10 марта 2016 года Экспертное заключение на соответствие представленных тендерных заявок потенциальными поставщиками товаров по программному обеспечению контроля и учета привилегированных учетных записей технической спецификации ТОО TOO «Adeline» «COMPAREX Kazakhstan» № (Компарекс Требования Описание требования Приоритет Казахстан) п/п Требования к протоколам администрирования ФТ-1.1 Администрирование объектов Обязательное инфраструктуры по протоколу SSH ФТ-1.2 Администрирование объектов Обязательное инфраструктуры по протоколу RDP ФТ-1.3 Администрирование объектов Обязательное инфраструктуры имеющих Web интерфейс управления (администрирование по протоколу HTTP/HTTPS) ФТ-1.4 Администрирование по другим Рекомендуемое протоколам. Наличие возможности конфигурации АС для обеспечения безопасного администрирования объектов инфраструктуры по другим протоколам, используемым у Заказчика, оценивается положительно. ФТ-1.5 Отсутствие необходимости Обязательное установки агентов на объекты администрирования для реализации парольной политики и записи привилегированных сессий. Требования к поддерживаемым объектам администрирования ФТ-2.1 Администрирование серверов с ОС Обязательное семейства UNIX (AIX, HP-UX, Solaris) ФТ-2.2 Администрирование серверов ОС Обязательное семейства Windows Server (2003, 2008, 2012) ФТ-2.3 Администрирование контроллеров Обязательное домена Microsoft Windows ФТ-2.4 Администрирование объектов Обязательное инфраструктуры VMware (всех компонентов) и Microsoft Hyper-V ФТ-2.5 Администрирование терминальных Обязательное серверов Citrix ФТ-2.6 Администрирование серверов Обязательное СУБД ФТ-2.7 Администрирование MQ server Обязательное ФТ-2.8 Администрирование файловых Обязательное ресурсов (серверы и NAS) ФТ-2.9 Администрирование активных Обязательное коммутаторов ЛВС (ведущих производителей) ФТ-2.10 Администрирование активных Обязательное маршрутизаторов ЛВС (ведущих производителей) ФТ-2.11 Администрирование межсетевых Обязательное экранов (ведущих производителей) ФТ-2.12 Администрирование FCРекомендуемое коммутаторов и SAN маршрутизаторов Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует ФТ-2.13 Администрирование рабочих Обязательное станций под управлением ОС семейства Windows (ХР, 7, 8) ФТ-2.14 АС должна обеспечивать Обязательное возможность интеграции произвольного интерфейса администрирования. Архитектурные, интеграционные и эксплуатационные требования ФТ-3.1 Архитектура системы должна Обязательное предусматривать ее установку в «логический разрыв», когда без изменения сетевой инфраструктуры обеспечивается функционал изоляции сессии администрирования и невозможность получения административного доступа к объекту администрирования. ФТ-3.2 Доступ КА к объектам Обязательное администрирования должен производиться через портал администрирования, на котором КА аутентифицируется и выбирает объект администрирования из доступных ему в соответствии с его функциональными обязанностями. ФТ-3.3 Среда исполнения сессий Обязательное администрирования (сервер АС) должна иметь возможность реализации на стандартном КТС, в том числе поддерживать виртуализацию своих компонентов. ФТ-3.4 Хранение параметров Обязательное привилегированных учётных записей, настройки параметров контроля и организация видеоархива операций администрирования объектов инфраструктуры должны быть на базе выделенного защищенного хранилища. ФТ-3.5 Защита хранилища должна Обязательное обеспечиваться путем ограничения доступа к нему по дискреционной модели доступа с возможностью использования ролевой модели. Данные в хранилище должны быть зашифрованы. Хранилище должно быть защищено от НСД. ФТ-3.6 АС должна поддерживать Обязательное возможность передачи данных журналов аудита в системы класса SIEM. ФТ-3.7 Возможность интеграции со Обязательное сканерами безопасности (Qualys / MaxPatrol). Должна быть реализована возможность хранения в защищенном хранилище АС параметров учетной записи, из под которой выполняется сканирование. ФТ-3.8 Требуется возможность Обязательное автоматизации обнаружения и импорта из Microsoft Active Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Directory объектов администрирования с последующей автоматической сменой паролей административных учётных записей на данных объектах управления. ФТ-3.9 Процесс регистрации действий КА Обязательное Соответствует должен обеспечивать изоляцию среды исполнения утилит администрирования от потенциально недоверенной среды рабочей станции администратора и полную регистрацию всей видеоинформации наблюдаемой администратором на своей консоли. ФТ-3.10 Возможность подключение к Обязательное Соответствует сессии администрирования в режиме “View Only” ФТ-3.11 АС должна поддерживать работу с Обязательное Соответствует количеством контролируемых объектов инфраструктуры не менее 540 единиц. ФТ-3.12 Система должна иметь единую Обязательное Соответствует консоль управления всеми функциональными модулями системы. ФТ-3.13 Настройка дополнительной Обязательное Соответствует платформы для управления привилегированными сессиями Требования к подсистеме аудита (журналирования, видеозаписи, отчетам) ФТ-4.1 АС должна вести свой Обязательное Соответствует собственный журнал аудита действий всех работающих через нее учетных записей. ФТ-4.2 В журналах аудита АС отражается Обязательное Соответствует информация об идентификационных и аутентификационных параметрах КА (проводиться однозначное сопоставление администратора и используемой учётной записи). ФТ-4.3 В журналах аудита АС должна Обязательное Соответствует отражаться информация обо всех действиях КА. ФТ-4.4 В журналах аудита АС должны Обязательное Соответствует отображаться команды КА при использовании текстовых протоколов администрирования. ФТ-4.5 В АС должна быть обеспечена Обязательное Соответствует зашита от уничтожения журналов аудита под учётной записью любого КА системы. ФТ-4.6 В журналах аудита АС должна Рекомендуемое Соответствует отображаться информация о параметрах видеозаписей сессий КА. ФТ-4.7 АС должна предоставлять Обязательное Соответствует полнотекстовый поиск по журналам аудита объектов администрирования, восстановление временной последовательности событий, происходивших в рамках сессий администрирования конкретного КА с доступными объектами администрирования. Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует ФТ-4.8 АС должна обеспечивать поиск по видеоархиву (дата, время, пользователь, объекты администрирования). ФТ-4.9 АС должна обеспечивать возможность выгрузки видеозаписей для последующего просмотра. ФТ-4.10 АС должна обеспечивать защиту от модификаций и манипуляций с записанными сессиями. ФТ-4.11 АС должна позволять обеспечивать защиту от удаления из защищённого хранилища любого файла от имени любого пользователя в пределах 90 дневного срока (настраиваемый параметр). ФТ-4.12 АС должна предоставлять возможность формирования статистических отчётов без необходимости привлечения внешних генераторов отчётов или выгрузки информации во внешние системы. ФТ-4.13 АС должна обеспечивать возможность обнаружения фактов и попыток подключения к объектам управления в обход создаваемой АС. Требования к надежности ФТ-5.1 АС должна поддерживать реализацию в виде высоко доступного геораспределенного кластера с возможностью переключения между узлами без потери информации. ФТ-5.2 Должна обеспечиваться возможность централизованного управления территориально распределенными компонентами АС. ФТ-5.3 Диагностические средства АС должны позволять выполнять задачи по мониторингу работы АС. В случае использования стандартного КТС, мониторинг может выполняться внешними системами, например Microsoft operation manager. ФТ-5.4 У АС должна быть возможность проведения процедуры аварийного восстановления параметров учетных записей в случае выхода из строя модулей АС. Обязательное Соответствует Соответствует Рекомендуемое Соответствует Соответствует Обязательное Соответствует Соответствует Обязательное Соответствует Соответствует Рекомендуемое Соответствует Соответствует Обязательное Соответствует Соответствует Обязательное Соответствует Соответствует Обязательное Соответствует Соответствует Обязательное Соответствует Соответствует Обязательное Соответствует Соответствует Требования информационной безопасности ТОО «IT-Teame Service» № п/п Описание требования TOO «Adeline» Приоритет Требования к аутентификации ИТ-администраторов и администраторов АС ТБОбеспечение режима аутентификации по Обязательное Соответствует 1.1 логину/паролю, в том числе с использованием MS AD. ТБОбеспечение режима аутентификации по Обязательное Соответствует 1.2 сертификатам X.509 v3 ТБПоддержка в качестве носителя Обязательное Соответствует 1.3 аутентификационной информации TMносителя, микропроцессорной карты, eToken ТБОбеспечение режима аутентификации на Обязательное Соответствует 1.4 основе протокола RADIUS ТБНаличие возможности определения перечня Обязательное Соответствует 1.5 IP-адресов, с которых разрешается доступ к объектам инфраструктуры для их администрирования. Требования к ролевому администрированию АС ТБАС должна позволять создавать ролевую Обязательное Соответствует 2.1 модель ее администрирования. Все глобальные настройки должны выполняться из-под учетной записи главного администратора, использование которой в штатной работе АС не требуется. ТБНастройка роли «Контролируемый Обязательное Соответствует 2.2 администратор». Основная функциональная роль в АС, позволяющая выполнять администраторам объектов инфраструктуры свои непосредственные функциональные обязанности посредством АС. ТБНастройка роли «Офицер безопасности». Обязательное Соответствует 2.3 Дополнительная функциональная роль в АС, используемая по мере необходимости, позволяющая согласовывать (подтверждать/отклонять) доступ КА к объектам инфраструктуры и просматривать видеозаписи работы КА. ТБВозможность разграничения доступа к Обязательное Соответствует 2.4 объектам ИТ-инфраструктуры по идентификатору КА. ТБВозможность разграничения доступа к Обязательное Соответствует 2.5 элементам ИТ-инфраструктуры по временному диапазону. ТБОбеспечение режима «четырёх глаз», при Обязательное Соответствует 2.6 котором наблюдающий за действиями КА уполномоченный сотрудник имеет возможность по своему усмотрению прервать или вмешаться в сессию работы КА. Требования к возможностям политики работы АС ТБВ АС должен быть реализован процесс Обязательное Соответствует 3.1 согласования предоставления доступа к объектам управления и регистрация фактов наделения доступом. ТБОбеспечение видеозаписи сессий Обязательное Соответствует 3.2 администрирования всех поддерживаемых объектов инфраструктуры, в том числе Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует Соответствует объектов с нестандартными интерфейсами администрирования ТБНаличие возможности создавать частичную Обязательное Соответствует Соответствует 3.3 резервную копию защищенного хранилища, содержащую информацию о параметрах привилегированных учётных записей, из под которых ведется администрирование объектов инфраструктуры. ТБВозможность выделения на отторгаемый Обязательное Соответствует Соответствует 3.4 носитель мастер-ключа, необходимого для предоставления прав доступа к администрируемым объектам в аварийном режиме. ТБВозможность принудительного Обязательное Соответствует Соответствует 3.5 избирательного закрытия сессий администрирования, осуществляемых через АС ТБРеализация маскирования/демонстрации Обязательное Соответствует Соответствует 3.6 паролей на учётную запись КА (реализация функционала демонстрации пароля для одноразовой сессии администрирования). ТБНаличие возможности у администратора Обязательное Соответствует Соответствует 3.7 АС получения собственного пароля на внешний носитель (мастер пароль). Требования к автоматизации корпоративной парольной политики (работе с ключевой информацией) ТБСистема должна поддерживать в качестве Обязательное Соответствует Соответствует 4.1 ключевой информации: пароли и SSH ключи ТБПроцесс управления привилегированными Обязательное Соответствует Соответствует 4.2 учётными записями должен обеспечивать регулярную смену паролей на объектах управления с генерацией нового пароля требуемого уровня сложности в соответствии с требованиями парольной политики. ТБАвтоматизация полного цикла жизни Обязательное Соответствует Соответствует 4.3 ключевой информации: генерация, назначение на объект управления, периодическая проверка актуальности парольной информации, смена по расписанию. Требования к комплектации товара ТБКоличество контролируемых целевых Обязательное Соответствует Соответствует 5.1 систем не менее 540 шт. ТБЛицензия на кластер высокой доступности Обязательное Соответствует Соответствует 5.2 ТБЛицензия на сайт катастрофоустойчивости Обязательное Соответствует Соответствует 5.3 (резервную копию системы для переключения в случае аварийного сбоя) ТБПрава на использование продукта, Обязательное Соответствует Соответствует 5.4 получение обновлений и техническую поддержку в течении 1 года со дня генерации лицензий Требования к потенциальному поставщику и проведению работ ТБНаличие права потенциального поставщика Обязательное Соответствует Соответствует 6.1 на продажу, внедрение, сопровождение и оказания услуг по технической поддержке АС на территории Республики Казахстан (подтверждается авторизационным письмом от компании-производителя программного обеспечения или его официального представителя на территории РК) ТБПотенциальный поставщик должен иметь в Обязательное Соответствует Соответствует 6.2 своем штате не менее одного ТБ6.3 ТБ6.4 сертифицированного технического специалиста, прошедшего обучение по закупаемой системе (подтверждается копией сертификата от производителя АС). Работы по инсталляции АС должны производиться сертифицированными производителем специалистами Поставщика по адресу: г. Астана, район Есиль, ул. Орынбор, д.8, Дом Министерств, Блок А, Серверный центр, с соблюдением действующих на территории Казахстана законов, норм и правил. И включать в себя установку и настройку корневой (основной) инфраструктуры АС и 5-ти протоколов администрирования - в полном объеме. Поставщик должен оказывать локальную техническую поддержку в течение 12 месяцев с момента заключения договора. Обязательное Соответствует Соответствует Обязательное Соответствует Соответствует Выводы Рассмотрев предоставленные к ознакомлению предложения потенциальных поставщиков товаров по программному обеспечению контроля и учета привилегированных учетных записей сделаны следующие выводы: Предложение ТОО «COMPAREX Kazakhstan» (Компарекс Казахстан)по лоту №1 соответствуют технической спецификации и требованиям тендерной документации. Предложение TOO «Adeline» по лоту №1 соответствуют технической спецификации и требованиям тендерной документации. Руководитель экспертной комиссии: Начальник отдела организации ИБ в отпуске, приказ №230-к-о от 04.03.2016г. А.С. Эксперт: Главный специалист отдела организации ИБ Мустафин Д.С. Исенгуженов