Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
SML_4200013424
Příloha č. 1
ke Smlouvě o poskytování služeb uzavřené na základě veřejné zakázky s názvem
„Služba řízení technických zranitelností IS a služby podpory na 36 měsíců “
Podrobné technické požadavky na řešení
Podrobné technické požadavky na řešení Skeneru technických zranitelností ŘTZ
Základní Funkční požadavky nabízeného řešení Závaznost
funkce Povinné
1. Vlastnosti systému Povinné
API a
integrace Automatické testování zranitelností zařízení a aplikací, které jsou Povinné
součástí síťové a komunikační infrastruktury.
Nastavení Povinné
správy, Všechna data a výsledky skenování jsou uloženy v rámci
zákazníkovi lokální instance (on premise) v místě provozu HW Povinné
appliance.
Povinné
Podrobná definice auditu do úrovně rychlosti komunikace vůči
zařízení, použitých modulů a technik, včetně definice časového Povinné
rozsahu daného testu. Povinné
Povinné
Všechny aktivity lze nastavit pomocí plánování a workflow Povinné
managementu, kde uživatel může sestavit přesný postup v rámci Povinné
testu. Povinné
Povinné
Volba intenzity skenování T1-T5, pps (packet per second), typu Povinné
discovery (ARP ping, ICMP ping, UDP ping, TCP ping, časového
rozsahu testu, nahodilosti dotazu v testu, počtu vláken vůči jedné
IP, volba použitých modulů, včetně možností prolamování hesel
(bruteforce) vůči jednotlivým službám.
Možnost přednastavit přihlašovací údaje pro různé typy služeb
HTTP (JWT, basic, NTLM, token, cookies) SSL Cert, SSH, SMB,
SNMP, RDP atd.
Definice automatického skenování pomocí workflow.
Součástí je dokumentované API pro přístup k datům a k zápisu dat
do jednotlivých modulů a součástí řešení:
- Integrace se SIEM: QRadar, FortiSIEM, Fidelis, Log360,
- Integrace s IDS (systémy detekce průniku): Fidelis, Suricata,
Snort, Log360,
- Integrace s MS Active Directory, LDAP.
Všechny funkce přístupné přes CLI.
Součástí je dokumentované API pro přístup k datům a zápisu dat
do jednotlivých modulů a součástí řešení.
Centrální správa uživatelů, senzorů, agentů a jednotlivých
instancí.
filtrování a Kompletní zprávu zranitelností, IP, auditu, strojů, aplikací v rámci Povinné
auditu assets, včetně filtrování a řazení dle jednotlivých atributů.
Povinné
Konfigurace Filtrace dat dle OWASP top ten, OWASP, vlastních metodik nebo
a možnosti skupin. Definice vlastních tags a assets groups. Povinné
skenování Povinné
Audit lze zadat na základě filtrace assets / assets group.
Povinné
Možnosti provádění discovery sítí bez vulnerability testů nebo
dalších auditů. Povinné
Povinné
Kategorizace zdrojů, IP, systémů, aplikací v rámci assets (správa
zdrojů). Povinné
Povinné
Možné konfigurace testování:
Povinné
Definice vlastních šablon nebo kopírování předchozího nastavení Povinné
testu Povinné
Možnost sestavení vlastního testu Povinné
Možnost plánovat jednotlivé testy pomocí workflow Povinné
nebo plánovače úloh
Povinné
Provádění testu ve shodě s definovaným compliance
Povinné
Filtrování zranitelností pomocí: Povinné
Povinné
IP adresy nebo jeho sítí, DNS názvu nebo jeho části, NetBIOS Povinné
názvu nebo jeho části Povinné
Povinné
Operačního systému stroje nebo jeho části, verze OS, kategorie Povinné
OS Povinné
Povinné
Závažnosti zranitelnosti, včetně definice remote/local Povinné
a exploitovatelnosti dané zranitelnosti, včetně dostupnosti Povinné
funkčního exploitu na danou zranitelnost.
CVE zranitelnosti, CWS kategorie zranitelnosti, CVSS skóre verze
2.0, 3.0,
Kompatibilita s Qualys score
Datum zveřejnění nebo aktualizace
Datum první nebo poslední identifikace zranitelnosti v síti
Popis zranitelnosti včetně doporučeného řešení
Kompletní sestavy přehledů:
Všechny detekované zranitelnosti
Všechny zranitelnosti detekované na základě určitého testu
Podle IP, služeb, DNS názvu a NETBIOS názvu
Portů
Definice zranitelnosti podle bezpečností politiky nebo compliance
Možnost redefinice úrovně zranitelnosti, ignorování případně
potlačení zranitelnosti.
Strana 2/4
Reportování Vytváření reportů Povinné
Povinné
Zabezpečení Reporty ve formátu HTML, PDF, XML, CSV, JSON, XLS, reporting Povinné
skeneru a systém umožňuje definovat vlastní výstupní formát dat. Povinné
přihlašování Předdefinované šablony, včetně skriptovacího a template jazyka. Povinné
Povinné
Možnost vlastní tvorby reportu, včetně výstupního formátu, Povinné
součástí je dokumentace. Povinné
Možnost v rámci auditu definovat cíle, aplikace, služby Povinné
a zranitelnosti, které budou zahrnuty v rámci auditu. Povinné
U zranitelnosti je možné provést rescoring (změna úrovně Povinné
zranitelnosti) chyb na základě požadavku uživatele. Povinné
Plné uživatelské nastavení reportu součástí reportovacího modulu. Povinné
Povinné
Při tvorbě auditu je možné nastavit notifikační e-mail o dokončení Povinné
testu a zároveň zaslat na požadovaný e-mail hotový report. Povinné
Povinné
Plánování jednotlivých reportů a aktivit pomocí plánovače událostí Povinné
a definice vlastního workflow pro automatizaci operací. Povinné
Komunikace technologií M2M mezi senzory, funkce master mode
s funkcí samostatných senzorů.
Zabezpečení nabízeného řešení
Webové rozhraní pro administraci řešení přístupné přes HTTPS,
autorizace uživatele s podporou OTP/2FA autorizace.
API přístupné přes HTTPS, s autorizací přes JWT/Baerer token.
Administrace uživatele včetně jejich práv k auditu, reportu, assets
a jednotlivým modulům.
Limitace přístupu uživatele k aplikaci na základě IP ACL, limitace
uživatele vůči IP, se kterými smí pracovat.
HW a SW, 2. Hardware včetně všech licencí SW pro provoz 36
licencování měsíců
a ostatní On premise řešení (řešení a data uložena u odběratele služby).
požadavky Rozsah licence pro skenování 5000 zařízení/IP adres, licence se
aplikuje na všechny aktivity po tzv. Discovery služeb.
Kapacita testování: 5.000 IP za 24 hodin.
HW appliance připravena pro instalaci do 19-palcové skříně. HW
pro sondu tvoří 1U, HW pro jádro 2U-4U podle velikosti instance.
Porty: 4x1Gbps LAN/Ethernet Cat5e
Porty: 2xSFP 10Gbe SFP+
Napájení:
redundantní zdroj 2x500 W HW Sonda,
redundantní zdroj 2x800 W HW jádro.
Strana 3/4
Součástí jsou teleskopické ližiny pro montáž do 19-palcové Povinné
skříně, včetně cable managementu.
Instance 5.000 IP umožňuje až 6 senzorů v libovolných Povinné
lokalitách.
Součástí ceny je zaškolení obsluhy rozsahu 2x 4 hodiny pro 10 Povinné
osob, lze rozložit na menší bloky.
Odpovědnost za vady, termíny provedení zásahů a reakční doba Povinné
je součástí SLA - NBD přihlášení do 16 hod.
Revize interní dokumentace k systému ŘTZ v rozsahu 5 čld Povinné
(člověko-dny).
Podpora pro řešení incidentů 7x24. Povinné
Zpravodajství o hrozbách – poskytnou reportů zranitelností Povinné
povědomí o aktuálním prostředí hrozeb vůči infrastruktuře ICT
organizace z interních a externích zdrojů, návrh opatření k jejich
zmírnění.
Významový slovník:
Zkratka Popis / význam
OWASP Open Web Application Security Project
M2M Machine to Machine – přímá komunikace mezi zařízeními komunikačním
kanálem
CVE zranitelnosti common vulnerabilities and exposures - běžné zranitelnosti a chyby
v zabezpečení
CWS kategorie Common Weakness Scoring – systém pro prioritizaci SW slabostí
v konzistentním, flexibilním a otevřeném formátu
zranitelnosti
CVSS skóre Common Vulnerability Scoring System - systém hodnocení závažnosti
bezpečnostních zranitelností počítačových systémů
IDS Intrusion Detection Systems – systém detekce narušení / systém pro detekci
průniku
IAS Identity and Access Services - systém pro správu identit a přístupu
k informacím
NAC Network Access Control – bezpečnostní technologie, spravující přístup k síti
a jejímu zabezpečení proti neoprávněnému přístupu
CP Centrální pracoviště
DC Datové centrum
KBÚ/KBI Kybernetická bezpečnostní událost / Kybernetický bezpečnostní incident
IS Informační systém
Strana 4/4