ZAŁĄCZNIK NR 1A KARTA USŁUGI Utrzymanie Systemu Dostępu do Internetu (USDI)

Transkrypt

1 Załącznik nr 1A do Umowy nr r. ZAŁĄCZNIK NR 1A KARTA USŁUGI Utrzymanie Systemu Dostępu do Internetu (USDI) 1. INFORMACJE DOTYCZĄCE USŁUGI 1.1. CEL USŁUGI: W ramach Usługi Usługodawca zobowiązany jest do zapewnienia prawidłowego działania i dostępności wszystkich Komponentów Systemu Dostępu do Internetu (SDI) rozlokowanych w COPD oraz ich Elementów, zgodnie z Kartą Usługi ZAKRES USŁUGI: Na SDI składają się następujące Komponenty: 1) Komponent Routery dostępowe do Internetu (RDI) Elementami Komponentu są routery dostępowe, działające z łączami do różnych operatorów w trybie aktywny-aktywny. Wykorzystywane są dwa łącza dostarczane przez różnych operatorów (jedno w CPD, drugie w ROPD). Wysoka dostępność po stronie sieci Internet realizowana jest za pomocą uruchomionego na routerach protokołu BGP, w oparciu o posiadaną przez Usługobiorcę adresację publiczną klasy C i publiczny numer AS. Wysoka dostępność po stronie sieci wewnętrznej realizowana jest za pomocą protokołu HSRP. Routery dostępowe i łącza objęte są monitorowaniem wydajności i utylizacji poprzez system monitorowania Infrastruktury IT Usługobiorcy. Zdarzenia na routerach rejestrowane są na serwerze wspierającym mechanizm Syslog. Dla zarządzania i wprowadzania wymaganych modyfikacji konfiguracji przez Usługodawcę zapewniony jest dostęp administracyjny przez port konsoli urządzeń, z wykorzystaniem routerów terminalowych. Funkcje: a) połączenie sieci Usługobiorcy z sieciami operatorów ISP w celu zapewnienia komunikacji pomiędzy siecią Usługobiorcy a siecią Internet; b) obsługa protokołu BGP na styku z operatorami ISP i pomiędzy CPD i ROPD; c) obsługa protokołu EIGRP pomiędzy routerami; d) filtracja pakietów za pomocą list kontroli dostępu; e) realizacja monitorowania aktywności ukierunkowanej na adresację Usługobiorcy. 2) Komponent Routery połączeniowe (RP) Elementami Komponentu są routery połączeniowe, rozmieszczone w COPD. Realizują połączenia do zewnętrznych podmiotów korzystających z usług udostępnianych przez Usługobiorcę lub świadczących usługi na potrzeby Usługobiorcy. Wykorzystywane są łącza różnych typów (KC, FR, FE), dostarczane przez różnych operatorów. Na łączach stosowane jest szyfrowanie z wykorzystaniem IPSec. Routery dostępowe i łącza objęte są monitorowaniem wydajności i utylizacji poprzez system monitorowania Infrastruktury IT Usługobiorcy. Zdarzenia na routerach rejestrowane są na serwerze wspierającym mechanizm Syslog. Dla zarządzania i wprowadzania wymaganych modyfikacji konfiguracji przez Usługodawcę zapewniony jest dostęp administracyjny przez port konsoli urządzeń, z wykorzystaniem routerów terminalowych. Funkcje: a) połączenie sieci Usługobiorcy z sieciami zewnętrznych podmiotów; Strona 1 z 15

2 b) szyfrowanie i deszyfrowanie ruchu przesyłanego łączami; c) filtracja pakietów za pomocą list kontroli dostępu; 3) Komponent Przełączniki LAN (PLAN) Elementami Komponentu są przełączniki LAN rozmieszczone symetrycznie w COPD. Przełączniki są połączone pomiędzy ośrodkami COPD w taki sposób, aby wszystkie podsieci VLAN w jednym ośrodku były połączone z odpowiadającymi im podsieciami VLAN w drugim ośrodku, dzięki czemu tworzą LAN rozciągnięty pomiędzy ośrodkami CPD i ROPD. Do realizacji rozciągniętych podsieci VLAN wykorzystane zostały udostępnione połączenia DWDM. Dla zachowania wysokiej dostępności, sposób połączenia pomiędzy ośrodkami zakłada jednoczesne wykorzystanie, dla każdej z sieci VLAN, dwóch kanałów poprowadzonych różnymi trasami. Z ograniczenia dostępnej ilości kanałów DWDM wynika podział sieci VLAN na obszary o różnych poziomach zaufania. Połączenia pomiędzy przełącznikami tworzącymi dany obszar zaufania zostały zrealizowane z wykorzystaniem łącz typu Trunk, z enkapsulacją przesyłanych ramek (standard IEEE 802.1Q). W celu uniknięcia zapętlania przesyłanych ramek w ramach poszczególnych obszarów zaufania, wykorzystano protokół STP. Przełączniki LAN objęte są monitorowaniem wydajności i utylizacji poprzez system monitorowania Infrastruktury IT Usługobiorcy. Zdarzenia na przełącznikach rejestrowane są na serwerze wspierającym mechanizm Syslog. Monitorowanie dostępności przełączników realizowane jest z dedykowanej stacji z wykorzystaniem protokołu ICMP (komunikaty ICMP typu Echo Request/Echo Replay). Dla zarządzania i wprowadzania wymaganych modyfikacji konfiguracji, zapewniony jest dostęp administracyjny przez port konsoli urządzeń, z wykorzystaniem routerów terminalowych. Planowana jest modernizacja infrastruktury elementów Komponentu PLAN. Funkcje: a) realizacja podsieci VLAN rozciągniętych pomiędzy ośrodkami CPD i ROPD; b) zapewnienie połączeń do podsieci VLAN dla serwerów i stacji roboczych; c) realizacja połączeń Trunk pomiędzy przełącznikami; d) realizacja portów monitorujących dla wybranych VLAN, dla podłączenia sond sieciowych do wykrywania włamań. 4) Komponent Zewnętrzne zapory ogniowe ASA Firewall (ZZO) Elementami Komponentu są zapory ogniowe rozmieszczone symetrycznie w COPD. Wysoka dostępność realizowana jest na urządzeniach pracujących w układzie aktywny-oczekujący, z wykorzystaniem mechanizmu failover, poprzez LAN. Zapory objęte są monitorowaniem wydajności i utylizacji poprzez system monitorowania Infrastruktury IT Usługobiorcy. Zdarzenia na zaporach rejestrowane są na serwerze wspierającym mechanizm Syslog. Dla zarządzania i wprowadzania wymaganych modyfikacji konfiguracji przez Usługodawcę zapewniony jest dostęp administracyjny przez port konsoli urządzeń, z wykorzystaniem routerów terminalowych. Funkcje: a) filtracja ruchu za pomocą list kontroli dostępu przypisanych do interfejsów sieciowych; b) ochrona poprzez analizę protokołów komunikacyjnych mechanizm fixup ; c) rozdzielenie ruchu do wewnętrznych systemów przyłączonych w obszarach DMZ, wokół wewnętrznych zapór ogniowych ścieżki biurowej i ścieżki biznesowej ; d) translacja adresów IP 5) Komponent Wewnętrzne zapory ogniowe Check Point (WZO) Elementami Komponentu są wewnętrzne zapory ogniowe, rozmieszczone symetrycznie w COPD, z zapewnieniem wysokiej dostępności. Zastosowane są oddzielne pary węzłów Strona 2 z 15

3 wymuszających zapór ogniowych dla ścieżki biurowej i biznesowej. W każdej ze ścieżek, pary węzłów wymuszających zapory ogniowej działają w konfiguracji aktywny-aktywny na dwóch serwerach, rozsuniętych po jednym do obu lokalizacji. Redundancję oraz synchronizację tablic połączeń zapewnia mechanizm wysokiej dostępności ClusterXL obejmujący oba węzły, W przypadku Niedostępności przejmowanie funkcji przez sprawny węzeł następuje w pomijalnym czasie i bez utraty ustanowionych wcześniej połączeń. Serwery zarządzające SmartCenter realizują funkcję administracyjną dla zapory ogniowej ścieżki biurowej i biznesowej przechowując logi systemu oraz przygotowując polityki bezpieczeństwa uruchamiane na węzłach wymuszających. Do tworzenia raportów wykorzystany jest mechanizm LEA (Log Export API) i komponent RAP. Serwery zarządzające SmartCenter zlokalizowane zostały w COPDi dla takiej instalacji uruchomione zostało rozwiązanie wysokiej dostępności odpowiedzialne za synchronizację polityki działania. Funkcje zapory ścieżki biznesowej : a) realizacja stref DMZ; b) translacja adresów i portów TCP/UDP; c) kontrola ruchu pomiędzy separowanymi strefami podłączonymi do interfejsów węzłów, Internetem i instytucjami zewnętrznymi, zgodnie z zaimplementowaną polityką, m.in.: udostępnianie na potrzeby upoważnionych klientów usług świadczonych przez rozmieszczone w strefach DMZ systemy (Cienki Klient, Interfejs B2B, OFSA PROW- DD i in.), udostępnianie, na potrzeby upoważnionych użytkowników wewnętrznych, usług świadczonych przez zewnętrzne systemy, udostępnianie zdalnego zarządzania, wewnętrznymi środowiskami Usługobiorcy, upoważnionym wykonawcom. kontrola aplikacyjna (APPC) d) w ramach funkcji realizowanych przez zestaw modułów programowych Blade dostępnych na Komponencie WZO: Acceleration and Clustering Blade Advanced Networking Blade Application Control Blade for 1 year (M) Endpoint Policy Management Software Blade Firewall Software Blade Identity Awareness Software Blade Logging and status Software Blade Security Management - Monitoring Blade (MNTR) Network Policy Management Software Blade IPSEC VPN Software Blade Web Security Blade IPS Blade Funkcje zapory ścieżki biurowej : a) realizacja stref DMZ; b) translacja adresów i portów TCP/UDP; c) kontrola ruchu pomiędzy separowanymi strefami podłączonymi do interfejsów węzłów oraz Internetem, zgodnie z zaimplementowaną polityką m. in: udostępnianie zasobów Internet (smtp, dns, http/https, ftp ), udostępnianie zdalnego zarządzania, wewnętrznymi środowiskami ARiMR, upoważnionym wykonawcom. kontrola aplikacyjna (APPC) d) W ramach funkcji w ramach funkcji realizowanych przez zestaw modułów programowych Blade dostępnego na Komponencie WZO: Acceleration and Clustering Blade Advanced Networking Blade Application Control Blade for 1 year (M) Strona 3 z 15

4 Endpoint Policy Management Software Blade Firewall Software Blade Identity Awareness Software Blade Logging and status Software Blade Security Management - Monitoring Blade (MNTR) Network Policy Management Software Blade IPSEC VPN Software Blade Web Security Blade IPS Blade 6) Komponent Wykrywanie włamań (WW) Komponent wykrywanie włamań działa w oparciu o Elementy, którymi są sondy sieciowe, rozmieszczone w istotnych punktach SDI, sondy serwerowe, zainstalowane na serwerach rozmieszczonych w strefach DMZ SDI oraz system zarządzania SiteProtector. Sondy sieciowe monitorują w sposób ciągły ruch w obserwowanym segmencie sieci, natomiast agenci monitorują ruch dochodzący do serwerów i zdarzenia zachodzące na serwerach. Sondy sieciowe i serwerowe, w związku z wykrytymi zdarzeniami, wykonują zdefiniowane działania i przekazują logi do centralnego modułu SiteProtector, opartego o platformę systemową Windows, umożliwiającego zarządzanie i raportowanie. SiteProtector monitoruje pracę agentów, pobiera z nich dane o zarejestrowanych zdarzeniach, umieszcza je w bazie danych oraz dokonuje ich analizy i korelacji (z wykorzystaniem modułu Fusion). Site Protector działa na czterech serwerach, umieszczonych w COPD.W każdym z ośrodków zaimplementowano system w architekturze rozproszonej na dwóch serwerach. Systemy działają w trybie Failover, z regularną synchronizacją konfiguracji. Baza danych o sygnaturach rozpoznanych ataków podlega stałej aktualizacji przez producenta systemu (XPU). Stosowane są też, dedykowane dla szczególnych potrzeb sygnatury, tworzone przez Usługodawcę na zlecenie Usługobiorcy Komponent może być rozszerzany o funkcjonalność IPS na wewnętrznych zaporach ogniowych. Funkcje: a) monitoring ruchu (w segmencie sieci i wchodzącego na chroniony serwer) pod kątem znanych wzorców ataków dostarczanych przez producenta i tworzonych przez Usługodawcę na zlecenie Usługobiorcy oraz zdefiniowanych przez administratora parametrów celem wykrycia zdarzeń; b) monitoring zdarzeń zachodzących na monitorowanych serwerach; c) korelacja i analiza zarejestrowanych zdarzeń i danych dostarczanych przez wspierane Elementy Komponentu Wykrywania luk bezpieczeństwa; d) wykonywanie zdefiniowanych przez administratora działań w związku z wykrytymi zdarzeniami; e) generowanie zdefiniowanych raportów na podstawie zgromadzonych logów. 7) Komponent Wykrywanie luk bezpieczeństwa (WLB) Komponent wykrywanie luk bezpieczeństwa jest oparty o dwa Elementy programowe rozmieszczone w COPD, realizujące funkcje weryfikacji stanu bezpieczeństwa, wybranych systemów i podsieci SDI, z poziomu sieci ( od strony zewnętrznej ) oraz funkcję pozwalającą na badanie stanu systemu operacyjnego oraz wykrycie wszelkich słabości, naruszeń integralności oraz śladów nieautoryzowanego działania od wewnątrz, na serwerze z zainstalowanym agentem. Oprogramowanie dostarcza bazę zawierającą zarówno wzorce ataków jak również zalecenia dla poprawnie skonfigurowanych systemów komputerowych. Zarządzanie oprogramowaniem realizowane jest z poziomu jego modułu zarządzania.moduł zarządzający (konsola oraz konsola audytowa) Oprogramowania został zainstalowany na dwóch serwerach, opartych o platformę systemową Windows, w ośrodkach COPD. Baza danych o znanych podatnościach podlega stałej aktualizacji przez producentów (XPU). Strona 4 z 15

5 Funkcja: wykrywanie podatności na serwerach i innych wybranych Elementach SDI; 8) Komponent Raportowanie (RAP) Elementami Komponentu raportowanie są aplikację Security Reporting Center i Kiwi Syslog Daemon, zainstalowane na serwerach w CPD i ROPD z platforma systemową Windows. Dodatkowo na serwerach zainstalowane są narzędzia GUI dla zarządzania wewnętrznymi zaporami ogniowymi i kontrolą antywirusową. W przypadku awarii serwera podstawowego wymagane jest ręczne przełączenie na serwer zapasowy. Funkcje: a) raportowanie działania zapór zewnętrznych węzły zapory przesyłają logi za pomocą mechanizmu syslog; b) raportowanie działania zapór wewnętrznych oprogramowanie Security Reporting Center pobiera z serwera SmartCenter logi dotyczące działania zapór ogniowych; wykorzystywany mechanizm LEA (Log Export API); c) gromadzenie logów z innych urządzeń bramki internetowej (przełączniki, routery komunikacyjne) z wykorzystaniem mechanizmu syslog; d) udostępnianie narzędzi GUI dla zarządzania zaporami wewnętrznymi i kontrolą antywirusową. 9) Komponent Rozkład obciążenia (RO) Elementami Komponentu rozkład obciążenia są urządzenia wymienione w Załączniku nr 4 do Umowy. Urządzenia działające w ścieżce biurowej i biznesowej połączone są w pary, w układzie aktywny-pasywny. Połączenie synchronizacyjne realizowane jest poprzez LAN. W ścieżce biurowej Komponent Usługi obejmuje: skanowanie zawartości dla ruchu SMTP, DNS resolver i DNS publiczny, wymiana poczty elektronicznej, zdalny dostęp do poczty elektronicznej OWA oraz buforowany dostęp do zasobów WWW w sieci Internet za pomocą protokołów HTTP i HTTPS. W ścieżce biznesowej Komponent obejmuje serwery WWW cienkiego klienta. Funkcje: a) dynamiczny rozkład obciążenia obsługiwanych elementów SDI; b) zapewnienie redundancji dla usług udostępnianych przez obsługiwane elementy SDI. 10) Komponent Skanowanie zawartości (SZ) Elementami Komponentu skanowanie zawartości są Elementy dedykowanego produktu rozmieszczone w COPD. Skanowanie zawartości danych przesyłanych poprzez SDI odbywa się wyłącznie w ścieżce usług biurowych, którą wymienia się dane z siecią publiczną. Moduły dodatkowe oprogramowania realizują ochronę antyspamową i kontrolę dostępu do zasobów URL zgodnie z obowiązującymi zasadami. Bazy danych systemu podlegają stałej aktualizacji przez Producenta. Elementy Komponentu realizują co najmniej poniższe funkcje (Usługobiorca zastrzega sobie możliwość uruchomienia dodatkowych funkcji wynikających z potrzeb Usługobiorcy): a) skanowanie zawartości dla protokołu SMTP, blokowanie niebezpiecznej i niedozwolonej zawartości; b) przekazywanie poczty przychodzącej do wewnętrznych serwerów poczty; c) przekazywanie poczty wychodzącej z wewnętrznych serwerów poczty do sieci Internet. d) skanowanie zawartości dla protokołu HTTP i FTP, blokowanie niebezpiecznej i niedozwolonej zawartości; e) wykrywanie i blokowanie przesyłek pocztowych uznanych za SPAM; Strona 5 z 15

6 f) blokowanie dostępu do adresów URL określonych, jako niedozwolone. 11) Komponent Buforowanie (BUF) Komponent buforowanie dostępu do sieci Internet działa w środowisku platformy systemowej Windows Elementy Komponentu rozmieszczone zostały zarówno w obszarze SDI, jak i w sieci wewnętrznej w COPD. Do bezpośredniego korzystania z buforowanego dostępu uprawnieni są wszyscy użytkownicy wewnętrzni posiadający konto w domenie. Z serwerów centralnych korzystać mogą wszyscy uprawnieni użytkownicy, natomiast z serwerów buforujących w obszarze bramki internetowej korzystać mogą wyłącznie serwery centralne oraz serwery SDI, co jest dodatkowo wymuszane regułami kontroli dostępu na zaporach ogniowych. Serwery centralne buforują dostęp do Internetu oraz pełnia funkcje kontroli uprawnień w zakresie dostępu użytkowników internetowych zasobów WWW, za pomocą definiowanych reguł restrykcyjnych, realizują funkcje cache owania stron, translacji portów http oraz logowania aktywności użytkowników. Uprawnienia użytkowników definiowane są także poprzez przynależność użytkowników do grup w AD Serwery buforujące w obszarze SDI realizują funkcje upstream proxy dla proxy wewnetrznego, dostęp do internetu dla urządzeń pracujących w SDI, publikacja usługi Exchange (OWA, ActiveSync, AnyWhere) autoryzacja dostępu do poczty elektronicznej z sieci publicznej (poprzez LDAP). Wysoka dostępność i rozkład obciążenia realizowany jest w obszarze SDI przez Komponent Usługi Rozkład obciążenia. Elementy Komponentu pełnią następujące funkcje: a) pośredniczenie w wymianie danych protokołami http, https i ftp over http pomiędzy wewnętrznymi klientami a zasobami WWW w Internecie; b) translacja portów usług http c) przechowywanie pobieranych stron; d) automatyczne odświeżanie stron przechowywanych w plikach buforów wg określonych zasad; e) kontrola uprawnień dostępu do zasobów Internet. f) dostęp do poczty elektronicznej z sieci publicznej i kontrola uprawnień do tego dostępu g) logowanie aktywności użytkowników 12) Komponent DNS (DNS) Komponent DNS działa na platformie systemowej Red Hat Enterprise Linux, na serwerach (Elementach) zlokalizowanych w COPD. Redundancja zapewniana jest przez Komponent Usługi Rozkład obciążenia. Na każdym z serwerów zostały uruchomione dwie niezależne instancje Oprogramowania. Pierwsza z nich jest odpowiedzialna wyłącznie za obsługę domeny zewnętrznej, natomiast druga instalacja odpowiada za rozwiązywanie zewnętrznych nazw DNS ( resolver ) dla wybranych systemów wewnętrznych oraz przekazywanie zapytań do serwerów root zlokalizowanych w sieci Internet. Dodatkowo druga instancja Oprogramowania odpowiedzialna jest za pełnienie autorytatywnego źródła informacji dla domeny wewnętrznej, zawierającej nazwy serwerów pracujących w strefie bramki internetowej. Elementy Komponentu pełnią następujące funkcje: a) autorytatywne serwery DNS dla domeny zewnętrznej; b) autorytatywne serwery DNS dla domeny wewnętrznej, zastosowanej w bramce internetowej; c) rozwiązywanie zewnętrznych nazw DNS ( resolver ) dla wybranych systemów wewnętrznych; d) przekazywanie zapytań do serwerów root zlokalizowanych w sieci Internet; Strona 6 z 15

7 13) Komponent Zdalny dostęp VPN (VPN) Elementami Komponentu zdalny dostęp VPN są koncentratory rozmieszczone w COPD, pracujące w trybie aktywny-pasywny. Komponent ten zapewnia realizację bezpiecznych kanałów VPN i WebVPN, poprzez sieć Internet, na potrzeby zdalnego dostępu do usług zapewnianych przez wybrane aplikacje rozmieszczone w strefach DMZ SDI. Autoryzacja użytkowników korzystających z WebVPN odbywa się w domenie z wykorzystaniem wewnętrznego centralnego systemu kontroli dostępu. Dla zarządzania i wprowadzania wymaganych modyfikacji konfiguracji zapewniony jest dostęp administracyjny przez port konsoli urządzeń, z wykorzystaniem routerów terminalowych. Elementy Komponentu pełnią następujące funkcje: a) zestawianie i obsługa kanałów komunikacyjnych VPN i WebVPN poprzez Internet; b) tworzenie interfejsów dostępowych; c) autoryzacja zewnętrznych użytkowników w centralnym systemie kontroli dostępu; d) kontrola dostępu. 14) Komponent Routery terminalowe (TERM) Elementami Komponentu są routery terminalowe, zapewniające możliwość zdalnego dostępu z sieci wewnętrznej do portów konsolowych urządzeń infrastruktury sieciowej SDI. Użytkownik po pozytywnej autoryzacji na wewnętrznym centralnym systemie kontroli dostępu uzyskuje możliwość zalogowania się na router terminalowy i zestawienie połączenia na port konsolowy urządzenia w infrastrukturze SDI. Elementy Komponentu pełnią następujące funkcje: a) terminowanie połączenia dla usługi SSH (secure telnet); b) autoryzacja użytkownika w centralnym systemie kontroli dostępu; c) kontrola dostępu; d) zestawienie połączenia do portu konsoli wybranego urządzenia infrastruktury SDI. 15) Komponent Wymiana plików (WP) Wymiana plików jest oparta o platformę Windows i serwer FTP, FTP over SSL i umożliwia wymianę plików z podmiotami zewnętrznymi. Elementami są serwery Windows umieszczone w obszarze SDI. Elementy Komponentu pełnią następujące funkcje: a) pobieranie i składowanie plików przez autoryzowanych użytkowników; b) lokalna autoryzacja użytkowników Zadania W ramach USDI Usługodawca zobowiązany jest do wykonywania, co najmniej niżej wymienionych czynności: 1. Obsługa bieżąca: monitorowanie pracy urządzeń i Komponentów; monitorowanie dostępności i stanu pracy urządzeń sieciowych, serwerów, wszystkich Elementów i Komponentów; monitorowanie logów urządzeń sieciowych, serwerów, wszystkich Elementów i Komponentów pod kątem ich poprawnego działania i realizowania funkcji; monitorowanie wydajności i stanu łącz oraz kanałów VPN; monitorowanie wydajności urządzeń sieciowych, serwerów, Elementów i Komponentów; monitorowanie stanu bezpieczeństwa - logów urządzeń sieciowych, serwerów, wszystkich Elementów i Komponentów pod kątem zdarzeń z obszaru bezpieczeństwa; Strona 7 z 15

8 monitorowanie Komponentów i Elementów zgodnie z szablonem ustalonym w ramach Okresu przejściowego; zapewnienie odpowiedniej wydajności SDI umożliwiającej pełną obsługę użytkowników i systemów informatycznych Usługobiorcy; ciągła analiza logów pod kątem poprawnego działania Elementów i Komponentów oraz podejmowanie niezbędnych działań; obsługa platformy sprzętowej, systemowej, programowej i usługowej Elementów i Komponentów; obsługa Incydentów, przywracanie poprawności działania Komponentów, ich Elementów i funkcjonalności platformy systemowej i aplikacyjnej; zarządzanie bezpieczeństwem, ciągła analiza logów pod kątem zdarzeń w obszarze bezpieczeństwa i podejmowanie niezbędnych działań celem przywrócenia i utrzymania wymaganego stanu bezpieczeństwa określonego przez Politykę bezpieczeństwa; identyfikacja i usuwanie przyczyn występowania Incydentów oraz zdarzeń i podatności w obszarze bezpieczeństwa; nadzór nad procesem usuwania nieprawidłowości w działaniu łączy oraz zgłaszanie awarii do serwisu operatora telekomunikacyjnego w imieniu Usługobiorcy i asysta przy pracach na miejscu w COPD; nadzór nad procesem usuwania nieprawidłowości w działaniu Elementów oraz zgłaszanie awarii w imieniu Usługobiorcy do podmiotu świadczącego usługi serwisowe sprzętu i oprogramowania, a także asysta przy pracach na miejscu w COPD; modyfikacje Elementów i Komponentów w zakresie architektury, topologii, działania, realizowanych funkcjonalności i usług, realizowanej Polityki bezpieczeństwa, zbierania informacji i raportowania, niewymagające rozbudowy/przebudowy systemu, na podstawie Zgłoszeń; administracja kontami i uprawnieniami użytkowników, w oparciu o obowiązujące procedury, dokumentacje i Zgłoszenia; instalacja poprawek i aktualizacji platformy systemowej i programowej, usuwanie podatności, na podstawie obowiązujących procedur, dokumentacji, wytycznych utrzymaniowych; aktualizacja baz danych sygnatur zagrożeń Komponentów WLB i WW w ciągu 1 Dnia roboczego od dnia publikacji aktualizacji; realizacja procedur i wytycznych utrzymaniowych dla Komponentów; zarządzanie backupem Elementów i Komponentów i gromadzonymi logami, zgodnie z procedurami i wytycznymi; odtwarzanie usług, funkcjonalności konfiguracji i danych wszystkich Elementów i Komponentów; utrzymanie bazy konfiguracji Elementów SDI; cykliczna, po każdej aktualizacji Komponentu WLB, identyfikacja występujących podatności oraz ich analiza i podejmowanie niezbędnych działań; skanowanie podatności Komponentów w następny Dzień roboczy po aktualizacji Komponentu WLB w zakresie bazy danych podatności. 2. Działania profilaktyczne: okresowa (co miesiąc) oraz po każdej modyfikacji Elementów i Komponentów Usługi SDI lub aktualizacji WLB, identyfikacja występujących podatności oraz ich analiza i podejmowanie niezbędnych działań; okresowa (co miesiąc) analiza w zakresie poziomu bezpieczeństwa Elementów i Komponentów Usługi, zidentyfikowanych podatności, prób włamań, działań niedozwolonych i innych zdarzeń w obszarze bezpieczeństwa, Niedostępności, rodzaju i ilości ruchu oraz rekomendowanie niezbędnych działań; okresowe (co miesiąc) przeglądy uprawnień i rekomendowanie działań; okresowa (co miesiąc) analiza spójności konfiguracji Elementów i Komponentów Usługi w kontekście realizowanej Polityki bezpieczeństwa, i rekomendowanie działań; bieżące sprawdzanie i rekomendowanie listy aktualizacji i poprawek (patche) (co miesiąc); Strona 8 z 15

9 okresowe (co miesiąc) weryfikowanie statusu życia (EoL/EoS) produktów zastosowanych do budowy Elementów i Komponentów Usługi SDI i prezentowanie rekomendacji producentów; planowanie i rekomendowanie zmian w Systemie Dostępu do Internetu (co 6 miesięcy) Dokumentacja W ramach USDI Usługodawca przygotuje, dostarczy i będzie aktualizował Dokumentację USDI, zawierającą co najmniej: architekturę i konfigurację Elementów, topologię logiczną i fizyczną połączeń Elementów systemów usługowych, zasady i procedury wykonywania backupu, harmonogram wykonywania backupu, informacje o użytkownikach i uprawnieniach w SDI, informacje o wykorzystywanych nośnikach danych i ich statusie, informacje o hostach(kientach) i Elementach i ich konfiguracji, informacje o licencjach wykorzystywanych przez SDI, rekomendacje dotyczące SDI. z podziałem na Komponenty i procedury przywracania funkcjonalności, postępowania w przypadku Niedostępności, procedury zarządzania backupami konfiguracji Elementów; procedury i wytyczne utrzymaniowe; dokumenty wymagane przez Politykę Bezpieczeństwa. Szablon i szczegółowy zakres Dokumentacji ustalony zostanie przez Administratorów Usługi i Kierowników Utrzymania w Okresie przejściowym. Zmiana szablonu wymaga każdorazowo akceptacji Kierowników Utrzymania. Dostarczenie Dokumentacji nastąpi w terminie 4 miesięcy od dnia rozpoczęcia świadczenia USDI, zgodnie z 2 ust. 5 Umowy. Usługodawca zobowiązany jest dostarczyć aktualizację Dokumentacji USDI każdorazowo na koniec każdego kwartału świadczenia USDI liczonego od dnia dostarczenia Dokumentacji zgodnie ze zdaniem powyżej Raportowanie: Usługodawca jest zobowiązany raportować działania podejmowane w ramach świadczenia Usługi, w szczególności dostarczać: 1) Raport miesięczny ze świadczenia USDI, dostarczany przez Usługodawcę do 5 Dni roboczych po zakończeniu okresu rozliczeniowego, zawierający co najmniej: wyniki działań bieżących; statystyki dotyczące Incydentów w obszarze bezpieczeństwa dla poszczególnych Komponentów i Elementów - zależnie od zaistniałych potrzeb wynikających z incydentów bezpieczeństwa lub Zgłoszeń raporty w zakresie wyników analizy Niedostępności poziomu >= HIGH w obszarze bezpieczeństwa i podjętych/zaplanowanych działań; raporty w zakresie wyników analizy zdarzeń w obszarze bezpieczeństwa poziomu >= HIGH, i podjętych/zaplanowanych działań; wyciąg z logów SP w zakresie zdarzeń poziomu >= HIGH z raportowanego okresu rozliczeniowego (w formacie html); wyniki analizy każdego ze zdarzeń poziomu >= HIGH i ich wpływu na poziom bezpieczeństwa i podjęte/zaplanowane działania; Wyniki analizy każdej z podatności poziomu >= HIGH i ich wpływu na poziom bezpieczeństwa i podjęte/zaplanowane działania; Strona 9 z 15

10 wyciąg z logów Oprogramowania Komponentu WLB w zakresie podatności poziomu >= HIGH z raportowanego okresu rozliczeniowego (w formacie html lub innym uzgodnionym); wykonywanie raportów w zakresie wyników analizy podatności poziomu >= HIGH, i podjętych/zaplanowanych działań; czasy Niedostępności poszczególnych Elementów i Komponentów SDI. listę dostępnych logów z podziałem na Elementy i Komponenty i z wskazaniem objętego nimi okresu rozliczeniowego, z uwzględnieniem logów zarchiwizowanych. rozliczenie wykonania Usługi w tym wyliczenia wskaźników dostępności; wykaz wszystkich Zgłoszeń dotyczących USDI, zawierający co najmniej: - data i godzina wystąpienia Incydentu, - data i godzina zgłoszenia Incydentu i rejestracji Zgłoszenia do Help Desk ARiMR, - data i godzina podjęcia Zgłoszenia do realizacji, - numer Zgłoszenia w Systemie Obsługi Zgłoszeń ARiMR, - opis, numer, czego Zgłoszenie dotyczy w podziale na Elementy i Komponenty, - data i godzina skompletowania Zgłoszenia, - sumaryczny czas obsługi Zgłoszenia przez Usługodawcę, 2) Raporty na żądanie (maksymalnie 2 razy w miesiącu) w szczególności: Raport z konfiguracji poszczególnych Komponentów i Elementów Usługi, Raport z wydajności poszczególnych Komponentów i Elementów Usługi, Raport z przeglądu uprawnień użytkowników (lista użytkowników, przyznane uprawnienia w Systemie); Raport z obsługi incydentów w obszarze bezpieczeństwa; 3) Raporty cykliczne Raport z przeprowadzonego skanowania WLB - przekazanie do Usługobiorcy prezentacji aktualnych wyników skanowania podatności, w postaci raportów wygenerowanych przez Usługodawcę na Elementach Komponentu WLB; dostarczany w ciągu 1 Dnia roboczego po każdej aktualizacji Komponentu WLB w zakresie bazy danych podatności. Raporty z pkt. 2 i 3 zostaną dostarczone zgodnie z pkt. 2 i 3 na adres mailowy Administratora Usługi. 2 PARAMETRY USŁUGI 2.1 OBSZAR ŚWIADCZENIA USŁUGI: Usługą będzie objęty obszar wskazany w Tabeli nr 1: Tabela nr 1 Nazwa ośrodka CPD/ROPD 2.2 OKNA SERWISOWE: W godz. 22:00 05:00, po uzgodnieniu z Usługobiorcą w terminie co najmniej 3 Dni roboczych przed planowanymi pracami 2.3 POJEMNOŚĆ USŁUGI Tabela nr 2 DEFINICJA PARAMETRU SPECYFIKA Ilość Elementów Komponentu Routery Zgodnie z Załącznikiem nr 4 do Umowy na dzień Strona 10 z 15

11 dostępowe do Internetu (RDI) Ilość Elementów Komponentu Routery połączeniowe (RP) Ilość Elementów Komponentu Przełączniki LAN (PLAN) Ilość Elementów Komponentu Zewnętrzne zapory ogniowe ASA Firewall (ZZO) Ilość Elementów Komponentu Wewnętrzne zapory ogniowe Check Point (WZO) Ilość Elementów Komponentu Wykrywanie włamań (WW) Ilość Elementów Komponentu Wykrywanie luk bezpieczeństwa (WLB) Ilość Elementów Komponentu Raportowanie (RAP) Ilość Elementów Komponentu Rozkład obciążenia (RO) Ilość Elementów Komponentu Skanowanie zawartości (SZ) Ilość Elementów Komponentu DNS (DNS) Ilość Elementów Komponentu Buforowanie (BUF) Ilość Elementów Komponentu Zdalny dostęp VPN (VPN) Ilość Elementów Komponentu Routery terminalowe (TERM) Ilość Elementów Komponentu Wymiana plików (WP) zawarcia Umowy Zgodnie z Załącznikiem nr 4 do Umowy na dzień zawarcia Umowy Zgodnie z Załącznikiem nr 4 do Umowy na dzień zawarcia Umowy Zgodnie z Załącznikiem nr 4 do Umowy na 2.4 SLA DLA USŁUGI: Poziom świadczenia USDI zgodnie z Tabelą nr 3: Tabela nr 3 OPIS ZGŁOSZENIA/ DZIAŁANIA Zgłoszenie otwarcia komunikacji sieciowej w obszarze SDI Zgłoszenie przygotowania raportu na żądanie Zgłoszenie inne Czas na wykrycie Incydentu i zarejestrowanie Zgłoszenia Zgłoszenie z obszaru bezpieczeństwa Zgłoszenie Niedostępności Zgłoszenie Incydentów innych Czas na podjęcie Zgłoszenia do realizacji (zmiana statusu Zgłoszenia w Systemie Obsługi Zgłoszeń z Nowe na Realizowane) lub przekazanie Zgłoszenia do innej Usługi CZAS REALIZACJI 4h 48h 24h 1h 2h 6h 24h 1h 3 KOSZTY I ZASADY ROZLICZEŃ WYKONANIA USŁUGI 3.1 WSKAŹNIK DOSTĘPNOŚCI MIESIĘCZNEJ KOMPONENTU (WDMK): Niedostępność Komponentu - niedostępność przynajmniej jednego Elementu Komponentu Strona 11 z 15

12 powodująca brak możliwości realizacji funkcji Elementu zgodnie z przeznaczeniem.. Wskaźnik dostępności miesięcznej Komponentu jest wartością procentową, wskazującą faktyczną dostępność Komponentu w stosunku do Wymaganego Czasu Dostępności Komponentu, w miesięcznym okresie rozliczeniowym, liczoną w następujący sposób odrębnie dla każdego Komponentu: WDMK gdzie: i WCD i WCD SCN i i 100% WCDi to Wymagany Czas Dostępności będący iloczynem dni kalendarzowych w danym okresie rozliczeniowym i 24h, wyrażony w godzinach; SCNi to sumaryczny czas Niedostępności Komponentu wyrażony w godzinach Jeżeli WDMKi < 0 to przyjmujemy na potrzeby obliczania WDM, że WDMKi = WSKAŹNIK DOSTEPNOŚCI AKTUALIZAJI KOMPONENTU (WDAK): Niedostępność aktualizacji baz danych sygnatur zagrożeń Komponentów WLB i WW to liczba rozpoczętych dni o jakie przekroczony został wymagany czas dokonania aktualizacji, w okresie rozliczeniowym dla Elementów w Komponentach WW i WLB. Dla Komponentu WW: wymaganie aktualizacji wskazane jest przez zmianę stanu parametru Update Status, dowolnego Elementu, z wartości Current na Out of Date prezentowane w statystykach dostępnych poprzez konsolę systemu Komponentu WW. Aktualizacja uznana jest za dokonaną w momencie odzyskania wartości Current dla parametru Update Status, każdego Elementu; Dla Komponentu WLB: wymaganie aktualizacji wskazane jest przez udostępnienie nowej aktualizacji na stronie producenta. Aktualizacja uznana jest za dokonaną w momencie wskazania na konsoli Komponentu WLB aktualnej wersji. WDAK gdzie: L DOA [%] WDAK wskaźnik dostępności aktualizacji komponentu L DOA liczba rozpoczętych dni przekroczenia czasu dokonania każdej aktualizacji wymaganej w okresie rozliczeniowym przeliczoną na wartość procentową, gdzie: L DOA = 100% gdy przekroczenie nie przekracza 2 dni. L DOA = 70% gdy przekroczenie nie przekracza 5 dni. L DOA = 0% gdy przekroczenie przekracza 5 dni. 3.3 WSKAŹNIK DOSTĘPNOŚCI WYNIKÓW SKANOWANIA PODATNOŚCI (WPTP): Niedostępność wyników skanowania podatności to liczba rozpoczętych dni o jakie przekroczony został wymagany czas przekazania do Usługobiorcy prezentacji aktualnych wyników Strona 12 z 15

13 skanowania podatności, w postaci raportów wygenerowanych przez Usługodawcę na Elementach Komponentu WLB. Wymagany termin przekazania prezentacji aktualnych wyników skanowania podatności następny dzień roboczy po przeprowadzeniu skanowania. WDTP L DOP [%] gdzie: WDTP wskaźnik przekroczenia terminu prezentacji aktualnych wyników skanowania podatności L DOP liczba rozpoczętych dni przekroczenia terminu prezentacji po każdym wymaganym skanowaniu podatności w okresie rozliczeniowym przeliczoną na wartość procentową gdzie: L DOP = 100% gdy przekroczenie nie przekracza 2 dni. L DOP = 70% gdy przekroczenie nie przekracza 5 dni. L DOP = 0% gdy przekroczenie przekracza 5 dni. 3.4 WSKAŹNIK DOSTEPNOŚCI MIESIĘCZNEJ (WDM): Wskaźnik dostępności miesięcznej Usługi jest wartością procentową, liczoną w następujący sposób: WDM n i 1 W Gi W DMKi W GDAK WDAK W GDTP WDTP gdzie: Tabela nr 4 W DM Wskaźnik dostępności miesięcznej Usługi W Gi Waga i tego Komponentu W DMKi Wskaźnik miesięcznej dostępności i tego Komponentu. W GDAK Waga wskaźnika dostępności aktualizacji Komponentu W DAK Wskaźnik dostępności aktualizacji Komponentu W GDTP Waga wskaźnika dostępności wyników skanowania podatności W DTP Wskaźnik dostępności wyników skanowania podatności n liczba Komponentów SKŁADNIKI WDM WDAK 0,05 WDTP 0,05 Routery dostępowe do internetu (RDI) 0,03 Routery połączeniowe (RP) 0,03 Przełączniki LAN (PLAN) 0,04 Zewnętrzne zapory ogniowe PIX Firewall (ZZO) 0,03 Wewnętrzne zapory ogniowe Check Point (WZO) 0,22 Wykrywanie włamań (WW) 0,15 Wykrywanie luk bezpieczeństwa (WLB) 0,04 WAGA WGDAK, WGDTP, WGi Strona 13 z 15

14 Raportowanie (RAP) 0,01 Rozkład obciążenia (RO) 0,03 Skanowanie zawartości (SZ) 0,15 Buforowanie (BUF) 0,06 DNS (DNS 0,05 Zdalny dostęp VPN (VPN) 0,04 Routery terminalowe (TERM) 0,01 Wymiana plików (WP) 0,01 Obniżenie wynagrodzenia ryczałtowego z tytułu niedotrzymania dostępności miesięcznej (WDM) będzie liczone na podstawie Tabeli nr 5. Ostateczna wartość wynagrodzenia miesięcznego jest iloczynem wynagrodzenia ryczałtowego i procentowej wartość parametru stosowanego do określenia wynagrodzenia za Usługę, zgodnie z 8 ust. 2 Umowy. Tabela nr 5 WARTOŚĆ PARAMETRU DOSTEPNOŚCI MIESIĘCZNEJ (WDM) <99% - 100%> 100% <90% - 99%) 80% <75% - 90%) 50% mniej niż 80% 1% PROCENTOWA WARTOŚĆ PARAMETRU STOSOWANA DO OKREŚLANIA OPŁATY ZA USŁUGĘ W przypadku przekroczenia SLA określonego w Tabeli nr 3 Usługobiorca będzie naliczał kary zgodnie z Tabelą nr 6: Tabela nr 6 Strona 14 z 15

15 TYTUŁ Za każdą rozpoczętą godzinę opóźnienia w stosunku do Czasu Realizacji Zgłoszenia zmian w konfiguracji SDI Za każdą rozpoczętą godzinę opóźnienia w stosunku do Czasu Realizacji Zgłoszenia przygotowania raportu na żądanie Za każdą rozpoczętą godzinę opóźnienia w stosunku do Czasu Realizacji Zgłoszenia innego Za każde rozpoczętą godzinę opóźnienia w stosunku do czasu na wykrycie Incydentu i zarejestrowanie Zgłoszenia Za każde rozpoczętą godzinę opóźnienia w stosunku do Czasu Realizacji Zgłoszenia z obszaru bezpieczeństwa Za każdą rozpoczętą godzinę opóźnienia w stosunku do Czasu Realizacji Zgłoszenia Niedostępności Za każdą rozpoczętą godzinę opóźnienia w stosunku do Czasu Realizacji Zgłoszenia Incydentu innego Za każdą rozpoczętą godzinę opóźnienia w stosunku do czasu na podjęcie Zgłoszenia do realizacji (zmiana statusu Zgłoszenia w Systemie Obsługi Zgłoszeń z Nowe na Realizowane) lub przekazania Zgłoszenia do innej Usługi Za każdy rozpoczęty dzień opóźnienia w stosunku do terminu dostarczenia Raportu miesięcznego Za każdy rozpoczęty dzień opóźnienia w stosunku do terminu dostarczenia raportu cyklicznego Za każdy rozpoczęty dzień opóźnienia w stosunku do terminu dostarczenia Dokumentacji lub aktualizacji KARA 30,00 zł 30,00 zł 50,00 zł 80,00 zł 100,00 zł 100,00 zł 50,00 zł 30,00 zł 300,00 zł 150,00 zł 500,00 zł Strona 15 z 15