Liste und kurze Beschreibung der Auswahlkriterien
Nachweis zur fachlichen Leitungsfähigkeit:
-Mit der bereitgestellten Lösung kann Stufe 4 gemäß
Umsetzungsgradmodel der "Orientierungshilfe zum
Einsatz von Systemen zur Angriffserkennung" V1.0
des BSI erreicht werden.
-Erfahrungen bzgl. Dienstleistung im Bereich "Managed
Detection and Response"
-Erfahrungen bzgl. Einrichtung von rechtskonformen
SIEM-Systemen in Krankenhäusern. Relevant sind
dabei insbesondere die DSGVO und §203 StGb sowie
§8a IT-SiG.
-Erfahrung bzgl der Dienstleistung "Managed
Detection" bei KRITIS-Betreibern gemäß §8a IT-SiG.
-Erfahrung bzgl. dem Betrieb eines SIEM-Systems als
Managed Service.
-Der Geschäftsbereich, in dem der Bieter die
Dienstleistung Managed Detection and Response
erbringt, ist ISO 27001 oder nach einem
vergleichbaren Sicherheitsstandard zertifiziert.
-Erfahrung bei der Unterstützung von Kunden bei
größeren IT-Sicherheitsvorfällen z.B. durch
forensische Analysen.
-Nachweise bzgl. der Qualifikation von
Mitarbeiter*innen im Bereich "Managed Detection and
Response"
-Erfahrungen bzgl. der Vorfilterung von Log-Daten.
Insbesondere sollen später keine Patientendaten im
SIEM-System verarbeitet werden.
-Erfahrung bei der Umsetzung der
Transportverschlüsselung und Authentifizierung
gemäß der technischen Richtlinie TR-02102 des
Bundesamts für Sicherheit in der Informationstechnik
bei den Kommunikationsschnittstellen des SIEMSystems.
-Die Lösung unterstützt die Authentifizierung am SIEMSystem
via OpenID-Connect oder SAML
-Erfahrung beim Einbinden von Systemen, für die es
noch keine fertige Integration des Herstellers gibt
(Custom Integrations)
-Das SIEM-System unterstützt den Export von
Eventstatistiken. (z.B. via REST-API)
-Dem Bieter ist es möglich die Dienstleistung Managed
Detection ausschließlich in der EU zu erbringen.
-Der Bieter kann die Dienstleitung Managed Detection
komplett in Deutschland erbringen. (ggf. relevant
wegen §203 StGb.)
-Der Bieter kann die Dienstleistung Managed Detection
24/7 anbieten.
-Erfahrungen im Projektmanagement, auch hinsichtlich
Zeitplanung und Projektkosten
-Qualität der Servicebeschreibung und des
Einführungskonzepts
-Qualität der eingereichten Referenzen