Landeskrankenhaus Andernach - Aufbau und Betrieb eines Security Operations Center (SOC)

<div class="h1">Titel</div> <div class="pre">Landeskrankenhaus Andernach - Aufbau und Betrieb eines Security Operations Center (SOC)</div> <div class="h1">Beschreibung</div> <div class="pre">Teile des Leistungsumfangs a) SOC Leistungsumfang Teil 1: Security Event Management (EM) Im Rahmen des Security Event Managements werden Events gespeichert, korreliert und bewertet. Verdächtige Events, welche auf eine Gefahr hindeuten, werden dem Auftraggeber gemeldet. Der Prozessablauf wird hierzu im Security Event Management Ablaufplan festgelegt. Die entsprechenden Quell-Systeme werden vom Auftraggeber definiert. Die Events werden dann innerhalb der Security-Appliance gesammelt und an das zentrale Event Management System beim Auftragnehmer zur Analyse weitergeleitet. Innerhalb der Event Management Plattform beim Auftragnehmer werden die Security Events entgegengenommen und technisch mittels verschiedener Threat-Intelligence-Quellen klassifiziert und nach Möglichkeit mit Informationen angereichert. Die Security Analysten des Auftragnehmers analysieren und bewerten die Events. b) SOC Leistungsumfang Teil 2: Incident Response Incident Response ist die schnelle Reaktion auf Sicherheitsvorfälle, die die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Daten gefährden. Grundlage sind die Indikatoren einer Kompromittierung, die darauf hindeuten, dass die Sicherheitsziele verletzt wurden. Dies umfasst insbesondere: - Analyse des Umfangs des Angriffs und der aktiven Zugangskanäle - Nach Möglichkeit Aussperrung des Angreifers - Beobachtung neuer Angriffsversuche und Ursachenanalyse - Nach Möglichkeit Säuberung manipulierter Systeme - Nennung technischer Empfehlungen für die Verhinderung erneuter Vorfälle Der Auftragnehmer hat bei einem Sicherheitsvorfall jeweils einen Incident Response Ablaufplan zu erstellen, der den Prozessablauf im Sicherheitsfall näher beschreibt und dokumentiert. Ferner ist im Rahmen des Incident Response Ablaufplans eine Risikoeinschätzung der betroffenen Systeme durchzuführen und es hat zeitnah eine erste Meldung an den Auftraggeber zu erfolgen. Zudem hat der Auftragnehmer im Zuge der Incident Response einen Vor-Ort-Support wie folgt sicherzustellen: - Im Falle von Incidents der Kritikalität Critical oder High, bei denen eine Vor-Ort-Präsenz zur schnellen Eingrenzung, Behebung oder zur Durchführung von forensischen Sicherungsmaßnahmen erforderlich ist, verpflichtet sich der Auftragnehmer, innerhalb von maximal drei Stunden nach entsprechender Anforderung durch den Auftraggeber qualifiziertes Personal vor Ort am zentralen Rechenzentrums-Standort Andernach bereitzustellen. - Die Notwendigkeit des Vor-Ort-Einsatzes wird im jeweiligen Incident-Fall in Abstimmung zwischen dem Incident Response Team des Auftragnehmers und dem benannten Ansprechpartner des Auftraggebers entschieden. - Der Auftragnehmer stellt sicher, dass hierfür eine einsatzbereite und verfügbare Ressourcenplanung vorhanden ist und dass die Anfahrtszeiten und logistischen Rahmenbedingungen im Voraus mit dem Auftraggeber abgestimmt sind. c) SOC Leistungsumfang Teil 3: Cyber Security Assessment Ein Cyber Security Assessment ist ein zentrales Element einer proaktiven Cyber-Sicherheitsstrategie und liefert einen klaren Überblick über den aktuellen Sicherheitsstatus, sowie eine fundierte Entscheidungsgrundlage für künftige Investitionen in die IT-Sicherheit. Zu den Aufgaben des Auftragnehmers zählen hierbei insbesondere: - Mindestens ein jährliches Security-Assessment - Dokumentation von Handlungsempfehlungen d) SOC Leistungsumfang Teil 4: Service Manager Der Auftragnehmer stellt für die Dauer der Leistungserbringung einen Service Manager bereit. Dieser führt mindestens zweimal pro Kalenderjahr einen Betriebsreview des Security Operations Center (SOC) gemeinsam mit dem Auftraggeber durch und präsentiert: - den aktuellen Status des SOC-Betriebs, - eine Auswertung anhand definierter Kennzahlen (KPIs), - Erkenntnisse aus dem laufenden Betrieb, insbesondere zu identifizierten Bedrohungen und Vorfällen, - eine Bewertung der Servicequalität und Reaktionszeiten, - eine Übersicht zu Trendanalysen und Entwicklungen im Bereich Cyber Security. Auf Basis der im Betriebsreview vorgestellten Erkenntnisse und im Dialog mit dem Auftraggeber definiert der Service Manager konkrete Maßnahmen zur Optimierung des SOC-Betriebs. Der Service Manager dokumentiert die vereinbarten Maßnahmen einschließlich Verantwortlichkeiten und Umsetzungsfristen. Die Umsetzung der Maßnahmen wird im jeweils folgenden Review-Termin nachverfolgt und bewertet. Die durch den Service Manager erarbeiteten Berichte und vereinbarten Maßnahmen werden dem Auftraggeber in geeigneter schriftlicher Form zur Verfügung gestellt (z. B. in Form einer Management Summary). e) SOC Leistungsumfang Teil 5: Schwachstellenmanagement Ziel ist die kontinuierliche Identifikation und Bewertung von technischen Schwachstellen innerhalb der definierten IT-Umgebung des Auftraggebers. Das Schwachstellenmanagement dient der frühzeitigen Erkennung von Risiken und bildet die Grundlage für priorisierte Maßnahmen zur Risikominimierung. Der Auftragnehmer verpflichtet sich zur Durchführung von mindestens einem vollständigen Schwachstellenscan pro Monat. Der Bericht enthält mindestens folgende Informationen: - eine priorisierte Übersicht der 10 kritischsten Schwachstellen (Top 10), - deren jeweilige Kritikalität (z. B. CVSS-Score), - betroffene Systeme/Assets, - eine Entwicklung der Schwachstellenhistorie (sofern relevant), - Abstimmung von Handlungsempfehlungen, - Monatliche Abstimmungsgespräche bzw. -workshops mit dem Auftraggeber zur Bewertung der ermittelten Schwachstellen, - Priorisierung der Behebung, - Definition von konkreten Handlungsempfehlungen für die kritischen Schwachstellen. Schwachstellenscans müssen in enger Abstimmung mit dem Auftraggeber durchgeführt werden. Es sind keine Beeinträchtigungen des Produktivbetriebs während der Scans zulässig. Im Übrigen siehe Vergabeunterlagen, insbesondere Leistungsverzeichnis.</div> <div class="h1">Interne Kennung</div> <div class="pre">60445-19</div>