Story Transcript
Servicio de Sistemas y Tecnologías de Información y Comunicación Director Técnico
Pliego de Prescripciones Técnicas para el contrato de “SUMINISTRO, MANTENIMIENTO Y SOPORTE DEL SISTEMA DE SEGURIDAD PERIMETRAL” para el Ayuntamiento de Fuenlabrada mediante procedimiento abierto.
Índice 1.- Objeto ............................................................................................................................................ 2 Plaza de la Constitución, 1 – 28943 Fuenlabrada (Madrid) www.ayto-fuenlabrada.es
2.- Alcance .......................................................................................................................................... 2 3.- Base Instalada y Licencias de uso ............................................................................................... 4 4.- Instalación y configuración ............................................................................................................ 5 5.- Avisos y alertas.............................................................................................................................. 5 6.- Jornada de Trabajo ....................................................................................................................... 5 7.- Personal Técnico ........................................................................................................................... 5 8.- Especificaciones de materiales ..................................................................................................... 5 9.- Formación...................................................................................................................................... 6 10.- Documentación a entregar .......................................................................................................... 6 11.- Garantía, Mantenimiento y Soporte Técnico.............................................................................. 6 12.- Contenido mínimo de las ofertas................................................................................................. 7 13.- Seguridad y Salud ....................................................................................................................... 7 14.- Seguridad y Confidencialidad de la Información ......................................................................... 7 15.- Adecuación al Esquema Nacional de Seguridad ........................................................................ 8
C.14.C.13
1/8
1.- Objeto El presente documento regulará el contrato de suministro, instalación, configuración y puesta en marcha y mantenimiento de un Sistema de Seguridad Perimetral, para el Ayuntamiento de Fuenlabrada, a partir del que actualmente tiene en producción. El Esquema Nacional de Seguridad (Real Decreto 3/2010 de 8 de enero), en su artículo 22 (“Prevención ante otros sistemas de información interconectados”), establece la obligatoriedad de proteger el perímetro de los sistemas a interconectar, en particular, y como es el caso, si se utilizan redes públicas total o parcialmente, y de analizar los riesgos derivados de la interconexión de los sistemas, controlando además su punto de unión. El objeto de este contrato es realizar un proyecto, llave en mano, de un entorno de alta disponibilidad
Plaza de la Constitución, 1 – 28943 Fuenlabrada (Madrid) www.ayto-fuenlabrada.es
de cortafuegos en modo “Front to Back”, es decir, “Firewall1 a redes públicas con publicación de DMZ y Firewall tras DMZ y LAN”
2.- Alcance El Ayuntamiento de Fuenlabrada, para la creación de las zonas de seguridad, se decanta por una solución de “Appliance de Seguridad2” con alta disponibilidad y balanceo de carga en la función de cortafuegos, con bundle de soporte y mantenimiento (HW+SW) para averías durante el plazo del contrato incluido en el suministro. Gestionará dinámicamente el ancho de banda y balanceará la carga entre dos o más proveedores de acceso a internet. El sistema a implantar deberá
aislar y proteger las estaciones de trabajo del Ayuntamiento de
Fuenlabrada en los diferentes emplazamientos de los entornos MAN que los interconectan entre sí y protegiendo los puestos de la red local que necesitan tener conexión con el exterior a través de otras redes como Internet. El sistema gestionará, como mínimo, 8 zonas o redes entre las que se podrán crear las reglas de acceso necesarias para el funcionamiento de las comunicaciones del Ayuntamiento (deberá incluir al menos 8 interfaces de red para crear estas zonas).
1
Cortafuegos, en inglés Firewall. Sistema de seguridad que se compone bien de programas (software) ó de equipos (hardware) y de programas (software) en puntos clave de una red para permitir sólo tráfico autorizado. A menudo utilizado para restringir el acceso a una red interna desde Internet. La regla básica de un cortafuegos es asegurar que todas las comunicaciones entre la red e Internet se realicen conforme a las políticas de seguridad de la organización o corporación. Estos sistemas también poseen características de privacidad y autenticación. (INTECO) 2
“Appliance” es un término común en inglés, que se traduce como “dispositivo” o “aplicación”. En el mundo de las TIC “appliance” es un término técnico. Una appliance destaca por el hecho de que ofrece una interacción óptima entre hardware y software, es decir, una solución diseñada para una función específica; en este caso la seguridad perimetral.
C.14.C.13
2/8
El sistema permitirá y gestionará la creación de canales seguros de comunicación, con un esquema de seguridad de extremo a extremo y generando una estructura de red basada en tecnologías de VPN, proporcionando una solución integrada de cortafuegos y pasarela VPN. La plataforma deberá incluir, como mínimo, las siguientes características:
1. Servicios proporcionados e integrados en la solución: a. Antimalware b. Antispam c. Sistema de prevención de intrusiones (IPS)
Plaza de la Constitución, 1 – 28943 Fuenlabrada (Madrid) www.ayto-fuenlabrada.es
d. Filtrado web 2. Enrutado a. Enrutado a nivel 3, con capacidad de creación de políticas de enrutado, al menos, por origen y por destino. b. Capacidad de enrutado estático y dinámico con los principales estándares (RIP, OSPF, BGP)
c. Protocolos de enrutamiento de trafico multicast (DVMRP, PIM) y de tunneling (GRE, IPInIP, L2TP, PPTP) a través de múltiples sesiones concurrentes cifradas con túneles IPSec.
3. Integración a. Integración de usuarios con Directorio Activo y directorios LDAP, RADIUS y TACACS+
4. Cumplimiento de estándares a. Totalmente compatible con IPv6 b. Algoritmos de infraestructura de clave pública (Estándares PKI, y certificados X509) c.
Compatible y trazable vía SNMP
5. Características implementadas a. Directivas de seguridad por dispositivo: posibilidad de crear reglas en el firewall para un mismo usuario en función del dispositivo que esté usando, para la gestión de un entorno BYOD con dispositivos con sistema operativo Android e iOS
C.14.C.13
3/8
b. Creación de redes privadas virtuales (VPN): IPSec y SSL c.
Inspección de tráfico SSL cifrado
d. Opciones de inspección basadas en flujo e. Control, filtrado y gestión de aplicaciones. f.
Control de acceso a la red (NAC) para impedir la conexión en red a equipos que no cumplan requisitos de seguridad
g. Gestión de vulnerabilidades
Plaza de la Constitución, 1 – 28943 Fuenlabrada (Madrid) www.ayto-fuenlabrada.es
h. Monitorización, log y reporte de actividad, exportable a un sistema “syslog” i.
Gestión centralizada de los dispositivos incluidos en la oferta
j.
Protección contra todo tipo de ataques de suplantación de direcciones y denegación de servicio
k.
Control de acceso y autenticación con monitorización dinámica de las aplicaciones
l.
Cliente GUI para la definición de las políticas de seguridad
m. Todos los protocolos de gestión deberán ir cifrados, asegurando que la configuración de equipos no es interceptada por terceras personas n. Gestor de estadísticas e informes parametrizable.
3.- Base Instalada y Licencias de uso El Ayuntamiento posee actualmente: •
Dos equipos cortafuegos Fortinet, modelo Fortigate 500A, en funcionamiento cluster activopasivo con los servicios de mantenimiento, antivirus, control de contenidos, etc.. activos
•
Dos conmutadores Cisco 2960G de 48 puertos para la conexión de equipos a las distintas zonas o interfaces del firewall
•
Un equipo Fortinet FotiAnalizer 100B dedicado a la centralización de logs y gestión de estadísticas e informes.
Esta base instalada se deberá tener en cuenta a los efectos de migración de configuraciones.
C.14.C.13
4/8
El adjudicatario deberá aportar las licencias necesarias (si fuera aplicable) para cubrir un número ilimitado de usuarios que utilizan el firewall, con las especificaciones y servicios de la cláusula anterior
4.- Instalación y configuración El adjudicatario realizará la instalación y configuración de toda la arquitectura garantizando la seguridad de la red interna así como el funcionamiento de todos los servicios necesarios de comunicación con otros organismos (Bancos, Hacienda, Seguridad Social, etc.). Los switches entregados deberán tener 48 puertos 10/100/1000 gestionables, con enrutado nivel 3 y
Plaza de la Constitución, 1 – 28943 Fuenlabrada (Madrid) www.ayto-fuenlabrada.es
capacidad de creación de VLAN con numeración de 1 hasta 1582 como mínimo
5.- Avisos y alertas El sistema implementado deberá incluir un servicio de envío de alertas críticas de seguridad por correo electrónico y mensajería SMS
6.- Jornada de Trabajo El horario habitual de trabajo es de Lunes a Viernes de 8 a 15. La puesta en producción de la solución propuesta se llevará a cabo fuera del horario de trabajo (incluyendo, si fuera necesario, fines de semana) con el objeto de afectar a la disponibilidad de los sistemas de información municipales el mínimo tiempo posible.
7.- Personal Técnico La implantación y configuración técnica se llevará a cabo por técnicos cualificados que el adjudicatario desplazará a las dependencias municipales en el plazo establecido para ello
8.- Especificaciones de materiales Todos los equipos y materiales que se empleen en la instalación, se montarán siguiendo las especificaciones del fabricante, y cumplirán lo siguiente: •
Estarán ubicados en el CPD del ayuntamiento, de tal forma que se pueda realizar el mantenimiento o reparación sin emplear tiempos y medios especiales. Todos los elementos tienen que ser fácilmente accesibles y desmontables, previendo el Instalador el espacio necesario para ello, aunque no esté especificado.
C.14.C.13
5/8
•
El resto de accesorios necesarios para la correcta instalación y puesta en marcha del sistema deberá ser asumido por el adjudicatario.
9.- Formación A la finalización de la instalación, se impartirá un curso, en las dependencias del Ayuntamiento, al personal propuesto por el Servicio de Tecnologías de la Información y las Comunicaciones del Ayuntamiento de Fuenlabrada, con objeto de que dicho personal consiga un conocimiento completo de la instalación realizada, operativa de la misma, configuración y manejo de los equipos instalados. La duración del curso será de al menos 30 h. A la finalización de dicho curso se entregarán a los asistentes certificados de asistencia.
Plaza de la Constitución, 1 – 28943 Fuenlabrada (Madrid) www.ayto-fuenlabrada.es
El coste de realización del mencionado curso deberá ser asumido en su totalidad por el adjudicatario.
10.- Documentación a entregar 1. En Fase de Licitación .Documento L1: Especificación de Garantías .Documento L2: Procedimiento y protocolos de Atención On-Line, Soporte y Mantenimiento .Documento L3: Propuesta de Implantación de la solución que incluirá: -
Detalle de la Arquitectura Propuesta
-
Cronograma de instalación, configuración y formación
2. En fase de instalación y configuración, En esta fase, para posibilitar la firma del
Acta de Recepción de Instalación,
Configuración, y Puesta en Marcha, se entregarán: . Documento IC1: Procedimientos de instalación y configuración de la solución . Documento IC2: Plan de contingencia en caso de posibles fallos.
11.- Garantía, Mantenimiento y Soporte Técnico El adjudicatario estará obligado al soporte y mantenimiento integral del equipamiento (HW+SW) proporcionado, durante los CUARENTA Y OCHO MESES posteriores a la recepción, instalación y configuración del suministro.
C.14.C.13
6/8
Las condiciones cubiertas por este mantenimiento deberán ser, como mínimo, las siguientes: 3. Atención in situ 4. Tiempo de respuesta 8 horas 5. Tiempo de reparación o sustitución 24 h 6. Todos los días del año 7. Cada día primero de cada trimestre, se realizará una auditoría de seguridad (tanto interna como externa), durante el periodo del mantenimiento. El resultado de cada auditoría se deberá documentar y poner al servicio de Sistemas y TIC del Ayuntamiento de Fuenlabrada. 8. El adjudicatario estará obligado a proporcionar un máximo de 30 horas para soporte técnico Plaza de la Constitución, 1 – 28943 Fuenlabrada (Madrid) www.ayto-fuenlabrada.es
telemáticos sobre temas de seguridad en las redes, en particular en relación a la configuración objeto de este procedimiento. 9. Gestión remota: El adjudicatario, a demanda del servicio de Sistemas y TIC, y bajo su supervisión, podrá acceder telemáticamente a la plataforma instalada para gestionar y optimizar sus funcionalidades.
12.- Contenido mínimo de las ofertas. Las ofertas presentadas deberán incluir en el ámbito técnico, como mínimo, el siguiente contenido: •
Relación exhaustiva de los elementos ofertados (ítem, P/N, Descripción, Ud.)
•
Documentos especificados en la cláusula 10.1 ( documentos L1, L2 y L3)
13.- Seguridad y Salud El adjudicatario estará obligado al cumplimiento de las leyes de Higiene, Seguridad y Salud en el Trabajo y cualquier otra clase de normativa, incluidas las de ámbito local, sobre la materia que esté en vigor al contratar la ejecución del proyecto.
14.- Seguridad y Confidencialidad de la Información
El personal técnico asignado quedará obligado a mantener absoluta confidencialidad y reserva sobre cualquier dato que pudiera conocer con ocasión del cumplimiento del servicio.
C.14.C.13
7/8
No podrá sacar de las dependencias departamentales ninguna información en ningún tipo de soporte o por vía telemática, cuando no sean motivados estrictamente por el cumplimiento de su trabajo y con el consentimiento expreso, por escrito, por parte del responsable del proyecto designado por el Servicio de Tecnologías de la Información y las Comunicaciones del Ayuntamiento de Fuenlabrada.
15.- Adecuación al Esquema Nacional de Seguridad En cumplimiento con lo dispuesto en el artículo 99.4 de la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público, y el artículo 18 del Real Decreto 3/2010, de 8 de enero 2010 por el que se regula el Esquema Nacional de Seguridad, el licitador incluirá referencia precisa, documentada y
Plaza de la Constitución, 1 – 28943 Fuenlabrada (Madrid) www.ayto-fuenlabrada.es
acreditativa de que los productos de seguridad, equipos, sistemas, aplicaciones o sus componentes, han sido previamente certificados por el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información.
En el caso de que no exista la certificación indicada en el párrafo anterior, o esté en proceso, se incluirá, igualmente, referencia precisa, documentada y acreditativa de que son los más idóneos. Cuando estos sean empleados para el tratamiento de datos de carácter personal, el licitador incluirá, también, lo establecido en la Disposición adicional única del Real Decreto 1720/2007, de 21 de diciembre
Fuenlabrada, 04 de julio de 2013
Fdo. José Martos Collado Director Técnico S.T.I.C.
C.14.C.13
8/8