ЦВ «ПРОТЕК»

ТЕХНИЧЕСКОЕ ЗАДАНИЕ

НА ВЫПОЛНЕНИЕ РАБОТ ПО СОЗДАНИЮ СИСТЕМЫ КОНТРОЛЯ ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ В КОРПОРАТИВНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ЦВ «ПРОТЕК»

Москва 2017

Общие сведения

Наименование услуг (работ): Создание системы контроля привилегированных пользователей (далее – СКПП).

Заказчик – "ПРОТЕК".

Срок реализации проекта не более 50 рабочих дней.


Цель оказания услуг (выполнения работ)

Целями оказания услуг (выполнения работ) являются:

    реализация корпоративных требований по контролю действий привилегированных пользователей; повышение безопасности удаленного доступа привилегированных пользователей к защищаемым ресурсам информационных систем; снижение рисков информационной безопасности (далее – ИБ), связанных с неконтролируемыми действиями привилегированных пользователей, осуществляющих обслуживание элементов ИТ-инфраструктуры Заказчика; контроль производимых привилегированными пользователями изменений в информационных системах при доступе по контролируемым протоколам; персонификация действий привилегированных пользователей в информационных системах при использовании для доступа общей учетной записи; повышение эффективности расследования инцидентов ИБ; снижение рисков ИБ за счет своевременного обнаружения и обработки инцидентов.

Решаемые задачи При оказании услуг (выполнении работ) должны быть решены следующие задачи:
    разработано техническое решение, проектная и эксплуатационная документация на СКПП; осуществлена поставка программного обеспечения (лицензий) для создания СКПП; оказаны услуги по внедрению и подготовке к вводу в промышленную эксплуатацию СКПП.
текущее состояние проблемы В 2012 году в КИС ЦВ «ПРОТЕК» была внедрена система управления привилегированными пользователями Privileged Identity Management Suite 7.0 в составе следующих программных модулей:
    Enterprise Password Vault – обеспечивает защиту, управление и контроль доступа к привилегированным учетным записям; Privileged Session Manager – обеспечивает изоляцию, контроль и мониторинг доступа привилегированных пользователей, а также контроль действий в отношении любых защищаемых систем - без ограничений типов систем или протоколов; On-Demand Privileges Manager – обеспечивает создание белого (черного) списка команд, доступных для выполнения администратором; Central Policy Manager – обеспечивает автоматическую смену паролей на конечных системах (серверах, сетевых устройствах, базах данных и т. д.); Password Vault Web Access – компонент реализованный на базе сервера Microsoft IIS и предоставляющий WEB-интерфейс доступа для контролируемых администраторов.
Список  лицензий:
    простая (неисключительная ) лицензия на использование ПО Cyber-Ark Up to 99 Target Server licenses – 60; простая (неисключительная ) лицензия на использование ПО Cyber-Ark Additional 5 user licenses – 4; простая (неисключительная ) лицензия на использование ПО Cyber-Ark Additional 100 password licenses – 3; сертификат на техническую поддержку ПО Cyber-Ark EMEA Maintenance.
Техническая поддержка системы S012012183, эксплуатируемой Protek, не продлена с 01/10/15. Для восстановления работоспособности системы необходимо ее перевнедрение.

Границы оказания услуг (выполнения работ) Услуги оказываются на территории Заказчика в г. Москве. Объектом контроля и мониторинга действий привилегированных пользователей является информационная система "ПРОТЕК". Информационная система представляет собой комплекс автоматизированных рабочих мест, серверного оборудования, баз данных, объединенных каналами связи в единую информационную систему. В состав информационной системы входит свыше 200 контролируемых целевых объектов1. Доступ к компонентам информационной системы предоставлен 20 привилегированным пользователям. Количество учетных записей привилегированных пользователей, используемых для доступа к компонентам информационной системы – не более 200. Компании, участвующие в тендере, должны предоставить два варианта коммерческих предложений:
    стоимость СКПП для 200 объектов управления (серверов); стоимость СКПП с неограниченной лицензией (unlimited).
В коммерческом предложении для каждого варианта необходимо показать структуру цены: раздельно привести стоимость лицензий ПО, стоимость технической поддержки (для всех планов) и стоимость работ по проектированию и внедрению системы. В качестве предмета поставки рассматриваются системы: Fudo 3  ( вендор DefSIS & Wheel Systems) Privileged Identity Management Suite ( вендор CyberArk)

Требования к СКПП СКПП должна включать следующие компоненты:
    подсистема защищенного хранения; подсистема управления паролями; подсистема управления и предоставления доступа; подсистема мониторинга и записи сессий. подсистема анализа эффективности работы.*
Подсистема защищенного хранения, подсистема мониторинга и записи сессий должны быть установлены в режиме высокой доступности с возможностью балансировки нагрузки. Подсистема защищенного хранения должна быть установлена на выделенных виртуальных или физических серверах.* Подсистема мониторинга и записи сессий должна быть организована в виде терминального сервера, проксирующего все соединения между администраторами и защищаемыми целевыми объектами. При внедрении СКПП должна быть разработана политика резервного копирования настроек и данных, хранящихся в системе с использованием встроенных механизмов резервного копирования. СКПП должна предусматривать возможность увеличения производительности и предоставления удаленного доступа к дополнительным информационным системам Заказчика путем масштабирования компонентов системы. СКПП должна функционировать круглосуточно с перерывами на профилактическое обслуживание в соответствии с регламентами, принятыми у Заказчика.
Показатели назначения СКПП должна обеспечить сбор и хранение видеозаписей сессий удаленного доступа привилегированных пользователей в оперативном архиве (с возможностью быстрого поиска) в течение 6 месяцев. Должна быть предусмотрена возможность экспорта отдельных видеозаписей в виде сырого трафика, в том числе в долговременный архив на внешние носители. СКПП должна иметь возможность создавать кластер высокой доступности без использования стороннего ПО и оборудования. СКПП должна учитывать возможное расширение объемов контролируемой информации и увеличение количества обслуживаемых пользователей. СКПП должна уметь подсистему анализа эффективности работы сотрудников. СКПП не должна требовать дополнительных финансовых затрат на покупку стороннего ПО/ОС/оборудования. СКПП должна обеспечивать возможность настройки программно-аппаратных средств без остановки контролируемых систем (объектов).
Требования к функциям, выполняемым СКПП        Требования к функциям системы в целом СКПП должна обеспечивать возможность удаленного доступа к защищаемым целевым объектам по протоколам удаленного администрирования: Telnet, SSH, RDP, Oracle DB,  Microsoft SQL Server, HTTP/HTTPS, используя стандартные клиенты. СКПП должна иметь возможность масштабирования решения на целевые объекты различных типов протоколов/клиентов удаленного администрирования. СКПП должна администрироваться через HTTPS веб-консоль подсистемы управления и предоставления доступом. СКПП должна обеспечивать возможность офицеру безопасности подключаться к сессии привилегированного пользователя. СКПП должна обеспечивать возможность временого разграничения доступа и обязательного обоснования подключения. В СКПП должны быть реализованы встроенные механизмы защиты информации. Система должна поддерживать взаимодействие с внешними SIEM системами по протоколу syslog.
Требования к функциям подсистемы защищенного хранения Подсистема должна обеспечивать хранение паролей, журналов доступа и записей сессий в защищенном виде. Подсистема должна хранить историю паролей для целевых объектов.
Требования к функциям подсистемы управления паролями Подсистема управления паролями должна обеспечивать возможность настройки парольной политики для целевых объектов на основе следующих критериев:
    централизованная смена пароля в соответствии с заданными правилами и регулярностью; централизованная проверка корректности указанных паролей; создание правил смены паролей по пользовательскому алгоритму задание сложности автоматически создаваемых паролей; запрет использования старых паролей (ведение истории паролей).*
Подсистема должна функционировать без необходимости установки агентов на целевые объекты и рабочие станции системных администраторов. Подсистема должна функционировать без необходимости заведения дополнительных служебных записей для реализации функции смены паролей.

Требования к функциям подсистемы управления и предоставления доступа Подсистема должна поддерживать следующие методы аутентификации:
    встроенная аутентификация; Windows-аутентификация; RADIUS; LDAP.
Подсистема должна поддерживать интеграцию с каталогом пользователей Active Directory в части идентификации пользователей.
Требования к функциям подсистемы мониторинга и записи сессий Подсистема должна осуществлять видеозапись сессий удаленного доступа к защищаемым целевым объектам, осуществляемых через подсистему управления и предоставления доступа. Для сессий SSH и SQL подсистема должна также создавать текстовый журнал. Для RDP сессий подсистема должна также создавать текстовый журнал заголовков, запушенных во время сессии окон, с возможностью перехода на соответствующий строке текста момент в видеозаписи.* Подсистема должна предусматривать возможность запуска привилегированным пользователем только заранее определенных приложений на терминальном сервере мониторинга и записи сессий и автоматически разрывать соединение с терминальным сервером после завершения работы данных приложений.* Подсистема должна включать механизмы подключения к активным сеансам удаленного доступа, установленным через систему, и временного перехвата управления (совместная работа двух привилегированных пользователей в одной активной сессии). Подсистема должна включать механизмы прерывания активных сеансов удаленного доступа, установленных через систему, для всех настроенных протоколов. Подсистема должна иметь возможность гостевого доступа к выбранным сессиям привилегированных пользователей. Подсистема должна обеспечивать возможность поиска по архиву записей сессий на основе следующих критериев:
    время и дата сессии; имя учетной записи администратора; привилегированная учетная запись; команда (для SSH/Telnet и SQL сессий); текстовая информация на экране (для RDP и VNC сессий); защищаемый  целевой объект.
Подсистема должна функционировать без необходимости установки агентов на целевые объекты и рабочие станции системных администраторов. Требования к программному обеспечению СКПП не должна требовать дополнительных финансовых затрат на покупку стороннего ПО/ОС/оборудование. СКПП должна поддерживать виртуализацию. СКПП должна поставляться вместе с подпиской на техническую поддержку производителя в течение 1 года. Техническая поддержка производителя программного обеспечения должна быть на русском языке и включать:
    доступ к обновлениям и патчам; обучение работе с системой не менее 2-х специалистов; обращение в поддержку в рабочие дни 9:00-17:00.
При применении технических средств и ПО особое внимание должно быть уделено унификации программных и аппаратных решений. Предпочтение отдаваться использованию готовых, проверенных на практике решений. Требования к техническому обеспечению Все подсистемы должны поддерживать установку на виртуальные серверы. Система должна создаваться на существующей виртуальной инфраструктуре Заказчика Система должна поддерживать платформу виртуализации VMWare ESXi 5.5 и выше. Состав и содержание услуг (работ) Работы по созданию СКПП должны выполняться в три этапа:
    Корректировка Технического задания, разработка проектной и эксплуатационной документации; внедрение СКПП.
В рамках этапа «Предпроектное обследование и разработка Технического задания» должны выполняться следующие работы:
    обследование существующей инфраструктуры Заказчика, включающее сбор данных, необходимых для формирования технических требований к СКПП, проектирования и внедрения системы;
В рамках этапа «Корректировка Технического задания, разработка проектной и эксплуатационной документации» должны выполняться следующие работы:
    корректировка Технического задания на создание системы контроля привилегированных пользователей; согласование Технического задания с Заказчиком. разработка проектной документации в составе:
      Технический проект; План работ;
    разработка рабочей документации в составе:
      Описание настроек средств защиты информации; Программа и методика испытаний;
    разработка эксплуатационной документации в составе:
      Технический паспорт; Регламент предоставления доступа; Руководство по обеспечению непрерывности бизнеса; Инструкция администратора информационной безопасности; Инструкция пользователя.
В рамках этапа «Внедрение СКПП» должны выполняться следующие работы:
    поставка программного обеспечения СКПП; инсталляция и настройка программного обеспечения; интеграция компонентов СКПП в существующую информационно-техническую инфраструктуру на площадке Заказчика; запуск системы в опытную эксплуатацию; сбор информации о работе в период опытной эксплуатации и анализ полученных данных; адаптация настроек СКПП по итогам опытной эксплуатации; сервисная поддержка разработчика ПО (вендора) в процессе внедрения решения у Заказчика, в объеме необходимом для внедрения ПО и его интеграции с нестандартными целевыми объектами; подготовка Отчета по результатам опытной эксплуатации и рекомендаций по масштабированию системы; проведение приемо-сдаточных испытаний; подготовка системы для ее перевода промышленную эксплуатацию.

Порядок контроля и приемки работ Приемка Работ должна включать в себя согласование результатов проведенных работ согласно документу «Программа и методика испытаний» и передачу от Исполнителя Заказчику отчетных документов. В случае получения мотивированного отказа Исполнитель должен производить устранение замечаний и передать Заказчику скорректированные в соответствии с замечаниями отчетные документы. Порядок контроля и приемки СКПП в промышленную эксплуатацию, виды, состав, сроки, объем и методы испытаний системы и ее составных частей, должны быть определены в документе «Программа и методика испытаний», разрабатываемой на стадии «Разработка проектной и эксплуатационной документации» и утвержденной Заказчиком. Результаты приемочных испытаний должны фиксироваться «Протоколом приемочных испытаний». Приемка работ должна фиксироваться «Актом готовности СКПП для ввода в промышленную эксплуатацию».
Требования к документированию Исполнитель по результатам создания СКПП должен предоставить Заказчику комплект документов в составе:
    Техническое задание; Технический проект; План работ; Описание настроек средств защиты информации; Программа и методика испытаний; Технический паспорт; Регламент предоставления доступа; Инструкция администратора информационной безопасности; Инструкция пользователя; Отчет по результатам опытной эксплуатации и рекомендации по масштабированию СКПП; Акт готовности СКПП для ввода промышленную эксплуатацию.
Структура и содержание документации должны разрабатываться в соответствии с требованиями РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов» и внутренними нормативными документами (ВНД) Заказчика. Документы должны разрабатываться Исполнителем на русском языке и предоставляются Заказчику в двух печатных экземплярах и в электронном виде (формат MS Word и MS Visio). Требования к Исполнителю Исполнитель должен соответствовать требованиям, устанавливаемым в соответствии с законодательством Российской Федерации к организациям, осуществляющим поставки товаров, выполнение работ, оказание услуг, являющихся предметом данного Договора. Исполнитель должен иметь действующую лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Исполнитель должен иметь подразделение, отвечающее за техническую поддержку и обслуживание внедряемого программного обеспечения (ПО) в режиме 24/7, доступное по телефону и электронной почте. Исполнитель должен иметь ресурсные возможности выполнения данных работ (финансовые, материально-технические, производственные, трудовые и др.). Проектная команда Исполнителя должна состоять, как минимум, из менеджера проекта, архитектора, инженеров и иметь не менее двух сертифицированных специалистов, прошедших обучение на курсах производителя ПО, на основе которого предполагается реализация СКПП.* Исполнитель должен обладать сертификатом о партнерстве с производителем ПО, на основе которого предполагается реализация СКПП, или наличие документа, подтверждающего возможность поставки, внедрения и технической поддержки указанного ПО.  Исполнитель должен обладать опытом проектирования и внедрения (или создания или модернизации) систем контроля привилегированных пользователей:
    Исполнитель должен иметь положительный опыт выполнения работ по проектированию и внедрению (или созданию или модернизации) систем контроля действий привилегированных пользователей в компаниях с филиальной сетью, территориально распределенной по России – не менее 3 - х завершенных проектов с 2012г. по настоящее время.

____________________________

*  –  Необязательное требование. При прочих равных условиях дает конкурентное  преимущество Исполнителю, соответствующему данному требованию.



1 Целевой объект (ресурс) – операционная система или прикладное программное обеспечение, к которому осуществляется удаленное сетевое подключение с использованием привилегированной учетной записи.