Załącznik nr 1 Szczegółowy opis przedmiotu zamówienia Wymagania dotyczące systemu analizy bezpieczeństwa sieci - System analizy bezpieczeństwa sieci (system zbierania i korelowania incydentów i logów związanych z bezpieczeństwem) zwany dalej także systemem SIEM musi zapewnić mechanizmy nadzoru nad całością wdrożonych systemów i sieci w zakresie bezpieczeństwa i ciągłości działania. Musi również pozwalać na identyfikację ewentualnych zagrożeń na podstawie informacji pochodzącej z całej posiadanej infrastruktury teleinformatycznej. A. 1. Podstawowymi zadaniami dla wymaganego systemu SIEM są: a) wykrywanie awarii i innych problemów na podstawie logów i metryk pozyskiwanych z urządzeń i systemów informatycznych, b) weryfikacja funkcjonowania zasad bezpieczeństwa i stosowanych środków kontrolnych, c) zapewnienie mechanizmów monitorujących pracowników i innych użytkowników infrastruktury teleinformatycznej, d) monitorowanie funkcjonowania aplikacji i urządzeń w celu szybszego reagowania na możliwe problemy i awarie, e) zarządzanie wykrywaniem, priorytetyzowaniem i rozwiązywaniem incydentów, f) zbieranie, zapisywanie i przechowywanie logów na czas określony przez prawo - dane muszą być przechowywane w sposób zapewniający ochronę ich integralności, g) korelacja informacji pochodzących z różnych źródeł w celu wykrycia zaawansowanych zagrożeń i/lub eliminacji fałszywych alarmów. 2. Wdrożony system SIEM musi pozwalać na podłączenie dowolnego źródła logów,. 3. System SIEM musi pozwalać na kontrolę dostępu do danych i narzędzi, w taki sposób
by niemożliwe było nieautoryzowane usunięcie całości lub części informacji. 4. Zamawiający wymaga wdrożenie systemu SIEM w następującym zakresie: a) instalacja i konfiguracja systemu na dedykowanych do tego serwerach (dostarczonych przez Zamawiającego), b) integracja z systemami źródłowymi: urządzenia sieciowe firmy HP (ProCurve 5406, 5412, 3500, 2910al) w zakresie kolekcji statystyk sflow i/lub NetFlow, firewalle Juniper SRX 3K oraz Juniper SSG20 i SSG140, systemy operacyjne serwerów (Windows Server, Linux), systemu dostępu do internetu proxy Cisco IronPort serii C, system pocztowy (Microsoft Exchange), system wirtualizacji Microsoft Hyper-V, systemy baz danych Oracle, MS SQL, MySQL, c) integracja ze źródłami danych statycznych, co najmniej: usługa katalogowa AD w celu korelacji danych o użytkownikach, dane o strukturze organizacyjnej w celu budowania statystyk ruchowych w oparciu o dane z baz danych i plików tekstowych, d) przygotowanie raportów i dashboardów dla podanych wyżej źródeł danych i opisanych szczegółowo w punktach 23, 25, 26, 27, 28, 29, 30, 31 B. Wymagania szczegółowe: 1. System SIEM musi pobierać logi z wielu elementów systemu informatycznego, poddawać je korelacji i na tej podstawie przedstawiać administratorom informacje na temat stanu bezpieczeństwa i wykrytych incydentów. 2. System SIEM musi zostać dostarczony w formie oprogramowania do zainstalowania na serwerach ogólnego przeznaczenia. Oferta musi zawierać: a) komplet niezbędnego oprogramowania systemowego i narzędziowego, b) oprogramowanie dostarczanego produktu. 3. Zamawiający wymaga by kolektor służący do kolekcji statystyk sieciowych (NetFlow/sFlow) uruchomiony został na osobnym serwerze.
4. System SIEM musi pozwalać na zebranie i analizę co najmniej: a) 20GB danych dziennie z wydajnością pozwalającą na obsługę do 10 000 zdarzeń na sekundę. b) Statystyk sieciowych sflow i NetFlow z wydajnością 10 000 flow/sec. 5. Licencja nie może ograniczać w żaden sposób liczby podłączonych urządzeń. 6. System SIEM musi zapewnić dostęp do zebranych danych bez żadnych dodatkowych czynności (np. odtwarzania danych archiwalnych) i maksymalną wydajnością za okres co najmniej 6 miesięcy wstecz. 7. System SIEM musi pozwalać na podłączenie dodatkowej przestrzeni dyskowej CIFS/NFS/iSCSI w celu przechowywania danych archiwalnych. Dane archiwalne powinny być dostępne w systemie w ten sam sposób jak dane dostępne on-line, 8. System SIEM musi obsługiwać następujące rodzaje informacji: a) zdarzenia i logi z systemów zabezpieczeń (firewall, SSLVPN, IPS, UAC, AV), b) zdarzenia i logi z urządzeń sieciowych (przełączniki), c) zdarzenia i logi systemów operacyjnych (Microsoft Windows, Linux, Unix), d) zdarzenia i logi oraz parametry wydajnościowe z platform wirtualizacyjnych opartych na produkcie Microsoft Hyper-V oraz VMWare, e) informacje na temat stanu systemów i ich bezpieczeństwa odczytywane za pomocą skanerów Nessus i NMAP, ncircle i Qualys. 9. System SIEM musi umożliwiać pobieranie logów z systemów podłączonych z wykorzystaniem co najmniej następujących metod: a) Syslog UDP i TCP, b) SNMP Trap, c) Wartości pobierane od agentów SNMP, d) Logów i informacji przechowywanych w bazach danych. co najmniej Oracle, MS SQL MySQL. Musi istnieć możliwość instalacji sterowników do innych typów baz danych w standardzie JDBC lub ODBC (alternatywnie), e) Windows EventLog, f) Windows Management Infrastructure (WMI), g) Pliki tekstowe, h) Wynik działania programów i skryptów uruchamianych na urządzeniu/serwerze lub na podłączonym systemie źródłowym, i) Zmiany w zawartości plików i kluczy rejestrów. 10. System SIEM musi umożliwiać pobieranie logów poprzez sieć oraz poprzez agenta
instalowanego na systemach źródłowych. Agent musi również umożliwiać pobieranie informacji zarówno z systemu, na którym został zainstalowany jak również z zewnętrznych systemów (np. w celu obsłużenia logów w strefach DMZ lub lokalizacjach zdalnych). 11. Jeżeli do pobierania logów wykorzystywany jest agent do komunikacji z serwerem centralnym musi być wykorzystywana transmisja kanałem szyfrowanym, 12. Konfiguracja agenta, po podłączeniu do serwera zarządzającego musi odbywać się centralnie. 13. System SIEM musi umożliwiać korelację zdarzeń pochodzących z różnych systemów źródłowych na podstawie dowolnych pól i zmiennych logu. 14. System SIEM musi umożliwiać integrację z systemami zarządzania tożsamością w celu identyfikacji i korelacji zdarzeń inicjowanych dla określonego użytkownika niezależnie od nazwy jego konta. Korelacja musi uwzględniać właściciela konta, a nie nazwę identyfikatora użytkownika. 15. Musi istnieć możliwość integracji Systemu SIEM z systemami zarządzania infrastrukturą w celu uwzględnienia w analizie istotności zasobów informatycznych oraz prezentacji opisu zasobu (nazwa, istotność, właściciel, funkcja, kontakt do administratora, itp.) nawet jeżeli w samym logu występuje wyłączenie adres IP zasobu. 16. Komunikacja użytkownika z systemem SIEM musi odbywać się przy użyciu przeglądarki internetowej (wsparcie dla co najmniej: Internet Explorer, Firefox, Chrome). Niedopuszczalne jest wymaganie instalacji jakiegokolwiek dedykowanego oprogramowania klienckiego na stacjach roboczych użytkowników. Do celów administracyjnych dopuszczalne jest wymaganie zdalnego dostępu do systemu operacyjnego serwera. 17. System SIEM musi umożliwiać definiowanie precyzyjnych uprawnień administratorów w zakresie monitorowanego obszaru systemu informatycznego oraz dostępnych operacji w systemie zarządzania. Tożsamość administratorów musi być weryfikowana poprzez lokalne konto oraz zewnętrzne systemy uwierzytelniania co najmniej LDAP i Active Directory. 18. System SIEM musi posiadać możliwość powiadamiania administratorów o zdarzeniach za pomocą co najmniej email. 19. System SIEM musi umożliwiać przypisywanie zidentyfikowanych incydentów do obsługi określonym administratorom.
20. System SIEM musi utrzymywać centralne repozytorium logów z możliwością ich przeglądania w formie rzeczywistej (raw) oraz udostępniać użytkownikowi dane w formie znormalizowanej (z uwzględnieniem znaczenia poszczególnych zmiennych/pól logu). System musi umożliwiać zmianę sposobu normalizacji logów w trakcie używania systemu (np. dodanie nowych pól, zmianę znaczenia lub nazwy istniejących itp.) bez konieczności przeprowadzania ponownego odbudowywania bazy danych. System SIEM musi pozwalać na równoległe używanie różnych sposobów normalizacji logów. 21. Wyszukiwanie danych musi być możliwe z wykorzystaniem filtrów opartych o dane znormalizowane np. zapytanie o konkretny adres IP występujący jako adres źródłowy połączeń. System musi również pozwalać na wyszukiwanie danych w oparciu o wyrażenia regularne zastosowane wobec całego logu jak również pojedynczych pól. 22. System SIEM musi posiadać możliwość tworzenia wielu typów raportów generowanych zgodnie z kryteriami ustalonymi przez administratorów oraz na podstawie predefiniowanych wzorców (raportów). Raporty muszą być tworzone w wielu formatach minimum PDF, HTML, CSV, JPG. 23. System musi posiadać predefiniowane raporty/dashboardy związane z analizą wykorzystania łącza internetowego w oparciu o logi serwera proxy i statystyki z przełączników i routerów co najmniej uwzględniające następujące zagadnienia: a) Prezentacja w czasie rzeczywistym sumarycznego obciążenia, b) Użytkownicy najbardziej wykorzystujący łącze, c) Użytkownicy spędzający najwięcej czasu na korzystaniu z Internetu (WWW), d) Statystyki dla jednostek organizacyjnych Zamawiającego, e) Statystyki dla aplikacji/serwerów (uwzględniające, że aplikacja może korzystać z różnych protokołów komunikacyjnych), f) Wykrywanie połączeń do adresów uznanych za groźne i umieszczonych na listach reputacyjnych (np. DShield) z możliwością dodawania nowych subskrypcji z możliwością ich automatycznego pobierania, g) Statystyki dotyczące portu/podsieci. 24. System SIEM w raportach musi mieć możliwość automatycznego rozwiązywania nazw DNS dla adresów IP.
25. System musi posiadać raporty/dashboardy związane z analizą wykorzystania łącza internetowego w oparciu o logi serwera proxy (IronPort) co najmniej uwzględniające następujące zagadnienia: a) Badanie parametrów ilość pobranych danych, czas korzystania z internetu, ilość pobieranych stron, kategorie stron w oparciu o logi flitra URL, b) Raporty dotyczące zablokowanych stron (liczba, kategoria, poziom ryzyka), c) Statystyki i raporty muszą być dostępne zarówno dla całej sieci zamawiającego, poszczególnych użytkowników jak również dla poszczególnych jednostek organizacyjnych, d) Alarmy w przypadku wykrycia dostępu do domen wpisanych na listy reputacyjne jako niosące zagrożenie. 26. System musi posiadać raporty/dashboardy związane z obsługą infrastruktury wirtualizacji wykorzystywanej przez zamawiającego opartej na Microsoft Hyper-V co najmniej uwzględniające następujące zagadnienia: a) Parametry wydajnościowe (procesor, pamięć, dysk, wykorzystanie sieci), b) Parametry powinny być prezentowane w czasie rzeczywistym dla całej instalacji, pojedynczego hosta (lub jego komponentu sprzętowego) oraz pojedynczych wirtualnych maszyn, c) Zdarzenia zachodzące na platformie wirtualizacji, d) Alarmy w przypadku osiągnięcia przez, któryś z parametrów wydajnościowych wartości granicznych lub zaistnienia innych nietypowych zdarzeń. 27. System musi posiadać raporty/dashboardy związane z obsługą urządzeń firewall używanych przez zamawiającego (Juniper SRX i SSG), co najmniej uwzględniające następujące zagadnienia: a) Statystyki ruchu dla interfejsu, adresu źródłowego, adresu docelowego, portów, protokołów, aplikacji i użytkowników, b) Wykryte ataki, c) Zdarzenia systemowe (zmiany konfiguracji, zmiany zasad filtrowania itp.). 28. System musi posiadać raporty/dashboardy związane z obsługą serwerów opartych na systemach Linux, Unix i Windows wykorzystywanych przez zamawiającego, co najmniej uwzględniające następujące zagadnienia: a) Parametry wydajnościowe (obciążenie procesora, wykorzystanie pamięci, dysku, interfejsów sieciowych),
b) Parametry wydajnościowe muszą być mierzone dla użytkownika, procesu i serwera, c) Zdarzenie systemowe, dostępy użytkowników, zdarzenia związane z zarządzaniem użytkownikami itp., d) Przegląd logów systemowych. 29. System musi posiadać raporty/dashboardy związane z obsługą serwerów Microsoft Exchange wykorzystywanych przez zamawiającego, co najmniej uwzględniające następujące zagadnienia: a) Monitorowanie dostępności poszczególnych usług serwera, b) Monitorowanie długości kolejek komunikatów, c) Parametry wydajnościowe dla poszczególnych procesów serwera, d) Monitorowanie zajętości bazy danych, użytkowników przekraczających dopuszczalną pojemność skrzynki, e) Raporty dotyczące aktywności poszczególnych użytkowników (lista wysłanych i odebranych przesyłek). 30. System musi posiadać raporty/dashboardy związane z obsługą serwerów Microsoft DHCP wykorzystywanych przez zamawiającego, co najmniej uwzględniające następujące zagadnienia: a) Wyszukiwanie wg przyznanych adresów i adresów MAC, b) Monitorowanie transakcji w czasie rzeczywistym. 31. System musi posiadać raporty/dashboardy związane z obsługą serwerów Microsoft ActiveDirectory wykorzystywanych przez zamawiającego, co najmniej uwzględniające następujące zagadnienia: a) Dostępność poszczególnych usług AD i DNS, b) Raporty zmian w strukturze katalogu, c) Zalogowania i wylogowania użytkowników, d) Raportowanie zablokowanych kont, e) Raportowanie zmian w obiektach AD. 32. System SIEM musi pozwalać na definiowanie własnych raportów, zapytań i widoków w oparciu o zebrane dane. Musi istnieć możliwość umieszczenia na raportach wielu elementów tabelarycznych i graficznych (wykresów). 33. System SIEM musi pozwalać na akcelerację zapytań i raportów, często wykonywanych, tak by system automatycznie budował dane pozwalające na szybkie wykonania raportu obejmującego długie okresy czasu (np. 6 miesięcy). Akceleracja
musi być dostępna zarówno dla raportów wbudowanych jak i własnych definiowanych przez użytkownika. 34. System SIEM musi utrzymywać szczegółowy log audytowy rejestrujący co najmniej następujące operacje administratorów login/logoff i zmiany konfiguracji systemu. 35. System SIEM musi być skalowalny tzn. musi istnieć możliwość jego łatwej rozbudowy poprzez dołożenie dodatkowych urządzeń/serwerów i ew. licencji na wydajność lub pojemność bez konieczności wymiany już wdrożonych i skonfigurowanych. 36. System SIEM musi zostać dostarczony z 24-miesięcznym wparciem technicznym producenta lub podmiot autoryzowany przez producenta obejmującego co najmniej: a) Możliwość aktualizacji oprogramowania systemu SIEM, b) Możliwość zgłaszania i śledzenia statusu błędów/problemów w języku polskim, c) Możliwość bezpośredniego kontaktu telefonicznego ze wsparciem producenta lub podmiotu autoryzowanego przez producenta, d) Gwarantowany czas odpowiedzi na zgłoszone błędy/problemy nie dłuższy niż 4h dla zgłoszeń o wysokim priorytecie o kwalifikacji błędu/problemu jako zdarzenie o wysokim priorytecie decyduje Zamawiający.