Requisiti tecnico-funzionali del servizio. Il servizio di “Penetration testing” dovrà fornire alle Amministrazioni un processo operativo di analisi e valutazione dei punti deboli relativi ad una infrastruttura IT. Il servizio, condotto su più fasi e mediante l’adozione di adeguati strumenti, si configura nella simulazione di un attacco informatico al sistema da parte di un utente malintenzionato al fine di rilevare la presenza di eventuali falle e vulnerabilità al suo interno. Verranno fornite il maggior numero di informazioni sulle vulnerabilità che hanno permesso l'accesso non autorizzato al sistema con una stima chiara sulle capacità di difesa e sul livello di penetrazione raggiunto. A titolo esemplificativo vengono di seguito indicate le eventuali vulnerabilità utilizzabili a scopi malevoli: ⮚ vulnerabilità interne al sistema: che permetterebbero l’accesso sia ad utenti autorizzati che non autorizzati; ⮚ vulnerabilità esterne al sistema: relative al modo in cui una organizzazione si connette a Internet e ad altri sistemi esterni. Include server, host, dispositivi e servizi di rete; ⮚ vulnerabilità delle applicazioni web e mobile: che deriverebbero da pratiche non sicure nella esecuzione di un’applicazione, di un sito web, di un APP. ⮚ vulnerabilità delle reti wireless: che permetterebbero l’accesso a dispositivi non autorizzati che fanno parte dell’ambiente protetto dell’organizzazione accesso e i dispositivi non autorizzati che fanno parte dell’ambiente protetto dell’organizzazione. ⮚ vulnerabilità delle API: relative al corretto funzionamento delle logiche applicative soprattutto per quanto riguarda le meccaniche di autenticazione e autorizzazione. ⮚ vulnerabilità degli IoT: relative al corretto funzionamento di tali infrastrutture allo scopo di estrarre informazioni o comprometterne il funzionamento. ⮚ vulnerabilità dei dati sensibili dovute ad un attacco di phising (Phishing): relative alla valutazione della suscettibilità dei dipendenti agli attacchi di “ingegneria sociale”. Le vulnerabilità possono quindi riguardare sistemi operativi, servizi, configurazioni, server, endpoint, applicazioni Web, reti wireless, dispositivi di rete, dispositivi mobili. Il servizio di “Penetration Testing” potrà essere svolto dal Fornitore mediante l’adozione di tecnologie e strumenti automatici senza oneri aggiuntivi per l’Amministrazione. Il fornitore dovrà svolgere il servizio di “Penetration testing” mediante l’adozione di metodologie e standard di mercato di riferimento quali: ⮚ OWASP Testing Guide; ⮚ OS...
Requisiti tecnico-funzionali del servizio. Il servizio di “Testing del codice - dinamico” dovrà consentire alle Amministrazioni l’identificazione delle vulnerabilità all'interno delle applicazioni Web in fase di esecuzione e l’analisi dell’esposizione al rischio di attacchi informatici ai sistemi informativi mediante l’utilizzo di tecniche di analisi dinamica. L’approccio adottato dovrà prevedere il “black box testing” o testing funzionale fondato sull’analisi degli output generati dal sistema o dai suoi componenti in risposta ad input definiti. L’analisi per l’individuazione delle vulnerabilità dovrà comprendere almeno gli ambiti di seguito riportati. ⮚ Configurazione: identificazione delle directory e delle pagine web interessate dal workflow applicativo. ⮚ Autenticazione: analisi delle funzionalità di autenticazione per verificare che al loro interno non siano presenti problematiche di sicurezza in particolare:
Requisiti tecnico-funzionali del servizio. Il servizio di “Testing del codice - mobile” deve consentire alle Amministrazioni di eseguire test mirati alle applicazioni di tipo mobile consentendo la rilevazione delle vulnerabilità di sicurezza che possono essere sfruttate da un attaccante per compromettere i dati delle mobile app, la logica di business o il framework del dispositivo mobile identificando qualsiasi minaccia che mette a rischio l'applicazione e/o l'infrastruttura. Si noti esplicitamente che l’ambito del servizio dovrà includere non solo l’analisi del codice e l’esecuzione dell’applicazione ma dovrà anche riguardare tutte le interfacce verso altri sistemi e/o applicazioni così come altre risorse collegate che potrebbero avere un impatto sulla sicurezza globale del sistema. Il Fornitore, nell’ambito del servizio “Testing del codice - mobile” dovrà garantire la disponibilità per l’Amministrazione almeno delle seguenti funzionalità base: ⮚ individuazione delle vulnerabilità mediante tecnica di analisi statica e dinamica; ⮚ verifica dei risultati, individuazione e rimozione dei falsi positivi; ⮚ assegnazione automatica delle priorità/severità ai rischi di sicurezza sulla base delle policy concordate con l’Amministrazione; ⮚ correlazione dei risultati delle fasi precedenti e la definizione del piano di rientro (remediation plan); ⮚ produzione di reportistica di sintesi (executive summary) e di dettaglio (technical report) sulle analisi eseguite e indicazione delle possibili ottimizzazioni da apportare; ⮚ analisi e gestione delle policy di accesso ai dati e alle funzioni del dispositivo. Il servizio dovrà prevedere, senza oneri aggiuntivi per l’Amministrazione, l’adozione di strumenti e la presenza di risorse professionali con competenze specifiche. Dal punto di vista tecnico, il servizio dovrà prevedere almeno: ⮚ compatibilità con almeno i seguenti principali sistemi operativi: Android e iOS.
Requisiti tecnico-funzionali del servizio. Il servizio di “Firma digitale” è un tipo di firma elettronica qualificata che dovrà consentire alle Amministrazioni di dare efficacia probatoria ai documenti informatici firmati digitalmente, favorendo così i processi di dematerializzazione e consentendo l’automazione e l’ottimizzazione dei processi aziendali. La firma digitale è il risultato di una procedura informatica, detta validazione, che garantisce l’autenticità, l’integrità e il non ripudio dei documenti informatici. Il servizio dovrà prevedere quale modalità di utilizzo “da remoto": si intende la firma digitale generata usando strumenti di autenticazione (tipicamente user id+ password +OTP o telefono cellulare) che consentono la generazione della firma su un dispositivo (HSM) custodito dal prestatore del servizio fiduciario qualificato.
Requisiti tecnico-funzionali del servizio. Il servizio di “Security Operation Center” (SOC) è il centro da cui vengono forniti i servizi alle Amministrazioni servizi mirati a garantire la corretta operatività dei sistemi attraverso la prevenzione, gestione, risoluzione di qualsiasi criticità di sicurezza che possa degradare il servizio all’utenza. La sua finalità principale è di gestione e monitoraggio dei servizi di sicurezza oggetto di fornitura e, in aggiunta, ricevere ed analizzare ad esempio la reportistica e di log dando anche la giusta priorità ai processi di risoluzione e/o mitigazione delle minacce. Il Fornitore, nell’ambito del servizio “Security Operation Center” dovrà garantire all’Amministrazione almeno la disponibilità delle seguenti funzionalità base / strumenti a supporto: ⮚ la capacità di identificazione, gestione, mitigazione e risoluzione degli attacchi alla sicurezza di sistemi dell’Amministrazione; ⮚ la centralizzazione di tutte le attività di gestione delle funzionalità di sicurezza legate al Sistema Informativo (rete, sistemi, dati ed applicazioni); ⮚ il monitoraggio in tempo reale dell’infrastruttura IT e di Sicurezza al fine di individuare tempestivamente tentativi di intrusione, di attacco o di minaccia dei sistemi; ⮚ la raccolta centralizzata e attraverso canali cifrati (SSL) dei log e degli eventi generati da applicazioni e sistemi in rete (Security information Event managent - SIEM), anche da sistemi di sicurezza di tipo “on-site” gestiti dell’Amministrazione (ad esempio Firewall); ⮚ la disponibilità di un Console di gestione / Portale dei Servizi di Sicurezza per effettuare ad es. la gestione delle configurazioni di policy o per effettuare nuove richieste di servizi; ⮚ interazione con la piattaforma di trouble ticket del Centro servizi per la gestione delle richieste e la definizione degli alert e report; ⮚ la capacità di correlazione tra eventi diversi raccolti dal SIEM, integrando ed analizzando eventi provenienti da fonti diverse e consentendo, in aggiunta a regole predefinite, la creazione di regole personalizzate; ⮚ la disponibilità di un cruscotto (dashboard) che fornisca agli analisti, in tempo reale, una rappresentazione della situazione dei sistemi di sicurezza categorizzando per tipo di dispositivo e di dato, e la presenza di eventi anomali; ⮚ il supporto operativo e di analisi per la rilevazione di codici malevoli al fine di identificare, insieme all’eventuale supporto specialistico, le corrette politiche di difesa e prevenzione, concorrendo all’indagine per...
Requisiti tecnico-funzionali del servizio. Il servizio “Supporto all’analisi e gestione degli incidenti” dovrà consentire alle Amministrazioni e agli organismi deputati alle attività di prevenzione, un supporto nelle sole fasi di analisi, progettazione e verifica (post-mortem) dei processi di gestione degli incidenti di sicurezza nonchè di supporto alla divulgazione delle informazioni. A mero titolo di esempio si indicano di seguito i possibili ambiti di supporto: • modalità di creazione e gestione di un piano di risposta agli incidenti (IRP); • modalità di verifica dei preallarmi, allerte, bollettini e delle informazioni in merito a rischi e incidenti emessi dal CSIRT-Italia; • modalità di classificazione della remediation dell’incidente; • modalità di analisi dei log e degli eventi; • processi di analisi post-mortem (forense); • processi di escalation verso le entità interne ed esterne (inclusi CSIRT-Italia, organi di polizia giudiziaria); • modalità di gestione delle comunicazioni interne/esterne e degli aggiornamenti; • raccomandazioni post-mortem per modifiche a tecnologia. Si riportano di seguito, a titolo indicativo e non esaustivo, le attività di natura “consulenziale” del servizio: ⮚ supporto alla incident management strategy, ossia definizione delle azioni di contenimento, modalità di gestione del rapporto con le entità interne ed esterne, ecc; ⮚ supporto alla redazione e aggiornamento delle procedure di incident management richiamate nel processo di Incident Management emesso e gestito nell’ambito dei processi dell’Amministrazione in coerenza con le prassi e gli standard emessi del CSIRT-Italia; ⮚ supporto alle Amministrazioni di cui al D.lgs 65/2018 per le attività di notifica degli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti; ⮚ supporto alla progettazione, gestione ed evoluzione del monitoraggio in termini di definizione degli use-case relativi negli incidenti di sicurezza, supporto alla progettazione delle regole di correlazione e validazione dei sistemi/servizi di rilevazione in essere dell’Amministrazione; ⮚ supporto ai processi di tuning dei sistemi/servizi di rilevazione degli allarmi di sicurezza dell’Amministrazione. ⮚ Supporto all’Amministrazione nell’organizzazione, pianificazione, controllo nonché di coordinamento generale per la verifica tecnica di esecuzione di sicurezza erogati da remoto in favore all’Amministrazione, con particolare attenzione alle attività di verifica dei risultati attesi. Nell’esecuzione del servizio il Fornitor...
Requisiti tecnico-funzionali del servizio. Il servizio di “Validazione temporale elettronica qualificata” (in precedenza qualificato come ““Marca temporale”) dovrà fornire alle Amministrazioni, mediante un Certificatore accreditato, di associare data e ora, certe e legalmente valide, a un documento informatico, permettendo una validazione temporale del documento opponibile a terzi. Il servizio permette quindi di garantire l’apposizione di un riferimento temporale certo (legalmente valido) sia a documenti firmati digitalmente sia a documenti non firmati, oltre che l’estensione della validità legale dei propri documenti firmati digitalmente nel tempo. In definitiva permette di: ⮚ dimostrare che lo specifico documento elettronico esisteva in quella firma alla specifica data; ⮚ estendere la validità di un documento informatico, firmato digitalmente, oltre la data di scadenza del certificato di firma digitale. Il servizio dovrà essere coerente con la definizione EIDAS che soddisfa i requisiti di cui all’articolo 42 del Regolamento eIDAS.
Requisiti tecnico-funzionali del servizio. Il servizio di “Gestione continua delle vulnerabilità di sicurezza” dovrà consentire alle Amministrazioni, tramite un processo automatico di assesment delle vulnerabilità, di ottenere una fotografia precisa del livello e gravità del rischio a cui, in quel momento, sono esposti i propri sistemi informatici. Il servizio si avvarrà dell’utilizzo di uno scanner che produrrà un report con le specifiche indicazioni di rischio relative alle vulnerabilità rilevate. Il servizio di “Gestione continua delle vulnerabilità di sicurezza” dovrà garantire almeno le seguenti funzionalità: ⮚ capacità di scansione di tutti gli asset più rilevanti dell’Amministrazione quali ad esempio: • scansioni relative al networking e quindi ai dispositivi di rete; • scansioni relative agli host/server; • scansioni specifiche per le reti wireless; • scansioni relative alle Web application; • scansioni relative ai database. ⮚ capacità di classificare i rischi individuando i livelli di gravità; ⮚ utilizzo dei “Common Vulnerability Scoring System (CVSS)” (punteggio numerico per ogni vulnerabilità rilevata) e loro traduzione in una rappresentazione qualitativa (ad. Es. basso, medio, grande), consentendo quindi la prioritizzazione dei processi di gestione delle vulnerabilità; ⮚ possibilità di creare policy pre-impostate per l’esecuzione delle scansioni con opzioni di configurazioni già predefinite; ⮚ visualizzazione, anche grafica, dei risultati della scansione con elenco dei dispositivi individuati con eventuali descrizioni e vulnerabilità, elenco delle vulnerabilità con la loro classificazione e debolezze individuate sugli host scansionati; ⮚ possibilità di generare un report PDF, in almeno due modalità:
Requisiti tecnico-funzionali del servizio. Il certificato SSL (Secure Sockets Layer) e il suo successore TLS (Transport Layer Security), sono protocolli standard necessari a garantire affidabilità e sicurezza della comunicazione tra le componenti client e server di un’applicazione internet. Il certificato assicura che le informazioni sensibili fornite dagli utenti sul web rimangano riservate e non vengano in alcun modo intercettate da terze parti (comunicazione criptata tra il client server e il server web). Il Fornitore, nell’ambito del servizio di rilascio dei certificati SSL, dovrà garantire la disponibilità per l’Amministrazione almeno delle seguenti funzionalità: ⮚ utilizzo di certificati digitali sia lato server che, se richiesto, lato client; ⮚ emissione da una Certification Authority (CA) accreditata al CA/Browser Forum (CAB Forum) e quindi ritenuto valido e riconosciuto world-wide dai principali browser e sistemi operativi; ⮚ disponibilità alle Amministrazioni di tutte le tipologie di certificati SSL Server che, differenziandosi per le procedure di identificazione previste, consentano di soddisfare tutte le esigenze; ⮚ possibilità per le Amministrazioni di richiedere certificati per la firma del codice, detti CodeSigning.
Requisiti tecnico-funzionali del servizio. Il servizio “Formazione e Security awareness” è mirato a sensibilizzare l’Amministrazione su svariati aspetti della sicurezza delle informazioni, incrementando il livello di consapevolezza dei dipendenti, innalzando il livello di sicurezza dell’organizzazione e l’efficacia in termini di protezione dei dati aziendali critici e dei dati personali. Lo scopo è quello di sviluppare negli utenti le competenze essenziali, le tecniche e i metodi fondamentali per prevenire il più possibile gli incidenti di sicurezza e reagire al meglio a fronte di eventuali problemi. Il servizio è erogato mediante la messa a disposizione di figure professionali da parte del Fornitore. Si riportano a titolo esemplificativo e non esaustivo alcune tematiche che possono essere oggetto di formazione specifica: ⮚ linee guida di base, ovvero la protezione del proprio computer e dei dispositivi mobili (smartphone e tablet); ⮚ la robustezza e la protezione delle credenziali d’accesso; ⮚ la salvaguardia delle proprie informazioni personali; ⮚ il riconoscimento dei tentativi di intrusione e truffa (spam, phishing, social engineering, ecc.); ⮚ governo delle politiche di sicurezza; ⮚ analisi del rischio, anche in relazione agli strumenti e relative metodologie rese disponibili da Agid per la PA; ⮚ le soluzioni di controllo e le migliori pratiche di prevenzione/risposta ad eventi negativi. Devono essere disponibili pratiche formative tradizionali ed innovative, diversificate in funzione dell’area di appartenenza e della posizione aziendale, e con un forte taglio pratico ed adeguato rispetto alla platea dei fruitori. A titolo indicativo, vengono riportate, in aggiunta alle modalità tradizionali di formazione in aula e e-learning, alcune tecniche formative innovative che dovrebbero essere utilizzate nella costruzione dei contenuti: ⮚ allestimento di newsletter aziendali focalizzate di volta in volta su diverse tematiche di sicurezza delle informazioni, anche in funzione di eventi accaduti ⮚ preparazione dei contenuti necessari ad alimentare il portale intranet aziendale in una sezione dedicata alla sicurezza ⮚ preparazione di contenuti in modalità multimediale, specifici su alcune tematiche ⮚ preparazione di apposite immagini di sensibilizzazione tali da consentirne la distribuzione sui diversi endpoint dei dipendenti Dovranno essere utilizzate tecniche di verifica dei livelli di apprendimento raggiunti dai fruitori dei corsi in tema di cyber security. In aggiunta alle modalità più tradizionali di...