OPIS PRZEDMIOTU ZAMÓWIENIA

Transkrypt

1 Załącznik nr 1 do SIWZ OPIS PRZEDMIOTU ZAMÓWIENIA Przedmiotem zamówienia jest realizacja zadania pod nazwą Zakup systemu bezpieczeństwa wspierającego działanie SOC (Security Operations Center), obejmujący zakup niezbędnych licencji i niezbędnej infrastruktury techniczno-systemowej dla Centrum Systemów Informacyjnych Ochrony Zdrowia przy ul. Stanisława Dubois 5A, Warszawa. W skład zamawianego systemu powinno wchodzić kompletne rozwiązanie umożliwiające wykrywanie i analizę ataków APT na infrastrukturę Zamawiającego. Dostarczenie Przedmiotu Zamówienia przewidywane jest w ciągu 30 dni kalendarzowych od dnia podpisania Umowy. Specyfikacja minimalnych wymagań Zamawiającego: 1. Podstawowe wymagania Zamawiającego dotyczące oferowanego sprzętu, oprogramowania (aplikacji) oraz licencji wymaganych do wdrożenia Systemu umożliwiającego wykrywanie oraz możliwość nagrywania i analizy ruchu sieciowego: 1.1. Sprzęt ma posiadać zainstalowany system operacyjny, jak i konieczne do poprawnego działania aplikacje umożliwiające wykrywanie oraz analizę szkodliwego oprogramowania Oświadczenie Wykonawcy, które zawiera informacje o tym, że wszystkie elementy składowe elementów zaoferowanego systemu są w pełni wzajemnie kompatybilne oraz że Wykonawca przyjmuje odpowiedzialność w zakresie usuwania możliwych problemów powstałych w związku z zastosowaniem elementów składowych. 2. Wymagana, minimalna funkcjonalność systemu: 2.1. System ma umożliwiać tryb pracy, monitor (zasilany kopią rzeczywistego ruchu sieciowego z portu SPAN lub urządzenia TAP) System ma automatycznie wykrywać poprzez analizę zawartości sesji, protokołów i aplikacji sieciowych połączenia zwrotne (callback) realizowane do centrum zarządzającego malware (C&C) System ma umożliwiać automatyczną analizę zawartości ruchu sieciowego w celu wykrycia złośliwego kodu poprzez uruchomienie w środowisku kontrolowanym w technologii sandbox/vm System ma umożliwiać analizowanie ruchu sieciowego o natężeniu przynajmniej 1 Gb/s System ma automatycznie rozpoznawać protokoły bez względu na port sieciowy. Strona 1 z 6

2 2.6. System ma wykrywać połączenia sieciowe do znanych źródeł złośliwego kodu i serwerów zarządzających malware (C&C) na podstawie danych reputacyjnych Każdy przypadek wykrycia zagrożenia ma być raportowany w formie umożliwiającej ocenę ryzyka i podjęcie działań zaradczych W przypadku zagrożeń związanych z wykryciem podejrzanego lub złośliwego kodu raport o zdarzeniu ma być wzbogacony o szczegółową analizę działania złośliwego kodu po uruchomieniu w środowisku kontrolowanym (sandbox/vm) Dostarczane w obrębie systemu raporty oraz analiza ma zawierać metadane zainfekowanego pliku (między innymi: nazwa, wielkość i typ pliku, suma kontrolna), listę nawiązywanych połączeń TCP/IP listę procesów oraz informację na temat modyfikacji na plikach wykonane przez złośliwy kod System ma umożliwiać ograniczenie dostępu do wyników szczegółowych analiz jedynie wskazanych ról/użytkowników Analiza złośliwego kodu ma być inicjowana automatycznie w momencie wykrycia zagrożenia Proces analizy działania złośliwego kodu w warunkach kontrolowanych nie może mieć wpływu na wydajność pozostałych elementów systemu System ma być zarządzany za pośrednictwem interfejsu WEB i szyfrowanego połączenia HTTPS Interfejs zarządzający systemem ma dostarczać następujące informacje: Sygnalizację wykrytych zagrożeń wraz z czasem ich wystąpienia Ocenę krytyczności wykrytych zagrożeń Rozkład zagrożeń w czasie, rozkład zagrożeń pod względem celu i źródła System musi być wyposażony w predefiniowane raporty statystyczne na temat wykrytych zagrożeń System ma umożliwiać integrację z rozwiązaniami typu SIEM: np. ArcSight, IBM Qradar, Juniper STRM, eiq, McAfee SIEM, Splunk System ma wysyłać automatyczne powiadomienia o wykrytych zagrożeniach ze zdefiniowanym poziomem za pomocą wiadomości do zdefiniowanych adresatów lub grup adresatów. System ma umożliwiać wysyłanie powiadomień o zdarzeniach za pośrednictwem protokołów SYSLOG i SNMP System ma automatycznie pobierać polityki wykrywania zagrożeń, sygnatury i dane reputacyjne dostarczane przez producenta. Strona 2 z 6

3 2.19. System ma umożliwiać rejestrowanie informacji i danych historycznych o zgromadzonych incydentach celem ich późniejszej analizy System ma umożliwiać rozbudowę i współpracować z urządzeniami umożliwiającymi blokowanie ruchu http oraz System ma umożliwiać automatyczne rozszywanie ruchu SSL/TLS w celu przekazania go do systemu analizy oraz (w przypadku dalszej rozbudowy infrastruktury przez zamawiającego) blokowania szkodliwego oprogramowania Wykrywanie i deszyfrowanie komunikacji SSL/TLS ma być realizowane za pomocą dedykowanego urządzenia sprzętowego o przepustowości min. 250 Mbit ruchu szyfrowanego; Urządzenie przeznaczone do deszyfrowania komunikacji SSL/TLS ma być wyposażone w sprzętowe zabezpieczenie umożliwiające przepływ ruchu sieciowego w przypadku awarii systemu; Ruch zaszyfrowany przeznaczony do analizy ma być odszyfrowany na urządzeniu, w przypadku ruchu nieszyfrowanego, który również będzie przechodził przez urządzenie, ma zostać bez żadnej modyfikacji przesłany do systemu analizy szkodliwego oprogramowania; System ma obsługiwać protokoły: SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 TLS 1.2, jak również protokoły SSL (HTTPS) oraz mogące rozpoczynać szyfrowana transmisję po komendzie STARTLS (SMTP); Urządzenie ma posiadać minimum 4 porty Fibre-Channel o przepustowości min. 1 Gb/s Moduł deszyfrujący komunikację SSL/TLS ma być wyposażony w listy adresów IP/URL, które będą wykluczone z procesu deszyfrowania. Listy maja zawierać adresy co najmniej organizacji finansowych, medycznych, wyznaniowych. Listy mają być stale aktualizowane przez producenta systemu. System ma umożliwiać modyfikowanie list oraz dodawanie własnych list wykluczeń System ma mieć możliwość analizy plików pod kątem złośliwego oprogramowania, przesyłanych przez użytkownika bezpośrednio do wdrożonego Systemu (urządzenia) zlokalizowanego w siedzibie Zamawiającego System ma identyfikować, dekodować, analizować i wykrywać zagrożenia w następujących typach plików: exe, dll, doc, docx, xls, xlsx, ppt, pptx, pdf, zip, rar i formatach danych: Java Script, Flash, html Oferowane rozwiązanie ma być dostarczone w formie gotowego (pre-instalowanego) urządzenia (lub urządzeń) fizycznego, z redundantnymi zasilaczami 230V z możliwością montażu w szafie Analiza połączenia TCP/IP - Dostarczana w obrębie raportu systemu analiza szkodliwego oprogramowania musi zawierać plik w postaci pcap (zawierający kopię ruchu sieciowego inicjowanego przez zainfekowane urządzenie). 4. Analiza plików na obrazie Zamawiającego - Opcja w systemie dotycząca analizy sandbox/vm przy wykorzystaniu dedykowanego obrazu dostarczonego przez Zamawiającego lub możliwość instalacji Strona 3 z 6

4 własnego oprogramowanie na systemie do przeprowadzania analizy zainstalowanym przez producenta. W takim wypadku wymagane są systemy: Windows 7 64 bit oraz Windows 7 32 bit. 5. Wdrożenie - Zamawiający wymaga, aby w ramach projektu zostały wykonane poniższe prace: 5.1. Instalacja dostarczonego sprzętu w szafie serwerowej wskazanej przez Zamawiającego Przeprowadzenie i podłączenie odpowiednio okablowania pomiędzy komponentami wdrażanego Systemu a urządzeniami posiadanymi przez Zamawiającego w serwerowni Zamawiającego Konfiguracja Systemu w sposób ustalony z Zamawiającym w tym: Konfiguracja Systemu Instalacja wymaganych certyfikatów służących do rozszywania ruchu SSL/TLS Konfiguracja parametrów Systemu zgodnie z wymaganą funkcjonalnością i odpowiednim poziomem wydajności, w szczególności przekierowanie rozszyfrowanego ruchu IP do systemu wykrywającego szkodliwe oprogramowanie (malware) Konfiguracja listy adresów IP/URL, które będą wykluczone z procesu deszyfrowania Konfiguracja użytkowników i praw dostępu w Systemie Wykonanie backupu konfiguracji Konfiguracja systemu VM/Sandbox oraz dostosowanie jego ustawień do wymagań Zamawiającego W razie potrzeby pomoc w dostrajaniu wdrożonego systemu na podstawie wyników uzyskiwanych w okresie wsparcia, podczas produkcyjnej pracy systemu Wykonawca, w ramach wdrożenia, wykona przegląd infrastruktury techniczno-systemowej Zamawiającego odpowiedzialnej za monitoring i bezpieczeństwo i sporządzi raport przedstawiający zalecenia dotyczące poprawy bezpieczeństwa. Na podstawie analiz Wykonawca przedstawi tzw. SOC Design dokument przedstawiający koncepcję centrum monitorowania bezpieczeństwa sieci (SOC). Dokument powinien uwzględniać już posiadaną oraz dostarczoną przez Zamawiającego infrastrukturę. W ramach przeprowadzonych prac Wykonawca powinien: Zapoznać się z obecną strukturą organizacyjną i opracować koncepcje struktury po uruchomieniu SOC Rozpoznać infrastrukturę techniczno-systemową Zamawiającego Określić zakres usług świadczonych samodzielnie przez SOC Zamawiającego Określić zakres usług świadczony przy wsparciu usługodawców zewnętrznych Ustalić zespoły zadaniowe dla SOC (zespoły formalne, zespoły wirtualne) Przypisać funkcje dla: Pierwszej linii wsparcia Drugiej linii wsparcia Analizy Wymiany i pozyskiwania danych zewnętrznych Kontroli bezpieczeństwa infrastruktury Zamawiającego Administracji SOC Wsparcia inżyniersko-programistycznego. Strona 4 z 6

5 Zewnętrznych usług wspomagających bezpieczeństwo Ustalić zasady współpracy pomiędzy zespołami Ustalić zasady raportowania (raportowanie wewnętrzne lub zewnętrzne) Ustalić procedury oraz strategię reagowania na incydenty Rozpoznania faz ataków sieciowych APT Określenia technik reagowania wobec faz ataków APT: Procedura reagowania na incydent Klasyfikacja incydentów Procedury dla wybranych typów incydentów Wykonawca powinien przedstawić dokument obejmujący: Zalecenia dla przygotowania koncepcji SOC Zalecenia dotyczące zasad współpracy w ramach SOC Proponowany harmonogram wdrożenia poszczególnych etapów Ustalenie modelu SOC i dostępnych w nim usług Ustalenie ról, kompetencji, zalecenia dotyczące organizacji procesów i procedur Przekazanie dokumentacji powykonawczej Produkcyjne uruchomienie Systemu. 6. Minimalne wymagania Zamawiającego dotyczące świadczenia usług wynikających z udzielonej gwarancji: 6.1. Wykonawca udziela, od daty podpisania bez uwag protokołu odbioru, gwarancji na okres co najmniej 12 miesięcy na prawidłowe, w pełni zgodne z jego przeznaczeniem, funkcjonowanie wdrożonego Systemu Naprawa gwarancyjna systemu zostanie dokonana: Po uprzedniej nieodpłatnej ocenie zgłoszonej awarii. Ocena zgłoszonej awarii musi zostać dokonana przez wykwalifikowanego przedstawiciela Wykonawcy, w miejscu użytkowania systemu; W celu przystąpienia do naprawy przedstawiciel służb serwisowych Wykonawcy zgłosi się do miejsca użytkowania systemu. Jeśli naprawa w siedzibie Zamawiającego nie jest możliwa, Wykonawca odbierze uszkodzony element systemu i dostarczy po naprawie na własny koszt i na własną odpowiedzialność; Po zwrocie naprawionego elementu systemu nastąpi sprawdzenie poprawności funkcjonowania całego systemu; Czas usunięcia nieprawidłowości wskazanych w zgłoszeniu gwarancyjnym wynosi do 5 dni roboczych od daty zgłoszenia gwarancyjnego pod rygorem naliczania kar umownych na zasadach określonych w Umowie i może ulec wydłużeniu wyłącznie za pisemną zgodą Zamawiającego w przypadku wystąpienia okoliczności niezależnych od Wykonawcy i Zamawiającego; W przypadku urządzenia/urządzeń wchodzących w skład Systemu, Wykonawca zapewni świadczenie usług gwarancyjnych przez producenta urządzenia zgodnie z warunkami opisanymi w warunkach gwarancji producenta urządzenia znajdującymi się w Załączniku do Strona 5 z 6

6 Umowy. Okres gwarancji producenta wynosi co najmniej 12 miesięcy i liczony jest od daty podpisania bez uwag protokołu odbioru; W trakcie trwania wsparcia usługi gwarancyjne producenta dla zaoferowanego urządzenia/urządzeń wchodzących w skład Systemu, świadczone będą za pośrednictwem Wykonawcy; W przypadku wystąpienia wad w opracowanych dokumentach, o których mowa w pkt. 5, Zamawiający ma prawo żądać ich usunięcia w terminie 5 dni roboczych od daty zawiadomienia Wykonawcy (naniesienie uzupełnień i poprawek na wszystkich egzemplarzach dostarczonych Zamawiającemu), pod rygorem naliczania kar umownych na zasadach określonych w Umowie; Udzielone gwarancje nie mogą ograniczać praw Zamawiającego do użytkowania wdrożonego systemu, zgodnie z zasadami sztuki, przez wykwalifikowany personel Zamawiającego; W ramach gwarancji, dostarczone rozwiązanie musi być objęte co najmniej 12-miesięcznym wsparciem technicznym, w ramach którego zostanie zapewnione: Polskojęzyczne wsparcie telefoniczne oraz online w zakresie błędów związanych z pracą systemu; Dostęp do nowych wersji oprogramowania oraz poprawek. Strona 6 z 6