Приложение 4 - Азиатско
advertisement
Приложение 4 к Извещению о проведении конкурса ЗАПРОС КОММЕРЧЕСКОГО ПРЕДЛОЖЕНИЯ НА СОЗДАНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ КОНТРОЛЯ И ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННОГО ОБМЕНА СОТРУДНИКОВ С РЕСУРСАМИ ИНТЕРНЕТ И СРЕДСТВАМИ КОРПОРАТИВНОЙ ПОЧТЫ Оглавление ЦЕЛИ И ЗАДАЧИ ............................................................................................................................................................................ 3 ТРЕБОВАНИЯ ПРЕДЪЯВЛЯЕМЫЕ К ЭТАПАМ РАБОТ ............................................................................................................ 3 ЭТАП 1: ПРЕДПРОЕКТНОЕ ОБСЛЕДОВАНИЕ И РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ ........................................................ 3 ЭТАП 2: ТЕХНИЧЕСКОЕ ПРОЕКТИРОВАНИЕ И РАЗРАБОТКА РАБОЧЕЙ ДОКУМЕНТАЦИИ ....................................................... 3 ЭТАП 3: ВВОД В ДЕЙСТВИЕ .............................................................................................................................................. 4 Комплектация Системы оборудованием и программным обеспечением ......................................................................... 4 Пусконаладочные работы ..................................................................................................................................................... 4 Опытная эксплуатация .......................................................................................................................................................... 4 Приемочные испытания ........................................................................................................................................................ 4 ЭТАП 4: СЕРВИСНОЕ ОБСЛУЖИВАНИЕ .............................................................................................................................. 4 Техническая поддержка ........................................................................................................................................................ 4 ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ ПРЕДЪЯВЛЯЕМЫЕ К СИСТЕМЕ: .......................................................................................... 4 ОБЩИЕ ТРЕБОВАНИЯ ПРЕДЪЯВЛЯЕМЫЕ К СИСТЕМЕ: ........................................................................................................ 4 ПОДСИСТЕМА УПРАВЛЕНИЯ ДОЛЖНА УДОВЛЕТВОРЯТЬ СЛЕДУЮЩИМ ТРЕБОВАНИЯМ: ........................................................ 5 ТРЕБОВАНИЯ К СЕТЕВОМУ МОНИТОРИНГУ ВСЕХ ПЕРЕДАВАЕМЫХ ДАННЫХ ........................................................................ 5 ТРЕБОВАНИЯ К СИСТЕМЕ ЗАЩИТЫ МОБИЛЬНЫХ УСТРОЙСТВ ............................................................................................ 6 ПЕРЕЧЕНЬ ТРЕБОВАНИЙ ОРГАНИЗАЦИИ-ПРЕТЕНДЕНТУ НА ВЫПОЛНЕНИЕ ЗАПРОШЕННЫХ РАБОТ (ДАЛЕЕ ПРЕТЕНДЕНТ) ................................................................................................................................................................................. 7 ПРИЛОЖЕНИЕ 1 ................................................................................................................. ERROR! BOOKMARK NOT DEFINED. ТАБЛИЦА ТРЕБОВАНИЙ К ОПЫТУ РАБОТ ПРЕДЪЯВЛЯЕМЫХ ОАО «АЗИАТСКО-ТИХООКЕАНСКИЙ БАНК» К ПРЕТЕНДЕНТАМ: ERROR! BOOKMARK NOT DEFINED. ТРЕБОВАНИЯ ПО КОМПЕТЕНЦИЯМ, ПРЕДЪЯВЛЯЕМЫХ К ПОСТАВЩИКУ: ............................ERROR! BOOKMARK NOT DEFINED. Цели и задачи Банк (ОАО) «Азиатско-Тихоокеанский Банк» (далее Заказчик) рассматривает коммерческие предложения от компаний-участников конкурса (далее Претендентов) на создание комплексной системы контроля и защищенности информационного обмена сотрудников с ресурсами интернет и средствами корпоративной почты (далее – Работы). Целямипроведения работ по созданию комплексной системы контроля и защищенности информационного обмена сотрудников с ресурсами интернет и средствами корпоративной почты: обеспечение надежной защиты от угроз входящего почтового трафика; осуществление контроля над информационным обменом сотрудников Заказчика с ресурсами сети Интернет; повышение общего уровня информационной безопасности у Заказчика; повышение уровня защищенности передаваемых данных привилегированных пользователей через мобильные устройства. Для достижения целей Работ Претендентом решаются следующие задачи: Реализовать дополнительные подсистемы защиты почты от вирусов и СПАМ; Реализовать дополнительные подсистемы web-фильтрации; Реализовать дополнительную подсистему предотвращения утечек конфиденциальных данных; Реализовать дополнительные подсистемы контроля и управления мобильными устройствами Требования, предъявляемые к этапам работ Работы по созданию комплексной системы контроля и защищенности информационного обмена сотрудников с ресурсами интернет и средствами корпоративной почты(далее Системы) должны включать 4 этапа: предпроектное обследование и разработка Технического задания; техническое проектирование и разработка рабочей документации; ввод в действие; сервисное обслуживание. Этап 1: Предпроектное обследование и разработка Технического задания Целями этапа являются: получение подробной информации о текущем состоянии информационной безопасности ИТ-инфраструктуры Заказчика,о существующих процессах обеспечения и управления информационной безопасностью; формирование требований ккомплексной Системы. На этапе предпроектного обследования специалисты Претендента выполняют следующие работы: проведение интервью с администраторами АС; осмотр серверных помещений. На данном этапе осуществляется сбор сведений: о структуре комплекса используемых программно-технических средств; о типах оборудования и его размещении на объектах; о наименованиях системного и прикладного ПО; об используемых каналах связи и точках подключения к сетям связи; об используемых программно-технических средствах защиты информации; об используемых мерах и средствах защиты оборудования от физических воздействий. На основании анализа собранной информации формируется перечень технических требований к Системе. Данный перечень требований документируются и оформляются в виде документа «Техническое задания на создание системызащиты веб-приложений» (ТЗ). Структура и содержание ТЗ разрабатываются в соответствии с требованиями ГОСТ 34.602-89 «Техническое задание на создание автоматизированной системы» и руководящих документов в области защиты информации. Этап 2: Техническое проектирование и разработка рабочей документации На данном этапе проводятся работы по разработке и описанию программно-технических решений, реализующих требования Технического задания. В состав комплекта документации технического проекта входят следующие документы: Пояснительная записка к техническому проекту; Спецификация оборудования и программного обеспечения. В состав комплекта рабочей документации входят следующие документы: Описание информационного обеспечения (настроек СЗИ); Описание Комплексно Технических Средств (КТС); Программа и методика испытаний. Структура и содержание документации разрабатывается в соответствии с требованиями РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов». Составы комплекта документации технического проекта и комплекта рабочей документации могут быть изменены по согласованию между Заказчиком и Претендентом работ на этапе разработки Технического Задания. Этап 3: Ввод в действие На данном этапе Претендентом выполняются следующие работы: комплектация Системыоборудованием и программным обеспечением; пусконаладочные работы; проведение опытной эксплуатации; проведение приемочных испытаний. Комплектация Системы оборудованием и программным обеспечением На стадии комплектации Системы проводятся работы по закупке и поставке Заказчику средств защиты в соответствии со спецификацией оборудования и программного обеспечения, подготовленной в рамках технического проектирования. Пусконаладочные работы На стадии пусконаладочных работ производятся на двух площадках в Москве и Благовещенске: монтаж оборудования; установка и настройка программного обеспечения в соответствии с решениями, описанными в техническом проекте и рабочей документации; комплексная наладка всех средств системы. Опытная эксплуатация На стадии опытной эксплуатации проводят: опытную эксплуатацию; анализ результатов опытной эксплуатации АС; доработку и дополнительную наладку программного обеспечения и технических средств (при необходимости); оформление акта о завершении опытной эксплуатации. Приемочные испытания На этапе приемочных испытаний проводят: испытания на соответствие техническому заданию в соответствии с программой и методикой приемочных испытаний; анализ результатов испытаний и устранение недостатков, выявленных при испытаниях; оформление акта о приемке в промышленную эксплуатацию. Этап 4: Сервисное обслуживание Техническая поддержка Техническая поддержка должна включать следующие услуги: принятие запросов на оказание консультаций по телефону или электронной почте; оказание консультаций по телефону и электронной почте по вопросам, связанным с настройками и администрированием компонентов Системы; неограниченное количество обращений; выполнение эскалаций заявки в службе технической поддержки производителя Системы (при необходимости); удаленная диагностика и устранение проблем, возникших в работе компонентов Системы (при условии предоставления удаленного доступа к Системе); предоставление по запросу новых версий и исправлений (patches) компонентов Системы, а также всех изменений, производимых в рамках текущей версии базового программного продукта, в случае если это не нарушает лицензионное соглашение производителей компонентов Системы и не касается программного продуктов сторонних производителей; прием запросов на оказание консультаций осуществляется не более чем от 4 зарегистрированных сотрудников (уполномоченных лиц Заказчика). Режим оказания услуг: прием запросов диспетчерской службой осуществляется круглосуточно (24х7), включая выходные и праздничные дни; оказание консультаций осуществляется по рабочим дням с 09:00 до 20:00 часов по московскому времени. Технические требования, предъявляемые к Системе: Общие требования,предъявляемые к Системе: Система должнабыть реализована на единой платформе, т.е. необходимо предложить решение с единым интерфейсом, единой консолью управления, логикой реагирования для поставленных задач. Требуется контролировать и защищать информационный обмена 1200 сотрудников с ресурсами интернет Требуется повышение уровня защищенности передаваемых данных привилегированных пользователей через мобильные устройства. Кол-во пользователей 51. Подсистема управления должна удовлетворять следующим требованиям: Централизованное управление всеми клиентскими модулями Централизованная отчетность по всем инцидентам, состоянию и работе клиентских модулей (агентов) и сетевых компонентов (специализированных ПАК) Обладать возможностью масштабирования в случае роста ИТ-инфраструктуры Иметь модульную структуру для расширения функциональности в случае появления дополнительных задач в области обеспечения информационной безопасности Иметь возможность обнаружения не подключенных к Систем агентов и сетевых компонентов Интегрироваться с существующей структурой ActiveDirectory для управления РС сотрудников, синхронизации информации о пользователях, аутентификации и авторизации в системе управления пользователей службы каталогов ActiveDirectory. Требования к сетевомумониторингувсехпередаваемыхданных Необходимо осуществлять непрерывный мониторинг всех передаваемых данных с возможностью хранения и индексации всей полученной для анализа информации, независимо от того, был зафиксирован инцидент или нет (т.е. иметь возможность поиска по всем данным не попадающим под политики) Для любого зафиксированного инцидента необходима возможность оповещения по электронной почте, оповещение через Syslog, назначение ответственного за обработку инцидента сотрудника, установка приоритета Необходима возможность ретроспективного анализа всей собранной информации на основе поисковых запросов Подсистема мониторинга трафика должна быть выполнена в виде специализированного программноаппаратного комплекса (ПАК), удовлетворяющего следующим техническим характеристикам. Сбор информации на скорости до 1 Гбит/сек Анализ информации на скорости до 200 Мбит/сек Высокопроизводительная платформа в основе ПАК с системными характеристикаминижеприведенных в Таблице 1: Таблица 1 – Требования к системными характеристикам ПАК Материнская карта IntelTimberCreekSystem (S5520URR) ЦПУ 2 x Intel X5660 12M Cache, 2.8GHz (6 cores) Оперативная память 24GB P1333 DDR3 memory Raid контроллер Intel RS2MB044 raidcontroller Зарезервированные блоки питания 2 x 760W hot-swap Power Supply Modules Дисковое пространство 12 x Seagate Constellation ES 1T 7200rpm 3 1/2” SATA drives (всумме 7.2 ТБ) Сетевая карта Intel Dual Copper 1Gb Ethernet I/O Module DVD привод SATA DVD ROM IPMI интерфейс Intel Remote Management Modules 3 (AXXRMM3) Размер сервера 2 rackunits (2U) Должна быть предусмотрена возможность виртуализации ПАК на платформе VMWare Подсистема мониторинга трафика должна поддерживать следующие протоколы: AOL InstantMessenger, BitTorrent, Citrix ICA, FTP, HTTP, HTTPS, ICY, IMAP, IRC, KaZaA, LDAP, MSN Messenger, NTLM, PCAnywhere, POP3, RDP, Rlogin, RTSP, SMB, SMTP, SOCKS, SSH, Skype, Telnet, VNC, YahooMessenger, WindowsLiveMessenger Распознавание протоколов должно производиться независимо от коммуникационного порта (portagnopstic) Подсистема мониторинга трафика должна поддерживать перечисленные форматы данных: Расширенные форматы: BDB, CSS, DBF, DBM, DBX, EPS, FrameMaker, HTML, Lotus, PS, Quicken, RichText, SQL, Stockdata, XML Приложения Apple– AppleWorks, MacWrite, VCalendar, WriteNow Бинарные форматы – Binary, LIF, SKR Чаты – AOL, MSN, Yahoo Сжатые или архивные форматы – BZIP2, BinHex, Compress, EncryptedZip, GZIP, MS Cabinet, RAR, STuffIt, TAR, TNEF, ZIP Инженерная графика и дизайн – AccelPCad, AllegroPCB, AutoCad, BSDL, Catia, DXF, FreeHand, Gerber, MathCad, Mathematica, Matlab, Pagemaker, Photoshop, Solidworks, Spice, TangoPCad, UnigraphicsCad, ViewLogic, Visio, VisualCad TIFF Изображения – BMP, GIF, IFF, JPEG, MSMetaFile, MacDraw, MacPaint, PAL, PCX, PICT, PNG, RDIB, SuperPaint, Языки – Арабский, Китайский, Английский, Французский, Немецкий, Иврит, Хинди, Японский, Корейский, Русский, Испанский, Вьетнамский Почтовыепротоколы – Eudora, IMAP, MIME, MSExchange, MSOutlook, Mail Headers, POP3, RFC822, SMTP, Webmail Microsoft – Money, Password, Registry, Write Multi-media форматы – AIFF, ASF, AVI, ICY, MIDI, MIDI-RMI, MP3, MPEG, MPlayer, Movie_ANI, NIFF, QuickTime, RCP, RIFF, RMMP, RTSP, RealMedia, SD2, Shockwave, SoundFont, WAV Офисныеформаты – CSV, Encrypted Documents (Excel, PDF, PowerPoint, Word), Non-encrypted Documents (Excel, PDF, PowerPoint, Word), WordPerfect Прочиетипы – ASCII, CAP, CMS, CVS, PCAP, iGaming P2P форматы – BitTorrent, DirectConnect, Gnutella, Kazaa, MP2P, Sherlock, WinMX, eDonkey, eMule Протоколы – Citrix, Crypto, FTP, HTTP, HTTPS, ICQ, IMAP, IRC, LDAP, PCAnywhere, POP3, RDP, RPC, SMB, SMTP, SSH, Skype, Telnet, VNC Исходныекоды – Ada, Assembly, Brew, Basic, C, C++, Cobol, Fortran, Java, Lisp, Pascal, Perl, Python, Think C, Think Pascal, VHDL, Verilog, XQuery UNIX – Bash, Bourne, C Shell, K Shell Для анализа контента необходима поддержка следующих технологий Ключевые слова и выражения Регулярные выражения Цифровые отпечатки документов, как загруженных локально на модуль мониторинга, так и импортированные из сетевого модуля индексации и классификации контента Метаинформация о данных (имя, размер файла, источник, назначение, использованный протокол, временная метка и пр.) Подсистема мониторинга должна предоставлять статистику по используемым протоколам в графическом виде для анализа текущей ситуации в сети предприятия Подсистема мониторинга передаваемых данных должна подключаться через зеркальный порт на коммутаторе в целях повышения надежности сетевой инфраструктуры Подсистема мониторинга передаваемых данных должна полностью управляться из центральной консоли управления подсистемы управления. Требования к системе защиты мобильных устройств Система должна предоставлять возможность контроля процесса аутентификации, регистрации и развертывания политик безопасности на мобильных устройствах. Система должна предоставлять возможность маршрутизации трафика ActiveSync через собственные проксикомпоненты с целью обеспечения невозможности подключения устройств, не соответствующих политикам Система должна поддерживать аутентификацию с использованием PKI: В профилях Wi-Fi В профилях VPN Система должна обеспечивать комплексную аутентификацию устройств на основе PKI (для Wi-Fi/VPN) PIN – код для доступа на устройство Аутентификациявслужбекаталогов MS Active Directory / IBM Lotus Domino LDAP Цифровой сертификат мобильного устройства Система должна предоставлять применение политик ИБ на основе Членствавгруппе Active Directory / Domino LDAP Статуса владения устройства (корпоративное / личное) Систем должна предоставлять возможность задания сложности парольной политики для PIN-кода и кода доступа к контейнеру электронной почты для платформы Android Сложность пин-кода должна определяться следующими факторами: длина, срок службы пароля, обязательное сочетание символов и цифр в пин-коде, ведение парольной истории, автоматическая блокировка устройства (запрос пароля) при установленном периоде неактивности устройства, установка счетчика на кол-во неправильных попыток ввода пин-кода (ответные действия вплоть до сброса до заводских настроек), запрет/разрешение на простой пароль из 4 цифр (рекомендуется отключить возможность установки простого пин-кода) Система должна предоставлять безопасный почтовый клиент (защищенный контейнер для платформы Android) с возможностью установки отдельного пин-кода на доступ к клиенту (отличного от пароля к почтовой системе, что повышает уровень защищенности контейнера). Параметры сложности пароля (пин-кода) должны быть полностью идентичны аналогичным для мобильной ОС Система должна предоставлять возможность полного самообслуживания пользователей при установке клиента и первоначальной настройке конфигурационного профиля на устройствах Система должна поддерживать технологии MDM и C2DM для отправки оповещений на мобильные устройства под управлением iOS (MDM) и Android (C2DM) с целью: Применения политик безопасности Блокировки устройства Запроса смены пин-кода на устройство Полной, либо частичной очистки данных на устройстве (iOS) принудительной инсталляции / деинсталляции программного обеспечения Удаления агента системы защиты мобильных устройств Система должна предоставлять расширенные возможности для защиты устройств на платформе Android Специализированный антивирус для платформы Android с возможностью запуска антивирусного сканирования По требованию При присоединении флеш-накопителя При установки программного обеспечения При включении устройства Защищенный контейнер для электронной почты с возможностью хранения: Сообщений электронной почты Событий календаря Контактов Система должна предоставлять возможности установки ограничений на функции мобильной ОС Система должна отслеживать состояние устройств с точки зрения получения прав супер пользователя (jailbrake/root) и автоматически переводить устройство в статус non-compliant, что ограничивает доступ к корпоративным ресурсам Система должна обеспечивать защищенное соединение между устройствами и сервером управления на базе протокола SSL (HTTPS) Система должна обеспечивать активацию функции шифрования данных на мобильном устройстве средствами ОС и отслеживать устройства, на которых аппаратное шифрование не включено. Система должна поддерживать синхронизацию электронной почты со следующими почтовыми серверами: Exchange 2003, 2007, 2010 и Domino 8.5.1, 8.5.2 (с активированной функцией Traveler) Система должна обеспечивать принудительную проверку статуса соответствия политикам безопасности перед входом в корпоративную сеть и предоставление/не предоставление доступа к ресурсам сети на основе результатов проверки Система должна иметь интегрированный инструмент для службы поддержки (сервисдеск), позволяющий оперативно реагировать на любые изменения в состоянии устройств и предоставляющий полную информацию по всем подключенным к системе устройствам Система должна предоставлять единыйweb-портал активации устройств для пользователей Система должна предоставлять различные виды отчетов по безопасности мобильных устройств Перечень обязательных требований к Претенденту на выполнение запрошенных работ 2.1. Участник открытого запроса предложений должен соответствовать следующим обязательным требованиям: 2.1.1. Не находиться в процессе реорганизации или ликвидации; его организационно-правовая форма должна соответствовать законодательству РФ. 2.1.2. Претендентом должен быть российское предприятие, зарегистрированное в установленном порядке на территории РФ; 2.1.3. В отношении Участника не должно быть возбуждено производство по делу о несостоятельности (банкротству); на его имущество не должен быть наложен арест, экономическая деятельность не должна быть приостановлена. 2.1.4. Не должен иметь убытки за последний завершенный финансовый год и квартал, обороты за последний период, аналогичный периоду производства работ, должны быть сопоставимы с суммой настоящего договора либо превышать ее. 2.1.5. Наличие действующей лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. 2.1.6. Участник ОЗП должен обладать практическим опытом выполнения работ по обеспечению информационной безопасности. 2.1.7. Участник ОЗП должен обладать положительной деловой репутацией. 2.1.8. Претендент должен иметь в штате сертифицированных специалистов, обученных и прошедших курсы и сертификацию вендора по системам запрашиваемых банком. 2.1.9. Претендент должен иметь дилерских, субдилерских и иных партнерских взаимоотношений с производителем ПАК и соответствующей сертификации на коммерческую деятельность на территории Российской Федерации в данной области
