Common use of Requisiti tecnico-funzionali del servizio Clause in Contracts

Requisiti tecnico-funzionali del servizio. Il servizio di “Penetration testing” dovrà fornire alle Amministrazioni un processo operativo di analisi e valutazione dei punti deboli relativi ad una infrastruttura IT. Il servizio, condotto su più fasi e mediante l’adozione di adeguati strumenti, si configura nella simulazione di un attacco informatico al sistema da parte di un utente malintenzionato al fine di rilevare la presenza di eventuali falle e vulnerabilità al suo interno. Verranno fornite il maggior numero di informazioni sulle vulnerabilità che hanno permesso l'accesso non autorizzato al sistema con una stima chiara sulle capacità di difesa e sul livello di penetrazione raggiunto. A titolo esemplificativo vengono di seguito indicate le eventuali vulnerabilità utilizzabili a scopi malevoli: ⮚ vulnerabilità interne al sistema: che permetterebbero l’accesso sia ad utenti autorizzati che non autorizzati; ⮚ vulnerabilità esterne al sistema: relative al modo in cui una organizzazione si connette a Internet e ad altri sistemi esterni. Include server, host, dispositivi e servizi di rete; ⮚ vulnerabilità delle applicazioni web e mobile: che deriverebbero da pratiche non sicure nella esecuzione di un’applicazione, di un sito web, di un APP. ⮚ vulnerabilità delle reti wireless: che permetterebbero l’accesso a dispositivi non autorizzati che fanno parte dell’ambiente protetto dell’organizzazione accesso e i dispositivi non autorizzati che fanno parte dell’ambiente protetto dell’organizzazione. ⮚ vulnerabilità delle API: relative al corretto funzionamento delle logiche applicative soprattutto per quanto riguarda le meccaniche di autenticazione e autorizzazione. ⮚ vulnerabilità degli IoT: relative al corretto funzionamento di tali infrastrutture allo scopo di estrarre informazioni o comprometterne il funzionamento. ⮚ vulnerabilità dei dati sensibili dovute ad un attacco di phising (Phishing): relative alla valutazione della suscettibilità dei dipendenti agli attacchi di “ingegneria sociale”. Le vulnerabilità possono quindi riguardare sistemi operativi, servizi, configurazioni, server, endpoint, applicazioni Web, reti wireless, dispositivi di rete, dispositivi mobili. Il servizio di “Penetration Testing” potrà essere svolto dal Fornitore mediante l’adozione di tecnologie e strumenti automatici senza oneri aggiuntivi per l’Amministrazione. Il fornitore dovrà svolgere il servizio di “Penetration testing” mediante l’adozione di metodologie e standard di mercato di riferimento quali: ⮚ OWASP Testing Guide; ⮚ OSSTMM; ⮚ Penetration Testing Execution Standard. Di seguito le fasi che il servizio di “penetration testing” dovrà prevedere sono almeno le seguenti fasi:

Requisiti tecnico-funzionali del servizio. Il servizio di “Penetration testingVulnerability Assessment” dovrà fornire consentire alle Amministrazione di identificare lo stato di esposizione alle vulnerabilità mediante la raccolta di informazioni concernente i servizi erogati, le applicazioni, l’architettura e le componenti tecnologiche. Il servizio è indirizzato principalmente alle Amministrazione che, in fase di definizione della strategia di sicurezza, necessitano di delineare un iniziale valutazione dello stato di sicurezza del sistema informativo e dello stato di esposizione alle vulnerabilità. Il servizio deve consentire una verifica dinamica della sicurezza dei dispositivi di rete, del software di base e delle applicazioni dell’Amministrazione allo scopo di identificare eventuali vulnerabilità, configurazioni di sicurezza errate, carenze sui livelli di protezione attivi, applicazioni web e serventi che espongano il contesto ad attacchi interni ed esterni. Il servizio dovrà essere modulare e configurabile per il singolo host o applicazione. Gli esiti del servizio consentiranno quindi alle Amministrazioni di elaborare una baseline iniziale (AS-IS) del livello di vulnerabilità e di esposizione del sistema informativo necessaria alla definizione della specifica strategia di sicurezza informatica. Tale baseline informativa dovrà essere verificata nuovamente nel momento in cui dovessero verificarsi cambiamenti strutturali nell’architettura dei sistemi, della rete o delle applicazioni a seguito ad esempio di: • una evoluzione dei sistemi e delle applicazioni del sistema informativo dell’Amministrazione dovuto ad un processo operativo rinnovamento tecnologico o all’introduzione di analisi vincoli normativi e/o organizzativi; • una evoluzione del modello di erogazione dei servizi dell’Amministrazione mediante la migrazione dei sistemi e valutazione dei punti deboli relativi ad una infrastruttura ITdelle applicazioni verso un modello “On-premise”, “Ibrido” o di tipo “Cloud”. Il servizioservizio dovrà consentire una verifica dinamica della sicurezza dei dispositivi di rete dell’Amministrazione allo scopo di identificare eventuali vulnerabilità, condotto su più fasi e mediante l’adozione configurazioni di adeguati strumentisicurezza errate, si configura nella simulazione carenze sui livelli di un attacco informatico al sistema da parte protezione attivi che espongano il contesto ad attacchi interni ed esterni. Per la raccolta di un utente malintenzionato tali informazioni il Fornitore potrà avvalersi di strumenti automatizzati senza oneri aggiuintivi per l’Amministrazione al fine di rilevare la presenza di eventuali falle e vulnerabilità al suo internole potenziali vulnerabilità. Verranno fornite il maggior numero di informazioni sulle vulnerabilità che hanno permesso l'accesso Gli strumenti dovranno essere configurati in modo da non autorizzato al sistema con una stima chiara sulle capacità di difesa e sul livello di penetrazione raggiunto. A titolo esemplificativo vengono di seguito indicate le eventuali vulnerabilità utilizzabili risultare intrusivi (a scopi malevoli: ⮚ vulnerabilità interne al sistema: che permetterebbero l’accesso sia ad utenti autorizzati meno che non autorizzati; ⮚ vulnerabilità esterne al sistema: relative al modo in cui una organizzazione si connette a Internet e ad altri sistemi esterni. Include server, host, dispositivi e servizi di rete; ⮚ vulnerabilità delle applicazioni web e mobile: che deriverebbero da pratiche non sicure nella esecuzione di un’applicazione, di un sito web, di un APP. ⮚ vulnerabilità delle reti wireless: che permetterebbero l’accesso a dispositivi non autorizzati che fanno parte dell’ambiente protetto dell’organizzazione accesso e i dispositivi non autorizzati che fanno parte dell’ambiente protetto dell’organizzazione. ⮚ vulnerabilità delle API: relative al corretto funzionamento delle logiche applicative soprattutto per quanto riguarda le meccaniche di autenticazione e autorizzazione. ⮚ vulnerabilità degli IoT: relative al corretto funzionamento di tali infrastrutture allo scopo di estrarre informazioni o comprometterne il funzionamento. ⮚ vulnerabilità dei dati sensibili dovute ad un attacco di phising (Phishing): relative alla valutazione della suscettibilità dei dipendenti agli attacchi di “ingegneria sociale”. Le vulnerabilità possono quindi riguardare sistemi operativi, servizi, configurazioni, server, endpoint, applicazioni Web, reti wireless, dispositivi di rete, dispositivi mobilisia espressamente concordato con l’Amministrazione). Il servizio dovrà prevedere almeno le fasi sotto elencate. a. Pianificazione. b. Esecuzione. ⮚ individuazione delle vulnerabilità svolta al fine di “Penetration Testing” potrà collezionare, tramite un set opportuno di strumenti automatizzati e correttamente configurati, una lista delle potenziali vulnerabilità note a cui potrebbero essere svolto dal Fornitore soggetti i sistemi analizzati. Tale fase dovrà adattarsi al contesto infrastrutturale specifico ed alle peculiari vulnerabilità associate allo specifico modello di trasporto; ⮚ esecuzione delle attività secondo un approccio sia di tipo black box (senza ausilio di credenziali) che di tipo grey box (con ausilio di credenziali); ⮚ network e service discovery, con scansione della rete alla ricerca dei nodi attivi; ⮚ identificazione delle tecnologie adottate e delle relative versioni dei servizi in esecuzione; ⮚ individuazione delle vulnerabilità applicative mediante l’adozione discovery e testing delle URL, form HTML, componenti Javascript, Ajax, ecc.; ⮚ verifiche atte a valutare anche la robustezza di infrastrutture Wi-Fi e access point ad uso del personale dipendente dell’Amministrazione e del personale esterno; ⮚ individuazione di tecnologie e strumenti automatici senza oneri aggiuntivi per l’Amministrazione. Il fornitore dovrà svolgere il servizio in ambienti non idonei, con conseguente esposizione di “Penetration testing” mediante l’adozione di metodologie e standard di mercato di riferimento quali: ⮚ OWASP Testing Guiderischi; ⮚ OSSTMMmancanza o non corretta implementazione di tecnologie di prevenzione e riconoscimento di possibili attacchi (sistemi IDS, sistemi IPS, attività di monitoraggio dei log); ⮚ Penetration Testing Execution Standard. Di seguito le fasi che il servizio utilizzo di “penetration testing” dovrà prevedere sono almeno le seguenti fasi:tecnologie in modi impropri. c. Prioritizzazione delle vulnerabilità e verifica dei risultati.

Requisiti tecnico-funzionali del servizio. Il servizio di “Penetration testing” dovrà fornire Protezione endpoint consente alle Amministrazioni di proteggere i dispositivi collegati alla rete aziendale (ad es. pc desktop. laptop, smartphone, tablet) dall’accesso non autorizzato o dall’esecuzione di software dannoso. La protezione degli endpoint garantisce, inoltre, che i dispositivi raggiungano un processo operativo livello di analisi sicurezza definito e valutazione dei punti deboli relativi ad una infrastruttura ITsiano conformi ai requisiti di conformità dell’Amministrazione. Il serviziofornitore, condotto su più fasi nell’ambito del servizio di Protezione endpoint, dovrà garantire la disponibilità per l’Amministrazione almeno delle seguenti funzionalità: ⮚ protezione dei dispositivi mediante sistemi antimalware (antivirus, antispam), impedendo lo sfruttamento delle carenze di sicurezza e mediante l’adozione l’accesso non autorizzato; ⮚ Ispezione efficace del traffico https. Blocco dell’accesso a siti potenzialmente malevoli e controllo delle applicazioni mobile per evitare attivazioni fraudolente di adeguati strumentiActive x, si configura nella simulazione Java Script ed eseguibili, rilevando e filtrando il traffico internet dannoso in tempo reale; ⮚ conformità agli standard e quindi la possibilità di verificare se siano applicate le regole previste dalle policy di sicurezza nel dispositivo connesso alla rete dell’Amministrazione, come ad es. utilizzo di un attacco informatico al sistema da parte operativo approvato, installazione di una VPN o l’esecuzione di un utente malintenzionato al fine software antivirus aggiornato; ⮚ monitoraggio continuo delle minacce avanzate e protezione da malware basati su file e senza file, supportando l’identificazione degli attacchi in fase iniziale e la risposta rapida ad un’ampia gamma di rilevare la presenza minacce (Endpoint Detection and Response – EDR); ⮚ controllo dell’uso dei dispositivi USB e di eventuali falle e vulnerabilità al suo interno. Verranno fornite il maggior numero di informazioni sulle vulnerabilità che hanno permesso l'accesso altri device portatili prevedendo l’utilizzo non autorizzato al sistema con una stima chiara sulle capacità di difesa e sul livello periferiche di penetrazione raggiuntoarchiviazione (ad es. A titolo esemplificativo vengono pendrive, hard-disk esterni) ed attivando il controllo ed il monitoraggio di seguito indicate tutte le eventuali vulnerabilità utilizzabili a scopi malevoli: ⮚ vulnerabilità interne al sistema: che permetterebbero l’accesso sia porte di comunicazione (ad utenti autorizzati che non autorizzaties. USB, SATA, WI-FI); ⮚ vulnerabilità esterne al sistema: relative al modo in cui una organizzazione si connette a Internet e ad altri sistemi esterni. Include serverprevenzione della perdita di dati tramite USB, hostemail, applicazioni SaaS, Web, dispositivi mobili e servizi di retearchiviazione nel cloud; ⮚ vulnerabilità delle applicazioni web e mobile: che deriverebbero da pratiche non sicure nella esecuzione di un’applicazione, di un sito web, di un APP. ⮚ vulnerabilità delle reti wireless: che permetterebbero l’accesso a dispositivi non autorizzati che fanno parte dell’ambiente protetto dell’organizzazione accesso e i dispositivi non autorizzati che fanno parte dell’ambiente protetto dell’organizzazione. ⮚ vulnerabilità delle API: relative al corretto funzionamento delle logiche applicative soprattutto crittografia dei file basata sulle policy aziendali per quanto riguarda le meccaniche di autenticazione e autorizzazione. ⮚ vulnerabilità degli IoT: relative al corretto funzionamento di tali infrastrutture allo scopo di estrarre informazioni o comprometterne il funzionamento. ⮚ vulnerabilità la protezione dei dati sensibili dovute ad un attacco di phising (Phishing): relative alla valutazione della suscettibilità dei dipendenti agli attacchi di “ingegneria sociale”. Le vulnerabilità possono quindi riguardare sistemi operativi, servizi, configurazioni, server, endpoint, applicazioni Web, reti wireless, dispositivi di rete, dispositivi mobili. Il servizio di “Penetration Testing” potrà essere svolto dal Fornitore mediante l’adozione di tecnologie e strumenti automatici senza oneri aggiuntivi per l’Amministrazione. Il fornitore dovrà svolgere il servizio di “Penetration testing” mediante l’adozione di metodologie e standard di mercato di riferimento quali: ⮚ OWASP Testing Guidesensibili; ⮚ OSSTMM; ⮚ Penetration Testing Execution Standard. Di seguito le fasi che il trasmissione di eventi e log alla funzionalità di SIEM del servizio SOC oggetto di “penetration testing” dovrà prevedere sono almeno le seguenti fasi:fornitura o ad altro strumento di raccolta log, ove disponibile, dell’Amministrazione.

Requisiti tecnico-funzionali del servizio. Il servizio di “Penetration testing” dovrà fornire Protezione endpoint consente alle Amministrazioni di proteggere i dispositivi collegati alla rete aziendale (ad es. pc desktop. laptop, smartphone, tablet) dall’accesso non autorizzato o dall’esecuzione di software dannoso. La protezione degli endpoint garantisce, inoltre, che i dispositivi raggiungano un processo operativo livello di analisi sicurezza definito e valutazione dei punti deboli relativi ad una infrastruttura ITsiano conformi ai requisiti di conformità dell’Amministrazione. Il serviziofornitore, condotto su più fasi nell’ambito del servizio di Protezione endpoint, dovrà garantire la disponibilità per l’Amministrazione almeno delle seguenti funzionalità: ⮚ protezione dei dispositivi mediante sistemi antimalware (antivirus, antispam), impedendo lo sfruttamento delle carenze di sicurezza e mediante l’adozione l’accesso non autorizzato; ⮚ Ispezione efficace del traffico https. Blocco dell’accesso a siti potenzialmente ma levoli e controllo delle applicazioni mobile per evitare attivazioni fraudolente di adeguati strumentiActive x, si configura nella simulazione Java Script ed eseguibili, rilevando e filtrando il traffico internet dannoso in tempo reale; ⮚ conformità agli standard e quindi la possibilità di verificare se s iano applicate le regole previste dalle policy di sicurezza nel dispositivo connesso alla rete dell’Amministrazione, come ad es. utilizzo di un attacco informatico al sistema da parte operativo approvato, installazione di una VPN o l’esecuzione di un utente malintenzionato al fine software antivirus aggiornato; ⮚ monitoraggio continuo delle minacce avanzate e protezione da malware basati su file e senza file, supportando l’identificazione degli attacchi in fase iniziale e la risposta rapida ad un’ampia gamma di rilevare la presenza minacce (Endpoint Detection and Response – EDR); ⮚ controllo dell’uso dei dispositivi USB e di eventuali falle e vulnerabilità al suo interno. Verranno fornite il maggior numero di informazioni sulle vulnerabilità che hanno permesso l'accesso altri device portatili prevedendo l’utilizzo non autorizzato al sistema con una stima chiara sulle capacità di difesa e sul livello periferiche di penetrazione raggiuntoarchiviazione (ad es. A titolo esemplificativo vengono pendrive, hard-disk esterni) ed attivando il controllo ed il monitoraggio di seguito indicate tutte le eventuali vulnerabilità utilizzabili a scopi malevoli: ⮚ vulnerabilità interne al sistema: che permetterebbero l’accesso sia porte di comunicazione (ad utenti autorizzati che non autorizzaties. USB, SATA, WI-FI); ⮚ vulnerabilità esterne al sistema: relative al modo in cui una organizzazione si connette a Internet e ad altri sistemi esterni. Include serverprevenzione della perdita di dati tramite USB, hostemail, applicazioni SaaS, Web, dispositivi mobili e servizi di retearchiviazione nel cloud; ⮚ vulnerabilità delle applicazioni web e mobile: che deriverebbero da pratiche non sicure nella esecuzione di un’applicazione, di un sito web, di un APP. ⮚ vulnerabilità delle reti wireless: che permetterebbero l’accesso a dispositivi non autorizzati che fanno parte dell’ambiente protetto dell’organizzazione accesso e i dispositivi non autorizzati che fanno parte dell’ambiente protetto dell’organizzazione. ⮚ vulnerabilità delle API: relative al corretto funzionamento delle logiche applicative soprattutto crittografia dei file basata sulle policy aziendali per quanto riguarda le meccaniche di autenticazione e autorizzazione. ⮚ vulnerabilità degli IoT: relative al corretto funzionamento di tali infrastrutture allo scopo di estrarre informazioni o comprometterne il funzionamento. ⮚ vulnerabilità la protezione dei dati sensibili dovute ad un attacco di phising (Phishing): relative alla valutazione della suscettibilità dei dipendenti agli attacchi di “ingegneria sociale”. Le vulnerabilità possono quindi riguardare sistemi operativi, servizi, configurazioni, server, endpoint, applicazioni Web, reti wireless, dispositivi di rete, dispositivi mobili. Il servizio di “Penetration Testing” potrà essere svolto dal Fornitore mediante l’adozione di tecnologie e strumenti automatici senza oneri aggiuntivi per l’Amministrazione. Il fornitore dovrà svolgere il servizio di “Penetration testing” mediante l’adozione di metodologie e standard di mercato di riferimento quali: ⮚ OWASP Testing Guidesensibili; ⮚ OSSTMM; ⮚ Penetration Testing Execution Standard. Di seguito le fasi che il trasmissione di eventi e log alla funzionalità di SIEM del servizio SOC oggetto di “penetration testing” dovrà prevedere sono almeno le seguenti fasi:fornitura o ad altro strumento di raccolta log, ove disponibile, dell’Amministrazione.