1.1 Техническое задание На поставку программно-аппаратного комплекса АПКШ «Континент» 3.7 и оказание услуг по обнаружению и предупреждению компьютерных атак на защищаемые ресурсы
Приложение к документации о закупке
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
На поставку программно-аппаратного комплекса АПКШ «Континент» 3.7 и оказание услуг по обнаружению и предупреждению компьютерных атак на защищаемые ресурсы.
Заказчик:
Акционерное общество «ОДК-Газовые турбины» (АО «ОДК-ГТ»)
Место нахождения: 152914, Ярославская обл.,
Почтовый адрес: 152914, Ярославская обл.,
007 0114 / 001 001
Назначение закупки:
Приобретение программно-аппаратного комплекса и Услуг по обнаружению и предупреждению компьютерных атак с целью принятия организационных и технических мер для обеспечения эффективной защиты информационных ресурсов предприятия АО «ОДК-ГТ» от хакерских атак и подключение предприятия к корпоративному центру обнаружения, предупреждения и ликвидаций последствий компьютерных атак ГК «Ростех».
Предмет закупки:
- Поставка программно-аппаратного комплекса АПКШ «Континент» 3.7 исполнение 2. Детектор Атак. Платформа IPC-100NDF. Inc. TS Special lvl» или эквивалент в соответствии со следующими требованиями:
№ | Код Товара / Наименование Товара, наименование производителя | Характеристики программно-аппаратного комплекса АПКШ «Континент» 3.7 исполнение 2. Детектор Атак. Платформа IPC-100NDF. Inc. TS Special lvl» или эквивалента | Кол-во ед. |
1 | АПКШ «Континент» 3.7 исполнение 2. Детектор Атак. Платформа IPC-100NDF. Inc. TS Special lvl | 1. Исполнение: программно-аппаратный комплекс. 2. Аппаратная часть: · исполнение: для установки в монтажную стойку, высота 1U; · наличие крепежного комплекта для установки в монтажный шкаф 19''; · один процессор: Intel G3420 частота 3.2 ГГц; · 8 Гб оперативной памяти; · 8 (восемь) сетевых интерфейсов в конфигурации: · 6 x 1000BASE-T Gigabit Ethernet, с разъемами RJ45 UTP; · 2 х 1000BASE-X Gigabit Ethernet, с разъемом SFP под установку модуля трансивера; · 1 (один) дисковый накопитель SATA SSD, объемом 30 Гб; · 4 (четыре) порта USB 2.0; · 1 (один) видео порт VGA; · 1 (один) последовательный (COM) порт с разъемом RJ45; · 1 (один) порт с разъемом RJ12 для подключения считывателя Touch Memory (iButton); · носитель информации типа USB Flash Drive емкостью 512 Мбайт; · 2 (два) персональных идентификатора Touch Memory iButton DS1992L; · 1 (один) внешний считыватель Touch Memory (iButton) с разъемом RJ12; · потребляемая мощность 270 Вт; · 1 (один) блок питания; · шнур питания европейского стандарта длиной 1 метр; · наличие встроенного сертифицированного ФСБ России аппаратно-программного модуля доверенной загрузки, содержащего интегрированный аппаратный модуль ДСЧ (ФДСЧ); · Платформа детектора атак обеспечивает среднее время наработки на отказ (MTBF) 40 000 часов. 3. Функциональность: · скорость инспекции трафика с оптимальным набором базы решающих правил и 10 000 одновременных соединений: в режиме «в разрыв» - 350 Мбит/с; в режиме анализа зеркалированного трафика– 700 Мбит/с; · обслуживание до 500 новых соединений в секунду, до 200 000 одновременных соединений; · инспекция принятых и переданных пакетов проводится с учетом состояния соединения; · сигнатурные и эвристические методы обнаружения вторжений; · возможность создания собственных правил; · возможность анализировать сигнатурными методами трафик на сетевом, транспортном и прикладном уровне сетевой модели OSI и блокировать нежелательный трафик (в режиме работы «в разрыв») на каждом из уровней; · возможность работы в прозрачном режиме при включении в разрыв канала и при зеркалировании трафика на устройство; · возможность создания набора правил c максимальными настройками безопасности; · возможность выявления пользовательских приложений в инспектируемом траффике; · возможность блокирования пользовательских приложений в инспектируемом траффике · возможность централизованного выполнения регламентных операций; · поддержка безопасного удалённого обновления БРП, системного и прикладного ПО из единого центра обновлений; · возможность интеграции с балансировщиком нагрузки и использование протокола обмена данными с балансировщиком для уведомления о своем состоянии; · возможность централизованного управления режимом Bypass при работе ДА «в разрыв»; · возможность локального хранения журналов при недоступности центра управления и их отправку на центр управления при восстановлении канала управления; · возможность локального просмотра журнала ДА с поддержкой механизма применения фильтров для выборки событий по различным критериям; · возможность сетевой диагностики с использованием встроенных средств ДА; · поддерживаемые протоколы: o сетевого уровня: ICMPv4, IPv4; o транспортного уровня: TCP, UDP, SCTP; o канального уровня: PPPoE, PPP; o прикладного уровня: FTP, HTTP, SMB, SSH, SMTP; o сеансового уровня: SSL, DCE/RPC; · поддерживаемые приложения: o Интернет мессенджеры: IRC, MSN, ICQ, SIP, Skype, Jabber, Whatsapp; o Удаленное управление: PCAnywhere, RDP, TeamViewer, VNC; o Сетевое вещание: Icecast, PPLive, PPStream, QQLive, SHOUTCast, SopCast, TVAnts, TVUplayer, Zatoo; o Скрытая передача данных: Bittorrent, eDonkey, Kazza/Fasttrack, Gnutella, HTTP Application Activesync, Veoh TV, RemoteScan; o Туннели: GRE, IP in IP, SSH (в том числе инкапсулированные в HTTP), SSL (в том числе инкапсулированные в HTTP), STUN, Tor; o Социальные сети: Facebook, Gmail, Google, Google Maps, Twitter, Youtube; o Игры: Battlefield, Halflife 2, Quake, Steam, Thunder / Webthunder, WarCraft 3, World of Warcraft; World of Kung Fu. · возможность работы с несколькими сетевыми интерфейсами; · Максимальное кол-во анализирующих интерфейсов (сенсоров) 6 (шесть); · ПО ДА представляет собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО; · ПО ДА не требует установки дополнительных средств антивирусной безопасности; · режим работы ДА — круглосуточный необслуживаемый, по схеме 24х7х365. 4. Сертификация: · Сертификат – о соответствии требованиям ФСТЭК России «Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 2-му уровню контроля; · Сертификат о соответствии требованиям руководящих документов ФСТЭК России «Системы обнаружения вторжений» (ФСТЭК России, 2012 г.) по 3-му классу; · Сертификат Минкомсвязи России – о соответствии установленным требованиям к оборудованию маршрутизации пакетов информации и возможности применения на сетях связи общего пользования в качестве оборудования коммутации и маршрутизации · пакетов информации. | 1 |
- Предоставление Услуг по обнаружению и предупреждению компьютерных атак на защищаемые ресурсы АО «ОДК-ГТ».
Требования к оказанию услуг по обнаружению и предупреждению компьютерных атак:
2 Описание услуги
2.1 Общие положения
Услугой является обнаружение и предупреждение компьютерных атак на защищаемые ресурсы Покупателя, расположенные по адресам Покупателя.
Поставщик осуществляет удаленный сбор и анализ данных с поставляемого в рамках договора программно-аппаратного комплекса «АПКШ «Континент» 3.7 исполнение 2. Детектор Атак. Платформа IPC-100NDF. Inc. TS Special lvl» (далее - Сенсор).
Услуга оказывается Поставщиком в режиме 24/7/365 (24 часа в сутки, ежежневно, без перерывов и выходных в течение срока оказания Услуг).
Срок оказания услуг – 12 (Двенадцать) месяцев с момента подписания Покупателем товарной накладной на поставку Сенсора.
2.2 Состав услуги
В состав Услуги включаются:
1.2.1 Администрирование Сенсора, в т. ч. ежедневное обновление правил оповещения (сигнатур атак).
1.2.2 Техническая поддержка и консультирование ответственных сотрудников Покупателя по вопросам обеспечения информационной безопасности и обнаруженных атак.
1.2.3 Мониторинг сетевых атак на защищаемые ресурсы Покупателя, включающий:
- сбор данных об атаках на защищаемые ресурсы;
- классификация зарегистрированных событий ИБ в сети;
- оповещение о произошедших инцидентах ИБ ответственных сотрудников Покупателя;
- формирование ежемесячных автоматизированных отчетов;
- формирование ежеквартальных аналитических отчетов.
1.2.4 Реагирование на инциденты ИБ:
- консультации специалистов Покупателя по произошедшему инциденту ИБ;
- помощь в разработке плана по предотвращению повторного инцидента ИБ;
- разработка рекомендаций по улучшению системы обеспечения ИБ Покупателя.
3 Порядок оказания Услуги
- Оказание Услуг выполняется круглосуточно.
- Уведомление ответственных сотрудников Покупателя об инцидентах ИБ выполняется по телефону или по электронной почте.
- Консультации ответственных сотрудников Покупателя специалистами Поставщика выполняются по телефону или по электронной почте.
4 Контрольная отчетность
В рамках оказания Услуг Поставщиком не позднее 5 (Пяти) рабочих дней с начала каждого календарного месяца разрабатывается и предоставляется Покупателю отчет, содержащий следующую информацию:
- статистика атак на защищаемые ресурсы Покупателя за прошедший календарный месяц;
- описание произошедших инцидентов ИБ;
- рекомендации по предотвращению обнаруженных инцидентов в будущем.
Форма отчета определяется совместно Покупателем и Поставщиком в течение 15 рабочих дней со дня начала оказания Услуг.
5 Метрики качества
5.1 Классификация событий безопасности
В зависимости от природы событий безопасности, они могут быть отнесены к одной из четырех категорий:
- Ложные срабатывания.
- Срабатывания, указывающие на нежелательную, но в целом некритическую активность (Adware, легальные шпионские плагины и т. д.).
- Срабатывания, указывающие на попытки эксплуатации уязвимостей в ПО, сетевом оборудовании и сетевых сервисах.
- Срабатывания, указывающие на критические заражения устройств в сети (банковские трояны, дропперы, шпионское ПО, скрытое ПО для удаленного управления и т. д.) либо подтвержденную эксплуатацию критических уязвимостей.
5.2 Уведомления и реагирование
Уведомление об инцидентах ИБ, производится круглосуточно по контактным телефонам и email адресам.
Способ уведомления | Срок уведомления | Категория событий |
Телефон + email | 20 минут после подтверждения угрозы | 4 |
20 минут после подтверждения угрозы | 3 | |
Без уведомления | - | 1,2 |
Максимальные сроки реагирования и выполнения задач сотрудниками Поставщика:
Тип | Срок (с момента поступления уведомления) |
Инициирование анализа важных и критических инцидентов | 1 час |
Инициирование анализа инцидентов средней и низкой важности (в случае необходимости) | 4 часа |
Первичный анализ инцидента | 2 часа |
Дополнительный анализ (в случае необходимости) | 12 часов |
Разбор ложных инцидентов | 24 часа |
Ответ на информационный вопрос Предприятия через email | 24 часа |
Ответ на критический вопрос Предприятия по инциденту через email | 1 час |
Формирование автоматической отчётности по запросу | 24 часа |
Формирование отчёта специалиста | От 1 до 5 суток, в зависимости от необходимого периода и общего количества инцидентов за отчётный период |
Повторные уведомления осуществляются только по критическим инцидентам категории №4. В случае фиксирования новых событий спустя 24 (Двадцать четыре) часа после уведомления, указывающих на старый инцидент, осуществляется вторичное уведомление по телефону и email.
Информация, содержащаяся в уведомлениях, содержит ссылку на событие с подробной информацией о нём, позволяющей правильно трактовать данное событие и однозначно определить сетевое устройство, продуцирующее срабатывания. Информация обычно содержит в себе следующие поля:
- время;
- информация из заголовков пакетов (IP-адреса, порты, протокол и т. д.);
- название сработавшей сигнатуры;
- данные, на которые сработала сигнатура (в случае, если сигнатура нацелена на срабатывание на данные);
- текстовый комментарий оператора с расширенным описанием проблемы (в случае необходимости).
5.3 Действия Покупателя
При получении уведомления по событиям категории №4, Покупатель получает информацию о критическом событии, связанным с подтвержденным заражением защищаемых ресурсов, либо проведенной эксплуатацией какой-либо уязвимости в ПО/сетевом оборудовании. В соответствии с внутренними процедурами реагирования на инциденты ИБ, Покупатель должен принять решение либо о реагировании на данный инцидент собственными силами, либо обратиться за дополнительной консультацией к Поставщику.
При получении уведомлений по событиям категории №3, как правило, Покупателю требуется провести оценку критичности данного события (либо группы событий) с целью определения дальнейших действий. Критичность события напрямую связана с проводимой Покупателем политикой установки обновлений и исправлений известных уязвимостей, а также фактов использования того или иного оборудования. В случае невозможности по какой-либо причине провести такую оценку самостоятельно, Покупателю следует обратиться к Поставщику за дополнительной консультацией.
5.4 Иные условия
Поскольку сотрудники Поставщика не имеет доступа к сетевой инфраструктуре Покупателя и не предоставляет услуг администрирования сети, в реальной практике может быть затруднительно однозначно трактовать ряд событий, попадающих в категорию №3. В связи с тем, что число таких событий может быть велико (особенно в случае сканирования на массовые уязвимости), Поставщик руководствуется принципами доброжелательного благоразумия, информируя по email об инцидентах в максимально обобщенном сообщении в течение 3 (Трех) часов после подтверждения угрозы.
Ввиду отсутствия у Поставщика доступа к другим ресурсам информационных систем Покупателя, для однозначного подтверждения инцидента информационной безопасности, его расследования и предотвращения, Поставщику могут потребоваться события безопасности с соответствующих ресурсов. При предоставлении необходимых данных, Поставщик проводит соответствующий анализ и сообщает результат. При отсутствии необходимых дополнительных сведений, Поставщиком не могут быть оказаны услуги по анализу с необходимым качеством и в срок.
Поставщик не несёт ответственности за нарушения условий оказания своих услуг, работу сенсора и информационных систем Предприятия, вызванные следующими обстоятельствами:
- неверная настройка сети Предприятия/неработоспособность сети или отдельных ее сегментов;
- отсутствие электроснабжения сенсора;
- неработоспособность сенсора по вине Покупателя или третьих лиц;
- недоступность контактных лиц Покупателя по указанным телефонам для оповещения по возникшим инцидентам.
