PROGETTO dei FABBISOGNI

Transcript

1 PROGETTO dei FABBISOGNI per la fornitura di Servizi di Cloud Computing SPC CLOUD LOTTO1 ISTITUTO AUTONOMO CASE POPOLARI (I.A.C.P.) MESSINA 1 di 15

2 REDATTO da: (Autore) VERIFICATO da: (Proprietario) APPROVATO da: (Proprietario) LISTA DI DISTRIBUZIONE: TIM B.S/S.PSD TIM B.S/S.PSD TIM B.S/S.PSD B.S/S.SPPSC Matteo LICARI Matteo LICARI Maurizio Traina 2 di 15

3 S O M M A R I O 1 SOMMARIO AMBITO DEFINIZIONE ED ACRONIMI RIFERIMENTI Documenti contrattuali Documenti di riferimento PROGETTO DI ATTUAZIONE DEL SERVIZIO Descrizione Generale MAPPATURA DEI PROCESSI ANALISI RISK ASSESSMENT REDAZIONE DEL GDPR RISK ASSESSMENT RELATIVO ALLA COMPONENTE IT SUPPORTO ALLA GESTIONE DEL CLOUD IMPEGNATO NEL PROGETTO SERVICE ELEMENT NECESSARI DEL SERVIZIO DI VIRTUAL DATA CENTER MODALITÀ E TEMPI DI REALIZZAZIONE DESCRIZIONE CENTRO SERVIZI MODALITÀ DI PRESENTAZIONE E APPROVAZIONE STATI AVANZAMENTO MENSILI PIANO DI ATTUAZIONE DEL SERVIZIO Piano di Lavoro Documento Programmatico di Gestione della Sicurezza dell Amministrazione VALORIZZAZIONE di 15

4 REGISTRAZIONE MODIFICHE DOCUMENTO La tabella seguente riporta la registrazione delle modifiche apportate al documento. DESCRIZIONE MODIFICA REVISIONE DATA Prima emissione 1 Giugno di 15

5 1 SOMMARIO Il presente documento descrive il Progetto dei Fabbisogni del RTI Telecom Italia, Enterprise Services Italia (già, HPE Services Italia), Postel e Telecom Italia Trust Technologies, relativamente alla richiesta di fornitura dei servizi di Cloud Computing nell ambito del Sistema Pubblico di Connettività e cooperazione (SPC) per l Istituto Autonomo Case Popolari di Messina (I.A.C.P.) Quanto descritto, è stato redatto in conformità alle richieste dell Amministrazione e sulla base delle esigenze emerse durante gli incontri tecnici per la raccolta dei requisiti e sulla base delle informazioni contenute nel Piano dei Fabbisogni. 2 AMBITO Il Contratto Quadro SPC Cloud Lotto 1, aggiudicato al (RTI) costituito da: Telecom Italia S.p.A. (mandataria) Telecom Italia Trust Technologies S.r.l. Enterprise Services Italia (già, HPE Services Italia) Poste Italiane Postecom Postel prevede la fornitura di servizi di Cloud Computing per le Pubbliche Amministrazioni nell ambito del Sistema Pubblico di Connettività e Cooperazione (SPC): Servizi IaaS Servizi PaaS Servizi SaaS Servizi Professionali di Cloud Enabling secondo quanto stabilito nel Capitolato Tecnico e nell Offerta Tecnica, nella misura richiesta dalle amministrazioni Contraenti con i Contratti di Fornitura. Telecom Italia, in qualità di mandataria, avrà in carico tutte le attività propedeutiche all attivazione dei servizi contrattualizzati dall Amministrazione Contraente relative, sia alla ricezione dei Piani dei Fabbisogni ed al conseguente invio dei relativi Progetti di Fabbisogni, sia all accettazione dei Contratti di Fornitura In particolare la procedura per l affidamento dei predetti servizi è articolata attraverso la stipula da parte di Consip S.p.A. di un Contratto Quadro con l Aggiudicatario della procedura medesima, che si impegna a stipulare, con le singole Amministrazioni Contraenti, Contratti di Fornitura aventi ad oggetto i predetti servizi alle condizioni stabilite nel Contratto Quadro. La durata del Contratto Quadro è fissata in 36 mesi prorogabili, su comunicazione di Consip, sino ad un massimo di ulteriori 24 mesi; I singoli Contratti Esecutivi di Fornitura di ciascun Lotto avranno una durata decorrente dalla data di stipula del Contratto Esecutivo medesimo e sino al massimo della scadenza ultima, eventualmente prorogata (Lotto 1) del Contratto Quadro Le singole Amministrazioni contraenti potranno richiedere una proroga temporale dei singoli Contratti Esecutivi di Fornitura al solo fine di consentire la migrazione dei servizi ad un nuovo Fornitore al termine del Contratto Quadro, qualora la selezione dell Operatore Economico subentrante non sia intervenuta entro i 3 mesi antecedenti la scadenza del presente Contratto Quadro. 5 di 15

6 3 DEFINIZIONE ED ACRONIMI La seguente tabella riporta le descrizioni o i significati degli acronimi e delle abbreviazioni presenti nel documento. Acronimi AgID API CAD CONSIP F/OSS IaaS ICT IT KPI PA PAL PaaS SaaS SPCoop SAL SAN SGSI SPC VDC VLB VM VN VF VPN Descrizione Agenzia per Italia Digitale Application Programming Interface Codice dell Amministrazione Digitale Consip S.p.A. Free and Open Source Software Infrastructure as a Service Information and Communication Technology Information Technology Key Performance Indicator Pubblica Amministrazione Pubblica Amministrazione Locale Platform as a Service SaaS: Software as a Service Sistema Pubblico di Connettività e Cooperazione Stato Avanzamento Lavori Storage Area Network Sistema di Gestione della Sicurezza delle Informazioni Sistema Pubblico di Connettività Virtual Data Center Virtual Load Balancer Virtual Machine Virtual Network Virtual Firewall Virtual Private Network Tabella Glossario 6 di 15

7 4 RIFERIMENTI 4.1 Documenti contrattuali Rif. Documento #1 Piano dei Fabbisogni Tabella dei documenti di contrattuali 4.2 Documenti di riferimento La seguente tabella riporta i documenti che costituiscono il riferimento a quanto esposto nel seguito del presente documento. Rif. Documento #1 BANDO DI GARA D APPALTO CONSIP S.p.A. LOTTO 1 - Relazione Tecnica Procedura ristretta suddivisa in 4 lotti per l affidamento di Servizi di Cloud #2 Computing, di Sicurezza, di Soluzioni di Portali di Servizi online e di Cooperazione Applicativa per le Pubbliche Amministrazioni (ID SIGEF 1403) CAPITOLATO TECNICO PARTE GENERALE Procedura ristretta suddivisa in 4 lotti per l affidamento di Servizi di Cloud #3 Computing, di Sicurezza, di Soluzioni di Portali di Servizi online e di Cooperazione Applicativa per le Pubbliche Amministrazioni (ID SIGEF 1403) Piano di Sicurezza dei Centri Servizi e Centri Servizi Ausiliari #4 Cod. BU Specifiche di dettaglio delle prove di collaudo dei servizi in ambiente di test (Test #5 Bed) #6 Piano di Qualità CONSIP Tabella dei documenti di riferimento 7 di 15

8 5 PROGETTO DI ATTUAZIONE DEL SERVIZIO 5.1 Descrizione Generale Il 25 maggio è entrato in vigore il GDPR, (General Data Protection Regulation), il Regolamento UE 2016/679 con il quale la Commissione Europea intende rafforzare e omogeneizzare la protezione dei dati dei cittadini dell Unione Europea. Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016, inizierà ad avere efficacia il 25 maggio Non si tratta di un semplice aggiornamento della normativa sulla Privacy: il GDPR tiene conto della necessità di preservare l integrità del dato e proteggerlo da usi impropri. Pertanto, accanto all analisi e revisione delle procedure Privacy è presente anche la valutazione dell infrastruttura IT aziendale, in termini di: capacità di reazione ad attacchi esterni, di correttezza nella gestione e tracciabilità degli accessi ai sistemi informativi aziendali, di preservazione/recupero dei dati in caso di incidenti. Le sanzioni previste dal regolamento per l inosservanza della nuova normativa sono particolarmente rilevanti. In caso di inosservanza di quanto previsto dal GDPR, l Autorità Garante per la Protezione dei Dati Personali potrà imporre di sanzioni di due tipi, correttive e di carattere economico. Le sanzioni correttive consisteranno in avvertimenti, ammonimenti, richieste di rettifica e, in generale, osservazioni dirette al titolare del trattamento o al responsabile del trattamento. Le sanzioni di carattere economico, invece, riguarderanno: Inosservanza degli obblighi del titolare e del responsabile del trattamento; inosservanza degli obblighi dell organismo di certificazione; inosservanza degli obblighi dell organismo di controllo: fino a 10 milioni di Euro o, per le imprese, fino al 2% del fatturato annuo. Inosservanza dei principi base del trattamento; inosservanza dei diritti degli interessati; inosservanza delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali; inosservanza di un ordine, limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell autorità di controllo: fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato annuo. Inosservanza di un ordine correttivo dell Autorità di Controllo: fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato annuo. La gestione di un progetto GDPR richiede un team multidisciplinare, così come multidisciplinare dovrà essere l approccio. L eventuale scelta di una pluralità di società di consulenza per coprire i vari aspetti della compliance può portare alla mappatura incompleta delle criticità e, quindi, a difficoltà nel conseguire la Compliance, oltre a criticità legate a duplicazioni nelle interviste e nelle analisi e alla difficoltà di conseguire una visione d assieme. 8 di 15

9 Di seguito si espone la metodologia proposta per lo svolgimento di un progetto GDPR. Schema delle attività previste FASE 1A: Analisi dell as-is sul fronte legale e organizzativo 6 MAPPATURA DEI PROCESSI Mappatura processi/unità organizzative/dati trattati; per ciascuna unità organizzativa, saranno esaminati i processi che prevedono acquisizione e trattamento dei dati personali. Le attività che in dettaglio saranno svolte: 1.1. analisi di natura e tipologia dei dati trattati, con particolare attenzione alla finalità del trattamento e alla sua liceità; 1.2. rilevazione dei processi correlati e individuazione se presenti - di quelli critici per impatto privacy quali videosorveglianza e profilazione); 1.3. rilevazione della partecipazione di terze parti nel trattamento dei dati personali; 9 di 15

10 7 ANALISI Analisi delle strutture/strumenti in ambito Privacy; in particolare, saranno valutate se presenti - procedure, istruzioni operative, regolamenti e modulistica; analisi Organigramma/ruoli privacy: titolare del trattamento, responsabile/i, incaricato/i; analisi procedura/regolamento (modalità di trattamento dei dati, conservazione ed archiviazione degli stessi, modalità di raccolta del consenso e informativa resa); analisi procedura/regolamento in tema di videosorveglianza; analisi procedura in caso di partecipazione di terze parti nella gestione dei dati personali; analisi modulistica informativa e consenso nei confronti di dipendenti, clienti e fornitori, per tutti i canali (diretto, web, telefono, et al.); analisi delle modulistiche informativa e consenso relative a fattispecie con elevato impatto privacy (profilazione, videosorveglianza, et al.); analisi modulistica lettere di incarico (interni ed esterni) e relativo ambito di trattamento. 8 RISK ASSESSMENT Elaborazione del GDPR risk assessment legale-organizzativo contenente: 1.4. Valutazione del rischio relativo al trattamento dei dati personali in relazione al nuovo regolamento europeo (GDPR); 1.5. Raccomandazioni relative alle possibili remediations per mitigare il rischio valutato, consistenti in: Eventuale revisione organigramma privacy; Definizione di massima dell ufficio del DPO; Eventuale necessità di adeguamento della modulistica e della informativa aziendale in ambito privacy; Segnalazione di criticità relative a procedura/regolamento privacy; Verifica dell esistenza e adeguatezza delle procedure di cancellazione/rettifica dei dati a richiesta dell interessato e della procedura in caso di data_breach. FASE 1B: Analisi dell as-is sul fronte IT, relativo a sicurezza e integrità dei dati La fase 1B è svolta contestualmente alla fase 1A e mira a valutare i rischi relativi all infrastruttura IT aziendale in termini di capacità di reazione ad attacchi esterni, di correttezza nella gestione e tracciabilità degli accessi ai sistemi informativi aziendali, di preservazione dei dati in caso di incidenti. A tale scopo, le attività comprese nella fase 1B sono: 1. Mappatura dati trattati/sistemi informativi coinvolti, finalizzata alla definizione del perimetro dell analisi; 2. Analisi dell infrastruttura IT aziendale: 2.1. Conduzione vulnerability assessment; 2.2. Verifica del sistema di gestione e tracciabilità degli accessi; 2.3. Verifica dei sistemi di back up; 2.4. Identificazione elementi di rischio in ambito IT; 3. Gap analysis circa l applicazione di misure minime di sicurezza mediante specifici audit tecnici; 10 di 15

11 9 REDAZIONE DEL GDPR RISK ASSESSMENT RELATIVO ALLA COMPONENTE IT. FASE 2A: Compliance sul fronte legale e organizzativo La fase 2 consiste nel supporto all implementazione delle remediations individuate nell attività 3.2 della fase 1A e nell attività 4 della fase 1B. Naturalmente, presupposto fondamentale per l esecuzione della FASE 2 è l approvazione e condivisione dei documenti di assessment definiti al compimento della Fase 1A e 1B. Le principali implementazioni sono relative a: 1. Definizione dell organigramma dei ruoli specifici correlati al trattamento dei dati, con indicazione puntuale delle attività/procedure assegnate per inserimento di tali ruoli in mansionario; 2. Individuazione del DPO, se necessario, e predisposizione di nomina e piano di attività; 3. Revisione dei contenuti delle lettere di incarico per Responsabili e Incaricati del trattamento dei dati personali; 4. Calibrazione dell accesso ai dati in funzione delle competenze assegnate; 5. Revisione della procedura/regolamento privacy (modalità di trattamento dei dati, tempi di conservazione, modalità di archiviazione dei dati, riscontro dell interessato, modalità di raccolta del consenso e informativa resa, et al.); 6. Disegno/revisione della procedura in caso di data breach ; 7. Eventuale ridisegno della procedura di richiesta di cancellazione, modifica, limitazione del trattamento da parte dell interessato; 8. Definizione eventuali clausole contrattuali in caso di affidamento del trattamento dati a terzi; 9. Revisione della Informativa relativa al trattamento dei dati nei confronti di dipendenti/collaboratori, clienti, fornitori e utenti Web; 10. Revisione moduli di Informativa relativa al trattamento dei dati videosorveglianza; 11. Revisione moduli di Informativa relativa al trattamento dei dati, in termini di profilazione; 12. Revisione moduli di Consenso al trattamento dei dati. Supporti Software A supporto di tutte le azioni individuate in fase 1 sono previste le seguenti soluzioni applicative: 1. implementazione di un software gestionale per gli adempimenti previsti, con funzioni specifiche quali: Raccolta dati aziendali (anagrafiche soggetti, strumenti di trattamento, uffici, sedi etc) Importa da file excel le liste di nominativi (dipendenti e fornitori) Compilazione e aggiornamento del Registro dei Trattamenti Gestione e aggiornato del Registro del Responsabile in maniera rapida e intuitiva Generazione lettere di nomina Effettua valutazioni di impatto privacy con il modulo DPIA Cura il registro dei Data Breaches Archivia i tuoi documenti privacy in modo sicuro Accesso profilato al sistema di gestione 11 di 15

12 2. Implementazione di un cruscotto direzionale di rete che prevede la gestione dell Asset management ed il monitoring dello stato di rete, consente la ricognizione del parco installato sulla rete dell organizzazione e di conseguenza l implementazione di una struttura informatica snella, funzionale e adatta alle performance richieste. Consente altresì piena autonomia e assicura il controllo preciso e sistematico delle seguenti attività: Inventario dei beni informatici Manutenzione del parco hardware Gestione dei software installati Catalogo dei servizi in esecuzione Tracciamento delle informazioni nel tempo Gestione dei documenti inerenti al parco hardware gestito FASE 3: Formazione del personale in ambito Privacy L'art 29 del GDPR prevede un divieto di trattamento del dato per personale che non sia stato istruito dal titolare del trattamento o dal responsabile del trattamento. Per questo motivo sono previste sessioni formative sui temi della privacy, svolte da esperti del settore ed erogate anche in modalità e-learning, replicabili on demand e corredate da test di verifica. Per assicurare la compliance a quest'obbligo (l'inadempimento è sanzionato fino a 10milioni di euro e fino al 2% del fatturato globale) si prevedono: attività formativa di carattere generale (eventualmente somministrata in modalità e-learning); attività formativa sugli strumenti adottati dall'ente (codice di comportamento, codice etico, regolamenti di accesso, etc) finalizzata ad istruire il personale addetto al trattamento. Naturalmente, la formazione dovrà essere ripetuta periodicamente per dare risposta a modifiche legislative, organizzative e di regolamentazione interna. 12 di 15

13 10 SUPPORTO ALLA GESTIONE DEL CLOUD IMPEGNATO NEL PROGETTO L Amministrazione intende utilizzare un Virtual Data Center per implementare un software gestionale per gli adempimenti previsti ed un cruscotto direzionale di rete che preveda la gestione dell Asset management ed il monitoring dello stato di rete. Le VM (ed i relativi sottosistemi) deployate per le finalità del presente progetto saranno manutenute per tutto il periodo della durata contrattuale. 11 SERVICE ELEMENT NECESSARI DEL SERVIZIO DI VIRTUAL DATA CENTER La durata Contrattuale dei Servizi IaaS è 12 (dodici) Mesi. 13 di 15

14 12 MODALITÀ E TEMPI DI REALIZZAZIONE L implementazione di un servizio di sicurezza è un insieme d operazioni da coordinare attentamente. Infatti, alla complessità intrinseca al cambiamento della rete e degli strumenti software e informatici, chiaramente percepibile da tutti gli utenti coinvolti, si aggiungono complessità derivanti dalla necessità di coordinare numerosi diversi attori, la cui specifica importanza nella realizzazione del progetto è spesso più che proporzionale rispetto alla apparenza. Il progetto è, di norma, articolato in varie e molteplici sotto attività; di queste molte possono essere considerate, prese singolarmente, molto semplici, ma non per questo sono meno importanti delle altre: lo slittamento anche minimo- di un attività in sé e per sé non complessa, ad esempio la disponibilità di una presa di rete, può fare ritardare di settimane la messa a regime di un nuovo sistema informativo e di telecomunicazioni. Tutte le componenti coinvolte devono essere sincronizzate: ogni attività sarà pianificata ed assegnata ad un responsabile, al fine di indirizzare gli sforzi dei singoli al raggiungimento di un obiettivo comune. Per cercare di ottimizzare queste attività è prevista una specifica attività di Project Management, finalizzato ad avviare e coordinare le attività e le risorse coinvolte nella realizzazione del progetto. I tempi di realizzazione delle piattaforme di sicurezza sono di circa 120 giorni lavorativi dalla data della formalizzazione del rapporto contrattuale, salvo il meglio. 13 DESCRIZIONE CENTRO SERVIZI Per la descrizione si rimanda al paragrafo 3.3 del documento : LOTTO 1 - Relazione Tecnica Procedura ristretta suddivisa in 4 lotti per l affidamento di Servizi di Cloud Computing, di Sicurezza, di Soluzioni di Portali di Servizi online e di Cooperazione Applicativa per le Pubbliche Amministrazioni (ID SIGEF 1403) 14 MODALITÀ DI PRESENTAZIONE E APPROVAZIONE STATI AVANZAMENTO MENSILI Per la descrizione si rimanda al capitolo del documento seguente: CAPITOLATO TECNICO PARTE GENERALE Procedura ristretta suddivisa in 4 lotti per l affidamento di Servizi di Cloud Computing, di Sicurezza, di Soluzioni di Portali di Servizi online e di Cooperazione Applicativa per le Pubbliche Amministrazioni (ID SIGEF 1403). 15 PIANO DI ATTUAZIONE DEL SERVIZIO 15.1 Piano di Lavoro Il Piano di lavoro sarà concordato con il comune per tutte le fasi propedeutiche di analisi di dettaglio; le fasi successive presuppongono la disponibilità delle componenti infrastrutturali e di software necessarie. 14 di 15

15 15.2 Documento Programmatico di Gestione della Sicurezza dell Amministrazione Il Documento programmatico di gestione della Sicurezza verrà consegnato entro 20 gg dalla data in cui l Amministrazione ne farà richiesta. 16 VALORIZZAZIONE Servizi Descrizione Q.tà (gg/uomo) Importo singola giornata Durata (Mesi) Canone Annuo Importo Totale IaaS Virtual Machine , ,00 CLOUD ENABLING (SERVIZI PROFESSIONALI) Capo progetto , ,74 IT Architect senior 8 372, ,2 Specialista di Tecnologia/Prodotto , ,48 Sistemista Senior 8 280, ,8 Importo Totale Contratto (IVA Esclusa) ,22 15 di 15