IBM Infrastructure Security Services Managed Network Security Services Leistungsbeschreibung
Z126-5942-CH-2 04-2013
Seite 1 von 42
Inhaltsverzeichnis 1.Managed Network Security Services 2.Begriffserklärungen
3
3
3.Managed Network Security Services – Foundational Features 3.1MSS-Portal
4
4
3.2Ansprechpartner für die Managed Network Security Services 3.3Erstellung von Sicherheitsberichten 3.4IBM X-Force Threat Analysis
6
8
8
3.5Implementierung und Aktivierung
9
3.6Implementierung und Aktivierung des Protokollmanagements und der Alarmausgabe 3.7Erneute Implementierung und Aktivierung
20
3.8Erfassung von Sicherheitsereignissen und -protokollen
20
4.Managed Network Security Services – Common Features21 4.1Automatisierte Analyse 21 4.2Überwachung und Benachrichtigung durch Bedrohungsanalysten 22 4.3Richtlinienmanagement 24 4.4VPN-Unterstützung (Virtual Private Network)
26
4.5Überwachung des Status und der Verfügbarkeit der Managed Agents 4.6Management von Agenten 4.7Content-Sicherheit
28
29
5.Managed Network Security Services – Optionale Features
30
5.1Bereitstellung von Sicherheitsereignissen und -protokollen 5.2Cold Standby
30
30
5.3Warm Standby 31 5.4Management von virtuellen Instanzen 5.5Hochverfügbarkeit
32
32
5.6Aggregator am Kundenstandort 34 5.7Integration des Ticketsystems
36
5.8Optionaler Out-of-Band-Zugriff für das Protokollmanagement 6.Service-Level-Agreements
37
6.1SLA-Verfügbarkeit
37
6.2SLA-Gutschriften
39
6.3Änderung der SLAs im Simulationsmodus
40
6.4Intellectual Property Services Components
40
Z126-5942-CH-2 04-2013
Seite 2 von 42
36
27
16
IBM Managed Network Security Services Zusätzlich zu den nachstehend aufgeführten Bedingungen enthält diese Leistungsbeschreibung die „Allgemeinen Bedingungen für IBM Managed Security Services“ (nachfolgend „Allgemeine Bedingungen“ genannt), die unter http://www-935.ibm.com/services/uk/gts/html/contracts_landing_ch.html zu finden sind und durch Bezugnahme Bestandteil dieser Leistungsbeschreibung werden.
1.
Managed Network Security Services Gegenstand der Leistung der IBM Infrastructure Security Services – Managed Network Security Services (nachfolgend „MNSS“ oder „Services“ genannt) ist die Überwachung (mit Alarmausgabe) und das Management von Technologien für die Netzwerksicherheit (nachfolgend „Agenten“ oder „Managed Agents“ genannt) auf einer Vielzahl verschiedener Plattformen und Technologien. Diese Agenten dürfen nicht zu anderen Zwecken eingesetzt werden, während sie im Rahmen dieser Services von IBM betrieben werden. Die hierin beschriebenen Merkmale der Services sind von der Verfügbarkeit und Unterstützbarkeit der genutzten Produkte und Produktmerkmale abhängig. Auch bei unterstützten Produkten werden möglicherweise nicht alle Produktmerkmale unterstützt. Informationen zu unterstützten Merkmalen sind auf Anfrage von IBM erhältlich. Zu den Produkten gehören sowohl von IBM als auch nicht von IBM bereitgestellte Hardware, Software und Firmware. Die Services werden von einem Netz aus IBM Security Operations Centers (SOCs) weltweit aus erbracht, die während 24 Stunden pro Tag an 7 Tagen die Woche für den Kunden erreichbar sind. Die Komponenten dieser Service-Features werden in diesem Dokument als „Foundational“, „Common“ und „Optional“ Features kategorisiert. Der IBM X-Force Hosted Threat Analysis Service ist ein Security-Intelligence-Service, der individuell angepasste Informationen zu einer Vielzahl von Sicherheitsbedrohungen bereitstellt, die sich auf die Sicherheit des Netzwerks des Kunden auswirken könnten.
2.
Begriffserklärungen Alert Condition (AlertCon) ist eine von IBM entwickelte globale Risikomessgrösse, die proprietäre Methoden nutzt. Die AlertCon-Alarmstufe (nachfolgend „AlertCon-Level“ genannt) basiert auf einer Vielzahl verschiedener Faktoren, darunter der Anzahl und dem Schweregrad bekannter Schwachstellen, Exploits, die diese Schwachstellen ausnutzen, der allgemeinen Verfügbarkeit solcher Exploits, der Aktivität sich massenhaft verbreitender Würmer und der Aktivität globaler Sicherheitsbedrohungen. Die vier AlertCon-Levels sind im IBM MSS-Kundenportal (IBM Managed Security Services) (nachfolgend „Portal“ genannt) beschrieben. Antispam ist dafür ausgelegt, die Menge an Spam-E-Mail, die an die Mailboxen der Benutzer gesendet wird, zu minimieren. Antivirus ist dafür ausgelegt, viele Arten von Dateiübertragungen (z. B. Webseiten, E-Mail-Verkehr und FTP-Übertragungen (File Transfer Protocol)) im Hinblick auf Würmer, Viren und weitere Formen von Malware zu überwachen. Autorisierter Ansprechpartner für die Sicherheit ist ein Entscheidungsträger, der für alle betrieblichen Aspekte im Zusammenhang mit dem/den MNSS-Feature/s verantwortlich ist. Benannter Ansprechpartner für die Services ist ein Entscheidungsträger, der für bestimmte betriebliche Aspekte im Zusammenhang mit jedem IBM MNSS-Feature, dem/den Agenten des jeweiligen Features oder einer Gruppe von Agenten verantwortlich ist. Schulungsmaterial beinhaltet u. a. Handbücher, Anweisungen für Schulungsleiter, Literatur, Methodiken, Bilder, Richtlinien und Verfahren zu elektronischen Kursen und Fallstudien sowie weitere schulungsbezogene Komponenten, die von oder für IBM erstellt wurden. Soweit zutreffend, beinhaltet das Schulungsmaterial auch Handbücher für die Schulungsteilnehmer, Übungsdokumente, Handbücher und Präsentationen, die von IBM bereitgestellt werden. Firewall ist ein Gerät für die Netzwerksicherheit, das dafür konzipiert ist, unbefugten Zugriff zu verhindern und berechtigte Datenübertragungen zuzulassen, basierend auf einer Konfiguration von Regeln für das
Z126-5942-CH-2 04-2013
Seite 3 von 42
Zulassen, Ablehnen, Verschlüsseln, Entschlüsseln oder Weiterleiten von Daten in Übereinstimmung mit der Sicherheitsrichtlinie des Serviceempfängers. IBM MSS-Portal (Managed Security Services) („Portal“ genannt) ist ein Portal, das Zugriff auf eine Umgebung (und zugehörige Tools) für die Überwachung und das Management des Sicherheitsstatus bietet. Das Portal vereint Technologie- und Servicedaten von mehreren Anbietern und aus unterschiedlichen Ländern in einer einheitlichen webbasierten Oberfläche. Intrusion Detection and Prevention System (IDPS) ist ein Gerät oder eine Softwareanwendung für die Netzwerksicherheit, das/die Verfahren zur Erkennung und Vermeidung unbefugter Zugriffe nutzt, um Netzwerkaktivitäten im Hinblick auf schädliches oder unerwünschtes Verhalten zu überwachen. Diese Überwachung kann mögliche Sicherheitsverstösse in Echtzeit erkennen und in einigen Fällen abwehren. MSS-Agent oder Agent ist ein neues oder vorhandenes Gerät, für das die IBM Managed Security Services genutzt werden. MSS-Agenten dürfen nicht zu anderen Zwecken eingesetzt werden, während sie im Rahmen dieser Services von IBM betrieben werden. MSS-Portalbenutzer sind Benutzer des MSS-Portals mit unterschiedlichen Berechtigungen für das MSSPortal. MSS-Portalbenutzer können eingeschränkten, regulären oder administrativen Zugriff auf alle MSSAgenten oder nur auf einen Teil der MSS-Agenten erhalten. Die Ansichten im MSS-Portal und die Berechtigungen, die den Portalbenutzern zur Verfügung stehen, werden vom autorisierten Ansprechpartner für die Sicherheit festgelegt. Aggregator am Kundenstandort (Onsite Aggregator, OA) ist ein erforderliches Gerät, das am Kundenstandort implementiert und von IBM MSS gegen Zahlung einer zusätzlichen Gebühr betrieben und überwacht wird. Der OA übernimmt die Zusammenfassung, das Parsing und die Normalisierung von textbasierten Protokollen zu Systemaktivitäten in unbekannten Formaten, komprimiert und verschlüsselt Sicherheitsereignisse und Protokolldaten und überträgt die Sicherheitsereignisse und Protokolldaten an die IBM MSS-Infrastruktur. Universal Log Agent (ULA) ist eine schlanke Anwendung für die Protokollerfassung, die auf einem oder mehreren berechtigten Agenten ausgeführt wird. Der ULA erfasst textbasierte Protokolle lokal auf dem Agenten, komprimiert und verschlüsselt sie und leitet sie sicher an den Aggregator am Kundenstandort (OA) oder direkt an die IBM MSS-Infrastruktur weiter. UTM-System (Unified Threat Management) ist ein neues oder vorhandenes Gerät, für das die IBM Managed Network Security Services genutzt werden. Dieses Gerät enthält unter anderem die folgende Funktionalität: Firewall, IDPS, Webfilter, Antivirus, Antispam und VPN-Konnektivität. Virtual Private Networks (VPNs) nutzen öffentliche Telekommunikationsnetze für die verschlüsselte Übertragung privater Daten. Die meisten VPN-Implementierungen verwenden das Internet als öffentliche Infrastruktur und eine Vielzahl verschiedener spezialisierter Protokolle zur Unterstützung der Übertragung privater Daten. Webfilter sind dafür ausgelegt, anstössige Webinhalte zu blockieren, Gefahren aus dem Internet zu entschärfen und das Webnutzungsverhalten von Mitarbeitern hinter dem/den Agenten zu steuern.
3.
Managed Network Security Services – Foundational Features Foundational Features werden mit jedem Agenten bereitgestellt, der Teil der Managed Network Security Services ist. Sie sind nicht optional. Es können unterschiedliche Stufen des Features bereitgestellt werden. Diese Features sind jedoch im Leistungsumfang aller Managed Network Security Services enthalten.
3.1
MSS-Portal Das MSS-Portal bietet Zugriff auf eine Umgebung (und zugehörige Tools) für die Überwachung und das Management des Sicherheitsstatus. Das Portal vereint Technologie- und Servicedaten von mehreren Anbietern und aus mehreren Ländern in einer einheitlichen webbasierten Oberfläche. Das Portal kann auch zur Bereitstellung des Schulungsmaterials verwendet werden. Sämtliches Schulungsmaterial wird lizenziert, nicht verkauft, und verbleibt ausschliesslich im Eigentum von IBM. IBM erteilt dem Kunden ein Nutzungsrecht gemäss den im Portal aufgeführten Bedingungen. Das Schulungsmaterial wird „as is“, ohne jegliche Gewährleistung oder Haftung bereitgestellt, sei sie ausdrücklich oder stillschweigend, einschliesslich, jedoch nicht beschränkt auf die Gewährleistung für die Handelsüblichkeit, die Verwendbarkeit für einen bestimmten Zweck und die Nichtverletzung von Eigentums- und Schutzrechten.
Z126-5942-CH-2 04-2013
Seite 4 von 42
3.1.1
Leistungsumfang IBM wird a.
dem Kunden während 24 Stunden pro Tag an 7 Tagen die Woche Zugriff auf das MSS-Portal gewähren. Das MSS-Portal bietet Folgendes: (1)
Mehrere Ebenen des Zugriffs für MSS-Portalbenutzer, die auf einen IBM Managed Security Service, einen MSS-Agenten oder eine Gruppe von Agenten angewandt werden können;
(2)
Informationen über und Warnung bei Sicherheitsbedrohungen;
(3)
Details zur Konfiguration und Richtlinie des/der MSS-Agenten, soweit zutreffend
(4)
Informationen über Sicherheitsverstösse und/oder Servicetickets;
(5)
Möglichkeit der Initiierung und Aktualisierung von Tickets und Workflows;
(6)
Möglichkeit der Interaktion mit einem SOC-Analysten;
(7)
Dashboard für die Erstellung von Berichten auf der Basis von Vorlagen;
(8)
Zugriff auf Protokolle und Ereignisse des/der MSS-Agenten, soweit zutreffend;
(9)
Berechtigung zum Download von Protokolldaten, sofern zutreffend;
(10) Zugriff auf das Schulungsmaterial gemäss den im MSS-Portal aufgeführten Bedingungen; und (11) soweit zutreffend:
3.1.2
(a)
Möglichkeit, unbekannte textbasierte Protokolle zu Systemaktivitäten zu parsen und zu normalisieren; und
(b)
Möglichkeit, benutzerdefinierte Korrelationsregeln zu erstellen;
b.
die Verfügbarkeit des MSS-Portals gemäss den Kennzahlen sicherstellen, die im Abschnitt „Service-Level-Agreements“, „Verfügbarkeit des Portals“ dieser Leistungsbeschreibung angegeben sind; und
c.
einen Benutzernamen, ein Kennwort, eine URL und entsprechende Berechtigungen für den Zugriff auf das MSS-Portal bereitstellen.
Verantwortlichkeiten des Kunden Der Kunde wird a.
das MSS-Portal nutzen, um tägliche Aktivitäten im Rahmen des Betriebs durchzuführen;
b.
sicherstellen, dass die Mitarbeiter des Kunden, die im Namen des Kunden auf das MSS-Portal zugreifen, die im Portal veröffentlichten Nutzungsbedingungen einhalten, einschliesslich der Bedingungen im Zusammenhang mit dem Schulungsmaterial;
c.
seine Zugangsdaten für die Anmeldung am MSS-Portal angemessen schützen (das bedeutet unter anderem, sie gegenüber Unbefugten nicht offenzulegen);
d.
IBM umgehend benachrichtigen, wenn er den Verdacht hat, dass seine Zugangsdaten kompromittiert wurden;
e.
IBM in Bezug auf alle Verluste entschädigen und schadlos halten, die IBM durch den Kunden oder Dritte dadurch entstehen, dass
f.
(1)
der Kunde seine Zugangsdaten nicht angemessen schützt; und
(2)
– sofern das Protokollmanagement und die Alarmausgabe Bestandteil des Servicevertrags des Kunden sind – (a)
der Kunde reguläre Ausdrücke beim Parsing und bei der Normalisierung von Ereignisund Protokolldaten nicht korrekt verwendet; und
(b)
der Kunde benutzerdefinierte Korrelationsregeln nicht korrekt verwendet;
– sofern das Protokollmanagement und die Alarmausgabe Bestandteil des Servicevertrags des Kunden sind – (1)
die Verantwortung für das Parsing und die Normalisierung unbekannter Protokollformate im Portal übernehmen;
(2)
die alleinige Verantwortung für den Test und die Verifizierung der Leistung von ProtokollParsern und benutzerdefinierten Korrelationsregeln übernehmen;
Z126-5942-CH-2 04-2013
Seite 5 von 42
3.2
(3)
Protokoll-Parser und benutzerdefinierte Korrelationsregeln über das Portal aktivieren und deaktivieren; und
(4)
bestätigen, dass (a)
die Leistung des Aggregators am Kundenstandort (OA) und die rechtzeitige Bereitstellung von Protokolldaten durch nicht korrekt geschriebene oder ineffiziente Protokoll-Parser beeinträchtigt werden können;
(b)
IBM nicht für die Protokoll-Parser oder benutzerdefinierten Korrelationsregeln verantwortlich ist, die im Portal konfiguriert und gespeichert werden; und
(c)
Konfigurationsunterstützung für das Parsing unbekannter Protokollformate nicht im Leistungsumfang der Services enthalten ist.
Ansprechpartner für die Managed Network Security Services Der Kunde kann zwischen mehreren Ebenen des Zugriffs auf das SOC und das MSS-Portal wählen. Dadurch kann er verschiedenen Rollen in seinem Unternehmen unterschiedliche Zugriffsrechte zuweisen. Verfügbar sind autorisierte Ansprechpartner für die Sicherheit, benannte Ansprechpartner für die Services und MSS-Portalbenutzer.
3.2.1
Autorisierte Ansprechpartner für die Sicherheit IBM wird a.
dem Kunden die Erstellung von bis zu drei autorisierten Ansprechpartnern für die Sicherheit ermöglichen;
b.
jedem autorisierten Ansprechpartner für die Sicherheit Folgendes bereitstellen: (1)
administrative MSS-Portalberechtigungen für den/die MSS-Agenten des Kunden, sofern zutreffend;
(2)
die Berechtigung zur Erstellung von benannten Ansprechpartnern für die Services und MSSPortalbenutzern; und
(3)
die Berechtigung zur Delegation der Verantwortung an die benannten Ansprechpartner für die Services;
c.
sich mit den autorisierten Ansprechpartnern für die Sicherheit über Aspekte bezüglich der Unterstützung und Benachrichtigung im Zusammenhang mit den MSS-Features austauschen; und
d.
die Identität der autorisierten Ansprechpartner für die Sicherheit mittels einer Authentifizierungsmethode überprüfen, die ein vorab ausgetauschtes Abfragekennwort oder eine vorab ausgetauschte Abfragekennziffer verwendet.
Der Kunde wird e.
IBM Kontaktinformationen zu jedem autorisierten Ansprechpartner für die Sicherheit bereitstellen. Die autorisierten Ansprechpartner für die Sicherheit sind für Folgendes verantwortlich: (1)
Authentifizierung bei den SOCs mittels eines vorab ausgetauschten Abfragekennworts;
(2)
Pflege von Informationen zur Benachrichtigungsreihenfolge und von Kontaktinformationen zu Ansprechpartnern des Kunden sowie Übergabe dieser Informationen an IBM;
(3)
Erstellung der benannten Ansprechpartner für die Services und Delegation von Verantwortlichkeiten und Rechten an diese Ansprechpartner, sofern angebracht; und
(4)
Erstellung von Portalbenutzern;
f.
sicherstellen, dass mindestens ein autorisierter Ansprechpartner für die Sicherheit während 24 Stunden pro Tag an 7 Tagen die Woche erreichbar ist;
g.
IBM innerhalb von drei Kalendertagen über Änderungen an den Kontaktinformationen zu Ansprechpartnern des Kunden informieren; und
h.
bestätigen, dass nicht mehr als drei autorisierte Ansprechpartner für die Sicherheit erlaubt sind, unabhängig von der vereinbarten Anzahl an IBM Services oder MSS-Agenten.
Z126-5942-CH-2 04-2013
Seite 6 von 42
3.2.2
Benannte Ansprechpartner für die Services IBM wird a.
die Identität der benannten Ansprechpartner für die Services mittels einer Authentifizierungsmethode überprüfen, die ein vorab ausgetauschtes Abfragekennwort verwendet; und
b.
sich mit den benannten Ansprechpartnern für die Services nur über die betrieblichen Aspekte austauschen, für die sie verantwortlich sind.
Der Kunde wird
3.2.3
c.
IBM Kontaktinformationen zu jedem benannten Ansprechpartner für die Services und Informationen zu dessen Zuständigkeit bereitstellen. Die benannten Ansprechpartner für die Services sind für die Authentifizierung bei den SOCs mittels einer Kennphrase verantwortlich; und
d.
bestätigen, dass ein benannter Ansprechpartner für die Services möglicherweise während 24 Stunden pro Tag an 7 Tagen die Woche erreichbar sein muss, abhängig von seinem Zuständigkeitsbereich (z. B. wenn der Ausfall eines Firewall-Agenten in seinen Zuständigkeitsbereich fällt).
MSS-Portalbenutzer IBM wird a.
mehrere Ebenen des Zugriffs auf das MSS-Portal bereitstellen, wie nachstehend beschrieben: (1)
Funktionen für administrative Benutzer, einschliesslich folgender Möglichkeiten: (a)
Erstellung von Portalbenutzern;
(b)
Erstellung und Bearbeitung von kundenspezifischen Agentengruppen;
(c)
Übermittlung von Anforderungen einer Richtlinienänderung für einen Managed Agent oder eine Gruppe von Agenten an die SOCs;
(d)
Übermittlung von Serviceanforderungen an die SOCs;
(e)
„Live Chat“ mit einem SOC-Analysten in Bezug auf bestimmte Vorfälle oder Tickets, die im Rahmen der Services erstellt wurden;
(f)
Erstellung interner Tickets im Zusammenhang mit den Services und Zuordnung dieser Tickets zu den Portalbenutzern;
(g)
Abfrage, Anzeige und Aktualisierung von Tickets im Zusammenhang mit den Services;
(h)
Anzeige und Bearbeitung von Agentendetails;
(i)
Anzeige von Agentenrichtlinien, soweit zutreffend;
(j)
Erstellung und Bearbeitung von Beobachtungslisten (Watch Lists) zu Schwachstellen;
(k)
Überwachung von Ereignissen in Echtzeit, soweit zutreffend;
(l)
Abfrage von Sicherheitsereignis- und Protokolldaten;
(m)
Planung von Downloads von Sicherheitsereignis- und Protokolldaten;
(n)
Planung und Ausführung von Berichten; und
(o)
soweit zutreffend: (i)
Parsing und Normalisierung unbekannter textbasierter Protokolle zu Systemaktivitäten von Betriebssystemen und Anwendungen;
(ii)
Aktivierung/Deaktivierung der Richtlinienregeln für Alarmbenachrichtigungen der AI-Analyse-Engine (AI = Automated Intelligence); und
(iii)
Erstellung von benutzerdefinierten Korrelationsregeln;
(2)
Funktionen für reguläre Benutzer, einschliesslich aller Rechte eines administrativen Benutzers für die Agenten, für die der Benutzer zuständig ist, mit Ausnahme der Möglichkeit zur Erstellung von Portalbenutzern; und
(3)
Funktionen für eingeschränkte Benutzer, einschliesslich aller Rechte eines regulären Benutzers für die Agenten, für die der Benutzer zuständig ist, mit Ausnahme folgender Möglichkeiten:
Z126-5942-CH-2 04-2013
Seite 7 von 42
(a)
Erstellung und Übermittlung von Anforderungen einer Richtlinienänderung;
(b)
Aktualisierung von Tickets; und
(c)
Bearbeitung von Agentendetails;
b.
dem Kunden die Berechtigung erteilen, Zugriffsebenen auf einen MSS-Agenten oder auf Gruppen von MSS-Agenten anzuwenden;
c.
MSS-Portalbenutzer mittels eines statischen Kennworts authentifizieren; und
d.
MSS-Portalbenutzer mittels vom Kunden bereitgestellter Tokens für die Zwei-FaktorAuthentifizierung (RSA SecureID) authentifizieren.
Der Kunde wird
3.3
a.
zustimmen, dass die Portalbenutzer das Portal zur Durchführung täglicher Aktivitäten im Rahmen des Betriebs nutzen werden;
b.
die Verantwortung für die Bereitstellung der von IBM unterstützten RSA SecureID-Tokens übernehmen (sofern zutreffend); und
c.
bestätigen, dass die SOCs nur mit den autorisierten Ansprechpartnern für die Sicherheit und den benannten Ansprechpartnern für die Services kommunizieren werden.
Erstellung von Sicherheitsberichten Über das Portal erhält der Kunde Zugriff auf Informationen zu den Services und auf Berichtsfunktionen mit individuell anpassbaren Anzeigen der Aktivität auf Unternehmens-, Arbeitsgruppen- und Agentenebene. Das Portal bietet dem Kunden zudem die Möglichkeit, die Erstellung individuell angepasster Berichte zu planen.
3.3.1
Leistungsumfang IBM wird dem Kunden Zugriff auf die Berichtsfunktionen im Portal gewähren, die relevante Informationen zu dem MNSS-Agenten, der Bestandteil der Services ist, bereitstellen. Dazu zählen einzelne oder alle der folgenden Informationen (soweit zutreffend):
3.3.2
a.
Anzahl der aufgerufenen und eingehaltenen SLAs;
b.
Anzahl, Art und Zusammenfassung von Serviceanforderungen/-tickets;
c.
Anzahl, Priorität und Status der festgestellten Sicherheitsverstösse;
d.
Auflistung und Zusammenfassung von Sicherheitsverstössen;
e.
Berichte von MNSS-Agenten;
f.
Ereigniskorrelation und -analyse
g.
Systemprotokolle
h.
Firewall-Berichte, die eine Zusammenfassung, eine Datenverkehrsanalyse, die Protokollnutzung, die Ziel-IP und die Nutzung von Regeln dokumentieren;
i.
Berichte zur Erfüllung der Audit-Voraussetzungen der Payment Card Industry (PCI), die Systemereignisse auf ausgewählten Geräten mit bestimmten PCI-Anforderungen in Verbindung setzen;
j.
Erweiterte Analyse- und Compliance-Berichte.
Verantwortlichkeiten des Kunden Der Kunde wird
3.4
a.
Berichte zu den Managed Security Services über das MSS-Portal erstellen;
b.
die Verantwortung für die Planung von Berichten übernehmen (sofern gewünscht); und
c.
bestätigen, dass im Rahmen der Services keine Unterstützung durch einen PCI Qualified Security Assessor (QSA) bereitgestellt wird, der Kunde diese Unterstützung jedoch im Rahmen eines gesonderten Vertrags bei IBM beauftragen kann (soweit zutreffend).
IBM X-Force Threat Analysis Informationen zu Sicherheitsbedrohungen werden vom IBM X-Force Threat Analysis Center bereitgestellt, das eine Risikostufe („AlertCon“ genannt) zu Sicherheitsbedrohungen aus dem Internet
Z126-5942-CH-2 04-2013
Seite 8 von 42
veröffentlicht. Der AlertCon-Level beschreibt die progressiven Alarmstufen aktueller Gefahren aus dem Internet. Falls dieser Level auf AlertCon 3 angehoben wird – diese Stufe steht für gezielte Angriffe, die unverzügliche Abwehrmassnahmen erfordern –, wird IBM dem Kunden Echtzeitzugriff auf IBM Informationen oder Anweisungen zur globalen Lage bereitstellen. Über das MSS-Portal kann der Kunde eine Beobachtungsliste (Watch List) zu Schwachstellen mit individuell angepassten Informationen zu Sicherheitsbedrohungen erstellen. Darüber hinaus kann jeder MSS-Portalbenutzer auf Anforderung pro Arbeitstag eine Bewertung der Internetsicherheit per E-Mail erhalten. Diese Bewertung enthält eine Analyse der aktuellen bekannten Sicherheitsbedrohungen aus dem Internet, Echtzeitmessdaten zu Internet-Ports sowie individuell angepasste Warnungen, Empfehlungen und Sicherheitsnachrichten. Anmerkung: Der Zugriff des Kunden auf die Informationen zu Sicherheitsbedrohungen, die über das Portal bereitgestellt werden, und die Nutzung dieser Informationen durch den Kunden (einschliesslich der täglichen Bewertung der Internetsicherheit per E-Mail) unterliegen den im Portal angegebenen Nutzungsbedingungen. Im Fall von Widersprüchen zwischen den im Portal angegebenen Nutzungsbedingungen und den Bedingungen des Vertrags haben die im Portal angegebenen Nutzungsbedingungen Vorrang. Zusätzlich zu den im Portal angegebenen Nutzungsbedingungen gelten für die Nutzung von Informationen in Links oder Webseiten und Ressourcen Dritter durch den Kunden die in diesen Links oder Webseiten und Ressourcen Dritter veröffentlichten Nutzungsbedingungen. 3.4.1
Leistungsumfang IBM wird
3.4.2
a.
dem Kunden Zugriff auf den X-Force Hosted Threat Analysis Service über das MSS-Portal gewähren;
b.
Informationen über die Sicherheit im MSS-Portal anzeigen, sobald sie verfügbar sind;
c.
über das MSS-Portal Informationen zu Sicherheitsbedrohungen bereitstellen, die auf eine vom Kunden definierte Beobachtungsliste zu Schwachstellen abgestimmt sind, sofern vom Kunden entsprechend konfiguriert;
d.
an jedem Arbeitstag eine Bewertung der Internetsicherheit per E-Mail bereitstellen, sofern vom Kunden abonniert und entsprechend konfiguriert;
e.
einen AlertCon-Level zu Sicherheitsbedrohungen aus dem Internet über das MSS-Portal veröffentlichen;
f.
einen Internet-Notfall ausrufen, wenn der tägliche AlertCon-Level AlertCon 3 erreicht;
g.
MSS-Portalfunktionen zur Erstellung und Pflege einer Beobachtungsliste zu Schwachstellen bereitstellen;
h.
zusätzliche Informationen über Warnungen, Empfehlungen oder weitere wichtige Sicherheitsaspekte bereitstellen, sofern IBM dies für notwendig hält; und
i.
dem Kunden Zugriff auf den Threat Insight Quarterly (Threat IQ) Report über das MSS-Portal bereitstellen.
Verantwortlichkeiten des Kunden Der Kunde wird das MSS-Portal verwenden, um
3.5
a.
die tägliche Bewertung der Internetsicherheit per E-Mail zu abonnieren, sofern gewünscht;
b.
eine Beobachtungsliste zu Schwachstellen zu erstellen, sofern gewünscht;
c.
auf den Threat IQ Report zuzugreifen; und
d.
die Lizenzvereinbarung einzuhalten und die im Rahmen der Services erhaltenen Informationen nicht an Personen ohne gültige Lizenz weiterzugeben.
Implementierung und Aktivierung Während der Implementierung und Aktivierung wird IBM in Zusammenarbeit mit dem Kunden einen neuen Agenten implementieren oder mit dem Management eines vorhandenen Agenten beginnen. Anmerkung: Die Aktivitäten im Rahmen der Implementierung und Aktivierung werden einmal während der Erbringung der Leistungen durchgeführt. Wenn der Kunde seinen Agenten während der Laufzeit des Servicevertrags austauscht, aufrüstet oder an einen anderen Standort verlegt, kann IBM verlangen, dass dieser Agent erneut implementiert und aktiviert wird (nachfolgend „erneute Implementierung“ genannt). Solche erneuten Implementierungen werden gegen Zahlung einer im jeweils geltenden Bestellschein
Z126-5942-CH-2 04-2013
Seite 9 von 42
(nachfolgend „Bestellschein“ genannt) angegebenen zusätzlichen Gebühr durchgeführt. Die Gebühren für eine erneute Implementierung sind nur für einen Austausch, ein Upgrade oder eine Verlegung von Hardware an einen anderen Standort, initiiert vom Kunden, fällig. Sie sind nicht auf Defekte von Agenten anwendbar, die zu einer Rücksendung der Agenten führen. Für die Log and Alert Services kann der Kunde Leistungen für die physische Installation und Konfiguration im Rahmen eines gesonderten Vertrags bei IBM beauftragen. 3.5.1
Leistungsumfang Aktivität 1 – Projektauftakt Zweck dieser Aktivität ist die Durchführung einer Besprechung zum Projektauftakt. IBM wird dem Kunden eine Begrüssungsmail zusenden und eine maximal einstündige Besprechung zum Projektauftakt mit bis zu drei Mitarbeitern des Kunden durchführen, um a.
den Beauftragten des Kunden dem für die Implementierung zuständigen IBM Spezialisten vorzustellen;
b.
die Verantwortlichkeiten jeder Vertragspartei zu prüfen;
c.
die Erwartungen an den Zeitplan festzulegen; und
d.
mit der Analyse der Anforderungen und der Umgebung des Kunden zu beginnen.
Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn die Besprechung zum Projektauftakt durchgeführt wurde. Zu liefernde Materialien: ●
Keine
Aktivität 2 – Voraussetzungen für den Netzwerkzugriff Zweck dieser Aktivität ist die Festlegung der Voraussetzungen für den Netzwerkzugriff. IBM wird a.
dem Kunden ein Dokument zu den Voraussetzungen für den Netzwerkzugriff („Network Access Requirements“ genannt) übergeben, das detailliert beschreibt, (1)
wie IBM eine Remote-Verbindung zum Netzwerk des Kunden herstellen wird; und
(2)
welche technischen Voraussetzungen für diese Remote-Verbindung erforderlich sind;
Anmerkung: IBM kann das Dokument „Network Access Requirements“ während der Erbringung der Services ändern, sofern IBM dies für angebracht hält. b.
eine Verbindung zum Netzwerk des Kunden über das Internet mittels IBM Standardzugriffsmethoden herstellen; und
c.
sofern angebracht, ein Site-to-Site-VPN für die Verbindung zum Netzwerk des Kunden einsetzen. Dieses VPN kann von IBM gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr bereitgestellt werden.
Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn das Dokument „Network Access Requirements“ an den Beauftragten des Kunden übergeben wurde. Zu liefernde Materialien: ●
Dokument „Network Access Requirements“
Aktivität 3 – Prüfung Zweck dieser Aktivität ist die Durchführung einer Prüfung der aktuellen Umgebung sowie der geschäftlichen und technischen Ziele des Kunden, um den Kunden bei der Ausarbeitung der erforderlichen Sicherheitsstrategie für alle anwendbaren Managed Network Security Services zu unterstützen. Aufgabe 1 – Erfassung von Daten IBM wird Z126-5942-CH-2 04-2013
Seite 10 von 42
a.
dem Beauftragten des Kunden ein Formular zur Datenerfassung übergeben, auf dem der Kunde folgende Informationen dokumentieren wird: (1)
Namen, Kontaktinformationen, Aufgabenbereiche und Verantwortlichkeiten der Mitglieder des Projektteams;
(2)
Besondere länder- und standortspezifische Anforderungen;
(3)
Vorhandene Netzwerkinfrastruktur des Kunden;
(4)
Kritische Server;
(5)
Anzahl und Art der Endbenutzer; und
(6)
Wichtige Einflussfaktoren und/oder Abhängigkeiten, die die Erbringung der Leistungen oder die vereinbarten Fristen beeinflussen könnten.
Aufgabe 2 – Prüfung der Umgebung IBM wird a.
die im Formular zur Datenerfassung angegebenen Informationen verwenden, um die vorhandene Umgebung des Kunden zu prüfen;
b.
eine optimale Agentenkonfiguration bestimmen;
c.
sofern zutreffend, Folgendes bereitstellen:
d.
(1)
Empfehlungen zur Anpassung der Richtlinie eines Agenten; oder
(2)
Empfehlungen zur Anpassung der Anordnung des Netzwerks, um die Sicherheit im Rahmen der Managed Network Security Services zu verbessern (soweit zutreffend);
festlegen, ob die Datenerfassung auf den Agenten unter Verwendung des Universal Log Agent (ULA) oder mittels SYSLOG implementiert wird (soweit zutreffend).
Aufgabe 3 – Prüfung des vorhandenen Agenten Diese Aufgabe wird im Rahmen der Managed Network Security Services durchgeführt. IBM wird die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend. IBM wird a.
den Agenten per Fernanalyse prüfen, um zu verifizieren, dass er den IBM Spezifikationen entspricht;
b.
Anwendungs- und Benutzeraccounts ermitteln, die gelöscht oder hinzugefügt werden sollen, sofern zutreffend; und
c.
bei Agenten, die den IBM Spezifikationen nicht entsprechen, (1)
die Agentensoftware ermitteln, die ein Upgrade erfordert, und/oder
(2)
die Agentenhardware ermitteln, die ein Upgrade erfordert, damit sie den Kompatibilitätslisten der jeweiligen Hersteller entspricht.
Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn IBM die Umgebung des Kunden und den vorhandenen Agenten des Kunden (sofern zutreffend) geprüft hat. Zu liefernde Materialien: ●
Keine
Aktivität 4 – Out-of-Band-Zugriff Out-of-Band-Zugriff ist erforderlich, um die SOCs zu unterstützen, falls die Verbindung zu einem Agenten unterbrochen wird. Im Fall solcher Verbindungsprobleme kann sich der SOC-Analyst in das Out-of-BandGerät einwählen, um zu verifizieren, dass der Agent korrekt funktioniert, und versuchen, die Ursache des Ausfalls zu bestimmen, bevor das Problem an den Kunden eskaliert wird. IBM wird a.
den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der Verkabelung enthalten;
b.
das Out-of-Band-Gerät für den Zugriff auf die Managed Agents konfigurieren; oder
Z126-5942-CH-2 04-2013
Seite 11 von 42
c.
mit dem Kunden zusammenarbeiten, um eine von IBM genehmigte vorhandene Out-of-BandLösung zu nutzen.
Anmerkung: Zum Zweck der Klarstellung wird darauf hingewiesen, dass IBM auf den erforderlichen Outof-Band-Zugriff verzichten kann, falls die interne Sicherheitsrichtlinie des Kunden die Verwendung eines Out-of-Band-Geräts verbietet. Dies kann jedoch die Fähigkeit von IBM zur effektiven Erbringung der Services deutlich beeinträchtigen. Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn eine der folgenden Bedingungen zuerst eintritt: ●
IBM hat das Out-of-Band-Gerät für den Zugriff auf den Managed Agent konfiguriert; oder
●
IBM hat sich auf Wunsch des Kunden damit einverstanden erklärt, auf den erforderlichen Out-ofBand-Zugriff zu verzichten.
Zu liefernde Materialien: ●
Keine
Aktivität 5 – Implementierung Zweck dieser Aktivität ist die Implementierung des/der Agenten für die Managed Network Security Services. IBM wird die im Folgenden beschriebenen Services erbringen, soweit zutreffend. Aufgabe 1 – Konfiguration des Agenten IBM wird a.
den Agenten per Fernanalyse prüfen, um zu verifizieren, dass er den IBM Spezifikationen entspricht;
b.
Agentensoftware, -hardware und/oder -inhalte ermitteln, die nicht mit den aktuellen von IBM unterstützten Versionen übereinstimmen;
c.
sofern angebracht, Hardware-Upgrades ermitteln, die erforderlich sind, um die Kompatibilitätslisten der jeweiligen Hersteller zu unterstützen;
d.
den Agenten per Fernzugriff konfigurieren. Dies schliesst die Festlegung der Richtlinie, die Absicherung des Betriebssystems und die Registrierung des Agenten in der IBM MSS-Infrastruktur ein;
e.
telefonische Unterstützung bereitstellen und den Kunden darüber informieren, wo Dokumente des Herstellers zu finden sind, um den Kunden bei der Konfiguration des Agenten mit einer öffentlichen IP-Adresse und zugehörigen Einstellungen zu unterstützen. Diese Unterstützung muss im Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung steht;
f.
die Agentenrichtlinie anpassen, um die Zahl von Fehlalarmen zu reduzieren (sofern zutreffend); und
g.
auf Wunsch des Kunden die Konfiguration und Richtlinie auf dem vorhandenen Agenten ausführen.
Aufgabe 2 – Installation des Agenten IBM wird a.
den Kunden per Telefon und/oder E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der Verkabelung enthalten. Diese Unterstützung muss im Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung steht;
b.
Empfehlungen zur Anpassung der Anordnung des Netzwerks zur Verbesserung der Sicherheit abgeben (sofern zutreffend);
c.
den Agenten per Fernzugriff konfigurieren. Dies schliesst die Registrierung des Agenten in der IBM MSS-Infrastruktur ein; und
d.
die Agentenrichtlinie anpassen, um die Zahl von Fehlalarmen zu reduzieren (sofern zutreffend).
Anmerkung: Der Kunde kann Leistungen für die physische Installation im Rahmen eines gesonderten Vertrags bei IBM beauftragen.
Z126-5942-CH-2 04-2013
Seite 12 von 42
Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der Agent in der IBM MSSInfrastruktur registriert ist. Zu liefernde Materialien: ●
Keine
Aktivität 6 – Test und Verifizierung Zweck dieser Aktivität ist der Test und die Verifizierung der Services. IBM wird a.
die Verbindung des Agenten oder OA zu der IBM MSS-Infrastruktur verifizieren;
b.
abschliessende Funktionstests der Services durchführen;
c.
die Übermittlung von Protokolldaten von dem Agenten an die IBM MSS-Infrastruktur verifizieren;
d.
die Verfügbarkeit und Funktionalität des Agenten im Portal verifizieren;
e.
Qualitätssicherungstests des Agenten durchführen; und
f.
bis zu zehn Mitarbeitern des Kunden die wichtigsten Funktionen des Portals im Rahmen einer maximal einstündigen Remote-Demonstration vorstellen.
Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn IBM die Verfügbarkeit und Funktionalität des Agenten im Portal verifiziert hat. Zu liefernde Materialien: ●
Keine
Aktivität 7 – Aktivierung der Services Zweck dieser Aktivität ist die Aktivierung der Services. IBM wird a.
das Management und die Unterstützung des Agenten übernehmen;
b.
den Agenten im Rahmen der Managed Network Security Services auf „active“ einstellen (soweit zutreffend); und
c.
die Verantwortung für das fortlaufende Management und die kontinuierliche Unterstützung des Agenten an die SOCs übertragen.
Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der Agent auf „active“ eingestellt wurde. Bei den Log & Alert Services sind die IBM Verpflichtungen im Rahmen dieser Aktivität erfüllt, wenn das SOC die Verantwortung für die Unterstützung der Services übernommen hat. Zu liefernde Materialien: ● 3.5.2
Keine
Verantwortlichkeiten des Kunden Aktivität 1 – Projektauftakt Der Kunde wird a.
an der Besprechung zum Projektauftakt teilnehmen; und
b.
die Verantwortlichkeiten jeder Vertragspartei prüfen.
Aktivität 2 – Voraussetzungen für den Netzwerkzugriff Der Kunde wird a.
das IBM Dokument „Network Access Requirements“ prüfen und während der Implementierung und der gesamten Vertragslaufzeit befolgen; und
b.
die alleinige Verantwortung für alle Gebühren übernehmen, die dadurch entstehen, dass IBM ein Site-to-Site-VPN für die Verbindung zum Netzwerk des Kunden nutzt.
Z126-5942-CH-2 04-2013
Seite 13 von 42
Aktivität 3 – Prüfung Aufgabe 1 – Erfassung von Daten Der Kunde wird a.
alle Fragebogen und/oder Formulare zur Datenerfassung ausfüllen und innerhalb von fünf Tagen nach Erhalt an IBM zurückgeben;
b.
Informationen, Daten, Zustimmungen, Entscheidungen und Genehmigungen, die IBM zur Implementierung der Services benötigt, innerhalb von zwei Arbeitstagen nach Anforderung durch IBM beschaffen und bereitstellen;
c.
mit IBM zusammenarbeiten, um die Netzwerkumgebung des Kunden sorgfältig zu prüfen;
d.
für den Fall, dass IBM Kontakt zum Kunden aufnehmen muss, Ansprechpartner im Unternehmen des Kunden nennen und eine Benachrichtigungsreihenfolge in seinem Unternehmen angeben; und
e.
IBM innerhalb von drei Kalendertagen über Änderungen an den Kontaktinformationen zu den Ansprechpartnern des Kunden informieren.
Aufgabe 2 – Prüfung der Umgebung Diese Aufgabe wird der Kunde im Rahmen der Managed Network Security Services durchführen (soweit zutreffend). Der Kunde wird a.
sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für die Agenten vorliegen;
b.
alle von IBM angeforderten Änderungen an der Anordnung des Netzwerks des Kunden zur Verbesserung der Sicherheit durchführen;
c.
bestätigen, dass der Schutz durch Agenten, die im passiven Modus eingesetzt werden, deutlich abgeschwächt sein wird; und
d.
bestätigen, dass die Umstellung auf eine Inline-Implementierung zu einem späteren Zeitpunkt im Voraus angekündigt werden muss.
Aufgabe 3 – Prüfung des vorhandenen Agenten Diese Aufgabe wird der Kunde im Rahmen der Managed Network Security Services durchführen (soweit zutreffend). Der Kunde wird a.
sicherstellen, dass der vorhandene Agent den IBM Spezifikationen entspricht;
b.
die von IBM angegebenen Anwendungen und Benutzeraccounts entfernen oder hinzufügen; und
c.
auf Anforderung von IBM (1)
die von IBM angegebene Agentensoftware aufrüsten; und
(2)
die von IBM angegebene Agentenhardware aufrüsten.
Aktivität 4 – Out-of-Band-Zugriff Der Kunde wird a.
b.
beim Einsatz neuer Out-of-Band-Lösungen (1)
ein von IBM unterstütztes Out-of-Band-Gerät erwerben;
(2)
das Out-of-Band-Gerät physisch installieren und mit dem Agenten verbinden;
(3)
eine dedizierte analoge Telefonleitung für den Zugriff bereitstellen;
(4)
das Out-of-Band-Gerät physisch an die dedizierte Telefonleitung anschliessen und die Verbindung aufrechterhalten;
(5)
die Verantwortung für alle Gebühren im Zusammenhang mit dem Out-of-Band-Gerät und der Telefonleitung übernehmen; und
(6)
die Verantwortung für alle Gebühren im Zusammenhang mit dem fortlaufenden Management der Out-of-Band-Lösung übernehmen;
beim Einsatz vorhandener Out-of-Band-Lösungen
Z126-5942-CH-2 04-2013
Seite 14 von 42
(1)
sicherstellen, dass die Lösung IBM keinen Zugriff auf nicht von IBM betriebene Geräte ermöglicht;
(2)
sicherstellen, dass die Lösung keine Installation spezifischer Software erfordert;
(3)
IBM detaillierte Anweisungen für den Zugriff auf die Managed Agents bereitstellen; und
(4)
die Verantwortung für alle Aspekte im Zusammenhang mit dem Management der Out-ofBand-Lösung übernehmen;
c.
bestätigen, dass vorhandene Out-of-Band-Lösungen von IBM genehmigt werden müssen;
d.
sicherstellen, dass gültige Support- und Wartungsverträge für das Out-of-Band-Gerät vorliegen (sofern erforderlich); und
e.
bestätigen – falls der Kunde sich für eine Nutzung der Services ohne den erforderlichen Out-ofBand-Zugriff entscheidet oder der Out-of-Band-Zugriff IBM aus irgendeinem Grund nicht zur Verfügung steht –, dass (1)
IBM der Verpflichtungen im Rahmen aller SLAs enthoben wird, die direkt von der Verfügbarkeit dieses Zugriffs beeinflusst werden;
(2)
IBM möglicherweise mehr Zeit für die Fehlersuche/-behebung und/oder Wartung der Geräte des Kunden benötigt; und
(3)
der Kunde verpflichtet ist, IBM vor Ort bei der Konfiguration, Problemlösung, Geräteaktualisierung, Fehlersuche/-behebung und/oder jeder anderen Aufgabe zu unterstützen, die üblicherweise mittels Out-of-Band-Zugriff durchgeführt wird.
Aktivität 5 – Implementierung Diese Aktivität wird der Kunde im Rahmen der Managed Network Security Services durchführen (soweit zutreffend). Aufgabe 1 – Konfiguration des Agenten Der Kunde wird a.
ein Update der Agentensoftware oder -inhalte auf die neueste von IBM unterstützte Version durchführen (d. h. Datenträger physisch laden, sofern zutreffend);
b.
ein Update der Hardware durchführen, um die Kompatibilitätslisten der jeweiligen Hersteller zu unterstützen (sofern zutreffend);
c.
die Agentenrichtlinie anpassen, wie von IBM angefordert;
d.
den Agenten mit einer öffentlichen IP-Adresse und zugehörigen Einstellungen konfigurieren; und
e.
IBM bei der Ausführung der Konfiguration und Richtlinie des vorhandenen Agenten unterstützen (sofern zutreffend).
Aufgabe 2 – Installation des Agenten Der Kunde wird a.
in Zusammenarbeit mit IBM Dokumente der Hersteller suchen, die eine genaue Beschreibung der Verfahren für die physische Installation und der Verkabelung enthalten. Der Kunde wird diese Unterstützung im Voraus planen, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung steht;
b.
die Verantwortung für die physische Verkabelung und Installation des/der Agenten übernehmen;
c.
die von IBM angegebenen Anpassungen an der Anordnung des Netzwerks zur Verbesserung der Sicherheit durchführen; und
d.
bestätigen, dass die Agenten laut Empfehlung von IBM „inline“ und innerhalb der Firewall des Kunden implementiert werden sollten.
Aktivität 6 – Test und Verifizierung Der Kunde wird a.
die Verantwortung für die Erarbeitung aller spezifischen Testpläne der abschliessenden Funktionstests des Kunden übernehmen;
b.
die Verantwortung für die Durchführung der abschliessenden Funktionstests der Anwendungen und Netzwerkverbindungen des Kunden übernehmen; und
Z126-5942-CH-2 04-2013
Seite 15 von 42
c.
bestätigen, dass zusätzliche abschliessende Funktionstests, die der Kunde durchführt oder nicht durchführt, IBM nicht daran hindern, den Agenten in den SOCs auf „active“ einzustellen, um die kontinuierliche Unterstützung und das fortlaufende Management durch die SOCs zu aktivieren.
Aktivität 7 – Aktivierung der Services Diese Aktivität erfordert keine weiteren Verantwortlichkeiten des Kunden.
3.6
Implementierung und Aktivierung des Protokollmanagements und der Alarmausgabe Während der Implementierung und Aktivierung des Protokollmanagements und der Alarmausgabe wird IBM in Zusammenarbeit mit dem Kunden einen neuen Agenten implementieren oder mit dem Management eines vorhandenen Agenten beginnen. Aktivität 1 – Implementierung des Aggregators am Kundenstandort Zweck dieser Aktivität ist die Konfiguration des Aggregators am Kundenstandort („Onsite Aggregator“ oder „OA“ genannt). Der OA ist ein vom Kunden bereitgestelltes erforderliches Gerät, das am Kundenstandort implementiert und von IBM MSS gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr betrieben und überwacht wird. Die Basisfunktionen des OA sind nachstehend beschrieben: a.
Kompilierung oder anderweitige Zusammenfassung der Sicherheitsereignisse und Protokolldaten;
b.
Parsing und Normalisierung von textbasierten Protokollen zu Systemaktivitäten in unbekannten Formaten, die an die IBM MSS-Infrastruktur übermittelt werden sollen;
c.
Komprimierung und Verschlüsselung der Sicherheitsereignisse und Protokolldaten; und
d.
Übertragung der Sicherheitsereignisse und Protokolldaten an die IBM MSS-Infrastruktur.
Die Kernfunktionen des OA sind nachstehend beschrieben: a.
Durchführung des lokalen Spoolings, indem die Ereignisse lokal in die Warteschlange gestellt werden, wenn keine Verbindung zur IBM MSS-Infrastruktur verfügbar ist;
b.
Durchführung der unidirektionalen Protokollübertragung. Die OA-Kommunikation wird über abgehende SSL/TCP-443-Verbindungen ausgeführt;
c.
Durchführung der Nachrichtendrosselung bei entsprechender Konfiguration. Dadurch wird die Zahl der vom OA zur IBM MSS-Infrastruktur übertragenen Nachrichten pro Sekunde eingeschränkt, um Bandbreite zu sparen; und
d.
Bereitstellung von Übertragungszeitfenstern bei entsprechender Konfiguration. Die Übertragungszeitfenster aktivieren/deaktivieren die Ereignisübertragung an die IBM MSSInfrastruktur während des vom Kunden im Portal angegebenen Zeitrahmens.
IBM empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf den OA, wie im Abschnitt „Out-of-Band-Zugriff“ dieser Leistungsbeschreibung beschrieben. Aufgabe 2 – Konfiguration des OA IBM wird a.
den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu finden, die eine genaue Beschreibung der Installations- und Konfigurationsverfahren für das OABetriebssystem und die von IBM bereitgestellte OA-Software enthalten. Diese Unterstützung muss im Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung steht;
a.
dem Kunden Hardwarespezifikationen für die OA-Plattform bereitstellen;
b.
dem Kunden OA-Software und Konfigurationseinstellungen bereitstellen;
c.
den Kunden per Telefon und E-Mail bei der Installation der von IBM bereitgestellten OA-Software auf der vom Kunden bereitgestellten Hardwareplattform unterstützen. Diese Unterstützung muss im Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung steht;
d.
auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr Leistungen für die Softwareinstallation erbringen; und
Z126-5942-CH-2 04-2013
Seite 16 von 42
e.
beim Einsatz vorhandener Plattformen (1)
vorhandene Hardwarekonfigurationen prüfen, um sicherzustellen, dass sie den IBM Spezifikationen entsprechen; und
(2)
erforderliche Hardware-Upgrades ermitteln, die vom Kunden bereitzustellen und zu installieren sind.
Aufgabe 3 – Installation des OA IBM wird a.
den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der Verkabelung des OA enthalten. Diese Unterstützung muss im Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung steht;
b.
den OA per Fernzugriff konfigurieren. Dabei wird IBM den OA in der IBM MSS-Infrastruktur registrieren und den Prozess für die Übernahme der Implementierung und des Managements des OA initiieren; und
c.
bestätigen, dass die IBM MSS-Infrastruktur Daten vom OA empfängt.
Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der OA installiert und konfiguriert ist und IBM bestätigt hat, dass die IBM MSS-Infrastruktur Daten vom OA empfängt. Zu liefernde Materialien: ●
Keine
Aktivität 2 – Implementierung des Universal Log Agent (ULA) Der ULA ist eine schlanke Anwendung für die Protokollerfassung, die auf einem Agenten ausgeführt wird, für den die Services genutzt werden. Der ULA erfasst textbasierte Protokolle lokal auf dem Agenten und leitet sie sicher an den OA weiter. Der OA leitet die Protokolle anschliessend sicher an die IBM MSSInfrastruktur weiter, damit sie erfasst, langfristig aufbewahrt und im Portal angezeigt werden können. Die Basisfunktionen des ULA sind nachstehend beschrieben: a.
Lokale Erfassung von Ereignissen/Protokollen auf dem Agenten;
b.
Komprimierung der Ereignisse/Protokolldaten;
c.
Verschlüsselung der Ereignisse/Protokolldaten; und
d.
Sichere Übertragung der Ereignisse/Protokolle an den OA.
Die Kernfunktionen des ULA sind nachstehend beschrieben: e.
Erfassung von generischen Daten aus Textdateien;
f.
Erfassung von Ereignisprotokollen;
g.
Erfassung von Systeminformationen, die Folgendes beinhalten können: (1)
Betriebssystemversion;
(2)
Hauptspeicher;
(3)
CPU;
(4)
Lokale Benutzeraccounts;
(5)
Details zu Netzwerkschnittstellen;
(6)
Aktive Prozesse; und
(7)
Offene Netzwerkanschlüsse;
h.
Durchführung der unidirektionalen Protokollübertragung. Die ULA-Kommunikation wird über abgehende SSL/TCP-443-Verbindungen ausgeführt;
i.
Durchführung der Nachrichtendrosselung bei entsprechender Konfiguration. Dadurch wird die Zahl der vom ULA zum OA übertragenen Nachrichten pro Sekunde eingeschränkt, um Bandbreite zu sparen; und
Z126-5942-CH-2 04-2013
Seite 17 von 42
j.
Bereitstellung von Übertragungszeitfenstern bei entsprechender Konfiguration. Die Übertragungszeitfenster aktivieren/deaktivieren die Ereignisübertragung an die IBM MSSInfrastruktur während des vom Kunden im Portal angegebenen Zeitrahmens.
Aufgabe 1 – Vorbereitung des Agenten IBM wird dem Kunden eine Liste von Agenten bereitstellen, die die Installation des ULA erfordern. Aufgabe 2 – Installation des ULA IBM wird a.
den ULA zum Download über das Portal bereitstellen; und
b.
dem Kunden über das Portal Zugriff auf das Installationshandbuch zur Installation des ULA für das Protokollmanagement gewähren.
Aufgabe 3 – Konfiguration des ULA IBM wird dem Kunden Anweisungen zur Anmeldung am Portal und zur Konfiguration des Agenten bereitstellen. Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn IBM dem Kunden eine Liste der Agenten, die die Installation des ULA erfordern, übergeben hat. Zu liefernde Materialien: ●
Keine
Aktivität 3 – Implementierung der Protokollerfassung ohne ULA Im Rahmen dieser Aktivität wird IBM die Protokollerfassung über SYSLOG-Datenströme ermöglichen, wenn die Installation des ULA auf einem Agenten technisch nicht durchführbar oder nicht angebracht ist. IBM wird a.
dem Kunden eine Liste von Agenten bereitstellen, die die Protokollerfassung mittels SYSLOG erfordern; und
b.
die IP-Adresse des OA bereitstellen, an den der SYSLOG-Datenstrom weitergeleitet werden soll.
Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn dem Beauftragten des Kunden die IP-Adresse des OA, an den der SYSLOG-Datenstrom weitergeleitet werden soll, bereitgestellt wurde. Zu liefernde Materialien: ●
Keine
Aktivität 4 – Aktivierung des Protokollmanagements und der Alarmausgabe Zweck dieser Aktivität ist die Aktivierung des Protokollmanagements und der Alarmausgabe. IBM wird a.
die Verantwortung für die Unterstützung des Agenten übernehmen; und
b.
die Verantwortung für die kontinuierliche Unterstützung des Agenten an die SOCs übertragen.
Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn der Agent auf „active“ eingestellt wurde. Bei den Log & Alert Services sind die IBM Verpflichtungen im Rahmen dieser Aktivität erfüllt, wenn das SOC die Verantwortung für die Unterstützung der Services übernommen hat. Zu liefernde Materialien: ● 3.6.2
Keine
Verantwortlichkeiten des Kunden Aktivität 1 – Implementierung des Aggregators am Kundenstandort Aufgabe 1 – Konfiguration des OA Der Kunde wird
Z126-5942-CH-2 04-2013
Seite 18 von 42
a.
IBM eine externe IP-Adresse für den OA bereitstellen;
b.
die Hardware für die OA-Plattform bereitstellen, basierend auf den Empfehlungen und Anforderungen von IBM;
c.
sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für die Hardware vorliegen, auf der der OA installiert ist;
d.
die von IBM bereitgestellte OA-Software nach Anleitung von IBM auf der vom Kunden bereitgestellten Hardware installieren;
e.
eine externe IP-Adresse und die zugehörigen Einstellungen auf dem OA konfigurieren;
f.
IBM die IP-Adresse des OA, den Hostnamen, die Maschinenplattform, die Anwendungsversion und die Zeitzone des Agenten bereitstellen; und
g.
beim Einsatz vorhandener Plattformen die von IBM geforderten Hardware-Upgrades beschaffen und installieren.
Aufgabe 2 – Installation des OA Der Kunde wird a.
die Verantwortung für die physische Installation und Verkabelung des OA übernehmen; und
b.
die Unterstützung mit einem IBM Spezialisten für die Implementierung planen.
Aktivität 2 – Implementierung des Universal Log Agent (ULA) Aufgabe 1 – Vorbereitung des Agenten Der Kunde wird a.
die von seinem Unternehmen gewünschten Prüfungen der Betriebssysteme oder Anwendungen, die überwacht werden sollen, auf System-, Sicherheits- und Anwendungsebene aktivieren; und
b.
die Verbindung zwischen dem Agenten und dem OA verifizieren.
Aufgabe 2 – Installation des ULA Der Kunde wird a.
die ULA-Software vom Portal downloaden;
b.
den ULA auf dem/den Agenten installieren, für den/die die Services genutzt werden; und
c.
bestätigen, dass er die alleinige Verantwortung für alle Aufgaben im Zusammenhang mit der Installation des ULA trägt.
Aufgabe 3 – Konfiguration des ULA Der Kunde wird a.
sich innerhalb von drei Arbeitstagen nach der Installation und Konfiguration des ULA am Portal anmelden und bestätigen, dass der Agent verfügbar ist und Protokolle empfängt;
b.
den ULA mit entsprechenden Konfigurationseinstellungen (darunter Service-Level, Standort, Plattform, Betriebssystem und Zeitzone) konfigurieren;
c.
die ULA-Konfigurationseinstellungen (darunter Service-Level, Standort, Plattform, Betriebssystem und Zeitzone) innerhalb von drei Tagen nach jeder künftigen Modifizierung des Geräts aktualisieren;
d.
die ULA-Richtlinie ändern (sofern gewünscht); und
e.
bestätigen, dass er die alleinige Verantwortung für alle Aufgaben im Zusammenhang mit der Konfiguration des ULA trägt.
Aktivität 3 – Implementierung der Protokollerfassung ohne ULA Der Kunde wird a.
den Agenten unter Anleitung von IBM dafür konfigurieren, SYSLOG-Datenströme an den OA zu übertragen;
b.
sich innerhalb von drei Arbeitstagen am Portal anmelden und bestätigen, dass der Agent verfügbar ist und Protokolle empfängt; und
Z126-5942-CH-2 04-2013
Seite 19 von 42
c.
bestätigen, dass er die alleinige Verantwortung für alle Aufgaben im Zusammenhang mit der SYSLOG-Installation trägt.
Aktivität 4 – Test und Verifizierung des Protokollmanagements und der Alarmausgabe Der Kunde wird a.
die Verantwortung für die Erarbeitung aller spezifischen Testpläne der abschliessenden Funktionstests des Kunden übernehmen;
b.
die Verantwortung für die Durchführung der abschliessenden Funktionstests der Anwendungen und Netzwerkverbindungen des Kunden übernehmen;
c.
verifizieren, dass die Protokolle jedes Agenten im Portal verfügbar sind;
d.
die ULA-Konfigurationseinstellungen (darunter Service-Level, Standort, Plattform, Betriebssystem und Zeitzone) innerhalb von drei Tagen nach jeder künftigen Modifizierung des Geräts aktualisieren; und
e.
bestätigen, dass zusätzliche abschliessende Funktionstests, die der Kunde durchführt oder nicht durchführt, IBM nicht daran hindern, den Agenten in den SOCs auf „active“ einzustellen, um die kontinuierliche Unterstützung und das fortlaufende Management durch die SOCs zu aktivieren.
Aktivität 5 – Out-of-Band-Zugriff für die Protokollerfassung Der Kunde wird die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung im Zusammenhang mit dem Out-of-Band-Zugriff übernehmen, falls sich der Kunde gegen die Implementierung einer Out-of-Band-Lösung entscheidet oder die Out-of-Band-Lösung aus irgendeinem Grund nicht verfügbar ist.
3.7
Erneute Implementierung und Aktivierung Während der erneuten Implementierung und Aktivierung wird IBM in Zusammenarbeit mit dem Kunden einen MSS-Agenten austauschen, aufrüsten oder an einen anderen Standort verlegen. Anmerkung: Die Aktivitäten im Rahmen der erneuten Implementierung und Aktivierung werden einmalig durchgeführt. Wenn der Kunde seinen MSS-Agenten während der Laufzeit des Servicevertrags austauscht, aufrüstet oder an einen anderen Standort verlegt, kann IBM verlangen, dass dieser MSSAgent erneut implementiert wird. Eine solche erneute Implementierung und Aktivierung wird gegen Zahlung einer zusätzlichen Gebühr mittels einer Änderungsanforderung durchgeführt. Die Gebühren für eine erneute Implementierung und Aktivierung sind nur für einen Austausch, ein Upgrade oder eine Verlegung von Hardware an einen anderen Standort, initiiert vom Kunden, fällig. Sie sind nicht auf Defekte von MSS-Agenten anwendbar, die zu einer Rücksendung der Agenten führen. Im Rahmen der erneuten Implementierung und Aktivierung wird IBM die unter „Leistungsumfang“ in der Ziffer „Implementierung und Aktivierung“ dieses Dokuments beschriebenen Aktivitäten durchführen. Im Rahmen der erneuten Implementierung und Aktivierung wird der Kunde die unter „Verantwortlichkeiten des Kunden“ in der Ziffer „Implementierung und Aktivierung“ dieses Dokuments beschriebenen Aktivitäten durchführen und bestätigen. Anmerkung: Für die Log and Alert Services kann der Kunde Leistungen für die physische Installation und Konfiguration im Rahmen eines gesonderten Vertrags bei IBM beauftragen.
3.8
Erfassung von Sicherheitsereignissen und -protokollen IBM nutzt das X-Force Protection System, um Protokolle zu erfassen, zu organisieren und zu speichern. Protokolle können im Portal für die Dauer des im Bestellschein angegebenen Aufbewahrungszeitraums angezeigt werden. Nach Ablauf dieser Frist werden die Daten permanent gelöscht.
3.8.1
Leistungsumfang IBM wird a.
die von dem/den Agenten erzeugten Protokolle eindeutig identifizieren, erfassen und speichern, sobald sie die IBM MSS-Infrastruktur erreichen;
b.
sofern unterstützt, kundenspezifische Parser oder Standard-Parser verwenden, um Protokolle zum Zweck ihrer Anzeige und Aufbewahrung zu normalisieren;
c.
Protokolle über das Portal für die Dauer des im Bestellschein angegebenen Aufbewahrungszeitraums speichern und anzeigen;
Z126-5942-CH-2 04-2013
Seite 20 von 42
d.
Protokolle unwiderruflich löschen, wobei die FIFO-Methode (First In, First Out) angewandt wird, (1)
wenn der im Bestellschein angegebene Aufbewahrungszeitraum abgelaufen ist; oder
(2)
wenn die Protokolldaten das Alter von sieben Jahren überschreiten;
Ungeachtet der vom Kunden festgelegten Aufbewahrungsfristen wird IBM Protokolldaten nicht länger als sieben Jahre aufbewahren. Überschreitet der Kunde die Aufbewahrungsdauer von sieben Jahren an irgendeinem Zeitpunkt während der Vertragslaufzeit, wird IBM die Protokolle mittels der FIFO-Methode löschen. e. 3.8.2
sofern IBM dies für angebracht hält, ein Site-to-Site-VPN empfehlen, das zur Verschlüsselung des Datenverkehrs verwendet wird, der nicht nativ durch den/die Agenten verschlüsselt wird.
Verantwortlichkeiten des Kunden Der Kunde wird
4.
a.
das Portal verwenden, um Protokolldaten zu prüfen;
b.
das Portal verwenden, um sich eigenverantwortlich über den verfügbaren Speicherplatz für Protokolldaten zu informieren; und
c.
bestätigen, dass (1)
IBM die Protokolle für die Dauer des im Bestellschein angegebenen Aufbewahrungszeitraums speichern wird;
(2)
IBM seiner Verpflichtung enthoben wird, die Protokolldaten des Kunden aufzubewahren, wenn die Services aus irgendeinem Grund gekündigt werden;
(3)
alle Protokolldaten mittels der vereinbarten Methode an die IBM MSS-Infrastruktur übertragen werden;
(4)
Protokoll- und Ereignisdaten, die über das Internet übertragen werden, nicht verschlüsselt werden, falls der Kunde kein von IBM empfohlenes Site-to-Site-VPN für Agenten nutzt, die keine nativen Verschlüsselungsalgorithmen bereitstellen;
(5)
IBM nur Protokolle aufbewahrt, die erfolgreich an die IBM MSS-Infrastruktur übertragen werden;
(6)
IBM nicht garantiert, dass die Protokolle in einem nationalen oder internationalen Rechtssystem als Beweis verwendet werden können. Die Zulässigkeit von Beweisen basiert auf den beteiligten Technologien und der Fähigkeit des Kunden, die korrekte Datenverarbeitung und Beweiskette für jeden präsentierten Datensatz nachzuweisen;
(7)
die vom Kunden festgelegten Aufbewahrungsfristen sieben Jahre nicht überschreiten werden, da IBM Protokolldaten nicht länger als sieben Jahre aufbewahren wird, und IBM Protokolle mittels der FIFO-Methode löschen wird, wenn die Protokolle das Alter von sieben Jahren überschreiten, ungeachtet der vom Kunden angegebenen Aufbewahrungsfristen; und
(8)
IBM die durch den Service erfassten Protokolle verwenden kann, um a) Trends und b) reale oder potenzielle Bedrohungen zu ermitteln. IBM kann diese Daten kompilieren oder auf andere Weise mit den Daten anderer Kunden kombinieren, solange dabei sichergestellt wird, dass die Daten in keiner Weise dem Kunden zugeordnet werden können.
Managed Network Security Services – Common Features Common Features bieten dem Kunden die Möglichkeit, nach Gerät (soweit zutreffend) den notwendigen Zeitrahmen für die Einleitung von Massnahmen, die Eskalation, die Implementierung oder Updates im Zusammenhang mit dem Service zu definieren. Die verschiedenen auswählbaren Zeitrahmen bieten mehrere Serviceoptionen, die – jeweils nach Gerät – im Vertrag des Kunden festgelegt werden. Für die verschiedenen Service-Levels für das Feature kann ein SLA im Zusammenhang mit dem Feature gelten.
4.1
Automatisierte Analyse Die automatisierte Analyse wird im Rahmen der Managed Network Security Services durchgeführt, es sei denn, die Secure Web Gateway Management Services sind Bestandteil des Servicevertrags. Agenten können eine grosse Zahl von Alarmmeldungen als Reaktion auf die Sicherheitsbedingungen erzeugen, für deren Erkennung sie konfiguriert sind. Das tatsächliche Sicherheitsrisiko einer bestimmten
Z126-5942-CH-2 04-2013
Seite 21 von 42
festgestellten Bedingung ist jedoch nicht immer klar, und es ist nicht zweckmässig, alle Daten, die schädlich sein könnten, standardmässig zu blockieren. IBM hat proprietäre Analyse-Engines entwickelt, die Teil des X-Force Protection System sind. Die erfassten Protokolle werden zur Korrelation und Alarmausgabe an die Analyse-Engines übermittelt. Die Analyse-Engines führen die folgenden Basisfunktionen aus: ●
Korrelation von Echtzeit- und Langzeitprotokollen;
●
Nutzung statistischer und regelbasierter Analyseverfahren;
●
Nutzung unformatierter, normalisierter und konsolidierter Daten; und
●
Bearbeitung der von Anwendungen und Betriebssystemen erzeugten Protokolle.
Die Alarmbenachrichtigungen des X-Force Protection System werden dem Kunden über das MSS-Portal zur Verfügung gestellt. IBM wird dem Kunden eine stündliche Alarmbenachrichtigung des X-Force Protection System per E-Mail zusenden, in der die Alarmbenachrichtigungen zusammengefasst sind, sofern der Kunde diese Option im Portal ausgewählt hat. Die automatisierte Analyse und die anschliessend vom X-Force Protection System erzeugten Alarmbenachrichtigungen sind nur auf den von IBM angegebenen Plattformen verfügbar. 4.1.1
Leistungsumfang IBM wird
4.1.2
a.
die erfassten Protokolldaten an die Analyse-Engines des X-Force Protection System zur Korrelation und Alarmausgabe übertragen;
b.
– sofern das Protokollmanagement und die Alarmausgabe Bestandteil des Servicevertrags des Kunden sind – die benutzerdefinierten Korrelationsregeln verwenden, die für die Analyse und Alarmausgabe aktiviert werden;
c.
die von den Analyse-Engines des X-Force Protection System erzeugten massgeblichen Alarmbenachrichtigungen im MSS-Portal anzeigen, sobald sie verfügbar sind; und
d.
sofern vom Kunden entsprechend konfiguriert, die Alarmbenachrichtigung des X-Force Protection System innerhalb der Fristen bereitstellen, die im Abschnitt „Service-Level-Agreements“, „Alarmbenachrichtigung bei Sicherheitsverstössen“ dieser Leistungsbeschreibung angegeben sind.
Verantwortlichkeiten des Kunden Der Kunde wird
4.2
a.
die Verantwortung dafür übernehmen, die massgeblichen Regeln der Analyse-Engines über das MSS-Portal zu aktivieren/zu deaktivieren;
b.
die Verantwortung dafür übernehmen, die Alarmbenachrichtigung des X-Force Protection System über das MSS-Portal auszuwählen; und
c.
bestätigen, dass (1)
das Portal zur Überwachung und Prüfung der von den Analyse-Engines des X-Force Protection System erzeugten Alarmbenachrichtigungen verwendet werden kann; und
(2)
eine automatisierte Analyse nur auf den von IBM angegebenen Plattformen oder für die Protokolle, die der Kunde unter Verwendung des kundenspezifischen Protokoll-Parsers normalisiert, verfügbar ist (soweit zutreffend).
Überwachung und Benachrichtigung durch Bedrohungsanalysten Die Überwachung und Benachrichtigung durch Bedrohungsanalysten wird im Rahmen der Managed Network Security Services durchgeführt, es sei denn, die Secure Web Gateway Management Services und Firewall Management Services sind Bestandteil des Servicevertrags. IBM MSS-Sicherheitsanalysten werden die vom X-Force Protection System erzeugten Alarmbenachrichtigungen überwachen und analysieren, die das Ergebnis der automatisierten Analyse von unterstützten Protokolldaten sind. Ob eine Alarmbenachrichtigung als Sicherheitsverstoss gewertet wird, liegt im alleinigen Ermessen von IBM. Alarmbenachrichtigungen werden klassifiziert, priorisiert und eskaliert, wie es IBM für angemessen hält. Alarmbenachrichtigungen, die nicht als unkritisch ausgeschlossen werden können, werden als Sicherheitsverstoss klassifiziert. Sicherheitsverstösse werden nach den drei folgenden Prioritäten unterteilt:
Z126-5942-CH-2 04-2013
Seite 22 von 42
●
Sicherheitsverstösse der Priorität 1 Untersuchungen, die zu einer Klassifizierung hoher Priorität (d. h. Priorität 1) führen, erfordern umgehende Abwehrmassnahmen.
●
Sicherheitsverstösse der Priorität 2 Untersuchungen, die zu einer Klassifizierung mittlerer Priorität (d. h. Priorität 2) führen, erfordern Massnahmen innerhalb von 12 bis 24 Stunden nach Meldung des Sicherheitsverstosses.
●
Sicherheitsverstösse der Priorität 3 Untersuchungen, die zu einer Klassifizierung geringer Priorität (d. h. Priorität 3) führen, erfordern Massnahmen innerhalb von einem bis sieben Tagen nach Meldung des Sicherheitsverstosses.
4.2.1
Leistungsumfang IBM wird
4.2.2
a.
den Kunden auffordern, eine Modifizierung der Konfiguration des Agenten vorzunehmen, falls die aktuelle Richtlinie das SOC an der zufriedenstellenden Verarbeitung von Protokolldaten hindert und das Gerät nicht vom IBM MSS SOC betrieben wird;
b.
den Kunden am Anfang und am Ende des Zeitfensters für die Ereignisüberwachung und Benachrichtigung per E-Mail darüber informieren, dass die Überwachung begonnen/beendet wurde;
c.
Alarmbenachrichtigungen untersuchen und analysieren;
d.
sofern möglich, falsch-positive Alarmmeldungen und unkritische Auslöser ausschliessen und als „kommentierte Sicherheitsverstösse“ klassifizieren;
e.
Alarmbenachrichtigungen, die nicht als unkritische Auslöser ausgeschlossen werden können, identifizieren und als Sicherheitsverstoss klassifizieren. In diesem Fall wird IBM (1)
die SLA-Timer starten; und
(2)
dem Sicherheitsverstoss hohe, mittlere oder geringe Priorität zuteilen;
f.
Sicherheitsverstösse innerhalb der Frist und mittels der Kommunikationsmethode (z. B. E-Mail oder Telefon), die im Abschnitt „Service-Level-Agreements“, „Benachrichtigung bei Sicherheitsverstössen“ dieser Leistungsbeschreibung angegeben sind, über die vom Kunden angegebene Standardbenachrichtigungsreihenfolge an einen autorisierten Ansprechpartner für die Sicherheit oder einen benannten Ansprechpartner für die Services eskalieren, basierend auf bewährten Verfahren (Best Practices) von IBM für Benachrichtigungen bei Sicherheitsvorfällen;
g.
Abhilfe-/Gegenmassnahmen empfehlen, sofern zutreffend;
h.
Details zu Sicherheitsverstössen und kommentierten Sicherheitsverstössen im IBM Ticketsystem dokumentieren; und
i.
Sicherheitsverstösse und kommentierte Sicherheitsverstösse im Portal auflisten.
Verantwortlichkeiten des Kunden Der Kunde wird a.
das MSS-Portal nutzen, um die Ereignisüberwachung und Benachrichtigung zu planen;
b.
die von IBM MSS angeforderten Richtlinienänderungen an dem Agenten vor dem nächsten Überwachungszeitraum durchführen, sofern das Gerät nicht von IBM betrieben wird;
c.
das MSS-Portal nutzen, um Protokolle und Ereignisse zu untersuchen, die nicht als unmittelbare Sicherheitsbedrohungen eingestuft wurden;
d.
IBM eine aktuelle, detaillierte Dokumentation zur Umgebung des Kunden bereitstellen;
e.
IBM innerhalb von drei Kalendertagen über Änderungen an der Umgebung des Kunden informieren;
f.
IBM die folgenden Informationen bereitstellen und auf dem aktuellen Stand halten (über das MSSPortal): (1)
Informationen zu kritischen Servern (z. B. Name, Plattform, Betriebssystem, IP-Adresse und Netzwerksegmenttyp);
(2)
Informationen zu überwachten Netzwerken;
(3)
Informationen zu Geräten, die die Netzadressumsetzung (NAT) verwenden (z. B. Name, Plattform, Betriebssystem und Netzwerksegmenttyp);
Z126-5942-CH-2 04-2013
Seite 23 von 42
4.3
(4)
Informationen zu Proxy-Servern; und
(5)
Informationen zu autorisierten Prüfprogrammen;
g.
eine lineare Benachrichtigungsreihenfolge, einschliesslich Telefonnummern und E-Mail-Adressen der Ansprechpartner, bereitstellen und auf dem aktuellen Stand halten;
h.
IBM über das MSS-Portal innerhalb von drei Kalendertagen über eine Änderung an den Kontaktinformationen der Ansprechpartner des Kunden informieren;
i.
E-Mail-Aliasnamen bereitstellen, sofern notwendig, um die Benachrichtigung zu vereinfachen;
j.
sicherstellen, dass ein autorisierter Ansprechpartner für die Sicherheit oder ein benannter Ansprechpartner für die Services, der in der Benachrichtigungsreihenfolge aufgelistet ist, während 24 Stunden pro Tag an 7 Tagen die Woche erreichbar ist;
k.
sich Details zu Sicherheitsverstössen und kommentierten Sicherheitsverstössen über das MSSPortal ansehen;
l.
gemeinsam mit IBM an der Optimierung des Überwachungsservice arbeiten;
m.
Feedback zu Sicherheitsverstössen und kommentierten Sicherheitsverstössen über das MSS-Portal abgeben; und
n.
bestätigen, dass (1)
der Kunde die alleinige Verantwortung für alle Reaktionen auf Sicherheitsverstösse und entsprechende Abhilfemassnahmen trägt, sobald IBM einen Sicherheitsverstoss eskaliert hat;
(2)
nicht alle Untersuchungen von Alarmbenachrichtigungen zur Feststellung eines Sicherheitsverstosses führen werden;
(3)
die Überwachung von Alarmbenachrichtigungen und Benachrichtigung nur Alarmbenachrichtigungen betrifft, die das Ergebnis der automatisierten Analyse durch die massgeblichen Agenten sind;
(4)
fehlendes Feedback des Kunden dazu führen kann, dass einer anhaltenden oder wiederholt auftretenden Aktivität eine geringere Priorität zugeteilt wird; und
(5)
das SLA für die Benachrichtigung bei Sicherheitsverstössen, das im Abschnitt „Service-LevelAgreements“ dieser Leistungsbeschreibung angegeben ist, unwirksam ist, falls der Kunde die angeforderten Richtlinienänderungen nicht vor dem nächsten Überwachungszeitraum durchführt.
Richtlinienmanagement Das Richtlinienmanagement wird im Rahmen der Managed Network Security Services durchgeführt. IBM definiert eine einzelne Änderung der regelbasierten Agentenrichtlinie/-konfiguration als autorisierte Anforderung zum Hinzufügen oder Ändern einer einzigen Regel in einem einzigen Kontext mit höchstens fünf Objekten pro Anforderung. Eine Änderungsanforderung, die das Hinzufügen von sechs oder mehr Objekten oder die Bearbeitung von zwei oder mehr Regeln erfordert, wird als zwei oder mehr Anforderungen gewertet. Bezieht sich die Änderungsanforderung auf Änderungen ausserhalb der regelbasierten Agentenrichtlinie, wird jede eingereichte Anforderung als einzelne Änderung betrachtet. IBM wird die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend. Der Kunde kann den Managed Agent mit einer einzigen globalen Richtlinie konfigurieren, die für alle Agenten gilt.
4.3.1
Leistungsumfang IBM wird a.
die von autorisierten Ansprechpartnern für die Sicherheit oder benannten Ansprechpartnern für die Services über das MSS-Portal eingereichten Anforderungen einer Richtlinienänderung bis zu der angegebenen Anzahl an Änderungen pro Monat, die der Kunde ausgewählt hat, akzeptieren;
b.
die über das MSS-Portal eingereichten Anforderungen einer Richtlinienänderung innerhalb der Fristen bestätigen, die im Abschnitt „Service-Level-Agreements“, „Bestätigung der Anforderung einer Richtlinienänderung“ dieser Leistungsbeschreibung angegeben sind;
c.
die eingereichten Anforderungen einer Richtlinienänderung prüfen, um zu verifizieren, dass der Kunde darin alle erforderlichen Informationen angegeben hat;
Z126-5942-CH-2 04-2013
Seite 24 von 42
4.3.2
d.
sofern notwendig, den Antragsteller darüber informieren, dass zusätzliche Informationen benötigt werden. Solange diese Informationen nicht zur Verfügung stehen, werden die SLA-Timer angehalten;
e.
die Konfiguration der Richtlinienänderung, wie vom Kunden angefordert, vorbereiten und prüfen;
f.
angeforderte Richtlinienänderungen innerhalb der Frist implementieren, die im Bestellschein unter „Implementierungszeit“ angegeben und vom Kunden beim Einreichen der Änderungsanforderung über das MSS-Portal ausgewählt wird. Die verschiedenen Implementierungszeiten sind im Abschnitt „Implementierung einer angeforderten Richtlinienänderung“ dieser Leistungsbeschreibung angegeben;
g.
Details der Anforderung einer Richtlinienänderung im IBM MSS-Ticketsystem dokumentieren;
h.
Tickets zu Anforderungen einer Richtlinienänderung im Portal anzeigen;
i.
nicht in Anspruch genommene Anforderungen einer Richtlinienänderung vom jeweils aktuellen Monat in den Folgemonat übernehmen. In den Folgemonat übernommene Anforderungen einer Richtlinienänderung können bis zum letzten Tag des Folgemonats in Anspruch genommen werden. Danach verfallen die nicht in Anspruch genommenen Anforderungen einer Richtlinienänderung;
j.
auf Wunsch des Kunden und gegen Zahlung einer zusätzlichen Gebühr (und abhängig von der Verfügbarkeit von IBM Ressourcen) zusätzliche Richtlinienänderungen durchführen, deren maximale Anzahl im Bestellschein angegeben ist;
k.
die Konfiguration des Managed Agent täglich sichern;
l.
14 Konfigurationssicherungen aufbewahren;
m.
die aktuelle Konfiguration des Agenten im MSS-Portal anzeigen (soweit zutreffend); und
n.
auf vierteljährlicher Basis nach schriftlicher Anforderung durch den Kunden (1)
die Richtlinieneinstellungen des Kunden prüfen, um ihre Richtigkeit zu verifizieren; und
(2)
in Zusammenarbeit mit dem Kunden die von IBM betriebenen Agenten prüfen und Änderungen an der Strategie zum Schutz des Netzwerks empfehlen.
Verantwortlichkeiten des Kunden Der Kunde wird a.
sicherstellen, dass alle Anforderungen einer Richtlinienänderung von einem autorisierten Ansprechpartner für die Sicherheit oder einem benannten Ansprechpartner für die Services über das Portal gemäss den oben angegebenen Verfahren eingereicht werden;
b.
die Verantwortung für die Bereitstellung ausreichender Informationen zu jeder angeforderten Richtlinienänderung übernehmen, um IBM die erfolgreiche Durchführung dieser Änderung zu ermöglichen;
c.
die Verantwortung dafür übernehmen, IBM zu benachrichtigen, wenn der Kunde die Durchführung einer vierteljährlichen Richtlinienüberprüfung durch IBM wünscht;
d.
die alleinige Verantwortung für die Sicherheitsstrategie des Kunden übernehmen, einschliesslich der Verfahren für die Reaktion auf Sicherheitsverstösse;
e.
bestätigen, dass (1)
alle Richtlinienänderungen von IBM und nicht vom Kunden durchgeführt werden;
(2)
die Implementierung von Richtlinienänderungen, die nach Ermessen von IBM nachteilige Auswirkungen auf die Fähigkeit der Agenten zum Schutz der Netzwerkumgebung haben, zu einer Aussetzung der anwendbaren SLAs führen wird;
(3)
nicht in Anspruch genommene Änderungen nach Ende eines Kalendermonats auf Anforderung des Kunden für weitere 30 Tage in Anspruch genommen werden können. Nach diesem Zeitraum von 30 Tagen sind die Änderungen nicht mehr verfügbar. Nicht in Anspruch genommene Richtlinienänderungen, die in den Folgemonat übernommen wurden, werden vor den Richtlinienänderungen des neuen Monats bearbeitet;
(4)
die Anforderung einer Richtlinienänderung im Notfall eindeutig als solche identifizieren, wenn sie im Portal eingereicht wird; und
Z126-5942-CH-2 04-2013
Seite 25 von 42
(5)
4.4
das SOC telefonisch kontaktieren, nachdem eine Anforderung einer Richtlinienänderung im Notfall über das MSS-Portal eingereicht wurde, um die Anforderung in den Status eines Notfalls hochzustufen.
VPN-Unterstützung (Virtual Private Network) IBM wird mittels einer oder mehrerer der folgenden Methoden die vom Kunden gewünschten VPNFeatures des/der FW- und UTM-Agenten aktivieren: a.
Site-to-Site-VPNs zwischen zwei von IBM betriebenen VPN-fähigen Agenten oder zwischen einem von IBM betriebenen Agenten und einem nicht von IBM betriebenen VPN-fähigen Gerät;
b.
Client-to-Site-VPNs durch ein Modell, bei dem IBM die Konfiguration festlegt und dem Kunden die Administration der Client-to-Site-VPN-Benutzer ermöglicht; oder
c.
SSL-VPNs (Secure Sockets Layer) durch ein Modell, bei dem IBM die Konfiguration festlegt und dem Kunden die Administration der SSL-VPN-Benutzer ermöglicht.
Anmerkung: Die Unterstützung für Client-to-Site- und SSL-VPNs ist nur auf den von IBM angegebenen Plattformen verfügbar. 4.4.2
Leistungsumfang IBM wird
4.4.3
a.
bis zu zwei Site-to-Site-VPNs während der Implementierung und Aktivierung jedes Firewall- oder UTM-Agenten konfigurieren;
b.
Unterstützung für statische und dynamische Authentifizierungsmethoden der VPN-Konfiguration bereitstellen;
c.
bis zu fünf Client-to-Site-VPN-Benutzer einrichten und testen;
d.
bis zu fünf SSL-VPN-Benutzer einrichten und testen;
e.
dem Kunden entsprechende Zugriffsrechte für die Administration seiner Client-to-Site- oder SSLVPN-Benutzer bereitstellen; und
f.
eine Demonstration der Administration von Client-to-Site- oder SSL-VPN-Benutzern für den Kunden durchführen (sofern zutreffend).
Verantwortlichkeiten des Kunden Der Kunde wird a.
IBM alle erforderlichen Informationen für die Aktivierung der vom Kunden gewünschten VPNFeatures bereitstellen;
b.
die alleinige Verantwortung für die Erstellung und Administration aller Client-to-Site- und SSL-VPNBenutzer nach der anfänglichen Aktivierung durch IBM übernehmen; und
c.
bestätigen, dass (1)
jedes Site-to-Site-VPN, das der Kunde nach der Implementierung und Aktivierung des/der Firewall- oder UTM-Agenten anfordert, zum Kontingent der Richtlinienänderungen des laufenden Monats gerechnet wird;
(2)
der Kunde die alleinige Verantwortung für die Beschaffung aller erforderlichen Anwendungen für die Client-to-Site- oder SSL-VPN-Administration beim Hersteller des/der Firewall- oder UTM-Agenten und für alle damit verbundenen Kosten trägt;
(3)
der Kunde die alleinige Verantwortung für die Implementierung, den Test, die Unterstützung und die Wartung aller erforderlichen Anwendungen für die Client-to-Site- oder SSL-VPNAdministration, die beim Hersteller des/der Firewall- oder UTM-Agenten beauftragt werden, und für alle damit verbundenen Kosten trägt;
(4)
alle Client-to-Site-VPN-Lösungen in Bezug auf die Managed Network Security Services von IBM genehmigt werden müssen; und
(5)
die zertifikatbasierte Authentifizierung derzeit im Rahmen der VPN-Konfiguration nicht unterstützt wird.
Z126-5942-CH-2 04-2013
Seite 26 von 42
4.5
Überwachung des Status und der Verfügbarkeit der Managed Agents IBM wird den Status und die Verfügbarkeit der Managed Agents überwachen. Diese Überwachung soll dazu beitragen, die Verfügbarkeit und Betriebszeiten der Agenten zu erhöhen. IBM wird die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.
4.5.1
Leistungsumfang Aktivität 6 – Überwachung Zweck dieser Aktivität ist die Überwachung des Status und der Leistung der Agenten. IBM MSS wird zur Durchführung dieser Aktivität entweder die agentenbasierte oder die agentenlose Überwachung einsetzen. Agentenbasierte Überwachung Sofern technisch machbar, wird IBM auf in Frage kommenden Agenten Software installieren, um den Systemstatus und die Systemleistung zu überwachen und Messdaten an die SOCs zu melden. IBM wird a.
bei in Frage kommenden Plattformen Überwachungssoftware auf den Agenten installieren;
b.
Alarmbenachrichtigungen überwachen und entsprechend reagieren. Dazu zählen Alarmbenachrichtigungen in Bezug auf folgende Aspekte:
c.
(1)
Festplattenkapazität;
(2)
CPU-Auslastung;
(3)
Speicherauslastung; und
(4)
Prozessverfügbarkeit;
auf die von der Überwachungssoftware erzeugten Alarmbenachrichtigungen reagieren.
Agentenlose Überwachung Wenn die Installation der Überwachungssoftware technisch nicht durchführbar ist, wird IBM den Datenstrom von den Agenten überwachen und/oder administrative Schnittstellen auf den Agenten abfragen. IBM wird a.
die administrativen Schnittstellen der Agenten überwachen; und/oder
b.
den von den Agenten erzeugten Ereignisstrom überwachen; und
c.
zusätzliche zeitbasierte Prüfungen initiieren, wenn ein Managed Agent nicht mehr erreichbar ist.
Aktivität 2 – Fehlersuche/-behebung Zweck dieser Aktivität ist die Durchführung von Recherchen und Untersuchungen, falls die Agenten nicht die erwartete Leistung erbringen oder ein potenzielles Problem mit dem ordnungsgemässen Betrieb der Agenten festgestellt wird. IBM wird a.
im Fall eines Problems mit der Leistung eines Agenten oder eines potenziellen Problems mit dem ordnungsgemässen Betrieb eines Agenten ein Trouble-Ticket erstellen;
b.
mit der Recherche und Untersuchung des dokumentierten Problems beginnen;
c.
die Konfiguration und Funktionalität des Agenten im Hinblick auf potenzielle Probleme untersuchen, falls der Agent als mögliche Ursache eines netzwerkbezogenen Problems identifiziert wird; und
d.
den Agentenstatus und Ausfalltickets im Portal anzeigen.
Aktivität 3 – Benachrichtigung Zweck dieser Aktivität ist die Benachrichtigung des Kunden, wenn der Agent über In-BandStandardmethoden nicht mehr erreichbar ist. IBM wird a.
den Kunden benachrichtigen, wenn der Agent über In-Band-Standardmethoden nicht mehr erreichbar ist. Diese Benachrichtigung erfolgt telefonisch über ein zuvor festgelegtes Verfahren und
Z126-5942-CH-2 04-2013
Seite 27 von 42
innerhalb der Frist, die im Abschnitt „Service-Level-Agreements“, „Proaktive Systemüberwachung“ dieser Leistungsbeschreibung angegeben ist;
4.5.2
b.
nach Initiierung der telefonischen Benachrichtigung mit der Untersuchung von Problemen im Zusammenhang mit der Konfiguration oder Funktionalität des Agenten beginnen; und
c.
den Agentenstatus und Ausfalltickets im Portal anzeigen.
Verantwortlichkeiten des Kunden Aktivität 1 – Überwachung Der Kunde wird a.
IBM die Installation der Überwachungssoftware auf allen Managed Agents erlauben, sofern IBM diese Installation für technisch machbar hält; oder
b.
IBM die Überwachung der administrativen Schnittstellen und des Ereignisstroms der Managed Agents erlauben, wenn die Installation der Überwachungssoftware auf diesen Agenten technisch nicht machbar ist.
Aktivität 2 – Fehlersuche/-behebung Der Kunde wird a.
an Besprechungen zur Fehlersuche/-behebung mit IBM teilnehmen (sofern erforderlich);
b.
die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung übernehmen, falls der Kunde sich gegen die Implementierung einer Out-of-Band-Lösung entschieden hat oder die Out-of-Band-Lösung aus irgendeinem Grund nicht verfügbar ist; und
c.
bestätigen, dass IBM keine weitere Fehlersuche/-behebung durchführen wird, wenn der Managed Agent als Ursache eines gegebenen Problems ausgeschlossen wurde.
Aktivität 3 – Benachrichtigung Der Kunde wird
4.6
a.
IBM Informationen zu seiner Benachrichtigungsreihenfolge und Kontaktinformationen zu seinen Ansprechpartnern bereitstellen;
b.
IBM innerhalb von drei Kalendertagen über Änderungen an den Kontaktinformationen zu Ansprechpartnern des Kunden informieren; und
c.
sicherstellen, dass ein autorisierter Ansprechpartner für die Sicherheit oder ein für Agentenausfälle zuständiger benannter Ansprechpartner für die Services während 24 Stunden pro Tag an 7 Tagen die Woche erreichbar ist.
Management von Agenten Das Management von Agenten wird von IBM im Rahmen der Managed Network Security Services durchgeführt. Anwendungs- und Sicherheitsupdates für Agenten sind äusserst wichtig für ein Unternehmen. IBM nutzt einen herstellerunabhängigen Ansatz für das Management von Agenten. IBM wird die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend.
4.6.1
Leistungsumfang IBM wird a.
als alleiniger Anbieter des Softwaremanagements für die Agenten fungieren;
b.
den Systemstatus beobachten;
c.
Updates von Sicherheitsinhalten innerhalb der Frist, die im Abschnitt „Service-Level-Agreements“, „Proaktives Update von Sicherheitsinhalten“ dieser Leistungsbeschreibung angegeben ist, auf den Agenten installieren (soweit zutreffend), sobald die Updates vom jeweiligen Hersteller allgemein verfügbar sind;
d.
Software-Updates installieren, um die Leistung zu verbessern, zusätzliche Funktionalität zu ermöglichen oder ein Anwendungsproblem zu lösen. IBM übernimmt keine Verantwortung und gibt keine Gewährleistung für Patches, Updates oder Sicherheitsinhalte, die vom jeweiligen Hersteller bereitgestellt werden;
Z126-5942-CH-2 04-2013
Seite 28 von 42
4.6.2
e.
vor Updates von Agenten, die möglicherweise Plattformausfallzeiten oder Unterstützung durch den Kunden erfordern, ein Wartungszeitfenster ankündigen; und
f.
in der Mitteilung zu diesem Wartungszeitfenster die voraussichtlichen Folgen einer planmässigen Wartung und die spezifischen Anforderungen des Kunden eindeutig angeben.
Verantwortlichkeiten des Kunden Der Kunde wird
4.7
a.
die von IBM angegebenen Hardware-Upgrades durchführen, um die aktuelle Software und Firmware zu unterstützen;
b.
Updates von Agenten in Zusammenarbeit mit IBM durchführen (sofern erforderlich);
c.
die Verantwortung für alle Gebühren im Zusammenhang mit Hardware-Upgrades übernehmen;
d.
sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge vorliegen, die direkt mit dem jeweiligen Anbieter geschlossen wurden;
e.
sicherstellen, dass entsprechende Zustimmungen der vom Kunden gewählten Anbieter vorliegen, die es IBM ermöglichen, Support und Wartung im Rahmen bestehender Verträge im Namen des Kunden zu nutzen. Wenn diese Vereinbarungen nicht vorliegen, ist IBM nicht in der Lage, den Anbieter direkt zu kontaktieren, um Supportprobleme zu lösen; und
f.
bestätigen, dass (1)
alle Updates per Internet übertragen und eingespielt werden;
(2)
Leistungen und/oder SLAs von IBM ausgesetzt werden können, wenn die Zustimmung der Anbieter zu irgendeinem Zeitpunkt während der Vertragslaufzeit nicht eingeholt oder zurückgezogen wird;
(3)
die Nichtdurchführung der von IBM geforderten Software-Upgrades zu einer Aussetzung der Serviceerbringung und/oder der SLAs führen kann; und
(4)
die Nichtdurchführung der von IBM geforderten Hardware-Upgrades zu einer Aussetzung der Serviceerbringung und/oder der SLAs führen kann.
Content-Sicherheit Der/die Agent/en kann/können auf Anforderung des Kunden auf den von IBM angegebenen Plattformen dafür konfiguriert werden, eine Lösung für die Content-Sicherheit (z. B. eine Webfilter-, IDPS-, Antispamoder Antivirus-Lösung) zu unterstützen.
4.7.1
Interne Content-Sicherheit – Leistungsumfang IBM wird a.
den Agenten dafür konfigurieren, eine interne Lösung für die Content-Sicherheit auf einer von IBM angegebenen Plattform zu unterstützen;
b.
die spezifische Richtlinie des Kunden für die Content-Sicherheit zum Filtern von Webinhalten während der Implementierung und Aktivierung des Agenten konfigurieren. Diese Richtlinie beinhaltet Folgendes:
c.
(1)
Kategorielisten – Auswahl an Kategorien von Inhalten, die blockiert werden sollen;
(2)
Weisse Listen (Ziel) – bestimmte Sites, die auch dann nicht blockiert werden sollen, wenn sie sich innerhalb einer Kategorie gesperrter Inhalte befinden;
(3)
Schwarze Listen (Ziel) – bestimmte Sites, die auch dann blockiert werden sollen, wenn sie sich innerhalb einer Kategorie zulässiger Inhalte befinden; und
(4)
Weisse Liste (Quelle) – bestimmte IP-Adressen, die aus der Filterung von Inhalten ausgenommen werden sollen;
die spezifische Antispam-Richtlinie des Kunden während der Implementierung und Aktivierung des Agenten konfigurieren. Diese Richtlinie beinhaltet Folgendes: (1)
Weisse Listen – bestimmte E-Mail-Adressen und/oder Domänen, die immer zugelassen werden sollen; und
(2)
Schwarze Listen – bestimmte E-Mail-Adressen und/oder Domänen, die blockiert werden sollen;
Z126-5942-CH-2 04-2013
Seite 29 von 42
4.7.2
d.
Antivirus-Unterstützung während der Implementierung und Aktivierung des Agenten aktivieren;
e.
Updates der Content-Sicherheit einspielen, wie im Abschnitt „Management von Agenten“ dieser Leistungsbeschreibung beschrieben; und
f.
Änderungen an der Richtlinie für die Content-Sicherheit akzeptieren und umsetzen, wie im Abschnitt „Richtlinienmanagement“ dieser Leistungsbeschreibung beschrieben.
Interne Content-Sicherheit – Verantwortlichkeiten des Kunden Der Kunde wird
5.
a.
die Verantwortung für die Bereitstellung ausreichender Informationen zu jeder angeforderten Richtlinienänderung übernehmen, um IBM die erfolgreiche Durchführung dieser Änderung zu ermöglichen; und
b.
bestätigen, dass (1)
der Kunde für die Beschaffung, Unterstützung, Lizenzierung und Wartung der Lösung für die Content-Sicherheit und für alle damit verbundenen Gebühren verantwortlich ist; und
(2)
alle Änderungen an der Richtlinie für die Content-Sicherheit, die nach der Implementierung und Aktivierung des Agenten angefordert werden, zum Kontingent der Richtlinienänderungen des laufenden Monats gerechnet werden.
Managed Network Security Services – Optionale Features Die vom Kunden ausgewählten optionalen Services und die dafür anfallenden zusätzlichen Gebühren werden im Bestellschein angegeben.
5.1
Bereitstellung von Sicherheitsereignissen und -protokollen Auf Wunsch des Kunden wird IBM Protokoll- und Ereignisdaten aus der IBM MSS-Infrastruktur abrufen und zum Download von einem sicheren IBM Server bereitstellen. In Fällen, in denen die Menge der Protokoll- und Ereignisdaten nach Angaben von IBM zu gross ist, um per Download bereitgestellt zu werden, wird IBM die Daten auf verschlüsselten Datenträgern speichern und an einen vom Kunden angegebenen Standort seiner Wahl liefern. IBM wird von Fall zu Fall entscheiden, ob die Bereitstellung per Download machbar ist oder nicht.
5.1.1
Leistungsumfang Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr wird IBM
5.1.2
a.
die angegebenen Daten aus der IBM MSS-Infrastruktur abrufen und dem Kunden zum Download auf einem sicheren IBM Server bereitstellen, sofern vom Kunden über das Portal angefordert; und
b.
den Kunden über zusätzliche Gebühren für sämtlichen Zeit- und Materialaufwand informieren, der für das Abrufen und Vorbereiten der Daten anfällt.
Verantwortlichkeiten des Kunden Der Kunde wird
5.2
a.
die Bereitstellung von Sicherheitsereignis- und Protokolldaten über das Portal anfordern;
b.
die gewünschten Daten von einem sicheren IBM Server downloaden;
c.
bestätigen, dass die Daten möglicherweise auf verschlüsselten Datenträgern gespeichert und an einen vom Kunden angegebenen Standort seiner Wahl geliefert werden müssen, wenn die Menge der angeforderten Daten zu gross für einen Download ist; und
d.
die Verantwortung für alle Gebühren auf Zeit- und Materialbasis und für alle Versandkosten (sofern zutreffend) im Zusammenhang mit der Bereitstellung von Protokolldaten übernehmen.
Cold Standby Cold Standby ist eine optionale Servicekomponente für Managed Network Security Services. Cold Standby ist eine Disaster-Recovery-Methode, bei der ein zusätzlicher Agent als Ersatz für den Fall eines Hardware- und/oder Softwareausfalls beim primären Agenten zur Verfügung steht. Cold-StandbyAgenten sind nicht eingeschaltet oder betriebsbereit und enthalten keine aktive Konfiguration, Richtlinie oder Content-Updates.
Z126-5942-CH-2 04-2013
Seite 30 von 42
5.2.1
Leistungsumfang Auf Wunsch des Kunden und ohne Aufpreis wird IBM die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend. IBM wird
5.2.2
a.
bei einem Ausfall des primären Agenten den Cold-Standby-Agenten in Zusammenarbeit mit dem Kunden in den Produktionsbetrieb überführen und auf „active“ einstellen;
b.
bei einem Ausfall des primären Agenten die erforderlichen Content-Updates auf dem Cold-StandbyAgenten einspielen; und
c.
bei einem Ausfall des primären Agenten die aktive aktuelle Konfiguration auf dem Cold-StandbyAgenten einspielen.
Verantwortlichkeiten des Kunden Der Kunde wird
5.3
a.
einen sekundären Agenten bereitstellen, der als Cold-Standby-Agent fungieren wird;
b.
sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für den Cold-Standby-Agenten vorliegen;
c.
bei einem Ausfall des primären Agenten den Cold-Standby-Agenten in Zusammenarbeit mit IBM in den Produktionsbetrieb überführen und auf „active“ einstellen; und
d.
bestätigen, dass (1)
Cold-Standby-Agenten nicht von IBM betrieben und gewartet werden, es sei denn, ihr Status wird in „active“ geändert;
(2)
Konfigurationsänderungen an Cold-Standby-Agenten vorgenommen werden müssen, um deren Status in „active“ zu ändern; und
(3)
Cold-Standby-Agenten keinen Datenverkehr zu den SOCs erzeugen dürfen, es sei denn, der primäre Agent ist ausgefallen und der Cold-Standby-Agent wurde in den Produktionsbetrieb überführt und auf „active“ eingestellt.
Warm Standby Warm Standby ist eine optionale Servicekomponente für Managed Network Security Services. Warm Standby ist eine Methode der Redundanz, die Ausfallzeiten aufgrund von Hardware- und/oder Softwareausfällen bei Agenten reduzieren kann. Im Rahmen der Option „Warm Standby“ wird IBM einen einzelnen Ersatzagenten für den Kunden betreiben und auf dem aktuellen Stand halten. Bei einem Ausfall des primären Agenten des Kunden steht der Ersatz- bzw. Warm-Standby-Agent zur Verfügung, um die Services schneller wiederherzustellen. Ein Standby-Agent darf keinen Datenverkehr zu den SOCs erzeugen, es sei denn, er wird in den Produktionsbetrieb überführt und auf „active“ eingestellt. IBM empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf den Warm-Standby-Agenten, wie im Abschnitt „Out-of-Band-Zugriff“ dieser Leistungsbeschreibung beschrieben.
5.3.1
Leistungsumfang Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr wird IBM die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend. IBM wird
5.3.2
a.
den ordnungsgemässen Betrieb und die Verfügbarkeit des Warm-Standby-Agenten sicherstellen, wie im Abschnitt „Überwachung des Status und der Verfügbarkeit der Managed Agents“ dieser Leistungsbeschreibung beschrieben;
b.
Content-Updates auf dem Warm-Standby-Agenten einspielen, wie im Abschnitt „Management von Agenten“ dieser Leistungsbeschreibung beschrieben; und
c.
bei einem Ausfall des primären Agenten den Status des Warm-Standby-Agenten in „active“ ändern.
Verantwortlichkeiten des Kunden Der Kunde wird a.
sicherstellen, dass gültige Lizenz-, Support- und Wartungsverträge für alle Warm-StandbyPlattformen vorliegen;
Z126-5942-CH-2 04-2013
Seite 31 von 42
b.
die Verantwortung für alle Gebühren im Zusammenhang mit dem fortlaufenden Management des Warm-Standby-Agenten übernehmen;
c.
sekundäre IP-Adressen bereitstellen;
d.
die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Überwachung des Status und der Verfügbarkeit der Managed Agents“ dieser Leistungsbeschreibung beschrieben sind;
e.
die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Management von Agenten“ dieser Leistungsbeschreibung definiert sind;
f.
bestätigen, dass
g.
5.4
(1)
Richtlinienänderungen, die am primären Agenten vorgenommen wurden, nicht auf dem Warm-Standby-Agenten widergespiegelt werden; und
(2)
Standby-Agenten keinen Datenverkehr zu den SOCs erzeugen dürfen, es sei denn, sie wurden in den Produktionsbetrieb überführt und auf „active“ eingestellt;
die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung übernehmen, falls sich der Kunde gegen die Implementierung einer Out-of-Band-Lösung entscheidet oder die Out-of-Band-Lösung aus irgendeinem Grund nicht verfügbar ist.
Management von virtuellen Instanzen Dieser Service beinhaltet das Management virtueller Instanzen von Geräten für die Netzwerksicherheit. Die virtuelle Firewall-Technologie ist ein spezialisiertes Firewall-Feature, das mehrere logische Firewall„Kontexte“ für mehrere Netzwerke auf einem einzelnen System bereitstellt. Virtuelle Firewall-Kontexte, die als Teil einer virtualisierten Plattform ausgeführt werden, beschränken sich auf Firewall- und VPNFunktionalität, die durch die jeweilige Plattform ermöglicht wird. Alle weiteren Features werden nicht unterstützt, sofern nicht in diesem Dokument ausdrücklich anders angegeben. Die ursprüngliche Plattform und die virtuelle Firewall-Instanz werden durch die für ein Firewall-Gerät angegebenen ManagementServices unterstützt. Zusätzliche virtuelle Firewall-Instanzen sind jedoch Gegenstand der spezifischen Aktivitäten, die in den folgenden Abschnitten zu virtuellen Instanzen beschrieben sind. Jeder virtuelle Kontext wird durch die im Bestellschein angegebene Anzahl an virtuellen Instanzen bestimmt. Bei virtuellen Firewalls, die im Transportmodus ausgeführt werden, setzt IBM voraus, dass jedem virtuellen Kontext der Ebene 2 eine IP-Adresse der Ebene 3 zugeordnet wird, um IBM das effektive Management und die effektive Überwachung der einzelnen Kontexte zu ermöglichen.
5.4.1
Leistungsumfang IBM wird
5.4.2
a.
in Zusammenarbeit mit dem Kunden eine optimale Firewall-Konfiguration auf der Basis der Netzwerk- und Firewall-Konfiguration des Kunden sowie der aktivsten weltweiten Sicherheitsbedrohungen (die vom IBM SOC ermittelt werden) bestimmen;
b.
Änderungen an der Konfiguration wie im Bestellschein angegeben innerhalb der angegebenen Implementierungszeit durchführen; und
c.
Ereignisse und Protokolle erfassen und archivieren, wie in dieser Leistungsbeschreibung angegeben und soweit für die von der virtuellen Instanz empfangenen Protokolle und Ereignisse angebracht.
Verantwortlichkeiten des Kunden Der Kunde wird
5.5
a.
anzeigen, welche/r virtuelle/n Kontext/e bei der Durchführung einer angeforderten Richtlinienänderung betroffen ist/sind;
b.
ein von IBM unterstütztes Out-of-Band-Gerät implementieren und eine dedizierte analoge Telefonleitung für den Zugriff bereitstellen; und
c.
das Gerät und die Telefonleitung beschaffen und die Kosten für deren Beschaffung und fortlaufenden Betrieb übernehmen.
Hochverfügbarkeit Hochverfügbarkeit ist eine optionale Servicekomponente für Managed Network Security Services. Um Schutz vor Hardware- und/oder Softwareausfällen und hohe Verfügbarkeit zu erreichen, können zwei
Z126-5942-CH-2 04-2013
Seite 32 von 42
Managed Agents konfiguriert und implementiert werden, von denen einer voll einsatzfähig ist und der andere als Ersatz bereitgehalten wird und erst bei einem Ausfall des ersten Agenten zum Einsatz kommt. Einige Agenten können auch in einem Cluster konfiguriert werden, in dem mehrere Agenten die Netzlast gemeinsam verarbeiten. Aktiv/Passiv-Implementierungen In dieser Konfiguration wird ein zweiter Agent konfiguriert, der bereit für den Einsatz im Netzwerk ist, falls es bei dem primären Agenten zu einem kritischen Hardware- oder Softwareausfall kommt. Die Verarbeitung wird in diesem Szenario automatisch und sofort an den zweiten Agenten übertragen. Aktiv/Aktiv-Implementierungen In einem Aktiv/Aktiv-Cluster werden zwei oder mehr Agenten zur gleichzeitigen Verarbeitung des Datenverkehrs im Netzwerk eingesetzt. In dieser Konfiguration verarbeitet jeder Agent einen Teil der Netzwerkpakete, gesteuert von einem Algorithmus für den Lastausgleich. Beim Ausfall eines Agenten wird der gesamte Datenverkehr von dem/den übrigen Agenten übernommen, bis der ausgefallene Agent wiederhergestellt ist. IBM empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf alle Agenten in der Hochverfügbarkeitskonfiguration, wie im Abschnitt „Out-of-Band-Zugriff“ dieser Leistungsbeschreibung beschrieben. 5.5.1
Leistungsumfang Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr wird IBM die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend. IBM wird a.
einen sekundären Agenten konfigurieren, entweder in einer Aktiv/Passiv- oder Aktiv/AktivKonfiguration, wie vom Kunden angegeben;
b.
– wenn entweder Firewall, UTM, Secure Web Gateway oder IDPS Management Services Bestandteil des Servicevertrags des Kunden sind – Aktiv/Aktiv-Konfigurationen konfigurieren, die drei oder mehr Agenten (Cluster) im Unicast-Modus verwenden (Unicast-Modus bedeutet, dass ein einzelner Absender und ein einzelner Empfänger über ein Netzwerk miteinander kommunizieren); Anmerkung: IBM unterstützt keine Aktiv/Aktiv-Konfigurationen im Multicast-Modus.
5.5.2
c.
die Hochverfügbarkeitslösung betreiben und überwachen;
d.
den ordnungsgemässen Betrieb und die Verfügbarkeit des sekundären Agenten sicherstellen, wie im Abschnitt „Überwachung des Status und der Verfügbarkeit der Managed Agents“ dieser Leistungsbeschreibung beschrieben;
e.
Content-Updates auf dem/den sekundären Agenten einspielen, wie im Abschnitt „Management von Agenten“ dieser Leistungsbeschreibung beschrieben; und
f.
die Richtlinie des sekundären Agenten aktualisieren, wie im Abschnitt „Richtlinienmanagement“ dieser Leistungsbeschreibung beschrieben.
Verantwortlichkeiten des Kunden Der Kunde wird a.
einen sekundären Agenten bereitstellen;
b.
alle erforderlichen Änderungen an der Softwarelizenzierung vornehmen;
c.
sekundäre IP-Adressen bereitstellen;
d.
die Verantwortung für alle Gebühren im Zusammenhang mit dem fortlaufenden Management des sekundären Agenten übernehmen;
e.
die Verantwortlichkeiten des Kunden erfüllen, die in den folgenden Abschnitten dieser Leistungsbeschreibung definiert sind:
f.
(1)
„Überwachung des Status und der Verfügbarkeit der Managed Agents“;
(2)
„Management von Agenten“;
(3)
„Richtlinienmanagement“;
die Verantwortung für die gesamte Remote-Konfiguration und Fehlersuche/-behebung übernehmen, falls sich der Kunde gegen die Implementierung einer Out-of-Band-Lösung auf dem primären und
Z126-5942-CH-2 04-2013
Seite 33 von 42
sekundären Agenten entscheidet oder die Out-of-Band-Lösung aus irgendeinem Grund nicht verfügbar ist; und g.
5.6
bestätigen, dass (1)
die Services keine nicht integrierten Hochverfügbarkeitslösungen unterstützen; und
(2)
IBM Aktiv/Aktiv-Konfigurationen, die drei oder mehr Agenten nutzen, nur im Unicast-Modus unterstützt.
Aggregator am Kundenstandort Der Aggregator am Kundenstandort ist eine optionale Servicekomponente für Managed Network Security Services. Der Aggregator am Kundenstandort (nachfolgend „Onsite Aggregator“ oder „OA“ genannt) ist ein vom Kunden bereitgestelltes Gerät, das am Kundenstandort implementiert wird. Der Zweck des OA besteht darin, die Erfassung von Protokolldaten zu zentralisieren, wenn der Kunde die IBM Managed Security Services für mehrere Agenten nutzt, und diese Daten sicher an die IBM MSS-Infrastruktur zu übertragen, in der sie weiter verarbeitet und aufbewahrt werden. Die Basisfunktionen des OA sind nachstehend beschrieben: a.
Erfassung von Protokolldaten;
b.
Komprimierung der Protokolldaten;
c.
Verschlüsselung der Protokolldaten; und
d.
Übertragung der Protokolldaten an die IBM MSS-Infrastruktur.
Die Kernfunktionen des OA sind nachstehend beschrieben: a.
Lokales Einstellen von Protokollen in die Warteschlange, wenn keine Verbindung zur IBM MSSInfrastruktur verfügbar ist;
b.
Durchführung der unidirektionalen Protokollübertragung. Die OA-Kommunikation wird über abgehende SSL/TCP-443-Verbindungen ausgeführt;
c.
Durchführung der Nachrichtendrosselung bei entsprechender Konfiguration. Dadurch wird die Zahl der vom OA zur IBM MSS-Infrastruktur übertragenen Protokolle pro Sekunde eingeschränkt, um Bandbreite zu sparen; und
d.
Bereitstellung von Übertragungszeitfenstern bei entsprechender Konfiguration. Die Übertragungszeitfenster aktivieren/deaktivieren die Ereignisübertragung an die IBM MSSInfrastruktur während des angegebenen Zeitrahmens.
IBM empfiehlt nachdrücklich die Verwendung des Out-of-Band-Zugriffs auf den OA, wie im Abschnitt „Out-of-Band-Zugriff“ dieser Leistungsbeschreibung beschrieben. 5.6.1
Leistungsumfang Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr wird IBM die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend. Aktivität 1 – Konfiguration Zweck dieser Aktivität ist die Konfiguration des OA. IBM wird a.
den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu finden, die eine genaue Beschreibung der Installations- und Konfigurationsverfahren für das OABetriebssystem und die von IBM bereitgestellte OA-Software enthalten. Diese Unterstützung muss im Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung steht;
b.
dem Kunden Hardwarespezifikationen für die OA-Plattform bereitstellen;
c.
dem Kunden OA-Software und Konfigurationseinstellungen bereitstellen;
d.
den Kunden per Telefon und E-Mail bei der Installation der von IBM bereitgestellten OA-Software auf der vom Kunden bereitgestellten Hardwareplattform unterstützen. Diese Unterstützung muss im Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung steht;
Z126-5942-CH-2 04-2013
Seite 34 von 42
e.
auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr Leistungen für die Softwareinstallation erbringen; und
f.
beim Einsatz vorhandener Plattformen (1)
vorhandene Hardwarekonfigurationen prüfen, um sicherzustellen, dass sie den IBM Spezifikationen entsprechen; und
(2)
erforderliche Hardware-Upgrades ermitteln, die vom Kunden bereitzustellen und zu installieren sind.
Wird der OA auf einer virtuellen Plattform installiert, trägt IBM die alleinige Verantwortung für das Management der virtuellen Maschine des OA. Für das Management der Virtualisierungsinfrastruktur ist IBM nicht verantwortlich. Wird ein OA auf einer virtuellen Maschine ausgeführt, wird aus dem vereinbarten Service-Level (SLA) für die proaktive Systemüberwachung ein lediglich angestrebter Service-Level (Service Level Objective, SLO ) und die im Abschnitt „SLA-Gutschriften“ dieser Leistungsbeschreibung angegebene Gutschriftenregelung wird unwirksam. Aktivität 2 – Installation Zweck dieser Aktivität ist die Installation des OA. IBM wird a.
den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der Verkabelung des OA enthalten. Diese Unterstützung muss im Voraus geplant werden, um sicherzustellen, dass ein IBM Spezialist für die Implementierung zur Verfügung steht; Anmerkung: Der Kunde kann Leistungen für die physische Verkabelung und Installation im Rahmen eines gesonderten Vertrags bei IBM beauftragen.
b.
den OA per Fernzugriff konfigurieren. Dabei wird IBM den OA in der IBM MSS-Infrastruktur registrieren und den Prozess für die Übernahme der Implementierung und des Managements des OA initiieren; und
c.
bestätigen, dass die IBM MSS-Infrastruktur Daten vom OA empfängt.
Aktivität 3 – Fortlaufendes Management und kontinuierliche Unterstützung Zweck dieser Aktivität ist das fortlaufende Management und die kontinuierliche Unterstützung des OA. IBM wird
5.6.2
a.
den OA in den SOCs auf „active“ einstellen, um die kontinuierliche Unterstützung und das fortlaufende Management durch die SOCs zu aktivieren;
b.
den ordnungsgemässen Betrieb und die Verfügbarkeit des OA sicherstellen, wie im Abschnitt „Überwachung des Status und der Verfügbarkeit der Managed Agents“ dieser Leistungsbeschreibung beschrieben;
c.
Software-Updates auf dem OA einspielen, wie im Abschnitt „Management von Agenten“ dieser Leistungsbeschreibung beschrieben; und
d.
die Verantwortung für das Management und die Überwachung des OA für die Dauer der Vertragslaufzeit und jeder Verlängerungslaufzeit übernehmen.
Verantwortlichkeiten des Kunden Aktivität 1 – Konfiguration Der Kunde wird a.
IBM eine externe (im Internet routebare) IP-Adresse für den OA bereitstellen;
b.
die Hardware für die OA-Plattform bereitstellen, basierend auf den Empfehlungen und Anforderungen von IBM;
c.
die von IBM bereitgestellte OA-Software nach Anleitung von IBM auf der vom Kunden bereitgestellten Hardware installieren;
d.
eine externe IP-Adresse und die zugehörige Einstellung auf dem OA konfigurieren;
Z126-5942-CH-2 04-2013
Seite 35 von 42
e.
IBM die IP-Adresse des OA, den Hostnamen, die Maschinenplattform, die Anwendungsversion und die Zeitzone des Agenten bereitstellen; und
f.
beim Einsatz vorhandener Plattformen die von IBM geforderten Hardware-Upgrades beschaffen und installieren.
Aktivität 2 – Installation Der Kunde wird a.
die Verantwortung für die physische Installation und Verkabelung des OA übernehmen; und
b.
die Unterstützung mit einem IBM Spezialisten für die Implementierung planen.
Aktivität 3 – Fortlaufendes Management und kontinuierliche Unterstützung Der Kunde wird
5.7
a.
die Verantwortung für die Beschaffung und Installation der erforderlichen Hardware-Upgrades für die OA-Plattform für die Dauer der Vertragslaufzeit übernehmen;
b.
die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Überwachung des Status und der Verfügbarkeit der Managed Agents“ dieser Leistungsbeschreibung beschrieben sind;
c.
die Verantwortlichkeiten des Kunden erfüllen, die im Abschnitt „Management von Agenten“ dieser Leistungsbeschreibung beschrieben sind;
d.
beim Einsatz von virtuellen Instanzen im Rahmen dieses Service die alleinige Verantwortung für das Management der Virtualisierungsinfrastruktur übernehmen, sofern der OA auf einer virtuellen Maschine (VM) ausgeführt wird;
e.
beim Einsatz von virtuellen Instanzen im Rahmen dieses Service zustimmen, dass im Fall der Durchführung von Wartungsmassnahmen auf dem virtualisierten Server, die den Betrieb des VMImage des OA beeinträchtigen könnten, ein Ticket erstellt werden muss, um IBM zu benachrichtigen und ein Konfigurationszeitfenster zu planen, falls der OA sicher heruntergefahren werden muss; und
f.
beim Einsatz von virtuellen Instanzen im Rahmen dieses Service ausreichende dedizierte Ressourcen für die virtuelle Maschine des OA bereitstellen, um die von IBM angegebenen Mindestvoraussetzungen zu erfüllen.
Integration des Ticketsystems Wenn der Kunde ein vorhandenes Trouble-Ticket- und Incident-Management-System nutzen möchte, um seine Investitionen zu schützen, wird IBM eine Anwendungsprogrammierschnittstelle (API) bereitstellen, die die individuell angepasste Integration mit externen Ticketsystemen erlaubt.
5.7.1
Leistungsumfang Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr wird IBM eine API bereitstellen, um die individuell angepasste Integration mit externen Ticketsystemen zu ermöglichen.
5.7.2
Verantwortlichkeiten des Kunden Der Kunde wird
5.8
a.
die Verantwortung für alle zusätzlichen Gebühren im Zusammenhang mit der API für die Ticketintegration übernehmen;
b.
das API-Paket nutzen, um die Ticketintegration zu ermöglichen;
c.
die Verantwortung für alle technischen und entwicklungsspezifischen Probleme im Zusammenhang mit der Ticketintegration übernehmen; und
d.
bestätigen, dass IBM keine Unterstützung oder Beratung für die Integration des Ticketsystems des Kunden bereitstellen wird.
Optionaler Out-of-Band-Zugriff für das Protokollmanagement Der Out-of-Band-Zugriff für das Protokollmanagement ist eine optionale Servicekomponente für Managed Network Security Services. Er unterstützt die SOCs, falls die Verbindung zu einem Agenten unterbrochen wird. Im Fall solcher Verbindungsprobleme kann sich der SOC-Analyst in das Out-of-Band-Gerät
Z126-5942-CH-2 04-2013
Seite 36 von 42
einwählen, um zu verifizieren, dass der Agent korrekt funktioniert, und versuchen, die Ursache des Ausfalls zu bestimmen, bevor das Problem an den Kunden eskaliert wird. 5.8.1
Leistungsumfang Auf Wunsch des Kunden und gegen Zahlung einer im Bestellschein angegebenen zusätzlichen Gebühr wird IBM die im Folgenden beschriebenen Leistungen erbringen, soweit zutreffend. IBM wird g.
den Kunden per Telefon und E-Mail dabei unterstützen, Dokumente des jeweiligen Herstellers zu finden, die eine genaue Beschreibung der Verfahren für die physische Installation und der Verkabelung enthalten;
h.
das Out-of-Band-Gerät für den Zugriff auf die Managed Agents konfigurieren; oder
i.
mit dem Kunden zusammenarbeiten, um eine von IBM genehmigte vorhandene Out-of-BandLösung zu nutzen.
Anmerkung: Zum Zweck der Klarstellung wird darauf hingewiesen, dass IBM auf den erforderlichen Outof-Band-Zugriff verzichten kann, falls die interne Sicherheitsrichtlinie des Kunden die Verwendung eines Out-of-Band-Geräts verbietet. Dies kann jedoch die Fähigkeit von IBM zur effektiven Erbringung der Services deutlich beeinträchtigen. Beendigung der Leistungen: Die IBM Verpflichtungen im Rahmen dieser Aktivität sind erfüllt, wenn eine der folgenden Bedingungen zuerst eintritt: ●
IBM hat das Out-of-Band-Gerät für den Zugriff auf den Managed Agent konfiguriert; oder
●
IBM hat sich auf Wunsch des Kunden damit einverstanden erklärt, auf den erforderlichen Out-ofBand-Zugriff zu verzichten.
Zu liefernde Materialien: ● 5.8.2
Keine
Verantwortlichkeiten des Kunden Diese Aktivität erfordert keine weiteren Verantwortlichkeiten des Kunden.
6.
Service-Level-Agreements IBM Service-Level-Agreements (SLAs) legen Reaktionszeiten und Gegenmassnahmen bei bestimmten Ereignissen, die sich aus den Services ergeben, fest. Die SLAs werden wirksam, wenn der Implementierungsprozess abgeschlossen ist und die Unterstützung und das Management des Agenten erfolgreich an die SOCs übertragen wurden. SLA-Gutschriften sind unter der Voraussetzung verfügbar, dass der Kunde seine in dieser Leistungsbeschreibung und allen zugehörigen Vertragsdokumenten definierten Verpflichtungen erfüllt.
6.1
SLA-Verfügbarkeit Die im Folgenden beschriebenen SLA-Standardwerte beinhalten die erfassten Kennzahlen für die Erbringung der Services. Sofern nicht nachstehend ausdrücklich anders angegeben, gelten keinerlei Gewährleistungen für die im Rahmen dieser Leistungsbeschreibung erbrachten Services. Der einzige Anspruch des Kunden auf Kompensation bei Nichteinhaltung der vereinbarten SLA-Standardwerte ist im Abschnitt „SLA-Gutschriften“ dieser Leistungsbeschreibung angegeben. a.
Alarmbenachrichtigung bei Sicherheitsverstössen – Hat der Kunde die Alarmbenachrichtigung des X-Force Protection System im Portal konfiguriert und wurde ein Alarm erzeugt, wird IBM dem benannten Ansprechpartner für die Services eine stündliche Benachrichtigung per E-Mail zusenden, in der Alarmbenachrichtigungen des X-Force Protection System zusammengefasst sind. Dieses SLA gilt nur für das erste Senden der Alarmbenachrichtigung des X-Force Protection System, nicht für die bestätigte Übermittlung an den/die Endempfänger. Zum Zweck der Klarstellung wird darauf hingewiesen, dass nur dann eine E-Mail-Benachrichtigung gesendet wird, wenn ein Alarm während der vorhergehenden Stunde erzeugt wurde.
b.
Erkennung von Sicherheitsverstössen – IBM wird alle Ereignisse, bei denen es sich nach Ermessen von IBM um Sicherheitsverstösse der Priorität 1, 2 und 3 handelt, identifizieren, basierend auf den von den IDPS-Agenten an die SOCs übermittelten Ereignisdaten (soweit zutreffend).
Z126-5942-CH-2 04-2013
Seite 37 von 42
(1)
Sicherheitsverstösse der Priorität 1: Ereignisse mit hohem Risiko, die gravierenden Schaden an den Systemen oder Umgebungen des Kunden anrichten können und umgehende Gegenmassnahmen erfordern. Beispiele von Sicherheitsverstössen der Priorität 1 sind Gefährdungen von Systemen oder Daten, Wurminfektionen bzw. die Verbreitung von Würmern und massive Denial-of-Service-Attacken.
(2)
Sicherheitsverstösse der Priorität 2: Ereignisse mit geringerem Risiko, die sich auf die Systeme oder Umgebungen des Kunden auswirken können und Massnahmen innerhalb von 12 bis 24 Stunden nach ihrer Meldung erfordern. Beispiele von Sicherheitsverstössen der Priorität 2 sind unbefugte lokale Suchaktivitäten und gezielte Angriffe auf bestimmte Server oder Workstations.
(3)
Sicherheitsverstösse der Priorität 3: Ereignisse mit geringem Risiko, die sich auf die Systeme oder Umgebungen des Kunden auswirken können. Diese Kategorie umfasst Aktivitäten in einem Netzwerk oder auf einem Server, die innerhalb von ein bis sieben Tagen näher untersucht werden sollten, aber möglicherweise keine unmittelbaren Massnahmen erfordern. Zu dieser Kategorie gehören die Erkennungssuche, Scripts zur Informationsbeschaffung und weitere Ausspähungsversuche.
Anmerkung: Ob ein Sicherheitsereignis als Sicherheitsverstoss gewertet wird, liegt im alleinigen Ermessen von IBM. c.
Benachrichtigung bei Sicherheitsverstössen (es sei denn, die Firewall Management Services oder SWG Management Services sind Bestandteil des Servicevertrags) – IBM wird die Benachrichtigung bei Sicherheitsverstössen innerhalb der ausgewählten Frist für die Reaktion auf Sicherheitsverstösse initiieren. Der autorisierte Ansprechpartner des Kunden für die Sicherheit oder der benannte Ansprechpartner für die Services wird bei Sicherheitsverstössen der Priorität 1 per Telefon und bei Sicherheitsverstössen der Priorität 2 und 3 per E-Mail benachrichtigt. Bei einem Sicherheitsverstoss der Priorität 1 wird IBM so lange versuchen, den autorisierten Ansprechpartner für die Sicherheit oder den benannten Ansprechpartner für die Services zu kontaktieren, bis IBM den Ansprechpartner erreicht hat oder keiner der genannten Ansprechpartner mehr übrig ist, der kontaktiert werden könnte. Betriebsaktivitäten im Zusammenhang mit Sicherheitsverstössen und daraufhin eingeleiteten Massnahmen werden im IBM Trouble-Ticket-System dokumentiert und mit einer Zeitmarke versehen. Diese Dokumentation und Zeitmarke werden als alleinige massgebliche Informationsquelle zu Zwecken dieses SLA verwendet. Das anwendbare SLA für die Reaktion auf Sicherheitsverstösse basiert auf den im Bestellschein angegebenen Optionen.
d.
Bestätigung der Anforderung einer Richtlinienänderung – Wenn zutreffend, wird IBM den Erhalt einer vom Kunden übermittelten Anforderung einer Richtlinienänderung innerhalb der im Bestellschein angegebenen Frist für die Bestätigung der Anforderung einer Richtlinienänderung bestätigen. Dieses SLA ist nur für Anforderungen einer Richtlinienänderung verfügbar, die durch einen autorisierten Ansprechpartner für die Sicherheit oder einen benannten Ansprechpartner für die Services gemäss den im Portal dokumentierten Verfahren eingereicht wurden.
e.
Implementierung einer angeforderten Richtlinienänderung – Wenn zutreffend, wird IBM eine vom Kunden angeforderte Richtlinienänderung innerhalb der ausgewählten und im Bestellschein angegebenen Implementierungszeit implementieren, es sei denn, die Anforderung wurde in den Status „hold“ versetzt, da die vom Kunden bereitgestellten Informationen für die Implementierung der angeforderten Richtlinienänderung nicht ausreichen. Dieses SLA ist nur für Anforderungen einer Richtlinienänderung verfügbar, die durch einen autorisierten Ansprechpartner für die Sicherheit oder einen benannten Ansprechpartner für die Services gemäss den im Portal dokumentierten Verfahren eingereicht wurden. Es gilt nicht für Anforderungen einer Richtlinienänderung, die die monatlich zulässige Zahl übersteigen. Das anwendbare SLA für die Implementierung einer angeforderten Richtlinienänderung basiert auf den im Bestellschein angegebenen Optionen für die Implementierungszeit.
f.
Proaktive Systemüberwachung – IBM wird den Kunden innerhalb der angegebenen Reaktionszeit benachrichtigen, nachdem IBM festgestellt hat, dass der Agent des Kunden über In-BandStandardverbindungen nicht erreichbar ist. Das anwendbare SLA für die Reaktionszeit basiert auf den im Bestellschein angegebenen Optionen für die Reaktionszeit.
Z126-5942-CH-2 04-2013
Seite 38 von 42
g.
Proaktives Update von Sicherheitsinhalten – Wenn zutreffend, wird IBM innerhalb der im Bestellschein angegebenen Frist mit dem Einspielen neuer Updates von Sicherheitsinhalten oder Geräten beginnen, nachdem die folgenden Bedingungen nacheinander eingetreten sind: (1)
Das Update wurde vom jeweiligen Hersteller veröffentlicht und allgemein verfügbar gemacht;
(2)
IBM hat einen Testzeitraum erfolgreich mit positiven Ergebnissen abgeschlossen; und
(3)
eine Bestätigung (sofern erforderlich) des Kunden ist eingegangen, mit der der Kunde zustimmt, das Update innerhalb der im Bestellschein angegebenen Frist einzuspielen, es sei denn, beide Parteien vereinbaren, das Update zu einem späteren Zeitpunkt einzuspielen. Das vereinbarte Update wird in Übereinstimmung mit den vom Kunden angegebenen Anforderungen bezüglich eines Änderungszeitfensters eingespielt und erfordert möglicherweise eine Bestätigung, bevor es eingespielt wird. Das anwendbare SLA für Updates von Agenten basiert auf den im Bestellschein angegebenen Optionen für die Frist zum Einspielen von Updates für Agenten.
Nachfolgend genannte Service-Level-Ziele werden lediglich angestrebt. Im Falle des Nichterreichens dieser Service-Level-Ziele wird IBM in Abstimmung mit dem Kunden Massnahmen zur Verbesserung der Verfügbarkeit der Services bzw. der Erreichbarkeit des Portals einleiten. Ein Anspruch auf Erteilung einer Service-Level-Gutschrift besteht nicht.
6.2
h.
Verfügbarkeit der Services – IBM wird eine angestrebte Serviceverfügbarkeit von 100 % für die SOCs bieten.
i.
Verfügbarkeit des Portals – IBM wird eine angestrebte Erreichbarkeit des Portals von 99,9 % ausserhalb der im Abschnitt „Geplante und im Notfall durchgeführte Portalwartung“ in den Allgemeinen Bedingungen für IBM Managed Security Services angegebenen Zeiten bieten.
SLA-Gutschriften a.
b.
Service-Level-Gutschrift bei Nichteinhaltung des SLAs für die Erkennung von Sicherheitsverstössen – Falls IBM dieses SLA in einem bestimmten Kalendermonat nicht einhält, wird eine Service-LevelGutschrift erteilt, wie nachfolgend angegeben. (1)
Sicherheitsverstösse der Priorität 1: Wird ein Sicherheitsereignis nicht als Sicherheitsverstoss erkannt, erhält der Kunde eine Gutschrift in Höhe der Servicegebühr für einen Monat für den ersten Agenten, der das Ereignis gemeldet hat.
(2)
Sicherheitsverstösse der Priorität 2: Wird ein Sicherheitsereignis nicht als Sicherheitsverstoss erkannt, erhält der Kunde eine Gutschrift in Höhe der anteiligen Servicegebühr für eine Woche für den ersten Agenten, der das Ereignis gemeldet hat.
(3)
Sicherheitsverstösse der Priorität 3: Wird ein Sicherheitsereignis nicht als Sicherheitsverstoss erkannt, erhält der Kunde eine Gutschrift in Höhe der anteiligen Servicegebühr für einen Tag für den ersten Agenten, der das Ereignis gemeldet hat.
Service-Level-Gutschriften bei Nichteinhaltung folgender SLAs: Alarmbenachrichtigung bei Sicherheitsverstössen, Bestätigung der Anforderung einer Richtlinienänderung, Implementierung einer angeforderten Richtlinienänderung, proaktive Systemüberwachung, proaktives Update von Sicherheitsinhalten – Falls IBM eines dieser SLAs nicht einhält, wird IBM dem Kunden eine ServiceLevel-Gutschrift in Höhe von 1/30 der monatlichen Überwachungsgebühr für den betroffenen Agenten und, sofern zutreffend, für die Plattform, bei dem/der das jeweilige SLA nicht erfüllt wurde, als pauschalierten Schadensersatz gutschreiben. Mit Zahlung bzw. Verrechnung der Service-LevelGutschrift sind alle Ansprüche aus der Nichteinhaltung vereinbarter SLAs abschliessend abgegolten.
Zusammenfassung der SLAs und SLA-Gutschriften Service-Level-Agreements
SLA-Gutschriften
Erkennung von Sicherheitsverstössen
Gutschrift in Höhe der (anteiligen) Servicegebühr für einen Monat, eine Woche oder einen Tag für den ersten Agenten, der das Ereignis gemeldet hat, wie oben angegeben
Implementierung einer angeforderten
Gutschrift auf der Basis der monatlichen Gebühr für die
Z126-5942-CH-2 04-2013
Seite 39 von 42
Richtlinienänderung
Implementierung einer Richtlinienänderung, bei der das geltende SLA nicht erfüllt wurde
Bestätigung der Anforderung einer Richtlinienänderung Alarmbenachrichtigung bei Sicherheitsverstössen Benachrichtigung bei Sicherheitsverstössen
Service-Level-Gutschrift, 1/30 der monatlichen Gebühr für den betroffenen Agenten
Proaktive Systemüberwachung Proaktives Update von Sicherheitsinhalten
6.3
Änderung der SLAs im Simulationsmodus Der Kunde hat die Möglichkeit, die IBM Security Network Intrusion Prevention System Appliance im Simulationsmodus auszuführen, um die virtuelle Blockierung anzuzeigen und Angriffe abzuwehren. Wenn eine Appliance im Simulationsmodus ausgeführt wird, kann der Kunde eine vollständige Liste der für sein Netzwerk spezifischen simulierten abgewehrten Angriffe über das Portal anzeigen. Der Kunde kann den Simulationsmodus jederzeit mittels einer der folgenden Methoden aktivieren und deaktivieren: a.
Vor der Implementierung – Anforderung einer Richtlinienänderung (schriftlich oder per E-Mail) beim zuständigen IBM Spezialisten für die Implementierung;
b.
Nach der Implementierung – Anforderung des Beginns oder Endes des Simulationsmodus über ein Serviceticket oder eine Anforderung einer Richtlinienänderung innerhalb des Portals.
Während des Simulationsmodus werden alle aktiven Blockierfunktionen deaktiviert, wodurch die aktive Blockierung durch das Gerät unterbunden wird, und das SLA für die Verhinderung von Sicherheitsverstössen, das im Abschnitt „SLA-Verfügbarkeit“ dieser Leistungsbeschreibung beschrieben ist, verliert seine Gültigkeit. Alle weiteren SLAs und Gutschriftenregelungen bleiben in Kraft und sind der einzige Anspruch des Kunden auf Entschädigung bei Nichteinhaltung der geltenden SLAs, wie unten beschrieben, vorausgesetzt, dass keine Gutschrift für das SLA zur Verhinderung von Sicherheitsverstössen erteilt wird, wie oben angegeben. Zusammenfassung der SLAs und SLA-Gutschriften im Simulationsmodus Service-Level-Agreements Einleitung einer Gegenmassnahme bei unbefugtem Zugriff
Service-Level-Gutschrift in Höhe der monatlichen Überwachungsgebühr für einen Monat für den betroffenen Agenten
Erkennung von Sicherheitsverstössen
Gutschrift in Höhe der (anteiligen) Servicegebühr für einen Monat, eine Woche oder einen Tag für den ersten Agenten, der das Ereignis gemeldet hat, wie oben angegeben
Alarmbenachrichtigung bei Sicherheitsverstössen Benachrichtigung bei Sicherheitsverstössen
6.4
SLA-Gutschriften
Service-Level-Gutschrift, 1/30 der monatlichen Überwachungsgebühr für den betroffenen Agenten
Intellectual Property Services Components IPSC-Definition Intellectual Property Services Components („IPSCs“) sind vorbestehende proprietäre Schriftwerke von IBM oder Dritten oder andere Schriftwerke (wie z. B. Programme, Programmlisten, Programmiertools, Dokumentation, Berichte, Zeichnungen und vergleichbare Werke), die IBM dem Kunden lizenziert oder
Z126-5942-CH-2 04-2013
Seite 40 von 42
die IBM bei der Bereitstellung von Services verwenden kann. IPSCs sind keine Produkte oder Materialien gemäss der Definition dieser Begriffe in der IBM Rahmenvereinbarung. Ansonsten gelten für IPSCs die Bedingungen der IBM Rahmenvereinbarung. Die Ziffer „Haftung“ wird für IPSCs allerdings so ausgelegt, als wäre eine IPSC ein „Produkt“. Dies gilt nur im Zusammenhang mit dieser Ziffer ohne Verweis auf andere Ziffern. IBM oder Dritte verfügen über sämtliche Eigentums- und Nutzungsrechte (einschliesslich des Urheberrechts) an den IPSCs. Die IPSCs werden lediglich lizenziert, nicht verkauft. Soweit keine anders lautenden gesetzlichen Regelungen unabdingbar vorgesehen sind, stellt IBM die IPSCs ohne Schadensersatz oder Gewährleistungen zur Verfügung. IPSC-Lizenzerteilung In Übereinstimmung mit den nachstehend genannten IPSC-Sonderbedingungen erteilt IBM dem Kunden ein widerrufliches, nicht ausschliessliches, abgegoltenes Recht, die folgende IPSC ausschliesslich innerhalb seines Unternehmens zu nutzen: ●
Universal Log Agent
IPSC-Sonderbedingungen a.
IBM kann diese Lizenz kündigen, wenn der Kunde gegen eine der Bedingungen dieser Leistungsbeschreibung verstösst.
b.
Der Kunde verpflichtet sich, nach Ablauf oder Kündigung dieser Lizenz den Universal Log Agent nicht weiter zu nutzen, alle Kopien davon zu vernichten und IBM Belege für die Vernichtung bereitzustellen.
Mit Erhalt des Universal Log Agent erklärt sich der Kunde mit den folgenden Nutzungsbedingungen einverstanden: Während der Laufzeit der IBM Managed Security Services gewährt IBM dem Kunden ein begrenztes, nicht ausschliessliches, nicht übertragbares Recht, den Universal Log Agent ausschliesslich in seinem Unternehmen zu nutzen. Soweit nicht hierin anders angegeben, gelten die Bedingungen des Vertrags über Managed Security Services zwischen dem Kunden und IBM für die Bereitstellung jedes Universal Log Agent durch IBM und dessen Nutzung durch den Kunden. Das Eigentum oder Eigentumsrecht am Universal Log Agent geht nicht an den Kunden über. Die Rechte des Kunden unterliegen zu jeder Zeit dem Urheberrecht und weiteren gewerblichen Schutzrechten von IBM. Sämtliche Rechte und Eigentumsrechte an dem Universal Log Agent und an allen davon abgeleiteten Werken verbleiben bei IBM. Der Universal Log Agent wird „as is“, ohne jegliche Gewährleistung oder Haftung, sei sie ausdrücklich oder stillschweigend, bereitgestellt, einschliesslich der Gewährleistung für die Handelsüblichkeit, die Verwendbarkeit für einen bestimmten Zweck und die Nichtverletzung von Eigentums- und Schutzrechten. Der Universal Log Agent darf nicht 1) verwendet, kopiert, modifiziert oder verteilt werden, sofern nicht ausdrücklich hierin angegeben, 2) umgewandelt (reverse assembled, reverse compiled) oder anderweitig umgesetzt werden, sofern nicht ausdrücklich laut Gesetz zulässig, 3) in Unterlizenz vergeben, vermietet oder verleast werden oder 4) zu gewerblichen Zwecken, darunter zur gewerblichen Forschung, Beratung oder Führung eines Unternehmens, verwendet werden. Der Kunde darf keine abgeleiteten Werke auf der Basis des Universal Log Agent erstellen und keinerlei Hinweise entfernen, die im Universal Log Agent enthalten sind. Der Kunde darf den Universal Log Agent nicht für den Entwurf, die Entwicklung oder den Test von Softwareanwendungen zu gewerblichen Zwecken verwenden. Der Kunde darf anderen nicht erlauben, seine Kennwörter für den Zugriff auf nicht allgemein zugängliche IBM Websites oder für die Nutzung des Universal Log Agent zu jeglichen Zwecken zu verwenden. Der Universal Log Agent wird von IBM als vertrauliche Information eingestuft, und der Kunde wird solche vertraulichen Informationen (nachfolgend „Informationen“ genannt) sicher und vertraulich behandeln. Der Kunde wird zur Vermeidung einer Offenlegung der Informationen dieselbe Sorgfalt und Verschwiegenheit anwenden wie bei eigenen vertraulichen Informationen, deren Offenlegung er nicht wünscht. Während der Laufzeit der Services darf der Kunde die Informationen nur gegenüber (1) eigenen Mitarbeitern, die Kenntnis davon haben sollten, und (2) sonstigen Dritten mit vorheriger schriftlicher Zustimmung von IBM offenlegen. Vor einer solchen Offenlegung der Informationen muss der Kunde eine entsprechende schriftliche Vereinbarung mit seinen Mitarbeitern und sonstigen Dritten, die zum Erhalt solcher Informationen berechtigt sind, treffen, mit der sich diese zur vertraulichen Behandlung der Informationen gemäss diesen Nutzungsbedingungen verpflichten. Der Kunde darf solche Informationen nur zu dem Zweck, zu dem sie offengelegt wurden, oder auf andere Weise zum Vorteil von IBM nutzen. Die Verpflichtung des Kunden zur Vertraulichkeit bezüglich des Universal Log Agent oder darin enthaltener Z126-5942-CH-2 04-2013
Seite 41 von 42
Informationen im Sinne dieser Nutzungsbedingungen gilt nicht, wenn der Universal Log Agent oder darin enthaltene Informationen (1) öffentlich zugänglich sind oder ohne Verschulden des Kunden öffentlich zugänglich werden oder (2) unabhängig vom Kunden entwickelt werden.
Z126-5942-CH-2 04-2013
Seite 42 von 42
