Описание и условия предоставления услуг «UserGate ProfServices». Приложение № 1.CRS.4.
Версия 240621
Последнее обновление: 21 июня 2024 г.
Вступление в силу: 1 июля 2024 г.
1. Общая информация и описание Услуг
1.1. В рамках оказания Услуг Заказчику предоставляется возможность настройки и поддержки сервиса средств межсетевого экранирования в Облаке Cloud.ru.
1.2. В состав Услуг включаются:
Сервис по подключению средств межсетевого экранирования (базовая настройка межсетевых экранов);
Сервис по поддержке средств межсетевого экранирования.
1.3. Услуги предоставляются Заказчику Исполнителем совместно с партнером ООО «Ангара ассистанс» (далее – Партнер).
2. Порядок доступа к Услугам
2.1. Для оказания Услуг Заказчик направляет соответствующий запрос на ее оказание Исполнителю. Исполнитель после получения запроса уточняет состав оказываемой Услуги. По результатам рассмотрения запроса Исполнитель информирует Заказчика о готовности оказать Услуги, либо направляет свои уточняющие вопросы, которые рассматриваются Заказчиком. В случае, если Заказчик не согласен с изменениями, процедура согласования запроса повторяется.
2.2. Если по результатам рассмотрения запроса Стороны согласовали готовность Исполнителя оказать Услуги Заказчику, то Стороны подписывают соответствующую заявку, по форме, предусмотренной в Приложении № 1.CRS.4.А. к Договору.
2.3. Для оказания Услуг Заказчику необходимо подписать авторизационное письмо, по форме, изложенной в Приложении № 1.CRS.4.С. к Договору, в соответствии с которым Заказчик дает свое согласие на проведение работ на своем оборудовании и/или в своей виртуальной инфраструктуре.
2.4. Порядок предоставления доступа к оборудованию и/или виртуальной инфраструктуре Заказчика регламентируется внутренними нормативными документами Заказчика, передача учетных записей Заказчиком производится в соответствии с внутренними нормативными документами Заказчика по кибербезопасности.
2.5. Заказчик обязуется обеспечить возможность контакта Исполнителя с теми сотрудниками Заказчика, которые могут потребоваться Исполнителю при выполнении своих обязательств по Договору. Такой персонал Заказчика должен обладать достаточной квалификацией, соответствующими навыками и опытом. Если кто-либо из сотрудников Заказчика не будет соответствовать указанным требованиям на необходимом уровне, Заказчик предоставит подходящую замену или дополнительных сотрудников
2.6. Исполнитель вправе не приступать к оказанию Услуг, а начатые Услуги приостановить в случаях, когда нарушение Заказчиком своих обязанностей по предоставлению исходных данных и доступов и/или по соответствующей Заявке препятствует исполнению Договора Исполнителем, а также при наличии обстоятельств, очевидно свидетельствующих о том, что исполнение указанных обязанностей не будет произведено в установленный срок.
2.7. Заказчик вправе отказаться от Услуг, оформленных по соответствующей Заявке. Отказ от Услуг осуществляется на основании Заявки на отказ от Услуг по форме Приложения № 1.CRS.4.B. к Договору.
3. Состав, условия и порядок оказания Услуг
3.1. Сервис по подключению средств межсетевого экранирования (базовая настройка межсетевых экранов).
3.1.1. Сервис включает в себя работы по базовой настройке межсетевых экранов и созданию платформы для конкретизации правил межсетевой безопасности на используемом оборудовании межсетевого экранирования. На данном этапе Исполнитель:
выполняет развертывание виртуальной машины из шаблона с эталонным образом операционной системы UserGateOS 6.x, 7.x и выше на вычислительных мощностях Заказчика;
подготавливает экземпляр средств межсетевого экранирования к первичной установке, настройка сетевых интерфейсов согласно адресному плану, предоставленным Заказчиком;
проводит первичную установку системы UserGateOS, настройка экземпляра средства межсетевого экранирования согласно конфигурации, предъявленной Заказчиком;
активирует лицензий;
передает реквизиты доступа к экземпляру средства межсетевого экранирования Заказчику.
3.1.2. Базовая настройка межсетевых экранов включает в себя первичную настройку сетевых интерфейсов и правил необходимых для корректной работы средств межсетевого экранирования, включает в себя:
настройку сетевого интерфейса для администрирования;
проектирование сетевых зон контроля (trusted,dmz);
подключение по веб-интерфейсу и настройка учетной записи администратора;
настройку сетевых интерфейсов/шлюза по умолчанию/ntp-сервер (при наличии);
активацию лицензии;
настройку правил межсетевого экрана (nat и маршрутизация) по принципу allow or deny;
настройку профилей администраторов UG.
3.1.3. В рамках базовой настройки средств межсетевого экранирования оказываются следующие пакеты Услуг:
| 1. | Развертывание 1 ВМ UserGate, настройка до 10 сетевых портов, до 20 правил ACL, до 20 правил NAT |
| 2. | Развертывание 2 ВМ UserGate в кластерной конфигурации, настройка до 15 сетевых портов, до 30 правил NAT, до 30 правил ACL и до 3-х модулей (Advanced Threat Protection, Stream Antivirus, Mail Security) |
| 3. | Развертывание 2 ВМ UserGate в кластерной конфигурации, настройка до 20 сетевых портов, до 40 правил NAT, до 50 правил ACL и до 5-х модулей (Advanced Threat Protection, Stream Antivirus, Mail Security, Management Center, Log Analyzer) |
| 4. | Развертывание 2 ВМ UserGate в кластерной конфигурации, настройка до 20 сетевых портов, до 100 правил NAT, до 100 правил ACL и до 5-х модулей (Advanced Threat Protection, Stream Antivirus, Mail Security, Management Center, Log Analyzer) |
| 5. | Развертывание 2 ВМ UserGate в кластерной конфигурации, настройка до 20 сетевых портов, до 200 правил NAT, до 200 правил ACL и до 5-х модулей (Advanced Threat Protection, Stream Antivirus, Mail Security, Management Center, Log Analyzer) |
| 6. | Развертывание 2 ВМ UserGate в кластерной конфигурации, настройка до 20 сетевых портов, до 300 правил NAT, до 300 правил ACL и до 5-х модулей (Advanced Threat Protection, Stream Antivirus, Mail Security, Management Center, Log Analyzer) |
| 7. | Развертывание 2 ВМ UserGate в кластерной конфигурации, настройка до 20 сетевых портов, до 400 правил NAT, до 400 правил ACL и до 5-х модулей (Advanced Threat Protection, Stream Antivirus, Mail Security, Management Center, Log Analyzer) |
| 8. | Развертывание 2 ВМ UserGate в кластерной конфигурации, настройка до 20 сетевых портов, до 500 правил NAT, до 500 правил ACL и до 5-х модулей (Advanced Threat Protection, Stream Antivirus, Mail Security, Management Center, Log Analyzer) |
| 9. | Развертывание 2 ВМ UserGate в кластерной конфигурации, настройка до 20 сетевых портов, до 600 правил NAT, до 600 правил ACL и до 5-х модулей (Advanced Threat Protection, Stream Antivirus, Mail Security, Management Center, Log Analyzer) |
| 10. | Развертывание 2 ВМ UserGate в кластерной конфигурации, настройка до 20 сетевых портов, до 700 правил NAT, до 700 правил ACL и до 5-х модулей (Advanced Threat Protection, Stream Antivirus, Mail Security, Management Center, Log Analyzer) |
3.1.4. Развертывание средств межсетевого экранирования Исполнитель проводит на следующих Платформах:
ENT — система виртуализации на базе VMWare vCloud Director;
ADV — система виртуализации на базе HUAWEI FusionSphere.
3.1.5. Все необходимые средства, включающие оборудование, программное обеспечение и расходные материалы, а также лицензии, необходимые для оказания Услуг, должны быть предоставлены Заказчиком.
3.1.6. Базовая настройка межсетевых экранов осуществляется на технологической площадке Заказчика посредством удаленного доступа, предоставленного Заказчиком. Заказчик должен предоставить доступ Партнеру к консоли управления платформой виртуализации VMWare vCloud Director или HUAWEI FusionSphere для создания и настройки виртуальной машины c ПО UserGate, обеспечить доступ создания, изменения параметров виртуальной машины, к консоли виртуальной машины, возможность монтирования шаблонов ОС из библиотеки, назначения публичных IP-адресов из пула, доступного в тенанте Заказчика и обеспечить доступ для Партнера к виртуальной инфраструктуре из сети Интернет только к виртуальным машинам, на которых будут проводиться работы по настройке, остальные виртуальные машины, незадействованные в оказании Услуг должны быть скрыты политиками доступа.
3.2. Сервис по поддержке средств межсетевого экранирования.
3.2.1. Сервис оказывается после проведения базовой настройки средств межсетевого экранирования и направлен на администрирование уже введенных в эксплуатацию средств межсетевого экранирования. На данном этапе Исполнитель:
проводит маршрутизацию и фильтрация трафика;
осуществляет управление учетными записями пользователей;
предоставляет технологию анализа содержимого трафика;
предоставляет защиту от сетевых атак;
осуществляет публикацию ресурсов;
оказывает Построение виртуальных частных сетей;
осуществляет управление пропускной способностью каналов связи;
предоставляет мониторинг и реагирование;
направляет журналы и отчеты.
3.2.2. Исполнитель обеспечивает стационарную группу технической поддержки по администрированию средств межсетевого экранирования пользователей, а также по консультационной поддержке, в рамках приобретенных пользователями пакетов:
| 1. | Пакет «Base» (до 10-ти обращений в месяц) |
| 2. | Пакет «Standard» (до 50-ти обращений в месяц) |
| 3. | Пакет «Standard +» (до 100 обращений в месяц) |
| 4. | Пакет «Pro» (до 200 обращений в месяц) |
| 5. | Пакет «Pro +» (до 300 обращений в месяц) |
3.2.3. Описание перечня Услуг, входящих в пакеты по поддержке приведено в Табл.1:
| № п/п | Base | Standard и Standard + | Pro и Pro + | |
|---|---|---|---|---|
| Маршрутизация и фильтрация трафика | ||||
| 1. | Настройка DNAT для удаленного администрирования UG и доступа к внутренним сервисам, публикуемым наружу | • | • | • |
| 2. | Настройка подключения к нескольким провайдерам | • | • | • |
| 3. | Настройка виртуального маршрутизатора/policy-based routing/nat | • | • | • |
| 4. | Настройка защиты от спуфинга | • | • | • |
| Управление учетными записями пользователей | ||||
| 5. | Настройка правил фильтрации контента | • | • | • |
| 6. | Настройка серверов и профилей авторизации пользователей для доступа в интернет | • | • | • |
| 7. | Настройка прокси-сервера | • | • | |
| 8. | Настройка контроля приложений (белые/черные списки) | • | • | |
| 9. | Настройка профилей инспекции SSL/TLS/SSH трафика (расшифровка зашифрованного трафика для анализа на предмет безопасности) | • | • | |
| 10. | Настройка разграничения доступа к web-ресурсам | • | • | |
| Технология анализа содержимого трафика | ||||
| 11. | Настройка системы обнаружения атак (СОВ) | |||
| 12. | Настройка защиты от DOS-атак | • | ||
| Защита от сетевых атак | ||||
| 13. | Настройка правил публикации HTTPS ресурсов с помощью reverse-прокси | • | ||
| 14. | Настройка правил защиты почтового трафика | • | ||
| 15. | Настройка балансировщика нагрузки | • | ||
| Публикация ресурсов | ||||
| 16. | На основе средства межсетевого экранирования возможна безопасная публикация ресурсов и сервисов корпоративного портала и различных внутренних систем, таких как CRM, ERP, а также для обеспечения доступа к определенным файлам, находящимся на внутренних серверах | • | ||
| 17. | Настройка правил VPN | • | ||
| Управление пропускной способностью каналов связи | ||||
| 18. | Интернет-шлюз для контроля доступа в Интернет на основе средства межсетевого экранирования обеспечивает контроль работы веб-приложений и доступа в интернет с помощью создания правил, основанных на персонализированной политике, что обеспечивает разноуровневый доступ к сетевым ресурсам и позволяет распределять ширину канала между различными приложениями и сервисами | • | ||
| 19. | Настройка правил пропускной способности каналов QoS (quality of service) | • | ||
| Мониторинг и реагирование | ||||
| 20. | Мониторинг и реагирование на возникающие события (инциденты). | • | ||
| Журналы и отчеты | ||||
| 21. | Ведение журналов и формирование отчетов | • | ||
3.3. Поддержка средств межсетевого экранирования осуществляется на технологической площадке Заказчика посредством удаленного доступа, предоставленного Заказчиком. Заказчик должен предоставить доступ Партнеру к консоли управления платформой виртуализации VMWare vCloud Director или HUAWEI FusionSphere для оказания услуг по технической поддержке виртуальной машины c ПО UserGate, обеспечить доступ создания, изменения параметров виртуальной машины, к консоли виртуальной машины, возможность монтирования шаблонов ОС из библиотеки, назначения публичных ip адресов из пула, доступного в тенанте Заказчика и обеспечить доступ для Партнера к виртуальной инфраструктуре из сети Интернет только к виртуальным машинам, на которых будут проводиться работы по технической поддержке, остальные виртуальные машины, незадействованные в оказании услуг должны быть скрыты политиками доступа.
3.4. Если виртуальная машина с ПО UserGate была ранее запущена силами Заказчика, Заказчик должен предоставить Исполнителю учетную запись административного уровня доступа в ОС UserGate для оказания услуг по технической поддержке.
3.5. Заказчику будут передаваться на ежемесячной основе отчеты по результатам оказанных Услуг и журнал регистрации заявок в электронном формате по электронной почте. Данные для направления отчетов и журнала предоставляются Заказчиком.
3.6. Мотивированный отказ должен содержать в себе сведения о несоответствии оказанных Услуг утвержденным планом.
3.7. В случае мотивированного отказа от приемки оказанных Услуг Заказчиком, Стороны в течение 5 (Пяти) календарных дней определяют условия необходимых доработок, порядок и срок их выполнения. С этой целью Стороны составляют протокол с замечаниями и перечнем необходимых доработок и сроков выполнения доработок и поправок.
3.8. При достижении согласия Сторон о порядке и содержании поправок и доработок Исполнитель обязуется в согласованные протоколом сроки оказать необходимые услуги, внести требуемые исправления и повторно предоставить Заказчику полученный результат и Акт об оказании Услуг без дополнительной оплаты со стороны Заказчика.
4. Тарификация Услуги
4.1. Стоимость Сервиса по подключению средств межсетевого экранирования (базовая настройка межсетевых экранов) определяется в зависимости от выбранной Заказчиком конфигурации Услуги. Данная Услуга является разовой.
4.2. Размер фиксированной платы за Сервис по поддержке средств межсетевого экранирования определяется в зависимости от выбранного пакета. Услуга оплачивается ежемесячно.
4.3. Общий срок действия Услуг указывается в Заявке на оказание Услуг, срок оказания Услуг выбирается кратным одному календарному месяцу.
5. Иные условия, применимые к Услугам
5.1. Возможные виды подключения / изменения / отключения Услуг:
5.1.1. Посредством подписания Заказа.
5.2. Возможный порядок расчётов по Услугам:
5.2.1. Постоплата.
5.3. При настройке средств удаленного администрирования для Заказчика уровень безопасности удалённого доступа согласовывается с Заказчиком могут быть приняты специфические для отрасли или объекта требования.
5.4. Исполнитель несет риск случайной гибели или случайного повреждения имущества Заказчика (материалов, оборудования), используемого с целью оказания Услуг, если этот риск случайной гибели или случайного повреждения имущества наступил в результате действий Исполнителя.
5.5. Оказание Услуг не должно повлечь за собой утрату гарантийных обязательств со стороны производителя (поставщика). В случае, когда оказание Услуг может повлечь за собой утрату гарантийных обязательств, Исполнитель должен проинформировать о текущей ситуации специалистов организации, осуществляющей гарантийное обслуживание, проконсультироваться с ними и согласовать с Заказчиком варианты решения.