Disciplinare tecnico per l’Integrazione di sistemi con l’infrastruttura IT di Asl Roma 1
Disciplinare tecnico per l’Integrazione di sistemi con l’infrastruttura IT di Asl Roma 1
1. SCOPO
La presente procedura definisce le specifiche e le regole che i sistemi installati da ditte/fornitori esterni dovranno rispettare relativamente agli aspetti inerenti l’infrastruttura IT (Information Technology).
Questo documento è emesso quindi con lo scopo di garantire che:
• il sistema nel suo complesso sia coerente con le politiche di sicurezza e di privacy dell’Azienda Asl Roma 1 e più in generale funzioni nel rispetto delle norme di buona tecnica, delle “best practice”, dei regolamenti, delle norme tecniche e della legislazione vigente, in particolar modo in materia di sicurezza e privacy
• il sistema risponda a quanto previsto dal codice in materia di protezione dei dati personali e – da maggio 2018 – dal regolamento europeo sulla protezione dei dati, nonché le prescrizioni della Circolare AGID 18 aprile 2017, n.2/2017, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni”.
• l’aggiudicatario collabori attivamente, per quanto oggetto di fornitura, alla produzione di documentazione che l’Azienda Asl Roma 1 è chiamata a redigere in ottemperanza alla suddetta circolare AGID.
2. CAMPO DI APPLICAZIONE
La presente procedura si applica alle ditte/fornitori che dovranno installare sistemi IT, ivi comprese apparecchiature informatiche, apparecchiature elettromedicali, o qualsiasi altro dispositivo che comunque si dovrà interfacciare/Integrare con l’infrastruttura IT di Asl Roma 1
3. TERMINI E ABBREVIAZIONI
Account: insieme di funzionalità, strumenti e contenuti attribuiti ad un utente in determinati contesti operativi, come siti web, determinati servizi su Internet ma anche per accedere alle più disparate applicazioni software.
Active Directory: AD
Insieme di servizi di rete, adottati dai sistemi operativi Microsoft e gestiti da un domain controller. Esso si fonda sui concetti di dominio e di directory , ovvero la modalità con cui vengono assegnate agli utenti tutte le risorse della rete attraverso i concetti di: account utente, account computer, cartelle condivise, stampanti ecc... secondo l'assegnazione da parte dell'amministratore di sistema.
AGID: Agenzia per l'Italia digitale: è una agenzia pubblica italiana che svolge le funzioni ed i compiti ad essa attribuiti dalla legge al fine di perseguire il massimo livello di innovazione tecnologica nell'organizzazione e nello sviluppo della pubblica amministrazione e al servizio dei cittadini e delle imprese, nel rispetto dei principi di legalità, imparzialità e trasparenza e secondo criteri di efficienza, economicità ed efficacia.
Backup: replicazione su un qualunque supporto di memorizzazione di materiale informativo archiviato nella memoria di massa dei computer, siano essi personal computer, workstation o server, al fine di prevenire la perdita definitiva dei dati in caso di eventi malevoli accidentali o intenzionali. Si tratta dunque di una misura di ridondanza fisica dei dati.
Client: componente che accede ai servizi o alle risorse di un'altra componente detta server.
DHCP: protocollo di rete di livello applicativo che permette ai dispositivi o terminali di una certa rete locale di ricevere automaticamente ad ogni richiesta di accesso a una rete la configurazione necessaria per stabilire una connessione.
DNS: sistema utilizzato per la risoluzione di nomi dei nodi della rete in indirizzi IP.
Indirizzo IP: codice numerico che identifica univocamente un dispositivo detto host collegato a una rete informatica che utilizza l'Internet Protocol come protocollo di rete.
Lan: una rete informatica di collegamento tra più computer, estendibile anche a dispositivi periferici condivisi, che copre un'area limitata, come un'abitazione, una scuola, un'azienda o un complesso di edifici adiacenti.
RDBMS: Sistema per la gestione di database relazionali.
Server: componente o sottosistema informatico di elaborazione e gestione del traffico di informazioni che fornisce, a livello logico e fisico, un qualunque tipo di servizio ad altre componenti (tipicamente chiamate clients, cioè clienti) che ne fanno richiesta attraverso una rete di computer.
Single sign on: sistema di controllo d'accesso che consente ad un utente di effettuare un'unica autenticazione valida per più sistemi software o risorse informatiche alle quali è abilitato.
VLan: insieme di tecnologie che permettono di segmentare il dominio di broadcast, che si crea in una rete locale, in più reti locali logicamente non comunicanti tra loro, ma che condividono globalmente la stessa infrastruttura fisica di rete locale.
VPN: rete di telecomunicazioni privata aziendale sicura, instaurata tra soggetti che utilizzano, come tecnologia di trasporto, un protocollo di trasmissione pubblico e condiviso, come ad esempio la rete Internet.
WSUS: Windows Server Update Services (WSUS) fornisce un servizio di aggiornamenti per i sistemi operativi Microsoft Windows e altri software Microsoft. E’ un sistema di gestione locale che lavora combinato con
Windows Update per dare agli amministratori dei sistemi la possibilità di gestire la distribuzione delle hotfix e degli aggiornamenti distribuiti, attraverso gli aggiornamenti automatici nei computer degli ambienti aziendali In questo documento vengono definite le specifiche che i sistemi oggetto della fornitura dovranno rispettare relativamente agli aspetti inerenti l’infrastruttura IT (Information Technology).
4.1 Adempimenti dell’aggiudicatario
L’aggiudicatario dovrà collaborare attivamente per quanto oggetto di fornitura alla produzione di documentazione che l’Azienda Asl Roma 1 è chiamata a redigere in ottemperanza alla circolare AGID 18 Aprile 2017, n. 2/2017
Il collaudo dell’intero sistema sarà condizionato alla redazione e sottoscrizione da parte del fornitore di un accordo di responsabilità (responsibility agreement) redatto secondo i dettami della norma IEC 80001. Tale documento farà esplicito riferimento all’installazione presso l’Azienda Asl Roma 1, nei modi e nei termini definiti dal presente documento e che verranno a presentarsi all’atto pratico dell’installazione e della manutenzione del sistema nel tempo.
Il responsibility agreement dovrà riportare espliciti riferimenti alla “marcatura CE” degli eventuali dispositivi offerti ed al fatto che i requisiti essenziali di sicurezza non vengano inficiati nella specifica installazione presso l’Azienda Asl Roma 1, così come intesa sopra.
Il responsibility agreement verrà redatto in relazione al contratto stipulato con il fornitore facendo riferimento allo scenario individuato e alle specifiche assunzioni di responsabilità.
4.2 Integrazione con l’infrastruttura IT di Asl Roma 1
I sistemi Hardware e software in uso in Azienda sono elencati in Allegato (inserire elenco Hardware e software) il quale viene tenuto aggiornato dalla UOCSTI.
I sistemi oggetto di fornitura dovranno essere interfacciati o integrati con l’infrastruttura IT dell’Azienda Asl Roma 1 rispettando le direttive riportate di seguito e basate sullo specifico scenario di utilizzo.
I dispositivi dotati di connettività di rete (host) e che necessitano di collegamento alla rete dati per svolgere le proprie funzioni, potranno essere collegati solo se riconducibili ad uno dei seguenti scenari, mutuamente esclusivi:
• Scenario 1: Sistemi e/o dispositivi da integrare con la rete LAN o con i sistemi già presenti nell’Azienda Asl Roma 1 (es: integrazione con Active Directory o con altri software/sistemi già attivi) utilizzando in alcuni casi anche le risorse hardware preesistenti (es: hypervisor, infrastrutture cluster, ecc…).
• Scenario 2: Sistemi e/o dispositivi forniti dall’assegnatario che possono essere confinati ad una rete VLAN dedicata (isolamento totale dai sistemi dell’Azienda Asl Roma 1) e che prevedono l’utilizzo di hardware dedicato e non condiviso con quello preesistente.
SCENARIO 1
In questo scenario l’aggiudicatario avrà la possibilità di integrare più strettamente i sistemi oggetto della fornitura con l’infrastruttura IT dell’Azienda Asl Roma 1, sia dal punto di vista della rete che dei server, facendo affidamento in generale sulle infrastrutture di virtualizzazione e sui servizi di rete preesistenti. Tale scenario è applicabile per esempio nel caso dell’implementazione di sistemi la cui fornitura non preveda l’installazione di hardware dedicato e può usufruire di sistemi di autenticazione basati su Active Directory.
Di seguito vengono riportate le caratteristiche peculiari dell’infrastruttura informatica dell’Azienda Asl Roma 1, definendo inoltre le specifiche di interfacciamento all’infrastruttura esistente alle quali i sistemi oggetto di fornitura dovranno adeguarsi.
L’architettura generale e le caratteristiche dei singoli elementi dei sistemi forniti dovranno in ogni caso essere coerenti con le direttive indicate nel presente documento e andranno preventivamente valutate e concordate con il servizio informatico dell’Azienda.
SCENARIO 1 - Infrastruttura esistente.
L’Azienda Asl Roma 1 dispone di un directory service aziendale basato su dominio Active Directory (AD). In ciascuno dei principali siti AD (Ospedale Santo Spirito, Ospedale San Xxxxxxx Xxxx, Poliambulatorio Circonvallazione Nomentana) è presente almeno un domain controller global catalog.
Ogni account del directory service aziendale è associato ad almeno un gruppo di dominio (gruppi locali al dominio, local domain) corrispondente alla struttura amministrativa Azienda Asl Roma 1 di appartenenza.
Gli aggiornamenti di sistema per i client e per i server vengono distribuiti tramite il servizio Microsoft WSUS.
Il protocollo di rete in uso nelle reti LAN dell’Azienda Asl Roma 1 è IPv4. Presso le sedi è attivo un servizio DHCP (Dynamic Host Configuration Protocol) che rilascia indirizzi IP agli host in rete configurati con IP dinamico, ad esclusione dei server (per i quali sono previste specifiche configurazioni) e degli host con IP statico. La risoluzione dei nomi è basata esclusivamente sul servizio DNS (Domain Name Service), integrato in AD, che accetta solo registrazioni sicure. I server Microsoft aziendali appartengono a subnet IP dedicate – una o
più per ciascun sito AD.
In varie sedi sono presenti sistemi di virtualizzazione, dotati di ridondanza a livello di HA (High Availability). Sistema Iperconvergenza Nutanix (inserire)
La struttura di backup dell’Azienda Asl Roma 1 è basata sulla presenza di due tape library (Nomentana e Xxx Xxxxxxx Xxxx), 3 nas repository dislocati in ciascuna delle tre sedi principali, un repository immutabile per i backup delle vm critiche (per la sede del Santo Spirito) e un servizio di backup in repository remoto per le vm più critiche.
. Tramite il software per i backup (Veeam), con periodicità variabile a seconda dei casi – vengono effettuate le copie di sicurezza: dei sistemi operativi di tutti i server Azienda Asl Roma 1, della configurazione dei DB, dei dati (presenti sui NAS e sui file server), delle macchine virtuali, dei registri di log dei sistemi.
Le postazioni di lavoro client dispongono di sistema operativo client Microsoft Windows di varie versioni. L’applicativo antivirus (AV) aziendale (Sophos Central) è dotato di alcuni moduli aggiuntivi per la endpoint security.
SCENARIO 1 – Virtualizzazione server
Nel presente scenario, gli eventuali server virtuali oggetto della fornitura dovranno essere implementati utilizzando una delle piattaforme di virtualizzazione presenti nel sistema dell’Azienda ASL Roma 1 in base al sito nel quale andrà effettuata l’installazione.
Di conseguenza tutte le configurazioni relative ai sistemi e ai software in esse presenti dovranno rispecchiarne le politiche di gestione, comprese quelle di indirizzamento IP, di aggiornamento, di backup e di disaster recovery. Potranno essere messe a disposizione dell’aggiudicatario una o più VM (macchine virtuali) rispecchiando l’architettura proposta, assegnando sufficienti risorse hardware in base alle specifiche necessità. Dal punto di vista dei sistemi operativi, l’assegnatario proporrà al servizio informatico dell’Azienda Asl Roma 1 un ventaglio di possibili scelte al fine di selezionare la più opportuna sia per garantire la piena compatibilità con la piattaforma di virtualizzazione in uso, sia per omogeneità con i sistemi operativi già presenti nell’infrastruttura.
In linea generale laddove si debbano implementare VM con sistema operativo Windows Server, sarà opportuno legare tali VM al dominio xxxxxxx.xx e conseguentemente al sistema di aggiornamento WSUS dell’Azienda Asl Roma 1.
Le licenze dei sistemi operativi (es: Windows Server) necessarie al funzionamento del sistema non sono da intendersi a carico del fornitore e non dovranno essere in alcun caso di tipo OEM, bensì licenze intestate all’Azienda Asl Roma 1 e comunque in ogni caso compatibili con l’ambiente di virtualizzazione dell’Azienda Asl Roma 1 descritto precedentemente.
Allo scopo di uniformare i sistemi forniti agli standard Azienda Asl Roma 1, compresi quelli di sicurezza e autorizzazione, nel contesto di Active Directory tali server verranno inserite in una Organizational Unit (OU) generica dedicata ai server Azienda Asl Roma 1 oppure in una OU dedicata al fine di definire ed applicare su di esse specifiche Group Policy concordate con l’Azienda Asl Roma 1; la default domain policy verrà applicata in ogni caso su tutte le OU.
Per quanto concerne la connettività di rete, ai server verrà assegnato un range di indirizzi IP statici nella rete della LAN aziendale o, se lo si dovesse ritenere necessario, in una subnet di rete dedicata.
Dal punto di vista degli aggiornamenti dei sistemi operativi Microsoft Windows, è già presente un’infrastruttura server WSUS per l’aggiornamento centralizzato dei sistemi Windows alla quale andranno legati anche i server virtuali oggetto della fornitura.
Per i dettagli implementativi si rimanda al documento – “Misure minime AGID”.
SCENARIO 1 - Sistemi database RDBMS
Nel presente scenario, i dati acquisiti e generati dal sistema e/o i loro riferimenti, nonché tutti quelli direttamente o indirettamente necessari al funzionamento degli applicativi forniti, dovranno essere organizzati in uno o più RDBMS, che potranno essere istanziati sugli attuali server Oracle di cui già dispone l’Azienda Asl Roma 1 o in nuovi RDBMS basati su altre piattaforme a discrezione dell’aggiudicatario, sempre previa valutazione con il servizio informatico al fine di stabilire l’eventuale conformità con le attuali politiche di sicurezza e compatibilità/sostenibilità con l’attuale sistema di backup e disaster recovery. In quest’ultimo caso l’aggiudicatario dovrà farsi carico di fornire le licenze d’uso per gli RDBMS forniti e della gestione delle politiche di backup se non integrabili con l’attuale sistema di backup e disaster recovery.
SCENARIO 1 - Applicativi client/server o web-based
Nel presente scenario, gli applicativi destinati all’utilizzo da parte degli utenti dovranno essere basati su tecnologia client/server o web-based.
Gli eventuali applicativi destinati all’installazione lato client dovranno essere adeguati alle caratteristiche software e hardware delle postazioni di lavoro e dovranno garantire piena compatibilità con le policy del dominio Active Directory e con i software già installati nelle postazioni di lavoro.
La distribuzione di tali applicativi sulle postazioni di lavoro dell’Azienda Asl Roma 1, nonché degli aggiornamenti, verrà eseguita per mezzo del sistema di software distribution di Active Directory, ovvero tramite pacchetti MSI (Microsoft Installer). In alternativa, nel caso in cui non fosse possibile effettuare il deployment centralizzato di tali applicativi, l’installazione verrà effettuata – con analoghe caratteristiche qualitative e di risultato – da parte dell’aggiudicatario.
Nel caso di eventuali applicativi web, sarà necessario analizzare e verificare la compatibilità di tali applicativi con i browser web e relativi plugin approvati dal servizio informatico per l’utilizzo dalle varie postazioni di lavoro dell’Azienda Asl Roma 1.
SCENARIO 1 – Sistemi client
Eventuali PC o apparati oggetto di fornitura, qualora dispongano di sistema operativo Microsoft Windows, dovranno essere configurati come membri del dominio xxxxxxx0.xx in modo da essere conformi con le policy di dominio applicate ai computer dell’Azienda Asl Roma 1.
Nel presente scenario, se non diversamente comunicato dall’aggiudicatario, i sistemi operativi Microsoft Windows verranno aggiornati tramite WSUS installando tutte le patch rilasciate da Microsoft che verranno approvate dagli amministratori. Le configurazioni di rete dei PC/apparati oggetto della fornitura dovranno garantite compatibilità con il sistema di indirizzamento IP dinamico (DHCP) attivo in generale sui client dell’Azienda Asl Roma 1.
Nel caso in cui l’architettura e le caratteristiche tecniche dei sistemi forniti impedissero tale configurazione, l’aggiudicatario sarà tenuto a redigere una relazione tecnica che giustifichi tale evenienza e sulla base della quale l’Azienda Asl Roma 1 si riserva di create sul servizio DHCP opportune e specifiche configurazioni (reservation).
Nel presente scenario, le funzionalità dei PC/apparti forniti dovranno essere in grado di poter garantire piena compatibilità con l’antivirus presente nell’Azienda Asl Roma 1, in considerazione del fatto che verranno applicate le politiche di aggiornamento/scansione standard dell’Azienda Asl Roma 1, a meno di eccezioni concordate con il servizio informatico.
Eventuali PC/apparati non Windows che non siano compatibili con l’Active Directory e che necessitano di connettività con la rete dati Azienda Asl Roma 1, verranno connessi alla stessa con specifici indirizzi IP statici assegnati dal servizio informatico dell’Azienda Asl Roma 1. La gestione del patching di tali sistemi è comunque obbligatoria ed è a carico dell’aggiudicatario.
SCENARIO 1 –PAM
In caso di necessità di interventi in teleassistenza da remoto da parte del personale tecnico dell’aggiudicatario durante il periodo di validità del contratto, l’accesso agli host oggetto di assistenza sarà garantita esclusivamente per mezzo di accesso tramite la piattaforma di Privileged Access Management (PAM) dell’Azienda Asl Roma 1. Il personale tecnico potrà ottenere l’accesso alla piattaforma PAM solo a fronte della compilazione del modulo specifico che dovrà essere inviato per validazione al servizio informatico dell’Azienda Asl Roma 1.
La connessione sarà effettuata necessariamente utilizzando credenziali personali, utilizzando un doppio livello di autenticazione (pwd + OTP). Il secondo fattore di autenticazione sarà disponibile mediante invio codice tra- mite e-mail o tramite applicazione Google Authenticator. Non sono ammessi accessi utilizzando esclusivamente credenziali di tipo utenza/pwd.
La connessione al sistema avverrà tramite protocollo https.
Nel caso in cui l’aggiudicatario non fosse in condizione di poter garantire tale configurazione per valide ragioni tecniche, sarà tenuto a redigere una relazione che giustifichi tale evenienza sulla base della quale l’Azienda Asl Roma 1 si riserverà di attivare connessioni di tipo VPN client-to-site o site-to-site (es: tunnel IPSec).
L’aggiudicatario dovrà garantire la tracciatura interna degli accessi effettuati da parte degli operatori che svol- gono interventi in assistenza remota. L’Azienda Asl Roma 1 si riserva inoltre la facoltà di richiedere in qualsiasi momento il report di tali accessi.
Le sessioni aperte tramite il sistema PAM verso gli host oggetto di assistenza potranno essere video registrate per finalità di monitoring e controllo, in quanto avverranno tramite utenze con privilegi amministrativi.
Per rispondere ad eventuali esigenze di monitoraggio continuativo da remoto dello stato dei sistemi che sono oggetto della fornitura, lo strumento messo a disposizione dall’Azienda Asl Roma 1, a fronte di specifica confi- gurazione, consentirà all’aggiudicatario di tenere costantemente sotto controllo lo stato dei servizi e dei dispo- sitivi oggetto della fornitura.
SCENARIO 1 – Single Sign-On (SSO)
Tutti gli applicativi software forniti devono essere integrabili con l’LDAP messo a disposizione dal servizio Active Directory. Il collegamento dovrà passare tramite canale cifrato TLS/SSL debitamente autenticato tramite credenziali di sola lettura. L’integrazione del software oggetto della fornitura con il servizio LDAP di Active Directory andrà discussa di volta in volta con il servizio informatico al fine di fornire tutte le specifiche necessarie all’implementazione.
SCENARIO 1 – Identity, Access & Governance Management (IAG)
Tutti gli applicativi software forniti devono essere integrabili con la piattaforma di Identity & Access Manage- ment dell’Azienda Asl Roma 1 (provisioning utenze e sistema di autenticazione centralizzato tramite Multi Factor Authentication). L’integrazione del software oggetto della fornitura con la piattaforma IAM andrà discussa di volta in volta con il servizio informatico al fine di fornire tutte le specifiche necessarie all’implementazione.
Altre soluzioni di SSO, autenticazione e account/identity management non saranno consentite.
SCENARIO 2 SCENARIO 2A
In questo scenario, i sistemi che sono oggetto della fornitura e che non necessitano di connettività di rete (es: airgapped) dovranno essere conformi alle misure minime e alla normative privacy vigenti.
Inoltre la gestione del patching e della manutenzione di tali sistemi andrà esclusivamente gestita in locale, escludendo qualsivoglia sistema di gestione remota. Sarà pertanto onere del fornitore provvedere all’aggiornamento periodico dei sistemi non connessi alla rete in conformità alle misure minime indicate nell’Allegato n.2 – “Requisiti di conformità in ambito security.
SCENARIO 2B
Ai sistemi che non devono interfacciarsi con la rete di Asl Roma 1 ma che necessitano di connettività di rete per svolgere le loro funzioni, verrà assegnata una specifica classe di indirizzi IP (statici o dinamici) coerente con il
piano di indirizzamenti dell’Azienda Asl Roma 1 e tali dispositivi verranno inseriti in una VLAN dedicata dalla quale potranno effettuare solo il traffico necessario per svolgere le funzioni richieste e il traffico relativo all’assistenza remota da parte del fornitore. La disciplina del traffico verrà garantita tramite opportune ACL (Access Control List) o configurazioni sui firewall aziendali, stilate per rete IP e per porta, sulla base delle sole effettive necessità di traffico. Il fornitore dovrà garantire piena collaborazione nella redazione di tali ACL e/o regole sui firewall.
Gli host forniti saranno soggetti a filtraggio della navigazione Internet. Potranno essere implementate specifiche eccezioni all’autenticazione basate su IP sorgente che consentiranno il traffico esclusivamente verso IP e porte specifiche. L’aggiudicatario dovrà fornire la massima collaborazione in tal senso all’Azienda Asl Roma 1 per la definizione delle suddette eccezioni.
Nel presente scenario l’aggiudicatario sarà responsabile in toto delle prescrizioni in ambito di sicurezza informatica e privacy, secondo quanto previsto dal quadro legislativo e normativo vigente, nonché dal presente documento; in particolare per quanto riguarda le politiche di: autenticazione, autorizzazione e accounting (AAA), di backup e disaster recovery, sugli aggiornamenti di sicurezza di tutti i software installati sugli host oggetto di assistenza, di protezione antivirus e da altre tipologie di cyber attacco.
Si specifica infine che, qualora l’aggiudicatario aderisca al presente scenario, sono da intendersi oggetto di fornitura anche eventuali PC client ed eventuali server fisici che si rendessero necessari, nonché qualsivoglia dispositivo necessario al corretto e sicuro funzionamento dei sistemi oggetto di fornitura.
Gli eventuali server o dispositivi di storage forniti dovranno essere conformi con gli standard per l’installazione a rack 19”; dovranno inoltre essere dotati di requisiti di ridondanza sufficienti a garantirne almeno la continuità operativa (es: doppio alimentatore, doppio storage controller, gruppo di continuità, etc) e laddove possibile anche l’alta affidabilità (HA). Non dovranno infine essere utilizzati per alcun motivo come postazioni di lavoro da parte degli operatori.
Per quanto concerne l’accesso remoto tramite VPN ai dispositivi oggetto della fornitura, a fronte della connessione VPN effettuata tramite i sistemi messi a disposizione dall’Azienda Asl Roma 1, il collegamento ai singoli host oggetto di assistenza potrà avvenire con strumenti scelti dall’aggiudicatario, nel rispetto delle modalità previste dal quadro legislativo e normativo vigente, previa validazione degli strumenti stessi e della loro specifica configurazione da parte del servizio informatico dell’Azienda Asl Roma 1.
Per rispondere ad eventuali esigenze di monitoraggio continuativo da remoto dello stato sistemi che sono oggetto della fornitura, lo strumento messo a disposizione dall’Azienda Asl ROMA 1, a fronte di specifica configurazione, consentirà all’aggiudicatario di tenere costantemente sotto controllo lo stato dei servizi e dei dispositivi oggetto della fornitura.
RESPONSABILITA’
5.1 Attività Tecnico/Amministrative
5.1.1 Matrice delle Responsabilità (vedi excel: Matrice delle Reponsabilità.xls)
5.2 Attività Tecniche
5.2.1 Matrice delle Attività Tecniche (vedi excel: Matrice delle attività tecniche.xls)
6. RIFERIMENTI
· Regolamento 2016/ 679: "Regolamento Europeo del 27/04/2016"
· CAD Decreto Legislativo 82/2005
· Decreto Legislativo 217/2017
· Circolare Agid 18 Aprile 2017 n° 2: “Misure minime sicurezza ICT PA”
7. DIFFUSIONE
La procedura viene inviata ai Direttori/Responsabili indicati nella lista di distribuzione tramite la mail aziendale. La corretta ricezione verrà pertanto dimostrata dalla mail di ritorno che conferma la lettura. I destinatari provvederanno, con la stessa modalità, alla successiva diffusione nelle articolazioni aziendali di competenza per le quali è previsto l’utilizzo del documento.
8. ARCHIVIAZIONE
La procedura è archiviata in formato elettronico e/o cartaceo in tutti gli uffici/strutture interessati all’utilizzo e/o alla revisione del documento quali fra l’altro la dalla Direzione sanitaria aziendale e pubblicata in Intranet nell’area xxxxxxxxxxxx (TABULARIUM).
La copia originale della procedura viene archiviata presso l’Ufficio qualità aziendale. La procedura approvata è disponibile nella intranet aziendale al link xxxxx://xxxxxxxxxxx
9. ALLEGATI
Allegato 1: Requisiti generali di conformità dei software Allegato 2: Requisiti di conformità in ambito Security
Allegato 1 (Requisiti generali di conformità del software):
Tutti i dispositivi o sistemi forniti, per almeno un anno dal collaudo definitivo dei sistemi, dovranno essere provvisti di contratto di manutenzione da parte del fabbricante e non dovranno risultare a fine ciclo di vita (end- of-life) o fuori dal periodo di supporto (end-of support). In generale, tutti i software forniti dovranno essere:
• conformi alle misure minime di sicurezza (“Misure minime AGID”);
• intuitivi e di facile utilizzo, ad ogni livello di accesso ed in ogni configurazione, per tutti gli operatori (a prescindere dal ruolo);
• dotati di interfaccia utente grafica (GUI) in Italiano configurata in modo che le impostazioni internazionali del sistema operativo e della tastiera siano conformi alla mappatura IT standard;
• stabili dal punto di vista del funzionamento;
• in grado di gestire le eccezioni a runtime;
• ottimizzati, in termini di rapporto tra uso delle risorse e prestazioni;
• sviluppati tenendo conto dei principi del “ciclo di vita del software” e dell’“analisi del rischio”, secondo le norme tecniche (o principi e metodologie almeno equivalenti) e le best practice internazionali; in ogni caso non dovranno utilizzare librerie deprecate e/o obsolete, né dovranno essere scritti e sviluppati con versioni del linguaggio di programmazione fuori supporto tecnico del fabbricante o a fine ciclo di vita (end of life) e comunque non dovranno trovarsi in tale stato ad un anno dal collaudo definitivo dei sistemi;
• rilasciati in versione definitiva e non in “alpha-release”, “beta-release” o “release candidate”;
• ideati, progettati e realizzati nel rispetto del quadro legislativo vigente, nonché in modo da non mettere in alcun caso gli operatori in condizione di violare il quadro legislativo stesso nell’espletamento del normale utilizzo dei sistemi;
• installati e configurati per essere utilizzati, in condizioni di massima sicurezza e funzionalità, nello specifico contesto dell’Azienda Asl Roma 1, così come descritto nel presente documento;
• manutenuti e gestiti in modo da conservare e mantenere stabili nel tempo tutte le caratteristiche possedute al momento del collaudo definitivo.
Collegamento alla rete
Relativamente ai software che andranno installati su dispositivi collegati alla LAN dell’Azienda Asl Roma 1 e inseriti nel dominio xxxxxxx0.xx, la condizione è che tali software vengano eseguiti:
• in un contesto “user space” nei client (PC),
• come servizio di sistema nei server,
• come servizio di sistema nei client nei quali non sia prevista interazione con l’operatore,ed in ogni caso non dovranno essere modificati in alcun modo i permessi di default delle cartelle di sistema file system e del registro di sistema Microsoft (ove presente).
Configurazioni e dati
Relativamente alle configurazioni e ai dati:
• quelle degli applicativi server dovranno risiedere in database e comunque non nei dischi locali dei PC client;
• quelle globali degli applicativi client (ovvero non riferite alle personalizzazioni dei singoli account) dovranno risiedere in un file nella cartella di installazione dell’applicativo (a cui quindi avranno accesso solo gli utenti con ruolo Amministratore) oppure nel registro di sistema (ove presente) nella sottochiave appositamente creata in fase di installazione in HKEY_LOCAL_MACHINE\SOFTWARE. In ogni caso le informazioni critiche in termini di sicurezza e funzionalità (a titolo di esempio non esaustivo: le stringhe di connessione ai database, le credenziali necessarie per instaurare eventuali altre connessioni client/server, ecc.) dovranno essere cifrate almeno con algoritmo AES-256;
• quelle personali degli applicativi client (ovvero riferite alle personalizzazioni dei singoli account) dovranno risiedere nel profilo dell’account a cui si riferiscono (ove presente).
• In sintesi, le configurazioni globali degli applicativi client non dovranno mai risiedere nei profili degli utenti, mentre le configurazioni personali degli applicativi client dovranno sempre e solo risiedere nei profili degli utenti.
Privacy e sicurezza
L’aggiudicatario dovrà individuare, all’interno della sua organizzazione, un “Responsabile per la privacy”. Questi verrà in tal senso nominato dal titolare del trattamento dei dati personali dell’Azienda Asl Roma 1 e dovrà inviare, nel rispetto delle procedure dell’Azienda, le richieste di abilitazione degli incaricati e degli amministratori afferenti all’aggiudicatario (anche quelle necessarie per lo svolgimento delle attività di assistenza remota). I relativi account e le relative autorizzazioni verranno sempre erogate dall’Azienda Asl Roma 1 e a livello personale, secondo le proprie procedure ed in ogni caso con i privilegi necessari e sufficienti allo svolgimento delle mansioni di competenza.
In tutti i software forniti che si configurano come “strumenti elettronici” che effettuano trattamento di dati personali, così come definito nel D.Lgs. 196/03 “Codice in materia di trattamento dei dati personali” e s.m.i., dovranno essere adottate:
• le “misure minime di sicurezza” previste dal suddetto codice e dal relativo disciplinare tecnico (Allegato B, D.Lgs. 196/03);
• le “idonee e preventive misure di sicurezza” previste dal medesimo codice all’art. 31 nell’ambito degli obblighi di sicurezza;
• le prescrizioni della Circolare AGID del 18 aprile 2017, n.2/2017, recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni” – vedi allegato n.2 Dovranno essere rispettati tali obblighi in particolare in termini di:
◦ adozione di un “sistema di autenticazione informatica”, comunque nel rispetto di quanto riportato nel presente documento relativamente alle modalità di autenticazione (authentication) degli operatori per mezzo di account – e relativecredenziali – personali
◦ adozione di un “sistema di autorizzazione”, comunque nel rispetto di quanto riportato nel presente documento relativamente alle modalità di autorizzazione (authorization) degli account personali;
◦ “protezione degli strumenti elettronici e dei dati”, comunque nel rispetto di quanto riportato nel presente documento relativamente alla sicurezza informatica;
◦ “copie di sicurezza” e di “ripristino della disponibilità dei dati e dei sistemi”, comunque nel rispetto di quanto riportato nel presente documento relativamente alle politiche di backup e di disaster recovery.
Ambienti di test
In caso di aggiornamenti di versione o patching dei software proprietari oggetto della fornitura, l’aggiudicatario dovrà predisporre, di comune accordo con il servizio informatico, una procedura di testing finalizzata alla verifica della funzionalità e della conformità alle misure minime AGID (allegato n.2) prima del rilascio in produzione degli stessi. L’ambiente di test rispecchierà quello di produzione, pertanto i dispositivi o i software necessari alla sua creazione saranno di volta in volta valutati in base allo scenario di riferimento.
Allegato 2 (Requisiti di conformità in ambito security):
In entrambi gli scenari appena descritti sarà compito dell’aggiudicatario adeguare le specifiche dei sistemi oggetto della fornitura (e le relative modalità di gestione da parte degli amministratori) ai principi generali di sicurezza delle infrastrutture IT, garantendo la piena conformità alle prescrizioni indicate in questo documento, con particolare riferimento a quelle relative all’ambito della IT Security.
L’aggiudicatario dovrà garantire che sia l’architettura che gli elementi forniti vengano progettati, implementati e manutenuti nel tempo in modo da risultare conformi alle misure minime di sicurezza, al fine di minimizzare il rischio informatico residuo sia di “attacchi ai sistemi” che di “attacchi dai sistemi”.
Qui di seguito vengono esposte le indicazioni relative ai requisiti di conformità con le misure minime di sicurezza AGID applicabili al contesto delle forniture da parte di aziende esterne:
Inventario dei dispositivi: Nel caso in cui i dispositivi oggetto della fornitura vadano connessi alla rete (Scenario 1 o 2B) i dispositivi oggetto della fornitura andranno inventariati e tali dati di inventario andranno mantenuti aggiornati seguendo un processo formale di approvazione. L’aggiudicatario dovrà compilare il modulo (esiste modulo ?) fornendo tutte le informazioni tecniche necessarie all’implementazione della fornitura in oggetto ed inviarlo al servizio informatico per l’approvazione e la valutazione di eventuali “non conformità”. Sarà compito dell’aggiudicatario provvedere a comunicare tempestivamente eventuali modifiche o sostituzioni seguendo di volta in volta lo stesso iter di approvazione.
Laddove i dispositivi siano raggiungibili via rete, l’assegnatario sarà inoltre tenuto a comunicare al servizio informatico le modalità di scansione remota delle informazioni inerenti l’hardware e il software installati nel dispositivo (es: SNMP, WMI) e relative credenziali.
Elenco software autorizzati: il fornitore dovrà indicare preventivamente i sistemi operativi e i software che intenderà utilizzare nei propri dispositivi/sistemi sia come prima installazione che in caso di necessità di aggiornamenti a “major release” o in caso di sostituzione con altro software, seguendo anche in questo caso il processo formale di approvazione. I software non presenti nella lista di quelli autorizzati (fare lista se non esiste già) potranno essere installati solo a fronte di specifica richiesta e validazione da parte del servizio informatico.
Configurazioni sicure standard: le configurazioni dei dispositivi e dei software devono rispettare le configurazioni sicure standard, implementate nei clients tramite immagini di installazione preconfigurate e/o mediante group policies, le quali vengono applicate ai sistemi operativi Microsoft Windows sia server che client. Nel caso di sistemi operativi non Microsoft o non agganciati al dominio, sarà cura del fornitore effettuare l’hardening ad-hoc dei propri sistemi tramite procedure che dovranno essere formalmente validate dal servizio informatico.
Connessioni protette per l’amministrazione remota: l’aggiudicatario dovrà configurare opportunamente i dispositivi o i software oggetto della fornitura affinché le operazioni di amministrazione da remoto possano avvenire per mezzo di connessioni protette (protocolli intrinsecamente sicuri, ovvero su canali sicuri), utilizzando protocolli cifrati (es: https/SSH/RDP) che dovranno essere formalmente validati dal servizio informatico.
Verifica vulnerabilità: L’aggiudicatario deve verificare la presenza di eventuali vulnerabilità sia prima dell’installazione che dopo l’eventuale modifica/aggiornamento dei dispositivi e dei software oggetto della fornitura. I sistemi collegati alla rete dell’Azienda Asl Roma 1 sono sottoposti periodicamente a verifica di vulnerabilità tramite appositi strumenti pertanto l’Azienda Asl Roma 1 si riserva di verificare che le vulnerabilità emerse dalle scansioni vengano risolte per mezzo di patch, o implementando opportune contromisure.
Patching dei dispositivi e degli OS: La politica di gestione degli aggiornamenti/patching dei dispositivi e dei sistemi operativi è naturalmente legata alla piattaforma in uso dallo specifico dispositivo fornito. In linea generale, nel caso in cui si tratti di sistemi basati su piattaforma Microsoft Windows sarà opportuno fare in modo che essi possano ricevere gli aggiornamenti dal server WSUS centralizzato già presente nell’Azienda Asl Roma 1, concordando con il servizio informatico dell’Azienda Asl Roma 1 dei time-slot periodici per consentire l’applicazione degli aggiornamenti sui propri sistemi e verificarne l’esito. In tutti gli altri casi, ovvero per le applicazioni proprietarie, per i sistemi Windows non legati al dominio, per i sistemi operativi non Windows o per tutti gli altri dispositivi, l’aggiudicatario si dovrà far carico della verifica della disponibilità ed installazione
manuale delle patch, concordando con il servizio informatico dell’Azienda Asl Roma 1 dei time-slot periodici per consentirne l’esecuzione e la successiva verifica di funzionamento.
In linea generale le patch andranno installate entro 90gg dal rilascio, salvo la necessità di installarle con la massima urgenza nei casi in cui le patch vadano ad indirizzare e correggere bug o vulnerabilità ad alto livello di criticità.
Patching dei sistemi separati dalla rete (es: airgapped): In caso della fornitura di sistemi separati dalla rete, in particolare di quelli “airgapped”, l’aggiudicatario dovrà farsi carico di assicurare l’aggiornamento tempestivo degli stessi. Anche in questo caso, in linea generale le patch andranno installate entro 90gg dal rilascio, salvo la necessità di installarle con la massima urgenza nei casi in cui le patch vadano ad indirizzare e correggere bug o vulnerabilità ad alto livello di criticità.
Gestione account privilegiati:
I privilegi amministrativi vengono concessi solo ad utenti dotati delle competenze necessarie e di un incarico/contratto relativo alla configurazione dei sistemi, solo per consentire lo svolgimento di attività che richiedano specifici livelli di privilegi.
Le utenze personali devono essere formalmente autorizzate seguendo una specifica procedura di validazione da parte del servizio informatico.
Gli accessi amministrativi vengono tracciati nei registri di auditing e conservati su piattaforma di Log Management, sia per quanto concerne i sistemi federati con Active Directory che per i sistemi standalone. Al fine di consentire la corretta acquisizione dei log dai sistemi/dispositivi oggetto della fornitura l’aggiudicatario sarà tenuto a fornire al servizio informatico le relative specifiche tecniche.
Gestione account locali: Prima di collegare alla rete un nuovo dispositivo o prima di mettere in produzione un software, l’aggiudicatario dovrà provvedere a sostituire le credenziali dell’amministratore predefinito con valori coerenti con quelli delle utenze amministrative in uso. L’Azienda Asl Roma 1 si riserva la facoltà di effettuare periodicamente delle verifiche a campione.
System hardening: Le password delle utenze amministrative devono rispondere a criteri di elevata robustezza: devono essere soggette a limiti minimi di lunghezza (es: 14 caratteri), rotazione (password history > 10) e durata (password aging <90gg). NB: tale prescrizione dovrà essere applicata a tutte le utenze con privilegi amministrativi, coinvolte nella fornitura, indipendentemente dal fatto che siano locali, legate all’Active Directory o definite in qualsiasi altra piattaforma software.
Gestione account privilegiati: L’aggiudicatario dovrà fare distinzione tra utenze privilegiate e non privilegiate degli amministratori, alle quali debbono corrispondere credenziali distinte.
Tutte le utenze, in particolare quelle amministrative, debbono essere nominative e riconducibili ad una sola persona. Le utenze amministrative anonime, quali “root” di UNIX o “Administrator” di Windows, debbono essere utilizzate solo per le situazioni di emergenza e le relative credenziali debbono essere gestite in modo da assicurare l’imputabilità di chi ne fa uso. L’aggiudicatario dovrà inoltre conservare le credenziali amministrative in modo da garantirne disponibilità e riservatezza.
Endpoint Protection: l’Azienda Asl Roma 1 provvederà ad installare l’antivirus centralizzato (Sophos Endpoint Security) in tutti i dispositivi oggetto della fornitura compatibili con esso, al fine di garantire adeguati livelli di protezione antivirus, firewall, IPS, controllo dei dispositivi USB, controllo web e controllo delle applicazioni. Le politiche di configurazione della suite antivirus sono gestite centralmente e ai requisiti delle misure minime AGID ai punti sopraindicati, pertanto eventuali eccezioni antivirus potranno essere create solo a fronte della verifica da parte del servizio informatico della conformità alle stesse. Non sarà inoltre possibile attivare l’utilizzo di servizi di posta elettronica esterni a quelli dell’Azienda Asl Roma 1.
Data Protection: In base allo scenario al quale potrà essere ricondotta la fornitura, dovrà essere garantita l’esecuzione di almeno un backup settimanale contenente le informazioni strettamente necessarie per il completo ripristino del sistema. Le modalità di esecuzione e la relativa pianificazione andranno concordate con il servizio informatico dell’Azienda Asl Roma 1 sulla base dello scenario applicabile. La riservatezza delle
informazioni contenute nelle copie di sicurezza dovrà essere assicurata mediante adeguata protezione fisica dei supporti. Sarà inoltre necessario assicurarsi che i supporti contenenti almeno una delle copie non siano permanentemente accessibili dal sistema onde evitare che attacchi su questo possano coinvolgere anche tutte le sue copie di sicurezza.