PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL SOPORTE, MANTENIMIENTO Y MONITORIZACIÓN DE LA CONSOLA DE GESTIÓN CENTRALIZADA DE LA SEGURIDAD BASADA EN OSSIM
Índice PRIMERA: INTRODUCCIÓN...3 SEGUNDA: OBJETO DEL CONTRATO...4 TERCERA: REQUERIMIENTOS TÉCNICOS...5 CUARTA: METODOLOGÍA Y PLAN DE TRABAJO...9 QUINTA: SEGURIDAD...10 SEXTA: DURACIÓN DEL SERVICIO...10 SÉPTIMA: PROPIEDAD INTELECTUAL...11 Página 2 de 11
PRIMERA: INTRODUCCIÓN La Direcció General d'innovació i Desenvolupament Tecnològic (DGIDT) es el órgano responsable de dotar de infraestructuras de tecnología de la información a las distintas aplicaciones y servicios del Govern de les Illes Balears. Toda esta infraestructura tecnológica se halla en sus Centros de Proceso de Datos, formada por servidores Windows y Linux, así como diferentes sistemas como IDS, IPS, proxy, antispam, antivirus, etc. Actualmente se dispone de una consola única para la gestión, correlación de eventos y generación de alarmas de seguridad de todos los sistemas anteriormente citados. Esta consola, basada en el aplicativo OSSIM Professional, requiere de un mantenimiento y monitorización de la plataforma para su correcto funcionamiento. La consola está formada por dos servidores de OSSIM (appliances Ossim Box), ambos sobre Linux. Uno de ellos contiene la base de datos y el motor de la aplicación, mientras que el otro servidor ejecuta el agente de OSSIM, el componente OpenVas para la detección de vulnerabilidades y realiza las funciones de sonda de red (snort, arpwatch, pads, ntop, p0f). Dada la complejidad del sistema, esta Dirección General carece de los medios propios necesarios para realizar el mantenimiento y, por tanto, se requiere la externalización de estos servicios. Página 3 de 11
SEGUNDA: OBJETO DEL CONTRATO El objeto del contrato consta de: Soporte y mantenimiento de los componentes hardware y software necesarios para el funcionamiento de todos los componentes que forman parte de la consola de gestión de la seguridad OSSIM. Servicios de configuración: nuevas integraciones, optimizaciones y mejoras en la configuración de la plataforma, creación y revisión de políticas. Monitorización de la plataforma, análisis de primer nivel de los eventos y alarmas. Escalado de las alarmas en caso necesario y creación de informes periódicos. Análisis externo de vulnerabilidades. Copias de seguridad y recuperación de la plataforma. Página 4 de 11
TERCERA: REQUERIMIENTOS TÉCNICOS Los servicios ofertados deben cumplir obligatoriamente los siguientes requisitos: A. SOPORTE Y MANTENIMIENTO Puesto que la plataforma actual, formada por dos appliances OSSIM Box QR232, no permite la actualización a las últimas versiones del software, el licitador deberá incluir en su oferta el hardware necesario para la renovación de estos equipos. Dicho hardware estará constituido como mínimo por un appliance físico AlienVault All-in-One. En cualquier caso, la plataforma AlienVault incluida en la oferta deberá consistir en uno o más equipos físicos nuevos del fabricante AlienVault dimensionados adecuadamente para proporcionar los servicios requeridos y que pasarán a ser propiedad del Govern de les Illes Balears. El licitador debe proporcionar soporte por parte del fabricante y mantenimiento de todos los componentes de la plataforma Alienvault, ya sean componentes software o hardware garantizando la disponibilidad e integridad de la misma. El soporte y mantenimiento debe ser proporcionado por ingenieros certificados por Alienvault en OSSIM. El soporte se debe proporcionar por parte del licitador por vía telefónica, web o por correo electrónico 8x5, con un tiempo de respuesta de 4 horas. El licitador ofrecerá los servicios de mantenimiento, reparación y soporte a las incidencias del software o hardware de la plataforma OSSIM instalada en las instalaciones que la DGIDT tiene a tal efecto en el CPD de C/Sant Pere, 7 en caso de no poder realizarse de forma remota (mediante el uso de un túnel VPN siguiendo las especificaciones de la DGIDT). Una vez detectada una incidencia por parte del licitador o por la DGIDT, el licitador se encargará de realizar todas las operaciones y gestiones oportunas para que la plataforma y todos sus componentes queden operativos en un plazo máximo de dos días laborables a contar desde la detección de la incidencia. En el caso de verse Página 5 de 11
afectada la disponibilidad global de la plataforma, el plazo se reduce al siguiente día laboral. En el caso de avería de un elemento hardware, el licitador debe proceder a la sustitución del mismo y a la reconfiguración en caso necesario de la de la plataforma. El mantenimiento y soporte objeto de este contrato incluye el suministro de cualquier componente hardware a sustituir en caso de avería. El licitador será el responsable de que todos los componentes de la plataforma estén correctamente actualizados siguiendo las recomendaciones del fabricante AlienVault. Una vez sea publicado por el fabricante un nuevo parche o versión, en un plazo máximo de un mes debe proceder a la actualización de la plataforma con los nuevos componentes proporcionados por el fabricante. En caso de tratarse de actualizaciones críticas o que resuelven problemas que afectan al funcionamiento correcto del sistema, este plazo se reduce a una semana. En cualquier caso, debe contar con autorización previa de la DGIDT, acordar una ventana de mantenimiento en caso de interrupción de servicio y elaborar un plan de vuelta atrás al estado anterior. En cuanto a las firmas de detección (como las que utilizan por ejemplo los componentes Snort y Nessus/OpenVas), la actualización ha de ser preferiblemente automática, debiendo verificarse periódicamente que las actualizaciones se realizan correctamente. Tras una actualización se deben mantener aquellas personalizaciones de la plataforma que puedan verse afectadas por la operación de actualización. El licitador será el responsable de comunicar al personal asignado de la DGIDT los parches y nuevas versiones tan pronto como sean publicadas por el fabricante, así como recomendaciones o mejores prácticas durante la duración del contrato. El licitador proporcionará formación al personal asignado de la DGIDT referente a nuevas funcionalidades y cambios de la plataforma, tanto a nivel de usuario como de administración de la plataforma, en el comienzo del contrato y cuando se implemente una actualización o mejora en la misma. B. SERVICIOS DE CONFIGURACIÓN Dada la naturaleza dinámica de los sistemas y aplicaciones responsabilidad de la DGIDT, se podrá requerir al licitador la implementación de nuevas integraciones para analizar y correlar eventos de nuevos sistemas (desarrollo de plugins, correlación Página 6 de 11
cruzada, etc.). También se podrá requerir la implementación de nuevas políticas, modificación de las existentes o eliminación de aquellas que resulten obsoletas, así como la personalización de gráficas en el tablero de instrumentos ( dashboard ) de la consola de OSSIM. El licitador debe realizar análisis periódicos del rendimiento de la plataforma, reportando un informe a la DGIDT en el que se proponga la implementación de mejoras en caso necesario. El licitador se encargará de configurar todos aquellos componentes de la plataforma que sean aconsejables para una correcta eficacia y buen funcionamiento global de la misma. El licitador realizará un control de cambios ejecutados en la plataforma y reportará cualquier cambio al personal asignado de la DGIDT. C. MONITORIZACIÓN Y OPERACIÓN El licitador realizará un análisis y supervisión de las alarmas por parte de personal cualificado: análisis de primer nivel de las incidencias y escalado en función de la criticidad de las mismas al personal asignado de la DGIDT. La monitorización se realizará en horario laboral de 7:30 a 15:30, con un tiempo de análisis y escalado máximo de dos horas desde que se generó la incidencia en el sistema. El seguimiento de las incidencias se realizará mediante la herramienta RTIR de la DGIDT. Con una periodicidad de 6 meses se entregará a la DGIDT el manual de operaciones utilizado por los analistas de primer nivel para su revisión y posible actualización. El licitador monitorizará todos los sistemas y componentes relacionados con la consola de seguridad (estado de la base de datos de eventos, funcionamiento correcto de las sondas y agentes, espacio en disco, procesos, etc.) y verificará los procedimientos automatizados (como por ejemplo la actualización de firmas o copias de seguridad). Proporcionará los procedimientos o métodos necesarios a la DGIDT para poder verificar en cualquier momento el estado de los diferentes componentes del sistema, tanto a nivel funcional como del estado de las actualizaciones. El licitador realizará periódicamente análisis externos de vulnerabilidades de servidores públicos de la CAIB. Con una periodicidad de 6 meses se realizará un hacking ético a Página 7 de 11
un mínimo de 5 direcciones IP determinadas por la DGIDT, que podrán ir variando a lo largo de la duración del contrato. Por otra parte, con una periodicidad de 3 meses se realizará un análisis que podrá ser realizado con herramientas automáticas de análisis de vulnerabilidades de dos redes públicas completas de clase C. En ambos casos se entregará a la DGIDT informes de todos aquellos problemas relevantes detectados, con su descripción, su impacto y recomendaciones para su resolución. En el caso del hacking ético se tendrá que aportar todos los detalles necesarios de las vulnerabilidades detectadas para poder reproducir el problema. El licitador realizará aquellos procedimientos necesarios de copias de seguridad para poder realizar una restauración completa de la plataforma o de algún componente o datos en caso necesario. El licitador configurará la exportación de datos que resulten obsoletos de la base de datos y realizará la importación de nuevo para su análisis en caso de que fuese necesario. Página 8 de 11
CUARTA: METODOLOGÍA Y PLAN DE TRABAJO El oferente incluirá un Plan de Trabajo detallado así como la Metodología a seguir en el que se explicará el contenido de cada una de las fases, los hitos y actividades, indicando las estimaciones de tiempo y perfil de las personas implicadas que puedan requerirse para llevarse a cabo. Adicionalmente, el oferente deberá detallar los planes y acciones que llevará a término para garantizar la calidad del proyecto. Aquí tienen cabida las actividades encaminadas a la gestión de documentación, gestión de cambios en el proyecto, gestión de calidad y planes de comunicación y divulgación. El Comité Director del proyecto estará formado por personal de la CAIB y por personal del contratista. Se establecerán los mecanismos de control necesarios por parte del Comité Director para evaluar el cumplimiento del plan de trabajo y los hitos marcados. Página 9 de 11
QUINTA: SEGURIDAD Los licitadores aportarán una memoria descriptiva de las medidas que adoptarán para asegurar la disponibilidad, confidencialidad e integridad de los datos manejados y de la documentación facilitada. Asimismo, deberán incluir en su oferta la designación de la persona o personas que, sin perjuicio de la responsabilidad propia de la empresa, estarán autorizadas para las relaciones con la Administración a efectos del uso correcto del material y de la información a manejar. Se adjuntará una descripción de su perfil profesional, y sólo podrán ser sustituidas con la conformidad de la Administración. El adjudicatario se compromete a no dar la información y datos proporcionados por la Administración, o cualquier uso no previsto en el presente Pliego. En particular, en cumplimiento de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de carácter Personal (LOPD), el contratista se compromete a: No aplicar o utilizar los datos personales obtenidos para fines distintos a los que figuran en el presente contrato y sus anexos, ni cederlos a terceros, ni tan siquiera para su conservación. Guardar secreto profesional respecto a los mismos, incluso después de finalizar la relación con el Govern de les Illes Balears. Trasladar las citadas obligaciones al personal que dediquen al cumplimiento del presente contrato. SEXTA: DURACIÓN DEL SERVICIO El servicio objeto del contrato se tendrá que prestar durante dos años desde la formalización del contrato. Página 10 de 11
SÉPTIMA: PROPIEDAD INTELECTUAL Sin perjuicio de lo dispuesto por la legislación vigente en materia de propiedad intelectual, el adjudicatario acepta expresamente que todos los derechos sobre los programas, códigos fuente y documentación realizada en el marco del presente contrato corresponde únicamente a la CAIB, con exclusividad y a todos los efectos. Página 11 de 11
Resum de signatures Pàg.1/1 Títol:Plec Consola de Seguretat