Echipament IT și soluții de securitate

Între toate componentele solicitate ale soluției trebuie să fie asigurată o compatibilitate și o integrare la un nivel înalt. În cazul divizării pe loturi, există riscul ca diferiți ofertanți să propună soluții care nu sunt suficient de compatibile între ele. De asemenea, în etapa de implementare nu va fi posibilă delimitarea clară a sferei de responsabilitate între diferiți ofertanți, ceea ce poate conduce la o calitate redusă a funcționării soluției. În cadrul unei singure oferte, aveți posibilitatea de a propune componente provenite de la diferiți producători, cu condiția garantării compatibilității lor depline în conformitate cu cerințele caietului de sarcini.

Între toate componentele solicitate ale soluției trebuie să fie asigurată o compatibilitate și o integrare la un nivel înalt. În cazul divizării pe loturi, există riscul ca diferiți ofertanți să propună soluții care nu sunt suficient de compatibile între ele. De asemenea, în etapa de implementare nu va fi posibilă delimitarea clară a sferei de responsabilitate între diferiți ofertanți, ceea ce poate conduce la o calitate redusă a funcționării soluției. În cadrul unei singure oferte, aveți posibilitatea de a propune componente provenite de la diferiți producători, cu condiția garantării compatibilității lor depline în conformitate cu cerințele caietului de sarcini.

Cerințele nu sunt alternative, ci complementare. Prin „licență perpetuală” se înțelege că soluția achiziționată trebuie să rămână funcțională și după expirarea perioadei de subscripție, fără riscul de a deveni neutilizabilă. În același timp, subscripția cu durata minimă de 3 ani se referă la asigurarea actualizărilor de software, serviciilor și suportului tehnic aferent. După expirarea celor 3 ani, sistemul va continua să funcționeze, însă fără a mai beneficia de actualizări sau suport, dacă subscripția nu este reînnoită.

Având în vedere complexitatea proiectului și rolul său critic în asigurarea securității cibernetice, deținerea unui MAF (Manufacturer Authorization Form) este obligatorie. Documentul MAF confirmă că ofertantul este autorizat direct de producător, are competențele tehnice corespunzătoare și beneficiază de suport oficial din partea acestuia, ceea ce reduce riscurile de incompatibilitate și garantează calitatea implementării. Este permisă participarea la procedura de achiziție a unei asociații formate din mai multe companii, fiecare deținând MAF de la producătorii pe care îi reprezintă. În acest caz, asocierea trebuie să respecte integral toate celelalte cerințe obligatorii din caietul de sarcini, astfel încât soluția finală să fie complet integrată, funcțională și conformă cu specificațiile.

Este necesară asigurarea integrării de bază prin protocolul Syslog cu SIEM-ul existent IBM QRadar versiunea 7.4.3, precum și confirmarea suportului pentru protocoale și formate standard (Syslog, STIX/TAXII, API).

Se are în vedere ajustarea dinamică a drepturilor de acces prin firewall, pe baza unei verificări continue a posturii de securitate a endpoint-ului (exemplu: verificarea proceselor active în sistemul de operare, nivelul de actualizare al sistemului, statutul agentului antivirus etc.). O mapare clasică a utilizatorului la un grup ar asigura doar o verificare statică, unică, la inițierea conexiunii TCP, fără posibilitatea de a evalua postura de securitate pe durata conexiunii active și fără capacitatea de a suspenda conexiunile existente în cazul compromiterii ulterioare a endpoint-ului. Prin urmare, orice soluție este acceptată, indiferent de mecanism (nu exclusiv pe baza „ZTNA tags”), cu condiția să ofere: • monitorizarea continuă a posturii de securitate a endpoint-ului conform criteriilor menționate; • semnalizarea către NGFW, prin orice metodă standard (API, RADIUS, ZTNA tags sau altele), atunci când endpoint-ul este compromis; • blocarea imediată a tuturor sesiunilor TCP active și interzicerea stabilirii de noi conexiuni în urma detectării compromiterii. Conform bunelor practici, această semnalizare trebuie să se producă în timp util (în ordinul secundelor), pentru a preveni răspândirea compromiterii către alte endpoint-uri.

Funcționalitatea solicitată nu presupune utilizarea exclusivă a unui ecosistem proprietar al unui singur producător. Este posibilă propunerea unei soluții compuse din produse ale unor furnizori diferiți, cu condiția respectării integrale a cerințelor din caietul de sarcini. Totodată, din cauza nivelului ridicat de confidențialitate a informațiilor gestionate în cadrul Parlamentului, nu este permisă transmiterea fișierelor sau a altor tipuri de date către platforme de tip sandbox bazate în cloud. Sunt acceptate exclusiv soluțiile on-premise, capabile să genereze semnături și indicatori de compromitere (IoC) care pot fi distribuiți către NGFW și soluția endpoint, în vederea blocării imediate a amenințărilor.

Nu este obligatoriu ca platforma de tip Centralized Security Data Lake / Unified Logging and Analytics Platform să provină de la același producător ca și componentele NGFW sau ZTNA. Se permite propunerea unei soluții formate din produse ale unor furnizori diferiți, cu condiția ca acestea să asigure împreună funcționalitățile solicitate în caietul de sarcini. Totodată, această cerință este distinctă de platforma SIEM existentă a beneficiarului, care nu trebuie utilizată pentru îndeplinirea funcțiilor prevăzute în cadrul prezentei achiziții.

Se acceptă funcționalități echivalente. Cerința minimă presupune ca soluția să ofere: • analiză a configurației dispozitivelor pentru identificarea erorilor, vulnerabilităților și a setărilor neconforme; • recomandări detaliate de remediere; • audit al conformității față de standarde și bune practici recunoscute (ex. ISO 27001, PCI DSS, CIS, NIST); • generarea de rapoarte detaliate, care să poată fi utilizate pentru audituri interne și externe.

Tehnologia Content Disarm and Reconstruction (CDR) este larg implementată de principalii producători de soluții Mail Security Gateway, astfel încât solicitarea acestei funcționalități nu reprezintă un criteriu restrictiv. CDR este o funcție nativă a gateway-ului de securitate e-mail și operează independent de Sandbox sau alte sisteme externe, asigurând neutralizarea conținutului potențial periculos în timp real. Prin urmare, suportul pentru CDR este obligatoriu, iar soluțiile Sandbox sau alte tehnologii complementare de protecție (inclusiv cele împotriva atacurilor de tip zero-day) sunt considerate adiționale și nu substituibile acestei cerințe.

Este permisă utilizarea a maximum doi agenți software pentru îndeplinirea acestei cerințe, cu respectarea integrală a specificațiilor din caietul de sarcini. Agenții propuși trebuie să fie complet compatibili între ei, să nu genereze conflicte sau degradări de performanță la nivelul stațiilor de lucru și să asigure integrarea deplină cu componentele platformei de securitate prevăzute.

Prin cerința „fără autentificare suplimentară” se înțelege modul de autentificare pasivă sau transparentă prin protocolul NTLM pentru dispozitivele conectate la MS Active Directory sau care au trecut anterior prin autentificare utilizând metoda Single-Sign-On (SSO). Sunt permise soluțiile cu caracteristicile enumerate de dvs., cu respectarea obligatorie a celorlalte cerințe ale caietului de sarcini și cu includerea în cadrul soluției a componentei One-Time Password (OTP), cu licență pentru 200 de dispozitive mobile Android și iOS.

Modificarile au fost operate