Уведомление о намерении принять участие в Запросе предложений

Общие требования

• 
  Система должна строиться на основе программных продуктов ArcSight компании HP или аналогичных.
  
• 
  Система должна осуществлять сбор событий из журналов событий с сохранением результата обработки в централизованной базе данных.
  
• 
  Система должна предоставлять функционал агрегации, нормализации, типизации, анализа и корреляции событий от источников. Параметры агрегации, нормализации, типизации, анализа и корреляции должны быть настраиваемыми.
  
• 
  Система должна предоставлять функционал формирования отчетов по событиям, сохраненным в централизованной базе данных. Функционал формирования отчетов должен быть настраиваемым.
  
• 
  При подключении к источникам событий Система должна подчиняться принципу использования наименьших привилегий.
  
• 
  Система должна реализовать отслеживание событий самодиагностики (заполнение табличного пространства БД, недостаток вычислительных ресурсов (CPU, RAM), потеря связи с источником, переполнение очереди, потеря связи с коннектором, отбрасывание коннектором событий и т.п.).
  
• 
  Реализация в Системе дополнительных объектов не должна создавать неоправданных затруднений при восстановлении Системы из резервной копии или при переходе на последующие версии ПО мониторинга (пересоздание отчетов, ручное пересоздание правил корреляции, настроек коннекторов и тп.).
  
• 
  Система должна использовать сквозную приоритезацию инцидентов ИБ со всех источников (Urgent, High, Normal, Low).
  
• 
  Система должна поставляться в виде программно-аппаратного комплекса:
  
  1. 
     дизайн для установки в шкаф 19;
     
  2. 
     высота 1 или 2U;
     
  3. 
     поддержка возможности масштабирования;
     
  4. 
     поддержка возможности построения отказоустойчивой конфигурации (HA – High Availability);
     
  5. 
     в комплект поставки должно входить автоматизированное рабочее место оператора Системы.
     

• 
  Cisco ISR-3845 – 2 шт.
  
• 
  Cisco ISR-3825 – 1 шт.
  
• 
  Cisco ASA 5520 – 2 шт.
  
• 
  Антивирус Касперского – 1шт.
  
• 
  Контроллеры домена Windows – 2 шт.
  
• 
  Серверы на базе ОС Windows – 30 шт.
  
• 
  Рабочие станции на базе ОС Windows – 300 шт.
  
• 
  Сервер баз данных (MS SQL Server) -1 шт.
  

Технические требования к программно-аппаратному комплексу Системы

• 
  обеспечивать сбор, анализ и взаимную корреляцию событий и сигнальной информации как со специализированных устройств безопасности, так и с прикладных систем, участвующих в обработке данных с целью обнаружения аномалий;
  
• 
  отображать полученную информацию в удобном графическом виде, проводить разделение событий по категориям, корреляцию событий, как по ресурсам, так и по злоумышленникам, осуществлять подробный анализ событий;
  
• 
  выполнять анализ и сопоставление событий информационной безопасности от всех средств защиты, сети, серверов и рабочих станций пользователей;
  
• 
  осуществлять сбор и генерацию отчетов со статистикой работы сети, в том числе сбор информации с маршрутизаторов сети и серверов, для обеспечения анализа информационных потоков;
  
• 
  осуществлять визуализацию распространения атаки на канальном и сетевом уровнях на карте сети;
  
• 
  поддерживать возможность эскалации инцидентов (идентификацию, реагирование, расследование, контроль, генерацию отчетов);
  
• 
  поддерживать сигнатурные и поведенческие методы обнаружения аномалий и других атак;
  
• 
  обеспечивать производительность по корреляции не менее 1000 EPS;
  
• 
  максимальное количество подключаемых к Системе устройств мониторинга: 750;
  
• 
  поддерживать возможность создания собственных правил корреляции;
  
• 
  поддерживать взаимную корреляцию событий от устройств различных производителей;
  
• 
  поддерживать базовую возможность мониторинга и управления через Web-интерфейс и полный доступ к администрированию Системы через защищенную консоль;
  
• 
  поддерживать возможность подключения собственных средств защиты для анализа;
  
• 
  поддерживать возможность интеграция со сканерами уязвимостей;
  
• 
  поддерживать обработку информации в реальном времени;
  
• 
  поддерживать возможность уведомления об обнаруженных проблемах по e-mail, SNMP, через syslog;
  
• 
  поддерживать возможность проверки защищаемой сети на соответствия требованиям международных стандартов;
  
• 
  поддерживать автоматическую отправку отчетов администраторам безопасности по электронной почте (e-mail) и sms;
  
• 
  поддерживать создание периодических отчетов о работе Системы в стандартных и наиболее распространенных форматах: PDF, HTML и др.;
  
• 
  осуществлять фильтрацию данных, как минимум, по зонам, времени, адресам, портам, событиям, контролирующим устройствам;
  
• 
  включать в себя интеллектуальную подсистему анализа и корреляции действий администраторов и пользователей информационной системы;
  
• 
  В основе иметь аппаратную часть с характеристиками не ниже:
  
  1. 
     2 x Intel Xeon E5620 Quad Core 2.4 GHz или аналог;
     
  2. 
     интерфейсы: 4 x 10/100/1000;
     
  3. 
     RAM: 36GB;
     
  4. 
     HDD: 6 x 600GB - SAS disks in RAID-10;
     
  5. 
     тип корпуса/шасси: 2U;
     
• 
  иметь техническую поддержку производителя 8х5 NBD.
  

Требования к документированию

• 
  Техническое задание.
  
• 
  Пояснительная записка к техно-рабочему проекту.
  
• 
  Руководство оператора.
  
• 
  Программа и методика испытаний.
  
• 
  Протокол испытаний.
  
• 
  Акт приёмки в промышленную эксплуатацию.
  

Требования к порядку выполнения и составу работ.

• 
  Обследование объекта автоматизации и формирование требований к Системе;
  
• 
  Техно-рабочее проектирование и внедрение;
  
• 
  Опытная эксплуатация;
  
• 
  Оптимизация Системы.
  

Требования к составу и содержанию работ на этапе «Обследование объекта автоматизации и формирование требований к Системе».

• 
  Архитектуры Системы, схемы интеграции оборудования Системы в ИС Заказчика.
  
• 
  Требований к настройке оборудования.
  
• 
  Резервное копирование и восстановление настроек Системы, относящихся к системе управления, промежуточным серверам, коннекторам и другим компонентам Системы.
  
• 
  Настройка политик резервного копирования информации для ее долговременного хранения.
  
• 
  Настройка политик обновления программного обеспечения.
  
• 
  Настройка политик мониторинга оборудования Системы.
  
• 
  Учетные записи ИС, необходимые и достаточные уровни доступа к ИС.
  
• 
  Ролевое разграничение доступа к Системе.
  
• 
  Схемы интеграции и требования к аппаратному и программному обеспечению серверов сбора событий.
  
• 
  Системы приоритезации инцидентов ИБ и системы оповещения об их возникновении (консоль, email).
  
• 
  Требования к дополнительному хранилищу данных.
  
• 
  Правил корреляции.
  

Требования к составу и содержанию работ на этапе «Техно-рабочее проектирование и внедрение»

• 
  Техно-рабочее проектирование.
  
• 
  Поставка оборудования и программного обеспечения Системы.
  
• 
  Монтажные и пуско-наладочные работы.
  
• 
  Тестирование и передача Системы в опытную эксплуатацию.
  

Поставка оборудования и программного обеспечения

Монтажные и пуско-наладочные работы

• 
  Установка и настройка компонентов Системы согласно требованиям техно-рабочего проекта.
  
• 
  Подключение источников событий ИБ определенных в Техническом задании, а также настройка правил анализа и корреляций событий;
  

• 
  Техно-рабочий проект Системы:
  
  1. 
     Схема интеграции компонент Системы.
     
  2. 
     Описание источников событий и правил корреляции данных событий.
     
  3. 
     Программа и методика испытаний.
     
  4. 
     Руководство пользователя.
     

Требования к составу и содержанию работ на этапе «Опытная эксплуатация»

• 
  корректировка базовых правил корреляции в соответствии со спецификой политик и инфраструктуры Заказчика;
  
• 
  корректировка базовых и создание правил, обеспечивающих мониторинг работоспособности компонентов Системы;
  
• 
  корректировка системы приоритезации инцидентов ИБ;
  
• 
  оказание консультаций специалистам Заказчика по вопросам отладки и корректировки настроек Системы;
  
• 
  разработка рекомендаций по дополнительной настройке (при необходимости) программно-технических средств Системы;
  
• 
  удаленное решение (по телефону или электронной почте) технических проблем функционирования Системы, при необходимости выезд к Заказчику;
  
• 
  описание дополнительных источников событий и правил корреляции.
  

Требования к составу и содержанию работ на этапе «Оптимизация Системы».

• 
  Корректировка разработанной документации по Системе.
  
• 
  Настройка правил фильтрации, обеспечивающих исключение из сбора и анализа событий, являющихся следствием штатной активности ИС Заказчика.
  
• 
  Оптимизация правил корреляции для снижения числа ложных срабатываний.
  
• 
  Разработка дополнительных правил корреляции, выявляющих критичные события на источниках.
  

• 
  Организация-исполнитель должна иметь право на поставку программно-аппаратного комплекса Системы, что должно быть подтверждено Авторизационным письмом официального дистрибьютора.
  

• 
  Организация-исполнитель должна обладать необходимыми условиями для выполнения договора:  компетентностью, опытом, квалификацией, материально-техническими и трудовыми ресурсами. Опыт оказания аналогичных услуг должен быть подтвержден отзывами или рекомендациями заказчиков.
  
• 
  Организация-исполнитель должна иметь в своем штате сотрудников, сертифицированных по направлению HP ArcSight Security.
  
• 
  Наличие сертификатов, лицензий и прочих разрешительных документов по видам деятельности (если данный вид услуг подлежит лицензированию).