Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Transcripción

1 Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral de la Superintendencia de Bancos. Ubicación El mantenimiento de certificación será realizado en las oficinas de la Superintendencia de Bancos, en conjunto con personal de la misma, con excepción de las evaluaciones y análisis remotos. Descripción general Derivado de la constante necesidad de proteger el área perimetral y obtener las mejores prácticas de seguridad (estándar BS7799) para prevenir ataques a los equipos que son visibles desde Internet, incluyendo los dispositivos que dan servicio al proyecto de conexión remota de inspectores y servidor para la Central de Riesgos, se requiere el mantenimiento de la certificación del sitio. Especificaciones Técnicas Contrato anual de certificación de seguridad informática que sustente el proceso de implementación para las mejores prácticas ISO y el estándar BS7799, en el área perimetral que incluya las siguientes etapas y características: Realizar un análisis remoto inicial para descubrir e identificar todos los hosts en el área perimetral de la Superintendencia de Bancos. Realizar una evaluación remota de vulnerabilidades en el área perimetral con ayuda de un conjunto de herramientas comerciales y/o propietarias. Realizar una evaluación completa en el sitio del entorno físico del área perimetral. La evaluación debe incluir la inspección de: Seguridad del acceso al perímetro físico Seguridad física del centro de operaciones Seguridad física del equipo crítico Distribución de energía y sistema de UPS Respaldos y protección para desastres naturales Sistema de HVAC (Heating, Ventilation, Air Conditioning) Hardware de routers y/o firewall Políticas y procedimientos operativos del entorno físico 1 de 10

2 Revisar el perímetro en el sitio sobre la base de conectividad, plataforma, servicios y factores humanos. Se debe evaluar: Mapas de red del área perimetral Reglas básicas en la configuración de los firewalls/vpn Reglas básicas en la configuración de prevención/detección de intrusos La configuración del servidor de web La configuración del servidor de correo (Exchange 5.5/2003) La configuración del servidor de IAS (Internet Application Server) La configuración del servidor de videoconferencia La configuración de un servidor de FTP La configuración del RAS Procedimientos y políticas operacionales Los reportes deben proveer una lista completa de información de prácticas de seguridad con sus recomendaciones respectivas en las siguientes áreas: Física Red Plataforma (Hardware de computadoras y Sistema Operativo) Aplicación Realizar una evaluación en el sitio de las políticas de seguridad, seguido de las recomendaciones correspondientes. Describir políticas adicionales que a criterio de la empresa de seguridad sean necesarias de evaluar. Realizar una revisión del desempeño, después de que el personal de la Institución, con ayuda de los expertos de seguridad, haya implementado las mejoras recomendadas por la empresa de seguridad. Este reporte se realiza con el objetivo de confirmar que las vulnerabilidades encontradas inicialmente hayan sido corregidas. Proveer evaluaciones remotas hasta corregir todas las vulnerabilidades y así obtener la certificación. Realizar una evaluación final en el sitio para verificar que la Superintendencia de Bancos ha cumplido con todos los requerimientos señalados. Durante esta evaluación en el sitio, se hará lo siguiente: Revisar el estado de seguridad del área perimetral, enfocándose en las medidas tomadas desde la primera evaluación en el sitio Revisar las excepciones apropiadas Revisar los resultados de la última evaluación remota de vulnerabilidades 2 de 10

3 Requerimientos generales Sistema interactivo de riesgo vía web Que la empresa provea de un sistema interactivo de riesgo vía web en Internet con información personalizada de la Superintendencia de Bancos con las siguientes características: Administrar la información de equipos activos y pasivos de la institución que se encuentren en el área perimetral Describir la lista de prácticas esenciales personalizada para el ambiente de la institución Mostrar la lista de vulnerabilidades asociados al inventario de equipos activos y pasivos Mostrar la lista de tareas que están pendientes por parte de los administradores de cada equipo de la institución para dar seguimiento a la certificación Presentar una descripción del progreso de certificación a nivel técnico y ejecutivo Capacidad de consultar y modificar información de los equipos en proceso de certificación Prácticas Esenciales Las prácticas esenciales que se generen deben calificar a los dispositivos por importancia (activos críticos), datos históricos de explotaciones (software o sistema operativo que en cada versión tenga antecedentes de vulnerabilidades) y uso inusual (dispositivos que son blanco de ataques o pobremente configurados). Para esta clasificación es necesario separar los dispositivos que están de cara a Internet de los de la red interna. Que las prácticas esenciales indiquen la necesidad de crear e implementar una política o solo tomar una acción específica en algún equipo o software. Reportes Proveer un reporte mensual de todas las vulnerabilidades actuales, respecto a los sistemas operativos Solaris, Linux, Windows y base de datos Oracle. Este reporte debe incluir incidentes de código malicioso, confidencialidad, seguridad física y actividad de hackers en general. 3 de 10

4 Proveer evaluaciones remotas de vulnerabilidades de acuerdo a los siguientes criterios: Evaluación remota de vulnerabilidades 1 vez al mes Pruebas de penetración perimetrales cada 3 meses (4 al año) Evaluación remota de vulnerabilidades cuando se descubra una nueva amenaza o cuando la Superintendencia de Bancos lo solicite por motivo de cambios al esquema del área perimetral. Todos los reportes que generen las evaluaciones anteriores deben incluir lo siguiente: Resumen para ejecutivos de alto nivel Información detallada para tomar acciones inmediatas con respecto a las vulnerabilidades encontradas Proveer comparación entre reportes actuales y anteriores Alertas de vulnerabilidades Que la empresa cuente con una base de datos de vulnerabilidades ya conocidas, y la capacidad de monitorear 7x24 el Internet para encontrar nuevas amenazas, clasificarlas y agregarlas a su sistema Que la institución tenga la capacidad de personalizar su perfil de envío de alertas para el ambiente y esquema actual, incluyendo envío de notificaciones y tareas específicas personalizadas. Se requiere que las consultas que se hagan a la base de datos de vulnerabilidades, generen como mínimo la siguiente información: Tipo de amenaza Primera y última versión publicada Urgencia, credibilidad, severidad y Nivel de riesgo (Muy alto, alto, mediano y bajo) Resumen de la vulnerabilidad Descripción general Indicadores Impacto Información técnica Análisis y criterio con respecto a la vulnerabilidad Estrategia de defensa y minimización del riesgo o Información del fabricante del producto que tenga la vulnerabilidad o Configuraciones de equipo o software o Parches Disponibles Riesgos colaterales 4 de 10

5 Soporte, mantenimiento y póliza de seguridad El proveedor debe asesorar a la Superintendencia de Bancos para lograr que cada nuevo riesgo sea minimizado. Proveer la asistencia y capacitación necesaria para asegurar que la Superintendencia de Bancos pueda implementar la metodología en forma adecuada y en tiempo, como un requerimiento para la certificación. Proveer soporte 7x24 (acceso web a través de un usuario personal, correo electrónico y telefónico) durante el término del contrato, en el caso de eventualidades, ataques y nuevas vulnerabilidades que se hayan descubierto (incluir eventos de seguridad en vivo) Proveer información del contacto (nombre, dirección, correo electrónico y teléfono) del laboratorio donde se evalúan los productos de seguridad existentes en el mercado y realizan las evaluaciones remotas de vulnerabilidades. Especificar cobertura de la póliza de seguridad. Establecer contrato de confidencialidad con la Superintendencia de Bancos: Confirmar la no colocación de créditos No divulgar el nombre de la Superintendencia de Bancos como cliente de referencia Lista de clientes de referencia con contactos en donde se preste este tipo de servicios. 5 de 10

6 Instrucciones: A continuación encontrará listadas las características técnicas del servicio requerido para ofertar. En la casilla cumple SI/NO escribir SI o NO, dependiendo si el producto cumple con la característica deseada, y en la casilla Observaciones escribir, si es necesario, aclaraciones del producto ofertado con referencia a la característica requerida. Características Contrato anual de certificación de seguridad informática que sustente el proceso de implementación para las mejores prácticas ISO y el estándar BS7799, en el área perimetral que incluya las siguientes etapas y características: Realizar un análisis remoto inicial para descubrir e identificar todos los hosts en el área perimetral de la Superintendencia de Bancos. Realizar una evaluación remota de vulnerabilidades en el área perimetral con ayuda de un conjunto de herramientas comerciales y/o propietarias. Realizar una evaluación completa en el sitio del entorno físico del área perimetral. La evaluación debe incluir la inspección de: Seguridad del acceso al perímetro físico Seguridad física del centro de operaciones Seguridad física del equipo crítico Distribución de energía y sistema de UPS Respaldos y protección para desastres naturales Sistema de HVAC (Heating, Ventilation, Air Conditioning) Hardware de routers y/o firewall Políticas y procedimientos operativos del entorno físico Revisar el perímetro en el sitio sobre la base de conectividad, plataforma, servicios y factores humanos. Se debe evaluar: Mapas de red del área perimetral Reglas básicas en la configuración de los firewalls/vpn Reglas básicas en la configuración de prevención/detección de intrusos La configuración del servidor de web La configuración del servidor de correo (Exchange 5.5/2003) Cumple SI/NO Observaciones 6 de 10

7 La configuración del servidor de IAS (Internet Application Server) La configuración del servidor de videoconferencia La configuración de un servidor de FTP La configuración del RAS Procedimientos y políticas operacionales Los reportes deben proveer una lista completa de información de prácticas de seguridad con sus recomendaciones respectivas en las siguientes áreas: Física Red Plataforma (Hardware de computadoras y Sistema Operativo) Aplicación Realizar una evaluación en el sitio de las políticas de seguridad, seguido de las recomendaciones correspondientes. Describir políticas adicionales que a criterio de la empresa de seguridad sean necesarias de evaluar. Realizar una revisión del desempeño, después de que el personal de la Institución con ayuda de los expertos de seguridad haya implementado las mejoras recomendadas por la empresa de seguridad. Este reporte se realiza con el objetivo de confirmar que las vulnerabilidades encontradas inicialmente hayan sido corregidas. Proveer evaluaciones remotas hasta corregir todas las vulnerabilidades y así obtener la certificación. Realizar una evaluación final en el sitio para verificar que la Superintendencia de Bancos ha cumplido con todos los requerimientos señalados. Durante esta evaluación en el sitio, se hará lo siguiente: Revisar el estado de seguridad del área perimetral, enfocándose en las medidas tomadas desde la primera evaluación en el sitio Revisar las excepciones apropiadas Revisar los resultados de la última evaluación remota de vulnerabilidades Requerimientos generales: Sistema interactivo de riesgo vía web Que la empresa provea de un sistema interactivo de riesgo vía web en Internet con información 7 de 10

8 personalizada de la Superintendencia de Bancos con las siguientes características: Administrar la información de equipos activos y pasivos de la institución que se encuentren en el área perimetral Describir la lista de prácticas esenciales personalizada para el ambiente de la institución Mostrar la lista de vulnerabilidades asociados al inventario de equipos activos y pasivos Mostrar la lista de tareas que están pendientes por parte de los administradores de cada equipo de la institución para dar seguimiento a la certificación Presentar una descripción del progreso de certificación a nivel técnico y ejecutivo Prácticas Esenciales Las prácticas esenciales que se generen deben calificar a los dispositivos por importancia (activos críticos), datos históricos de explotaciones (software o sistema operativo que en cada versión tenga antecedentes de vulnerabilidades) y uso inusual (dispositivos que son blanco de ataques o pobremente configurados). Para esta clasificación es necesario separar los dispositivos que están de cara a Internet de los de la red interna. Que las prácticas esenciales indiquen la necesidad de crear e implementar una política o solo tomar una acción específica en algún equipo o software. Reportes Proveer un reporte mensual de todas las vulnerabilidades actuales, respecto a los sistemas operativos Solaris, Linux, Windows y base de datos Oracle. Este reporte debe incluir incidentes de código malicioso, confidencialidad, seguridad física y actividad de hackers en general. Proveer evaluaciones remotas de vulnerabilidades de acuerdo a los siguientes criterios: Evaluación remota de vulnerabilidades 1 vez al mes Pruebas de penetración perimetrales cada 3 meses (4 al año) Evaluación remota de vulnerabilidades cuando se descubra una nueva amenaza o cuando la Superintendencia de Bancos lo solicite por motivo de cambios al esquema del área perimetral. Todos los reportes que generen las evaluaciones anteriores deben incluir lo siguiente: Resumen para ejecutivos de alto nivel 8 de 10

9 Información detallada para tomar acciones inmediatas con respecto a las vulnerabilidades encontradas Proveer comparación entre reportes actuales y anteriores Alertas de Vulnerabilidades Que la empresa cuente con una base de datos de vulnerabilidades ya conocidas, y la capacidad de monitorear 7x24 el Internet para encontrar nuevas amenazas, clasificarlas y agregarlas a su sistema Que la institución tenga la capacidad de personalizar su perfil de envío de alertas para el ambiente y esquema actual, incluyendo envío de notificaciones y tareas específicas personalizadas. Se requiere que las consultas que se hagan a la base de datos de vulnerabilidades, generen como mínimo la siguiente información: Tipo de amenaza Primera y última versión publicada Urgencia, credibilidad, severidad y Nivel de riesgo (Muy alto, alto, mediano y bajo) Resumen de la vulnerabilidad Descripción general Indicadores Impacto Información técnica Análisis y criterio con respecto a la vulnerabilidad Estrategia de defensa y minimización del riesgo o Información del fabricante del producto que tenga la vulnerabilidad o Configuraciones de equipo o software o Parches Disponibles Riesgos colaterales Soporte, mantenimiento y póliza de seguridad El proveedor debe asesorar a la Superintendencia de Bancos para lograr que cada nuevo riesgo sea minimizado. Proveer la asistencia y capacitación necesaria para asegurar que la Superintendencia de Bancos pueda implementar la metodología en forma adecuada y en tiempo, como un requerimiento para la certificación. Proveer soporte 7x24 (acceso web a través de un usuario personal, correo electrónico y telefónico) durante el término del contrato, en el caso de eventualidades, ataques y nuevas vulnerabilidades que se hayan descubierto (incluir eventos de seguridad en vivo) Proveer información del contacto (nombre, dirección, correo electrónico y teléfono) del laboratorio donde se evalúan los 9 de 10

10 productos de seguridad existentes en el mercado y realizan las evaluaciones remotas de vulnerabilidades. Especificar cobertura de la póliza de seguridad. Establecer contrato de confidencialidad con la Superintendencia de Bancos: Confirmar la no colocación de créditos No divulgar el nombre de la Superintendencia de Bancos como cliente de referencia Lista de clientes de referencia con contactos en donde se preste este tipo de servicios. Nombre: Firma: Sello de la Empresa: 10 de 10