Beruflich Dokumente
Kultur Dokumente
Documento:
Fecha:
Septiembre 2014
Elaborado por:
Revisin:
Autorizacin:
Contenido
CONTENIDO ................................................................................................................................................. 2
1.
OBJETIVO............................................................................................................................................. 3
2.
VIGENCIA ............................................................................................................................................. 3
3.
4.
5.
5.2.
ENTREGABLES .................................................................................................................................... 18
7.1.
7.2.
8.
6.1.
6.2.
7.
ENTREGABLES .................................................................................................................................... 15
5.1.
6.
PARTIDA NICA
SERVICIOS DE CORRELACION DE EVENTOS
1. OBJETIVO
LA CONVOCANTE requiere de los servicios de correlacin de eventos por medio de una solucin
unificada de seguridad ofreciendo descubrimiento de activos, deteccin de vulnerabilidades,
monitoreo de comportamiento, deteccin de amenazas y contextualizacin de la seguridad. Todo
correlacionado para ofrecer capacidades ya integradas de seguridad, proporcionando una visibilidad
de la infraestructura tecnolgica a nivel de seguridad.
Deber ejecutar la recoleccin y ordenamiento de la informacin que se genere y realice la
correlacin por firmas as como correlacin cruzada de eventos y/o incidencias de seguridad para
hacer valoraciones sobre el estado de la red o buscar patrones que sirvan para detectar si es
atacada.
2. VIGENCIA
EL LICITANTE deber considerar una vigencia a partir de la firma de contrato y hasta el 31 diciembre
del 2014.
3.1.
DESCRIPCIN
SERVICIO
MONTO
MENSUAL
Los sitios que EL LICITANTE deber contemplar para la prestacin de los servicios los cuales
pueden incluir: instalacin, configuracin, mantenimiento preventivo y correctivo,la puesta a punto
as como el traslado (en caso de requerirse) para proporcionar este servicio son:
3.2.
CARACTERSTICAS TCNICAS
Los reportes de mtricas e indicadores bajo demanda y en tiempo real sean generados a travs de
un mapeo de correlacin entre las reglas de los controles y la informacin de la norma aplicada.
El servicio deber ser capaz de integrarse con active directory y soportar alta disponibilidad
El servicio debe contemplar como mnimo el uso de los siguientes componentes:
Sensores
Este elemento es el encargado de recolectar informacin de la red y enviarla al servidor SIEM para
su almacenamiento y proceso. Son desplegados en diferentes nodos de la red, para monitorizar su
actividad y deben contener:
1. Detectores de bajo nivel y monitores que, pasivamente (sin afectar al rendimiento de la red)
recolecten datos buscando patrones.
2. Escneres que pueden buscar vulnerabilidades en la red activamente.
3. Agentes que reciben datos (logs) de mquinas, dispositivos y aplicaciones, incluso
propietarias as como plugins especficos para cada tipo de log que se traten a efectos de
recepcin, normalizacin y envo tanto en formato original como normalizado.
Sean capaces de recolectar informacin (logs) sin ser intrusivos, aunque a veces sea necesario
instalar agentes en las mquinas monitorizadas. Cada sensor desplegado permita monitorizar al
menos 4 puntos de red.
Se incluya software para la deteccin de intrusos, monitorizacin de red y anomalas. Se encargan
tambin de la recoleccin de logs y envo de eventos normalizados al servidor.
SIEM
(Security information and event management, por sus siglas en ingls)
Permite la monitorizacin y la correlacin de eventos en tiempo real, que pueda recibir eventos tanto
de las herramientas incluidas en sus sensores como de dispositivos comerciales o aplicaciones
propietarias, por medio del uso de plugins configurables, tanto especficos como genricos. Sus
funciones principales sern:
1. Tareas generales como: normalizar, priorizar, recolectar y, evaluar el riesgo.
2. Ejecutar el motor de correlacin: basado en reglas, el cual permita correlacionar informacin
de mltiples fuentes distintas y generar alertas confirmadas.
3. El mantenimiento preventivo y correctivo y las tareas externas, tales como backups, backups
programados, inventario online o lanzamiento de escaneos.
4. Envo de logs en formato normalizado a la Base de Datos de Tiempo Real.
Dicho SIEM ser el encargado de recibir los eventos detectados por los sensores, evaluar el riesgo
de los mismos y ejecutar el motor de correlacin. Tambin permitir la definicin de polticas para la
notificacin o actuacin como reenvo de logs en bruto al logger, se debe incluir una consola de
administracin
Logger
Se encargar del almacenamiento masivo de logs utilizando escritura directa a disco, de firmar
digitalmente dichos logs y de verificar su integridad y custodia.
Se utilizar para:
1. Almacenar los logs en su formato original, firmados, comprimidos y cifrados de forma
centralizada.
2. Servir los resultados de las bsquedas lanzadas sobre la estructura jerrquica del
almacenamiento (file system).
Incluye el software correspondiente de acceso a los datos y sistema de consultas.
Considerar que el log original se almacena como un campo ms de la base de datos del mdulo
SIEM, el ciclo de rotacin de la misma es corto, mientras que con el mdulo LOGGER incorporado
se podrn mantener on-line los logs originales generados durante un periodo muy largo de tiempo.
(12 meses)
La firma criptogrfica de la informacin orientada a verificar la integridad de sta se produce mediante
OpenSSL haciendo uso por defecto del algoritmo RSA, se salva un hash SHA1 la longitud de la firma
es de 1024 bits, esto ser completamente configurable, permitiendo el uso de otros algoritmos con
otras dimensiones en bits.
El modo de firmado establecido en la implantacin es por bloque, se almacenan ficheros completos
y se firman por defecto.
El servicio de correlacin de eventos deber incluir el licenciamiento necesario para cumplir con las
funcionalidades y requerimientos mnimos solicitados.
Si la solucin incluye algn tipo de licenciamiento, ste deber ser efectivo durante un periodo
mnimo de 12 meses a partir de la puesta a punto.
El servicio ofertado por EL LICITANTE deber considerar un appliance de propsito especfico.
El producto ofertado por EL LICITANTE deber de cumplir con todas las caractersticas descritas en
el punto 3.2. de este documento, si la propuesta tcnica no cumple con alguna de estas
caractersticas la propuesta ser desechada.
As tambin, deber cumplir los siguientes requerimientos de un SIEM:
1. El sistema deber permitir recoleccin de registros de eventos de todos los dispositivos de
red sin necesidad de escribir cdigo (desarrollo) para agentes de integracin, aquellos
dispositivos que no sean soportados de fbrica se debe suministrar una herramienta que
permita incluirlos.
2. El sistema deber estar orientado a recoleccin de registros de eventos para operaciones
de seguridad y de cumplimiento de regulaciones (GPG 13, ISO 27001/27002, SOX, FISMA,
PCI DSS, HIPAA, etc.).
3. Se debe recolectar y almacenar el 100% de los datos de cada plataforma.
4. La solucin debe demostrar capacidad de custodia de los registros de eventos, es decir, que
se guarden de manera segura, confiable e inalterable y puedan ser datos adecuados para
evidencia digital.
5. Deber contar con administracin basada en una interfaz Web.
6. Los registros de eventos se debern almacenar en formato nativo (RAW).
7. Deber estar en capacidad de recolectar eventos de las siguientes fuentes:
a. Syslog, Syslog NG
b. SNMP
c.
8. El sistema debe comprimir los datos almacenados con una tasa 10:1 real de almacenamiento
en disco.
9. La solucin debern contar con discos duros internos en configuracin de RAID 5 o RAID 6
y deber permitir el uso de disco externo como medio de almacenamiento adicional para
cumplir con los requerimientos de retencin de informacin.
10. El sistema deber permitir la clasificacin de los dispositivos monitoreados.
11. El sistema deber estar diseado para soportar altas cargas de: eventos mnimo 2,500 EPS,
dispositivos y prever picos.
12. El sistema debe estar en la capacidad de permitir el acceso inmediato y en tiempo real a la
informacin.
13. El sistema no deber usar agentes externos o instalacin de software en los dispositivos a
monitorear.
14. El sistema debe permitir, para efecto de almacenamiento de informacin histrica, la
conexin con sistema de almacenamiento externo.
15. El sistema deber ser escalable y soportar crecimiento de dispositivos as como flujo de
registros de eventos.
16. El sistema deber instalarse en esquema de alta disponibilidad.
17. El sistema deber soportar arquitecturas distribuidas en componentes (recolectores,
manejadores de datos y analizadores), soportando el re-uso en el momento de un cambio
de arquitectura.
18. El sistema deber ser orientado a la facilidad de instalacin, configuracin y mantenimiento
preventivo y correctivo.
19. El sistema deber estar en la posibilidad de generar alertas en tiempo real basados en reglas
de correlacin definidas.
20. El sistema debe estar en capacidad de tener una visin holstica de la gran cantidad de
dispositivos y formatos de recoleccin de logs; esto para minimizar la complejidad y mejorar
la eficiencia del anlisis de este tipo de informacin; todo lo anterior para asegurar que el
sistema est en la capacidad de correlacionar eventos que por s solos no revistaran riesgo
alguno, pero que visto en varios dispositivos si podra significar riesgos y/o ataques. Las
correlaciones que debe implementar el sistema deben buscar patrones de eventos en
mltiples dispositivos, en lneas de tiempo puntuales para reducir falsos positivos en
herramientas de propsito especfico.
21. El sistema debe incluir reglas de correlacin preconfiguradas y parametrizables para
ataques/riegos/fallas comunes tales como:
j.
k.
l.
m. Malware Trojan.
n. Ataques DoS
o. Otros
22. Las reglas pre-configuradas debern ser actualizadas por el fabricante y debern basarse
en los ataques, riegos y fallas ms comunes.
23. La definicin de reglas de negocio debern basarse en reglas correlacionadas.
24. El sistema debe incluir reglas de correlacin sobre las mejores prcticas que existen en el
mercado.
25. Deber manejar definiciones de vulnerabilidades de los dispositivos integrados a la solucin.
26. Las alertas generadas por el sistema debern poderse enviar en los siguientes formatos:
a. Generacin de un archivo de Texto
b. Envo de una trama SNMP
c.
27. La solucin deber incluir un sistema de respuesta a incidentes basado orientado a CSIRT
(Computer Security Incident Response Teams) permitiendo tener una solucin escalable a
Nivel de Centros de Operacin de Seguridad (SOC) y/o Centro de Operaciones de Red
(NOC)
28. El manejador de incidentes deber permitir la gestin o la integracin con una herramienta
para la gestin de casos por medio de flujos de trabajo, con mnimo el siguiente ciclo de vida
del incidente:
a. Notificacin
b. Organizacin, categorizacin y priorizacin del incidente.
c.
Anlisis
Remediacin.
29. El sistema debe proveer una base predefinida de reportes estndar que permitan su
aprovechamiento desde el inicio de la puesta en produccin
30. El sistema deber permitir programar la ejecucin y entrega de los reportes construidos.
31. El sistema deber proveer reportes de auditoria pre-construidos basados en leyes de
cumplimiento como ISO 27001/27002, SOX, FISMA, PCI DSS, HIPAA, etc.
32. Los reportes se debern poder enviar por correo electrnico.
33. El sistema deber poder exportar los datos en formato estndar para uso con otras
herramientas (CSV, PDF)
34. El sistema deber permitir agrupar los dispositivos monitoreados para la facilidad de uso.
35. El sistema deber permitir el uso de roles y perfiles para el acceso a los recursos de la
herramienta de los usuarios.
36. El sistema deber ser capaz de determinar el comportamiento de los sistemas monitoreados
para generar referencias base y aprender con el tiempo de dichos comportamientos.
37. Debe soportar de forma nativa la recoleccin de registros de eventos desde
aplicaciones/dispositivos de seguridad, sistemas operativos, bases de datos y elementos de
red.
38. Deber contar con un mdulo de anlisis forense en donde se pueda ver los datos histricos
y/o en tiempo real.
39. La base de datos debe estar incluida en el precio de la solucin y se espera que sea auto
gestionado para no incurrir en costos y tiempos de DBAs para su mantenimiento preventivo
y correctivo.
40. Integracin con soluciones de DLP (Data Lost Preventions - Prevencin de prdida de datos)
propias y de otros fabricantes.
41. Debe tener integracin con Active Directory, para permitir el acceso a usuarios del AD
existente.
42. Que la aplicacin tenga soporte para SAN y NAS.
Fase I: Planeacin.
4.1.
FASE I PLANEACIN
EL LICITANTE deber realizar la planeacin del proyecto para la puesta a punto del servicio ofertado,
tomando como mnimo las siguientes actividades:
Deber proporcionar una matriz de escalamiento la cual deber incluir el nombre del
responsable, puesto, telfono y direccin de correo electrnico, misma que deber ser vlida
tanto en la instalacin como en la operacin de las soluciones.
Deber proporcionar una matriz de riesgos, misma que deber contener las estrategias de
mitigacin.
Elaborar un plan de trabajo en donde se incluirn todas las etapas necesarias para la
implementacin del servicio.
Y todas aquellas tareas necesarias en esta fase del proyecto que EL LICITANTE considere
necesarias.
4.2.
El LICITANTE deber realizar el diseo de la interconexin del servicio ofertado, el cual ser definida
en conjunto con el personal que LA CONVOCANTE designe. El diseo deber ser realizado de
acuerdo a las mejores prcticas del fabricante y cumpliendo con las necesidades de LA
CONVOCANTE, tomando como mnimo las siguientes actividades:
Levantamiento de informacin.
Y todas aquellas tareas necesarias en esta fase del proyecto que EL LICITANTE considere
necesarias para su buen trmino.
4.3.
FASE III
IMPLEMENTACIN
EL LICITANTE deber realizar la implementacin del servicio ofertado de acuerdo al plan de trabajo
prestablecido, tomando como mnimo las siguientes actividades:
Interconexin de la solucin.
Configuracin de protocolos.
Configuracin de reglas.
Y todas aquellas tareas o configuraciones necesarias en esta fase del proyecto que EL
LICITANTE considere necesarias para su buen trmino.
4.4.
Para las pruebas de verificacin del correcto funcionamiento de la red, EL LICITANTE deber
considerar como mnimo lo siguiente:
Inspeccionar fsicamente
correctamente.
Y todas aquellas tareas o pruebas de verificacin necesarias en esta fase del proyecto que
EL LICITANTE considere necesarias para su buen trmino.
4.5.
que
todos
los
componentes
se
encuentren
operando
Este servicio deber ser proporcionado por EL LICITANTE y deber considerar como mnimo los
siguientes aspectos:
EL LICITANTE ganador deber integrar en el plan de trabajo todas aquellas actividades necesarias
para la correcta operacin y funcionalidad de la solucin ofertada, y cualquier actividad que no haya
sido descrita en el plan de actividades y que sea necesaria para la correcta operacin e integracin
de la solucin, sin que ello genere cargos extras para LA CONVOCANTE.
FASE 1
FASE II
FASE III
FASE IV
FASE V
PLANEACIN
DISEO DE
INTERCONEXIN
IMPLEMENTACIN
PRUEBAS Y VERIFICACIN
TRANSFERENCIA DE
CONOCIMIENTOS Y
OPERACIN
Duracin de 2 semanas
mximo.
Duracin de 1 semanas
mximo.
Duracin de 1 semana
mximo.
Inicia a partir
de la emisin
del fallo.
Duracin de 3
semanas
mximo.
Duracin de 1
semana mximo.
5. ENTREGABLES
La siguiente tabla describe la base de entregables que EL LICITANTE deber entregar en las fechas
especificadas; EL LICITANTE podr agregar a esta lista, los entregables que considere necesarios
de acuerdo al plan de trabajo establecido en conjunto con LA CONVOCANTE.
TABLA 2. PLAN DE ENTREGABLES
FASE
Fase I
Fase II
ID
E-01
Plan de Trabajo
E-02
Matriz RASCI
E-03
Matriz de riesgos
E-04
SOW (SCOPE OF
WORK)
E-05
Reporte de
levantamiento de
informacin
Fase III
E-06
Fase IV
E-07
Fase V
ENTREGABLE
Plan de
implementacin y
ejecucin de la
implementacin
Protocolo de pruebas
de funcionalidad de la
solucin
E-08
Taller de transferencia
de conocimientos
E-09
Memoria Tcnica
FECHA DE
ENTREGA
PRIMERA
SEMANA
DESPUS
DEL FALLO
SEGUNDA
SEMANA
DESPUS
DEL FALLO
SEGUNDA
SEMANA
DESPUS
DEL FALLO
SEGUNDA
SEMANA
DESPUS
DEL FALLO
TERCERA
DESPUS
DEL FALLO
QUINTA
SEMANA
DESPUS
DEL FALLO
MEDIO
Electrnico e impreso
Electrnico e impreso
Electrnico e impreso
Electrnico e impreso
Electrnico e impreso
Electrnico e impreso
Electrnico e impreso
(2 juegos)
Electrnico e impreso
Electrnico e impreso
5.1.
MEMORIA TCNICA
Instalacin de la solucin.
Configuracin de la solucin.
5.2. CAPACITACIN
EL LICITANTE deber incluir la capacitacin a nivel de certificacin de la solucin para al menos 2
(dos) personas que LA CONVOCANTE designe.
La capacitacin bsica deber programarse y ejecutarse durante las primeras 6 (seis) semanas a
partir de la emisin de fallo.
La capacitacin se llevar a cabo en un lugar acordado por las partes, pudindose llevar a cabo tanto
en las instalaciones de LA CONVOCANTE como en las de EL LICITANTE.
SOLICITUDES DE SERVICIO
Entindase como solicitud de servicio, de forma enunciativa ms no limitativa, toda aquella que LA
CONVOCANTE solicite a la mesa de ayuda de EL LICITANTE y que no sea motivo de incidente
activo.
Dentro de estas solicitudes de servicio estn las siguientes:
Estas solicitudes deben ser atendidas conforme al nivel de atencin indicado en la seccin niveles
de servicio.
DESCRIPCIN
Asistencia en sitio de
personal de EL
LICITANTE en caso de
incidente fuera del
horario del personal en
sitio o para el caso de
CORRELACIN DE personal de 2 nivel.
EVENTOS
Atencin telefnica para
la atencin de
incidentes o problemas
Niveles de atencin a
solicitudes de servicio.
NIVEL APLICABLE
Los reportes de incidentes que llegarn a presentarse durante la vigencia del contrato se
validarn en su cierre mediante la aprobacin del mismo por el responsable que LA
CONVOCANTE designe.
El nivel de atencin del servicio y disponibilidad de forma mensual deber ser del 99.45%,
en caso de no cumplir con este nivel de atencin para la solucin de incidentes, fallas,
problemas o cualquier situacin que afecte la operacin de la infraestructura, EL LICITANTE
ser acreedor a la aplicacin del servicio efectivamente otorgado.
6.1.
ATENCIN DE INCIDENTES
Para aquellos casos en los cuales EL LICITANTE incumpla con los tiempos de atencin y solucin
de incidentes o problemas con la solucin ofertada, que sea atribuible al licitante e incumpla con el
nivel de atencin solicitado, el servicio efectivamente otorgado por cada minuto de afectacin ser
calculado con la siguiente frmula:
SEO =
6.2.
En caso de incumplimiento por documentacin faltante, o que esta no cubra los requisitos mnimos
estipulados, EL LICITANTE tendr un tiempo mximo de 12 horas, posterior a la notificacin por
parte de LA CONVOCANTE para solventar el requerimiento, posterior a esto, por cada da de retraso
en la presentacin de los documentos, reportes, evidencia, etc., solicitados; el servicio efectivamente
otorgado por cada da de atraso ser calculado con la siguiente frmula:
SEO =
7. ENTREGABLES
7.1.
REPORTE DE INCIDENTE
7.2.
Nmero de ticket
Este reporte ser validado por el rea que LA CONVOCANTE designe para que se emitan los
cambios que sean necesarios, sin que estos, modifiquen la esencia real del contenido del ticket o
reporte.
Al finalizar el mes se entregar, por parte del LICITANTE adjudicado el reporte concentrado de los
reportes mensuales, ya totalmente validados, el cual, deber ser entregado durante los primeros 5
(cinco) das naturales, al inicio de cada mes.
En caso de incumplimiento EL LICITANTE se har acreedor a sancin econmica conforme se indica
en la seccin de Servicios Efectivamente Otorgados.
7.3.
Cantidad
Correlacin de eventos
PRECIO TOTAL
7.4.
EL LICITANTE ganador deber de realizar los reportes de incidentes derivados a fallas en la solucin
objeto del contrato de mantenimiento preventivo y correctivo preventivo y correctivo, en dichos
reportes se deber de incluir al menos los siguientes rubros que a continuacin se enlistan.
I.
Objetivo
II.
Antecedentes
III.
Acciones Realizadas
IV.
V.
VI.
Afectacin
VII.
INICIO DE INCIDENCIA:
FIN DE INCIDENCIA:
Glosario de Trminos