APPALTO DEL SERVIZIO DI GESTIONE DEL SISTEMA INFORMATICO DEL COMUNE DI GALLIPOLI CAPITOLATO DEL SERVIZIO

Transcript

1 APPALTO DEL SERVIZIO DI GESTIONE DEL SISTEMA INFORMATICO DEL COMUNE DI GALLIPOLI Febbraio 2013

2 Indice SCOPO 3 SERVIZI DI CONSULENZA GESTIONALE 4 SERVIZI DI MANUTENZIONE 7 GESTIONE POSTAZIONI DI LAVORO, SERVER, APPLICATIVI E BASI DATI 9 GESTIONE DELLA SICUREZZA LOGICA 15 FORMAZIONE E ADDESTRAMENTO 22 CONTINUITA OPERATIVA 22 GESTIONE E MANUTENZIONE RETE 30 LIVELLI CONTRATTUALI DEL SERVIZIO 35 INVENTARIO DEI BENI 41 FORMULAZIONE DELL'OFFERTA 42 NORME GENERALI 44 FEBBRAIO 2013 Pagina 2 di 54

3 1.0 SCOPO Il Comune di Gallipoli (Committente) intende appaltare il servizio di gestione del proprio sistema informatico. In tale definizione sono compresi sommariamente i seguenti servizi: n. Descrizione CPV 1.1 Servizi di consulenza gestionale Servizi di manutenzione , Gestione postazioni di lavoro, server, applicativi e Basi Dati , , 1.4 Gestione della sicurezza logica Formazione e addestramento Continuità Operativa , Gestione e manutenzione rete , FEBBRAIO 2013 Pagina 3 di 54

4 1.1 SERVIZI DI CONSULENZA GESTIONALE I servizi di consulenza gestionale sono quell'insieme di attività necessarie per la gestione del sistema informativo comunale, di seguito elencate Gestione dell anagrafica del sistema informatico comunale E richiesta la gestione dell anagrafica del sistema informatico comunale attraverso un sistema informativo automatizzato che gestisca una banca dati contenente le informazioni di ogni bene (HW e SW) oggetto del servizio prevedendone l aggiornamento, rispettando i seguenti requisti minimi: Ogni bene deve essere dotato di un numero di catalogo. Ad ogni bene devono essere associate almeno le informazioni relative a: 1) numero di catalogo; 2) tipologia: Critico (C), Non Critico (NC); 3) categoria: Hardware, Software; 4) descrizione: Elaboratore Elettronico (E.E.), Server, Postazione di Lavoro Front Office (PdL F.O.), Postazione di Lavoro a Disponibilità Elevata (PdL D.E.), Notebook, Tablet, Stampante, Scanner, Gruppo di Continuità, Apparati di rete, Apparati di rete Centrali, Sistema Operativo Server, Sistema operativo Client, DBMS, Applicativi, Applicativi Sicurezza, ecc. (vedesi allegati n.1 e n.2); 5) denominazione (a puro titolo di esempio: AutoCAD MAPS 3D 2010, nel caso di SW, OLIDATA VASSANT 8 GGFP, nel caso di HW); 6) ditta produttrice (a puro titolo di esempio: Microsoft, nel caso di SW, HP, nel caso di HW); 7) modello; 8) numero di serie; 9) indirizzo di rete (informazione protetta con password e cifratura), 10) ubicazione: Sede Comunale Via Pavia, Sede Comunale Via Antonietta de Pace; 11) Area/Servizio/Ufficio; 12) utente assegnatario; 13) data di acquisto bene; 14) numero contratto di manutenzione della ditta produttrice del bene; 15) data di scadenza della garanzia; 16) data di scadenza del contratto di manutenzione della ditta produttrice del bene; 17) data di ingresso in magazzino; 18) data di ingresso in manutenzione; 19) data di dismissione; 20) numero e tipologia di interventi; 21) stato di lavorazione (magazzino, manutenzione, dismissione); 22) ultima data di aggiornamento delle password di BIOS ed Amministratore; 23) numero di consumabili sostituiti durante l anno (solo per i beni stampanti); 24) soglia di consumabili da sostituire (solo per i beni stampanti); 25) numero porte (solo per i beni: apparati di rete, apparati di rete centrali); 26) tipologia licenza d uso: OEM, singola, multi-licenza, aggiornamento (solo per i beni software); 27) versione software (solo per i beni software); 28) numero licenze d uso acquistate (solo per i beni software); 29) numero licenze d uso istallate (solo per i beni software); FEBBRAIO 2013 Pagina 4 di 54

5 Ogni bene deve essere classificato almeno in base alle seguenti categorie: 1) tipologia: Critico, Non Critico; 2) categoria: Hardware, Software; 3) descrizione; 4) denominazione; 5) ditta produttrice; 6) modello; 7) ubicazione; 8) Area/Servizio/Ufficio; 9) utente assegnatario; 10) data di acquisto; 11) stato di lavorazione; 12) numero di consumabili sostituiti durante l anno (solo per i beni stampanti) 13) numero porte (solo per i beni: apparati di rete, apparati di rete centrali); 14) tipologia licenza software; 15) versione software. Su ogni bene deve essere apposta etichetta identificativa riportante il numero di catalogo del bene; sull etichetta deve essere riportata la data di stampa della stessa. Deve essere garantito l aggiornamento in tempo reale del database contenente le informazioni sui beni per tracciare la loro gestione, registrando: a) il numero di catalogo apposto sul bene e tutte le informazioni del bene sopra indicate; b) informazioni inerenti la procedura di attivazione di una chiamata (tipo d intervento e dettaglio del singolo intervento, come descritti al punto 1.3.3); producendo ed aggiornando contestualmente in tempo reale anche una mappa grafica di dislocazione dei beni e dei dispositivi che in qualsiasi momento sia consultabile, unitamente al database, dal committente tramite browser o strumenti elettronici equivalenti. Deve essere garantire l'esatta corrispondenza tra i dati presenti nell'inventario (database contenente le informazioni sui beni) e la situazione reale rilevabile dall intervento on-site, in special modo relativamente a locazione fisica, numerazione IP e licenze software istallate, dandone pronta comunicazione nel caso di disallineamento. Deve essere garantito l accesso alle informazioni dei beni solo al personale autorizzato, prevedendo qualora tali informazioni siano fruibili mediante il web opportune misure di sicurezza (ad esempio: l accesso al sistema informativo di gestione beni dovrà essere consentito esclusivamente dall indirizzo IP pubblico dell Ente e da quello dell affidatario). Deve essere gestito il processo di autenticazione degli utenti nel sistema informativo automatizzato che gestisce la banca dati dei beni: gestione utenza, profili e credenziali d uso. L utente deve poter modificare le password al primo accesso e anche successivamente deve essere possibile la sostituzione password in autonomia. Deve essere comunicato al Committente l elenco degli utenti autorizzati dal fornitore alla gestione dei dati dei beni dell Amministrazione. Tale elenco dovrà essere aggiornato dal fornitore ogni qualvolta si verifichi un cambiamento negli operatori abilitati all uso. Deve essere prevista la gestione dei log di accesso al sistema informativo automatizzato da parte degli utilizzatori. Deve essere possibile effettuare operazioni di ricerca su più chiavi: tutte le classi sopra indicate, il numero e la tipologia di interventi. FEBBRAIO 2013 Pagina 5 di 54

6 Deve essere possibile configurare il sistema informativo affinché produca degli alert che avvisino almeno dei seguenti eventi: a. disallineamento relativo ad aspetti legati alla consistenza delle licenze di utilizzo del Comune; b. scadenza della password di BIOS e di Amministratore; c. data di scadenza del contratto di manutenzione della ditta produttrice del bene; d. raggiungimento di una soglia di consumo dei consumabili delle stampanti. Deve essere possibile effettuare l estrazione di report nei formati più utilizzati (quali: xls, pdf) e la stampa di report contenenti le informazioni ivi memorizzate. Deve essere possibile effettuare l ordinamento delle informazioni estratte in base a tutte le categorie sopra menzionate. L anagrafica di base dei beni del sistema informatico comunale è costituita dagli allegati n.1 e n.2 al capitolato Altri servizi di gestione Supporto al lavoro di analisi e pianificazione di interventi di potenziamento dell HW ed aggiornamento del SW di base ed applicativo. Studi, analisi e ricerche: approfondire temi particolari, approntare modelli revisionali descrivendo gli scenari alternativi in corrispondenza di proposte diverse ed analizzandone i risultati; produrre un rapporto di analisi della qualità del servizio mediante rilevazione del grado di soddisfacimento dell'utente; Realizzazione quadri di sintesi: fornire informazioni di sintesi sui dati raccolti nell ambito della gestione del sistema informatico; Supporto alle decisioni: favorire l autonomia degli utenti nella determinazione dei propri processi decisionali attraverso un intervento integrato (analisi dei fabbisogni, individuazione di strumenti tecnologici, formazione, raccolta di indicazioni per sviluppi futuri ecc.); Supporto all utente nella reingegnerizzazione dei processi supportati dal sistema informatico e nella definizione dei requisiti dei nuovi sistemi; Supporto all utente nella valutazione dell impatto dei cambiamenti normativi sul sistema informatico; Analisi e valutazioni dell impatto dovuto all introduzione di una nuova tecnologia sulla organizzazione, sui processi amministrativi, sul sistema informatico preesistente; Supporto all utente nell interfaccia con altre amministrazioni e/o aziende esterne in materia di sistemi informativi informatizzati; Supporto all Amministrazione nella valutazione di progetti con componenti tecnologiche o di sistema informatico. FEBBRAIO 2013 Pagina 6 di 54

7 1.2 SERVIZI DI MANUTENZIONE I servizi di manutenzione sono quell'insieme di attività necessarie a mantenere l'ottimale stato di utilizzo delle attrezzature hw e del sw di base. Le attività di manutenzione si suddividono in due tipologie: Manutenzione preventiva: si intende l insieme delle attività che si effettuano, in via preventiva, su tutti i beni oggetto di manutenzione al fine di garantire la disponibilità dei sistemi e degli apparati anticipando, per quanto possibile, malfunzioni di natura Hardware e Software. La manutenzione preventiva viene eseguita generalmente nei seguenti casi: a quando la casa produttrice delle apparecchiature evidenzia una situazione che potrebbe portare alla malfunzione (SW) o al guasto (HW); b sulle apparecchiature con parti soggette ad usura (cinghie, catene o altre parti meccaniche); vengono, in particolare eseguiti i controlli raccomandati dalla casa produttrice; c in caso di potenziali problemi di sicurezza, effettuando tutti gli interventi raccomandati dal produttore, per assicurare gli adeguati standard di sicurezza. Rientrano in questa categoria le seguenti operazioni: 1. pulizia delle ventole e dei filtri; 2. pulizia e lubrificazione delle parti soggette a movimento; 3. verifica, con periodicità non superiore a sei mesi, del funzionamento dei gruppi di continuità e dell efficienza delle loro batterie; 4. verifica delle licenze d uso del software installate sugli elaboratori elettronici e notebook. Nel momento in cui un bene passa dallo stato magazzino allo stato manutenzione, prima che esso venga consegnato all assegnatario (utente finale), su di esso dovranno essere effettuate le succitate operazioni di manutenzione preventiva. Deve essere presentato un Piano di manutenzione preventiva (vedi paragrafo Formulazione dell offerta). Si dovrà provvedere ad aggiornare annualmente il suddetto Piano. Manutenzione correttiva: è l insieme delle attività che sono intraprese in occasione delle segnalazioni di malfunzione parziale o totale delle apparecchiature. Per quanto riguarda i beni di tipologia software è quell insieme di attività che sono intraprese sia su segnalazione di malfunzionamento da parte dell utenza o del responsabile sia su indicazione dei produttori del software, ad esempio l istallazione di patch/fix o di nuove versioni messe a disposizione dalla software house di produzione. Per quanto riguarda i beni di tipologia Hardware la riparazione delle parti guaste è a carico dell affidatario e viene effettuata con parti originali, intendendo per originali parti garantite come nuove almeno dello stesso livello di revisione della parte da sostituire. Qualora, a causa della sostituzione di componenti hardware, si rendesse necessaria l'installazione di componenti software di base e/o di produttività, questa è intesa inclusa nel servizio. Il fornitore si impegna a comunicare agli utenti con sufficiente anticipo gli eventuali interventi di manutenzione straordinaria non inserita nel piano di manutenzione preventiva che comportino un interruzione dell operatività delle PdL e della disponibilità dei Server. L'affidatario dovrà specificare in sede di offerta quali apparecchiature e software di base non intende inserire nella manutenzione producendo un Piano di sostituzione FEBBRAIO 2013 Pagina 7 di 54

8 apparecchiature da non manutenere (vedi paragrafo Formulazione dell offerta). Per le apparecchiature incluse nell elenco apparecchiature da non manutenere andranno eseguiti solo interventi di manutenzione preventiva e nel caso si verificasse un malfunzionamento parziale o totale di quell apparecchiatura si dovrà tempestivamente avvisare il Committente. Si dovrà provvedere ad aggiornare annualmente il Piano di sostituzione apparecchiature da non mantenere. Per il software già in dotazione all'ente, elencato nell allegato 2.a, sarà compito dell'affidatario provvedere all'acquisto del contratto di manutenzione che ne assicuri la manutenzione correttiva (consegna di patch/fix). L'acquisto e l'installazione della manutenzione evolutiva è obbligatoria per i software preposti alla gestione della sicurezza e per tutti i software open source, freeware, gratuiti. Nell allegato 2.b sono elencati gli applicativi, le cui licenze d uso sono in dotazione agli altri settori e/o dipartimenti dell Ente, sui quali l affidatario dovrà eseguire le seguenti operazioni: a. catalogazione (come descritto al punto 1.1.1) b. istallazione su Server e/o PdL c. disistallazione da Server e/o PdL d. verifica di eventuali malfunzionamento/incompatibilità con altri software istallati su Server e/o PdL e. segnalazione al referente del Committente di malfunzionamenti e/o incompatibilità con altri software istallati su Server e/o PdL. f. risoluzione di eventuali problematiche di incompatibilità con altri software istallati su Server e/o PdL L affidatario non dovrà, in alcun caso, istallare sui Server e sulle PdL oggetto di manutenzione alcun software che non sia stato precedentemente catalogato e di cui non sia stato fornito documento e/o Licenza d uso intestato al Committente, comprovante l acquisto, fatto salvo per : - applicativi ministeriali necessari alle procedure degli uffici. - eventuali sistemi ed applicativi di servizio concessi in uso dall affidatario, di cui sia stata data precedentemente comunicazione e si sia ottenuta l autorizzazione da parte del referente del Committente. Per quanto attiene software le cui licenze d uso sono di proprietà del committente l'assuntore nel servizio di manutenzione si impegna a: - non copiare detto software se non per scopi di archivio, qualora la licenza d uso lo permetta; - non risalire dal programma oggetto al programma sorgente e quindi a non riconvertirlo o a non ricopiarlo in alcun modo; - non cedere la copia originale del "software" o distribuirne copie o adattamenti della copia originale a terzi. Il committente assumerà analoghe obbligazioni per il software concesso in uso dall'assuntore in assenza di cessione del diritto di proprietà. Per quanto attiene il materiale di consumo l'affidatario dovrà provvedere a fornire e sostituire il materiale oggetto del servizio: tutti i nastri, cartucce, toner, ecc. delle stampanti. Il materiale di consumo dovrà essere consegnato ed istallato sulle apparecchiature previo ritiro del pezzo esaurito. Attività di manutenzione potranno essere svolte da postazioni di lavoro remote purché le relative informazioni viaggino attraverso reti opportunamente protette (cifratura). L amministrazione si riserva la facoltà di acquistare presso altri fornitori qualificati (quali Consip, ecc.) apparecchiature e software per ampliare la dotazione e/o sostituzione apparecchiature e software che non risultano più manutenibili. Dette apparecchiature e software dovranno essere inserite nell elenco dei beni da manutenere. FEBBRAIO 2013 Pagina 8 di 54

9 1.3 GESTIONE POSTAZIONI DI LAVORO, SERVER, APPLICATIVI E BASI DATI Gestione postazione di lavoro Installazione di un nuova postazione di lavoro Il servizio di installazione normalmente include almeno le seguenti attività, riportate a titolo esemplificativo, anche se non esaustivo: consegna dell apparecchiatura all'utente finale; assemblaggio dei singoli componenti; sistemazione delle apparecchiature sugli appositi arredi; collegamento dei singoli componenti alla rete elettrica e alla rete dati; configurazione in rete locale e geografica, utilizzando gli indirizzi IP e gli indirizzi di posta elettronica rilasciati dall Amministrazione; ripristino di archivi dati e eventuali componenti software in dotazione alla postazione di lavoro; test di funzionalità per l'accettazione dell'apparecchiatura da parte dell'utente o del responsabile della stessa; ritiro e smaltimento delle apparecchiature preesistenti ivi compresi imballi. Acquisizione su rapporto di consegna del bene del riscontro (firma) da parte dell utente finale (ricevente) di avvenuta attività (sono da preferire soluzioni che limitino l uso della carta ). L attività di preparazione del sito è a carico del Committente e comprende alcune azioni tra cui la corretta predisposizione degli arredi che ospiteranno la postazione, dell impianto di rete dati e di quello elettrico. Se l installazione avviene in sostituzione di un sistema preesistente, sarà preceduta dalla disinstallazione dello stesso. Disistallazione di un postazione di lavoro Le attività di disinstallazione potranno essere effettuate, sia contestualmente alle attività di installazione, che separatamente. Sono incluse le attività di: disattivazione delle funzionalità HW e SW del sistema da disinstallare; disconnessione dalla rete; disassemblaggio delle apparecchiature; bonifica del sito : raccolta ordinata dei cavi delle apparecchiature disinstallate e posizionamento degli stessi all interno dell unità da trasferire a magazzino; predisposizione al trasporto; Se la postazione di lavoro deve essere dismessa, poiché obsoleta o non riparabile, prima della dismissione e rottamazione devono essere eliminati, in modo irreversibile, i dati presenti sulle unità di memoria. ritiro e smaltimento delle apparecchiature preesistenti ivi compresi imballi. Acquisizione su rapporto di disistallazione del bene del riscontro (firma) da parte dell utente finale (ricevente) di avvenuta attività (sono da preferire soluzioni che limitino l uso della carta ). Movimentazione di una postazione di lavoro Il servizio include le seguenti attività: disinstallazione dell apparecchiatura e dei dispositivi aggiuntivi; FEBBRAIO 2013 Pagina 9 di 54

10 imballaggio dei diversi componenti; trasporto delle apparecchiature nella locazione di nuova destinazione (sede, ufficio, stanza); installazione dell apparecchiatura e dei dispositivi aggiuntivi e riconfigurazione secondo i parametri relativi alla nuova locazione. Acquisizione su rapporto di movimentazione del bene del riscontro (firma) da parte dell utente finale (ricevente) di avvenuta attività (sono da preferire soluzioni che limitino l uso della carta ). Modifiche ad una postazione di lavoro Il servizio include normalmente le seguenti attività: installazione ed aggiornamento del software: nuovi pacchetti, versioni aggiornate, patch; installazione e configurazione di dispositivi aggiuntivi e del relativo software; verifiche su richiesta. Acquisizione su rapporto di modifiche ad un bene del riscontro (firma) da parte dell utente finale (ricevente) di avvenuta attività (sono da preferire soluzioni che limitino l uso della carta ). Nel caso di modifiche di tipo massivo viene sviluppato un piano specifico, che va concordato tra il Supervisore dei lavori e il Direttore Lavori. Verrà definito in questo caso il Piano delle attività di sostituzione Gestione dei Server L attività di gestione dei server oltre a comprendere le attività di Installazione, Disistallazione, Movimentazione e Modifiche come descritte per le postazioni di lavoro comprendono altre attività specifiche sotto elencate e descritte, che consistono nell amministrazione dei server e sistemi server. A. Presa in carico dei Server, delle applicazioni e delle relative basi di dati B. Gestione dell applicazione e della base-dati dal punto di vista operativo C. Gestione dell evoluzione delle applicazioni e delle basi-dati D. Gestione della terminazione dell applicazione e della base-dati E. Amministrazione degli accessi. F. Garanzia della disponibilità G. Monitoraggio Server A. Presa in carico dei Server, delle applicazioni e delle relative basi di dati In questa fase vengono analizzati la documentazione architetturale di sistema (allegato n. 4), i requisiti e le procedure operative delle applicazioni e delle basidati per quanto attiene la loro gestione operativa e funzionale. B. Gestione dell applicazione e della base-dati dal punto di vista operativo La gestione di una applicazione comporta l esecuzione delle procedure operative analizzate in sede di presa in carico. Le principali attività di gestione sono le seguenti: Pianificazione dell attività di installazione di un nuovo applicativo sul server prevedendo una procedura di verifica, in ambiente di prova, della compatibilità della nuova applicazione con quanto precedentemente installato sul Server. La procedura di verifica è necessaria al fine di poter individuare e risolvere tempestivamente qualunque eventuale incompatibilità tra le diverse applicazioni ospitate dal Server. FEBBRAIO 2013 Pagina 10 di 54

11 Installazione e avviamento delle applicazioni. Monitoraggio dei log di applicazioni software di servizio (ad esempio: software di gestione back-up centralizzato, software di gestione gruppi di continuità, ecc.). Calcolo dei parametri di gestione dell applicazione e definizione del periodo di osservazione. Attivazione delle procedure di segnalazione anomalie. back-up e recovery: la politica di back-up dovrà tener conto delle necessità di back-up e restore delle singole applicazioni, definendo, ove possibile, una politica comune. La schedulazione dei back-up dovrà essere in linea con i requisiti di ripristino di tutte le applicazioni. Supporto nella fase di predisposizione delle utenze degli applicativi e delle basi di dati. C. Gestione dell evoluzione delle applicazioni e delle basi-dati. Prevede le seguenti operazioni minime: installazione di nuove versioni o aggiornamenti; tracciamento delle segnalazioni di anomalia con i relativi aggiornamenti/nuove versioni installate. D. Gestione della terminazione delle applicazioni e delle basi-dati. Prevede le seguenti operazioni minime: procedure di archiviazione della documentazione dell applicazione, degli ultimi back-up e dell ultima versione del codice; dismissione delle risorse hardware per un loro possibile riutilizzo con altre applicazioni. E. Amministrazione degli accessi Consiste nelle attività di gestione del processo di autenticazione ed autorizzazione dell utenza e nella gestione delle aree di salvataggio file condivise da gruppi di utenti. Le attività sono di seguito descritte: creazione nuova utenza e nuovi profili nel sistema; gestione del processo di autenticazione degli utenti nel sistema; assegnazione profili all utenza; aggiornamento utenza e profili; cancellazione utenza e profili; creazione di cartelle dati condivise, permessi di accesso, utenza e definizione della tipologia di dati che è consentito archiviare nelle cartelle; assegnazione permessi di accesso all utenza; gestione delle aree di salvataggio file condivise, dei relativi permessi di accesso e delle tipologie di dati consentiti. comunicazione informazioni inerenti utenza, profili e aree di salvataggio file condivise, permessi di accesso e utenti al supervisore del servizio al fine di garantire adeguato supporto all attivazione delle procedure di assegnazione delle credenziali di autenticazione all utenza; gestione dei log di accesso ai sistemi da parte degli Amministratori di Sistema in ottemperanza al provvedimento del Garante della Privacy del 15/12/2009. F. Garanzia della disponibilità Per disponibilità dei Server si intende la frazione di tempo in cui essi sono operativi ed in grado di rispondere alle richieste degli utenti. La disponibilità dei Server deve essere garantita in maniera continuativa. Si definisce disponibilità in rete di un data-base e di un area di salvataggio dati FEBBRAIO 2013 Pagina 11 di 54

12 centralizzata la frazione di tempo durate la quale il database e l area di salvataggio dati centralizzata sono accessibili da una postazione di lavoro collegata alla intranet comunale. La disponibilità in rete dei data-base e delle aree di salvataggio dati centralizzate condivise deve essere garantita in maniera continuativa. G. Monitoraggio Server Monitoraggio delle condizioni dei data-base e il funzionamento delle applicazioni al fine di controllare i parametri di funzionamento e le prestazioni dei Server nei momenti stabiliti: suddivisione logica degli storage di data-base (tablespaces); suddivisione fisica degli storage di data-base (file di dati per tablespaces); storage massimo per file di data-base, con relativa confronto rispetto ad una soglia di guardia; tempi di attesa, in particolare nel caso di contesa di risorse, e durata fermo disponibilità; numero di utenti concorrenti nell unità di tempo; numero di back-up necessari; numero di back-up effettuati; numero di restore effettuati; verifica delle segnalazione di anomalia; verifica dell assenza dalle aree centralizzate di salvataggio di tipologia di dati non autorizzati; verifica dell assenza di virus worm spyware, ecc.; memoria RAM utilizzata dalle applicazioni. Il Supervisore del servizio al variare delle esigenze potrà richiedere, in ogni caso, che vengano effettuate ulteriori operazioni ed attività sui Server. Tempistica e modalità di tali attività saranno descritte in apposito verbale. Tutte le attività elencate prevedono la stesura di un Rapporto di intervento, controfirmato dal utente (Gestione postazione di lavoro) o dal Supervisore del Servizio (Gestione dei Server), e l aggiornamento dei dati inventariali nella banca dati informatizzata contenente le informazioni di ogni bene (HW e SW) e nel data-base delle configurazioni; quest ultimo data-base può essere unico o condiviso fra diverse classi Gestione locali e magazzino Nell'esecuzione del presente contratto, l'affidatario dovrà gestire e movimentare a più riprese numerosi dispositivi, oltre che prendere in carico e custodire dispositivi nuovi, usati o in attesa di essere dismessi. Tutti questi dispositivi, saranno di volta in volta depositati, conservati e prelevati da locali messi a disposizione dal Committente all interno della sede alla via De Pace (sala CED al piano secondo) e alla via Pavia (locale esterno alla sala CED). All interno di detti locali il committente potrà attrezzare a sua cura e spese una o più postazioni di lavoro. I locali saranno forniti di alimentazione elettrica (illuminazione e prese di corrente), impianto di riscaldamento condizionamento e connessione alla intranet comunale. Il servizio di gestione del magazzino deve mirare a tenere una completa tracciatura degli ingressi e delle uscite dei dispositivi, un costante monitoraggio del livello di giacenza e una cura nella custodia dei dispositivi che li preservi nel tempo nelle loro caratteristiche funzionali, ergonomiche ed estetiche. Naturalmente sono comprese FEBBRAIO 2013 Pagina 12 di 54

13 anche le attività di cura e gestione dei locali adibiti a magazzino, per cui l'impresa è tenuta a collaborare con gli incaricati alle pulizie, con gli incaricati alle visite in materia di sicurezza sui luoghi di lavoro, con gli incaricati della manutenzione e così via fino a segnalare eventuali anomalie o imprevisti (ad esempio furti, vandalismi, danni da eventi atmosferici, ecc.). Se in generale l'impresa deve intraprendere ogni azione necessaria per gestire correttamente il magazzino, a titolo esemplificativo e non esaustivo, le attività richieste, locale per locale, possono così essere individuate: presa in carico consegne a) front office per i trasportatori/vettori/fornitori e per gli uffici del Comune di Gallipoli che curano le forniture b) custodia, movimentazione e stoccaggio dei beni c) presidio ed effettuazione dei collaudi ove previsti inventario beni a magazzino a) gestione dell anagrafica dei beni in base a quanto descritto al punto 1.1 b) evidenza in tempo reale dei beni presenti a magazzino (dispositivi o risorse strumentali immateriali, come ad esempio licenze software) fruibile da parte del Committente tramite browser o con strumenti elettronici equivalenti c) conservazione a norma e secondo buonsenso dei beni a magazzino gestione del carico/scarico da magazzino a) tracciatura IN/OUT dei beni b) stampa bolle/d.d.t. per trasportatori/vettori c) gestione orari di apertura/chiusura del magazzino per accettare la consegna di dispositivi nuovi, usati o in attesa di dismissione gestione resi e delle consegne parziali a) front office per i trasportatori/vettori/fornitori e per gli uffici del Comune che curano le forniture b) stampa bolle/d.d.t. e prospetti riepilogativi c) mail e segnalazioni di mancata fornitura entro i termini d) presidio ed effettuazione dei collaudi ove previsti Rendicontazione delle attività La rendicontazione delle attività di IMAC (Installazione, Movimentazione, Aggiunte e Cambiamenti) è contenuta in un documento che descrive gli elementi più significati delle attività di gestione svolte nel periodo di riferimento. Nella rendicontazione delle attività di IMAC sono sempre presenti i seguenti elementi: numero di interventi effettuati; tipo degli interventi (installazione, disinstallazione, movimentazione, modifica); dettaglio di ogni singolo intervento: - data e orario di ricezione della richiesta; - data e orario di inizio e fine intervento; - Livelli di servizio contrattuali; - Livelli di servizio erogati; - esito dell intervento; - identificazione (numerazione) dell intervento; - identificazione tecnico intervenuto. - priorità intervento. Il prodotto di quest attività è il documento di Rapporto IMAC. FEBBRAIO 2013 Pagina 13 di 54

14 La rendicontazione delle attività di Gestione dei server è contenuta in relazioni tecniche redatte dall affidatario periodicamente (almeno ogni tre mesi). Le relazioni suddette devono essere sempre a disposizione del supervisore del Servizio. Nella rendicontazione delle attività di Gestione dei Server sono sempre presenti i seguenti elementi: suddivisione logica degli storage di data-base (tablespaces); suddivisione fisica degli storage di data-base (file di dati per tablespaces); suddivisione logica degli storage centralizzati (aree di salvataggio dati condivise in rete da un gruppo di utenti) suddivisione fisica degli storage centralizzati (numero e tipologia di file di dati per area di salvataggio condivisa in rete) descrizione e quantificazione dell utenza degli storage di data-base e degli storage centralizzati. storage massimo per file di data-base e area di salvataggio centralizzata, con relativa confronto rispetto ad una soglia di guardia; tempi di attesa, in particolare nel caso di contesa di risorse, e durata fermo disponibilità; numero di utenti concorrenti nell unità di tempo; numero di back-up effettuati; numero di restore effettuati; segnalazioni di anomalie nel funzionamento di applicazioni software di servizio; memoria RAM utilizzata dalle applicazioni. Il prodotto di quest attività è il documento di Relazione Gestione Server. FEBBRAIO 2013 Pagina 14 di 54

15 1.4 GESTIONE DELLA SICUREZZA LOGICA Gestire la sicurezza logica del sistema informatico comunale significa adottare tutte le misure necessarie a garantire la protezione dell intero sistema informatico comunale da minacce esterne e interne Servizi richiesti Si elencano di seguito i servizi richiesti: A. Gestione credenziali di accesso di amministratore e di utente del sistema B. Salvataggio dei dati delle postazioni di lavoro e dei Server C. Gestione della sicurezza dei sistemi operativi, software ed aree di salvataggio dati condivise. D. Gestione dei dispositivi di sicurezza perimetrale E. Content filtering F. Content security G. Security host hardening A. Gestione credenziali di accesso di amministratore e di utente del sistema Nell esecuzione del servizio è indispensabile che vengano rispettati i seguenti requisiti minimi: per ogni elaboratore elettronico e notebook deve essere prevista una password per l'amministratore di sistema, una password a livello di BIOS (che consentano di accedere alle funzioni di configurazione della macchina) e una credenziale d accesso (un codice identificativo e una password) a livello utente per l uso dell'elaboratore (utilizzo dei sistemi informativi automatizzati e dei programmi applicativi, consultazione ed elaborazione di dati presenti sulla postazione lavoro); per ogni elaboratore elettronico e notebook la password per l amministratore di sistema, la password a livello di BIOS e la password a livello utente devono essere distinte; per ogni server deve essere prevista una password per l'amministratore di sistema (che consenta di accedere alle funzioni di configurazione della macchina) e una password a livello di BIOS. La password a livello di BIOS può non essere prevista per quei server che utilizzano metodi di accensione e spegnimento gestiti da software applicativo; Le password devono essere alfanumeriche e di lunghezza non inferiore a otto caratteri; E obbligatorio sostituire le password di default o di installazione. Le password di default o di installazione non devono in alcun caso essere utilizzate nel corso dell esercizio del sistema informatico. L utente deve poter modificare le password al primo accesso e anche successivamente deve essere possibile la sostituzione password in autonomia. Il codice identificativo deve essere univoco. Le credenziali d accesso devono essere gestite in modo che ne sia prevista la disattivazione in caso di 1) mancato utilizzo dei medesimi per un periodo superiore ai tre mesi 2) perdita della qualità che consentiva all incaricato l'accesso all'elaboratore e al sistema informatico centrale (la segnalazione di divulgazione, smarrimento o variazione assegnatario deve avvenire da parte del committente). In ogni caso l aggiornamento delle password a livello utente deve avvenire con cadenza almeno semestrale, trimestrale nel caso di trattamento di dati sensibili; FEBBRAIO 2013 Pagina 15 di 54

16 L aggiornamento delle password di amministratore e di BIOS deve avvenire in caso di perdita della qualità che consentiva l'accesso esclusivo alle configurazioni tecniche dell elaboratore elettronico da parte dell amministratore del sistema e in ogni caso con cadenza almeno annuale; E necessario prevedere automatismi di logoff a tempo quando disponibili ovvero adozione di screensaver e configurazione dei medesimi; Deve essere istituito un registro delle password in cui annotare le corrispondenze: a)elaboratore elettronico, notebook, server/password a livello di amministratore e di BIOS; b)utente/codice identificativo. Il registro dovrà essere aggiornato annualmente (in coincidenza con l aggiornamento delle password di amministratore e di BIOS) ed ogni qual volta vi sia una variazione, riportando la data di aggiornamento e le informazioni inerenti le variazioni che si sono verificate. L'affidatario dovrà custodire il registro garantendo la massima riservatezza e sicurezza. Copia del registro e di ogni aggiornamento dovranno essere sempre disponibili per il committente. E ammessa la gestione informatica del registro a condizione che sia garantita la riservatezza e sicurezza delle informazioni (cifratura). Il fornitore dovrà supportare il committente nelle operazioni di prima assegnazione delle credenziali di accesso agli utenti e nelle operazioni di aggiornamento delle credenziali; classificare le risorse del sistema centrale in base al principio che l utenza deve poter accedere solo alle risorse per le quali ha autorizzazione. creare e gestire per ogni utente i privilegi di accesso alle risorse garantendo che ogni utente possa accedere solo alla risorsa che è autorizzato a utilizzare. Un utente se necessario potrà far parte di più classi. creare una vera e propria access list che descrive le relazioni tra utenti e tipologie di risorse. nomina di un responsabile presso la propria struttura per la custodia delle password a livello di amministratore di sistema, a livello di BIOS e dei codici identificativi, gestiti per conto del committente; il responsabile sarà il referente per tutte le operazioni da eseguirsi in collaborazione con i responsabili del trattamento dei dati e il custode delle password del Comune di Gallipoli. La gestione dei password a livello di amministratore di sistema e di BIOS e le credenziali d accesso deve essere svolta dall'affidatario nel rispetto di quanto previsto del Decreto legislativo n. 196/2003 (Codice della Privacy) Nel caso in cui personale esterno autorizzato, tecnico e non, abbia necessità di utilizzare le postazioni di lavoro, sarà cura dell affidatario creare il necessario profilo e le credenziali di autenticazione, attivando, allo scadere dell autorizzazione all uso, la procedura per la cancellazione delle stesse. B. Salvataggio e sicurezza del profilo utente e dei dati delle postazioni di lavoro e delle configurazioni e dei dati dei Server Questo servizio deve garantire i seguenti requisiti minimi: salvataggio periodico su supporto esterno di back up, almeno settimanale, del profilo utente e dei dati delle postazioni di lavoro (ad esempio: archivio messaggi di posta elettronica, file prodotti con programmi di office automation, CAD, ecc.) e comunque ogni volta che venga modificata la configurazione in maniera sostanziale; salvataggio periodico su supporto esterno di back up delle configurazioni e dei dati ospitati sui Server. La politica di salvataggio deve essere prevista in fase di progetto; salvataggio ed archiviazione su supporto esterno di back up per ogni macchina, FEBBRAIO 2013 Pagina 16 di 54

17 almeno ogni sei mesi per i beni classificati come critici ed almeno ogni anno per tutti gli altri e comunque ogni volta che venga modificata la configurazione in maniera sostanziale, di una copia del disco fisso da utilizzarsi per il rispristino di dati e programmi installati sulla macchina. prove periodiche di ripristino dei dati, da prevedere in sede di progetto, al fine di garantire la leggibilità dei dati nel tempo e quindi l'affidabilità, delle copie dì sicurezza. L attività di ripristino dei dati può essere innescata da: a) un problema verificatosi sui sistemi o postazioni di lavoro (ad esempio rottura di un disco), b) un esigenza di natura funzionale (ad esempio storno di operazioni eseguite in modo errato). In caso di intervento di personale tecnico esterno l affidatario dovrà accompagnare il personale tecnico nei locali in cui si trovano i sistemi oggetto dell intervento ed istruirlo sulle modalità operative, evitando che la persona rimanga sola all interno del locale; Se l affidatario o personale tecnico esterno rileverà la necessità di prelevare e portare in laboratorio parti dei sistemi elaborativi, le informazioni presenti sui supporti di registrazione dovranno essere salvate su supporti di backup da custodire nel centro elaborazione dati dell Ente ed eliminate dalle parti da riparare con modalità di cancellazione irreversibile. Nelle postazioni di lavoro portatili i dati devono essere memorizzati in modo da garantirne la riservatezza e la sicurezza (cifratura). Deve essere formalizzata la procedura per la distruzione dei supporti rimovibili di memorizzazione dati contenenti dati sensibili, giudiziari o soggetti al rispetto di normativa vigente, nel caso in cui essi non siano o possano essere più utilizzati. C. Gestione della sicurezza dei sistemi operativi, software ed aree di salvataggio dati condivise. Questo servizio deve assicurare l aggiornamento per eliminare le vulnerabilità dei sistemi operativi e software applicativi quali: posta elettronica, browser, office automation, istallati sugli elaboratori elettronici, al fine da evitare che essi siano esposti a pericoli di attacchi dall esterno che ne provochino il malfunzionamento. Tali aggiornamenti devono essere effettuati con cadenza almeno semestrale. I dati personali gestiti in modalità elettronica devono essere protetti contro il rischio di intrusione e dall azione di programmi di cui all art.615-quinquies del codice penale assicurando la presenza e l utilizzo di un sistema antivirus centralizzato da aggiornare con cadenza almeno semestrale. Occorrerà provvedere con continuità all aggiornamento dei client antivirus installati sulle PdL e alle relative base di dati dei virus, e alle impostazioni necessarie per la gestione e il monitoraggio centralizzato delle PdL. Tutto ciò al fine di garantire la protezione di ogni singola Postazione di Lavoro da attacchi di virus, worm, ecc. Gestione dell utilizzo dei dispositivi USB sulle PDL. Occorrerà disciplinare l accesso ai dispositivi di memorizzazione USB, consentendo l uso di periferiche quali: stampanti, scanner, tastiere, mouse, fotocamere digitali ed inibendo l uso di dispositivi di memorizzazione quali chiavette ed hard disk esterni, questo al fine di garantire la sicurezza logica delle PDL e dell intero sistema. Occorrerà definire e configurare la tipologia di dati che è consentito archiviare nelle cartelle dati presenti nelle aree centralizzate condivise al fine di evitare che esse siano esposte a pericoli di attacchi dall interno. Questo servizio deve porre in essere efficienti ed efficaci contromisure atte ad impedire che utenza e dispositivi non autorizzati accedano direttamente o mediante la rete a sistemi operativi, software ed aree di salvataggio dati condivise, garantendone la sicurezza. FEBBRAIO 2013 Pagina 17 di 54

18 D. Gestione dei dispositivi di sicurezza perimetrale Il servizio consiste nell attuare la politica per la sicurezza sui dispositivi di difesa perimetrale dell Amministrazione (per es. Firewall, VPN), provvedendo anche alla loro gestione sistemistica ed alla manutenzione. Dovrà essere garantito il seguente requisito: il sistema automatizzato di gestione dell accesso remoto per manutenzione e/o utilizzo/consultazione/elaborazione dei sistemi informativi ospitati dai server o dei dati ospitati su supporti centralizzati di salvataggio dovrà consentire l accesso all utenza solo previa autenticazione con codice identificativo e password; i prodotti utilizzati dovranno cifrare le informazioni durante il transito in rete in modo da garantirne la riservatezza e l integrità delle stesse; i server responsabili dell erogazione del servizio dovranno discriminare l accesso alle informazioni mediante un sistema di controllo accessi basato sul profilo degli utenti. L accesso remoto ai sistemi informativi e/o dati ospitati su supporti centralizzati di salvataggio è consentito esclusivamente durante quegli intervalli di tempo in cui l affidatario garantisce il monitoraggio degli accessi remoti. L affidatario dovrà gestire le credenziali di accesso per gli utenti del sistema di accesso remoto secondo le modalità definite al punto A. L elenco contenente gli identificativi relativi ai soggetti autorizzati all accesso remoto ai sistemi informativi automatizzati e ai dati ospitati su supporti centralizzati di salvataggio verrà comunicato dal committente all affidatario che dovrà impegnarsi ad aggiornarlo costantemente. Nell elenco l affidatario dovrà riportare per ogni utente il codice identificativo e l intervallo di tempo (per esempio: ore del giorno, giorni della settimana) in cui è consentito a quell utente l accesso remoto ai sistemi informativi e/o dati ospitati su supporti centralizzati di salvataggio. E. Content filtering Il servizio permette di ottimizzare l uso delle risorse infrastrutturali, quali la capacità di banda verso Internet od il sistema di posta elettronica, controllando l ammissibilità dei contenuti in transito rispetto alle politiche di sicurezza definite. Il servizio prevede anche la gestione sistemistica e manutenzione dei dispositivi utilizzati (es. proxy). F. Content security Il servizio provvede ad una gestione efficace delle contromisure atte a contrastare la diffusione dei codici malevoli, quali virus o worm su sistemi sia client (postazione di lavoro) che server. Il servizio prevede anche la gestione sistemistica e la manutenzione dei componenti utilizzati. G. Security host hardening Il servizio provvede alla definizione, implementazione, manutenzione e controllo delle politiche di configurazione e di aggiornamento dei sistemi server rilevanti per l Amministrazione, in termini di sistema operativo e applicazioni di base. Il servizio deve garantire i seguenti requisiti minimi: Il software utilizzato deve essere sicuro ed opportunamente verificato e deve permettere di tenere traccia, in modo dettagliato, di tutto quello che sta succedendo (sia in caso di attività normale che di attività anomala) I Server devono contenere solo il software e le informazioni strettamente necessarie per il loro funzionamento Tutti gli accessi ai sistemi devono essere autenticati e tutte le comunicazioni protette per garantire confidenzialità ed integrità Ogni azione deve essere riconducibile ad un solo utente L applicazione sistema di antivirus centralizzato, l applicazione centralizzata di distribuzione degli aggiornamenti dei sistemi operativi e software e tutti i software di gestione della sicurezza logica, dovranno essere installate su uno o FEBBRAIO 2013 Pagina 18 di 54

19 più server dedicati e non sui Server che ospitano i Sistemi Informativi automatizzati, questo al fine di: a) tenere separate la gestione del sistema di protezione dai virus dalle banche dati dell ente, b) evitare possibili rallentamenti dei Sistemi Informativi automatizzati e incompatibilità software. Si dovrà, in ogni caso, provvedere alla scansione periodica (almeno trimestrale) dei Server al fine di intercettare l eventuale presenza di virus, worm ecc. nelle aree di salvataggio dati condivise in rete o nelle basi dati. Si dovrà provvedere in ogni caso all aggiornamento di sicurezza dei sistemi operativi e software applicativi di servizio istallati sui Server Attività di base Attività di base comuni a tutti i sottoservizi sopra elencati sono le seguenti: A. Monitoraggio degli eventi B. Gestione delle emergenze C. Aggiornamento delle componenti critiche per il servizio D. Rendicontazione E. Utilizzo di procedure per la raccolta, l analisi e la conservazione delle registrazioni (LOG) effettuate dagli apparati di sicurezza F. Utilizzo di procedure per la raccolta, l analisi e la conservazione di informazioni personali effettuate da apparecchiature hardware. G. Cifratura H. Adozione di soluzioni per la gestione del rischio I. Contromisure A. Monitoraggio degli eventi Monitoraggio di tutti quegli eventi significativi per la sicurezza, evidenziati durante l erogazione del servizio. Occorrerà garantire il monitoraggio per ogni postazione di lavoro dei seguenti eventi: tipologia, frequenza e banda consumata dei siti web visitati; tipologia dei servizi internet utilizzati; tipologia di risorsa richiesta (es. application/jpeg,application/mpeg, ecc. ); tipologia dei file scaricati o trasmessi comprensiva di banda consumata; traffico generato (banda consumata) analizzato per giorno, ora, servizio, protocollo e direzione (Internet o Intranet); tipologia protocolli di trasmissione; tipologia e gravità di infezioni quali: virus, worm, troian, spyware che hanno generato un attacco; operazioni di aggiornamento inerenti la sicurezza di sistemi operativi e dei software applicativi; numero, data, orario e durata degli accessi effettuati da ogni utente mediante il sistema informativo automatizzato di accesso remoto ai sistemi e dati dell Ente. E richiesta la fornitura di manuali operativi per le funzioni di monitoraggio. B. Gestione delle emergenze Le emergenze dovranno essere gestite attraverso l uso efficace degli strumenti adottati per l erogazione del servizio. Occorrerà garantire per ogni postazione di lavoro e Server la gestione delle seguenti emergenze: attacco dall esterno da parte di virus, worm, troian, spyware,ecc. possibili attività interne non autorizzate o causate da software malevolo installato sulle postazioni di lavoro quali: transazioni commerciali, aste telematiche, trasmissione di dati verso siti sconosciuti ecc. In caso di attacco dall esterno occorrerà isolare tempestivamente la postazione di FEBBRAIO 2013 Pagina 19 di 54

20 lavoro colpita o l intero sistema dalla rete Intranet ed Internet, e provvedere alle operazioni di bonifica della postazione di lavoro o sistema prima di riconnetterlo alla Intranet e ad Internet. La segnalazione di attacco può provenire: a) dai sistemi automatici adottati; b) dall utenza dell ente, c) da qualificati istituti esterni, quali il CERT-SPC (Computer Emergency Response Team) del Sistema Pubblico di Connettività. C. Aggiornamento delle componenti critiche per il servizio Dovrà essere previsto l aggiornamento periodico di tutte le componenti critiche (hw e sw) per la gestione della sicurezza. Dovrà essere previsto l aggiornamento anche in quei casi in cui la casa produttrice delle apparecchiature e del software evidenzia una situazione che potrebbe portare alla malfunzione (SW) o al guasto (HW). D. Rendicontazione Dovrà essere prevista, con periodicità mensile, la produzione di report in cui riportare: i risultati delle operazioni inerenti tutti i servizi di sicurezza sopra descritti; i problemi di sicurezza rilevati; gli scostamenti dai livelli minimi accettabili del servizio. Occorrerà fornire, inoltre, statistiche sull andamento di ogni servizio, garantendo di base la fornitura dei seguenti dati statistici: traffico monitorato per sede comunale; siti web maggiormente visitati; tipologie di file maggiormente richiesti; traffico raggruppato per ogni giorno di osservazione, per giorno della settimana e per ora del giorno; traffico raggruppato per protocollo di trasmissione; consumo di banda; attacchi da parte di virus, worm, spyware, ecc. raggruppati per giorno di segnalazione, gravità e postazione di lavoro colpita. E. Utilizzo di procedure per la raccolta, l analisi e la conservazione delle registrazioni (LOG) effettuate dagli apparati di sicurezza. È consentita la gestione remota dei log di sicurezza, purché le relative informazioni viaggino attraverso reti opportunamente protette (cifrate). F. Utilizzo di procedure per la raccolta, l analisi e la conservazione di informazioni personali effettuate da apparecchiature hardware. È consentita l uso di apparecchiature hardware (quali ad esempio tablet o tavolette grafiche) per la raccolta di dati personali (come la firma, i dati biometrici, ecc.) e la loro gestione remota, purché le relative informazioni viaggino attraverso reti opportunamente protette (cifrate). G. Cifratura Dovranno essere cifrate al fine di garantire la privacy delle informazioni raccolte/analizzate/trasmesse e la sicurezza delle informazioni di configurazione degli apparati di sicurezza: le informazioni tecniche di configurazione; le reti su cui viaggiano dati personali e informazioni riservate; i log del traffico di rete. le informazioni personali (quali ad esempio la firma, i dati biometrici, ecc.) raccolte, trattate e conservate. FEBBRAIO 2013 Pagina 20 di 54