Тендер на закупку системы контроля привилегированных доступов
Уважаемые дамы и господа!
Предлагаем Вашему вниманию приглашение на участие в тендере по закупке программного или программно-аппаратного обеспечения по контролю привилегированных доступов (Privileged access management system).
Общая информация
ЗАО «Банк Азии» (далее «Банк») приглашает Вашу компанию принять участие в тендере по закупке систем информационной безопасности.
Требуемые системы и их технические спецификации указаны в Приложении №1.
Условия тендера и порядок взаимодействия
Предполагается, что тендер будет состоять из двух этапов.
Этап 1 - включает рассылку данного приглашения, сбор письменных подтверждений намерения участвовать в тендере, первичный анализ предложения компаниями-поставщиками и сбор письменных комментариев к предложению, ценовой информации и предполагаемых сроков осуществления работ и их анализ банком.
Этап 2 - в процессе анализа полученной на предыдущем этапе информации будут выбраны компании, предложившие оптимальные решения, с которыми будет заключен договор на поставку комплектующих.
Сроки проведения
Участникам необходимо письменно подтвердить свое намерение участвовать в тендере в течение 3 рабочих дней по электронной почте. Предложения от участников принимаются в запечатанном конверте по адресу: 720016, Кыргызская Республика, г. Бишкек, пр. Ч. Айтматова, 303 (СЭЗ «Бишкек»). Срок приема предложений от участников до 12:00, 20.11.2023 г.
Претенденты для участия в тендере должны предоставить следующие документы:
- заверенную печатью организации копию устава компании и копию Свидетельства о регистрации/перерегистрации в Министерстве юстиции КР или его территориальном органе;
- заверенную печатью организации копию финансовой отчетности за последние три года;
- надлежащим образом заверенную копию решения компетентных органов управления участника тендера (в соответствии с уставом и требованиями действующего законодательства) о назначении на должность лица, имеющего право действовать от его имени без доверенности;
- справку об отсутствии задолженности по налогам и выплатам в Социальный фонд КР за последний отчетный период (для юридического лица и индивидуального предпринимателя);
- короткое резюме компании с указанием опыта работы на рынке КР;
- положительные отзывы от клиентов компании (при наличии).
Контактная информация
В случае необходимости получения дополнительной информации по всем вопросам, связанным как с порядком проведения данного тендера, так и по предъявляемым функциональным и техническим требованиям, просьба обращаться к специалистам Управления ИБ по эл. адресу:
[email protected] или по телефонам +(996)312-976117 (внут.: 148).
Конфиденциальность
Данное приглашение на участие в тендере, прилагаемое описание функциональных и технических требований к программному обеспечению, а также иные материалы имеют строго конфиденциальный характер и не должны предоставляться в какой-либо форме третьим сторонам, которые непосредственно не связаны с подготовкой Вами коммерческого предложения.
Кроме того, запрещается сообщать любым третьим лицам каким-либо образом о намерениях Банка относительно выбора программного обеспечения, оборудования и комплектующих, а также распространять любую информацию, предоставленную Банком в связи с этим проектом. Предоставляемая информация также должна носить строго конфиденциальный характер при ее подготовке и передаче Банку, однако в дальнейшем Банк оставляет за собой право использовать предоставленную информацию и распространять ее среди независимых консультантов либо прочих лиц по собственному усмотрению без уведомления Вас о данных фактах.
Приложение №1
Лоты, их технические спецификации и требования к стоимости
Лот: Система контроля привилегированных доступов (Privileged Access Management - PAM)
ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ К СИСТЕМЕ
КОНТРОЛЯ ДЕЙСТВИЙ ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ
1. Назначение и задачи
1.1. Система контроля действий привилегированных пользователей (далее – Система) предназначена для управления доступом пользователей (штатные администраторы Заказчика, подрядчики и внешние пользователи) к критичным информационным ресурсам Заказчика, а также для минимизации рисков информационной безопасности, связанных с неконтролируемым доступом к таким системам.
1.2. Система должна решать следующие основные задачи:
- предоставление единой точки входа для привилегированных пользователей, имеющих удаленный доступ к системам Заказчика (приложения, серверы, сетевое оборудование) с возможностью персонификации доступа и разграничения прав;
- контроль работы привилегированных пользователей, включая мониторинг сессий в режиме реального времени, а также создание записей сеансов работы;
- мультифакторную аутентификацию для подключения к целевым системам;
- автоматическое реагирование при наступлении определенных событий с помощью использования политик безопасности, списков разрешенных и запрещенных команд, а также обнаружения аномалий поведения;
- анализ выполненных действий путем просмотра записанных сессий с использованием сквозного поиска по ним и формирование отчетности по работе привилегированных пользователей.
2. Функциональные требования к Системе
2.1. Система должна иметь следующий обязательный функционал:
2.1.1. веб-портал для администрирования системы;
2.1.2. компактную запись сессий пользователей;
2.1.3. Возможность уполномоченному оператору разорвать любую активную (незавершенную) сессию. Также должна быть реализована возможность автоматического разрыва сессии при нарушении политики безопасности (в том числе на основе черных и белых списков команд/заголовков окон).
2.1.4. распознавание вводимых команд и удобный переход между текстами и выгрузку набранных команд в виде файла;
2.1.5. Поддержка многофакторной аутентификации пользователя включая TOTP и сертификатов безопасности;
2.1.6. Регулирование длительности времени активной сессии;
2.1.7. Поддержка протоколов SSH, MSSQL, PostgreSQL, RDP.
2.1.8. Поддержка шифрование сетевого трафика от PAM до целевых систем;
2.1.9. Синхронизацию учетных записей и настроек между нодами кластера PAM;
2.1.10. Предоставить процедуру для обходного сценария break glass procedures;
2.1.11. Поддержка автоматической смены паролей учётных записей в целевых системах;
2.1.12. Блокирование или ограничение прав пользователей системы в зависимости от времени суток;
2.1.13. Прозрачное подключение к целевым системам для конечного пользователя;
2.1.14. Запись файлов, передаваемых через сессию;
2.1.15. Система должна предоставлять возможность просмотра активной сессии в режиме реального времени с возможностью перехода на моменты, где совершались действия пользователем.
2.1.16. Возможность экстракта и скачивания сессий в различных видео-форматах.
2.1.17. Поиск одновременно по всему объёму записанных сессий, включая расположенные в архиве, а также иметь возможность задания множества поисковых критериев одновременно:
- время начала и завершения сессии;
- IP-адрес (подсеть) пользователя;
- IP-адрес (подсеть) сервера, с которым была установлена сессия;
- протокол (список протоколов), по которому была установлена сессия;
- часть слова или фраза в потоке пользовательского ввода (должен быть реализован полнотекстовый поиск по потоку пользовательского ввода);
- часть слова или фраза в потоке пользовательского вывода (должен быть реализован полнотекстовый поиск по потоку пользовательского вывода);
- метаданным (учетная запись пользователя, временные метки, запускаемые процессы, заголовки открываемых окон, имена передаваемых файлов);
- часть имени файла, переданного во время сессии.
2.1.18. Возможность ускорения и замедления скорости воспроизведения записи.
2.1.19. Наличие функционала уведомления заинтересованных лиц в случае различных событий ИБ.
3. Общая архитектура и возможности Системы
Архитектура системы должна отвечать следующим требованиям:
3.1. Реализация системы в виде виртуальных программных комплексов (Virtual Appliance).
3.2. Поддержка платформ виртуализации VMware и Hyper-V актуальных (поддерживаемых производителем) версий.
3.3. Система должна быть самодостаточной и не должна использовать решения других производителей ПО.
3.4. Поддержка отказоустойчивой конфигурации (кластеризация) с возможностью разнесения модулей по нескольким площадкам.
3.5. Возможность интеграции с доменной инфраструктурой.
3.6. Наличие механизма автоматического обнаружения неконтролируемых привилегированных учетных записей будет являться преимуществом.
3.7. Возможность интеграции с SIEM-системами в форматах syslog и CEF.
3.8. Ведение журнала и возможности аудита всех действий, производимых пользователями и администраторами в ней.
3.9. Поддержка автоматического обновления самой системы и выборочно ручного контроля обновлений.
Примечание: В случае недостаточности некоторого из функционала, Банк оставляет за собой право рассмотреть необходимость этого функционала на фоне всеобщего функционала системы.
Для подсчёта стоимости лицензий можно использовать следующие данные:
- 200 целевых хостов;
- 32 сетевых устройств;
- 40 сессий (одновременных подключений к целевым системам)
- 12 пользователей (администраторов систем).
Требования к стоимости:
Дополнительно предоставить:
- стоимость технической поддержки за последующие два года кроме первого года.