Grįžti į sąrašą

Privilegijuotų paskyrų valdymo sprendimas (PAM)

Išanalizuota

VILNIAUS MIESTO SAVIVALDYBĖS ADMINISTRACIJA

Rinkos konsultacijaCPV: 72263000 - Programinės įrangos diegimo paslaugos
ID: 66719662026-02-24 14:45
Atidaryti CVP IS

Aprašymas

Perkamas privilegijuotų teisių valdymo (PAM) sprendimas VšĮ Karoliniškių poliklinikai, apimantis įsigijimą ir diegimo paslaugas. Šis sprendimas veiks debesijos pagrindu ir bus skirtas saugiam administratoriaus paskyrų, slaptažodžių bei prieigų valdymui ir stebėsenai.

Kvalifikaciniai reikalavimai

  • 1Tiekėjas turi turėti privilegijuotų teisių valdymo (PAM) diegimo specialistą, kuris per pastaruosius 3 metus yra įgyvendinęs bent vieną PAM projektą, kurio vertė buvo ne mažesnė kaip 15 000,00 EUR be PVM.
  • 2Tiekėjas turi turėti sertifikuotą projektų vadovą, kuris per pastaruosius 3 metus vadovavo bent vienam privilegijuotų teisių valdymo diegimo projektui, kurio vertė buvo ne mažesnė kaip 15 000,00 EUR be PVM.

Techniniai reikalavimai

Valdymas

  • 1Visi siūlomi moduliai (jei siūloma Sistema sudaryta iš atskirų modulių) turi būti tarpusavyje suderinami.
  • 2Visi sistemos komponentai turi būti prijungti prie Sistemos centralizuoto valdymo.
  • 3Sistema turi leisti naudoti specializuotus (programiškai aprašytus) vykdomuosius automatizacijos scenarijus (scripts) nestandartiniams prisijungimams valdyti.

Integracijos

  • 1Sistema turi integruotis su LDAP / Active Directory direktorijomis privilegijuotų naudotojų teisių priskyrimui bei pakeitimui.
  • 2Sistema turi leisti naudoti aplikacijų programines sąsajas (API).
  • 3API turi palaikyti pagrindines programavimo kalbas .NET, JAVA arba lygiavertes.
  • 4API turi būti apsaugotas SSL/TLS.
  • 5Sistema turi būti integruojama su SSO (single sign on) sistemomis.
  • 6Sistema turi siųsti el. pašto pranešimus.
  • 7Sistema turi integruotis su HSM.
  • 8Sistema turi palaikyti integraciją su IT užklausų valdymo sistema (ITSM).

Grafinė sąsaja

  • 1Sistema turi turėti grafinę naudotojų sąsają, pasiekiamą saugiu HTTPS protokolu interneto naršykle ir nereikalauti nesaugių trečių šalių technologijų, tokių kaip Flash, ActiveX ar JAVA.

Sistemos saugumas

  • 1Sistema turi būti suderinama su LDAP autentifikacijos sprendimu.
  • 2Turi būti kelių faktorių autentifikavimas (MFA). Funkcionalumas turi leisti integruoti su trečių šalių MFA sprendimais, kurie veikia naudodami nuo laiko priklausomus vienkartinius slaptažodžius (time based onetime password), ir aparatinio autentifikavimo FIDO2 palaikymas.
  • 3Komunikacijos tarp sistemos komponentų turi būti atliekamos šifruotais ryšio kanalais.
  • 4Turi būti galimybė slėpti privilegijuotų naudotojų valdomų paskyrų slaptažodžius.
  • 5Sistema turi leisti naudotojui prisijungti prie valdomų paskyrų nepateikiant slaptažodžio.
  • 6Sistema turi užtikrinti slaptažodžių, įrašytų sesijų ir audito pranešimų saugumą.
  • 7Sistema turi panaikinti naudotojo sesiją į Sistemos web portalą po nustatyto neaktyvumo laiko.
  • 8Turi būti galima nurodyti iš kokių IP adresų galima jungtis prie slaptažodžių spintos (Vault).
  • 9Sistema turi gebėti aptikti kenksmingus veiksmus ir atakas, susijusias su privilegijuotomis paskyromis.

Sistemos paskirtis

  • 1Sistema skirta privilegijuotų paskyrų (administratorių) valdymui, užtikrinanti naudotojų prisijungimų kontrolę prie resursų bei saugų slaptažodžių maskavimą ir valdymą.
  • 2Sistema turi leisti valdyti privilegijuotų naudotojų teises ir prieigas.
  • 3Sistema turi užtikrinti privilegijuotų naudotojų teisių stebėseną.
  • 4Sistema turi užtikrinti privačių SSH raktų saugumą.
  • 5Sistema turi užtikrinti saugią prieigą prie valdomų resursų.
  • 6Sistema turi valdyti trečiųjų šalių prieigą prie resursų.
  • 7Sistema turi užtikrinti privilegijuotų naudotojų veiksmų atsekamumą.

Naudotojų valdymas

  • 1Sistema turi leisti valdyti naudotojų paskyras Windows ir Linux operacinėse sistemose.
  • 2Sistema turi leisti valdyti naudotojų paskyras Microsoft SQL, Microsoft SQL Cluster Service, MySQL, PostgreSQL duomenų bazėse.
  • 3Sistema turi leisti valdyti naudotojų paskyras DELL iDRAC, HP iLO, Cisco CIMC infrastruktūros valdymo sprendimuose.
  • 4Sistema turi leisti valdyti naudotojų paskyras Cisco, Juniper, HPE, PaloAlto, Fortinet tinklo ir saugos sprendimuose.
  • 5Sistema turi leisti valdyti naudotojų paskyras Microsoft Services, Scheduled tasks, IIS application Pool, registries, Microsoft domain accounts moduliuose.
  • 6Sistema turi leisti valdyti naudotojų paskyras Active Directory direktorijose.
  • 7Sistema turi leisti valdyti naudotojų paskyras VMware vSphere, VMware ESXi, VMware vCenter, VMware Vcloud virtualios infrastruktūros sprendimuose.
  • 8Sistema turi leisti valdyti naudotojų paskyras WEB aplikacijose.

SSH raktų valdymas

  • 1Sistema turi leisti saugoti privačius SSH raktus apsaugotoje saugykloje.
  • 2Sistema turi leisti užtikrinti tokio lygio privačių SSH raktų apsaugą, kokia yra taikoma slaptažodžiams.

Palaikomi protokolai

  • 1Sistema be papildomų modulių / licencijų turi palaikyti SSH, RDP, HTTP/HTTPS protokolus.

Sistemos patikimumas

  • 1Debesijos (cloud-based) PAM sprendimas turi veikti aukšto pasiekiamumo (High Availability, HA) architektūroje, kuri garantuoja nenutrūkstamą paslaugos veikimą ir duomenų prieinamumą.
  • 2Tiekėjas privalo naudoti sertifikuotą ir patikimą debesijos infrastruktūrą, užtikrinančią SLA ne mažesnį kaip 99,9 % paslaugos pasiekiamumą.
  • 3Duomenų centrai turi būti geografiškai paskirstyti (multi-zone arba multi-region) siekiant užtikrinti atsparumą infrastruktūros sutrikimams.
  • 4PAM sprendimas turi turėti aukšto pasiekiamumo (HA) mechanizmus, įskaitant automatinį apkrovos balansavimą, paslaugų replikaciją ir automatinį atsistatymą po gedimo (failover).
  • 5Tiekėjas turi pateikti visas reikalingas licencijas siūlomam HA funkcionalumui užtikrinti ir jos turi galioti visą garantinį laikotarpį.

Ataskaitos ir auditas

  • 1Sistema turi pateikti paskyras, naudotas prisijungimams nurodytu laiko intervalu.
  • 2Sistema turi turėti galimybę pateikti paskyrų panaudojimo ir stebėsenos duomenis.
  • 3Sistema turi gebėti generuoti ataskaitas nurodytais laiko intervalais ar pagal pageidavimą.
  • 4Sistema turi leisti suformuoti prieigos, privilegijuotų naudotojų veiksmų, privilegijuotų paskyrų suvestinę ir valdomų aplikacijų suvestinę ataskaitas.
  • 5Sistema turi leisti sugeneruoti ataskaitas bent CSV formatu.
  • 6Sistema turi leisti generuoti ataskaitas apie prieigą prie valdomų sistemų.
  • 7Sistema turi leisti sugeneruoti ataskaitas apie prieigos prašymus.
  • 8Sistema turi leisti sugeneruoti ataskaitas apie nesėkmingas slaptažodžių užklausas ir nesėkmingus prisijungimus.
  • 9Audito informaciją turi būti galima eksportuoti į išorines sistemas ataskaitų generavimui ir analizei.
  • 10Sistema turi leisti siųsti ataskaitas arba nuorodas į jas el. paštu.

Bendrieji reikalavimai

  • 1Gamintojas nėra paskelbęs žinios apie siūlomos programinės įrangos gamybos arba tobulinimo nutraukimą (pvz., angl. end of life time arba Discontinued) ir kartu su pasiūlymu pateikti Programinės įrangos gamintojo patvirtinimą.
  • 2Programinės įrangos dokumentai, programinė įranga ir kompiuterių technikos sisteminiai pranešimai turi būti lietuvių arba anglų kalba.
  • 3Tiekėjas turi pateikti nuorodą į gamintojo interneto puslapį, kuriame yra tiksli pasiūlymą atitinkančios programinės įrangos techninė specifikacija. Jeigu sprendimui įgyvendinti reikalingas papildomas konfigūravimas, tiekėjas gali pateikti deklaraciją, patvirtinančią, kad šį sprendimą įgyvendins.
  • 4Tiekėjas turi užtikrinti, kad palaikomoje techninėje ar programinėje įrangoje nėra įdiegtas įtartinas, šnipinėjantis ar kokia kita kenkėjiška veikla užsiimantis programinis kodas, kuri nėra būtinas įrangos funkcionalumui užtikrinti.
  • 5Sprendimas turi veikti debesijos pagrindu, užtikrinant visų funkcijų prieinamumą per interneto naršyklę be papildomos kliento programinės įrangos diegimo. Nuotoliniu būdu valdomoje įrangoje ar sistemose slaptažodžių valdymui neturi būti diegiami agentai.
  • 6Į Sprendimo kainą turi būti įskaičiuota ne mažiau kaip 20 konsultavimo valandų eksploatavimo klausimais visu sutarties galiojimo laikotarpiu.
  • 7Perkančiosios organizacijos poreikiams turi būti atlikti sprendimo projektavimo darbai: suprojektuoti ir nubraižyti privilegijuotų paskyrų sprendimo pajungimo schemas, atitinkančias gerąsias gamintojo ir kibernetinio saugumo praktikas.
  • 8Perkančiosios organizacijos poreikiams turi būti atliktas sprendimo pradinis konfigūravimas pagal suderintą projektavimo dokumentaciją ir pagal geriausias gamintojo ir kibernetinio saugumo praktikas.
  • 9Perkančiosios organizacijos poreikiams turi būti atliktas trečių šalių prisijungimo sprendimo konfigūravimas.
  • 10Perkančiosios organizacijos poreikiams turi būti atliktas sprendimo atnaujinimas į naujausią stabilią versiją.
  • 11Perkančiosios organizacijos poreikiams turi būti sukonfigūruotas sistemos žurnalinių įrašų siuntimas į centralizuotą žurnalinių įrašų tarnybinę stotį.
  • 12Turi būti parengta techninė dokumentacija ir administravimo vadovas lietuvių kalba, pateikta elektroniniu formatu, aprašant įdiegtos įrangos atliktus darbus, schemas, sistemos konfigūraciją ir taisykles bei kitus reikalingus duomenis.
  • 13Turi būti atliktas įrangos testavimas, pabaigus diegimo darbus, pagal iš anksto suderintus testavimo scenarijus (aukšto patikimumo, našumo savybių ir pan.) ir pateikti testų rezultatai elektroniniu formatu.
  • 14Turi būti suorganizuoti perkančiosios organizacijos darbuotojų (ne mažiau 4 darbuotojų) siūlomo Sprendimo administravimo ir naudojimo mokymai, ne trumpesni nei 8 akademinės valandos.

Sistemos suderinamumas

  • 1Sistema turi pilnai veikti debesijos paslaugų pagrindu ir užtikrinti vartotojų prieigą „VPN-less“ principu, t. y. be poreikio naudoti virtualaus privataus tinklo (VPN) ryšį.

Stebėsena ir kontrolė

  • 1Sistema turi veikti kaip tarpinis taškas (jump, proxy) prisijungimams prie valdomų sistemų.
  • 2Sistema turi veikti be papildomų agentų diegimo stebimose sistemose.
  • 3Sistema turi gebėti įrašyti veiksmus, vykdomus Windows, UNIX/Linux, maršrutizatoriuose ir komutatoriuose, duomenų bazėse, Perkančiosios organizacijos naudojamuose virtualizacijos platformų valdymo sprendimuose (VMware), domeno valdikliuose.
  • 4Stebėsena neturi paveikti valdomos sistemos greitaveikos.
  • 5Turi būti galimybė stebėti valdomas sistemas nereikalaujant tinklo struktūros pakeitimų.
  • 6Sistema turi gebėti saugoti stebėsenos įrašus saugiame, šifruotame formate ir užtikrinti įrašų integralumą.
  • 7Sistema turi turėti detaliai pasirenkamą stebėsenos ir kontrolės audito mechanizmą ir sukauptų duomenų peržiūrą.
  • 8Sistema turi leisti atlikti vykdytų komandų paiešką įrašytose sesijose.
  • 9Sistema turi gebėti atvaizduoti įrašytas sesijas.
  • 10Sistema turi leisti matyti realiu laiku vykstančias sesijas ir jas nutraukti.
  • 11Sistema turi gebėti persiųsti detalią informaciją į SIEM sprendimus.
  • 12Sistema turi gebėti suspausti įrašus ilgalaikiam saugojimui.
  • 13Sistema turi išsaugoti visus naudotojo mygtukų paspaudimus.
  • 14Turi būti funkcionalumas leidžiantis HTTP/HTTPS sesijas apsaugoti nuo prisijungimo duomenų patekimo į administratoriaus darbo vietą.
  • 15Sistema turi leisti privilegijuotiems naudotojams pasiekti valdomas sistemas MS RDP ir SSH protokolais.

Prisijungimo duomenų valdymas

  • 1Sistema turi neleisti naudoti prieš tai buvusių slaptažodžių.
  • 2Sistema turi leisti naudoti keletą MS AD ar LDAP autentifikacijos valdymo sprendimų vienu metu.
  • 3Sistema turi leisti siųsti el. laiškus apie veiksmus su paskyromis.
  • 4Sistema turi užtikrinti unifikuotą prieigą prie nutolusių sistemų, neatskleidžiant prisijungimo duomenų privilegijuotam naudotojui, per įgaliotąjį serverį (proxy/jumphost).
  • 5Sistema turi turėti funkcionalumą leidžiantį sugeneruoti ir patikrinti slaptažodžius pagal iš anksto nustatytas taisykles.
  • 6Sistema turi leisti periodiškai keisti valdomų įrenginių paskyrų (account) slaptažodžius.
  • 7Sistema turi leisti pakeisti valdomų įrenginių paskyrų slaptažodį po panaudojimo.
  • 8Sistema turi identifikuoti privilegijuotas paskyras (pvz. administrator, root ir pan.) nurodytuose įrenginiuose.
  • 9Sistema turi leisti saugoti valdomų paskyrų slaptažodžių istoriją.
  • 10Sistema turi turėti funkcionalumą, leidžiantį įkelti valdomų įrenginių paskyrų sąrašą iš struktūrizuotos bylos.
  • 11Sistema turi turėti funkcionalumą valdomai paskyrai nurodyti viršesnę paskyrą, leidžiančią atstatyti slaptažodžius net jei valdoma paskyra yra blokuota ar slaptažodžiai nesutampa.
  • 12Sistema turi rinkti audito informaciją: valdomose sistemose atliktus veiksmus, paskyrų pakeitimus, slaptažodžių panaudojimą, slaptažodžių užklausas ir patvirtinimus, atmetimus.

Unix / Linux komandų valdymas

  • 1Sistema turi leisti nurodyti, kokias komandas privilegijuoti naudotojai gali vykdyti Unix/Linux tipo sistemose.
  • 2Sistema turi leisti kontroliuoti naudojamas SSH komandas naudojant „baltuosius“ ir „juoduosius“ sąrašus.
  • 3Sistema turi leisti įrašyti visas CLI vykdytas komandas.
  • 4Sistema turi leisti įrašyti visą įvesties ir išvesties tekstą CLI sąsajoje.

Saugus trečių šalių valdymas

  • 1Turi būti ne mažiau nei 20 (dvidešimt) trečiųjų šalių licencijų, užtikrinant bent 3 (trijų) iš jų prisijungimą prie nutolusių sistemų vienu metu nenaudojant VPN sprendimo (VPN-less). Turi būti sprendimo plėtimo galimybė įsigyjant papildomas licencijas.
  • 2Turi būti suteikta prisijungimų valdymo grafinė sąsaja veikianti žiniatinklio priemonėmis ir nereikalaujanti atskiro VPN.
  • 3Neturi reikėti diegti papildomos programinės įrangos kompiuteryje, išskyrus interneto naršyklę (sprendimas turi palaikyti ne mažiau kaip šias naršykles: Google Chrome, Microsoft Edge, Mozilla Firefox).
  • 4Trečioms šalims turi būti galimybė matyti apsaugotus išteklius, prie kurių suteikta teisė prisijungti.
  • 5Sprendimas turi būti pagrįstas viešosios debesijos pagrindu (SaaS).
  • 6Ryšys tarp trečios šalies, perkančiosios organizacijos ir viešosios debesijos sprendimo turi būti perduodamas saugiais šifruotais kanalais.
  • 7Turi būti galimybė generuoti ir siųsti kvietimus dėl prisijungimo prie sprendimo trečių šalių tiekėjams el. pašto pranešimais.
  • 8Turi būti galimybė riboti prisijungimo prieigas laike.
  • 9Jeigu galutinio ištekliaus techninės galimybės leidžia, turi būti galimybė slėpti prisijungimo prie apsaugoto išteklaus prisijungimo slaptažodį.
  • 10Sprendimas turi suteikti REST API sąsają vartotojų valdymo proceso automatizavimui.

Slaptažodžių prieigos valdymas

  • 1Siūlomo sprendimo administravimas turi turėti aiškiai išskirtas teises, kurios leistų realizuoti „keturių akių“ administravimo principą - vienas naudotojas suteikia super-administratoriaus teises, kitas tomis teisėmis pasinaudoja.
  • 2Sistema turi leisti privilegijuotam naudotojui užsakyti prieigą vėlesniam laikui.
  • 3Sistema turi audituoti kiekvieną slaptažodžio užklausą ir prieigos suteikimą.

Microsoft Windows operacinių sistemų valdymas

  • 1Sistema turi leisti kontroliuoti sistemas, neįtrauktas į domeną.
  • 2Sistema turi leisti fiksuoti naudotojų veiksmus stebimose Microsoft Windows aplikacijose.
  • 3Sistema turi leisti kontroliuoti lokalias administratorių paskyras.

Naudotojų autentifikavimas Sistemos web portale

  • 1Turi palaikyti lokalių naudotojų ir Microsoft Active Directory naudotojų prisijungimus į Sprendimo web portalą.

Garantiniai įsipareigojimai ir techninis aptarnavimas

  • 1Turi būti pateiktas 12 mėn. prenumeratos tipo (subscription) sprendimas su ne mažiau kaip 12 mėnesių gamintojo užtikrinta garantija (pradedant skaičiuoti nuo licencijų aktyvavimo dienos).
  • 2Garantijos metu turi būti nemokamai šalinami sprendimo gedimai, pateikiami programinės įrangos atnaujinimai (naujos versijos, klaidų pataisymai ir pan.) bei teikiama pagalba sprendžiant siūlomos programinės įrangos sutrikimus.
  • 3Garantiniu laikotarpiu turi galioti visos licencijos ir jų užtikrinami funkcionalumai.
  • 4Pirkėjui turi būti suteikta prieiga prie programinės įrangos kūrėjo/gamintojo klientų puslapio, kuriame galima rasti atsakymus į dažniausiai iškylančių Sistemos naudojimo klausimų duomenų bazę.
  • 5Tiekėjas arba gamintojas visą sutarties laikotarpį privalo užtikrinti techninės pagalbos teikimą internetu, telefonu ir elektroniniu paštu darbo dienomis darbo valandomis (8x5 paslaugų teikimo režimu), be papildomo apmokestinimo.

Naudotojų, valdomos įrangos, privačių raktų, sesijų skaičiai

  • 1Sistema turi leisti ja naudotis ne mažiau kaip 8 naudotojų (administratorių).
  • 2Sistema turi leisti naudoti ir stebėti ne mažiau kaip 10 aktyvių sesijų vienu metu.
  • 3Sistema turi leisti valdyti ne mažiau kaip 1000 įrenginių.
  • 4Sistema turi leisti valdyti ne mažiau 30000 privačių raktų / slaptažodžių.
  • 5Sistema turi leisti valdyti ne mažiau nei 10 valdomų sisteminių vartotojų (Windows OS ir Unix/Linux OS).
  • 6Sistema turi palaikyti neribojamą politikų ir nustatymų skaičių.

Dokumentai3

  • 2_PAM_techninė_specifikacija.pdf
  • 1_Rinkos konsultacija_kvietimas.docx
  • 1010_6671966.pdf
tendis.lt · Sukurta recodin.lt