CONSULTA PÚBLICA
O Banco Nacional de Desenvolvimento Econômico e Social - BNDES está preparando projeto
para a aquisição de solução para o monitoramento e auditoria das transações e das operações
realizadas, através de acesso ao mainframe via sessão de terminal TN3270, pelos usuários do
BNDES.
Este projeto tem como objetivos principais:
a) Implementar novos recursos e funcionalidades para aprimoramento do controle e
monitoramento do ambiente de grande porte (mainframe) em atenção aos apontamentos, no
que tange à Segurança da Informação, realizados pelo Banco Central ao BNDES;
b) Prover suporte à detecção de fraudes através da visibilidade e registro de todas as ações
realizadas pelos usuários no ambiente de grande porte;
c) Dar suporte à segregação de funções do ambiente de grande porte;
d) Automatizar processos e controles relacionados à gestão da segurança da informação.
Tendo em vista a necessidade de conhecer o mercado específico e averiguar se há apenas
uma única solução ou possibilitar a identificação e avaliação de outras soluções que atendam
aos requisitos, de forma ampla e irrestrita, o BNDES, por meio desta Consulta Pública, coloca à
disposição dos interessados o escopo principal do Projeto Básico, para apresentação de
questionamentos ou comentários.
O anexo a seguir apresenta as especificações técnicas da solução, com seus requisitos
obrigatórios, para atendimento às necessidades do BNDES.
As informações podem ser obtidas no Protocolo do BNDES no Rio de Janeiro, Av. República
do Chile nº 100, Térreo, Rio de Janeiro - RJ, e no portal institucional do BNDES na Internet
(www.bndes.gov.br), até 30/03/2012.
Só serão respondidos os questionamentos efetuados por escrito, encaminhados para o
endereço de correio eletrônico [email protected] ou para o fax (21) 2172-8657, até a
data acima mencionada. As respostas aos questionamentos serão publicadas na página
correspondente a esta Consulta Pública no portal institucional do BNDES na Internet
(www.bndes.gov.br).
1
ANEXO
Projeto Básico: Especificações Técnicas
1. Objeto
1.1.
Aquisição de solução para o monitoramento e auditoria das transações e das
operações realizadas, através de acesso ao mainframe via sessão de terminal
TN3270, pelos usuários do BNDES.
2. Requisitos obrigatórios
Os requisitos abaixo são as especificações técnicas mínimas, essenciais e indispensáveis à
solução, cuja não conformidade implica na inabilitação e desclassificação da solução.
2.1.
Prover monitoramento e auditoria, em tempo real e depois de ocorridas, das
transações e operações realizadas pelos usuários do BNDES no mainframe, via
terminal TN3270.
2.2.
Prover suporte para a detecção de fraudes, através do monitoramento e do
correlacionamento de eventos, e da execução de ações de resposta e de alertas em
tempo real.
2.3.
Prover uma interface centralizada de administração e acesso aos componentes e
recursos da solução.
2.4.
Registrar toda a comunicação e informação das telas e dados apresentados nas
sessões dos usuários estabelecidas com o mainframe, via terminal TN3270, além de
disponibilizar os seguintes recursos:
2.4.1.
Reexibição (replay) das telas acessadas pelos usuários, sua sequência e as
ações realizadas.
2.4.2. Visibilidade sobre os dados acessados, inseridos e/ou modificados pelos
usuários.
2.4.3. Pesquisas através de filtros categorizados, por tempo, por aplicação ou por
usuário, dos dados coletados pela solução.
2.5.
Não requer qualquer tipo de mudança, seja no nível de aplicação ou de
configuração, do ambiente de grande porte (mainframe) para sua implantação ou
operação.
2.6.
Não requer qualquer tipo de alteração nas aplicações e nos sistemas que serão
monitorados e auditados.
2.7.
Realizar a assinatura digital e criptografia de todas as informações e trilhas de
auditoria geradas e dos dados coletados. E prover a garantia de confidencialidade,
de integridade e de disponibilidade destas informações.
2.8.
Prover suporte para o mascaramento ou ocultação de informações sensíveis no
processo de auditoria e monitoramento, permitindo, por exemplo, implementar a
proteção e a inviolabilidade das senhas pessoais dos usuários.
2
2.9.
Ser dotado de uma arquitetura escalável, de forma a possibilitar a expansão da
solução de forma incremental fazendo uso da base instalada, sem incorrer em
custos adicionais associados ao ambiente previamente instalado para sua expansão.
2.10. Realizar e garantir o registro temporal e histórico de todos os eventos e transações
de forma acumulativa, acessível, categorizada, estruturada e padronizada, além de
disponibilizar ferramentas de pesquisa baseada em filtros e pesquisas textuais.
2.11. Disponibilizar recursos e ferramentas para a realização de cópias de segurança
(backup) e restauração (restore) das bases de dados da solução em dispositivos de
armazenamento externo. Deve ser possível também fazer um restore pontual de um
período específico de tempo de acordo com a política de backup adotada, sem
perda de informações ou dados da base de dados atual em produção.
2.12. Permitir configurar alertas baseados em eventos e políticas, via e-mail, para um ou
mais destinatários a critério do administrador da solução.
2.13. Permitir a criação e customização de novas regras de monitoramento e possibilita o
reprocessamento da base histórica com base neste novo conjunto de regras.
2.14. Prover interface gráfica para a elaboração de relatórios executivos e customizados,
incluindo recursos gráficos e textuais, com possibilidade de inclusão nos relatórios
de cabeçalho ou rodapé personalizados que permitam a exibição evidente da sua
classificação quanto ao grau de sigilo.
2.15. Permitir a criação de perfis de acesso na solução, de forma a possibilitar a
descentralização do controle e maior autonomia dos auditores e gestores quanto à
administração dos seus respectivos ativos de interesse e de responsabilidade. Desta
forma, permitindo implementar um controle de acesso na solução onde um auditor
ou gestor de determinado departamento só tenha acesso aos eventos e/ou registros
relacionados a sua respectiva área de atuação e não de todo o ambiente
monitorado.
2.16. Prover suporte para a instalação do módulo servidor na plataforma Red Hat Enterprise
Linux v5 64-bit ou em equipamento desenvolvido e configurado para executar esta
função específica (appliance).
2.17. Prover suporte para a instalação do módulo cliente para, no mínimo, as seguintes
plataformas: Microsoft Windows XP Professional e Microsoft Windows 7.
2.18. Prover suporte para a instalação de sua base de dados na plataforma Oracle Database
10g Release 2 ou em equipamento desenvolvido e configurado para executar esta
função específica (appliance).
2.19. Prover suporte para o monitoramento e a geração de trilhas de auditoria para, no
mínimo, 3.000 (três mil) sessões TN3270 abertas e ativas simultaneamente e uma
base total de usuários cadastrados de 5.000 (cinco mil).
2.20. Permitir o uso simultâneo do módulo cliente da solução para, no mínimo, 50 usuários
simultâneos na execução das atividades administrativas inerentes à solução e à área
da segurança da informação, tais como: gerenciamento de perfis, criação de contas
para acesso de auditores ou gestores, elaboração de relatórios executivos, criação
de regras e alertas de monitoramento, análise forense computacional das trilhas de
auditoria, dentre outras.
3
2.21. Possuir recursos e funcionalidades que permitam às equipes administrativas e/ou
usuárias da solução:
2.21.1. Categorizar e priorizar alertas;
2.21.2. Distribuir e balancear a carga de trabalho de auditoria e monitoração entre as
equipes;
2.21.3. Implementar indicadores de segurança que sejam atualizados automaticamente
com base no processamento dos dados coletados e das trilhas de auditoria
geradas.
2.22. Realizar o correlacionamento de forma unívoca entre usuários e transações realizadas
no mainframe, de forma a garantir o não-repúdio das informações e trilhas de
auditoria geradas, possibilitando às equipes usuárias da solução (auditores e/ou
gestores) identificar e responsabilizar de forma ilibada, nos eventuais incidentes de
segurança, seus responsáveis e atores.
2.23. Garantir o correlacionamento de forma unívoca entre os usuários e os seus
respectivos terminais de acesso, incluindo o endereçamento de rede IP (protocolo
TCP/IP) destes.
2.24. Não requer qualquer instalação de software ou configuração adicional nas estações de
trabalho dos usuários para sua implantação e operação.
4