COMUNE DI CARMIANO. Provincia di Lecce

Transcript

1 COMUNE DI CARMIANO Provincia di Lecce Procedura aperta per l'affidamento del servizio di assistenza e manutenzione Hardware, Software di base, Sistemistica del SIC. Capitolato Tecnico 1. DEFINIZIONE DEL PERIMETRO DI GARA Il Comune di Carmiano (di seguito committente ) intende appaltare il servizio di gestione del proprio sistema informatico. In tale definizione sono compresi i seguenti servizi: a) Servizi di consulenza gestionale I servizi di consulenza gestionale sono quell insieme di attività necessarie per la gestione del sistema informativo comunale (SIC), di seguito elencate: a1) Gestione dell anagrafica del sistema informatico comunale attraverso la formazione di una banca dati informatizzata contenente le informazioni di ogni bene (HW e SW) oggetto di manutenzione, con la previsione di un aggiornamento tempestivo nel rispetto dei seguenti requisiti minimi: catalogazione numerica di ogni bene; Tutti beni accessori di ogni Postazione di Lavoro (PdL) devono essere associati al catalogo padre di riferimento. possibilità di identificare ogni bene almeno attraverso le informazioni relative a: numero di catalogo, numero di serie, marca, modello, tipologia, descrizione, ubicazione, utente assegnatario, data di acquisto, data di ingresso in manutenzione; classificazione di ogni bene in base alla tipologia del bene (critico, non critico), al raggruppamento (Elaboratore elettronico, Server, Stampante, Monitor, ), all ubicazione (Sede, Settore/servizio, ufficio), all utente assegnatario, alla data di acquisto e alla data di ingresso in manutenzione. possibilità di effettuare operazioni di ricerca dei beni su più chiavi (catalogo, descrizione, stato, numero di serie, marca, raggruppamento, ubicazione, ufficio, responsabile); possibilità di effettuare estrazioni di report contenenti le informazioni memorizzate nei formati più comuni (pdf); a2) Mappatura degli interventi effettuati sui beni (HW e SW) oggetto di manutenzione riportando nella banca dati almeno le seguenti informazioni dell intervento: - Richiedente, Ufficio, Catalogo del bene oggetto dell intervento, descrizione della richiesta, data e ora di richiesta, apertura e chiusura dell intervento, descrizione dell attività svolta, tipologia dell intervento (HW e SW di Base, Assistenza Sistemistica, Rimozione Virus, Backup, formazione,.) ed 1

2 indicazione dell eventuale merce consegnata e/o sostituita. Il sistema dovrà provvedere alla stampa del rapportino dell intervento che dovrà essere controfirmato dall utente (gestione postazione di lavoro) o dal supervisore del servizio (Gestione server); a3) Supporto all attività di analisi e pianificazione di interventi di potenziamento dell HW ed aggiornamento del software di base ed applicativo. a4) Studi, analisi e ricerche quali: approfondimento di tematiche particolari inerenti l oggetto della fornitura; predisposizione di approntare modelli revisionali; produzione di un rapporto di analisi della qualità del servizio mediante rilevazione del grado di soddisfacimento dell utente. a5) Supporto al Committente nella reingegnerizzazione dei processi supportati dal sistema informatico e definizione dei requisiti dei nuovi sistemi; a6) Analisi e valutazioni dell impatto determinato dall introduzione di cambiamenti normativi sul sistema informatico; a7) Analisi e valutazioni dell impatto determinato dall introduzione di nuove tecnologie sull organizzazione, sui processi amministrativi, sul sistema informatico preesistente. B) Servizi di Manutenzione e pronto intervento I Servizi di manutenzione e pronto intervento sono quell insieme di attività necessarie a mantenere l ottimale stato di utilizzo delle attrezzature HW e SW di base in dotazione al Comune di Carmiano come di seguito esplicitate: b1) Manutenzione Preventiva: si intende l insieme delle attività da realizzare in via preventiva su tutti i beni oggetto di manutenzione al fine di garantire la disponibilità dei sistemi e degli apparati e prevenire malfunzionamenti di natura hardware e software, quali, ad esempio: - nell ipotesi in cui la casa produttrice delle apparecchiature evidenzi situazioni che potrebbero determinare malfunzionamento (SW) o guasto (HW); - in relazione ad apparecchiature con parti soggette ad usure delle componenti meccaniche; - nell ipotesi di potenziali problemi di sicurezza, effettuando tutti gli interventi raccomandati dal produttore, per assicurare gli adeguati standard di sicurezza. b2) Manutenzione correttiva: è l insieme delle attività da realizzare a seguito di segnalazione di malfunzionamento parziale o totale delle apparecchiature in dotazione al Committente. Con particolare riferimento ai beni di tipologia software, è da intendersi come quell insieme di attività che sono intraprese sia su segnalazione di malfunzionamento da parte del Committente sia su indicazione dei prodotti software (ad es., installazione di patch/fix o di nuove versioni messe a disposizione della software house di produzione). b3) Servizio di pronto intervento: il Servizio di pronto intervento dovrà raccogliere e soddisfare tutte le richieste di assistenza provenienti dal Committente che potrà richiedere alternativamente l assistenza mediante: telefono, cellulare, fax, . Nel caso in cui la problematica non sia risolvibile per via telematica, l aggiudicatario dovrà garantire l intervento di un tecnico qualificato presso la sede del Committente entro i seguenti tempi: Tipologia di Problema Tipo di Bene Valore di soglia Parte del bene HW o SW non disponibili Non critico Entro 48 ore Parte del bene HW o SW non disponibili Critico Entro 14 ore HW, SW o base dati non disponibili Non critico Entro 24 ore 2

3 HW, SW o base dati non disponibili Critico Entro 10 ore Apparecchiature informatiche in dotazione al Comune di Carmiano destinatarie del servizio di pronto intervento: Apparecchiatura informatica Tipo di Bene n.3 Server Critico n.2 Notebook Non critico n.50 Elaboratori elettronici (E.E.) Non critico n.3 Elaboratori elettronici (E.E.) front office Critico n.2 Apparati wireless (bridge-wireless) Critico n.1 Firewall perimetrale (Fortigate 80c) Critico n.2 Apparati Switch 24 Porte Critico n.10 Apparati Switch 5-8 Porte Non Critico n.2 Stampanti ad Aghi Non Critico n.14 Stampanti Laser A4 B/N Non Critico n.1 Plotter Ink Jet A1 Non Critico n.18 Stampanti Getto d inchiostro Non Critico Il Comune di Carmiano è dotato altresì del Sistema informativo comunale (SIC) comprensivo delle seguenti basi di dati: Sistema Informativo Comunale (SIC) /DBMS Tipo di Bene DBMS - SQL SERVER EXPRESS Critico Resta inteso che se il sistema oggetto di intervento riguarda un prodotto coperto da garanzia, l aggiudicatario è tenuto a trasmette la richiesta di intervento alla ditta interessata. Il tecnico dell aggiudicatario intervenuto presso la sede del Committente provvede al ripristino delle normali condizioni di funzionamento dell Hw e del Sw, con eventuale sostituzione delle parti difettose (sono a carico del Committente le eventuali parti sostituite). C) Gestione Server L attività di gestione dei server consiste, oltre a garantire le attività descritte nei Servizi di manutenzione e pronto intervento di cui al precedente punto, nell amministrazione dei server e sistemi server attraverso le seguenti attività: c1) Presa in carico dei server e del Infrastructure Server, delle applicazioni e delle relative basi di dati. In questa fase vengono analizzati la documentazione architetturale di sistema, i requisiti e le procedure operative delle applicazioni e delle basi dati per quanto attiene la loro gestione operativa e funzionale; in particolare: Gestione dell applicazione e della base-dati dal punto di vista operativo. La gestione di una applicazione comporta l esecuzione delle procedure operative analizzate in sede di presa in carico. Le principali attività di gestione sono le seguenti: i. Pianificazione dell attività di installazione di un nuovo applicativo sul server prevedendo una procedura di analisi al fine di constatare la compatibilità della nuova applicazione con quanto precedentemente installato sul server e infrastructure server; ii. Installazione e avviamento delle applicazioni; iii. Monitoraggio dei log di applicazioni software di servizio (esempio: software di gestione back-up centralizzato, ); iv. Attivazione delle procedure di segnalazione anomalie; 3

4 v. Backup e Recovery: la politica di backup dovrà tener conto delle necessità di backup e restore delle singole applicazioni, definendo, ove possibile, una politica comune. La schedulazione dei backup dovrà essere in linea con i requisiti di ripristino di tutte le applicazioni. Gestione dell evoluzione delle applicazioni e delle basi di dati attraverso le seguenti operazioni minime: vi. Installazione di nuove versioni o aggiornamenti; vii. Tracciamento delle segnalazioni di anomalia con i relativi aggiornamenti/nuove versioni installate; Amministrazione degli accessi che consiste nelle attività di gestione del processo di autenticazione ed autorizzazione dell utenza e nella gestione delle aree di salvataggio file condivise da gruppi di utenti con la previsione delle seguenti operazioni minime: viii. Creazione di nuova utenza e nuovi profili nel sistema; ix. Gestione del processo di autenticazione degli utenti nel sistema; x. Assegnazione profili all utenza; xi. Aggiornamento utenza e profili; xii. Cancellazione utenza e profili; xiii. Creazione di cartelle dati condivise, permessi di accesso e utenza; xiv. Assegnazione permessi di accesso all utenza; xv. Gestione delle aree di salvataggio file condivise e relativi permessi di accesso; xvi. Comunicazione informazioni inerenti utenza, profili e aree di salvataggio dei file condivisi, permessi di accesso e utenti al supervisore del servizio al fine di garantire adeguato supporto all attivazione delle procedure di assegnazione delle credenziali di autenticazione all utenza; Monitoraggio server e infrastructure Server. Monitoraggio delle condizioni di base-dati e del funzionamento delle applicazioni al fine di controllare i parametri di funzionamento e le prestazioni dei server ed infrastructure server nei momenti prestabiliti, quali: xvii. Numero di backup necessari; xviii. Verifica dell assenza di virus, worm, trojan, ; xix. Memoria RAM utilizzata dalle applicazioni; xx. Spazio sui dischi utilizzati/disponibili; xxi. Verifica dell assenza delle aree centralizzate di salvataggio di tipologia di dati non autorizzati. D) Gestione della sicurezza logica Il servizio di gestione della sicurezza logica del sistema informatico comunale dovrà garantire l adozione di tutte le misure necessarie a garantire la protezione dell intero sistema informatico comunale da minacce esterne ed interne, ed in particolare: d1) Gestione delle credenziali di accesso di amministratore e di utente del sistema garantendo il rispetto dei seguenti requisiti minimi: Per ogni Elaboratore Elettronico/notebook dovrà essere prevista una password per l amministratore di sistema e una credenziale d accesso (un codice identificativo e una password) a livello utente per l utilizzo dell Elaboratore Elettronico/notebook; Per ogni server dovrà essere prevista una password per l amministratore di sistema; 4

5 Le password devono essere alfanumeriche e di lunghezza non inferiore a 8 caratteri; L utilizzatore dovrà poter modificare la password al primo accesso e successivamente sostituire la stessa password in autonomia; Le credenziali d accesso dovranno essere gestite in modo che ne sia prevista la disattivazione qualora richiesto; Le credenziali dovranno avere una scadenza trimestrale; d2) Gestione della sicurezza dei sistemi operativi e software L aggiudicatario dovrà assicurare l aggiornamento per eliminare le vulnerabilità dei sistemi operativi e software applicativi quali posta elettronica, browser, office automation, installati sugli elaboratori elettronici, al fine di evitare l esposizione a pericoli di attacchi dall esterno che ne provochino il malfunzionamento. Tali aggiornamenti devono essere effettuati con cadenza almeno semestrale. I dati personali gestiti in modalità elettronica dovranno essere protetti contro il rischio di intrusione e dall azione di programmi di cui all art.615-quinquies del codice penale assicurando la presenza e l utilizzo di un sistema antivirus centralizzato da aggiornare con cadenza almeno semestrale. L aggiudicatario e tenuto altresì a provvedere con continuità all aggiornamento dei client antivirus installati sulle postazioni di lavoro (PdL) e alle relative base di dati dei virus e alle impostazioni necessarie per la gestione e il monitoraggio centralizzato delle PdL. Tutto ciò al fine di garantire la protezione di ogni singola Postazione di Lavoro da attacchi di virus, worm, ecc d) Gestione dei dispositivi di sicurezza perimetrale Il servizio consiste nell attuare la politica per la sicurezza dei dispositivi di difesa perimetrale dell amministrazione (firewall) provvedendo anche alla loro gestione sistemistica e alla manutenzione. In particolare, dovranno essere garantiti i seguenti requisiti: d1) il sistema automatizzato di gestione dell accesso remoto per manutenzione e/o utilizzo/consultazione/elaborazione dei sistemi informativi ospitati dai server e infrastructure server o dei dati ospitati su supporti centralizzati di salvataggio dovrà consentire l accesso all utenza solo previa autenticazione con codice identificativo e password; d2) i prodotti utilizzati dovranno cifrare le informazioni durante il transito in rete in modo da garantirne la riservatezza e l integrità delle stesse; d3) i server e gli apparati preposti all erogazione del servizio dovranno discriminare l accesso alle informazioni mediante un sistema di controllo accessi basato sul profilo degli utenti. E) Content filtering Il servizio content filtetering dovrà permette di bloccare o consentire il transito delle informazioni che viaggiano sugli apparati di sicurezza perimetrale sulla base dell analisi del contenuto stesso allo scopo bloccare e contenuti web ritenuti non sicuri per l intera infrastruttura. F) Content security Il servizio di content security dovrà garantire una gestione efficace delle contromisure atte a contrastare la diffusione dei codici malevoli, quali virus o worm su sistemi client (postazione di lavoro) e server. Il servizio dovrà prevedere anche la gestione sistemistica e la manutenzione dei componenti utilizzati. 5

6 G) Security host hardening Il servizio dovrà provvedere alla definizione, implementazione, manutenzione e controllo delle politiche di configurazione e di aggiornamento dei sistemi server rilevanti per il Committente, in termini di sistema operativo e applicazioni di base. Il servizio dovrà garantire i seguenti requisiti minimi: g1) il server e l Infrastructure Server devono contenere solo il software e le informazioni strettamente necessarie per il loro funzionamento; g2) tutti gli accessi ai sistemi devono essere autenticati e tutte le comunicazioni protette per garantire confidenzialità ed integrità; g3) l applicazione sistema di antivirus centralizzato e l applicazione centralizzata di distribuzione degli aggiornamenti dei sistemi operativi e software dovranno essere installate su un server dedicato; è espressamente vietato prevede ed installare tali applicazioni sui server o Infrastructure server che ospitano i Sistemi Informativi automatizzati al fine di: a) tenere separate la gestione del sistema di protezione dai virus dalle banche dati del Committente; b) evitare possibili rallentamenti dei Sistemi Informativi automatizzati e incompatibilità software. H) Monitoraggio della sicurezza Tutti i servizi esplicitati nei punti precedenti dovranno essere altresì interessati dalle seguenti attività: h1) Monitoraggio degli eventi Monitoraggio di tutti gli eventi significativi per la sicurezza, evidenziati durante l erogazione del servizio. L aggiudicatario dovrà garantire il monitoraggio per ogni postazione di lavoro dei seguenti eventi: tipologia, frequenza e banda consumata dei siti web visitati; tipologia dei servizi internet utilizzati; tipologia dei file scaricati o trasmessi comprensiva di banda consumata; traffico generato (banda consumata) analizzato per giorno, ora, servizio, protocollo e direzione (Internet o Intranet); tipologia protocolli di trasmissione; tipologia e gravità di infezioni quali: virus, worm, troian, spyware che hanno generato un attacco; h2) Aggiornamento delle componenti critiche per il servizio L aggiudicatario è tenuto a garantire l aggiornamento periodico di tutte le componenti critiche (hw e sw) per la gestione della sicurezza. Dovrà essere previsto l aggiornamento anche in quei casi in cui la casa produttrice delle apparecchiature e del software evidenzia una situazione che potrebbe portare alla malfunzione (SW) o al guasto (HW). h3) Rendicontazione L aggiudicatario dovrà, con periodicità almeno semestrale, produrre un report riportante: i risultati delle operazioni inerenti tutti i servizi di sicurezza sopra descritti; i problemi di sicurezza rilevati; le statistiche sull andamento di ogni servizio, ed in particolare dei seguenti dati statistici: otraffico Web Generato; ogli Host che hanno generato più traffico; oprotocolli che hanno generato più traffico; oreportistica degli alert che hanno riportato gli apparati di sicurezza; ole Policy applicate sugli apparati di sicurezza; 6

7 oi siti maggiormente visitati; oi siti bloccati che hanno generato più richieste di accesso; otraffico Medio Giornaliero raggruppato per fasce di orario e per giorni della settimana. oattacchi da parte di virus, worm, spyware, ecc. raggruppati per giorno di segnalazione, gravità e postazione di lavoro colpita. h4) Cifratura Al fine di garantire una maggiore sicurezza, l aggiudicatario dovrà cifrare le seguenti informazioni: le informazioni tecniche di configurazione; le reti su cui viaggiano dati personali e informazioni riservate; i log del traffico di rete. h5) Adozione di soluzioni per la gestione del rischio L aggiudicatario dovrà attivare, qualora richiesto e necessario, alert dei sistemi firewall e di antivirus centralizzato sia verso l affidatario che verso il supervisore del Servizio. 2. PENALITA In caso di inadempienze dagli obblighi contrattuali assunti, l Aggiudicatario, oltre alla decurtazione dell importo del mancato servizio prestato, sarà passibile di sanzioni con ammende da applicarsi con Determinazione del Responsabile di Settore. Per i casi di inadempienza e negligenza nella gestione del servizio rispetto alle prescrizioni di cui al punto precedente, sono previste ammende da un minimo di.150,00 ad un max di. 500,00 per ogni episodio. L applicazione della sanzione sarà preceduta da regolare contestazione dell inadempienza che dovrà essere inoltrata con lettera raccomandata A.R. e/o fax dal Responsabile comunale competente alla Ditta Aggiudicataria. La Ditta Aggiudicataria avrà facoltà di presentare, con lettera raccomandata A.R. e/o fax, controdeduzioni entro il termine di 5 (cinque) giorni dalla notifica della contestazione. Il Responsabile comunale competente provvederà entro i successivi 30 (trenta) giorni a pronunciarsi definitivamente sulla procedura di contestazione. L applicazione della penale non preclude all Amministrazione Comunale la possibilità di mettere in atto altre formule di tutela. In caso di mancato od insufficiente inoltro delle controdeduzioni di cui sopra l ammontare delle sanzioni sarà trattenuto sulla prima rata di canone successiva alla contestazione. Inoltre si procederà anche a trattenere sulla stessa rata di canone l importo relativo al mancato servizio contestato. In ogni caso il Comune potrà richiedere alla Ditta Aggiudicataria il risarcimento degli ulteriori danni subiti in conseguenza dell inadempimento o del tardivo adempimento delle proprie obbligazioni. 7