Requisiti tecnico-funzionali del servizio. Il servizio di “Vulnerability Assessment” dovrà consentire alle Amministrazione di identificare lo stato di esposizione alle vulnerabilità mediante la raccolta di informazioni concernente i servizi erogati, le applicazioni, l’architettura e le componenti tecnologiche. Il servizio è indirizzato principalmente alle Amministrazione che, in fase di definizione della strategia di sicurezza, necessitano di delineare un iniziale valutazione dello stato di sicurezza del sistema informativo e dello stato di esposizione alle vulnerabilità. Il servizio deve consentire una verifica dinamica della sicurezza dei dispositivi di rete, del software di base e delle applicazioni dell’Amministrazione allo scopo di identificare eventuali vulnerabilità, configurazioni di sicurezza errate, carenze sui livelli di protezione attivi, applicazioni web e serventi che espongano il contesto ad attacchi interni ed esterni. Il servizio dovrà essere modulare e configurabile per il singolo host o applicazione. Gli esiti del servizio consentiranno quindi alle Amministrazioni di elaborare una baseline iniziale (AS-IS) del livello di vulnerabilità e di esposizione del sistema informativo necessaria alla definizione della specifica strategia di sicurezza informatica. Tale baseline informativa dovrà essere verificata nuovamente nel momento in cui dovessero verificarsi cambiamenti strutturali nell’architettura dei sistemi, della rete o delle applicazioni a seguito ad esempio di: • una evoluzione dei sistemi e delle applicazioni del sistema informativo dell’Amministrazione dovuto ad un rinnovamento tecnologico o all’introduzione di vincoli normativi e/o organizzativi; • una evoluzione del modello di erogazione dei servizi dell’Amministrazione mediante la migrazione dei sistemi e delle applicazioni verso un modello “On-premise”, “Ibrido” o di tipo “Cloud”. Il servizio dovrà consentire una verifica dinamica della sicurezza dei dispositivi di rete dell’Amministrazione allo scopo di identificare eventuali vulnerabilità, configurazioni di sicurezza errate, carenze sui livelli di protezione attivi che espongano il contesto ad attacchi interni ed esterni. Per la raccolta di tali informazioni il Fornitore potrà avvalersi di strumenti automatizzati senza oneri aggiuintivi per l’Amministrazione al fine di rilevare le potenziali vulnerabilità. Gli strumenti dovranno essere configurati in modo da non risultare intrusivi (a meno che non sia espressamente concordato con l’Amministrazione). Il servizio dovrà pr...
Requisiti tecnico-funzionali del servizio. Il servizio di “Security Operation Center” (SOC) è il centro da cui vengono forniti i servizi alle Amministrazioni servizi mirati a garantire la corretta operatività dei sistemi attraverso la prevenzione, gestione, risoluzione di qualsiasi criticità di sicurezza che possa degradare il servizio all’utenza. La sua finalità principale è di ges tione e monitoraggio dei servizi di sicurezza oggetto di fornitura e, in aggiunta, ricevere ed analizzare ad esempio la reportistica e di log dando anche la giusta priorità ai processi di risoluzione e/o mitigazione delle minacce. Il Fornitore, nell’ambito del servizio “Security Operation Center” dovrà garantire all’Amministrazione almeno la disponibilità delle seguenti funzionalità base / strumenti a supporto: ⮚ la capacità di identificazione, gestione, mitigazione e risoluzione degli attacchi alla sicurezza di sistemi dell’Amministrazione; ⮚ la centralizzazione di tutte le attività di gestione delle funzionalità di sicurezza legate al Sistema Informativo (rete, sistemi, dati ed applicazioni); ⮚ il monitoraggio in tempo reale dell’infrastruttura IT e di Sicurezza al fine di individuare tempestivamente tentativi di intrusione, di attacco o di minaccia dei sistemi; ⮚ la raccolta centralizzata e attraverso canali cifrati (SSL) dei log e degli eventi generati da applicazioni e sistemi in rete (Security information Event managent - SIEM), anche da sistemi di sicurezza di tipo “on-site” gestiti dell’Amministrazione (ad esempio Firewall); ⮚ la disponibilità di un Console di gestione / Portale dei Servizi di Sicurezza per effettuare ad es. la gestione delle configurazioni di policy o per effettuare nuove richieste di servizi; ⮚ interazione con la piattaforma di trouble ticket del Centro servizi per la gestione delle richieste e la definizione degli alert e report; ⮚ la capacità di correlazione tra eventi diversi raccolti dal SIEM, integrando ed analizzando eventi provenienti da fonti diverse e consentendo, in aggiunta a regole predefinite, la creazione di regole personalizzate; ⮚ la disponibilità di un cruscotto (dashboard) che fornisca agli analisti, in tempo reale, una rappresentazione della situazione dei sistemi di sicurezza categorizzando per tipo di dispositivo e di dato, e la presenza di eventi anomali; ⮚ il supporto operativo e di analisi per la rilevazione di codici malevoli al fine di identificare, insieme all’eventuale supporto specialistico, le corrette politiche di difesa e prevenzione, concorrendo all’indagine pe...
Requisiti tecnico-funzionali del servizio. Il servizio di “Testing del codice - dinamico” dovrà consentire alle Amministrazioni l’identificazione delle vulnerabilità all'interno delle applicazioni Web in fase di esecuzione e l’analisi dell’esposizione al rischio di attacchi informatici ai sistemi informativi mediante l’utilizzo di tecniche di analisi dinamica. L’approccio adottato dovrà prevedere il “black box testing” o testing funzionale fondato sull’analisi degli output generati dal sistema o dai suoi componenti in risposta ad input definiti. L’analisi per l’individuazione delle vulnerabilità dovrà comprendere almeno gli ambiti di seguito riportati. ⮚ Configurazione: identificazione delle directory e delle pagine web interessate dal workflow applicativo. ⮚ Autenticazione: analisi delle funzionalità di autenticazione per verificare che al loro interno non siano presenti problematiche di sicurezza in particolare:
Requisiti tecnico-funzionali del servizio. Il servizio di “Testing del codice - mobile” deve consentire alle Amministrazioni di eseguire test mirati alle applicazioni di tipo mobile consentendo la rilevazione delle vulnerabilità di sicurezza che possono essere sfruttate da un attaccante per compromettere i dati delle mobile app, la logica di business o il framework del dispositivo mobile identificando qualsiasi minaccia che mette a rischio l'applicazione e/o l'infrastruttura. Si noti esplicitamente che l’ambito del servizio dovrà includere non solo l’analisi del codice e l’esecuzione dell’applicazione ma dovrà anche riguardare tutte le interfacce verso altri sistemi e/o applicazioni così come altre risorse collegate che potrebbero avere un impatto sulla sicurezza globale del sistema. Il Fornitore, nell’ambito del servizio “Testing del codice - mobile” dovrà garantire la disponibilità per l’Amministrazione almeno delle seguenti funzionalità base: ⮚ individuazione delle vulnerabilità mediante tecnica di analisi statica e dinamica; ⮚ verifica dei risultati, individuazione e rimozione dei falsi positivi; ⮚ assegnazione automatica delle priorità/severità ai rischi di sicurezza sulla base delle policy concordate con l’Amministrazione; ⮚ correlazione dei risultati delle fasi precedenti e la definizione del piano di rientro (remediation plan); ⮚ produzione di reportistica di sintesi (executive summary) e di dettaglio (technical report) sulle analisi eseguite e indicazione delle possibili ottimizzazioni da apportare; ⮚ analisi e gestione delle policy di accesso ai dati e alle funzioni del dispositivo. Il servizio dovrà prevedere, senza oneri aggiuntivi per l’Amministrazione, l’adozione di strumenti e la presenza di risorse professionali con competenze specifiche. Dal punto di vista tecnico, il servizio dovrà prevedere almeno: ⮚ compatibilità con almeno i seguenti principali sistemi operativi: Android e iOS.
Requisiti tecnico-funzionali del servizio. Il servizio “Supporto all’analisi e gestione degli incidenti” dovrà consentire alle Amministrazioni e agli organismi deputati alle attività di prevenzione, supporto nello svolgimento delle attività di analisi degli incidenti e di divulgazione delle informazioni in caso di emergenza. Il servizio è atto a garantire e supportare le Amministrazioni del rispetto e della corretta esecuzione di tutti i processi di gestione degli incidenti di sicurezza e di escalation. Il servizio, a fronte di un incidente di sicurezza, dovrà prevedere attività volta a definire il livello di impatto, delle strutture ed entità da coinvolgere e delle contromisure da adottare; in particolare: ⮚ la creazione e gestione di un piano di risposta agli incidenti (IRP); ⮚ l’investigazione e analisi degli incidenti; ⮚ verifica continuativa dei preallarmi, allerte, bollettini e delle informazioni in merito a rischi e incidenti emessi dal CSIRT-Italia; ⮚ l’identificazione della remediation dell’incidente; ⮚ analisi dei log e degli eventi; ⮚ malware forensic; ⮚ network e system forensic; ⮚ supporto ai processi di escalation verso le entità interne ed esterne (inclusi CSIRT-Italia, organi di polizia giudiziaria); ⮚ il supporto alla gestione delle comunicazioni interne/esterne e degli aggiornamenti durante o immediatamente dopo gli incidenti; ⮚ le raccomandazioni post-incident per modifiche a tecnologia. Si riportano di seguito, a titolo indicativo e non esaustivo, le attività di natura “consulenziale” del servizio: ⮚ supporto alla incident management strategy, ossia definizione delle azioni di contenimento, modalità di gestione del rapporto con le entità interne ed esterne, ecc; ⮚ supporto alla redazione e aggiornamento delle procedure di incident management richiamate nel processo di Incident Management emesso e gestito nell’ambito dei processi dell’Amministrazione in coerenza con le prassi e gli standard emessi del CSIRT-Italia; ⮚ supporto alle Amministrazioni di cui al D.lgs 65/2018 per le attività di notifica degli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti; ⮚ supporto alla progettazione, gestione ed evoluzione del monitoraggio in termini di definizione degli use-case relativi negli incidenti di sicurezza, supporto alla progettazione delle regole di correlazione e validazione dei sistemi/servizi di rilevazione in essere dell’Amministrazione; ⮚ supporto ai processi di tuning dei sistemi/servizi di rilevazione degli allarmi di sicurezza dell’Amministr...
Requisiti tecnico-funzionali del servizio. Il servizio di “Firma digitale” è un tipo di firma elettronica qualificata che dovrà consentire alle Amministrazioni di dare efficacia probatoria ai documenti informatici firmati digitalmente, favorendo così i processi di dematerializzazione e consentendo l’automazione e l’ottimizzazione dei processi aziendali. La firma digitale è il risultato di una procedura informatica, detta validazione, che garantisce l’autenticità, l’integrità e il non ripudio dei documenti informatici. Il servizio dovrà prevedere quale modalità di utilizzo “da remoto": si intende la firma digitale generata usando strumenti di autenticazione (tipicamente user id+ password +OTP o telefono cellulare) che consentono la generazione della firma su un dispositivo (HSM) custodito dal prestatore del servizio fiduciario qualificato.
Requisiti tecnico-funzionali del servizio. Il servizio di “Gestione continua delle vulnerabilità di sicurezza” dovrà consentire alle Amministrazioni, tramite un processo automatico di assesment delle vulnerabilità, di ottenere una fotografia precisa del livello e gravità del rischio a cui, in quel momento, sono esposti i propri sistemi informatici. Il servizio si avvarrà dell’utilizzo di uno scanner che produrrà un report con le specifiche indicazioni di rischio relative alle vulnerabilità rilevate. Il servizio di “Gestione continua delle vulnerabilità di sicurezza” dovrà garantire almeno le seguenti funzionalità: ⮚ capacità di scansione di tutti gli asset più rilevanti dell’Amministrazione quali ad esempio: • scansioni relative al networking e quindi ai dispositivi di rete; • scansioni relative agli host/server; • scansioni specifiche per le reti wireless; • scansioni relative alle Web application; • scansioni relative ai database. ⮚ capacità di classificare i rischi individuando i livelli di gravità; ⮚ utilizzo dei “Common Vulnerability Scoring System (CVSS)” (punteggio numerico per ogni vulnerabilità rilevata) e loro traduzione in una rappresentazione qualitativa (ad. Es. basso, medio, grande), consentendo quindi la prioritizzazione dei processi di gestione delle vulnerabilità; ⮚ possibilità di creare policy pre-impostate per l’esecuzione delle scansioni con opzioni di configurazioni già predefinite; ⮚ visualizzazione, anche grafica, dei risultati della scansione con elenco dei dispositivi individuati con eventuali descrizioni e vulnerabilità, elenco delle vulnerabilità con la loro classificazione e debolezze individuate sugli host scansionati; ⮚ possibilità di generare un report PDF, in almeno due modalità:
Requisiti tecnico-funzionali del servizio. Il certificato SSL (Secure Sockets Layer) e il suo successore TLS (Transport Layer Security), sono protocolli standard necessari a garantire affidabilità e sicurezza della comunicazione tra le componenti client e server di un’applicazione internet. Il certificato assicura che le informazioni sensibili fornite dagli utenti sul web rimangano riservate e non vengano in alcun modo intercettate da terze parti (comunicazione criptata tra il client server e il server web). Il Fornitore, nell’ambito del servizio di rilascio dei certificati SSL, dovrà garantire la disponibilità per l’Amministrazione almeno delle seguenti funzionalità: ⮚ utilizzo di certificati digitali sia lato server che, se richiesto, lato client; ⮚ emissione da una Certification Authority (CA) accreditata al CA/Browser Forum (CAB Forum) e quindi ritenuto valido e riconosciuto world-wide dai principali browser e sistemi operativi; ⮚ disponibilità alle Amministrazioni di tutte le tipologie di certificati SSL Server che, differenziandosi per le procedure di identificazione previste, consentano di soddisfare tutte le esigenze; ⮚ possibilità per le Amministrazioni di richiedere certificati per la firma del codice, detti CodeSigning.
Requisiti tecnico-funzionali del servizio. Il servizio “Formazione e Security awareness” è mirato a sensibilizzare l’Amministrazione su svariati aspetti della sicurezza delle informazioni, incrementando il livello di consapevolezza dei dipendenti, innalzando il livello di sicurezza dell’organizzazione e l’efficacia in termini di protezione dei dati aziendali critici e dei dati personali. Lo scopo è quello di sviluppare negli utenti le competenze essenziali, le tecniche e i metodi fondamentali per prevenire il più possibile gli incidenti di sicurezza e reagire al meglio a fronte di eventuali problemi. Il servizio è erogato mediante la messa a disposizione di figure professionali da parte del Fornitore. Si riportano a titolo esemplificativo e non esaustivo alcune tematiche che possono essere oggetto di formazione specifica: ⮚ linee guida di base, ovvero la protezione del proprio computer e dei dispositivi mobili (smartphone e tablet); ⮚ la robustezza e la protezione delle credenziali d’accesso; ⮚ la salvaguardia delle proprie informazioni personali; ⮚ il riconoscimento dei tentativi di intrusione e truffa (spam, phishing, social engineering, ecc.); ⮚ governo delle politiche di sicurezza; ⮚ analisi del rischio, anche in relazione agli strumenti e relative metodologie rese disponibili da Agid per la PA; ⮚ le soluzioni di controllo e le migliori pratiche di prevenzione/risposta ad eventi negativi. Devono essere disponibili pratiche formative tradizionali ed innovative, diversificate in funzione dell’area di appartenenza e della posizione aziendale, e con un forte taglio pratico ed adeguato rispetto alla platea dei fruitori. A titolo indicativo, vengono riportate, in aggiunta alle modalità tradizionali di formazione in aula e e-learning, alcune tecniche formative innovative che dovrebbero essere utilizzate nella costruzione dei contenuti: ⮚ allestimento di newsletter aziendali focalizzate di volta in volta su diverse tematiche di sicurezza delle informazioni, anche in funzione di eventi accaduti ⮚ preparazione dei contenuti necessari ad alimentare il portale intranet aziendale in una sezione dedicata alla sicurezza ⮚ preparazione di contenuti in modalità multimediale, specifici su alcune tematiche ⮚ preparazione di apposite immagini di sensibilizzazione tali da consentirne la distribuzione sui diversi endpoint dei dipendenti Dovranno essere utilizzate tecniche di verifica dei livelli di apprendimento raggiunti dai fruitori dei corsi in tema di cyber security. In aggiunta alle modalità più tradizionali di...
Requisiti tecnico-funzionali del servizio. Il servizio di “Validazione temporale elettronica qualificata” (in precedenza qualificato come ““Marca temporale”) dovrà fornire alle Amministrazioni, mediante un Certificatore accreditato, di associare data e ora, certe e legalmente valide, a un documento informatico, permettendo una validazione temporale del documento opponibile a terzi. Il servizio permette quindi di garantire l’apposizione di un riferimento temporale certo (legalmente valido) sia a documenti firmati digitalmente sia a documenti non firmati, oltre che l’estensione della validità legale dei propri documenti firmati digitalmente nel tempo. In definitiva permette di: ⮚ dimostrare che lo specifico documento elettronico esisteva in quella firma alla specifica data; ⮚ estendere la validità di un documento informatico, firmato digitalmente, oltre la data di scadenza del certificato di firma digitale. Il servizio dovrà essere coerente con la definizione EIDAS che soddisfa i requisiti di cui all’articolo 42 del Regolamento eIDAS.