Описание Услуги
Услуга «Сопровождение комплекта средств обнаружения вторжений (услуга 3.1.4)» представляет собой услугу, предназначенную для сопровождения комплекта средств обнаружения вторжений, предоставляемого в соответствии с услугами «Комплект средств обнаружения вторжений пропускной способностью 5 Гбит/с (услуга 2.18.10)», «Комплект средств обнаружения вторжений пропускной способностью 10 Гбит/с (услуга 2.18.11)».
Объектом Услуги должен являться комплект средств обнаружения вторжений, состоящий из одного средства обнаружения вторжений (Средство обнаружения вторжений).
Комплект средств обнаружения вторжений предварительно имеет следующие характеристики:
- поддержка функции обнаружения компьютерных атак (IDS) и/или предотвращения вторжений (IPS);
- максимальная производительность анализа сетевого трафика в режиме обнаружения компьютерных атак и/или предотвращения вторжений - не менее значения, указанного в Заказе;
- возможность регистрации факта обнаружения атаки (вторжения) и идентификации события с фиксацией информации об атаке;
- возможность регистрации, визуализации и экспорта в PCAP IP-пакетов, соответствующих зарегистрированным событиям (атакам), для более детального анализа и разбора произошедшего инцидента;
- возможность оповещения администратора безопасности о факте обнаружения атаки;
- наличие сервиса автоматической выгрузки информации по зарегистрированным событиям информационной безопасности во внешние системы анализа и выявления угроз;
- поддержка возможности управления средством с использованием специально выделенного (или назначенного) management-порта;
- поддержка возможности локального управления и администрирования средством;
- поддержка возможности централизованного (дистанционного) управления;
- наличие действующего сертификата ФСТЭК России, подтверждающего соответствие требованиям к системам обнаружения вторжений не ниже 4 класса и требованиям к уровню доверия не ниже 4. Руководящие документы: «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011), «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ» (ФСТЭК России, 2012), «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК, 2020 г.).
Сопровождение Исполнителем комплекта средств обнаружения вторжений включает в себя в том числе:
- мониторинг работоспособности (в том числе проверка корректности выполнения задач обновления баз сигнатур);
- изменение настроек в рамках запросов на обслуживание и запросов на изменение;
- создание частных правил обнаружения в рамках запросов на обслуживание;
- реагирование при авариях.
Сопровождение комплекта средств обнаружения вторжений осуществляется в том числе с учетом организационных мер, зафиксированных в организационно-распорядительной документации Исполнителя «Инструкция привилегированных пользователей Технологической инфраструктуры (администратора, администратора ИБ) ЕЦП «ГосТех», Инструкция администратора ИБ ЕЦП «ГосТех» и пользователя СКЗИ ЕЦП «ГосТех».
СЗИ может являться источником событий для мониторинга защищенности и реагирования на инциденты информационной безопасности, реализуемого при заказе услуги «Мониторинг защищенности Платформы и реагирование на инциденты информационной безопасности (услуга 3.2.4)».
Состав оборудования и (или) ПО, обеспечивающего оказание Услуги, представлен в следующих разделах: