Rozšírenie služieb nad implementovanými softvérovými technológiami

Funkčná špecifikácia

Pilotné nasadenie SW technológií nevyhnutných pre zabezpečenie sledovania výstupov z jednotlivých bezpečnostných systémov a aplikácií a riadenie bezpečnostných incidentov ks 1

Technická špecifikácia textová

Technické vlastnosti: Poskytovanie služieb predmetu zákazky musí byť v súlade s požiadavkami kladenými zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej v texte len ako „Zákon“) a s ním súvisiacimi aktuálnymi vykonávacími vyhláškami na prevádzkovateľov základnej služby v súvislosti s prevádzkovanými základnými službami Objednávateľa., Hodnota / charakteristika: Základné požiadavky na systém; Technické vlastnosti: Objednávateľ v produkčnom prostredí prevádzkuje (má vo vlastníctve) implementované bezpečnostné monitorovacie technológie v rozsahu:• Network Detection and Response (NDR)• Log Management (LM)• EndPoint Detection Response/XDR (EDR/XDR)• Data Lost Prevention (DLP)• Network Access Control (NAC)• Privileged Access Management (PAM), Hodnota / charakteristika: Architektúra a druhy existujúcich SW technológií Objednávateľa; Technické vlastnosti: Popis zdrojov napojených do Log Managementu:HW (Windows, LINUX, virtuálne zdroje):• Windows System or Application Event• Windows Security Event• SQL Servers• Exchange Servers• Microsoft Windows Update Client• Virtual Center• Apache, MS IIS• SCCMAktívne prvky:• Firewall Sophos• WAF F5• Firewall Checkpoint• Cisco switch&router• FortiGate• FortiMailAplikácie Objednávateľa – APV IS ZVJS, NAVIS.Web aplikácie., Hodnota / charakteristika: Architektúra a druhy existujúcich SW technológií Objednávateľa - Log Managment; Technické vlastnosti: Log managment – ArcSight Logger Standard Edition 2500 EPSDLP - SafeticaEDR/XDR - ESETNDR - GreyCortex MendelNAC - EasyNacPAM – One Identity Safeguard Privileged Security, Hodnota / charakteristika: Architektúra a druhy existujúcich SW technológií Objednávateľa - Bezpečnostné monitorovacie aplikácie; Technické vlastnosti: Všeobecné požiadavky:            Nevyhnutnou súčasťou je prevádzkovanie Security Operations Center nad uvedenými technologickými platformami, vrátane jeho pravidelnej údržby zahŕňajúcej činnosti minimálne v rozsahu:• kontrola dát,• asset manažment,• access manažment,• ostatné činnosti prevádzkového charakteru bezpečnostných v súčinnosti s Objednávateľom a tretími stranami tak, aby bola zabezpečená kontinuálna a bezporuchová prevádzka bezpečnostného monitoringu., Hodnota / charakteristika: Funkčné a technické požiadavky; Technické vlastnosti: Riešenie musí obsahovať centrálny dashboard – webovú aplikáciu s centrálnym riadiacim panelom pre jednotný pohľad na aplikácie a systémy prevádzkované v security operation centre, Hodnota / charakteristika: Funkčné a technické požiadavky; Technické vlastnosti: SIEM – súčasť služby SOC: logy zbierané do Log managmentu (on prem) musia byť prenášané prostredníctvom zabezpečeného kanála (napr. IPSEC tunel) k poskytovateľovi služby SIEM (SOC), kde budú vyhodnocované a ukladané pre potreby analýzy. Rozsah poskytovanej služby SIEM (SOC) má byť 1500 EPS. Zdroje ktoré budú napojené do SIEM (SOC) sú uvedené v vyššie v technických vlastnostiach., Hodnota / charakteristika: Funkčné a technické požiadavky - SIEM; Technické vlastnosti: Funkčné a technické požiadavky - Security ticketing Security ticketing – súčasť služby SOC (oddelený od prevádzkového monitoringu)Ticketing nástroj (ako centrálne rozhranie pre komunikáciu v rámci služby SOC), ktorý je modifikovaný a prispôsobený na plnenie špecifických požiadaviek evidencie a spracovania bezpečnostných udalostí / incidentov a prepojenia s Jednotným informačným systémom kybernetickej bezpečnosti NBÚ SR (ďalej JIS KB). Na tento účel slúžia najmä tieto bezpečnostné vlastnosti a dodatočná základná funkcionalita:, Hodnota / charakteristika: Funkčné a technické požiadavky - Security ticketing; Technické vlastnosti: Oddelenie a zabezpečenie dát, ktoré sú svojou povahou citlivé / dôverné a musia byť zabezpečené z pohľadu dôvernosti tak, aby sa k nim nedostala neoprávnená osoba, z dôvodu, že môže prebiehať šetrenie, ktoré sa týka administrátora štandardného ticketing nástroja.• Zároveň s plnou podporou multitenantnosti, odd.dát, procesov a prístupov z pohľadu IT, ako aj z pohľadu organiz. štruktúry Obstarávateľa.• Oddelené modif.komunikačné priestory, tzv. fronty, umožňujúce rozdelenie jednotlivých tiketov podľa účelu komunikácie, typu bezpečnostného incidentu, osôb poverených riešením a ďalších parametrov, Hodnota / charakteristika: Funkčné a technické požiadavky - Security ticketing; Technické vlastnosti: Incident Response• Pokročilé možnosti analýz vstupných dát, spájanie tiketov, možnosť rôznych front a viacerých fáz (incident report, incident, analýza, náprava).• Rôzne druhy kategorizácie bezpečnostných incidentov zodpovedajúce best practice a ich kombinácie.• Možnosť vizuálnej analýzy vzťahov medzi jednotlivými tiketmi popisujúcimi súvisiace tikety.• Delegácia reakcie na incidenty s využitím špeciálnych front pre rôzne typy incidentov.• Integrácia so SIEM pre automatické zakladanie tiketov., Hodnota / charakteristika: Funkčné a technické požiadavky - Incident Response; Technické vlastnosti: Incident Response • Integrácia s analytickými nástrojmi Threat Intelligence – informácie o kybernetických hrozbách (napr. MISP, TAXII).• Integrácia s analytickými nástrojmi pre pokročilé analýzy, typicky so SOAR produktmi.• Umožňuje automatizované hlásenia incidentov detegovaných v systéme SIEM do JIS KB podľa požiadaviek ZoKB.• Umožňuje automatické prijímanie a vhodné nastavenie taktických varovaní o kybernetických hrozbách publikovaných v JIS KB.• Možnosť integrácie s rôznymi technologickými prvkami siete a dohladovanými systémami (AD / LDAP, firewall, anti-spam)., Hodnota / charakteristika: Funkčné a technické požiadavky - Incident Response; Technické vlastnosti: Funkčné a technické požiadavky - SOAR SOAR – súčasťou služby SOC musí byť aj systém Security Orchestration, Automation and Response, ktorý je centrálnym miestom pre spracovanie bezpečnostných udalostí a automatizáciu reakčných playbookov a runbookov ako aj pre obohacovanie získaných dát a samotnú evidenciu vykonaných krokov. Technológia SOAR musí byť implementovaná multitenante a distribuovane u Dodávateľa, ktorý ju využíva ako centrálny systém pre riadenie.Počet serverov – 900,Počet akcií/mesiac – predpoklad 10 000, Hodnota / charakteristika: Funkčné a technické požiadavky - SOAR; Technické vlastnosti: • centrálny monitorovací nástroj pre vulnerability assessment a management prvkov IT (information technology),• služba posudzuje riziká podľa teoretických hrozieb a existencie reálnej hrozby,• služba obsahuje agenta pre koncové body (Lightweight Endpoint Agent),• služba poskytuje podrobné informácie o nainštalovaných aplikáciách na koncových zariadeniach,• počet zariadení zahrnutých do VA/VM - IP ADRIES = 1500, Hodnota / charakteristika: Funkčné a technické požiadavky - Vulnerability Assessment a Vulnerability Management; Technické vlastnosti: Funkčné a technické požiadavky - MISP MISP – súčasťou služby SOC musí byť systém na báze MISP projektu pre zdieľanie threat intelligence dát, indikátorov kompromitácií (IoC), feedy hrozieb a zraniteľností. Dáta spracovávané v MISP sú použité v ostatných bezpečnostných technológiách ako SIEM a SOAR., Hodnota / charakteristika: Funkčné a technické požiadavky - MISP; Technické vlastnosti: Security Dashboard – súčasťou služby SOC musí byť plne konfigurovateľný centrálny bezpečnostný dashboard umožňujúci zobraziť bezpečnostne relevantné dáta z rôznych zdrojov do jedného grafického rozhrania, v ktorom si Objednávateľ za pomoci šablón môže vytvárať jednotlivé dasboardy (pohľady)., Hodnota / charakteristika: Funkčné a technické požiadavky - Security Dashboard; Technické vlastnosti: Predmetom zákazky je poskytovanie služieb dohľadového a monitorovacieho centra kybernetickej bezpečnosti nad požadovanými technológiami s nasledovnými funkciami:Analýza udalostí v reálnom čase• príjem bezpečnostných udalostí a incidentov v reálnom čase (Real Time Monitoring)• nástroje, ktoré neposkytujú „Real Time Monitoring“ nebudú Objednávateľom akceptované• triedenie a kategorizácia podľa preddefinovaných tried kritickosti v reálnom čase• analýza bezpečnostných udalostí a ich spracovanie podľa stanovených a dohodnutých „playbookov“, Hodnota / charakteristika: Funkčné a technické požiadavky – SOC - Analýza udalostí v reálnom čase; Technické vlastnosti: Analýza udalostí v reálnom čase : • prvotná analýza bezpečnostnej udalosti• vyšetrovanie bezpečnostných udalostí a ich riešenie• zber relevantných informácií• koordinácia aktivít počas celého životného cyklu bezpečnostnej udalosti• vyhodnocovanie potenciálnej možnosti vzniku incidentov kybernetickej bezpečnosti, • poskytovanie súčinnosti vo fáze ladenia systému monitorovania a vyhodnocovania („lessons learned“), Hodnota / charakteristika: Funkčné a technické požiadavky – SOC - Analýza udalostí v reálnom čase; Technické vlastnosti: Threat Intelligence and Advisory• kontinuálny monitoring a analýza spravodajských zdrojov a hľadanie relevantných hrozieb, zraniteľností alebo TTPs (tactics, techniques, procedures)• analýza relevantnosti hrozieb pre Objednávateľa podľa regiónu, sektora, používaných technológií, atď.• priebežný reporting/notifikácia kritických hrozieb relevantných pre Objednávateľa• získavanie nových indikátorov kompromitácie v rámci monitoringu hrozieb a ich kontext• analýza informácií o hrozbách prichádzajúcich iným kom.kanálom (varovania manažmentu, SK CERT a pod.)• spolupráca na vyšetrovaní bezp. Ud., Hodnota / charakteristika: Funkčné a technické požiadavky – SOC - Analýza incidentov a koordinácia reakcií na incidenty (CSIRT); Technické vlastnosti: Threat Hunting• analýza trendov, korelácia dát z rôznych zdrojov Objednávateľa a systémov detekcie anomálií• vyhodnocovanie pokročilých pretrvávajúcich hrozieb (APT) a ich možností a dopadov na systémy Objednávateľa• hľadanie nových alebo doposiaľ neodhalených TTP podľa MITRE ATT&CK® alebo inej znalostne bázy v prostredí Objednávateľa• spolupráca pri tvorbe plánov a návrh požiadaviek na cielené cvičenia kybernetickej bezpečnosti, Hodnota / charakteristika: Funkčné a technické požiadavky – SOC - Threat Hunting; Technické vlastnosti: Riadenie zraniteľností• spolupráca na návrhu plánu testovania zraniteľností• vyhodnocovanie výsledkov z pravidelného testovania zraniteľností s ohľadom na kritickosť a citlivosť zraniteľného aktíva• návrh tvorby plánu ošetrenia s popisom možností (odstránenie, zmiernenie alebo akceptácia)• spolupráca na návrhu a vytvorenie požiadaviek s mitigačnými opatreniami pre riešiteľské skupiny•, Hodnota / charakteristika: Funkčné a technické požiadavky – SOC - Riadenie zraniteľností; Technické vlastnosti: Riadenie zraniteľností• • prijímanie nových informácií z procesu Threat intelligence o nových, zero-day, kritických alebo aktuálne zneužívaných zraniteľností, ich okamžité posúdenie kritickosti vzhľadom na prostredie a kritickosť aktíva a varovanie kompetentných riešiteľských skupín• zaslanie reportov• zaevidovanie zraniteľností zaznamenaných do servisdesku Dodávateľa, Hodnota / charakteristika: Funkčné a technické požiadavky – SOC - Riadenie zraniteľností; Technické vlastnosti: Monitoring• kontrola statusu všetkých prvkov bezpečnostného monitoringu (monitorovací agent, kolektor logov) ako aj nadstavbových systémov nevyhnutných pre poskytovanie služieb, Hodnota / charakteristika: Funkčné a technické požiadavky – SOC - Monitoring; Technické vlastnosti: Podpora procesov a bezpečnostných nástrojov• návrh úprav procedúr (Riadenie incidentov, Riadenie zraniteľností. Threat intelligence)• návrh úprav konfigurácii a architektúry technológií SOC,• návrh úprav auditnej politiky• návrh úprav perimetrových systémov alebo architektúry systémov• návrh úprav informačných systémov (servery, pracovné stanice, sieť, monitorovacie systémy),, Hodnota / charakteristika: Funkčné a technické požiadavky – SOC - Podpora procesov a bezpečnostných nástrojov; Technické vlastnosti: Podpora procesov a bezpečnostných nástrojov• návrh úpravy a spolupráca pri ladení senzorov ako sú IDS, IPS, Netflow,• tvorba a podpora pri vytváraní vlastných signatúr pre detekčné mechanizmy v prípade potreby,• návrh, výber, testovanie a nasadzovanie nových bezpečnostných technológií,• vývoj vlastných nástrojov a úprava existujúcich.• navrhovanie úprav a aktualizácie prvkov bezpečnostného monitoringu,, Hodnota / charakteristika: Funkčné a technické požiadavky – SOC - Podpora procesov a bezpečnostných nástrojov; Technické vlastnosti: Reporting• Dodávateľ vypracuje a odovzdá Objednávateľovi Mesačný report za kalendárny mesiac najneskôr k 10. pracovnému dňu nasledujúceho mesiaca Mesačný report obsahuje najmä:• Priemerný čas trvania incidentu a fáz riešenia• Počet udalostí a incidentov• Rozsah pokrytia systémov bezpečnostným monitoringom• počet aktívnych logsource a trend, Hodnota / charakteristika: Funkčné a technické požiadavky – SOC - Reporting; Technické vlastnosti: Funkčné a technické požiadavky – Prevádzkový monitoring Súčasťou služby SOC je implementácia a produkčná prevádzka systému na monitoring prevádzkových parametrov všetkých vyššie definovaných informačno-komunikačných technológií Objednávateľa. Akceptuje sa „open-source“ platforma, napr. ZABBIX alebo ekvivalent., Hodnota / charakteristika: Funkčné a technické požiadavky – Prevádzkový monitoring; Technické vlastnosti: Minimálne sledované parametre musia byť:• dostupnosť monitorovanej technológie• využitie CPU, RAM, HDD, siete• priepustnosť portov sieťových a bezpečnostných zariadení• upozornenia na poruchy a chybové stavySúčasťou implementácie je vytvorenie a udržiavanie užívateľských „dashboard-ov“ vo forme prehľadných tabuliek a grafickej obrazovej topológie, ktorej dizajn bude definovaný Objednávateľom, tak isto neoddeliteľnou súčasťou implementácie je napojenie na existujúci Log Manažment Objednávateľa., Hodnota / charakteristika: Funkčné a technické požiadavky – Prevádzkový monitoring; Technické vlastnosti: Korelačné pravidlá• Dodávateľ bude pravidelne kontrolovať aktívne korelačné pravidlá.• Dodávateľ priebežne upravuje dokumentáciu k jednotlivým korelačným pravidlám• Dodávateľ bude monitorovať a spravovať použité dočasné výnimky, ak platnosť dočasnej výnimky vyprší, • Dodávateľ navrhne zmeny v pravidlách, pri každej zmene bude upravená dokumentácia a všetky zistenia zaznamená v tiketovacom systéme., Hodnota / charakteristika: Definície činností, SLA podmienky zákazky - Korelačné pravidlá; Technické vlastnosti: Kontrola a revízia dát v listoch• Dodávateľ poskytne súčinnosť pri pravidelných kontrolách listov a ich využívania v korelačných pravidlách a skriptoch.• Dodávateľ navrhne neplatné a nevyužívané listy upraviť alebo vymazať., Hodnota / charakteristika: Definície činností, SLA podmienky zákazky - Korelačné pravidlá; Technické vlastnosti: Kontrola a revízia dát v listoch • Kontrola automatických reportov a dashboardov• Dodávateľ bude pravidelne minimálne raz za pol roka kontrolovať, či sú automatické reporty a dashboardy správne nastavené, či sa správne generujú a či ponúkajú výpovednú hodnotu, ktorá je od daného reportu alebo dashboardu požadovaná., Hodnota / charakteristika: Definície činností, SLA podmienky zákazky - Korelačné pravidlá; Technické vlastnosti: TTO – Time to Open- je čas prevzatia bezpečnostnej udalosti/incidentu konkrétnym pracovníkom SOC max. 60 minútTTR – Time to Response- Čas ukončenia udalosti/incidentu max. 12 hodín- Za ukončenie incidentu sa považuje:o vyhodnotenie false positiveo aplikácia pripraveného playbookuo aplikácia runbookuo odovzdanie manažérovi kybernetickej bezpečnosti Objednávateľa s návrhom riešeniaReakčný čas - je čas od prevzatia incidentu do prvotného návrhu relevantných opatrení pre elimináciu rizika., Hodnota / charakteristika: Definície činností, SLA podmienky zákazky - Vyhodnotenie kvality poskytovanej služby (Key Performance Indicators – KPI); Technické vlastnosti: Prevádzkový časDodávateľ vykonáva činnosti pre Objednávateľa v dohodnutej kvalite pri dodržaní KPI v rozsahu dní:• Monitoring bezpečnostných technológií 24 hodín denne, 7 dní v týždni (7x24) od 0:00 do 24:00Bezpečnostný monitoring L1 a L2 8 hodín denne, 5 dní v týždni (8x5) od 8:00 do 16:00, Hodnota / charakteristika: Definície činností, SLA podmienky zákazky - Prevádzkový čas; Technické vlastnosti: Súčinnosť Objednávateľa Objednávateľ v spolupráci s Dodávateľom zabezpečí pre poskytovanie služby SOC IPSec site2site tunel s definovaným nekonfliktným IP rozsahom, port forwardingom na strane Objednávateľa aj Dodávateľa. Dodávateľ musí na strane SOC prevádzkovať VPN koncentrátory kompatibilné s najnovšími štandardami na nadviazanie zabezpečeného sieťového pripojenia medzi Dodávateľom a Objednávateľom.Objednávateľ zabezpečí pre Dodávateľa potrebné užívateľské prístupy pre poskytovanie služby SOC., Hodnota / charakteristika: Súčinnosť Objednávateľa; Technické vlastnosti: Objednávateľ poskytne Dodávateľovi všetky jemu známe informácie a technických parametroch svojho chráneného prostredia.Objednávateľ zabezpečí tím interných odborných pracovníkov (pracovná skupina), ktorí budú súčinní pri implementácii ako aj pri poskytovaní služby (Incident Response Team).Objednávateľ zabezpečí HW a SW prostriedky nevyhnutné pre úspešné plnenie predmetu zákazky., Hodnota / charakteristika: Súčinnosť Objednávateľa; Technické vlastnosti: Celkovo 18 mesiacov, z toho 4 mesiace implementačná fáza projektu a 14 mesiacov produkčná fáza projektu (plnenie predmetu), Hodnota / charakteristika: Trvanie zákazky

Technická špecifikácia číselná

Technické vlastnosti: Pilotné nasadenie SW technológií nevyhnutných pre zabezpečenie sledovania výstupov z jednotlivých bezpečnostných systémov a aplikácií a riadenie bezpečnostných incidentov, Jednotka: ks, Minimum: , Maximum: , Presná hodnota: 1