Запрос от читателя на поставку DLP-системы. Нужны предложения цены
Редакция журнала "Информационная безопасность", 02.04.20
Наш читатель из Казахстана запрашивает цену на систему класса DLP на 200 пользователей. Ваши предложения вы можете прислать на is@groteck.ru
Задание, приложенное читателем:
Техническая спецификация
Программное обеспечение (система) по предотвращению утечки конфиденциальной информации
1. Потенциальный поставщик в технической спецификации должен указать производителя программного обеспечения системы контроля конфиденциальной информации (далее - Система) и наименование предлагаемой системы.
2. Система должна обеспечивать контроль не менее 200 пользователей.
3. Система должна иметь бессрочную (постоянную) лицензию.
4. Потенциальный поставщик должен поставить и настроить в инфраструктуре Заказчика. Требования к системе управления и рабочему процессу расследования инцидентов
5. Система должна управляться посредством единой веб-консоли с функциями централизованного управления, настройки и отчетности по всем модулям и элементам.
6. Система должна предоставлять возможность создания единых политик по всем модулям решения и каналам контроля информации.
7. Каждая создаваемая политика должна иметь возможность одновременного применения к данным в движении (Data-in-Motion), используемым данным (Data-in-Use) и хранимым данным (Dataat-Rest), как на уровне сети, так и на конечных станциях пользователей (далее – АРМ, Автоматизированное Рабочее Место).
8. Консоль управления должна предоставлять возможность контроля работоспособности Системы.
9. Консоль управления должна обеспечивать возможность управления службами модулей Системы.
10. Система должна обеспечивать возможность синхронизации/работы с одним и более доменом Active Directory.
11. Система должна предоставлять возможность разграничения прав доступа сотрудников службы безопасности к данным по тем или иным пользователям, группам пользователей и компьютерам. Под данными подразумеваются зафиксированные модулем принятия решений инциденты, сообщения, попавшие в карантин модуля принятия решений.
12. Система должна предоставлять возможность уведомления ответственных лиц об инцидентах по электронной почте.
13. Система должна предоставлять возможность блокировки (помещения в карантин) SMTP-трафика электронной почты до принятия вердикта ответственным лицом.
14. Система должна предоставлять возможности для задания правил автоматического вынесения вердикта по объекту (инцидент / не инцидент) на основании:
a. формальных признаков перехваченного объекта (доменное имя, отправитель, получатель, хост, размер, расширение файла, канал передачи данных, протокол и т.д.);
b. защищенных паролем файлов и архивов;
c. результатов контентного анализа текста, извлеченного из перехваченных объектов (по словам и образцам текстов, тематическим словарям, отпечаткам примеров КИ, а также поиска с использованием регулярных выражений).
15. Система должна предусматривать возможность объединения политик безопасности (правил проверки) в группы.
16. Система должна анализировать связанные события с целью выявления несколько этапных - «капельных» утечек конфиденциальной информации, с настройкой периода отслеживания цепочки инцидентов.
17. Система должна предоставлять возможность экспорта/импорта структуры настроек (политик безопасности, критериев поиска, списков исключений и др.).
18. Система должна предоставлять возможность добавления пользователей и наделения их правами просмотра и редактирования тех или иных политик безопасности и списков исключений, в том числе возможность выставления запрета на данные действия.
19. Система должна предоставлять возможности протоколирования выявленных инцидентов.
20. Система должна поддерживать возможность категоризации инцидентов с помощью смысловых и цветовых меток.
Функциональные требования
21. Система должна обеспечить наличие следующих возможностей обнаружения критичной информации:
a. по ключевым словам, в том числе с возможностью ограничений по взаимному расположению искомых слов;
b. возможность обнаружения похожих документов на основе снятых отпечатков конфиденциальной информации с образца, схожего по содержанию и смыслу с искомым;
c. по формальным признакам сообщений и файлов (доменный пользователь, имя компьютера, отправитель, получатель, размер, имя файла, формат и др.), в том числе для файлов, из которых не может быть извлечен текст;
d. по заранее заданному словарю/классификатору данных с целью выявления определенных типов документов (резюме, финансовые и бухгалтерские отчеты, и пр.);
e. созданию комплексных поисковых запросов, включающих в себя несколько критериев (фразовый поиск и по целым документам и атрибутам).
f. по регулярным выражениям – поиск сложных алфавитно-цифровых объектов (номера паспортов, индивидуальные номера налогоплательщиков, номера кредитных карт, договоров или счетов, кодов классификаторов и т.п.), с возможностью создания комплексных регулярных выражений (состоящих из нескольких простых), задания порога срабатывания по суммарному количеству регулярных выражений, количеству вхождений регулярного выражения в документ и количеству промежуточных символов между регулярными выражениями, возможностью использования как стандартных выражений, включенных в дистрибутив, так и создание пользовательских, а также с возможностью проверки полученных результатов;
g. по цифровым отпечаткам конфиденциальных документов (включая вложенные файлы), с возможностью указания порога срабатывания;
h. по значениям атрибутов баз данных (как общих атрибутов, так и уникальных для отдельных продуктов);
i. по количественным показателям статистических запросов (числу отправленных писем содержащих чувствительную информацию.);
22. Система должна соответствовать положениям пункта 54-1 Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832.
23. Функциональность анализатора отпечатков (файловых и табличных) должна поддерживаться автономно на каждом сервере и конечном компьютере за счет автоматической репликации хранилища.
24. Система должна предоставлять возможность выбора вычисления порогов срабатывания - либо интегрально по всему сообщению, либо независимо по каждой части сообщения, для всех типов классификаторов данных.
25. Отпечатки данных должны сниматься с одного источника данных и автоматически применяться на всех анализаторах и площадках организации, путем односторонней репликации из центра.
26. Система должна предоставлять возможность задействовать классификатор цифровых отпечатков многократно в нескольких политиках, выбирая нужные поля в каждом случае независимо (т.е. единый классификатор из 10 млн записей может быть задействован многократно в разных политиках с разным набором полей в каждом случае).
27. Система должна предоставлять возможность задавать расписание, по которому синхронизируется база отпечатков между центральным офисом и подразделениями.
28. Система должна иметь возможность подключаться к источнику данных в базе данных напрямую по протоколу Open Database Connectivity.
29. Система должна давать возможность комбинировать содержимое полей и задавать индивидуальные пороги для каждого из сочетаний (т.е. Фамилия, Имя, Отчество – порог равен 5; Фамилия, Имя, Лицевой Счет – порог равен 10, и т.д.).
30. Система должна обнаруживать черновики и редакции документов, измененные или скопированные, требуя однократного снятия отпечатка с единственной версии документа.
31. Система должна иметь возможность игнорировать заданные фрагменты текста при анализе. Срабатывание должно происходить только на том содержимом, которое является конфиденциальным. Например, система не должна опознавать пустые шаблоны, бланки и «рыбы» документов, как конфиденциальные, в том случае, когда отпечаток снимается с заполненного бланка и шаблона.
32. В системе должна быть реализована возможность использования словарей с весовыми коэффициентами, где каждому ключевому слову соответствует свой коэффициент.
33. В системе должна быть реализована возможность создания нескольких классификаторов на основе весовых словарей, с независимым определением порога срабатывания по каждому классификатору.
34. В системе должна быть реализована возможность использования весовых словарей как в режиме подсчета уникальных совпадений, так и в режиме подсчета повторяющихся совпадений.
35. В системе должна быть реализована функция вычисления контрольных разрядов для тех данных, которые подчиняются математическому закону. Например, система должна использовать алгоритм Луна для проверки номеров пластиковых карт, а также принятые правительством РК алгоритмы проверки и формирования номеров РНН, ИИН/БИН.
36. Система должна опознавать данные по наличию лингвистического контекста. Например, для генерации инцидента в дополнение к математической проверке текста система должна требовать наличия определенных ключевых слов в непосредственной близости от кода.
37. В системе должна быть возможность одновременного выбора нескольких отраслевых пакетов готовых классификаторов данных.
38. В системе должна быть возможность выбора региональных пакетов готовых классификаторов.
39. Система должна иметь готовые шаблоны для защиты персональных данных, включающие словари имен и скрипты для сложных алфавитно-цифровых объектов, позволяющие защищать данные без предварительного обучения системы.
40. Система должна иметь готовые классификаторы должны поставляться с регулировкой уровня чувствительности по трем положениям – малый, средний, полный.
41. Система должна производить обнаружение нестандартного шифрования, которое является признаком работы действующих программных шпионов, крадущих данные из сети.
42. Система должна обеспечивать устойчивость к следующим видам манипуляции с информацией:
43. импортирование фрагмента конфиденциальной информации в документы, не являющиеся конфиденциальными;
44. изменение порядка слов;
45. изменения расстояний между словами;
46. изменение форматирования документа;
47. Система должна производить обнаружение конфиденциальной информации посредством модуля для поиска конфиденциальной информации в сети компании, включая файловые серверы, компьютеры пользователей и баз данных, где сканирование базы данных происходит напрямую, без выгрузки данных.
48. Система должна обеспечивать защиту от кражи файлов с хэшами паролей.
49. Система должна осуществлять сетевой мониторинг и предотвращение (автоматическую блокировку) информационных утечек при выполнении заданий сетевой печати, с функциями оптического распознавания текста (OCR), без использования агентов на конечных компьютерах.
50. Система должна иметь агенты для АРМ, работающих под управлением ОС: Microsoft Windows, Linux, для инспектирования файлов, копируемых на съемные диски.
51. Система должна обеспечивать предотвращение утечек конфиденциальных документов на АРМ пользователей находящихся, как внутри корпоративной сети, так и за ее пределами (без связи с корпоративной сетью) осуществляя контроль:
52. при работе с онлайн-приложениями (SaaS), контроль операций: открытие конфиденциальных файлов, копирование/вставка в/из буфера обмена (Copy/Paste).
53. при работе с приложениями типа Instant Messaging(в т.ч. Skype); контроль операций: открытие конфиденциальных файлов, копирование/вставка в/из буфера обмена (Copy/Paste).
54. локальной печати.
55. копирования информации на съемные накопители.
56. при работе с приложениями Windows, с опознаванием по имени и/или содержимому выполняемого файла; а также осуществлять контроль операций: открытие конфиденциальных файлов, копирование/вставка в/из буфера обмена (Copy/Paste).
57. Система должна предотвращать утечки табличных данных на АРМ пользователей при работе с онлайн-приложениями (SaaS), с опознаванием по адресу URL.
58. Система должна обеспечивать сохранение полного набора всех имеющихся аналитических средств (включая цифровые отпечатки) при потере связи анализатора на удаленной площадке с сервером управления.
59. Агенты для АРМ должны иметь возможность гибкой настройки групп отслеживаемых приложений, во избежание неконтролируемого расхода ресурсов центрального процессора.
60. Агенты для АРМ должны иметь возможность безопасной деактивации по запросу и систему исключений из правил.
61. Агенты для АРМ должны устанавливаться и функционировать на виртуальных рабочих станциях.
62. Агенты для АРМ должны предоставлять возможности контроля использования пользователем внешних устройств (СD-/DVD-приводы, съемные накопители USB и FireWire, USB-устройства, Wi-Fi) и портам на основе контекстного анализа записываемой информации.
63. Агенты для АРМ должны предоставлять возможность шифрования данных, записываемых на USB-устройства. Настройки шифрования должны позволять задать правила, в которых можно выбрать пользователей/группу пользователей, записываемые данные которых будут зашифрованы, а также пользователей/группу пользователей, доступ к зашифрованным данным, для которых будет разрешен.
64. Агенты для АРМ должны позволять производить мониторинг/блокировку доступа приложений к файлам на основе их содержимого, в том числе обеспечивать защиту от использования программ шифрования и шифрованной записи на внешние носители.
65. Правила контроля приложений должны строиться на основании групп приложений, с возможностью создания/добавления собственных программ.
66. Система должна обеспечивать протоколирование файлов, статически хранящихся, создаваемых, изменяемых на рабочих станциях пользователей, возможностью выборки протоколируемых ресурсов (рабочие станции, файл-серверы, отдельные жесткие диски и папки) и возможностью настройки хранения/создания копии файлов на основе их содержимого и предоставлять информацию о месте расположения оригинального документа.
67. Система должна предоставлять возможность исключения из аудита системных файлов и создания фильтра сканируемых данных по типам файлов, дате создания и месту хранения.
68. Система должна обеспечивать локальное сканирование конфиденциальных документов с помощью цифровых отпечатков на пользовательских рабочих станциях без связи с корпоративной сетью, с возможностью запуска произвольного сценария немедленной автоматической реакции непосредственно на станции (перемещение, удаление и т.д.).
69. Система должна иметь возможность блокировать транзакцию на внешний накопитель по следующим параметрам: Количество переданных файлов за определенный отрезок файла. При этом, если лимит стоит 15 файлов за 10 минут, при передаче пользователем 20 файлов, 15 должно быть передано, а 16 заблокирован. Также система должна блокировать транзакцию по переданном объему информации.
70. Система должна иметь возможность контекстного анализа: с помощью контекстного меню просканировать 1 выбранный файл на наличие нарушений безопасности
71. Система должна иметь свой модуль классификации данных.
72. Система должна иметь возможность аудита файловых хранилищ.
73. Система должна иметь возможность контроля передачи файлов от локального компьютера к файловому хранилищу, и наоборот от файлового хранилища на локальный компьютер. Архитектурные требования
74. Система должна предоставлять возможность хранения и архивирования собранных на всех уровнях защиты доказательств на внешнем хранилище с разбиением на периоды времени.
75. Агенты для рабочих станций должны иметь возможность безопасной деактивации по запросу и систему исключений из правил.
76. Все функции системы должны выполнятся в рамках единого решения, единой СУБД для перехваченных данных и вердиктов. Исключением служат сторонние сервисы, с которыми возможна интеграция Системы.
77. Теневые копии файлов для экономии ресурсов и легкости в управлении должны храниться отдельно от базы данных с возможностью выбора места размещения в виде диска.
78. Модуль хранения должен обеспечивать запись теневых копий информации и метаданных об инциденте, включая оригиналы сообщений и файлов. Требования к проведению работ Работы по инсталляции системы включают в себя:
79. Установку программного обеспечения на оборудовании Заказчика в соответствии с техническим заданием, рекомендациями производителя и требованиями заказчика.
80. Настройку системы исходя из требований и специфики заказчика, а также рекомендаций производителя.
81. Подключение и настройку источников образцов конфиденциальной информации, включая структурированные и не структурированные данные.
82. Описание конфиденциальной информации в системе контроля, исходя из требований и специфики заказчика, существующими в системе механизмами.
83. Разработку и документирование политик контроля конфиденциальной информации.
84. Разработку и настройку процесса рассылки уведомлений.
85. Обучение не менее 2-х специалистов Заказчика по настройке, администрированию и обработке инцидентов в рамках поставляемой системы на базе Заказчика. Проведение работ должно производиться с соблюдением действующих на территории Казахстана законов, норм и правил. Срок оказания услуг: в течение 20 рабочих дней со дня поставки товара и предоставления необходимой материально-технической базы. Требования к технической поддержке поставщика В течение срока подписки на лицензии поставщик должен оказывать в рабочие часы (8/5) локальную техническую поддержку, обучение и консультации при разработке политик безопасности и другие услуги, связанные с работоспособностью системы, на русском языке через портал технической поддержки, email и телефонный номер РК. Условия оказания локальной технической поддержки:
• Техническая поддержка поставляемой системы должна оказываться Поставщиком (являющимся первой линией поддержки) совместно с компанией производителем.
• Услуги первой линии технической поддержки поставляемой системы должны оказываться Поставщиком, являющимся авторизованным партнером производителя решения и имеющим в своем штате сертифицированных специалистов.
• Техническая поддержка должна оказываться Поставщиком в течение 1 (одного) года с момента подписания Акта приема-передач Товара и осуществляется как на площадке Заказчика, так и по телефону и/или электронной почте.
• Время обеспечения технической поддержки Поставщиком: с 9.00 до 18.30 по времени г. Нур-Султан в рабочие дни (с понедельника по пятницу, исключая праздники) и состав услуг.
• Техническая поддержка поставляемой системы должна включать в себя услуги по:
- уточнению функций и характеристик;
- разъяснению технической документации и руководств по эксплуатации;
- консультации и рекомендации по использованию и применению;
- анализу, идентификации и рекомендациям по устранению сбоев и ошибок в работе;
- оказанию консультативной помощи в решении проблем, связанных с некорректной настройкой или работой;
- предоставлению доступа к базе знаний производителя;
- предоставлению доступа к пакетам обновлений и исправлений.
• Запросы на техническую поддержку, а также вся дополнительная информация и иная переписка в ходе решения проблемы должны приниматься Поставщиком посредством выделенной электронной почты или через портал технической поддержки. Подтверждения о получении запросов, ответы на запросы и иная переписка в ходе решения проблемы направляются Поставщиком Покупателю по электронной почте на адрес, с которого поступил запрос.
• Решение проблемы может заключаться в следующем:
- рекомендации по решению проблемы;
- рекомендации по изменению настроек программного обеспечения или конфигурации аппаратного обеспечения для устранения или обхода проблемы.
• Поставщик должен обеспечивать следующие условия оказания технической поддержки по запросам Покупателя, полученным по электронной почте: o Подтверждение о получении запроса и его принятии к исполнению должен направляться Покупателю:
- не позднее 2 часов после получения запроса, если запрос поступил в рабочее время до 16.00 по времени г. Нур-Султан;
- не позднее 10.00 следующего рабочего дня, если запрос поступил после 16.00 или в нерабочее время. o Если проблема является известной Поставщику, и он знает ее решение, ответ должен направляться Покупателю в течение 4 рабочих часов после отправки подтверждения о получении запроса и его принятии к исполнению. o Если решение проблемы не известно Поставщику:
- если Поставщику не удается найти решение в течение 16 рабочих часов после отправки подтверждения о получении запроса и его принятии к исполнению, то проблема может эскалироваться службам технической поддержки производителя;
- Поставщик должен информировать Покупателя обо всех рекомендациях производителя в отношении проблемы не позднее 8 рабочих часов после их получения;
- Поставщик должен прилагать максимальные усилия для скорейшего решения проблемы, и работать над проблемой до тех пор, пока проблема не будет решена или не будет утрачена ее актуальность. o В ходе решения проблемы Поставщик может запрашивать у Покупателя дополнительную информацию, необходимую для решения проблемы, удаленный доступ к администрированию системы, а также может просить о проведении дополнительных тестов/исследований для получения необходимой информации. Установленные выше сроки могут продлеваться в соответствии с задержками, вызванными получением дополнительной информации от Покупателя. Условия поставки Гарантийное техническое обслуживание (тех. поддержка) от производителя не менее 12 месяцев с возможностью обращения в службу ТП 24х7. Срок поставки товара: в течение 20 рабочих дней со дня регистрации Договора.