Security Operations Center (SOC)

Description du marché

1.Allgemeine Informationen zur Auftragsvergabe 1.1 Information zum Auftraggeber „Das Klinikum Itzehoe ist ein Krankenhaus der Schwerpunktversorgung, zudem ist es eines der größten Krankenhäuser in Schleswig-Holstein. Dazu zählen neben 15 Fachkliniken auch drei medizinische Versorgungszentren, ein ambulanter Pflegedienst, ein Seniorenzentrum, so-wie eine Gesundheits- und Krankenpflegeschule. Träger des Klinikum Itzehoe ist ein Zweck-verband bestehend aus dem Kreis Steinburg und der Stadt Itzehoe. Das Klinikum Itzehoe fungiert als Akademisches Lehrkrankenhaus der medizinischen Fakultäten der Universitäten Hamburg, Kiel und Lübeck. Neben dem ärztlichen Personal bildet das Klinikum Itzehoe auch Pflegepersonal und Physiotherapeuten aus. Im Klinikum Itzehoe arbeiten rund 2500 Mitarbeiter in verschiedenen Bereichen.“ Jährlich werden ca. 29 Tsd. vollstationäre Fälle und 50 Tsd. ambulante Fälle behandelt, das Umsatzvolumen beträgt ca. 180 Mio. Euro. 1.2 Beschreibung Auftragsgegenstand Das Klinikum Itzehoe möchte seine IT-Systeme weiter absichern und mittels eines Monitorings durch ein Security Operation Center in Form eines Managed Service („Managed SOC“) erweitern. Externe Analysten und Experten analysieren dabei Aktivitäten innerhalb der Systeme und Netze mit Hilfe u.a. der korrelierten Log-Dateien. Dies kann helfen, Cyber-Angriffe zu erkennen und zeitnah einzudämmen, bspw. bevor Angreifer Systeme kompromittieren. Die derzeitige Architektur der IT-Sicherheit beruht maßgeblich auf der Absicherung der Endgeräten auf Basis TrendMicro mit ApexOne, unterstützt durch TrendMicro DDI. Weitere Informationen zur derzeitigen IT-Infrastruktur und Architektur sind in der Anlage „Information zur IT-Infrastruktur“ detailliert beschrieben. Eine kurze Zusammenfassung der Bausteine: - Lizenzen: Die SIEM-Lösung wird durch den AN bereitgestellt und betrieben. Die Lizenzen bzw. Subscriptions sind vom AN anzubieten. Die SIEM-Lösung bleibt damit Eigentum des AN und befindet sich bis auf notwendige Kollektoren und Sensoren, welche ggf. AG Eigentum sind bzw. werden, in der Infrastruktur des AN (Cloud). - Anbindung Log-Quellen: der AN ist für die initiale Anbindung und Normalisierung der Log-Quellen, der Information aus der Endpointsicherheitslösung sowie relevanter Tools und Quellen an die SIEM-Lösung (Security Information and Event Management) zu-ständig. Der SOC-Partner hat dem AG in der Implementierungs-Phase die notwendigen bzw. präferierten Quellen zu nennen, um eine ausreichende Visibilität für qualifizierte Services zu erreichen. Die relevante Dokumentation und ein Betriebshandbuch sind Teil des Umfangs. - Betrieb der SIEM-Lösung: Der Betrieb der Lösung liegt vollständig beim AN. - Der AN bringt Regeln und Use-Cases in die SIEM-Lösung ein und übernimmt die Überwachung. Dazu gehören Regeln, um in den Daten Korrelationen zu bilden und da-raus Alarme auf einen potenziellen Angriff zu erzeugen. Die Überwachung und Analyse der Alarme sind Teil der Leistung des AN (weitere Detaillierung zu den SOC-Leistungen in Kapitel 2.3). - Protokollierung: Der AN setzt die SIEM-Lösung für die Zwecke der Protokollierung und möglichen notwendigen forensischen Analyse auf. Die Daten-Retention erfolgt ausschließlich in der SIEM-Lösung, eine Speicherdauer von 12 Monaten ist geplant. - Reaktion: Die im Leistungsumfang geforderte und vom AG freigegebene Reaktion bei einem Sicherheitsvorfall durch den AN auf den Systemen des AG wird in der Implementierungsphase abgestimmt. Der AG verfügt über eine telefonische Bereitschaft. Eine direkte aktive Reaktion durch den SOC-Partner bspw. auf Endgeräte ist erforderlich (weitere Detaillierung in Kapitel 2.3). Im Falle eines kritischen Vorfalls stellt der AN ad-hoc Ressourcen (Incident Response Team) zur Eindämmung, Bewältigung und Aufbereitung des Vorfalls bereit. 1.3 Technische und organisatorische Rahmenbedingungen Als Einrichtung im Gesundheitswesen und der damit verbundenen Verarbeitung besonders sensibler personenbezogener Informationen und Gesundheitsinformationen der Patienten ist der Schutzbedarf des Klinikum Itzehoe besonders hoch und die Absicherung kritisch. Infrastruktur und Architektur: Die Absicherung der Endpoints läuft derzeit mit TrendMicro Apex One, unterstützt durch TrendMicro DDI. Das Mengengerüst für das Angebot ist der Anlage „Information zur IT-Infrastruktur“ zu entnehmen. Protokollierung: Derzeit werden Security-Daten inkl. Logs an unterschiedlichen Orten separat abgelegt. Daher gibt es Stand heute keine zentrale Datenerhebung bzw. keinen Security Data-Lake. Verfügbarkeit der IT: Das Security-Team des AG hat eine 7x24h Rufbereitschaft eingerichtet, um vom AN im Zuge des Managed Security Operations Center bei kritischen Vorfällen kontaktiert werden zu kön-nen. Datenaustausch Der Datenaustausch zwischen dem Auftraggeber und dem Auftragnehmer muss generell auf die Verwendung vertraulicher und technologisch sicherer Kommunikations- und Datenkanäle beschränkt sein. Für den Datenaustausch abseits der E-Mail-Kommunikation (beispielsweise sicherheitsrele-vante Dokumente, Programme, etc.) muss der Auftragnehmer eine Datenaustauschplattform zur Verfügung stellen. Sonstige Anforderungen Für die Erbringung des Leistungsumfangs muss der Auftragnehmer grundsätzlich in der Lage sein, die notwendigen Werkzeuge (Soft- und Hardware) - inkl. etwaig notwendiger Lizenzen oder anderer Rahmenbedingungen - in vollem Umfang eigenständig zur Verfügung zu stellen und uneingeschränkt beim Auftraggeber nutzen zu können (außer Windows-Lizenzen, VMWa-re-Umgebung wird von dem Klinikum Itzehoe zur Verfügung gestellt).

Pouvoir adjudicateur