Grįžti į sąrašą

Saugumo operacijų centro paslaugų pirkimas

Išanalizuota

Kauno miesto savivaldybės administracija

120 000
Rinkos konsultacijaCPV: 72500000 - Su kompiuteriais susijusios paslaugos
ID: 68646572026-03-09 14:58
Atidaryti CVP IS

Aprašymas

Kauno miesto savivaldybės administracija planuoja įsigyti Saugumo operacijų centro (SOC) paslaugas. Šios paslaugos skirtos savivaldybės informacinių sistemų, tinklų ir informacijos saugumo įvykių stebėsenai, analizei bei kibernetinių incidentų valdymui ir reagavimo koordinavimui. Pirkimo tikslas – užtikrinti savalaikį grėsmių aptikimą ir sumažinti galimą kibernetinių incidentų poveikį.

Kvalifikaciniai reikalavimai

  • 1Tiekėjas per pastaruosius 3 metus iki pasiūlymų pateikimo termino pabaigos arba per laiką nuo tiekėjo įregistravimo dienos (jeigu tiekėjas vykdė veiklą mažiau nei 3 metus), pagal 1 (vieną) ar daugiau sutarčių yra savo jėgomis suteikęs žurnalinių įrašų surinkimo ir/ar kibernetinių grėsmių ir/ar incidentų stebėsenos ir/ar kibernetinių grėsmių ir/ar incidentų identifikavimo, reagavimo ir/ar incidentų sprendimo paslaugų, kurių bendra vertė yra ne mažesnė kaip 50 000 Eur be PVM.
  • 2Tiekėjas turi paskirti ne mažiau kaip 1 (vieną) projekto vadovą, kuris per pastaruosius 3 metus iki pasiūlymo pateikimo termino pabaigos turi darbo patirtį projekto vadovo arba saugumo operacijų centro (SOC) komandos vadovo pareigose bent 1 (vienoje) įvykdytoje arba vykdomoje sutartyje, kurios vykdymo metu buvo teikiamos žurnalinių įrašų surinkimo ir/ar kibernetinių grėsmių ir/ar incidentų stebėsenos ir/ar identifikavimo ir/ar reagavimo ir/ar sprendimo paslaugos.
  • 3Tiekėjas turi paskirti ne mažiau kaip 1 (vieną) saugos informacijos įvykių surinkimo sistemos (SIEM) diegimo ir administravimo specialistą, kuris per pastaruosius 3 metus iki pasiūlymo pateikimo termino pabaigos turi darbo patirtį saugos informacijos įvykių surinkimo sistemos diegimo ir/ar konfigūravimo ir/ar administravimo pareigose bent 1 (vienoje) įvykdytoje arba vykdomoje sutartyje, kurios vykdymo metu buvo teikiamos saugos įvykių surinkimo ir/ar stebėsenos ir/ar analizės paslaugos.
  • 4Tiekėjas turi paskirti ne mažiau kaip 1 (vieną) kibernetinio saugumo arba incidentų tyrimo specialistą, kuris per pastaruosius 3 metus iki pasiūlymo pateikimo termino pabaigos turi darbo patirtį kibernetinio saugumo arba incidentų tyrimo specialisto pareigose bent 1 (vienoje) įvykdytoje arba vykdomoje sutartyje, kurios vykdymo metu buvo teikiamos žurnalinių įrašų surinkimo ir/ar kibernetinių grėsmių ar incidentų identifikavimo, reagavimo ir/ar incidentų sprendimo paslaugos, šiam specialistui dalyvaujant kibernetinio saugumo incidentų valdymo komandos (angl. Cybersecurity Incident Response Teams – CSIRT) ar kibernetinės saugos operacijų centro (angl. Security Operations Centre – SOC) veikloje.
  • 5Tiekėjas turi paskirti ne mažiau kaip 1 (vieną) saugumo analitiką, kuris per pastaruosius 3 metus iki pasiūlymo pateikimo termino pabaigos turi darbo patirtį saugumo analitiko pareigose bent 1 (vienoje) įvykdytoje arba vykdomoje sutartyje, kurios apimtyje buvo teikiamos saugumo įvykių stebėsenos ir/ar analizės ir/ar kibernetinių incidentų identifikavimo paslaugos, ir turintį tarptautiniu mastu pripažįstamą kibernetinio saugumo analitiko kvalifikaciją, patvirtintą vienu iš šių sertifikatų arba lygiaverčiu dokumentu: CompTIA Advanced Security Practitioner (CASP+) ar EC-Council Certified Incident Handler (ECIH) ar CompTIA Cybersecurity Analyst (CySA+), IBM Certified SOC Analyst, ar kitu lygiaverčiu sertifikatu.
  • 6Tiekėjas yra įsidiegęs veikiančią informacijos saugumo valdymo sistemą informacinių technologijų srityje pagal LST EN ISO/IEC 27001 arba lygiavertį standartą.

Techniniai reikalavimai

Tinklo srauto analizė

  • 1Paslaugų teikėjas turi vykdyti kompiuterinio tinklo srauto analizę, skirtą kibernetinio saugumo įvykių ir incidentų identifikavimui.
  • 2Kritinio ir aukšto kritiškumo saugumo įvykių ir kibernetinių incidentų analizė ir informavimas vykdomi 24/7/365.
  • 3Vidutinio ir žemo kritiškumo saugumo įvykių analizė ir informavimas vykdomi darbo dienomis 08:00–17:00, jeigu sutartyje nenustatyta kitaip.
  • 4Automatiniai aptikimo mechanizmai veikia nuolat (24/7/365).
  • 5Kompiuterinio tinklo srautas analizės tikslais turi būti nukreipiamas, naudojant tinklo srauto kopijavimo ar stebėsenos technines priemones (pvz., port mirroring, network tap ar lygiaverčius sprendimus).
  • 6Kompiuterinio tinklo srauto analizė turi būti vykdoma nekeičiant Perkančiosios organizacijos tinklo architektūros ir netrikdant tinklo paslaugų veikimo.
  • 7Kompiuterinio tinklo srauto analizės metu turi būti sudaroma galimybė realiuoju laiku identifikuoti kibernetinio saugumo grėsmes ir įtartiną veiklą Perkančiosios organizacijos tinkle.
  • 8Kompiuterinio tinklo srauto analizė turi sudaryti galimybę identifikuoti: neteisėtą komunikaciją su blogos reputacijos išoriniais šaltiniais; vidinės komunikacijos keliamas kibernetines grėsmes; rizikas, susijusias su DNS, SMTP, HTTP protokolų naudojimu; HTTPS srauto patikimumą, vertinant sertifikatus ir IP adresus; vidinio tinklo įrenginių apžvalgą ir analizę pagal Perkančiosios organizacijos poreikius; paslaugų trikdymo atakas (DDoS); komunikacijos nuokrypius nuo įprastos įrangos ar naudotojų veiklos; neatnaujintos ar pažeidžiamos programinės įrangos, komunikuojančios su išoriniais šaltiniais ar debesijos paslaugomis, požymius; duomenų perdavimo per tinklą aptikimą ir jų analizę, įskaitant galimai kenkėjiškų duomenų identifikavimą; komunikaciją su komandų ir valdymo (C2) serveriais, remiantis elgsenos modeliais ar indikatoriais kompromitacijai (IOC); tinklo įrangos ar paslaugų skenavimo veiklą; neautorizuotos įrangos prisijungimą prie tinklo ir jos identifikavimą; netipinių protokolų ar užmaskuoto tinklo srauto (tunneling) naudojimą; prieigos prie jautrių sistemų ar paslaugų iš netipinių šaltinių ar neįprastu laiku analizę; įtartinus prisijungimų bandymus; automatizuotą incidentų klasifikavimą ir prioritetų nustatymą.

Pažeidžiamumų valdymas

  • 1Paslaugų teikėjas turi vykdyti Perkančiosios organizacijos kompiuterinių tinklų ir informacinių sistemų pažeidžiamumų aptikimą, siekiant nustatyti saugumo spragas, kurios galėtų būti išnaudotos vidinių ar išorinių kibernetinių atakų metu.
  • 2Pažeidžiamumų aptikimo metu turi būti identifikuojami informacinių sistemų, tarnybinių stočių, darbo vietų, tinklo ir saugos įrangos pažeidžiamumai ir vertinamas nustatytų pažeidžiamumų kritiškumas.
  • 3Paslaugų teikėjas turi vykdyti reguliarų ekspertinį pažeidžiamumų vertinimą, atsižvelgiant į infrastruktūros pokyčius, naujai atsiradusias grėsmes ir nustatytų pažeidžiamumų dinamiką.
  • 4Pažeidžiamumų aptikimas turi būti pritaikytas Perkančiosios organizacijos IT infrastruktūrai, įskaitant, bet neapsiribojant: operacinių sistemų (pvz., „Windows“, „Linux“); tinklo ir saugos įrangos; taikomųjų informacinių sistemų ir kitų naudojamų technologijų.
  • 5Apie nustatytus pažeidžiamumus Paslaugų teikėjas turi pateikti rekomendacijas jų šalinimui, įskaitant prioritetų nustatymą pagal kritiškumą.
  • 6Pažeidžiamumų aptikimo paslauga neturi apimti aktyvaus pažeidžiamumų šalinimo ar sistemų konfigūracijų keitimo, jeigu tokie veiksmai nėra aiškiai suderinti su Perkančiąja organizacija.
  • 7Tinklų ir informacinių sistemų pažeidžiamumų skenavimas turi būti vykdomas ne rečiau kaip 1 kartą per 6 (šešis) mėnesius.

Incidentų tyrimas ir valdymas

  • 1Esant faktiniam poreikiui ir Perkančiosios organizacijos užsakymu, Paslaugų teikėjas turi atlikti kibernetinio incidento nuodugnų tyrimą.
  • 2Kibernetinio incidento tyrimas turi apimti: su incidentu susijusių saugumo įvykių ir duomenų analizę; incidento eigos, galimų priežasčių ir poveikio Perkančiosios organizacijos sistemoms vertinimą; incidento metu naudotų atakos metodų ir technikų analizę (jeigu nustatoma).
  • 3Atlikus kibernetinio incidento tyrimą, Paslaugų teikėjas turi pateikti incidento tyrimo ataskaitą, kurioje pateikiama: incidento aprašymas; nustatyti faktai ir išvados; rekomendacijos dėl tolimesnių veiksmų ir rizikų mažinimo.
  • 4Kibernetinių incidentų tyrimai atliekami pirkimo sutarties galiojimo laikotarpiu pagal Perkančiosios organizacijos poreikį.
  • 5Kibernetinio incidento tyrimo paslauga neturi apimti teisminių ar skaitmeninės forensikos veiksmų, jeigu tokie veiksmai nėra aiškiai numatyti sutartyje.
  • 6Paslaugų teikėjas privalo teikti Perkančiajai organizacijai incidento pranešimų parengimui reikalingą informaciją ir analitinę medžiagą, kad Perkančioji organizacija galėtų įvykdyti pranešimo Nacionaliniam kibernetinio saugumo centrui (NKSC) pareigą (kai taikoma).
  • 7Nustačius incidentą, kuris gali atitikti reikšmingo kibernetinio incidento požymius, Paslaugų teikėjas privalo nedelsdamas, bet ne vėliau kaip per 24 (dvidešimt keturias) valandas nuo sužinojimo momento, pateikti Perkančiajai organizacijai pirminę informaciją ankstyvajam perspėjimui (kai taikoma pagal KSĮ).
  • 8Paslaugų teikėjas privalo pateikti Perkančiajai organizacijai atnaujintą incidento vertinimą ir faktinius duomenis, reikalingus pranešimui, ne vėliau kaip per 72 (septyniasdešimt dvi) valandas nuo sužinojimo momento, įskaitant pirminį poveikio / sunkumo vertinimą ir (jei yra) turimus kompromitavimo įrodymus.
  • 9Paslaugų teikėjas privalo bendradarbiauti rengiant tarpines / pažangos / galutinę ataskaitą (galutinė – per 1 mėn., o jei incidentas tebevyksta – pažangos ataskaita ir galutinė per 1 mėn. nuo suvaldymo).
  • 10Perkančiosios organizacijos užsakymu Paslaugų teikėjas turi užtikrinti kibernetinių incidentų registravimą automatiniu būdu KSIS veikiančioje Nacionalinėje kibernetinių incidentų valdymo platformoje, naudojant automatizuotas informacijos perdavimo sąsajas.
  • 11Jei incidentas tęsiasi, Paslaugų teikėjas privalo teikti Perkančiajai organizacijai tarpinę (pažangos) ataskaitą, o galutinę ataskaitą – ne vėliau kaip per 1 (vieną) mėnesį nuo incidento suvaldymo, pateikiant informaciją, reikalingą Perkančiajai organizacijai įvykdyti KSĮ nustatytas pareigas (kai taikoma).

Bendrieji paslaugų reikalavimai

  • 1Pirkimo objektas - Saugumo operacijų centro (SOC) paslaugos, skirtos Pirkėjo valdomų informacinių sistemų, tinklų ir informacijos saugumo įvykių stebėsenai, analizei, incidentų valdymui ir reagavimo koordinavimui.
  • 2Paslaugos apima visumą veiklų, reikalingų nuolatiniam kibernetinio saugumo užtikrinimui, įskaitant: saugos informacijos ir įvykių surinkimą, koreliavimą ir analizę; saugos analitiką ir grėsmių vertinimą; kibernetinių incidentų identifikavimą, analizę ir sprendimo koordinavimą; informavimą apie nustatytus saugos incidentus; reagavimo rekomendacijų teikimą; ataskaitų ir konsultacijų teikimą.
  • 3Paslaugos teikiamos nuotoliniu būdu, naudojant Paslaugų teikėjo technines ir programines priemones, taip pat Perkančiosios organizacijos infrastruktūrą, kiek tai būtina šioms paslaugoms teikti.

XDR saugumo analitikos paslaugos

  • 1Paslaugų teikėjas turi teikti XDR saugumo analitikos paslaugą, apimančią Perkančiosios organizacijos naudojamų galinių taškų, serverių ir kitų informacinių sistemų saugumo įvykių analizę.
  • 2Perkančiosios organizacijos naudojamo XDR sprendimo generuojamų saugumo pranešimų (angl. alerts) analizė.
  • 3XDR sprendimo nustatytų atakos veiksmų sekų ir konteksto vertinimas.
  • 4XDR analitika turi sudaryti galimybę identifikuoti kenkėjišką veiklą galiniuose taškuose, nustatyti galimus atakų plitimo scenarijus ir susieti XDR duomenis su kitais saugumo įvykių šaltiniais (žurnalinių įrašų ir tinklo srauto analize).
  • 5XDR sprendimo analizės taisyklių pritaikymas Perkančiosios organizacijos IT infrastruktūros ypatumams.
  • 6XDR sprendimo veikimo stebėsena ir informavimas apie nustatytas technines problemas ar reikšmingus pokyčius.
  • 7Esminė informacija, gauta XDR analitikos metu, turi būti įtraukiama į periodines Paslaugų teikimo ataskaitas ir naudojama bendrame kibernetinių incidentų analizės ir vertinimo procese.
  • 8XDR paslauga neturi apimti aktyvių reagavimo veiksmų (pvz., galinių taškų blokavimo ar automatizuoto poveikio šalinimo), jeigu tokie veiksmai nėra aiškiai suderinti su Perkančiąja organizacija.

Paslaugų lygio susitarimai (SLA)

  • 1Paslaugų teikėjas privalo užtikrinti kibernetinio saugumo įvykių ir incidentų identifikavimą bei informavimą pagal nustatytus reakcijos laikus (SLA).
  • 2Reakcijos laikai Kritinio ir Aukšto kritiškumo saugumo įvykiams ir kibernetiniams incidentams taikomi 24 valandas per parą, 7 dienas per savaitę (24/7/365).
  • 3Vidutinio ir Žemo kritiškumo saugumo įvykiams reakcijos laikai taikomi darbo dienomis nuo 08:00–17:00 val., jeigu sutartyje nenustatyta kitaip.
  • 4Automatiniai pranešimai apie saugumo įvykius teikiami nuolat (24/7/365).
  • 5Kibernetinio saugumo įvykių ir incidentų kritiškumas nustatomas pagal Paslaugų teikėjo naudojamus analizės kriterijus ir metodiką, suderintą su Perkančiąja organizacija.
  • 6Pranešimuose apie nustatytus saugumo įvykius ar incidentus turi būti pateikiama bent ši informacija: įvykio ar incidento aprašymas; nustatytas kritiškumo lygis; paveiktos sistemos ar įrenginiai (jeigu nustatyta); rekomenduojami tolimesni veiksmai.
  • 7Paslaugų teikėjas privalo užtikrinti SLA laikymosi stebėseną ir informaciją apie SLA vykdymą pateikti periodinėse (mėnesinėse) ataskaitose.
  • 8SLA rodikliai taikomi Paslaugų teikėjo teikiamoms SOC paslaugoms ir netaikomi techninių veiksmų įgyvendinimui Perkančiosios organizacijos infrastruktūroje, jeigu tokie veiksmai nėra aiškiai numatyti sutartyje.
  • 9Kritinis / Aukštas grėsmės kritiškumo lygis: identifikavimo laikas iki 1 val., pranešimo laikas iki 2 val., paslaugų lygio tikslas ≥ 95 %, komunikacijos kanalas – pranešimas el. paštu (esant poreikiui – papildomas informavimas telefonu ar SMS).
  • 10Vidutinis grėsmės kritiškumo lygis: identifikavimo laikas iki 3 val., pranešimo laikas iki 6 val., paslaugų lygio tikslas ≥ 95 %, komunikacijos kanalas – pranešimas el. paštu.
  • 11Žemas grėsmės kritiškumo lygis: identifikavimo laikas iki 8 val., pranešimo laikas iki 16 val., paslaugų lygio tikslas ≥ 95 %, komunikacijos kanalas – informacija pateikiama mėnesinėje Paslaugų teikimo ataskaitoje.

Paslaugų diegimo ir teikimo terminai

  • 1Paslaugų teikėjas privalo atlikti Paslaugoms teikti reikalingos programinės įrangos diegimą ir pradinį konfigūravimą ne vėliau kaip per 1 (vieną) mėnesį nuo pirkimo sutarties įsigaliojimo dienos.
  • 2Pilnas Paslaugų teikimas pagal šios techninės specifikacijos reikalavimus turi būti pradėtas ne vėliau kaip per 2 (du) mėnesius nuo pirkimo sutarties įsigaliojimo dienos.
  • 3Paslaugų teikimo trukmė – 12 (dvylika) mėnesių nuo pirkimo sutarties įsigaliojimo dienos.

Automatizuoti pranešimai apie įvykius

  • 1Paslaugų teikėjas turi užtikrinti automatinių pranešimų apie kibernetinio saugumo įvykius ir incidentus generavimą ir pateikimą Perkančiajai organizacijai.
  • 2Automatiniai pranešimai turi būti teikiami nuolat (24/7/365) pagal nustatytas ir aktyvuotas aptikimo taisykles.
  • 3Automatiniai pranešimai turi būti siunčiami elektroniniu paštu, pateikiant ne mažiau kaip šią informaciją: aptikto įvykio ar incidento tipą; trumpą įvykio aprašymą; paveiktą sistemą ar įrenginį (jeigu nustatyta); įvykio aptikimo laiką; pirminį grėsmės vertinimą (jeigu taikoma).
  • 4Automatiniai pranešimai turi būti generuojami, įskaitant, bet neapsiribojant, šiais atvejais: aptinkamas nebūdingas naudotojų elgesys ar administratorių piktnaudžiavimas; sukuriamos ar keičiamos privilegijuotos naudotojų paskyros; atliekami reikšmingi saugumo ar konfigūracijų pakeitimai (pvz., grupinės politikos); aptinkama nepatvirtinta naudoti programinė įranga; nustatoma komunikacija su blogos reputacijos išoriniais šaltiniais.
  • 5Automatiniai pranešimai neturi pakeisti kibernetinio saugumo analitikų atliekamos saugumo įvykių analizės ir incidentų vertinimo pagal šios techninės specifikacijos reikalavimus.

Žurnalinių įrašų valdymas ir analizė

  • 1Nuolatinis žurnalinių įrašų (angl. logs) surinkimas, koreliavimas ir analizė bei pranešimų apie kibernetinio saugumo grėsmes ir incidentus teikimas iš kritinių žurnalinių įrašų šaltinių, įskaitant: tinklo perimetro ir saugos įrenginius; tarnybines stotis; taikomąsias informacines sistemas; kompiuterines darbo vietas; saugos užtikrinimo priemones.
  • 2Žurnalinių įrašų surinkimas, naudojant universalius ir plačiai taikomus protokolus, agentus ar kitas technines priemones (pvz., Syslog, Beats, Winlogbeat, Filebeat, Auditbeat, NXLog ar lygiaverčius sprendimus).
  • 3Struktūrizuotų ir nestruktūrizuotų žurnalinių įrašų normalizavimas į vieningą analizės formatą (pvz., CIM, LEEF, CEF ar lygiaverčius).
  • 4Kritinių žurnalinių įrašų šaltinių prioritetizavimas, sudarant galimybę taikyti aukštesnį aptikimo jautrumą ar trumpesnius reagavimo terminus (SLA).
  • 5Galimybė identifikuoti kibernetines grėsmes pagal susijusių įrenginių žurnalinių įrašų seką ir kontekstą.
  • 6Automatinis pranešimų apie nustatytus kibernetinio saugumo incidentus ir jų kontekstą siuntimas elektroniniu paštu.
  • 7Žurnalinių įrašų gavimo nutraukimo, sutrikimų ar nereguliarumo aptikimas (log source heartbeat monitoring).
  • 8Žurnalinių įrašų, susijusių su saugos spragomis, konfigūracijos klaidomis ar Paslaugų nestabilumu, įtraukimas į bendrą grėsmių analizę.
  • 9Galimybė laikinai arba dinamiškai prijungti papildomus žurnalinių įrašų šaltinius incidentų tyrimo metu.
  • 10Grėsmių žvalgybos (Threat Intelligence) integracija žurnalinių įrašų analizėje.
  • 11Tikslinis žurnalinių įrašų rinkimas iš Perkančiosios organizacijos naudojamų debesijos paslaugų, įskaitant Microsoft 365 aplinkas.
  • 12Žurnalinių įrašų saugojimas Paslaugų teikėjo naudojamose sistemose ne trumpiau kaip 90 (devyniasdešimt) kalendorinių dienų, užtikrinant, kad saugojimo laikotarpiu žurnaliniai įrašai nebūtų sunaikinti ar pakeisti.
  • 13Žurnalinių įrašų vientisumo ir apsaugos nuo neteisėto pakeitimo užtikrinimas Paslaugų teikėjo naudojamose sistemose bei galimybė Perkančiajai organizacijai gauti žurnalinių įrašų išrašus ar eksportus incidentų tyrimo ir analizės tikslais.
  • 14Nustačius, kad kritinis žurnalinių įrašų šaltinis nustojo teikti duomenis ar duomenų teikimas tapo nereguliarus, Paslaugų teikėjas privalo apie tai informuoti Perkančiąją organizaciją ne vėliau kaip per Paslaugų sutartyje nustatytą reagavimo terminą.
  • 15Paslaugų teikėjas turi užtikrinti, kad Perkančiosios organizacijos tinklų ir informacinių sistemų įvykiams būtų priskiriamos tiksliai sinchronizuotos laiko žymos (timestamp), o žurnalinių įrašų laiko tikslumas būtų užtikrinamas naudojant patikimus laiko sinchronizavimo mechanizmus (pvz., NTP ar lygiaverčius sprendimus).
  • 16Dėl trikdžių nustojus fiksuoti ar gauti auditui skirtus žurnalinius įrašus, apie tai turi būti suformuotas automatinis pranešimas (alert), o Perkančioji organizacija informuojama nedelsiant, bet ne vėliau kaip per 1 darbo dieną.
  • 17Naudojimasis žurnaliniais įrašais (peržiūra, eksportas) turi būti kontroliuojamas ir fiksuojamas (audit trail), o prieiga suteikiama tik Perkančiosios organizacijos įgaliotiems asmenims.
  • 18Žurnalinių įrašų koreliavimas ir analizė turi sudaryti galimybę identifikuoti vidines ir išorines kibernetines grėsmes, susijusias su kenkėjiška veikla, technologiniais procesais ir žmogiškosiomis klaidomis.
  • 19Automatinis žurnalinių įrašų koreliavimas pagal MITRE ATT&CK technikas ir taktikas.
  • 20Saugumo incidentų sekų (angl. kill chain) rekonstrukcija iš daugelio žurnalinių įrašų šaltinių.
  • 21Neautorizuotų sistemų ar vartotojų veiksmų loginis susiejimas su galimomis grėsmėmis (angl. lateral movement).
  • 22Laikinų paskyrų ar techninių naudotojų piktnaudžiavimo stebėsena ir analizė.
  • 23Tikslinių ir pažangių nuolatinių atakų (APT) požymių identifikavimas, remiantis žurnalinių įrašų ir tinklo srauto duomenų koreliacija.
  • 24Technologinių anomalijų ir saugumo spragų identifikavimas.
  • 25Neteisėtos arba klaidingos autentifikacijos įvykių identifikavimas.
  • 26Kenkėjiškos veiklos IT infrastruktūroje nustatymas.
  • 27Saugumo politikų ir procedūrų pažeidimų identifikavimas.
  • 28Atakų iš elektroninio pašto kanalo identifikavimas.
  • 29Įsibrovimų į Perkančiosios organizacijos vidinį kompiuterinį tinklą nustatymas.
  • 30Neteisėtos veiklos Perkančiosios organizacijos kompiuteriniame tinkle ar įrangoje identifikavimas.
  • 31Kenkėjiško kodo veiklos identifikavimas.
  • 32Piktnaudžiavimo administracinėmis teisėmis (pvz., privilegijų eskalacija ar neautorizuoti veiksmai su sisteminiais resursais) identifikavimas.
  • 33Įtartino procesų paleidimo, scenarijų vykdymo ar administracinių įrankių naudojimo (pvz., PowerShell, WMI, PsExec) identifikavimas.
  • 34Netipinio naudotojų elgesio, susijusio su prisijungimo laikais, lokacijomis ar prieigomis prie sistemų, identifikavimas.
  • 35Galimų duomenų nutekėjimo požymių identifikavimas.
  • 36Grėsmių, kylančių dėl žmogiškųjų klaidų (neteisingos konfigūracijos, klaidingi leidimai, netyčinis jautrių duomenų perkėlimas), identifikavimas.
  • 37Atitikties politikų pažeidimų identifikavimas.

Integracija su esamomis saugos priemonėmis

  • 1Turima ESET Premium paslauga laikoma esamu Perkančiosios organizacijos saugumo sprendimu ir turi būti integruojama į SOC paslaugų teikimą.
  • 2Paslaugų teikėjas neturi teisės reikalauti įsigyti papildomų licencijų ar keisti šį sprendimą, jeigu Perkančioji organizacija raštu nenusprendžia kitaip.
  • 3Paslaugų teikėjas, teikdamas SOC paslaugas, privalo naudoti Turimos ESET Premium paslaugos metu gaunamą informaciją ir analizes bei užtikrinti šių duomenų apdorojimą, analizę, koreliaciją ir panaudojimą grėsmių identifikavimo, kibernetinių incidentų aptikimo, tyrimo ir reagavimo koordinavimo tikslais.
  • 4Turimos ESET Premium paslaugos metu gaunami saugumo pranešimai (alerts), įvykių, failų, procesų ir elgsenos analizės rezultatai turi būti laikomi lygiaverčiu SOC duomenų šaltiniu ir koreliuojami su kitais saugumo įvykių šaltiniais.
  • 5Paslaugų teikėjas privalo SOC paslaugų apimtyje naudoti ir administruoti ESET Inspect, įskaitant aptikimo taisyklių kūrimą ir koregavimą, išimčių (exceptions) kūrimą ir priežiūrą, ESET Inspect konfigūravimą ir optimizavimą.
  • 6Paslaugų teikėjas privalo SOC paslaugų apimtyje vykdyti ESET Protect & Inspect platformoje automatiškai generuojamų incidentų tyrimą ir sprendimą.
  • 7Turimos ESET Premium paslaugos metu atliekamos grėsmių medžioklės (Threat Hunting), failų analizės, įtartinos elgsenos analizės ir analitinio pobūdžio skaitmeninės ekspertizės rezultatai turi būti naudojami kibernetinių incidentų tyrimuose, saugumo rekomendacijų rengime ir periodinėse SOC ataskaitose.
  • 8Turimos ESET Premium paslaugos integravimas į SOC paslaugas reiškia, kad Paslaugų teikėjas privalo naudoti Perkančiosios organizacijos turimą ESET Premium paslaugą, nereikalaujant papildomų licencijų, alternatyvių saugumo sprendimų ar atskiro paslaugų pirkimo, nebent Perkančioji organizacija raštu nuspręstų kitaip.

Atsakomybės ir konfidencialumo reikalavimai

  • 1Paslaugų teikėjas yra atsakingas už: Paslaugų diegimą, konfigūravimą ir teikimą pagal šios techninės specifikacijos reikalavimus; kibernetinio saugumo įvykių ir incidentų identifikavimą, analizę ir informavimą pagal nustatytus SLA.
  • 2Perkančioji organizacija yra atsakinga už: savo valdomos IT infrastruktūros administravimą; rekomenduojamų techninių ar organizacinių priemonių įgyvendinimą, jeigu jos patenka į Perkančiosios organizacijos kompetenciją.
  • 3Paslaugų teikėjas ir Perkančioji organizacija įsipareigoja bendradarbiauti, keistis reikalinga informacija ir koordinuoti veiksmus, siekiant užtikrinti efektyvų Paslaugų teikimą ir kibernetinio saugumo incidentų valdymą.
  • 4Paslaugų teikėjas privalo užtikrinti Perkančiosios organizacijos informacijos (įskaitant žurnalinius įrašus, saugumo įvykių duomenis) konfidencialumą, vientisumą ir apsaugą, laikydamasis LR teisės aktų ir BDAR reikalavimų.
  • 5Paslaugų teikėjas privalo naudoti SOC paslaugų teikimo metu gautą informaciją ir duomenis išimtinai SOC paslaugų teikimo tikslais ir neturi teisės jų atskleisti tretiesiems asmenims, perduoti ar kitaip naudoti be išankstinio Perkančiosios organizacijos raštiško sutikimo, išskyrus atvejus, kai tai privaloma pagal teisės aktus.
  • 6Paslaugų teikėjas privalo užtikrinti, kad prieiga prie Perkančiosios organizacijos duomenų būtų suteikiama tik tiems Paslaugų teikėjo darbuotojams ar pasitelktiems specialistams, kuriems tokia prieiga yra būtina SOC paslaugoms teikti, ir kad šie asmenys būtų įsipareigoję laikytis konfidencialumo reikalavimų.
  • 7Paslaugų teikėjas privalo užtikrinti, kad jo darbuotojų ar pasitelktų specialistų prieiga prie Perkančiosios organizacijos informacinių sistemų ir duomenų būtų suteikiama taikant mažiausių teisių principą, naudojant individualias naudotojų paskyras, o privilegijuota prieiga – apsaugota daugiafaktorės autentifikacijos priemonėmis, jeigu tokios priemonės yra įdiegtos Perkančiosios organizacijos infrastruktūroje.
  • 8Paslaugų teikėjas negali pasitelkti subtiekėjų, kuriems būtų perduodami Perkančiosios organizacijos duomenys ar suteikiamos prieigos, be išankstinio Perkančiosios organizacijos raštiško sutikimo.
  • 9Paslaugų teikėjas privalo užtikrinti SOC paslaugos teikimo tęstinumą (paslaugos prieinamumą, atsargines priemones ir incidentų valdymą paslaugos teikėjo pusėje) ir apie reikšmingus sutrikimus, galinčius paveikti Paslaugų teikimą, informuoti Perkančiąją organizaciją.

Išplėstinė grėsmių analizė ir medžioklė

  • 1Paslaugų teikėjas turi vykdyti išplėstinę kibernetinių grėsmių analizę, remiantis surinktais žurnaliniais įrašais, tinklo srauto duomenimis ir kitais saugumo įvykių šaltiniais.
  • 2Analitinė veikla turi apimti nuodugnų saugumo įvykių ir duomenų vertinimą pagal kibernetinių grėsmių požymių duomenų bazes.
  • 3Analitinė veikla turi apimti galimybę koreliuoti skirtingų šaltinių duomenis siekiant nustatyti sudėtingas ar paslėptas grėsmes.
  • 4Turi būti sudaryta galimybė rinkti ir išsaugoti tinklo srauto duomenis (angl. PCAP) laikotarpiui nuo 1 (vienos) dienos iki 2 (dviejų) mėnesių incidentų tyrimo ar žalos vertinimo tikslais, esant Perkančiosios organizacijos poreikiui ir jai skyrus reikiamus techninius resursus.
  • 5Apie identifikuotas kibernetines grėsmes ir incidentus turi būti teikiami automatizuoti pranešimai elektroniniu paštu pagal nustatytas taisykles.
  • 6Paslaugų teikėjas turi rengti periodines (mėnesines) ataskaitas, kuriose pateikiama statistinė informacija apie nustatytus saugumo įvykius ir incidentus, jų pasiskirstymas pagal kritiškumą ir pagrindinės pastebėtos tendencijos.
  • 7Turi būti užtikrinta indikatorių kompromitacijai (IOC) automatinė koreliacija su realiuoju laiku gaunamais žurnaliniais įrašais ir tinklo srauto duomenimis.
  • 8Grėsmės turi būti klasifikuojamos pagal plačiai taikomus standartus (pvz., CVE identifikatorius, MITRE ATT&CK taksonomiją ar kitus lygiaverčius).
  • 9Turi būti sudaryta galimybė vykdyti retrospektyvinę analizę (angl. retrospective threat hunting), naudojant saugomus žurnalinius įrašus, tinklo srauto duomenis ir susijusius metaduomenis.
  • 10Analizei turi būti sudaryta galimybė naudoti užklausų kalbas (pvz., SPL, AQL, KQL, Kibana KQL, Elasticsearch DSL ar lygiavertes), skirtas didelių duomenų kiekių filtravimui ir analizei.
  • 11Turi būti palaikoma grėsmių žvalgybos (Threat Intelligence) integracija su išoriniais šaltiniais (pvz., MISP, AbuseIPDB, AlienVault OTX ar lygiaverčiais).
  • 12Turi būti sudaryta galimybė vykdyti grėsmių medžioklę (Threat Hunting), remiantis pasirenkamomis hipotezėmis, filtravimu ir koreliacija.
  • 13Turi būti sudaryta galimybė vizualizuoti įtartiną veiklą ir incidentų eigą, įskaitant įvykių sekų rekonstrukciją (pvz., laiko juostas, ryšių grafikus).
  • 14Turi būti sudaryta galimybė naudoti pasirinktines taisykles (pvz., Sigma, YARA, Suricata ar lygiavertes) grėsmių aptikimo ir analitikos tobulinimui.
  • 15Analitinė veikla turi apimti naudotojų ar įrenginių elgsenos anomalijų nustatymą (UEBA).
  • 16Turi būti sudaryta galimybė vykdyti pasirinktinius duomenų eksportus tyrimams ar integracijoms su kitomis sistemomis (pvz., JSON, CSV, PDF ataskaitos).

Reikalavimai programinei įrangai ir licencijoms

  • 1Paslaugų teikėjas privalo suteikti visą Paslaugoms teikti reikalingą programinę įrangą, technines priemones ir licencijas.
  • 2Paslaugų teikėjo naudojama programinė įranga turi sudaryti galimybę apdoroti Perkančiosios organizacijos infrastruktūroje generuojamus saugumo įvykius ir duomenų srautus.
  • 3Paslaugų teikėjo naudojama programinė įranga turi sudaryti galimybę vykdyti saugumo įvykių koreliaciją, analizę ir incidentų identifikavimą pagal šios techninės specifikacijos reikalavimus.
  • 4Paslaugų teikėjo naudojama programinė įranga turi turėti pakankamą pajėgumą, atitinkantį Perkančiosios organizacijos IT infrastruktūros mastą ir Paslaugų apimtį.
  • 5Programinė įranga turi užtikrinti ne mažiau kaip 2000 aktyvių IP adresų stebėseną.
  • 6Programinė įranga turi užtikrinti ne mažesnį kaip 20 000 EPS vidutinį apdorojimo pajėgumą, užtikrinant ne mažesnį kaip 30 000 EPS pikinį pajėgumą.
  • 7Programinė įranga turi užtikrinti ne mažesnį kaip 120 000 FPM vidutinį pajėgumą, su galimybe apdoroti ne mažiau kaip 200 000 FPM pikinę apkrovą.
  • 8Programinės įrangos pajėgumai turi būti pakankami visam Paslaugų teikimo laikotarpiui, atsižvelgiant į galimus Perkančiosios organizacijos IT infrastruktūros pokyčius.
  • 9Su Paslaugomis suteikiama programinė įranga ir licencijos nėra laikomos savarankišku pirkimo objektu, nėra perduodamos Perkančiajai organizacijai ir yra įtrauktos į Paslaugų kainą visam Paslaugų teikimo laikotarpiui.

Programinės įrangos diegimo ir talpinimo galimybės

  • 1Paslaugų teikėjo naudojama programinė įranga, skirta SOC paslaugoms teikti, gali būti diegiama ir talpinama Perkančiosios organizacijos duomenų centre (suteikiant visas reikalingas licencijas) arba talpinama Paslaugų teikėjo valdomame duomenų centre, esančiame Europos Sąjungos teritorijoje.
  • 2Programinės įrangos diegimo ir talpinimo būdas parenkamas abipusiu Paslaugų teikėjo ir Perkančiosios organizacijos susitarimu, atsižvelgiant į Perkančiosios organizacijos technines galimybes ir saugumo reikalavimus.
  • 3Esant poreikiui ir Perkančiosios organizacijos sprendimu, Paslaugų teikėjui gali būti sudaryta galimybė naudoti Perkančiosios organizacijos turimus techninius resursus, jeigu tokie resursai yra prieinami ir tinkami Paslaugoms teikti.
  • 4Paslaugų teikėjas yra atsakingas už Paslaugoms teikti reikalingos programinės įrangos įdiegimą, konfigūravimą ir veikimo užtikrinimą pagal šios techninės specifikacijos reikalavimus.
  • 5Perkančioji organizacija atlieka savo valdomos IT infrastruktūros konfigūracijos darbus ir reikalingų agentų ar techninių priemonių diegimą pagal Paslaugų teikėjo pateiktas instrukcijas.

Dokumentai5

  • TIEK�JO KVALIFIKACIJOS REIKALAVIMAI.docx
  • 1177_6864657.pdf
  • Rinkos konsultacijos vykdymo apra�as.docx
  • SAUGUMO OPERACIJ� CENTRO PASLAUG� PIRKIMO TECHNIN� SPECIFIKACIJA.docx
  • 2_Dėl rinkos konsultacijoje gautų pasiūlymų.docx
tendis.lt · Sukurta recodin.lt