Opis przedmiotu zamówienia
Załącznik nr 1
Opis przedmiotu zamówienia
Usługa monitorowania Security Operation Center dla Centrum e-Zdrowia
3. Termin realizacji oraz miejsce świadczenia Usługi 6
4. Wymagania dla Usługi monitorowania Security Operation Center. 6
6. Analiza złośliwego oprogramowania 10
9. Raportowanie i rozliczanie pracy 14
1. Słownik
Skrót lub Pojęcie | Opis |
Best Effort | Stan realizacji usługi, w którym zostały przekroczone ograniczenia SLA ze względu na wystąpienie zwiększonego zapotrzebowania na usługę. W przypadku przekroczenia ograniczeń SLA Wykonawca niezwłocznie poinformuje Zamawiającego o zaistniałej sytuacji. |
Cyberbezpieczeństwo | Adekwatny do potrzeb stan ochrony zapewniający możliwość wykrycia oraz reagowania na zdarzenia niepożądane oraz wskazane w dokumentacji systemu zarządzania bezpieczeństwem informacji Zamawiającego. |
Cyberprzestrzeń | Przestrzeń, w której następuje wymiana, gromadzenie i udostępnianie informacji za pośrednictwem komputerów oraz komunikacja między człowiekiem i komputerem. |
Czas | Wszystkie wskazania w dokumencie w zakresie czasu dotyczą czasu w aktualnej strefie czasowej przyjętej jako czas urzędowy obowiązujący w Polsce. |
Departament Bezpieczeństwa | Komórka organizacyjna w strukturach Zamawiającego, odpowiedzialna za bezpieczeństwo informacji. |
Dzień roboczy | Od poniedziałku do piątku z wyłączeniem dni ustawowo wolnych od pracy oraz dni wolnych u Zamawiającego. |
Incydent Bezpieczeństwa Informacji (Incydent) | Pojedyncze zdarzenie lub serię niepożądanych albo niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. |
Koordynator Wykonawcy | Osoba z ramienia Wykonawcy odpowiedzialna za podejmowanie decyzji w zakresie realizacji spełniania warunków SLA usługi oraz za kontakt z Zamawiającym. Koordynator może mieć jednego lub wielu zastępców. |
Koordynator Zamawiającego | Osoba z ramienia Zamawiającego odpowiedzialna za podejmowanie decyzji w zakresie realizacji usługi. Koordynator może mieć jednego lub wielu zastępców. |
KSC | Ustawa o Krajowym Systemie Cyberbezpieczeństwa z 5 lipca 2018 roku (dziennik ustaw nr 1560/2018) |
Miejsce świadczenia usługi monitorowania cyberbezpieczeństwa | Miejsce świadczenia usługi Monitorowania Cyberbezpieczeństwa przez zespół Wykonawcy spełniające wymagania ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2018 poz. 1560). |
Pierwsza Linia Wsparcia | Pierwsza Linia Wsparcia SOC – usługa realizująca w szczególności zadania: • Monitoringu; • Identyfikacji zdarzeń; • Analizy i eliminacji najprostszych znanych zdarzeń określonych w ramach Scenariusza Reakcji. |
Druga Linia Wsparcia | Druga Linia Wsparcia SOC – usługa realizująca w szczególności zadania: • Współpracy w reakcji na zdarzenia skomplikowane i nieznane; |
• Tworzenie Scenariuszy Reakcji na powtarzalne zdarzenia; • Nadzór nad poprawnością działania konfiguracji scenariuszy użycia; • Wykonywanie comiesięcznych sprawdzeń działania systemów monitoringu (testy funkcjonalne). | |
On-call | Dyżur pod telefonem, czekanie w gotowości na zgłoszenie Drugiej Linii Wsparcia, wyłącznie dla Incydentów o priorytecie Poważnym. |
CTI/OSINT | Ang. Cyber Threat Inelligence/OpenSource Inteligence - narzędzia dostarczające szczegółowe informacje o technikach hakerskich, zagrożeniach, podatnościach, artefaktach lub umiejętności ich interpretowania i dekodowania oraz czynności pozwalające na pozyskanie informacji z powszechnie dostępnych źródeł umożliwiających powiększenie zakresu wiedzy na temat potencjalnych zagrożeń. |
PAM | Ang. Privileged Access Management - narzędzie wspierające nadzór nad sesjami uprzywilejowanymi oraz monitorowanie i zarządzanie uprzywilejowanymi kontami |
Polityka Bezpieczeństwa Informacji dla Dostawców | Wymagania dla Wykonawcy mające na celu zapewnienie bezpieczeństwo informacji w trakcie trwania umowy. |
Praca ciągła | Praca w trybie 24/7/365 dni. |
PUODO | Prezes Urzędu Ochrony Danych Osobowych – organ właściwy do spraw ochrony danych osobowych na terytorium Polski, utworzony ustawą z 10 maja 2018 roku o ochronie danych osobowych. Jest również organem nadzorczym w rozumieniu ogólnego rozporządzenia o ochronie danych. |
RODO | Ustawa o ochronie danych osobowych z dnia 28 maja 2018 roku uszczegółowiające wymagania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) jest odpowiedzią na wyzwania związane ze zmieniającą się gospodarką danymi osobowymi. |
SOC | Security Operation Center – centrum operacji bezpieczeństwa, którego zadaniem jest całodobowe monitorowanie, zapobieganie, wykrywanie, badanie i reagowanie na cyberzagrożenia. |
Scenariusz Reakcji | Dokument opisujący wymagane czynności w przypadku wykrycia zdarzenia nieporządnego, składający się z: • Zestawu możliwości technicznych wykrycia zdarzenia; • Zdefiniowanych warunków wywołania zdarzenia niepożądanego; • Opisu identyfikacji zdarzeń zależnych; • Instrukcji reakcji na zdarzenie; • Instrukcji uruchomienia działań korekcyjnych; • Instrukcji wykonywania działań informacyjnych; |
• Ogólnych i szczegółowych ścieżek eskalacyjnych. | |
Scenariusz użycia systemu bezpieczeństwa | Dokument opisujący zestaw zadań wymaganych do wykonania w ramach Drugiej Linii Wsparcia, w skład którego wchodzą między innymi: • Skonfigurowanie jednego lub kilku źródeł zdarzeń; • Opisanie procesu normalizacji; • Przygotowanie Scenariuszy Reakcji w zakresie czynności wykonywanych przez Pierwszą Linię Wsparcia. |
SLA | Zestaw wartości granicznych dla kluczowych wskaźników wydajności, dla których określona realizacja usługi jest wymagany w zakresie jakościowym. |
System SIEM | System zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego Zamawiającego, w którym zbierane są logi z systemów poddawane korelacji w celu wykrycia Incydentów. Zamawiający posiada System SIEM – RSA NetWitness. |
Transfer Wiedzy | Usługa przekazywania kompetencji w zakresie realizacji usług Pierwszej i |
Usługa monitorowania Cyberbezpieczeństwa | Zestaw czynności wykonywanych przez Wykonawcę w ramach umowy w celu identyfikacji Incydentów Bezpieczeństwa Informacji. |
Zdarzenia niepożądane | Zdarzenie mogące wskazywać na wystąpienie incydentu bezpieczeństwa w środowisku chronionym. |
Zdarzenie False-Negative | Wykrycie przez Drugą Linię Wsparcia, zdarzenia nie poprawnie rozpoznanego przy zastosowaniu ustalonych i zaakceptowanych procedur bezpieczeństwa. Realizacja i rozpoznawanie zdarzeń „ False-Negative”. |
Zdarzenie False-Positive | Wykrycie przez automatyczne systemy zdarzenia, które po analizie zostało uznane jako zdarzenie poprawne. W przypadku notorycznego występowania, statystycznie rozumianego jako więcej niż 100 zdarzeń „False - Positive” na 1 incydent bezpieczeństwa w miesiącu, należy uznać regułę automatyczną tworzącą takie zdarzenia jako błędną konfigurację systemu bezpieczeństwa. |
Przypadek testowy | Celowe wykonanie pełnego przebiegu zdarzenia od momentu wystąpienia sytuacji niepożądanej do momentu zakończenia przetwarzania fazy analizy incydentu. Gdy jest to możliwe, obejmuje wykonanie odwracalnych kroków reakcji na incydent, sprawdzenie scenariusza end-to-end łącznie z zablokowaniem wskaźników kompromitacji w narzędziach prewencyjnych. |
2. Przedmiot zamówienia
2.1. Przedmiotem zamówienia jest zapewnienie Usługi monitorowania Security Operation Center wraz z utrzymaniem systemu zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego (System SIEM) dla Centrum e-Zdrowia.
3. Termin realizacji oraz miejsce świadczenia Usługi
3.2. Zamawiający może zlecić świadczenie Usługi przez okres kolejnych 12 miesięcy (zamówienie
opcjonalne).
3.3. Czas o którym mowa w pkt 3.1 – od podpisania umowy do rozpoczęcia świadczenia usługi, traktuje się jako okres przejściowy, w którym Wykonawca zobowiązany będzie do podjęcia działań, których celem będzie dopasowanie i uzgodnienie zasad współpracy wskazanego Systemu SIEM Zamawiającego z systemami Wykonawcy. Zakończenie okresu przejściowego potwierdzone zostanie Protokołem Odbioru.
3.4. Wykonawca gwarantuje, że miejsce świadczenia Usługi wskazane w ofercie spełnia wymagania ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2018 poz. 1560).
3.5. Wykonawca do świadczenia usługi będzie wykorzystywał narzędzia udostępnione przez Zamawiającego – System SIEM. Dostęp do narzędzi powinien zostać zrealizowany za pomocą szyfrowanego połączenia oraz systemu klasy PAM nagrywającego sesje osoby łączącej się, Parametry dostępu zostaną ustalone po podpisaniu umowy.
4. Wymagania dla Usługi monitorowania Security Operation Center.
4.1. Pierwsza i Druga Linia Wsparcia
W ramach realizacji zamówienia, Wykonawca będzie świadczył usługę monitorowania i analizy
danych prezentowanych w Systemie SIEM zgodnie z opisanymi poniżej wymaganiami.
4.1.1.Pierwsza Linia Wsparcia
W ramach realizacji zadań Pierwszej Linii Wsparcia Wykonawca będzie odpowiedzialny za:
(1) Monitorowanie zdarzeń naruszenia cyberbezpieczeństwa w trybie 24 / 7 / 365, zgodnie z
określonymi warunkami SLA.
(2) Przeprowadzanie wstępnej oceny zdarzeń i realizowanie ustalonych Scenariuszy Reakcji.
(3) Analizę i eliminację najprostszych znanych zdarzeń określonych w ramach Scenariusza
Reakcji.
(4) Łączenie (korelowanie) zdarzeń i incydentów cyberbezpieczeństwa.
(5) Dokumentowanie wykonanych czynności zgodnie z przygotowanymi i zaakceptowanymi
Scenariuszy Reakcji.
(6) Eskalowanie zdarzenia zgodnie w ramach ustalonego Scenariusza Reakcji.
(7) Zamykanie zdarzeń błędnie rozpoznanych przez system bezpieczeństwa jako zagrożenie
(tzw. False-Positive).
(8) Priorytetyzowanie i kategoryzowanie zdarzeń bezpieczeństwa.
(9) Przygotowywanie dziennych raportów wykrytych zdarzeń bezpieczeństwa.
4.1.2.Druga Linia Wsparcia
W ramach realizacji zadań Drugiej Linii Wsparcia Wykonawca będzie odpowiedzialny za:
(1) Dostępność usługi dla Zamawiającego zgodnie z określonymi warunkami SLA.
(2) Analizę zgłoszonych przez Pierwszą Linię Wsparcia Incydentów cyberbezpieczeństwa oraz przygotowanie raportów i zaleceń poincydentalnych.
(3) Przygotowywanie i realizację Scenariuszy użycia systemu bezpieczeństwa zgodnie z wymaganiami przedstawionymi przez Zamawiającego.
(4) Przygotowanie Scenariuszy Reakcji.
(5) Przygotowanie Miesięcznych raportów z realizacji prac.
4.2. Scenariusze
4.2.1.Scenariusz użycia systemu bezpieczeństwa
Zamawiający wymaga przygotowania i wdrożenia do 50 scenariuszy użycia dla zidentyfikowanych ryzyk przez Zamawiającego. Harmonogram wdrożenia zostanie ustalony w okresie przejściowym dla pierwszych 10 scenariuszy użycia, pozostałe scenariusze zostaną przygotowane zgodnie z pkt 7 Ogólne warunki SLA. Każdorazowo Scenariusz użycia musi zostać zaakceptowany przez Zamawiającego. Zamawiający posiada listę przykładowych scenariuszy użycia, które należy przygotować i wdrożyć. Przykładowe scenariusz użycia:
• Wykrywanie logowania z ominięciem systemu klasy PAM
• Wykrywanie utworzenia użytkownika (lokalnego i domenowego)
• Wykrycie złośliwego oprogramowania na chronionym obiekcie
4.2.1.1. Minimalny zakres zadań, z których ma być zbudowany Scenariusz użycia sytemu bezpieczeństwa zawiera:
• Skonfigurowanie jednego lub kilku źródeł zdarzeń,
• Opisanie procesu normalizacji,
• Stworzenie reguł korelacyjnych w systemie SIEM mających na celu analizowanie w referencji do listy i/lub pól wyliczeniowych i/lub analizy statystycznej, lub w inny sposób mający ujawnić incydent bezpieczeństwa,
• Stworzenie Scenariusza Reakcji w zakresie czynności wykonywanych przez Pierwszą Linię Wsparcia,
• Opisanie szczegółowej ścieżki eskalacji,
4.2.1.2. Opracowanie scenariusza manualnego lub automatycznego sprawdzania poprawności działania. W przypadku pojawienia się nowych skuteczniejszych technik identyfikacji zagrożeń, Wykonawca ma obowiązek zaktualizować w porozumieniu z Zamawiającym istniejące Scenariusze użycia sytemu bezpieczeństwa.
4.2.2.Scenariusz Reakcji
Przygotowany przez Wykonawcę oraz zatwierdzony przez Zamawiającego Scenariusz Reakcji określa minimalny zestaw czynności konieczny do udokumentowania oraz wyciagnięcia powtarzalnych wniosków, na podstawie których zostaną podjęte określone czynności. Scenariusz Reakcji składa się z podzadań realizujących funkcje:
• Wzbogacenia wiedzy o artefaktach tj. adresy IP, domeny, hash’e plików, nazwy plików, rozpoznawalność wskaźników kompromitacji przez narzędzia klasy CTI / OSINT, w celu wyciągania adekwatnych wniosków i podejmowania trafnych decyzji,
• Analizy zidentyfikowanego zdarzenia, w tym w szczególności potwierdzenia, że zagrożenie w przypadku uruchomienia w środowisku Zamawiającego może stać się incydentem lub jest incydentem, jak również rozpoczęcia pobierania lub zabezpieczenia dodatkowych danych z zaatakowanego źródła ataku zasobu na potrzeby realizacji Pierwszej Linii Wsparcia,
• Reakcji rozumianej jako ograniczenie możliwości wystąpienia zdarzenia niepożądanego, uruchomienia procesu eskalacyjnego lub innych czynności stosownych do zagrożenia w zakresie uzgodnionym z Zamawiającym,
• Informowania i raportowania obejmującego dokumentowanie wykonanych czynności oraz rezultatów przeprowadzonej analizy lub zasadności czynności reakcji.
4.3. Raport Poincydentalny
4.3.1.Zamawiający wymaga przygotowania Raportu Poincydentalnego dla incydentów o priorytecie Poważnym i Wysokim nie później niż do 2 dni roboczych od zakończenia realizacji zawierającego informacje:
• Unikalny identyfikator zdarzenia
• Kiedy incydent wystąpił?
• Kiedy incydent został zauważony / wykryty?
• Kto lub jaki proces był sprawcą incydentu?
• Co się wydarzyło?
• Gdzie wydarzenie miało miejsce?
• Dlaczego zdarzenie mogło wystąpić?
• Jakie czynności zostały przeprowadzone w celu powstrzymania incydentu?
• Zalecenia Poincydentalne zawierające informację jakie zabezpieczenia zostały ustanowione lub powinny zostać ustanowione w celu zapobieżenia ponownemu wystąpieniu incydentu.
4.3.2.W przypadku przygotowania zaleceń, dla których konieczne jest wprowadzenie istotnych zmian do systemów bezpieczeństwa lub jakiejkolwiek rekonfiguracji systemów Zamawiającego Koordynator Wykonawcy przedstawi do akceptacji Koordynatorowi Zamawiającego zakres i szczegółową listę zmian. Zwolnione z takiej czynności są Zalecenia Poincydentalne konieczne do powstrzymania zidentyfikowanego Incydentu zagrażającego cyberbezpieczeństwu infrastruktury lub danych Zamawiającego.
4.4. Systemy Zamawiającego wymagające monitorowania
Rodzaj usługi lub urządzenia | Liczba urządzeń / nodów w przypadku klastra wysyłających logi w celu analizy |
Active Directory (liczba serwerów) | 8 |
Windows Server | 100 |
Linux Server SUSE | 6 |
Linux Server CENTOS / REDHAT / ORACLE | 850 |
DNS | 10 |
Systemy bezpieczeństwa np.: serwer systemu antywirusowego, web application firewall, inne | 20 |
Centralny Firewall | 6 |
Pomocniczy Firewall | 8 |
IPS / IDS | 6 |
VPN | 6 |
Routers/Switches | 100 |
4.4.2.Zamawiający na bieżąco będzie aktualizować listę systemów Zamawiającego wysyłających
logi do systemu SIEM RSA NetWitness.
5. Utrzymanie systemu SIEM
5.1. Administracja Systemem SIEM:
W ramach realizacji zadań administracji Systemem SIEM Wykonawca będzie odpowiedzialny za: 5.1.1.Informowanie Zamawiającego o awariach Systemu SIEM, mogących uniemożliwić poprawne
działanie systemów informacyjnych Zamawiającego i/lub świadczenie usług ujętych w
niniejszym dokumencie,
5.1.2.Rekomendowanie zmiany zasobów takich jak: vCPU, vRAM, pamięć masowa 5.1.3.Optymalizowanie konfiguracji Systemu SIEM w celu nieprzekraczania wartości licencji
Systemu posiadanego przez Zamawiającego oraz niezwłocznego zgłaszania sytuacji
przekroczenia poziomu utylizacji licencji.
5.1.4.Konfigurację Systemu SIEM w celu gromadzenia i normalizowania logów ze wskazanych systemów Zamawiającego zgodnie z punktem Błąd! Nie można odnaleźć źródła odwołania. 5.1.5.Weryfikację czy wskazane źródła logów są poprawnie skonfigurowane w systemie -
tygodniowo
5.1.6.Weryfikację czy System SIEM prawidło analizuje logi
5.1.7.Konfigurację Systemu SIEM tak aby była możliwość przeglądania do dwóch lat wstecz źródłowych zdarzeń bezpieczeństwa w zakresie:
• Logowania interakcyjne,
• Tworzenia oraz usuwania kont
• Tworzenia oraz usuwania grup użytkowników,
• Alertów źródłowych powiązanych ze zidentyfikowanymi incydentami
5.1.8.Tworzenie wymagań dla systemów Zamawiającego wysyłających logi zgodnie z punktem
4.4.1 w zakresie poziomu logowania zdarzeń.
5.2. Testowanie Systemu SIEM:
W ramach realizacji zadań testowania Systemu SIEM Wykonawca będzie odpowiedzialny za:
5.2.1.Przygotowanie i uzyskanie aprobaty Zamawiającego dla scenariuszy testów Systemu SIEM,
5.2.2.Weryfikację wdrożonych scenariuszy użycia oraz implementacji nowych przypadków zgłoszonych przez Zamawiającego,
5.2.3.Weryfikację możliwości wdrożenia przypadków użycia w środowisku Zamawiającego,
5.2.4.Potwierdzenie co najmniej raz w miesiącu działania wszystkich wdrożonych reguł, dla
wszystkich zaimplementowanych scenariuszy w ustalonym przedziale czasowym.
6. Analiza złośliwego oprogramowania
6.1.1.W ramach realizacji umowy, Zamawiający będzie mógł zlecić Wykonawcy wykonanie analizy złośliwego oprogramowania, w tym z wykorzystaniem technik inżynierii odwrotnej (ang. reverse engineering), w wymiarze zgodnym z ofertą, jednak nie mniejszym niż 12 w ciągu roku. Sposób zgłaszania analizy złośliwego oprogramowania zostanie uzgodniony po podpisaniu umowy.
6.1.2.Zakres analizy złośliwego oprogramowania będzie nie mniejszy niż:
• Analiza statyczna wskazanej próbki złośliwego oprogramowania,
• Analizy dynamiczna w kontrolowanym środowisku pozwalającym na wyłączenie funkcji
ukrywania lub wykrywania analizy,
• Proces odwrotny do obfuskacji umożliwiający analizę kodu zaciemnionego,
• Analiza występowania modułów pozwalających na kontrolę w tym szczegółowego określenia zaimplementowanych funkcji,
• W przypadku wykorzystywania rodziny malware określenia wersji
6.1.3.Każdorazowo po wykonanej analizie złośliwego oprogramowania Wykonawca przekaże drogą mailową raport z wykonanej analizy. Zakres raportu zostanie ustalony po podpisaniu umowy.
7. Ogólne warunki SLA
Priorytet incydentu | Czas od wykrycia do | |
Podjęcia | Realizacji | |
Poważny | 15 min | 2 h |
Xxxxxx | 00 min | 6 h |
Średni | 2 h | 12 h |
Niski | 4 h | 24 h |
7.1. Wykonawca zapewni świadczenie Usługi monitorowania Cyberbezpieczeństwa zgodnie z określonym poziomem SLA.
Nazwa usługi | Poziom świadczonej usługi |
Pierwsza Linia Wsparcia Czasy dla pierwszych 50 Incydentów każdego dnia, pozostałe zadania realizowane w trybie „Best Effort” | Dostępność usługi w trybie 24/7/365 |
Druga Linia Wsparcia Czasy dla pierwszych 5 Incydentów każdego dnia, pozostałe zadania realizowane w trybie „Best Effort” | Dostępność usługi w dni robocze pomiędzy godzinami 7:00 a 18:00. Dodatkowo dla Incydentów o priorytecie Poważnym - w trybie „on-call”: • w dni robocze w godzinach 00:00 do 7:00 i 18:00 do 24:00 • w pozostałe dni w trybie „on-call” w godzinach 00:00 do 23:59 |
Utrzymanie systemu SIEM | Dostępność usługi w dni robocze w godzinach 8:00 – 16:00 Przynajmniej 98% , monitorowanych urządzeń o których mowa w pkt 4.4.1 powinna być poprawnie skonfigurowana. |
Analiza złośliwego oprogramowania | Przeprowadzenie analizy w terminie do 2 dni roboczych od przekazania podejrzanej próbki oprogramowania przez Koordynatora Zamawiającego do Koordynatora Wykonawcy oraz potwierdzenia otrzymania próbki przez Koordynatora Wykonawcy. |
Scenariusz użycia systemu bezpieczeństwa | Przygotowanie i wdrożenie scenariusza użycia systemu wraz ze scenariuszami reakcji w terminie do 5 dni roboczych od przekazania informacji od Koordynatora Zamawiającego do Koordynatora Wykonawcy z wyjątkiem scenariuszy ujętych w harmonogramie przygotowanym w okresie przejściowym. |
Priorytet incydentu | Czas od eskalacji pierwszej linii wsparcia do | |
Podjęcia | Realizacji | |
Poważny | 30 min | 24 h |
Xxxxxx | 00 min | 2 dni |
Średni | 2 h | 4 dni |
7.2. Oczekiwany poziom świadczenia usługi SLA dla pierwszej i drugiej linii wsparcia to 98% w ciągu dnia. W przypadku niedotrzymania warunków SLA, zostaną naliczone kary umowne zgodnie z zapisami umowy.
7.3. Czas podjęcia Incydentu będzie liczony jako delta czasu pomiędzy odnotowaniem wystąpienia zdarzenia w logach systemu komputerowego a czasem zweryfikowania poprawności nadania priorytetu.
7.4. Czas realizacji Incydentu będzie jako delta czasu pomiędzy podjęciem incydentu a zakończeniem obsługi podsumowanym wydanymi rekomendacjami i/lub raportem, w zależności od przypisanego scenariusza reakcji.
7.5. Zamawiający wyróżnia cztery poziomy incydentów: Poważny, Wysoki, Średni, Niski. Domyślnie każdy incydent zarejestrowany, jeżeli nie zostanie to uszczegółowione inaczej ma priorytet Średni.
Priorytet | Opis |
Poważny | • Priorytet jest stosowany wyłącznie w przypadku wystąpienia na wskazanych zasobach lub zasobie mogącym przetwarzać lub przechowywać powyżej 50 rekordów danych objętych definicją rozporządzenia RODO; • Zebrane dowody w systemach realizujących monitoring bezpieczeństwa świadczące o wystąpieniu co najmniej jednego wskaźnika; • Zestawienie zwrotnego kanału komunikacji z serwera dowodzenia i kontroli złośliwego oprogramowania (C&C) trwającej co najmniej od 30 minut w tym aktywnie wykorzystywanego (więcej niż 1kb/min); • Przełamanie zabezpieczeń aplikacji oraz ujawnienie nieznanych lub nieautoryzowanych procesów lub wątków aplikacyjnych lub systemowych; • Informacja od wiarygodnego sygnalisty w tym XXXXX XXXX lub inny CSIRT stowarzyszonego w ramach inicjatywy Trusted Introducers; • Potwierdzona informacja od osoby odpowiedzialnej za zaatakowany zasób informacyjny w zakresie administracji IT lub opieki nad usługą biznesową; • Informacja od Dyrektora lub Kierownika Departamentu Bezpieczeństwa; • Zidentyfikowane oraz potwierdzone naruszenie integralności plików konfiguracyjnych, binariów lub skryptów aplikacji i/lub systemu operacyjnego; • Nieuprawniony dostęp i wykorzystanie uprawnień mogące pozwolić na ustanowienie tylnej furtki, podsłuchiwanie transmisji lub wykorzystanie podatności; • Ujawnienie wycieku danych z chronionego obszaru z wykorzystaniem protokołów mailowych, przesłanie na dyski webowe lub danych z wykorzystaniem nieautoryzowanych nośników przenośnych; • Wykrycie przez system antywirusowy oprogramowania złośliwego na zasobie realizującym funkcje systemu informacyjnego wspierającego działanie usługi kluczowej; • Zgłoszenie incydentu Poważnego skutkuje bezzwłocznym uruchomieniem u Zamawiającego procesu eskalacyjnego KSC lub RODO; |
Wysoki | • Zebrane dowody w systemach realizujących monitoring bezpieczeństwa świadczące o wystąpieniu co najmniej jednego wskaźnika na systemie chronionym; • Ujawnienie zestawionej sesji zwrotnej z C&C, trwającej co najmniej od 30 minut, aktywnie wykorzystywanej przez atakującego (więcej niż 1kb/min); • Przełamanie zabezpieczeń aplikacji oraz ujawnienie nieznanych lub nieautoryzowanych procesów lub wątków aplikacyjnych lub systemowych w strefie chronionej; |
• Informacja od wiarygodnego sygnalisty w tym XXXXX XXXX lub inny CSIRT stowarzyszony w ramach inicjatywy Trusted Introducers; • Potwierdzona Informacja od osoby odpowiedzialnej za zaatakowany zasób informacyjny w zakresie administracji IT lub opieki nad usługą biznesową; • Informacja od Dyrektora lub Kierownika Departamentu Bezpieczeństwa; • Zidentyfikowane oraz potwierdzone naruszenie integralności plików konfiguracyjnych, binariów lub skryptów aplikacji i/lub systemu operacyjnego; • Nieuprawniony dostęp i wykorzystanie uprawnień mogące pozwolić na utworzenie tylnej furtki, podsłuchu transmisji lub wykorzystania podatności; • Ujawnienie wycieku danych z chronionego obszaru z wykorzystaniem protokołów mailowych, upload na dyski webowe lub przenoszenie przez nieautoryzowane pendrive; • Ujawnienie nieautoryzowanego kodu służącego jako oprogramowanie administracyjne (tzw. adminware) lub ofensywnych technik przełamywania zabezpieczeń (tzw. grayware); • Ujawnienie nieznanego przez VirusTotal lub inne bazy reputacyjne oprogramowania mającego złośliwe funkcje pozwalające operatorowi na uruchomienie nieautoryzowanych skryptów lub kodu; • Celowany atak na personel Zamawiającego z wykorzystaniem systemów komputerowych mający na celu wyłudzenie danych umożliwiających autoryzację w środowisku chronionym; | |
Średni | • Zebrane dowody w systemach realizujących monitoring bezpieczeństwa świadczące o wystąpieniu co najmniej jednego wskaźnika na systemie chronionym; • Nieautoryzowane dysponowanie uprawnieniami administracyjnymi; • Częściowo personalizowany atak na personel zamawiającego z wykorzystaniem systemów komputerowych mający na celu wyłudzenie danych umożliwiających autoryzację w środowisku chronionym; • Wszystkie przypadki wystąpienia na chronionych systemach komputerowych złośliwego oprogramowania, które jest rozpoznawane przez system antywirusowy ale nie zostało zatrzymane przez inny system bezpieczeństwa; • Wszystkie potwierdzone przypadki z naruszenia poufności, dostępności lub integralności wykryte przez systemy bezpieczeństwa dla których użytkownik wyklucza świadome lub nieświadome działanie; |
Niski | • Zebrane dowody w systemach realizujących monitoring bezpieczeństwa świadczące o wystąpieniu zdefiniowanego zdarzenia bezpieczeństwa opisanego scenariuszem reakcji, ale udało się potwierdzić że wywołanie zdarzenia było efektem realizacji autoryzowanych czynności służbowych z pominięciem ustalonych procedur bezpieczeństwa. |
8. Transfer wiedzy
8.1. Zamawiający wymaga aby w każdym kwartale trwania umowy, Wykonawca przeprowadził dla grupy nie większej niż 8 osób wskazanych przez Koordynatora Zamawiającego warsztaty. Łączny wymiar godzin w kwartale wynosi nie więcej niż 24. Jedno spotkanie Warsztatowe trwa nie mniej niż 4 godziny i nie więcej niż 8 godzin.
8.2. Warsztaty swoim zakresem będę obejmować:
• Administracji Systemem opisanym w punkcie 5
8.3. Szczegółowy harmonogram warsztatów oraz lista uczestników zostaną uzgodnione przez Koordynatorów stron.
9. Raportowanie i rozliczanie pracy
9.1. Miesięczny Raport Rozliczenia Usług
9.1.1.Każdy miesiąc świadczenia Usług potwierdzony zostanie Protokołem Xxxxxxx, wraz z Miesięcznym Raportem Rozliczenia Usług przygotowanym wg według wzoru uzgodnionego przez Koordynatorów w okresie przejściowym, o którym mowa w pkt 3.1. Wykonawca zobowiązany jest przedstawić Protokół Odbioru podpisany jednostronnie wraz z Miesięcznym Raportem Rozliczenia Usług w terminie 5 Dni Roboczych od dnia zakończenia miesiąca kalendarzowego, w którym była świadczona Usługa.
9.1.2.Zamawiający zastrzega sobie prawo zgłoszenia zastrzeżeń do Raportu, w terminie do 5 Dni roboczych od dnia jego otrzymania i zażądać uzupełnienia lub poprawy Raportu. Po uwzględnieniu przez Wykonawcę uwag do Protokołu Odbioru, w tym również Raportu Prac, Zamawiający w terminie kolejnych 3 Dni roboczych zweryfikuje ostateczną treść Protokołu Odbioru oraz Raportu Prac przed jego podpisaniem. W przypadku odmowy podpisania Raportu Prac przez Wykonawcę podstawę rozliczenia stanowi Raport Prac podpisany jednostronnie przez Zamawiającego.
9.1.3.Podpisany przez Strony Protokół Odbioru wraz z Raportem Prac stanowi podstawę do rozliczenia wynagrodzenia za świadczenie Usługi w miesiącu, którego dotyczą i podstawę do ewentualnego naliczenia kar umownych za miesiąc, w którym nastąpiło przekroczenie parametrów SLA .
9.1.4.Poza pierwszym raportem, każdy kolejny obejmuje okres od godziny 0:00 pierwszego dnia miesiąca kalendarzowego do ostatniego dnia miesiąca kalendarzowego do godziny 23:59.
9.1.5.Raport praca składa się z sekcji:
9.1.5.1. Monitorowanie cyberbezpieczeństwa
▪ Data świadczenia usług
▪ Zestawienie poprawnie obsłużonych incydentów
• Identyfikator incydentu
• Nazwa
• Klasyfikacja priorytetu Incydentu
• Dokładna data i godzina ujawienia incydentu,
• Dokładna data i godzina podjęcia incydentu
• Dokładna data i godzina realizacji obsługi incydentu
• Statusy końcowe
• Liczba przygotowanych rekomendacji i raportów poincydentalnych
▪ Zestawienie niepoprawnie nieobsłużonych incydentów zgodnie z SLA
• Identyfikator incydentu
• Nazwa
• Klasyfikacja priorytetu Incydentu
• Dokładna data i godzina ujawnienia incydentu,
• Dokładna data i godzina podjęcia incydentu
• Dokładna data i godzina realizacji obsługi incydentu
• Statusów końcowych zdarzenia (false-positive, zamknięty)
▪ Ogólne rekomendacje i zalecenia Zamawiającego w zakresie cyberbezpieczeństwa w nawiązaniu do obsłużonych Incydentów w celu eliminacji możliwości pojawienia się incydentów w przyszłości.
9.1.5.2. Utrzymanie Systemu SIEM
▪ Data świadczenia usług
▪ Zestawienie rekomendacji w zakresie zasobów Systemu SIEM
▪ Zestawienie wykorzystania licencji Systemu SIEM
▪ Zestawienie zbiorcze dla skonfigurowanych źródeł logów zawierające informacje
• Liczba zgłoszonych przez Zamawiającego źródeł logów/systemów
• Liczba poprawnie skonfigurowanych źródeł logów w systemie SIEM
• Liczba źródeł logów poprawnie normalizowanych przez system SIEM
▪ Zestawienia wykonanych testów działania systemu wraz ze statusem wdrożonych działań w przypadku negatywnego wyniku testu.
9.1.5.3. Analiza złośliwego oprogramowania
▪ Data świadczenia usług
▪ Lista zgłoszonych analiz złośliwego oprogramowania
▪ Liczba analiz przeprowadzonych zgodnie z SLA
9.2. Dzienny Raport Rozliczenia Usług
0.0.0.Xx żądanie Zamawiającego Wykonawca przedstawi Dzienny Raport Rozliczenia Usług za poprzedni dzień jednakże nie starszy niż 10 dni. Każdorazowo Dzienny Raport Rozliczenia Usług obejmuje okres od godziny 0:00 do godziny 23:59.
9.2.2.Raport składa się z sekcji:
▪ Za jaki okres zestawianie
▪ Zestawienie poprawnie obsłużonych incydentów:
• Identyfikator incydentu
• Nazwa
• Klasyfikacja priorytetu Incydentu Dokładna data i godzina ujawienia
incydentu,
• Dokładna data i godzina podjęcia incydentu
• Dokładna data i godzina realizacji obsługi incydentu
• Statusy końcowe
• Ilość przygotowanych rekomendacji
9.3. Zamawiający przewiduje koniczność wysyłania raportów godzinowych zwierających informacje dotyczące liczby potwierdzonych Incydentów z podziałem na ich krytyczność od czasu wysłania ostatniego raportu.
10. Audyt
10.1. Wykonawca zobowiązuje się umożliwić Zamawiającemu lub wskazanemu przez niego podmiotowi przeprowadzanie audytów jakości prac Wykonawcy związanych z realizacją Umowy, w tym zgodności prowadzonych prac z postanowieniami Umowy. Wykonawca ma obowiązek zapewnić możliwość kontroli swoich prac, w szczególności niezwłocznie przekazać podmiotowi prowadzącemu audyt informacje i wyjaśnienia związane bezpośrednio z realizacją Umowy. Informacja o audycie i przedmiocie audytu zostanie przekazana Wykonawcy najpóźniej na 2 Dni Xxxxxxx przed terminem rozpoczęcia przeprowadzenia audytu. Z wykonania audytu Zamawiający sporządzi na piśmie protokół zaleceń poaudytowych i przekaże go Wykonawcy. Wykonawca zobowiązany jest do wprowadzenia na własny koszt i ryzyko zaleceń poaudytowych, wykazujących niezgodności w realizacji przez Wykonawcę Umowy. Wprowadzenie tych zaleceń poaudytowych nastąpi w terminie uzgodnionym przez Koordynatorów. W przypadku braku porozumienia co do terminu wprowadzenia ww. zaleceń poaudytowych obowiązuje termin wskazany przez Xxxxxxxxxxxxx.
10.2. Zamawiający ma prawo do korzystania w związku z realizacją Umowy (w szczególności w związku z przeprowadzeniem kontroli realizacji Umowy, audytem, odbiorami lub jakimikolwiek innymi działaniami realizowanymi przez Zamawiającego) z usług upoważnionych przez niego podmiotów zewnętrznych. Zamawiający zobowiąże wskazane powyżej podmioty do zachowania poufności w odniesieniu do wszystkich informacji, w jakich posiadanie wejdą one w związku z prowadzonymi przez siebie czynnościami oraz do niewykorzystywania tych informacji w celu innym niż świadczenie prac na rzecz Zamawiającego. Wykonawca jest zobowiązany do współpracy z upoważnionymi podmiotami w pełnym zakresie wynikającym z upoważnienia, na zasadach określonych w Umowie względem Zamawiającego. W przypadku cofnięcia upoważnienia dla podmiotów zewnętrznych, Zamawiający jest zobowiązany do niezwłocznego poinformowania Wykonawcy o tym fakcie.
10.3. Wykonawca nie może odmówić wstępu do pomieszczeń, w których jest realizowana Umowa, udostępnienia żądanych informacji, dokumentów lub produktów związanych z realizacją Umowy, w tym mających wpływ na dochowanie terminów oraz zachowanie jakości, nawet jeśli objęte są tajemnicą przedsiębiorstwa. Zamawiający oraz osoby działające na jego rzecz zobowiązani są zachować informacje objęte tajemnicą przedsiębiorstwa Wykonawcy w poufności i mogą wykorzystać uzyskane w ten sposób informacje wyłącznie dla potrzeb kontroli, audytu, odbiorów lub innych działań realizowanych przez Zamawiającego.
10.4. Pozyskanie informacji niezbędnych do dokonania kontroli lub przeprowadzenia audytu nie może wiązać się dla Zamawiającego z dodatkowymi kosztami. W szczególności, na wniosek Zamawiającego Wykonawca zapewni obecność osób niezbędnych do zrealizowania zadań audytorskich w siedzibie Zamawiającego.
10.5. Wykonawca umożliwi Zamawiającemu przeprowadzenie do 2 audytów w ciągu 1 roku obowiązywania umowy.
11. Wymagania dodatkowe
11.1. Cała dokumentacja powinna być dostarczana w edytowalnej postaci elektronicznej, w
formacie przetwarzanym przez MS Word, Excel (od wersji 2007) lub PDF.
11.2. Zamawiający wymaga zatrudnienia przez Wykonawcę na podstawie umowy o pracę przez cały okres realizacji zamówienia 2 (dwóch) osób, wykonujących usługi w zakresie czynności Pierwszej Linii Wsparcia związanych z obsługą realizacji przedmiotu zamówienia, jeżeli wykonywane przez nich czynności polegają na wykonywaniu pracy w rozumieniu przepisu art. 22
§ 1 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (t. j. Dz. U. z 2018 r., poz. 917, z późn. zm.). Zamawiający uzna za spełniony obowiązek zatrudnienia osób wykonujących usługi w zakresie czynności pierwszej linii wsparcia przy realizacji przedmiotu zamówienia na podstawie umowy o pracę w przypadku, gdy Wykonawca skieruje do realizacji zamówienia własnych pracowników (dwóch) lub pracowników zatrudnionych na umowę o pracę. Zamawiający nie będzie ingerować w sposób prowadzenia działalności oraz organizację pracy administracyjno-biurowej Wykonawcy.
11.3. Wykonawca zobowiązany zostanie do przestrzegania polityki bezpieczeństwa opisanej w Polityce Bezpieczeństwa Informacji dla dostawców, która zostanie stanowiącej załącznik do umowy. O zmianach polityki mogących mieć wpływ na realizację umowy Wykonawca zostanie bezzwłocznie poinformowany.