Managed Security Services: Security Operations Center für die FMS

Kurze Beschreibung

Auftrag zur Lieferung eines Security Operations Center (SOC) in Form eines Managed Security Service (MSS) mit Verfügbarkeit an 24 Stunden an allen 365 Tagen des Jahres („24/7“) für die Überwachung der FMS-WM und FMS-SG IT Plattformen. Der Leistungsumfang umfasst insbesondere:
Implementierung des SOC inkl. Definition und Implementierung der relevanten Schnittstellen, Prozesse und Reportings Kontinuierliche Suche nach Anzeichen für Angriffe und Verwundbarkeiten (Vulnerabilities) Laufende Überwachung der IT-Ressourcen und Daten bzgl. sicherheitsrelevanten Themenstellungen der FMS Steuerung der Reaktion auf Bedrohungen im IT Umfeld bei der FMS-WM, FMS-SG und ihren IT Dienstleistern Bedarfsweise Durchführung von Penetrationstests sowie Beratung zu IT-Security Fragestellungen und punktuell vor-Ort Incident Response
Optional: Setup & Betrieb einer Configuration Management Database (CMDB)
Optional: Setup & Betrieb eines Tools zur Unterstützung des ISMS der FMS

Beschreibung der Beschaffung

Die FMS Wertmanagement (FMS-WM) ist eine organisatorisch und wirtschaftlich selbstständige, teilrechtsfähige Anstalt des öffentlichen Rechts innerhalb der Bundesanstalt für Finanzmarktstabilisierung (FMSA). Die operativen Geschäftsprozesse inkl. der operativen Steuerung der relevanten IT Dienstleister ist weitestgehend an die FMS Wertmanagement Service GmbH (FMS-SG), eine 100 % Tochter der FMS-WM ausgelagert.Vergeben wird ein Auftrag zur Lieferung von Security Operation Center (SOC) Leistungen in Form eines Managed Security Services (MSS) mit Verfügbarkeit „24/7".
Im Detail gliedern sich die Dienstleistungen in folgende Themenstellungen:
1) Initiale Definition und Implementierung der SOC relevanten Schnittstellen, Prozesse, Reportings und technischen Anbindungen in Zusammenarbeit mit der FMS-WM, FMS-SG und ihren IT Dienstleistern;
2) Initiale Implementierung des SOC Regelbetriebes und Governance-Prozesse im Sinne des ISO 27001;
3) Update der zugehörigen SOC Prozesse bei Änderungen der regulatorischen Anforderungen;
4) Bereitstellung und Betrieb der für die Erbringung der SOC Dienstleistung notwendigen Infrastruktur als Managed Security Services (MSS).
Betrieb der SOC Infrastruktur mit Verfügbarkeit 24 Stunden an allen 365 Tage des Jahres. Regelbetrieb inkl. der technischen Anbindung an die Netzwerke der gegenwärtigen und zukünftigen IT Dienstleister der FMS-WM und FMS-SG:
– Bereitstellung der relevanten personellen, technischen und sonstigen Ressourcen in Eigenverantwortung, welche für den Betrieb eines SOC in der Ausprägung eines MSS nötig sind,
– Sicherstellung der erforderlichen Aus- und Weiterbildung der mit der Leistungserbringung betrauten Mitarbeiter.
5) Erbringung von SOC-Regelbetriebsleistungen insbesondere:
– regelmäßige Erfassung aller relevanten IT Sicherheitsinformationen in „neartime“ über geeignete Schnittstellen bei den IT Dienstleistern mittels Statusmeldungen, Log- und Konfigurationsdaten sowie – Netzwerkinformationen,
– regelmäßige Überprüfung und bei Bedarf Anpassung der relevanten Informationsschnittstellen,
– Bewertung und Priorisierung der erfassten Informationen sowie Ableitung von geeigneten Maßnahmen inkl. Erstellung von Entscheidungs- / Handlungsempfehlungen,
– Falls nötig, Koordination eines ad-hoc Reaktionsprozesses zur Erstellung von Entscheidungs-/Handlungsvorlagen für die Verantwortlichen der FMS-WM und FMS-SG z. B. bei Incidents,
– Überwachung der Umsetzung der getroffenen, genehmigten Maßnahmen beim IT-Dienstleister,
– des Weiteren soll der Auftragnehmer insbesondere folgendes im Rahmen des MSS liefern:
–– Durchführung des IT-Security Threat Monitorings,
–– Unterstützung beim IT-Risk Assessment,
–– Unterstützung und Kontrolle des IT-Security Incident Managements,
–– Durchführung des IT-Security Vulnerability Managements,
–– Kontrolle des Configuration Managements,
–– Durchführung von Trend Analysen in Bezug auf IT-Security,
–– Durchführung und Unterstützung bei der Forensischen Untersuchung inklusive Beweissicherung an IT Systemen nach Schadensfall (Forensic Handling von Security Incidents) in Zusammenarbeit mit FMS-WM sowie FMS-SG und deren IT-Dienstleistern.
– Erstellen von regelmäßigen Berichten in unterschiedlicher Detailtiefe und Statistiken zur Vorlage bei den Verantwortlichen der FMS-WM sowie FMS-SG.
6) Lieferung von zusätzlichen SOC Dienstleistungen im Bedarfsfall bzw. auf Bestellung der FMS-WM:
– Durchführung von Penetrationstests,
– Vor-Ort Incident Response und Beratung zu IT-Security spezifischen Fragestellungen.
7) Optionale SOC Dienstleistung als MSS:
– Setup, Implementierung und Betrieb einer Configuration Management Database (CMDB) sowie der zugehörigen Prozesse gemeinsam mit den IT-Dienstleistern,
– Setup, Implementierung und Betrieb eines toolunterstützen Information Security Management Systems (ISMS)), in dem neben den Erkenntnissen aus dem SOC auch Risikoanalysen (Schutzbedarfsanalyse, Business Impact Analyse inkl. Maßnahmenkataloge) erfasst und verwaltet werden können.

1) Die Vergabe erfolgt nach den Vorschriften der Vergabeverordnung. Die Formblätter zur Abgabe der geforderten Erklärungen und Nachweise für den Teilnahmeantrag stehen bei der in Ziffer I.1) dieser Bekanntmachung genannten Kontaktadresse zum Download bereit;
2) Bei der Zusammenstellung des Teilnahmeantrages ist auf die Vollständigkeit der Unterlagen und eine übersichtliche Ausgestaltung zu achten. Es wird darum gebeten, die im Bekanntmachungstext und in den Formblättern vorgesehene Nummerierung einzuhalten;
3) Fragen der Bewerber zu den Anforderungen dieser Bekanntmachung und den im Teilnahmewettbewerb bereit gestellten Vergabeunterlagen sollen umgehend, jedoch spätestens bis zum 9.2.2018 an folgende E-Mail-Adresse gerichtet werden (formlos):
SOC-Ausschreibung@fms-wm.de
Der Auftraggeber behält sich vor, später eingehende Fragen nicht zu beantworten. Rechtzeitig eingehende Fragen werden gesammelt und zeitnah in Form eines Fragen- und Antwortkataloges anonymisiert an alle Bewerber versandt. Die Bewerberfragen und die entsprechenden Antworten werden Bestandteil der Vergabeunterlagen für den Teilnahmewettbewerb und konkretisieren diese gegebenenfalls;
4) Der Teilnahmeantrag muss handschriftlich unterzeichnet sein und schriftlich bei der in Ziffer I.1) benannten Adresse eingereicht werden. Eine elektronische Übermittlung oder Übermittlung per Telefax ist nicht zulässig und führt zum Ausschluss;
5) Der Teilnahmeantrag ist mit sämtlichen zugehörigen Unterlagen in einem fest verschlossenen Umschlag / Paket einzureichen und wie folgt zu kennzeichnen:
„Teilnahmeantrag im Vergabeverfahren
„Managed Security Services für ein Security Operation Center (FMS MSS-SOC)“
Nicht vor Ablauf der Bewerbungsfrist öffnen!
Persönlich und ungeöffnet zu Händen von Frau Alexandra Christodoulopoulou "
Ist der Teilnahmeantrag nicht entsprechend gekennzeichnet und wird der Umschlag / das Paket aus diesem Grund vor dem Schlusstermin zur Öffnung der Teilnahmeanträge geöffnet, kann dies zum Ausschluss aus dem Verfahren führen.
6) Der Teilnahmeantrag ist bis zu dem unter Abschnitt IV.2.2) genannten Schlusstermin bei dem Auftraggeber einzureichen. Das Versandrisiko für den rechtzeitigen Eingang liegt beim Bewerber. Es wird darum gebeten, zusätzlich zur Papierversion mit der Originalunterschrift des Bewerbers eine Kopie in Papierform sowie eine CD-ROM / DVD mit dem eingescannten Teilnahmeantrag im PDF-Format einzureichen;
7) Bewerber, die die nach dieser Bekanntmachung geforderten Erklärungen und Nachweise nicht mit dem Teilnahmeantrag vorlegen, können von dem Verfahren ausgeschlossen werden. Der Auftraggeber behält sich vor, fehlende Erklärungen und Nachweise nachzufordern. Die Bewerber haben keinen Anspruch auf eine Nachforderung;
8) Je Bewerber ist nur ein Teilnahmeantrag zulässig. Mehrfachbewerbungen führen zum Ausschluss vom Vergabeverfahren. Als Mehrfachbewerbung gilt auch die Abgabe mehrerer Teilnahmeanträge von Einzelbewerbern innerhalb verschiedener Bewerbergemeinschaften;
9) Für den Fall, dass sich Unternehmen zur Teilnahme an dem vorliegenden Vergabeverfahren über Bewerbergemeinschaften oder Unterauftragnehmer-Konstellationen zusammenschließen, wird darauf hingewiesen, dass nach Ablauf der Bewerbungsfrist keine Änderungen an der Bewerberkonstellation zugelassen werden können, die mit einem Identitätswechsel verbunden sind;
10) Für die Teilnahme an dieser Ausschreibung wird keine Entschädigung gewährt. Eingereichte Unterlagen werden nicht zurückgesandt;
11) Enthalten diese Bekanntmachung oder die weiteren Vergabeunterlagen Unklarheiten oder Widersprüche oder verstoßen diese nach Auffassung des Bewerbers gegen geltendes Recht, so haben die Bewerber den Auftraggeber hierauf unverzüglich in Textform hinzuweisen;
12) Die Teilnahmeanträge sind in deutscher Sprache einzureichen;
13) Die Verfahrenssprache für den Teilnahmewettbewerb ist Deutsch;
14) Der Auftraggeber behält sich vor, dass weitere Verfahrensteile in englische Sprache durchgeführt werden.

Genaue Informationen über Fristen für Überprüfungsverfahren

Auf die folgende gesetzliche Regelung und die darin vorgesehene mögliche Frist für die Stellung eines Nachprüfungsantrags wird hingewiesen (§ 160 Abs. 3 S. 1 Nr. 1 bis 4 GWB):
Ein Nachprüfungsantrag ist unzulässig, soweit:
1) der Antragsteller den gerügten Verstoß gegen Vergabevorschriften im Vergabeverfahren erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat, 2) Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3) Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4) mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.