Roma Capitale - DC -ProgettodeiFabbisogni- DEF2€¦ · autorizzazione scritta delle citate...

Le informazioni contenute nel presente documento sono di proprietà di Leonardo Società per Azioni, IBM Società per Azioni, Sistemi Informativi srl, Fastweb Società per Azioni e non possono, al pari di tale documento, essere riprodotte, utilizzate o divulgate in tutto o in parte a terzi senza preventiva autorizzazione scritta delle citate aziende.

Company General Use

Identificativo: PRO_ITAL_170626/1712 Rev. 2.0

Data: 20/12/2017

err

Nome e Ruolo

Firma

Autore

Verifica

Progetto dei fabbisogni

Costituendo

Raggruppamento Temporaneo di Imprese

composto da:

Leonardo Divisione Sistemi per la Sicurezza e le

Informazioni SpA

IBM SpA

Sistemi Informativi srl

Fastweb SpA

PROCEDURA RISTRETTA PER L’AFFIDAMENTO DEI SERVIZI DI CLOUD COMPUTING, DI SICUREZZA, DI REALIZZAZIONE DI PORTALI E SERVIZI ON-LINE E DI COOPERAZIONE APPLICATIVA PER LE PUBBLICHE AMMINISTRAZIONI (ID SIGEF 1403) LOTTO 2

ROMA CAPITALE -

Servizi di

sicurezza per il

Data Center

DellAquilaF

Font monospazio

20-12-2017 LDO/SSI/P/0086621/17


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 2 of 32

Company General Use

Approvazione

Autorizzazione

Approvazioni Aggiuntive Azienda

Nome e Ruolo

Firma


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 3 of 32

Company General Use

Lista di Distribuzione

Rev. Data Destinatario Azienda

01 19/12/2017 Amministrazione contraente RTI

Registro delle Revisioni

Rev. Data Descrizione delle modifiche Autori

01 19/12/2017 Prima pubblicazione


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 4 of 32

Company General Use

Il Progetto dei fabbisogni si compone dei seguenti documenti:

Volume principale Documento nel quale si intende raccogliere e dettagliare le richieste dell’Amministrazione contraente contenute nel Piano dei Fabbisogni e formulare una proposta tecnico/economica secondo le modalità tecniche ed i listini previsti nel Contratto Quadro e nei relativi allegati.

Appendice A, Progetto di attuazione Per ciascun servizio richiesto dal Piano dei fabbisogni, l’appendice contiene i seguenti dettagli: identificativo del servizio; configurazione (ove applicabile); quantità; costi; indirizzo/i di dispiegamento (nel caso di servizi centralizzati si riporterà il solo indirizzo della sede centrale); data prevista di attivazione; impegno delle eventuali risorse professionali previste; descrizione della struttura funzionale ed organizzativa del centro servizi, completa dei nomi e dei ruoli delle figure responsabili per ciascuno dei servizi.

Appendice B, Piano di lavoro Appendice che contiene l’elenco delle attività/fasi previste con le relative date di inizio e fine. Tutte la fasi previste dal piano indicano gli obiettivi, i tempi necessari comprensivi delle date da garantire, i deliverables prodotti e le date di consegna.

Allegato 1, Modalità di presentazione e approvazione degli Stati di avanzamento mensili

Documento che definisce nei modi e nei tempi come sarà presentato lo stato di avanzamento dei Lavori (SAL).

Allegato2, Documento programmatico di gestione della sicurezza dell’Amministrazione

Da consegnarsi su richiesta dell’Amministrazione

Allegato 3, Piano della qualità Documento che descrive in maniera dettagliata gli obiettivi di qualità relativi al servizio erogato, mentre dà una descrizione sintetica dei processi di controllo della qualità.

= questo documento

Introduzione Introduzione Introduzione


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 5 of 32

Company General Use

SOMMARIO

INTRODUZIONE ................................................................................................................................................... 7 1

Ambito 7

Richieste dell’Amministrazione contraente ............................................................................................... 7

Riferimenti .......................................................................................................................................................... 9 2

2.1 Documenti Applicabili ....................................................................................................................... 9

2.2 Documenti di Riferimento ................................................................................................................. 9

Capitolo 2 Definizioni e acronimi ...............................................................................................................................10

Definizioni 10

Acronimi 11

Capitolo 3 Dati anagrafici amministrazione contraente .............................................................................................13

Capitolo 4 Proposta tecnico-economica .....................................................................................................................14

Vulnerability Assessment L2.S3.4 ............................................................................................................. 14

Vincoli e assunzioni del L2.S3.4 ................................................................................................................................. 14

Modalità di erogazione del L2.S3.4 ........................................................................................................................... 14

Attivazione del L2.S3.4 .............................................................................................................................................. 15

Deliverable del L2.S3.4 .............................................................................................................................................. 16

WAF01 - Web application firewall e Next Generation firewall L2.S3.7.................................................... 16

Sinossi 16

Baseline iniziale di policy .......................................................................................................................................... 17

Vincoli e assunzioni del Servizio L2.S3.7 – WAF01 .................................................................................................... 17

Modalità di erogazione del servizio. ......................................................................................................................... 18

Policy Management .................................................................................................................................................. 18

Componente tecnologica .......................................................................................................................................... 18

WAF02 - Web application firewall e Next Generation firewall ................................................................ 19

Obiettivi del Servizio L2.S3.7 WAF02 ........................................................................................................................ 19

Descrizione del Servizio L2.S3.7 ................................................................................................................................ 19

Vincoli e assunzioni del Servizio L2.S3.7 – WAF02 .................................................................................................... 21

Componenti del Servizio L2.S3.7 da installare presso l’Amministrazione contraente .............................................. 21

Modalità di erogazione del Servizio L2.S3.7 ............................................................................................................. 22

Quantità e prezzi del Servizio L2.S3.7 ....................................................................................................................... 22

Attivazione del Servizio L2.S3.7 ................................................................................................................................ 22

Servizi Professionali L2.S3.9 ..................................................................................................................... 22

Servizio Professionale: assessment di sicurezza dell’infrastruttura di monitoraggio (SP-00) .................................. 22

Servizio Professionale: Sicurezza Logica del Servizio DR (SP-01) .............................................................................. 23

Servizi di Privileged Account Management (SP-02) .................................................................................................. 24

Security Governance and Improvement (SP-03) ...................................................................................................... 26

Capitolo 5 Riservatezza ..............................................................................................................................................29


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 6 of 32

Company General Use

Appendice A Progetto di attuazione ....................................................................................................................30

A.1 Struttura organizzativa .................................................................................................................... 30

A.2 Specifiche di collaudo...................................................................................................................... 30

A.2.1 Fatturazione L2.S3.9 ..................................................................................................................................... 30

Appendice B Piano di lavoro ................................................................................................................................32

B.1 Attività dei servizi ............................................................................................................................ 32

LISTA DELLE TABELLE Tabella 1: Documenti applicabili. ........................................................................................................................................ 9 Tabella 2: Documenti di riferimento. .................................................................................................................................. 9 Tabella 3: Definizioni valide per il presente documento. ................................................................................................. 10 Tabella 4: Lista degli acronimi........................................................................................................................................... 11 Tabella 5: Dati anagrafici dell’Amministrazione contraente. ........................................................................................... 13 Tabella 6: Dati anagrafici del referente dell’Amministrazione contraente. ..................................................................... 13 Tabella 7: Finestre di servizio per L2.S3.7 ......................................................................................................................... 22 Tabella 8: Figure professionali. ......................................................................................................................................... 30 Tabella 9: Attività previste per i servizi richiesti ............................................................................................................... 32


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 7 of 32

Company General Use

INTRODUZIONE 1

Ambito

Nel dicembre 2013 CONSIP ha bandito una procedura ristretta, suddivisa in quattro lotti, per l’affidamento dei “servizi di Cloud Computing, di Sicurezza, di Realizzazione di Portali e Servizi on-line e di Cooperazione Applicativa per le Pubbliche Amministrazioni - (ID SIGEF 1403)” nota come Gara SPC Cloud. Il Lotto 2, inerente i Servizi di Identità Digitale e Sicurezza Applicativa, è stato assegnato al Raggruppamento la cui mandataria è Leonardo S.p.A. e le società mandanti sono IBM, Sistemi Informativi e Fastweb. La durata del contratto è di cinque anni. Nell’arco di tale periodo ogni Pubblica Amministrazione potrà acquisire i servizi offerti dalle “Convenzioni” tramite la stipula di “Contratti Esecutivi” dimensionati tecnicamente in un Piano dei fabbisogni prodotto in base alle proprie esigenze. Il presente documento costituisce il progetto dei fabbisogni che comprende l’insieme di servizi e di infrastrutture tecnologiche dedicate alla sicurezza dei sistemi informativi preposti al trattamento dei dati della Pubblica Amministrazione (PA), in conformità alle esigenze dell’Amministrazione stessa espresse attraverso il proprio piano di fabbisogni. Esso raccoglie e dettaglia le richieste del Comune di Roma (indicata nel documento come Amministrazione contraente) contenute nel proprio Piano dei fabbisogni [DA-5] e descritte sinteticamente in §Capitolo 0. Successivamente si formula una proposta tecnico/economica secondo le modalità tecniche ed i listini previsti nel Contratto Quadro “Servizi di gestione delle identità digitali e sicurezza applicativa” e nei relativi allegati.

Richieste dell’Amministrazione contraente

In questa sezione del Progetto dei fabbisogni l’RTI intende raccogliere e dettagliare le richieste dell’Amministrazione contraente espresse tramite la redazione del Piano dei fabbisogni [DA-5], contenente per ciascuna categoria di servizi indicazioni di tipo quantitativo che la stessa intende sottoscrivere.


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 8 of 32

Company General Use

Codice Descrizione Tipologia d'erogazione Valutazione economica Fasce Profilo Q.tà I Anno Q.tà II Anno Q.tà III Anno Q.tà IV Anno Q.tà V Anno

fino a 1000 identi tà ges ti te

da 1001 a 10.000 identi tà ges ti te

ol tre 10.000 identi tà gesti te

fino a 10.000 utenti ges ti ti

da 10.001 a 100.000 utenti ges ti ti

da 100.001 a 400.000 utenti gesti ti

ol tre 400.000 utenti ges ti ti

0 0 0 0


fino a 50 utenti

da 51 a 200 utenti

da 201 a 1.000 utenti

ol tre 1.000 utenti

fino a 1.000 timbrature

da 1.001 a 10.000 timbra ture

da 10.001 a 100.000 ti mbrature

oltre 100.000 timbrature

fino a 500 marche

da 500 a 1.000 ma rche

da 1.001 a 10.000 marche

da 10.001 a 100.000 marche

Certificato SSL OV

Certificato SSL OV wildcard

Certificato SSL DV

Certificato SSL EV

Certificato Code Signing

Certificato Client Auth

fino a 50 utenti

da 51 a 200 utenti

da 201 a 1.000 utenti

oltre 1.000 utenti


A corpo (costo per

appl icazione)

fino a 5 appl icazioni

da 6 a 10 appl icazioni

ol tre 10 appl icazioni

Appl icazioni non cri ti che che consentono

la vis ua l i zzazione di pa gine di

contenuto informa tivo (s i ti web s tati ci )

Appl ica zioni cos ti tui te da pi ù form (s i ti

web dinamici ) e con funziona l i tà di

autentica zione

Appl icazioni cri ti che con funzional i tà

comples s e e di tipo transa ziona le (ad

es empio pa ga menti )






autentica zione









autentica zione






ol tre 10 appl icazioni

n. 1 indiri zzo IP 1 1 1

da 2 a 15 indiri zzi IP 14 14 14

oltre 15 indiri zzi IP 239 239 239

fino a 500 endpoint

da 501 a 1.000 endpoint

ol tre 1.000 endpoint

fino a 25 nodi

da 26 a 50 nodi

ol tre 50 nodi

throughput fino a 50 Mbps

throughput fino a 200 Mbps 1 1 1

throughput fino a 500 Mbps 8 8 8

fino a 100 pdl i

da 101 a 1.000 pdl i

da 1.001 a 5.000 pdl i

ol tre 5.000 pdl i

Capo progetto 224 172 172

Securi ty archi tect 880 365 365

Special i s ta di tecnologia /prodotto

Senior250 120 120

Special i s ta di tecnologia /prodotto 460 380 380

Special i s ta di tecnologia /prodotto

Senior H24

Specia l i sta di tecnologia/prodotto H24

A consumo (cos to per

timbra tura )

SERVIZI DI FIRMA DIGITALE REMOTA E TIMBRO ELETTRONICO (L2.S2)

A canone (canone

annua le per nodo)

L2.S3.9 SERVIZI PROFESSIONALI On premis e A corpo (gg/uu)

L2.S3.7

WEB APPLICATION FIREWALL

MANAGEMENT E NEXT

GENERATION FIREWALL

MANAGEMENT

As a service A canone (a nnuale)

L2.S3.8 SECURE WEB GATEWAY As a service

A canone (canone

annua le per s ingola

pdl i )

L2.S3.6 DATABASE SECURITY

L2.S1.1

L2.S1.2IDENTITY & ACCESS

MANAGEMENT (i&AM)As a service

A canone (canone

annua le per utente)

IDENTITY PROVIDER As a serviceA canone (canone

annua le per identi tà)

Fi gura Profess ionale

As a service

L2.S3.5 DATA LOSS/LEAK PREVENTION As a serviceA canone (canone

a nnuale per endpoint)

As a service

As a service

A canone (canone

annua le per

appl icazione)



MARCA TEMPORALE As a service

TIMBRO ELETTRONICO As a serviceA consumo (cos to per

timbra tura )

L2.S3.4

SERVIZI DI SICUREZZA (L2.S3)

L2.S3.3MOBILE APPLICATION SECURITY

TESTING

A canone (canone

annua le per

appl icazione)

L2.S3.2DYNAMIC APPLICATION SECURITY

TESTING

oltre 10 appl icazioni

As a service

A canone (canone


L2.S2.2

SERVIZI PER LA GESTIONE DELLE IDENTITA' DIGITALI (L2.S1)

L2.S2.1 FIRMA DIGITALE REMOTA

A canone (canone

annua le per indiri zzo

IP)

As a service

VULNERABILITY ASSESSMENT

A canone (canone

annua le per

appl icazione)

STATIC APPLICATION SECURITY

TESTINGAs a serviceL2.S3.1

L2.S2.3

L2.S2.5FIRMA DIGITALE CON

SMARTCARDAs a service

A canone (canone



20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 9 of 32

Company General Use

RIFERIMENTI 2

2.1 Documenti Applicabili

Tabella 1: Documenti applicabili.

Rif. Codice Titolo

DA-1. -- Capitolato Tecnico – Parte Generale “Procedura ristretta, suddivisa in 4 lotti, per l’affidamento dei servizi di Cloud Computing, di sicurezza, di realizzazione di portali e servizi online e di cooperazione applicativa per le Pubbliche Amministrazioni (IS SIGEF 1403)”

DA-2. -- Capitolato Tecnico – Lotto 2 “Procedura ristretta per l’affidamento dei servizi di Cloud Computing, di sicurezza, di realizzazione di portali e servizi online e di cooperazione applicativa per le Pubbliche Amministrazioni (IS SIGEF 1403)”

DA-3. -- Offerta Tecnica – Lotto 2 “Procedura ristretta per l’affidamento dei servizi di Cloud Computing, di sicurezza, di realizzazione di portali e servizi online e di cooperazione applicativa per le Pubbliche Amministrazioni (IS SIGEF 1403)” del 22 Dicembre 2014

DA-4. -- Contratto Quadro – Lotto 2 “Procedura ristretta per l’affidamento dei servizi di Cloud Computing, di sicurezza, di realizzazione di portali e servizi online e di cooperazione applicativa per le Pubbliche Amministrazioni (ID SIGEF 1403)” del 20/07/2016

DA-5. Piano dei Fabbisogni – Comune di Roma del 15.12.2017

DA-6. Allegato 1 – Listino prezzi - http://www.spc-lotto2-sicurezza.it/

DA-7. EP4A56001Q01 Piano di Qualità Generale – Lotto 2 “Procedura ristretta per l’affidamento dei servizi di Cloud Computing, di sicurezza, di realizzazione di portali e servizi online e di cooperazione applicativa per le Pubbliche Amministrazioni (ID SIGEF 1403)”

2.2 Documenti di Riferimento

Tabella 2: Documenti di riferimento.

Rif. Codice Titolo

DR-1. Guida al Contratto Quadro “Servizi di gestione delle identità digitali e sicurezza applicativa" - http://www.spc-lotto2-sicurezza.it/

DR-2. Allegato 3 – Schema Progetto dei fabbisogni - http://www.spc-lotto2-sicurezza.it/


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 10 of 32

Company General Use

CAPITOLO 2 DEFINIZIONI E ACRONIMI

Definizioni

La seguente Tabella 3riporta tutte le definizioni adottate nel presente documento. Tabella 3: Definizioni valide per il presente documento.

Amministrazioni Pubbliche Amministrazioni. Amministrazione aggiudicatrice Consip. Amministrazione/i Contraente/i Pubbliche Amministrazioni che hanno siglato un Contratto di

Fornitura con il Fornitore per l’erogazione di uno dei servizi in ambito dell’Accordo Quadro.

Centro di Registrazione Locale È una Società, Ente o Pubblica Amministrazione che viene autorizzata dalla Certification Authority Aruba PEC S.p.A. ad emettere in maniera autonoma i certificati di Firma digitale.

Certificato qualificato Un certificato qualificato è l’insieme di informazioni che creano una stretta ed affidabile correlazione fra una chiave pubblica e i dati che identificano il Titolare. Sono certificati elettronici conformi ai requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all’allegato II della medesima direttiva.

Certificatore accreditato Un certificatore accreditato, in virtù dell’autorizzazione ottenuta da AgID, ha il compito di garantire l’identità dei soggetti che intendono dotarsi ed utilizzare la firma digitale. AgID svolge attività di vigilanza sui certificatori accreditati.

Chiave privata La chiave privata è l’elemento della coppia di chiavi asimmetriche, utilizzato dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico.

Chiave pubblica La chiave pubblica è l’elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche.

Firma digitale La firma digitale è un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici.

Firma digitale remota La firma digitale remota è una tipologia di firma digitale, accessibile remotamente tramite il supporto di una rete di comunicazione (sia essa Intranet e/o Internet), nel quale la chiave privata del firmatario viene conservata assieme al certificato di firma, all'interno di un server remoto sicuro (basato su un HSM) da parte di un certificatore accreditato.

Firma elettronica avanzata La firma elettronica avanzata è l'insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 11 of 32

Company General Use

ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati.

Fornitore Vedi Ragruppamento Modalità “As a Service” Servizio erogato da remoto attraverso i Centri Servizi dell’RTI. Modalità “On premise” Servizio erogato presso le strutture dell’Amministrazione contraente

o altre strutture indicate dalla stessa. Raggruppamento Raggruppamento Temporaneo di Impresa Leonardo Divisione

Sistemi per la Sicurezza e le Informazioni S.p.A. (nel seguito Leonardo), società mandataria, IBM S.p.A. (mandante), Sistemi Informativi srl (mandante) e Fastweb S.p.A. (mandante).

Acronimi

La seguente Tabella 4 riporta tutte le abbreviazioni e gli acronimi utilizzati nel presente documento. Tabella 4: Lista degli acronimi.

ACL Access Control List AgID Agenzia per Italia Digitale API Application Programming Interface ARSS Aruba Remote Sign Server BI Business Intelligence CA Certification Authority CAD Codice dell’Amministrazione Digitale CAdES CMS Advanced Electronic Signatures CE Contratto Esecutivo CED Centro Elaborazione Dati CMS Card Management System CQ Contratto Quadro CRL Certificate Revocation List CVE Common Vulnerabilities and Exposures DAST Dynamic Application Security Testing DLP Data Loss Prevention DHCP Dynamic Host Configuration Protocol DNS Domain Name System HSM Hardware Security Module HTTP HyperText Transfer Protocol HTTPS HTTP Secure IAM Identity & Access Management IR Incaricati alla Registrazione JSON JavaScript Object Notation LDAP Lightweight Directory Access Protocol LoA Level of Assurance MAST Mobile Application Security Testing OCSP Online Certificate Status Protocol ODR Operatori di Registrazione OTP One Time Password PA Pubblica Amministrazione PAdES PDF Advanced Electronic Signatures PC Personal Computer PDF Portable Document Format PDP Policy Decision Point PEC Posta Elettronica Certificata


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 12 of 32

Company General Use

PEP Policy Enforcement Point RA Registration Authority REST REpresentational State Transfer RFC Request for Comments RPO Recovery Point Objective RTI Raggruppamento Temporaneo di Imprese RTO Recovery Time Objective SAL Stato Avanzamento Lavori SAST Static Application Security Testing SPC Sistema Pubblico di Connettività SOA Service Oriented Architecture SOAP Simple Object Access Protocol SPID Sistema Pubblico di Identità Digitale SSO Single Sign On TSD Time Stamped Data TSR Time Stamp Response URL Uniform Resource Locator VA Vulnerability Assessment WS Web Service XAdES XML Advanced Electronic Signatures XML eXtensible Markup Language


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 13 of 32

Company General Use

CAPITOLO 3 DATI ANAGRAFICI AMMINISTRAZIONE CONTRAENTE

Nelle seguenti tabelle si riportano i dati anagrafici dell’Amministrazione contraente (cfr. Tabella 5) e del suo referente (cfr. Tabella 6).

Tabella 5: Dati anagrafici dell’Amministrazione contraente.

Ragione sociale Amministrazione Roma Capitale

Indirizzo Viale della Previdenza Sociale, 20

CAP 00144

Comune Roma

Provincia Roma

Regione Lazio

Codice Fiscale 02438750586

Nominativo referente Contratto Esecutivo Ing. Rosario Mignacca

Indirizzo mail [email protected]

PEC (SI/NO) [email protected]

Tabella 6: Dati anagrafici del referente dell’Amministrazione contraente.

Nome Rosario

Cognome Mignacca

Telefono fisso 06671074099

Indirizzo mail [email protected]

PEC (SI/NO) [email protected]


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 14 of 32

Company General Use

CAPITOLO 4 PROPOSTA TECNICO-ECONOMICA

Di seguito la lista dei servizi previsti nella fornitura.

Id Servizio Titolo Descrizione

L2.S3.4 Vulnerability Assessment Servizio di verifica del livello di vulnerabilità dei

sistemi dell’Amministrazione

L2.S3.7 Web application firewall e Next

Generation firewall Servizi avanzati di protezione di rete

L2.S3.9 SP-00 Servizi Professionali Assessment sicurezza infrastruttura monitoraggio

L2.S3.9 SP-01 Servizi Professionali Servizi di sicurezza logica del servizio DR di Roma

Capitale

L2.S3.9 SP-02 Servizi Professionali Servizi di Privileged Account Management

L2.S3.9 SP-03 Servizi Professionali Servizi di Gestione del Rischio e Security

Improvement

Vulnerability Assessment L2.S3.4

Il servizio consente la verifica della sicurezza dei dispositivi di rete allo scopo di identificare eventuali vulnerabilità, configurazioni di sicurezza errate, carenze sui livelli di protezione attivi che espongano il contesto ad attacchi interni ed esterni. Per la raccolta di tali informazioni sono utilizzati strumenti automatizzati al fine di rilevare le potenziali vulnerabilità, unitamente al capitale intellettuale delle figure professionali impegnate. Il servizio si compone delle seguenti funzionalità:

• individuazione delle vulnerabilità attraverso l’esecuzione di test che consentano accertare le vulnerabilità individuate;

• assegnazione delle priorità/severità ai rischi di sicurezza sulla base delle policy concordate;

• correlazione dei risultati delle fasi precedenti e definizione del piano di rientro (Remediation Plan);

• produzione di reportistica di sintesi (Executive Summary) e di dettaglio (Technical Report).

Vincoli e assunzioni del L2.S3.4

L’obiettivo del servizio è fornire le attività di vulnerability assessment di tipo infrastrutturale per un perimetro composto da 256 indirizzi IP interni appartenenti al piano di indirizzamento del CED di Roma Capitale. L’esecuzione dei test è subordinata a:

• l’ottenimento della manleva da parte dell’Amministrazione;

• la condivisione ed approvazione del piano di test con l’Amministrazione;

• la disponibilità all’accesso in VPN IPSeC alle infrastrutture oggetto del servizio;

• l’ottenimento delle informazioni relative alla configurazione dell’infrastruttura.

Modalità di erogazione del L2.S3.4

La piattaforma utilizzata per l’erogazione del servizio fornisce gli strumenti per la gestione delle vulnerabilità relative ai servizi, all’architettura e alle configurazioni dei sistemi oggetto dell’analisi, eseguendo una serie di test in grado di coprire le esigenze di sistemi complessi. La soluzione è basata su una componente centralizzata di gestione che governa e raccoglie i flussi informativi provenienti dalle istanze scanner dedicate alla realizzazione dei test. Sono previste le seguenti fasi:

• Raccolta delle informazioni: realizzando la scansione del perimetro indicato rilevando la presenza di asset (discovery) e identificando tipologie e caratteristiche hardware e software;


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 15 of 32

Company General Use

• Individuazione delle vulnerabilità: collezionando le vulnerabilità presenti nelle varie componenti del sistema target tramite esecuzione di specifici test di sicurezza;

• Prioritizzazione delle vulnerabilità, organizzando le vulnerabilità rilevate in funzione del rischio che esse rappresentano per l’Amministrazione. Ai fini di una appropriata classificazione, il RTI promuove una stretta collaborazione e comunicazione con l’Amministrazione sul tema, anche a supporto della realizzazione delle policy.

Tutte le scansioni sono eseguite attraverso un canale sicuro instaurato tra gli apparati di sicurezza perimetrale del Centro Servizi e quelli dell’Amministrazione. Il deployment della Piattaforma tecnologica consente scenari compositi, ad esempio nel caso le scansioni siano effettuate attraverso lo scanner posizionato nel Centro Servizi e comunicante con gli IP esposti in DMZ, oppure, in funzione della numerosità dei target o per il loro posizionamento all’interno della rete cliente, l’Amministrazione potrà optare per collegare la VPN in prossimità dei target. Considerata la necessità di eseguire la scansione anche sui sistemi non visibili da Internet, è necessario che sia resa disponibile connettività VPN di tipo site-to-site. Di seguito si riportano i processi relativi al VA:

1. Information Gathering (avviamento al servizio): Durante questa fase viene eseguita la raccolta automatica delle configurazioni e della topologia di rete per la definizione dei profili di scansione, ovvero:

• Operazione di network discovery della rete: rilevazione attiva e passiva di ogni nuovo dispositivo installato nella rete; questo riduce in maniera significativa il rischio associato alle risorse non protette e non governate dalle Amministrazioni collegate alla rete includendo apparati, porte, sistemi, servizi, applicazioni.

• Valutazione di tutti gli indirizzi IP attivi e non attivi all'interno di un determinato intervallo. 2. Individuazione delle vulnerabilità (Operation): vengono eseguite scansioni rapide condotte in tutta

la rete (con cadenza periodica) per trovare le eventuali falle di sicurezza e ridurre i rischi di esposizione, evidenziando l’aderenza o meno alle normative vigenti tramite raccolta, correlazione e reportistica delle informazioni rilevate durante le scansioni. Le scansioni applicano una combinazione di controlli attivi (quali l'invio di pacchetti e l'analisi in remoto) e controlli di correlazione passiva. In particolare, l’esecuzione di scansioni web complete aiuta a garantire il controllo della sicurezza della rete rilevando falle come ad esempio SQL Injection e Cross-Site Scripting nonché la presenza di errori nelle pagine web.

3. Prioritizzazione delle vulnerabilità (Operation): avviene in ottica di risoluzione e mitigazione del rischio attraverso la comprensione dell'intero contesto di rete. Il rischio di ogni vulnerabilità viene classificato tramite un algoritmo basato su fattori come impatto o sfruttabilità. Le vulnerabilità scoperte possono essere filtrate per asset, rete, servizio o tipo di vulnerabilità permettendo di produrre reportistica personalizzata secondo le esigenze dell’Amministrazione.

Quantità e Prezzi del L2.S3.4

Attivazione del L2.S3.4

Il servizio può essere attivato entro sei settimane dalla firma del contratto. L’esecuzione delle attività di scansione deve essere preventivamente concordata con l’Amministrazione.

Metrica Fascia Prezzo unitario Nun.tà Mesi Prezzo Nun.tà Mesi Prezzo Nun.tà Mesi Prezzo

Fascia1: n. 1 indirizzo IP € 124,00 1 12 124,00€ 1 12 124,00€ 1 12 124,00€

Fascia 2: da 2 a 15 indirizzi IP € 89,00 14 12 1.246,00€ 14 12 1.246,00€ 14 12 1.246,00€

Fascia 3: oltre 15 indirizzi IP € 64,00 239 12 15.296,00€ 239 12 15.296,00€ 239 12 15.296,00€

16.666,00€ 16.666,00€ 16.666,00€

Servizio L2.S3.4 - Vulnerability assessment

indirizzo IP/anno

2018 2019 2020


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 16 of 32

Company General Use

Deliverable del L2.S3.4

Saranno resi disponibili all’Amministrazione i deliverable standard del servizio: Executive Summary, contenente:

• Ambito infrastrutturale;

• Obiettivi del test;

• Sommario delle rilevanze del test;

• Valutazione del Security Risk;

• Sommario delle Vulnerabilità riscontrate.

Technical report, contenente:

• Descrizione delle rilevanze riscontrate durante i test;

• Descrizione dell’impatto causato dallo sfruttamento della vulnerabilità riscontrata.

Remediation Plan, contenente:

• Sommario dei punti di intervento e le opportune azioni correttive.

WAF01 - Web application firewall e Next Generation firewall L2.S3.7

Sinossi

Il servizio di sicurezza Web Application Firewall Management è costituito dai seguenti elementi: • Componente Gateway: dispositivo gateway di sicurezza con funzionalità di Web Application

Firewall (WAF) dislocato presso l’amministrazione presso i Centri Servizi che saranno indicati dall’Amministrazione;

• Componente di gestione centrale: installata presso il Centro Servizi, deputata alle attività di configurazione del provisioning basato su policy, aggiornamenti e monitoraggio della rete. Consente la tempestiva software distribution mediante caching locale degli aggiornamenti Antivirus/IPS autenticando in modo granulare gli accessi amministrativi (con funzionalità di auditing e configuration history/versioning).

Il servizio si compone delle seguenti funzionalità:


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 17 of 32

Company General Use

Figura 1 -funzionalità WAF

Baseline iniziale di policy

La baseline iniziale sarà costituita principalmente sul set di policy attualmente attivo e che, a valle delle attività di analisi , sarà opportunamente migrato sulla nuova piattaforma. Nel corso della prima fase di attivazione saranno attivate le funzionalità di auto apprendimento della piattaforma grazie alle quali sarà analizzato il traffico web e generate le policy più idonee a consentire la normale operatività delle applicazioni protette. Al fine di garantire il normale svolgimento delle attività lavorative, per un primo periodo analisi, presumibilmente 30 giorni, le policy attive saranno configurate per segnalare eventuali attacchi senza attuare blocchi. A valle dell’analisi dei log ottenuti si provvederà e porre in stato attivo le configurazioni.

Vincoli e assunzioni del Servizio L2.S3.7 – WAF01

Affinché l’Amministrazione contraente possa usufruire del servizio di WAF e NGFW è necessario che sia interconnessa direttamente alla rete del Sistema Pubblico di Connettività (SPC) — o altre strutture equivalenti individuate da Consip S.p.A. e/o dell’Agenzia per l’Italia Digitale (AgID) — attraverso uno o più Fornitori di connettività, o attraverso Enti autorizzati, in modo tale che il traffico tra il Centro Servizi e l’Amministrazione contraente avvenga all’interno di VPN sicure e configurate per supportare destinazioni multiple. In subordine dovrà comunque avere un punto di accesso a Internet. Affinché il suddetto servizio possa essere erogato è necessaria la raggiungibilità dei componenti del servizio dislocati presso l’Amministrazione contraente da parte del Centro Servizi dell’RTI, con finalità prevalente di gestione e manutenzione dei costituenti funzionali (e.g., aggiornamento di release software ed eventuali change policy). A tal fine è prevista:

• la preparazione del sito dell’Amministrazione contraente, cioè l’esecuzione dell’insieme delle attività propedeutiche alla messa in esercizio del servizio presso l’Amministrazione stessa;

• l’implementazione di un canale dedicato verso il Centro Servizi (cifrato e attraverso il quale viene permessa la raccolta degli allarmi). Il canale cifrato è finalizzato all’interconnessione tra il Centro Servizi


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 18 of 32

Company General Use

e le componenti periferiche e viene utilizzato per comunicazioni di tipo bidirezionale. A titolo di esempio, su tale canale sono inviate sia le informazioni relative alle politiche di sicurezza da applicare, sia i log degli eventi rilevati dagli enforcer disposti presso le Amministrazioni contraenti.

• In caso di erogazione del servizio WAF e NGFW “On premise” con hardware fisico sono necessari i seguenti requisiti:

- Spazio Rack;

- BTU;

- Alimentazione;

- Interfacce di rete;

- Potenza richiesta.

In caso di dismissione/sostituzione appliance di sicurezza preesistente, l’Amministrazione dovrà fornire tutte le informazioni necessarie alla replica delle configurazioni. In fase di prima installazione degli apparati di WAF e NGFW è prevista l’implementazione di configurazioni come da Baseline definita nella specifica di servizio. Ulteriori configurazioni sono da considerarsi fuori ambito e potranno essere realizzate, così come altre attività di configurazione e personalizzazione, tramite l’utilizzo di gg/uu a catalogo SPC (Servizio S5.5 Servizi Professionali).

Modalità di erogazione del servizio.

“As a service” continuativa da remoto basata su apparati installati presso la sede del Cliente.

Policy Management

Le successive modifiche alle politiche di filtro saranno implementate secondo quando previsto dalle specifiche del servizio.

Componente tecnologica

Il servizio viene erogato mediante piattaforma Fortinet, secondo l’architettura applicativa riportata nello schema

Figura 1 Architettura di massima della piattaforma NGFW

L’architettura di massima proposta nel precedente schema può essere suscettibile a variazioni derivanti dalla presenza di informazioni e vincoli non noti al momento della redazione del presente documento o da eventuali variazioni architetturali migliorative congiuntamente definite con il Cliente.


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 19 of 32

Company General Use

WAF02 - Web application firewall e Next Generation firewall

La costante crescita di minacce informatiche generate dalle strutture criminali impone un elevato livello di attenzione per l’identificazione delle violazioni presenti all’interno della propria infrastruttura. Le Amministrazioni sono sempre più alla ricerca di soluzioni per incrementare la sicurezza delle proprie strutture ICT aumentando visibilità e controllo del traffico dati transitante sul perimetro o tra segmenti di rete all'interno della propria organizzazione. La scelta della soluzione Web Application Firewall e Next Generation FireWall (di seguito indicata con gli acronimi WAF e NGFW) permette l’Amministrazione contraente di attuare una protezione in tempo reale da tentativi di attacco o intrusione non autorizzati, atti a garantire una più efficace capacità difensiva da minacce informatiche anche particolarmente evolute.

Obiettivi del Servizio L2.S3.7 WAF02

L’integrazione del servizio WAF e NGFW nelle infrastrutture delle Amministrazioni si pone l’obiettivo di acquisire in tempo reale una efficace capacità di ispezione del traffico di rete per l’identificazione di qualsiasi tipo di anomalia a livello applicativo, utenti e dispositivi informatici in genere. Tale percezione permette quindi una definizione granulare delle politiche di sicurezza adottate dal servizio con un conseguente innalzamento della capacità difensiva della propria struttura e delle proprie risorse di rete. Alle Amministrazioni contraenti che aderiranno a questi servizi, sarà garantita:

• continuità dei servizi offerti;

• aderenza alle best practice di sicurezza e alle relative compliance;

• proteggere le applicazioni web da attacchi esterni agendo da filtro del traffico di rete dello strato applicativo, superando quindi le caratteristiche dei normali intrusion detection system;

• fornire un reporting completo ed in tempo reale di tutte le attività di rete, applicazioni, anomalie in genere

Descrizione del Servizio L2.S3.7

Il servizio prevede la modalità di erogazione centralizzata con elementi costituenti presenti presso:

• il Centro Servizi del RTI relativamente alle piattaforme centrali per il management delle politiche di sicurezza e raccolta degli eventi rilevanti,

- Componente di analisi del traffico: dedicata all’analisi del traffico ed al reporting per la sicurezza della rete e la valutazione delle vulnerabilità;

- Componente di gestione centrale: deputata alle attività di configurazione del provisioning basato su policy, aggiornamenti e monitoraggio della rete. Consente la tempestiva software distribution mediante caching locale degli aggiornamenti Antivirus/IPS autenticando in modo granulare gli accessi amministrativi (con funzionalità di auditing e configuration history/versioning);

- Firewall Virtuale (solo per Fascia 1) : virtualizzazione del firewall (virtual gateway di sicurezza) con funzionalità di Web Application Firewall (WAF) /Next Generation Firewall Management (NGFW);

• l’infrastruttura ICT presente all’interno dell’Amministrazione contraente, con apparati firewall (fisici o virtuali solo per fascia 1)

- Componente Gateway: dispositivo gateway di sicurezza con funzionalità di Web Application Firewall (WAF) /Next Generation Firewall Management (NGFW) dislocato presso l’amministrazione o presso il Centro Servizi;

Fasce e prodotti di riferimento

Il servizio di sicurezza Web Application Firewall e Next Generation Firewall Management è erogato secondo opportune fasce in funzione della banda di connettività SPC richiesta o esistente:

• Fascia 1: throughput < 50 Mbps;


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 20 of 32

Company General Use

• Fascia 2: throughput < 200 Mbps;

• Fascia 3: throughput < 500 Mbps.

Il servizio di sicurezza WAF e NGFW relativamente la sola Fascia 1 (throughput connettività) < 50 Mbps, viene erogato prevedendo l’installazione di dispositivi gateway di sicurezza direttamente presso l’amministrazione oppure presso i Centro Servizi. Nel caso di installazione dei dispositivi direttamente presso l’amministrazione il servizio di WAF e NGFW verrà garantito tramite la predisposizione di una delle seguenti configurazione hardware:

• Firewall Fortigate 30D in HA;


• Firewall Fortigate 80D in HA.

Nel caso in cui l’amministrazione scelga di utilizzare la soluzione che prevede l’erogazione del servizio direttamente dal centro servizi, per ogni contratto verrà configurato un firewall virtuale presso il centro servizi stesso. Il servizio di sicurezza WAF e NGFW relativamente la sola Fascia 2 (throughput connettività) < 200 Mbps, viene erogato prevedendo l’installazione di dispositivi gateway di sicurezza direttamente presso l’amministrazione. Nel caso di installazione dei dispositivi direttamente presso l’amministrazione il servizio di WAF e NGFW verrà garantito tramite la predisposizione di una delle seguenti configurazione hardware:



Il servizio di sicurezza WAF e NGFW relativamente la sola Fascia 3 (throughput connettività) < 500 Mbps, viene erogato prevedendo l’installazione di dispositivi gateway di sicurezza direttamente presso l’amministrazione. Nel caso di installazione dei dispositivi direttamente presso l’amministrazione il servizio di WAF e NGFW verrà garantito tramite la predisposizione di una delle seguenti configurazione hardware:


• Firewall Fortigate 300D in HA.

Installazione di un gateway di sicurezza presso l’Amministrazione contraente

Di seguito uno schema generale che mostra l’architettura generica di installazione di un appliance di WAF e NGFW:

SPC/Internet

LAN Amministrazione

OUT

IN

Appliance WAF e NGFW


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 21 of 32

Company General Use

Figura 2 – Architettura WAF e NGFW presso amministrazione

L’architettura generale prevede l’impiego di una coppia di firewall configurati in modalità HA e dotati di due interfacce:

• Interfaccia di OUT: esposta verso la connettività SPC ed utile alla veicolazione del traffico tra l’amministrazione ed il centro servizi;

• Interfaccia di IN: esposta verso la LAN dell’amministrazione;

La configurazione di interfacce aggiuntive è da considerarsi fuori ambito e potrà essere realizzata, così come altre attività di configurazione e personalizzazione, tramite l’utilizzo di gg/uu a catalogo SPC (Servizio S5.5 Servizi Professionali).

Vincoli e assunzioni del Servizio L2.S3.7 – WAF02

Affinché l’Amministrazione contraente possa usufruire del servizio di WAF e NGFW è necessario che sia interconnessa direttamente alla rete del Sistema Pubblico di Connettività (SPC) — o altre strutture equivalenti individuate da Consip S.p.A. e/o dell’Agenzia per l’Italia Digitale (AgID) — attraverso uno o più Fornitori di connettività, o attraverso Enti autorizzati, in modo tale che il traffico tra il Centro Servizi e l’Amministrazione contraente avvenga all’interno di VPN sicure e configurate per supportare destinazioni multiple. In subordine dovrà comunque avere un punto di accesso a Internet. Affinché il suddetto servizio possa essere erogato è necessaria la raggiungibilità dei componenti del servizio dislocati presso l’Amministrazione contraente da parte del Centro Servizi dell’RTI, con finalità prevalente di gestione e manutenzione dei costituenti funzionali (e.g., aggiornamento di release software ed eventuali change policy). A tal fine è prevista:

• la preparazione del sito dell’Amministrazione contraente, cioè l’esecuzione dell’insieme delle attività propedeutiche alla messa in esercizio del servizio presso l’Amministrazione stessa;

• l’implementazione di un canale dedicato verso il Centro Servizi (cifrato e attraverso il quale viene permessa la raccolta degli allarmi). Il canale cifrato è finalizzato all’interconnessione tra il Centro Servizi e le componenti periferiche e viene utilizzato per comunicazioni di tipo bidirezionale. A titolo di esempio, su tale canale sono inviate sia le informazioni relative alle politiche di sicurezza da applicare, sia i log degli eventi rilevati dagli enforcer disposti presso le Amministrazioni contraenti.

• In caso di erogazione del servizio WAF e NGFW “On premise” con hardware fisico sono necessari i seguenti requisiti:

- Spazio Rack;

- BTU;

- Alimentazione;

- Interfacce di rete;

- Potenza richiesta.

In caso di dismissione/sostituzione appliance di sicurezza preesistente, l’Amministrazione dovrà fornire tutte le informazioni necessarie alla replica delle configurazioni. In fase di prima installazione degli apparati di WAF e NGFW è prevista l’implementazione di configurazioni come da Baseline definita nella specifica di servizio. Ulteriori configurazioni sono da considerarsi fuori ambito e potranno essere realizzate, così come altre attività di configurazione e personalizzazione, tramite l’utilizzo di gg/uu a catalogo SPC (Servizio S5.5 Servizi Professionali).

Componenti del Servizio L2.S3.7 da installare presso l’Amministrazione contraente

L’architettura proposta per la realizzazione del servizio prevede il deployment dei seguenti componenti:

• Portale dei Servizi di Sicurezza: per effettuare nuove richieste di servizi (es.: creazione o modifica di una policy);

• LDAP: per l’accesso ai servizi con utenza di dominio;


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 22 of 32

Company General Use

• Service Desk / Ticket: piattaforma di ticketing per la gestione delle richieste;

• Event Logs: per la raccolta di tutti gli eventi;

• Appliance hardware Firewall per i quali sono richiesti i seguenti requisiti secondo quanto riportato in Vincoli e assunzioni del Servizio L2.S3.7;

• (Fascia 1) erogazione del servizio con firewall virtuale presso il Centro Servizi, fare riferimento al paragrafo Vincoli e assunzioni del Servizio L2.S3.7

Modalità di erogazione del Servizio L2.S3.7

Il servizio sarà erogato in modalità continuativa secondo le finestre di servizio definite nella seguente Tabella 7.

Tabella 7: Finestre di servizio per L2.S3.7

Attività Disponibilità

Help Desk (telefonico) 9:00-18:00 Lunedì – Venerdì (escluso festività)

Help Desk (telematico) H24

Monitoraggio di disponibilità H24

Monitoraggio di Sicurezza H24

… …

Per gli SLA applicati si fa riferimento all’Appendice 1 al Capitolato tecnico [4] “Indicatori di qualità della fornitura per il Lotto 2”.

Quantità e prezzi del Servizio L2.S3.7

Attivazione del Servizio L2.S3.7

Si prevede l’avvio del servizio, fatta salva la messa a disposizione dei locali dell’Amministrazione contraente e di quanto altro necessario al normale funzionamento degli apparati e delle altre componenti tecnologiche a supporto dell’erogazione del servizio, secondo i tempi definiti nell’Appendice B.

Servizi Professionali L2.S3.9

Servizio Professionale: assessment di sicurezza dell’infrastruttura di monitoraggio (SP-00)

Analisi del sistema di monitoraggio attualmente in uso presso questa Amministrazione al fine di determinare l’adeguatezza delle caratteristiche di sicurezza.


Fascia 1: throughput fino a 50 Mbps € 2.630,00 0 12 -€ 0 12 -€ 0 12 -€

Fascia 2: throughput fino a 200 Mbps € 5.600,00 1 12 5.600,00€ 1 12 5.600,00€ 1 12 5.600,00€


5.600,00€ 5.600,00€ 5.600,00€




Fascia 3: throughput fino a 500 Mbps € 8.900,00 8 12 71.200,00€ 8 12 71.200,00€ 8 12 71.200,00€

71.200,00€ 71.200,00€ 71.200,00€

20202018 2019

2018 2019 2020Servizio L2.S3.7 - Web application firewall e Next Generation firewall Evoluto - - WAF02

throughput / anno

Servizio L2.S3.7 - WAF NGF Internet B2B - WAF01

throughput / anno

TOTALE 2018 2019 2020

L2.S3.7 € 76.800,00 € 76.800,00 € 76.800,00

Servizio

L2.S3.7 - Web application firewall e Next Generation firewall


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 23 of 32

Company General Use

Vincoli e assunzioni del SP-00

Il servizio professionale sarà erogato durante il normale orario d’ufficio (8 ore al giorno) presso le sedi del RTI e presso le sedi dell’Amministrazione. In quest’ultimo caso deve essere reso disponibile quanto necessario presso l’Amministrazione (spazi, strumenti hardware/software, rilascio credenziali) per poter svolgere quanto richiesto al RTI.

Modalità di erogazione del SP-00

Il servizio sarà erogato in modalità on-premises presso le strutture dell’Amministrazione contraente o altre strutture, anche del RTI, concordate con la stessa. Le attività di analisi ed elaborazione dei dati vengono svolte prevalentemente presso il Centro servizi del RTI, e saranno condivise con il Cliente.

Quantità e Prezzi del SP-00

Attivazione del SP-01

Si prevede l’avvio del servizio secondo i tempi definiti nell’Appendice B.

Deliverable del SP-01

Il servizio prevede la redazione di report periodici su base mensile e su richiesta specifica da parte dell’Amministrazione relativi alla sicurezza degli accessi delle utenze amministrative sui sistemi a perimetro.

Servizio Professionale: Sicurezza Logica del Servizio DR (SP-01)

Il servizio ha l’obiettivo di garantire la continuità della manutenzione dei servizi di Sicurezza Logica del servizio DR di Roma Capitale e la conformità con l’infrastruttura di sicurezza dell’Amministrazione, con gli standard interni e di mercato e con le politiche definite in merito.





Metrica Servizio Figura professionale Prezzo unitario Nun.tà Prezzo

Capo progetto € 300,00 50 € 15.000,00

Security architect € 372,90 90 € 33.561,00

Specialista di tecnologia/prodotto Senior € 295,00 80 € 23.600,00

Specialista di tecnologia/prodotto € 235,00 0 € 0,00

Specialista di tecnologia/prodotto Senior H24 € 1.180,00 0 € 0,00

Specialista di tecnologia/prodotto H24 € 930,00 0 € 0,00

€ 72.161,00

giorno/uomo Orario continuativo H24

giorno/uomo Normale orario di lavoro (8 ore)

2018Servizio Professionale: Assessment infrastruttura del monitoraggio (SP-00)


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 24 of 32

Company General Use






Servizi di Privileged Account Management (SP-02)

I nuovi scenari di Cyber-security si sono modificati anche in termini di locazione del campo di battaglia: le minacce informatiche si sono evolute verso l’accesso a sistemi ed applicazioni fondamentali per il corretto funzionamento dei servizi. Le tecniche di protezione perimetrali risultano quindi non esaustive e devono essere necessariamente integrate con soluzioni per proteggere, gestire e monitorare gli account e gli accessi privilegiati.


Il servizio ha l’obiettivo di realizzare una soluzione per la gestione delle utenze privilegiate a copertura dell’esigenza di soddisfare, in primis, le prescrizioni dettate dal provvedimento sugli "Amministratori di Sistema" emanato a fine 2008 dal Garante per la Protezione dei Dati Personali. Il provvedimento coinvolge tutte le organizzazioni pubbliche e private con sistemi informativi che trattano dati personali e prevede una serie di obblighi tra cui l'individuazione e la valutazione degli amministratori di sistema. In questo provvedimento, per amministratori di sistema si intendono gli amministratori di reti, database, apparati di sicurezza e sistemi software complessi. Il servizio prevede la messa a disposizione di una piattaforma rispondente ai requisiti di legge in grado di interfacciarsi con la maggior parte dei DataBase, Tool e Device e dei servizi per il suo mantenimento operativo tra cui:

• Definizione e impostazione dei gruppi di protezione in AD per riflettere l'accesso basato sui ruoli;

• Configurazione del backup del database;

• Configurazione dei servizi di controllo di accesso (RDP, SSH, Telnet, Mainframe, etc.);

• Configurazione dei servizi custom TCP/UDP (SSH Proxy, Web Portal);

• Aggiunta, importazione o sincronizzazione di tutti i gruppi di device o di host puntuali e definizione dei servizi per ogni gruppo o policy definite;

• Definizione delle politiche di accesso.


Dal punto di vista tecnologico il servizio garantisce tutte le funzionalità evolute necessarie per una corretta gestione e controllo degli accessi degli utenti amministrativi. In particolare, ogni Amministrazione dovrà adeguarsi:

• entro il 31/12/2017 alle Misure minime di sicurezza informatica per le PA, emanate dall’Agenzia per l’Italia Digitale (AgID) e pubblicate in Gazzetta Ufficiale: http://www.agid.gov.it/notizie/2017/04/07/pubblicate-gazzetta-ufficiale-misure-minime-

sicurezza-informatica-pa

• entro il 31/5/2018 al regolamento Europeo GDPR 2018: http://www.eugdpr.org

Metrica Servizio Figura professionale Prezzo unitario Nun.tà Prezzo Nun.tà Prezzo Nun.tà Prezzo

Capo progetto € 300,00 80 € 24.000,00 80 € 24.000,00 80 € 24.000,00

Security architect € 372,90 125 € 46.612,50 125 € 46.612,50 125 € 46.612,50

Specialista di tecnologia/prodotto Senior € 295,00 0 € 0,00 0 € 0,00 0 € 0,00

Specialista di tecnologia/prodotto € 235,00 0 € 0,00 0 € 0,00 0 € 0,00

Specialista di tecnologia/prodotto Senior H24 € 1.180,00 0 € 0,00 0 € 0,00 0 € 0,00

Specialista di tecnologia/prodotto H24 € 930,00 0 € 0,00 0 € 0,00 0 € 0,00

€ 70.612,50 € 70.612,50 € 70.612,50



2018 2019 2020Servizio Professionale: sicurezza logica del servizio DR di Roma Capitale (SP-01)


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 25 of 32

Company General Use

In sintesi, la tecnologia utilizzata per l’erogazione del servizio è in grado di mettere a disposizione adeguati strumenti per rilevare in modo univoco e certo chi accede ai sistemi e cosa viene fatto su di essi, aggiungendo quindi uno strato funzionale in grado di rilevare eventuali furti di informazioni e fornire il perimetro informatico interessato dal furto. Le caratteristiche di indicizzazione delle informazioni registrate consentono un veloce filtro per ricercare le attività svolte dagli utenti o ritenute sospette. La funzione di registrazione è molto importante poichè consente di avere informazioni relative alla quantità di informazioni personali trafugate, focalizzando ed ottimizzando il processo successivo di notifica e di gestione dell’incidente. Le caratteristiche tecnologiche salienti sono:

• Utilizzo di prodotti di cassaforte digitale specializzati nella gestione delle utenze tecniche, che consentano di rendere univoci e certi gli utilizzatori degli account privilegiati, conservando le password dei sistemi target in modalità sicura;

• Memorizzazione delle credenziali di accesso con soluzione certificate CC EAL2+ e protezione delle credenziali stesse tramite meccanismi di crittografia FIPS 140-2 con l’utilizzo di algoritmi AES-256 e RSA-2048;

• Modifca automatica delle password con cicli di 30 o 60 giorni, registrazione delle sessioni per sessioni, etc..

• Utilizzo con SIEM di terze parti quali RSA, IBM Qradar, Splunk, RSA Security Analytics, ArcSight, etc..

• Supporto integrato di una vasta gamma di target (sistemi): o Sistemi Operativi; o Applicazioni Windows; o Database; o Directory Services; o Appliance di Sicurezza; o Dispostivi di rete; o Ambienti virtuali.

• Capacità di generare report evoluti specifici per le diverse tipologie di utenze (ad esempio amministratori, Audit, etc..). I report riporteranno, a titolo di esempio:

o Lista degli utenti; o Utenti attivi /non attivi; o Inventario degli account privilegiati; o Inventario delle applicazioni.

• Possibilità di isolare, monitorare e registrate (in diversi formati e senza possibili manomissioni) le attività degli utenti privilegiati per i sistemi/target ritenuti critici.

• Capacità di eliminare credenziali hard-coded e presenti su script, job e applicazioni, con la possibilità di forzare l’aggiornamento delle credenziali su file di configurazione, database e applicazioni di terze parti.

Il servizio sarà erogato tramite piattaforme tecnologiche abilitanti e impiego di figure professionali specialistiche di sicurezza.


2018 2019 2020


giorno/uomo Normale orario di lavoro (8 ore) Capo progetto € 300,00 22 € 6.600,00 22 € 6.600,00 22 € 6.600,00


Specialista di tecnologia/prodotto Senior € 295,00 € 0,00 0 € 0,00 0 € 0,00

Specialista di tecnologia/prodotto € 235,00 0 € 0,00 0 € 0,00 0 € 0,00

giorno/uomo Orario continuativo H24 Specialista di tecnologia/prodotto Senior H24 € 1.180,00 0 € 0,00 0 € 0,00 0 € 0,00


€ 170.676,00 € 21.516,00 € 21.516,00

Servizio Professionale: Privileged Account Management (SP-02)


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 26 of 32

Company General Use





Security Governance and Improvement (SP-03)

Il servizio ha come obiettivo il miglioramento della Security Governance nell’ottica di rendere sistematica la definizione di policy di sicurezza e delle discendenti procedure attuative, quali misure ex-ante di mitigazione dei rischi: tali policy e procedure verranno continuativamente monitorate, ed eventualmente integrate, in funzione delle modifiche alle modalità di erogazione dei servizi ICT. Ulteriore obiettivo del servizio è quello di mantenere costantemente aggiornato lo snapshot di Risk

Assessment già in essere, e che verrà, eventualmente, integrato tramite il servizio stesso, in funzione dell’attuazione delle policy/procedure definite. Tale obiettivo è esemplificato nella figura che segue:

Figura 3 - Esempio di processo di gestione del rischio

La metodologia che sinteticamente descriviamo di seguito consente di verificare, in modo continuativo l’efficacia delle contromisure applicate a contrasto dei rischi individuati. Sono previste complessivamente tre fasi, la prima delle quali da svolgersi una tantum, le altre due da svolgersi in modalità continuativa:

• Fase 0 (Una tantum): raccolta e classificazione delle policy e delle procedure di sicurezza in essere al fine di determinare il conesto di applicazione del Risk Assessment (Establish the Context);

• Fase 1 (continuativa): analisi e determinazione delle minacce, delle vulnerabilità dei rischi correlati alle policy/procedure di cui alla Fase 0 (Continuous Risk Assessment);

• Fase 2 (continuativa): aggiornamento delle policy e procedure al fine di ridurre il rischio

(Continuous Risk Treatment).

In particolare:

• la fase di Context Establishment è un processo che determina quali siano i possibili scenari ed ambiti di applicabilità delle policy e delle procedure di sicurezza in essere, in funzione dei requisiti della norma ISO 27001:2013 al fine di identificare ed armonizzare gli eventuali aspetti di riservatezza, integrità e disponibilità delle informazioni non considerati


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 27 of 32

Company General Use

• la fase di Risk Assessment è un processo sistematico che: o esamina i rischi considerando le conseguenze della perdita di riservatezza, integrità o

disponibilità delle informazioni; o esprime la possibilità realistica che tale violazione si verifichi, considerando le minacce

potenziali e le vulnerabilità delle risorse tecnologiche, fisiche, organizzative e procedurali.

• La fase di Risk Treatment è un processo che, a fronte dei risultati ottenuti dal Risk Assessment: o stabilisce la corretta strategia di trattamento del rischio; o effettua un’analisi dei rischi identificati ed integra, eventualmente, le policy e le procedure

di sicurezza, identificando le azioni da intraprendere per ridurre i livelli di rischio. Nei paragrafi seguenti definiamo i deliverable principali di tali fasi la cui realizzazione segue il solco metodologico sopracitato opportunamente integrato, in funzione delle esigenze specifiche.

Context Establishment

La fase di Context Establishment effettua una analisi dell’insieme di policy e procedure attualmente in essere al fine di definire l’ambito di applicazione del Risk Assessment e del relativo insieme di misure di trattamento identificate. Tale analisi è volta, inoltre, ad evitare duplicazioni di misure di trattamento del medesimo rischio, e/o di verifica che tutti i rischi siano stati considerati nelle procedure che applicano le misure di mitigazione del rischio. Una volta raccolte le policy e le procedure, verrà effettuata un’attività di Business Process Rengineering, al fine di verificare l’ambito di applicabilità dei processi espressi, non solo in termini tecnologici, ma, soprattutto, in termini organizzativi. Tale attività consente, inoltre, di individuare delle aree di miglioramento delle misure di trattamento del rischio, le cui valutazioni di impatto e relative mitigazioni sono a carico delle fasi successive.

Risk Assessment

La fase di Risk Assessment ha come deliverable principale un registro dei rischi, monitorato nel tempo in modo continuativo, in ottemperanza a requisiti specifici (le Policy di cui alla fase recedente) e secondo processi definiti (le Procedure di cui alla fase precedente).no Tale Risk Assessment classifica i singoli rischi tramite l’applicazione di una rigorosa metodologia di analisi, che soddisfa i requisiti indicati dalla famiglia di norme ISO/IEC 31000 (in particolare ISO/IEC 31000:2009 e ISO/IEC 31010:2009), le cui attività possono essere così riassunte:

• Analisi dello Scenario identificato e definizione del perimetro

• Modellazione dello scenario e individuazione della potenziale superficie di attacco

• Identificazione e valutazione delle Minacce e delle Vulnerabilità

• Determinazione della classe di rischio

Risk Treatment

Dal punto di vista metodologico la fase di Risk Treatment prevede le seguenti attività:

• Criteri di trattamento del Rischio

• Valutazione e selezione delle misure di sicurezza

• Pianificazione degli interventi di mitigazione del rischio

• Identificazione del Rischio Residuo

• Aggiornamento delle policy e delle procedure qualora necessario.

Nell’ambito del SP-03, invece, verranno erogate solamente le seguenti attività:

• Criteri di trattamento del Rischio

• Aggiornamento delle policy e delle procedure qualora necessario.


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 28 of 32

Company General Use

Questo è dovuto alle caratteristiche intrinseche dell’Amministrazione, la quale ha esternalizzato ai propri fornitori l’attuazione degli interventi di mitigazione dei rischi e la selezione della tipologia di interventi da rilasciare.











Il servizio è finalizzato al miglioramento continuo del livello complessivo di sicurezza IT dell’Amministrazione (Security Posture). Tale servizio si basa su un approccio metodologico di valutazione delle vulnerabilità di tipo qualitativo e/o quantitativo (a seconda delle esigenze) e prende spunto principalmente da quanto previsto dagli standard ISO/IEC 27005:2011 e ISO/IEC 27001:2013.


Capo progetto € 300,00 72 € 21.600,00 70 € 21.000,00 70 € 21.000,00


Specialista di tecnologia/prodotto Senior € 295,00 170 € 50.150,00 120 € 35.400,00 120 € 35.400,00

Specialista di tecnologia/prodotto € 235,00 460 € 108.100,00 380 € 89.300,00 380 € 89.300,00

Specialista di tecnologia/prodotto Senior H24 € 1.180,00 0 € 0,00 0 € 0,00 0 € 0,00


€ 263.752,50 € 220.280,00 € 220.280,00

Servizio Professionale: Security Governance and Improvement (SP-03) 2019 20202018




20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 29 of 32

Company General Use

CAPITOLO 5 RISERVATEZZA

Per l’erogazione della fornitura, il Fornitore non ha necessità trattare e/o accedere a informazioni o materiale classificato ma è comunque tenuto alla sicurezza e alla riservatezza dei dati e della documentazione di cui viene a conoscenza.


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 30 of 32

Company General Use

APPENDICE A PROGETTO DI ATTUAZIONE

A.1 Struttura organizzativa

La struttura organizzativa completa è descritta nella proposta tecnica (cfr. documento [DA-3]). Le figure professionali coinvolte nella gestione e conduzione dei servizi oggetto del presente Progetto dei fabbisogni per lo specifico contratto esecutivo sono riassunte nella seguente Tabella 8.

Tabella 8: Figure professionali.

Ruolo Caratteristiche e responsabilità

Responsabile Contratto Quadro

È il rappresentante del fornitore verso Agid/Consip, garantisce l’omogeneità e l’uniformità di interfaccia verso le parti interessate a livello di Governo del

Contratto Quadro vigilando sull’osservanza di tutte le indicazioni operative, di indirizzo e di controllo, che a tal scopo potranno essere predisposte da Consip e/o

da AgID, per quanto di rispettiva competenza. Rappresenta, insieme al Responsabile del Centro Servizi, il RTI nel Comitato di Direzione Tecnica.

Responsabile Contratto Esecutivo

Costituisce l’interfaccia unica verso il Responsabile del Procedimento dell’Amministrazione Beneficiaria. È responsabile dell’erogazione dei servizi

acquistati dall’Amministrazione e della rendicontazione e dei meeting di stato avanzamento lavori. Costituisce l’interfaccia unica verso il Responsabile Unico del

Procedimento dell’Amministrazione beneficiaria.

Responsabile Tecnico

È il Responsabile unico delle attività tecniche e del raggiungimento degli obiettivi dei servizi oggetto del Contratto. Costituisce l’interfaccia unica verso il Direttore

Esecuzione nominato dall’Amministrazione. Ha la visione complessiva e integrata di tutte le attività tecniche legate all’attivazione, all’erogazione e al rilascio dei

servizi della fornitura e ne garantisce la qualità.

Responsabile del Centro Servizi È responsabile del Centro servizi da cui vengono erogati i servizi nella modalità “as

a service”.

Responsabile Servizi Data loss/leak prevention, Database

security e Professionali Coincide con il Responsabile Tecnico

HELP DESK

Primo punto di contatto a disposizione dell’Amministrazione per l’avvio delle attività di acquisizione del servizio. Supporta inoltre i referenti

dell’Amministrazione contraente nelle attività di risoluzione di eventuali problematiche di utilizzo del servizio.

L’Help Desk è contattabile al numero verde: 800 894 590. Ulteriori informazioni sono reperibili al seguente URL http://www.spc-lotto2-sicurezza.it presso il quale

è presente il Portale di Governo e Gestione della Fornitura.

I nominativi delle figure presenti nella tabella soprastante saranno forniti all’Amministrazione entro 10 giorni dalla stipula del contratto.

A.2 Specifiche di collaudo

Le specifiche di collaudo utilizzate per il collaudo della piattaforma saranno fornite separatamente.

A.2.1 Fatturazione L2.S3.9

A valle delle verifiche dell’Amministrazione (art 15 dell’Accordo Quadro), i servizi professionali SP-01-L2.S3.9 saranno fatturati bimestralmente (art.19 dell’Accordo Quadro), in ragione dei servizi effettivamente


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 31 of 32

Company General Use

prestati nel rispetto del Progetto dei Fabbisogni, ovvero secondo lo stato di avanzamento dei lavori, e nelle misure che si concorderanno ad inizio delle attività o nel piano di lavoro.


20/12/2017 PRO_ITAL_170626/1712 Rev. 2.0

Pag. 32 of 32

Company General Use

APPENDICE B PIANO DI LAVORO

Di seguito si riporta la programmazione delle attività, espressa in giorni lavorativi a partire dalla data di perfezionamento del contratto esecutivo (T0).

B.1 Attività dei servizi

In base a quanto richiesto dall’Amministrazione contraente nel Piano dei fabbisogni [DA-5] la Tabella 9 riporta le attività previste per l’erogazione dei servizi richiesti.

Tabella 9: Attività previste per i servizi richiesti

Nome attività Inizio Fine Vincoli

Vulnerability Assessment T0+ 2 mesi 36 mesi

Web application firewall e Next Generation firewall T0+ 2 mesi 36 mesi

SP0 Assessment Infrastruttura del monitoraggio T0+2 mesi 12 mesi

SP1 Sicurezza Logica del servizio DR T0+ 2 mesi 36 mesi

SP2 Privileged account management T0+2 mesi 36 mesi

SP3 Security governance and improvement T0+2 mesi 36 mesi

Roma Capitale - DC -ProgettodeiFabbisogni- DEF2€¦ · autorizzazione scritta delle citate...

Documents

Transcript of Roma Capitale - DC -ProgettodeiFabbisogni- DEF2€¦ · autorizzazione scritta delle citate...