não poderá conter substâncias perigosas como mercúrio (Hg), chumbo (Pb), cromo hexavalente (Cr(VI)), cádmio (Cd), bifenil polibromados (PBBs), éteres difenil-polibromados (PBDEs) em concentração acima da recomendada na diretiva RoHS (Restriction of Certain Hazardous Substances), sendo que para efeitos de avaliação das amostras e aceitação do produto deverá ser fornecido certificação emitida por instituição credenciada pelo INMETRO, sendo aceito ainda, a comprovação deste requisito por intermédio da certificação EPEAT, desde que esta apresente explicitamente tal informação;

    4.5.15.      Mínimo de 04(Quatro) interfaces USB instaladas.

    4.5.16.      Permitir conexão para teclado.

    4.5.17.      Permitir conexão para mouse.

    4.5.18.      O Servidor ofertado deverá possuir recurso que monitore disco rígido, memória, ventilação, alimentação elétrica e temperatura, por meio de limites de normalidade que podem ser definidos pelo usuário, e informe quando houver o funcionamento fora dos valores de normalidade predefinidos através de notificações de alertas destes. Tal recurso poderá se apresentar na forma de “display”, LED, alerta sonoro ou outro dispositivo que avise da falha.

    4.5.19.      Deverá ser fornecido um software de gerenciamento com no mínimo as seguintes características:

    4.5.19.1.          Permitir a configuração de ações para enviar notificações ou alertas através de e-mail, pager ou outro recurso que avise imediatamente aos usuários responsáveis pela manutenção do serviço;

    4.5.19.2.          Permitir a utilização de uma interface web e a utilização de uma interface de linha de comando para melhor gerir os processos, ambas compatíveis com software de gerência;

    4.5.20.      O equipamento ofertado deverá possuir recurso de gerenciamento compatível com o padrão IPMI 2.0 que possibilite o gerenciamento remoto através de controladora de gerenciamento integrada com porta RJ-45 dedicada, não sendo essa nenhuma das interfaces de controladora de rede, e software de gerenciamento;

    4.5.21.      A controladora de gerenciamento integrada deve suportar as seguintes características:

    4.5.21.1.          Compatível com os protocolos de criptografia SSL para acesso a console WEB e SSH para console CLI;

    4.5.21.2.          Deve permitir controle remoto tipo virtual KVM mesmo quando o sistema operacional estiver inoperante;

    4.5.21.3.          Suportar autenticação via Active Directory;

    4.5.21.4.          Deve informar o status do equipamento indicando componentes com falha e notificando via e-mail ou trap

    4.5.21.5.          SNMP;

    4.5.21.6.          Deve possuir emulação de mídia virtual possibilitando que drivers (CD/DVD, Floppy) localizado em estação de gerenciamento seja emulado no servidor gerenciado permitindo a inicialização (boot) através dessa mídia;

    4.5.21.7.          Capacidade de monitorar o consumo de energia do servidor;

    4.5.21.8.          Deve permitir desligar e reinicia do servidor através da console de gerenciamento, mesmo em condições de indisponibilidade do sistema operacional;

    4.5.21.9.          Software de gerenciamento centralizado com os seguintes recursos:

    4.5.21.10.      Permitir o gerenciamento centralizado e individual de todos os servidores ofertados através de interface WEB;

    4.5.21.11.      Realizar inventário de hardware, BIOS e firmware e possibilitar a geração de relatórios customizados;

    4.5.21.12.      Emitir alertas de falha de hardware e permitir a criação de filtros de alertas isolados e notificação por e-mail;

    4.5.21.13.      Agente compatível com os sistemas operacionais Windows Server 2003/2008, Red Hat Linux Enterprise 5 e Suse Linux Enterprise Server 10, CENTOS, entre outros;

    4.5.21.14.      A controladora de gerenciamento integrada deve operar em conjunto com o software de gerenciamento, devendo ambos serem soluções proprietárias do fabricante dos equipamentos com a finalidade de garantir total compatibilidade e suporte único.

    4.5.22.      Quando o Licitante não for o próprio fabricante dos equipamentos ofertados, deverá apresentar declaração do Fabricante específica para o edital, autorizando a empresa Licitante a comercializar e prestar os serviços de garantia exigidos;

    4.5.23.      Recurso de Raid de discos, implementado pelo hardware da controladora, suportando Raid 1, Raid 1+0, Raid 5 ou semelhante. Possuir canais suficientes para controlar a quantidade de discos suportada pelo equipamento;

    4.5.24.      Suportar expansão de capacidade de forma on-line;

    4.5.25.      Suportar implementação de disco Global Hot-spare;

    4.5.26.      Suportar migração de nível de RAID;

    4.5.27.      Suportar tecnologia Self-Monitoring Analysis and Reporting Technology (SMART)

     

    4.6.             UNIDADES INTERNAS

    4.6.1.          Uma unidade de DVD interna de velocidade de no mínimo 8X, com conexão padrão SATA (Serial Ata)

    4.6.2.          Unidade de fita DLT. Capacidade de leitura e gravação de fitas de no mínimo 80GB a 6MB/s sem compressão de dados e 160GB a 12MB/s com compressão de dados via hardware. Total compatibilidade com sistemas operacionais MS Windows 2000 Server, MS Windows 2003 Server e Red Hat Enterprise Linux. Possuir confiabilidade (MTBF) superior a 200.000 horas.

     

    4.7.             ADAPTADOR DE REDE

    4.7.1.          2(duas) placas de Rede Gigabit Ethernet 1000Base-T ou 1000BASE-SX ou 1000BASE-LX, com as seguintes características:

    4.7.1.1.             Conformidade com o padrão IEEE 802.3, IEEE 802.3u e IEEE 802.3ab;

    4.7.1.2.             Função autosensing para seleção de taxa de Transferência (10/100/1000 Megabits por segundo);

    4.7.1.3.             Suporte em software (driver) para TCP/IP, Netbios, MS Windows Server 2000, MS Windows Server 2003 e Linux;

    4.7.1.4.             Baseado em CSMA/CD;

    4.7.1.5.             Mínimo de 1(um) conector RJ-45 por placa;

    4.7.1.6.             Configuração da placa via software.

     

    4.7.2.          2(duas) placas de rede (Host Bus Adapter (HBA)) Fibre Channel mínimo de 4000Mb/s, com as seguintes características:

    4.7.2.1.             Taxa de transferencia mínima de 400MB/s;

    4.7.2.2.             Função autosensing para seleção de taxa de Transferência (2 / 4 Gigabits por segundo);

    4.7.2.3.             Deverá disponibilizar política de failover e balanceamento de carga;

    4.7.2.4.             Deverá ser fornecida a funcionalidade de failover e balanceamento de carga;

    4.7.2.5.             O adaptador deverá ser compatível com o padrão PCI 64/66MHz ou superior;

    4.7.2.6.             Mínimo de 1(um) conector LC por placa.

     

    4.8.             VENTILAÇÃO

    4.8.1.          Ventilação redundante tipo Hot Plug.

    4.8.2.          A ventilação deve ser adequada para a refrigeração do sistema interno do equipamento na sua configuração máxima e dentro dos limites de temperatura adequados para operação

     

    4.9.             GABINETE

    4.9.1.          Gabinete tipo RACK 6U no máximo.

    4.9.2.          Sistema de resfriamento interno do gabinete com no mínimo 2 (dois) ventiladores Hot-Swap e redundantes;

    4.9.3.          Fonte de alimentação para operação numa tensão de 110V /220V com chave para seleção. A fonte de alimentação

    4.9.4.          Deverá suportar todos os dispositivos instalados oferecendo ainda margem para suporte a futuras expansões do hardware;

    4.9.5.          Fonte de alimentação adicional (fonte de alimentação redundante e Hot-Swap), totalizando 2(duas) fontes de alimentação (1 original + 1 adicional);

    4.9.6.          Dispositivo “HOT-SWAP” para no mínimo 4 (quatro) discos (compatível com o item 2.02);

    4.9.7.          Todos os cabos de alimentação e interconexão do Equipamento;

    4.9.8.          O equipamento fornecido (gabinete da cpu) deverá estar identificado, de forma indelével e legível, com os respectivos números de série de fabricação.

     

    4.10.         PROCESSADOR

    4.10.1.      Deve suportar hyperthreading (suporte à virtualização);

    4.10.2.      Ser compatível com VMWARE e XEN Server.

     

    4.11.         ARMAZENAMENTO

    4.11.1.      02 (dois) discos rígidos de 500GB (trezentos gigabytes), 10000 RPM (dez mil rotações por minuto), padrão SATA, “hot pluggable/hot swap”, Expansível a 8(oito) discos no total.