Письмо-извещение

10 сентября 2018

Уважаемые господа,

Евразийский банк развития (ЕАБР), международная организация, действующая на основании Соглашения об учреждении Евразийского банка развития от 12.01.2006 года, настоящим предлагает Вам представить предложения по поставке программно-аппаратного комплекса по управлению информацией о безопасности и событиями безопасности (SIEM – Security Information Event Management) (далее – SIEM-cистема). 

Необходимая SIEM-cистема предполагает наличие следующего функционала:

п/п№

Наименование

Требования

1

Требования к архитектуре и эксплуатации решения

1.1

Модульный принцип

В решении используется модульный принцип, позволяющий обеспечить достижение определенных ключевых характеристик в зависимости от применения модулей. Также, последующее приобретение дополнительных модулей должно быть разрешено моделью лицензирования.

Модуль управления, модуль сбора данных, модуль хранения оригинальных логов.

Управление всеми модулями решения производится через единый графический интерфейс

1.2

Масштабирование

SIEM-cистема  поддерживает горизонтальное масштабирование путем добавления новых узлов. Возможность добавления дополнительного модуля для сбора данных в распределенной инфраструктуре.

Процедура масштабирования максимально упрощена и позволяет производить подключение новых узлов и управление ими через единый графический пользовательский интерфейс.

Масштабирование системы производится без переустановки системы.

SIEM-cистема поддерживает распределенную обработку данных, при которой конкретные этапы/функции обработки данных могут исполняться на разных узлах.

SIEM-cистема поддерживает шифрование информации, передаваемой между разнесёнными модулями/узлами.

SIEM-cистема поддерживает горизонтальное масштабирование хранилища данных.

1.3

Отказоустойчивость

SIEM-cистема подробно сообщает о состоянии каждого из узлов системы через пользовательский интерфейс и оповещает администраторов в случае выхода из строя любого из её компонентов.

SIEM-cистема  поддерживает географически распределенную модель развертывания, предполагающую наличие разных узлов в разных центрах обработки данных в отказоустойчивой конфигурации.

1.4

Резервное копирование

SIEM-cистема имеет встроенные средства автоматизированного резервного копирования конфигурации.

SIEM-cистема, в случае сбоев, обеспечивает полное восстановление работоспособности из резервной копии.

Настройка параметров резервного копирования и восстановление из резервных копий производится через графический пользовательский интерфейс

1.5

Работа в сетях с низкой пропускной способностью

SIEM-cистема поддерживает использование компрессии в коммуникациях между элементами, с целью минимизации загрузки канала.

 

Применяется высокая степень автоматизации для минимизации вмешательства со стороны администратора в ходе выполнения таких задач как:

остановка системы;

запуск системы;

исполнение по расписанию задач по обслуживанию системы (архивирование данных, создание резервных копий системы, очистка хранилищ, памяти, обновления сигнатур, репутационных списков и т.п.)

1.6

Документация:

К решению прилагается подробная документация по установке системы и устранению возможных неполадок в ходе установки её компонент

Каждый модуль системной архитектуры решения сопровождается подробной документации по настройке, перенастройке, оптимизации его работы и устранению неполадок.

Каждый модуль и решение в целом сопровождается руководством администратора (Administrator Guide)

К документации прилагается подробная схема взаимодействия между компонентами решения.

2

Платформа хранения данных

2.1

Концепция платформы хранения данных

Возможность сохранения необработанных данных (RAW logs) о событиях, вне зависимости от типа БД.

Обеспечение неизменности хранимых данных.

2.2

Хранение данных в сжатой форме

Платформа хранения данных поддерживает сжатие:

данных, находящихся в оперативном доступе (Агрегация событий (Default is 10:1 (High); 7:1 (Medium); 5:1 (Low));

данных, находящихся в архивах (Сжатие событий

(Default is 14:1 (Low); 17:1 (Medium); 20:1 (High)).

SIEM-cистема  обеспечивает возможность хранения данных мониторинга в оперативном доступе в течение не менее 6 месяцев и в архивном доступе - не менее 3 лет.

2.3

Поддержка внешних хранилищ

SIEM-cистема поддерживает использование внешних хранилищ для данных оперативного доступа.

SIEM-cистема поддерживает использование внешних хранилищ для архивирования данных.

SIEM-cистема архивирует необработанные (RAW) данные о событиях, нормализованные данные и события корреляции для проведения исторической корреляции и неавтоматизированного поиска.

Процесс архивации автоматизирован, не требует вмешательства администратора при проведении архивации и настраивается через графический интерфейс.

Политики хранения данных: решение имеет возможность создавать политики для автоматизированного управления сроками хранения, архивации и удаления данных в зависимости от типа/источника данных.

3

Интерпретация необработанных данных (Парсинг)

3.1

Обязательные требования

SIEM-cистема имеет встроенные/предустановленные правила интерпретации данных для различных источников (операционные системы, телекоммуникационное оборудование, прикладные системы информационной безопасности и т.п.)

3.2

Внедрение настраиваемых правил интерпретации данных

SIEM-cистема  поддерживает разработку, тестирование и применение настраиваемых правил интерпретации данных

3.3

Добавление элементов метаданных в процессе интерпретации необработанных данных

SIEM-cистема  поддерживает определение дополнительных данных, включаемых в метаданные, без воздействия на исходные необработанные данные.

3.4

Возможность отладки правил интерпретации данных

SIEM-cистема  поддерживает возможность отладки правил интерпретации данных для более легкого выявления ошибок.

3.5

SIEM-cистема  имеет механизм поиска по правилам интерпретации данных:

по имени правила;

по комментариям к правилу;

по параметрам, ключевым словам и метаданным, используемым в правиле интерпретации данных.

3.6

В процессе интерпретации данные могут обогащаться полезной информацией, такой как:

информация о правиле интерпретации данных, с помощью которого было нормализовано необработанное событие (идентификатор правила, название правила и т.п.);

информация о категории события (в зависимости от источника);

дополнительная информация об активе (из системы управления активами);

информация из БД Geo IP, из репутационной БД и т.п.

информация из иных источников обогащения данных.

3.7

Механизм работы администраторов системы с правилами интерпретации данных единообразен для всех типов источников и предусматривает следующий функционал:

SIEM-cистема позволяет добавлять комментарии и описания к правилу;

SIEM-cистема сохраняет время создания и последнего изменения правила;

SIEM-cистема сохраняет имя пользователя, создавшего правило;

SIEM-cистема сохраняет имя пользователя, изменившего правило последним.

4

Возможности корреляции в режиме реального времени

4.1

Обязательные требования

SIEM-cистема содержит встроенные / предустановленные правила корреляции (перечислить и предоставить описание логики).

SIEM-cистема позволяет создавать собственные правила корреляции.

SIEM-cистема имеет возможность создания новых правил корреляции с использованием «мастера» / конструктора.

Механизм создания корреляционных правил поддерживает возможность описания любой сложности логики реализуемых процессов (поддерживает возможность создания корреляционных правил любой сложности).

SIEM-cистема обеспечивает возможность корреляции событий от разных источников в одном правиле.

4.2

Выполнение правил корреляции может производиться

непрерывно (правила корреляции загружены в память);

по расписанию (правила корреляции выполняются через определённые промежутки времени);

вручную (одноразово).

4.3

В процессе корреляции данные о событиях, порождённых корреляцией, обогащаются полезной информацией, такой как:

название правила корреляции, которое породило событие;

тип события:

Корреляционное событие

4.4

SIEM-cистема  имеет возможность создания правил корреляции с использованием:

переменных и констант;

операторов условного перехода;

логических операторов (и, или, не, исключающее или);

SIEM-cистема имеет возможность реализации поведенческого анализа на основании доступных атрибутов событий

SIEM-cистема имеет возможность создания динамических условий корреляции (результат работы одного правила может влиять на критерии корреляции другого правила).

SIEM-cистема имеет возможность настройки критериев срабатывания правил в зависимости от количества событий, а также временных интервалов получения событий.

Событие корреляции содержит информацию о связанных корреляционным правилом исходных событиях, с возможностью их просмотра.

4.5

Агрегирование данных

SIEM-cистема  должна поддерживать агрегирование данных по разным параметрам событий.

4.6

Поддержка глобальных переменных

SIEM-cистема поддерживает назначение глобальных переменных, которые могут быть использованы совместно разными правилами корреляции

4.7

SIEM-cистема  имеет возможность мониторинга / управления ресурсами для выполнения правил корреляции:

Для отладки правил и управления мощностями система предоставляет подробную статистику по работе правил: среднее время за которое отрабатывает правило, среднее время, за которое отрабатывают все правила по одному событию, ошибки в работе правил, количество срабатываний правила за минуту/час/день

4.8

SIEM-cистема  имеет механизм поиска по правилам:

по имени правила;

по опциям, использованным в правиле;

по комментариям к правилу;

по параметрам, ключевым словам и метаданным, используемым в правиле.

4.9

Результатом срабатывания правила корреляции могут являться следующие действия:

отправка электронного письма;

создание инцидента;

проведение управляющего воздействия на информационные системы, например, - блокировка учётной записи, запуск скрипта локально или на удалённой системе (с возможностью передачи параметров из события в скрипт и возможностью написания скрипта на распространенных скриптовых языках: bash, perl, python), выключение портов на сетевом оборудовании, отправка snmp trap

и т.д, (перечислить возможные варианты);

создание оповещения в графическом пользовательском интерфейсе;

запуск сканирования (при наличии сканера уязвимостей);

отправка Syslog сообщения.

5

Возможность ручного анализа событий

5.1

Ручной анализ производится администратором/ оператором системы с использованием ручной выборки данных, хранящихся в системе (проведение расследований, обслуживание системы и т.п.)

Поиск данных в режиме, близком к реальному времени:

по необработанным данным;

по нормализованным данным.

 

Полнотекстовый поиск.

SIEM-cистема поддерживает полнотекстовый поиск (Google like search), поиск по шаблону, на основе нечеткой логики (fuzzy search), по диапазону (range search), и т.д, (указать возможные варианты поиска):

в необработанных данных о событиях;

в нормализованных данных о событиях;

в корреляционных событиях.

5.2

Статистический анализ запрашиваемых событий

SIEM-cистема поддерживает статистический анализ по параметрам событий в режиме реального времени.

 

SIEM-cистема поддерживает использование широкого спектра статистических функций (поиск минимального/максимального значения; подсчёт суммы по заданному полю; подсчёт количества событий; поиск наиболее распространённых и наиболее редких значений).

5.3

Простота использования

Принцип формирования запросов является интуитивно понятным, не требующим от оператора знаний языков программирования.

SIEM-cистема имеет возможность поиска в базе событий посредством языка запросов.

SIEM-cистема позволяет восстанавливать данные (необработанные, нормализованные и корреляционные события) из архивов и осуществлять по ним поиск через интерфейс приложения.

Интерфейс позволяет отображать информацию о типе событий (например, необработанное, базовое/нормализованное, корреляционное, внутрисистемное, агрегированное и т.п., перечислить варианты).

SIEM-cистема позволяет формировать поисковые запросы с использованием логических операторов, а также математических и текстовых функций.

Логические операторы включают в себя операторы AND, OR, NOT и операторы сравнения: =, !=, = NULL, NOT NULL.

SIEM-cистема позволяет объединять группы операторов в блоки с помощью скобок ().

Для полей, содержащих даты и числа система позволяет использовать операторы сравнения: >, <, <=, >=.

Для любых текстовых полей система позволяет использовать операторы: Contains, StartsWith, EndsWith или их аналоги, и регулярные выражения.

5.4

Интерфейс поисковых запросов позволяет

Давать возможность сохранять поисковые запросы для коллективного использования. При этом система позволяет сохранять не только сам поисковый запрос, но и формулы, которые использовались в поисковом запросе, период времени за который искалась информация, описание поискового запроса и т.д.

SIEM-cистема позволяет настраивать список полей, выводимых на экран во время поиска.

SIEM-cистема позволяет сохранять набор полей, выводимых на экран во время поиска в виде шаблона для использования в дальнейшем.

5.5

Визуальный анализ и реконструция

SIEM-cистема предоставляет возможность хронологически упорядоченного визуального представления событий, связанных по определённому признаку – система / процесс / пользователь / ресурс и т.п., позволяющую оператору обнаруживать закономерности, аномалии и т.д. в поведении контролируемых объектов.

SIEM-cистема содержит предустановленные (типовые) правила визуализации. Дашборды и «content packs».

6

Требования к сбору и хранению данных

6.1

Основные требования

SIEM-cистема имеет возможность сбора данных как в реальном времени, так и по расписанию или частоте опроса (если это позволяет источник).

SIEM-cистема позволяет задавать расписание по сбору данных для каждого источника или по частоте опроса (если это позволяет источник).

6.2

SIEM-cистема  предоставляет возможность сбора информации:

из баз данных MS SQL, Oracle;

из структурированных текстовых файлов – txt, csv, xml и другие, в том числе, когда одно событие записывается в несколько строк;

с использованием сетевых протоколов – syslog, TLS Syslog, WMI, JDBC, SNMP, LEEF, CEF и т.д. (указать поддерживаемые протоколы и их версии);

cистемные журналы аудита ОС Windows, Linux и т.д. (перечислить).

SIEM-cистема предоставляет возможность пользователю самостоятельно подключать неподдерживаемые по умолчанию источники событий или системы собственной разработки.

SIEM-cистема предоставляет возможность контроля целостности данных, передаваемых от источников событий

SIEM-cистема имеет возможность отслеживания ошибок при сборе событий – формата, периодичности передачи, перечня типов событий от источника и т.п., и автоматически оповещать персонал при обнаружении несоответствий.

7

Требования к отчётности

7.1

Основные требования

SIEM-cистема имеет встроенные изменяемые шаблоны стандартных отчётов (дать подробную информацию)

SIEM-cистема поддерживает создание новых отчетов или изменение существующих при помощи «мастера», методом, не требующим использования языков программирования (JavaScript, SQL и т.д.).

SIEM-cистема обеспечивает предоставление отчётов через графический интерфейс

SIEM-cистема обеспечивает представление информации в отчетах в табличной форме и в форме различных диаграмм и графиков (линейный, гистограмма, круговая диаграмма и т.д.).

SIEM-cистема предоставляет возможность сохранения отчётов в виде файлов. Поддерживаемые форматы документов: html, csv, pdf.

SIEM-cистема имеет возможность автоматического построения отчётов по расписанию и отправки результатов на электронную почту.

 

8

Графические (информационные) панели

8.1

Общие сведения

SIEM-cистема имеет преднастроенные изменяемые графические панели.

SIEM-cистема поддерживает создание графических панелей любой сложности с использованием любых событий, с автоматическим обновлением по заданному интервалу.

SIEM-cистема поддерживает создание новых графических панелей или изменение существующих при помощи «мастера», методом, не требующим использования сложных языков программирования (JavaScript, SQL и т.д.).

8.2

Коллективная работа с Графическими панелями

SIEM-cистема позволяет производить сохранение графических панелей для коллективного использования.

SIEM-cистема позволять сохранять: название графической панели, настройки графической панели, время создания и изменение графической панели, логин пользователя который создал панель, описание панели, комментарии к панели, наборы данных использованные для вывода на панель, формулы и т.д.

8.3

Представление данных

Графические панели поддерживают различные виды представления данных: таблицы, круговые и линейные диаграммы и т.д.

8.4

Вывод данных с графических панелей

SIEM-cистема позволяет производить отображение графических панелей через WEB интерфейс.

SIEM-cистема обеспечивает многоуровневую сквозную навигацию по данным графической панели (поддержка «drill-down») независимо от формата представления данных (например, график> выбранные данные в виде таблицы> список событий).

Механизмы создания графических панелей предоставляют широкие возможности для обработки отображаемых данных — использование математических операций, статистических функций, функций по выявлению аномалий и изменению поведения, операций со списками и строками, преобразованию дат и т.д.

SIEM-cистема поддерживает выведение любого элемента графической панели в отдельное окно, для возможности непрерывного мониторинга

9

Требования к ролевой модели доступа:

9.1

Основные требования

SIEM-cистема поддерживает аутентификацию пользователей с использованием Microsoft Active Directory.

SIEM-cистема поддерживает ролевую модель доступа.

SIEM-cистема позволяет задавать различные уровни доступа пользователей (чтение, изменения) на любые компоненты системы.

SIEM-cистема  ведёт аудит любых действий пользователей в системе.

SIEM-cистема имеет необходимые отчеты и визуализированные консоли для аудиторов, позволяющие собирать необходимые данные без привлечения других сотрудников во время проведения аудита.

10

Требования к взаимодействию с внешними системами:

10.1

Основные требования

SIEM-cистема имеет возможность оповещения администраторов о происходящих событиях, в том числе, с использованием сложных, иерархических вариантов оповещения через внешние системы (например, отображение на консоли, затем, с заданной задержкой, - уведомление по почте, затем, в случае необходимости, - через SMS на мобильный телефон).

SIEM-cистема имеет возможность интеграции с внешними системами.

SIEM-cистема имеет программный интерфейс (API) для использования внешними системами.

11

Самодиагностика

11.1

Основные требования

SIEM-cистема имеет достаточный набор средств самодиагностики, позволяющий диагностировать любую проблему в работе системы.

SIEM-cистема поддерживает использование символов русского языка при обработке и выводе данных.

SIEM-cистема поддерживает работу с событиями из русскоязычных ОС.

12

Производитель-ность системы

Аппаратная реализация:

Максимальная (пиковая) обработка событий в секунду (EPS – event per second) – 3 500.

Максимальная очередность запросов – 1750.

Размер устройства (не более) – 2U.

Локальное хранилище (не менее) - 800 GB SSD для оперативных данных + 32 TB для архивных данных;

Сетевые интерфейсы - 2x10Gb

 

Дополнительный модуль для установки в удаленном офисе (возможна поставка в виде virtual appliance) с максимальной (пиковой) обработкой событий в секунду (EPS – event per second)  - 1 500.

 

13

Условия поставки:

13.1

Адрес поставки

Республика Казахстан, пр.Достык, д.220

13.2

Условия оплаты

Предоплата не более 50%

13.3

Для поставщиков – резидентов РФ

Ставка НДС – 0%

 

Критерии оценки и ранжирования предложений участников Закупки:

1) Лучше ценовое предложение;

2) Лучший срок поставки;

3) Поставщик должен быть сертифицированным партнером производителя предлагаемой SIEM-cистемы на территории Республики Казахстан, с подтверждением партнерского статуса не ниже уровня GOLD. 

4) Потенциальный Поставщик в заявке на участие должен предоставить письмо соответствие от производителя о том, что имеет опыт и право перепродавать/распространять лицензионное программное и аппаратное обеспечение производителя на территории Республики Казахстан. Полномочия должны быть подтверждены соответствующим документом, предоставленным в составе заявки на участие в тендере;

5) Наличие в штате не менее ДВУХ сертифицированных технических специалистов по предлагаемой SIEM-системе.

6) Потенциальный поставщик должен предложить последнюю стабильную версию SIEM-cистемы;

7) Поставщик должен предоставить лицензионные ключи (номер лицензии) с регистрационными данными на имя Евразийского банка развития по предлагаемой SIEM-cистеме;

8) Потенциальный Поставщик при поставке оборудования должен совместно с Заказчиком провести проверку оборудования на функциональность и соответствие данной технической спецификации поставляемого оборудования.

Предложения должны в обязательном порядке содержать следующую информацию:

  • цена, включая доставку до площадки заказчика;
  • срок поставки;
  • условия оплаты;
  • документы, подтверждающие партнерство с производителем;
  • техническая спецификация с полным наименованием всех компонентов SIEM-cистемы (с указанием версий ПО).

Объем и предполагаемый состав должен быть указан в технической спецификации в табличной форме. 

Предложение просим направить в электронном виде на адреса Email:

surinov_dy@eabr.org – Суринов Дмитрий Юрьевич, начальник Отдела информационной безопасности УБиКК ЕАБР;

или в печатном виде по адресу: Республика Казахстан, 050051, г. Алматы, пр. Достык 220, Евразийский банк развития, с пометкой «Для Суринова Д.Ю.».

В случае необходимости дополнительных разъяснений, они также могут быть получены по указанному электронному адресу.

Крайний срок, до которого будут рассматриваться получаемые ЕАБР предложения – 21.09.2018 г. включительно.

Настоящее приглашение не является извещением о проведении конкурса, не дает никаких прав участникам и не влечет возникновения никаких обязанностей у ЕАБР.

Вернуться к списку

Мы используем файлы cookies, что бы учесть ваши предпочтения и улучшить работу на нашем сайте. Мы предполагаем, что, если вы продолжаете использовать наш сайт, вы согласны с использованием нами файлов cookies. Вы всегда можете изменить настройки своего интернет-браузера и отказаться от сохранения файлов cookies а на нашем сайте

Да Подробнее