Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia

Transcript

1 Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Firmato digitalmente da Sede legale Via Nazionale, 91 - Casella Postale Roma - Capitale versato Euro ,00 Tel. 06/ telex BANKIT - Partita IVA

2 ALLEGATO 1/A Capitolato tecnico Rinnovo del sistema di correlazione degli eventi di sicurezza della Banca d Italia e del Presidio IDS LOTTO 1 Aprile 2011

3 AVVERTENZE La pubblicità degli atti di gara è preordinata in via esclusiva a esigenze d imparzialità e trasparenza dell attività amministrativa. È vietato, e sarà perseguito ai sensi di legge, qualsiasi utilizzo, totale o parziale, del materiale pubblicato, che sia difforme da tale finalità. La pubblicazione dei documenti avviene nel rispetto della normativa in materia di protezione dei dati personali e dei diritti di privativa. In nessun modo la pubblicazione, infatti, intende costituire violazione dei diritti di privativa da cui sono coperti i prodotti citati negli atti pubblicati, come creazioni intellettuali o invenzioni industriali in uso presso la Banca. Allo stesso modo è vietato, e sarà perseguito ai sensi di legge, qualsiasi utilizzo, totale o parziale, da parte di terzi, del materiale pubblicato, che miri a costituire un vantaggio indiretto o pubblicità ingannevole nei confronti del pubblico ovvero ad appropriarsi della proprietà intellettuale altrui.

4 INDICE INTRODUZIONE OGGETTO DEL LOTTO MODALITÀ DI AGGIUDICAZIONE DURATA DELLA FORNITURA LUOGO DI LAVORO PENALI RESPONSABILE TECNICO OGGETTO DELLA FORNITURA PER IL CORRELATORE DEGLI EVENTI DI SICUREZZA REQUISITI FUNZIONALI E ARCHITETTURALI RIEPILOGO FONTI DATI FORNITURA HARDWARE REQUISITI ELABORATIVI E GESTIONALI CARATTERISTICHE RACK FORNITURA SOFTWARE SERVIZI DI SYSTEM INTEGRATION A CORPO Servizi di impianto Workshop addestrativi COLLAUDI SERVIZI DI ASSISTENZA SPECIALISTICA A CONSUMO LIVELLI DI SERVIZIO Definizioni Parametri di servizio OGGETTO DELLA FORNITURA PER IL SERVIZIO DI PRESIDIO IDS MONITORAGGIO DELL'INFRASTRUTTURA GESTIONE OPERATIVA GESTIONE DELLA SICUREZZA GESTIONE DELLE MODIFICHE GESTIONE DEGLI INCIDENTI DI SICUREZZA COLLAUDO DEGLI OGGETTI POTENZIALMENTE PERICOLOSI IN QUARANTENA SUPPORTO NELLE FASI DI COLLAUDO E AVVIO IN PRODUZIONE DELLE ESTENSIONI DEI SISTEMI DI SICUREZZA OPERATIVITÀ DEL PRESIDIO IDS OPERATIVITÀ STRAORDINARIA REPERIBILITÀ FUORI ORARIO Pagina 3 di 50

5 3.11 SKILL DEL PERSONALE SOSTITUZIONI DEL PERSONALE STRUTTURE LOGISTICHE PER IL PRESIDIO LIVELLI DI SERVIZIO OGGETTO DELLA FORNITURA PER L ACQUISIZIONE DI ULTERIORE HARDWARE E SUBSCRIPTION DI SICUREZZA NUOVI APPARATI HARDWARE E SOFTWARE OGGETTO DI FORNITURA E MANUTENZIONE APPARATI HARDWARE E SOFTWARE, GIÀ DI PROPRIETÀ DELLA BANCA, OGGETTO DI MANUTENZIONE COLLAUDI LIVELLI DI SERVIZIO Pagina 4 di 50

6 Introduzione La progressiva apertura delle infrastrutture di elaborazione e telecomunicazione dell Istituto, attuata per fornire servizi Internet sia all interno che all esterno, espone i sistemi di elaborazione e d interconnessione al rischio di attacchi informatici. Al fine di minimizzare tale rischio, l Istituto si è dotato di un sistema di difesa perimetrale adottando misure di sicurezza informatica che si basano su: zone demilitarizzate, ottenute con l utilizzo di apparati firewall; controlli di flusso sulle comunicazioni; Intrusion Detection System (IDS); sistemi antivirus. Tale sistema di difesa è governato da un presidio organizzativo (c.d. Presidio IDS) finalizzato alla gestione e manutenzione dei sistemi di sicurezza, avente l obiettivo di: integrare in un unica struttura operativa le responsabilità di controllo di tutti i sistemi di difesa perimetrale dell'istituto; unificare i processi operativi legati a problematiche di sicurezza Internet (attuazione policy per IDS e firewall, controllo antivirus, gestione incidenti di sicurezza, gestione oggetti in quarantena). Gli strumenti a disposizione del Presidio IDS per svolgere i propri compiti sono rappresentati dalle console di management dei sistemi firewall, antivirus, intrusion detection e dal sistema di correlazione degli eventi di sicurezza. 1.1 Oggetto del lotto 1 Il rinnovo del sistema di correlazione degli eventi di sicurezza (vedi paragrafo 2), del servizio di Presidio IDS (vedi paragrafo 3) e l acquisizione di ulteriore hardware e subscription di sicurezza (vedi paragrafo 4) sono oggetto del lotto 1 della gara. Pagina 5 di 50

7 1.2 Modalità di aggiudicazione Il criterio di aggiudicazione è quello del prezzo più basso. 1.3 Durata della fornitura Per quanto riguarda il lotto 1 i contratti decorreranno dalla stipula indicativamente prevista per il In particolare: le attività di istallazione, configurazione e collaudo della soluzione relativa al correlatore degli eventi di sicurezza dovranno essere effettuate entro 6 mesi per consentire l entrata in esercizio del sistema il Da tale data decorreranno i servizi di assistenza specialistica a consumo, per un impegno massimo corrispondente a 120 giorni/uomo annui (vedi paragrafo 2.9) e, trascorso l anno di garanzia, i connessi servizi di manutenzione delle componenti hardware e software; il servizio di Presidio IDS decorrerà dal (i primi 2 mesi saranno in affiancamento con i componenti dell attuale Presidio IDS allo scopo di garantire un ordinato passaggio delle attività)(vedi paragrafo 3). Sono previsti interventi di operatività straordinaria per un impegno massimo annuale pari a 500 ore (vedi paragrafo 3.9); l ulteriore hardware di sicurezza con relativo software sarà avviato in esercizio dal Da tale data decorreranno anche i servizi di manutenzione degli apparati hardware e del software già di proprietà della Banca. Per quanto riguarda le nuove acquisizioni, trascorso l anno di garanzia, saranno avviati i connessi servizi di manutenzione (vedi paragrafo 4). Tabella riepilogativa. Lotto Oggetto Fornitura Avvio in esercizio 1 Correlatore 01/11/ Presidio IDS 01/05/ Ulteriore Hardware e Subscription di sicurezza 01/01/2013 Il contratto avrà termine il con possibilità di due periodi di proroga di 12 mesi ciascuno da richiedere almeno 3 mesi prima della scadenza. Durante i periodi di proroga la Banca si Pagina 6 di 50

8 riserva la facoltà di recedere dal contratto su base trimestrale con preavviso di 30 giorni. Per l assistenza specialistica, in caso di attivazione della facoltà di proroga, potranno essere acquisite fino a un massimo di 120 giorni/uomo l anno per il correlatore degli eventi di sicurezza e 500 ore/uomo l anno per l operatività straordinaria del Presidio IDS. 1.4 Luogo di lavoro Il servizio di Presidio IDS sarà fornito in condizioni di normale operatività presso il sito elaborativo primario della Banca o presso quello secondario e - solo in caso di necessità - presso i restanti stabili dell Area Romana. Analogamente gli apparati hardware oggetto della fornitura saranno installati presso i due siti elaborativi della Banca d'italia e i connessi servizi di system integration e assistenza specialistica dovranno essere forniti in entrambi i siti. La Banca d Italia metterà a disposizione i locali, gli strumenti di lavoro e le abilitazioni informatiche per consentire al personale di poter prestare i servizi richiesti. 1.5 Penali L importo delle penali applicabili non può superare il 10% del corrispettivo annuo I.V.A. esclusa pattuito per il servizio complessivo, ferma restando la facoltà per la Banca, al raggiungimento di tale limite, di risolvere il contratto ai sensi e per gli effetti dell art c.c., fatto salvo il diritto al risarcimento degli ulteriori danni. 1.6 Responsabile tecnico Entro 5 giorni solari dal perfezionamento del contratto, il Fornitore deve nominare un responsabile tecnico incaricato di Pagina 7 di 50

9 curare il coordinamento delle prestazioni, nonché di svolgere la funzione di unico referente nei confronti della Banca per le diverse tipologie di fornitura. In particolare, al responsabile tecnico fanno capo, tra gli altri, gli adempimenti di seguito indicati: il reperimento delle risorse e del personale specializzato per la realizzazione del correlatore e per il servizio di Presidio IDS; il coordinamento delle risorse durante la fase realizzativa per il correlatore e nel corso del servizio di Presidio IDS; il controllo delle scadenze sulla base delle pianificazioni concordate; la predisposizione di un rapporto mensile circa lo stato di avanzamento dei lavori di realizzazione; la partecipazione alle periodiche riunioni di avanzamento e coordinamento lavori e di pianificazione delle attività e controllo del livello di servizio; il rilascio nei tempi previsti di tutta la documentazione di progetto. Ai fini di svolgere efficacemente il ruolo di raccordo con la Banca e di coordinamento delle risorse per il servizio di Presidio IDS, il responsabile tecnico dovrà essere presente in Banca per un tempo complessivo non inferiore ai 10 giorni nell arco di un mese, per tutta la durata del contratto. L eventuale nomina di un nuovo responsabile tecnico in sostituzione del precedente - che non può avvenire nei due mesi solari precedenti e nei tre mesi solari successivi all avvio in produzione del nuovo correlatore - deve essere comunicata alla Banca con un anticipo di almeno 30 giorni solari rispetto alla data di attuazione del provvedimento. Il mancato rispetto del termine indicato darà luogo all applicazione di una penale pari a 100,00 (Euro cento/00) per ogni giorno di ritardo nel preavviso. Pagina 8 di 50

10 2 Oggetto della fornitura per il correlatore degli eventi di sicurezza. E prevista la fornitura di: un sistema di correlazione degli eventi (SEM - Security Event Management) per il monitoraggio in tempo reale degli eventi di sicurezza, che dovrà essere realizzato con una soluzione tecnologica e architetturale proposta dal Fornitore; le dotazioni hardware e software (con relativa manutenzione) necessarie per la realizzazione della soluzione individuata che dovrà essere rispondente alle specifiche funzionali e ai requisiti prestazionali espressi dalla Banca e di seguito indicati; i servizi a corpo di installazione e configurazione, sia per le componenti hardware che per quelle software, nonché un servizio di system integration. Quest ultimo, in particolare, prevede la configurazione della nuova piattaforma, l integrazione con l ambiente elaborativo della Banca, il tuning della funzionalità di correlazione, la realizzazione (porting) nella nuova infrastruttura delle funzionalità di correlazione, filtro e invio segnalazioni di allarme già erogate dal sistema di correlazione attualmente operante, l addestramento del personale preposto all utilizzazione del nuovo sistema; servizi professionali a consumo di assistenza specialistica corrente ed evolutiva a supporto dell esercizio. Pagina 9 di 50

11 2.1 Requisiti Funzionali e Architetturali Si specificano di seguito le principali funzioni e requisiti che l architettura proposta dovrà soddisfare: Codice Descrizione FUN-ARC-001 La soluzione proposta dovrà prevedere due componenti: una dedicata alla raccolta in tempo reale degli eventi; una dedicata alla correlazione degli eventi. FUN-ARC-002 La componente dedicata alla raccolta in tempo reale degli eventi dovrà essere in grado di: collezionare gli eventi inviati dalle fonti dati indicate al paragrafo 2.2 e da nuove fonti risultanti da future evoluzioni tecnologiche 1 ; collezionare eventi preferibilmente attraverso connettori nativi in assenza dei quali sarà cura del Fornitore provvedere a garantire il corretto parsing degli eventi e l integrazione con il sistema di correlazione. normalizzare in un unico formato gli eventi ricevuti dai diversi dispositivi; filtrare gli eventi ricevuti dai diversi dispositivi; aggregare gli eventi, per ridurre il volume dei dati da gestire eliminando gli eventi duplicati; conservare tutti gli eventi raccolti in formato raw : 1 Quali Paloalto, Fortinet, 3Com, Sourcefire, Symantec, Sophos, Cisco, Websense, Juniper STM, M86 Security. Pagina 10 di 50

12 Codice Descrizione con meccanismi che garantiscano l integrità del dato (hashing); minimizzando lo spazio di memorizzazione necessario tramite compressione e indicizzazione dei dati; secondo politiche di retention personalizzabili; FUN-ARC-003 La componente dedicata alla correlazione dovrà essere in grado di: correlare gli eventi ricevuti con la finalità di rilevare minacce in tempo reale o potenziali; visualizzare le minacce rilevate, in tempo reale, all operatore attraverso la presentazione degli eventi già correlati sulla console e la possibilità di analizzare puntualmente gli eventi raw relativi alla correlazione; conservare gli eventi correlati secondo le politiche definite; consentire la catalogazione degli asset in base alla criticità assegnata alla risorsa. FUN-ARC-004 La soluzione dovrà fornire strumenti integrati per il reporting e l analisi dei dati, rendendo possibile indagini in tempo reale e su dati storici. Tali strumenti dovranno rendere possibile la manipolazione dei dati e la creazione di report personalizzati. Pagina 11 di 50

13 Codice Descrizione FUN-ARC-005 FUN-ARC-006 La soluzione dovrà prevedere: la possibilità di popolare l asset inventory tramite integrazione con un CMDB oppure con una fonte dati esterna; l integrazione con il sistema BMC Remedy di Banca per la gestione degli incidenti di sicurezza tramite la creazione di ticket su iniziativa dell operatore; la possibilità di inoltrare selezionati eventi e/o incidenti di sicurezza, nei formati trap snmp, sms o messaggio di posta elettronica basato su Microsoft Exchange. La soluzione dovrà essere in grado di correlare gli eventi su base: storica; statistica; logica, attraverso la formulazione di regole personalizzabili secondo i seguenti criteri: indirizzi TCP/IP (white list, black list, custom list), finestre temporali, occorrenza evento, criticità dell asset; comportamentale (behavioural analysis); pattern recognition. Il sistema di correlazione dovrà disporre nativamente di un set di regole predefinite riferite alle principali categorie di attacco (virus, worm, ecc.). La soluzione dovrà essere in grado di integrare le informazioni provenienti dalle fonti di vulnerability assessment (vedi paragrafo 2.2), con gli eventi di sicurezza per generare allarmi significativi. FUN-ARC-007 La soluzione dovrà presentare le informazioni sugli eventi di sicurezza e sulle minacce in tempo reale tramite un interfaccia grafica intuitiva accedibile da Pagina 12 di 50

14 Codice Descrizione browser. FUN-ARC-008 FUN-ARC-009 FUN-ARC-010 FUN-ARC-011 FUN-ARC-012 FUN-ARC-013 La soluzione dovrà assicurare la visualizzazione degli eventi di sicurezza entro un limite massimo di 5 minuti dalla raccolta degli stessi. La soluzione dovrà assicurare efficientemente l analisi in tempo reale e l analisi storica consentendo all operatore: la visualizzazione e la ricerca degli eventi delle ultime 24 ore in un tempo massimo di 3 minuti; la visualizzazione e la ricerca degli eventi precedenti le ultime 24 ore in un tempo massimo di 5 minuti; la visualizzazione,la ricerca e l estrazione degli eventi in formato raw. La soluzione dovrà essere scalabile e in grado di supportare il traffico stimato proveniente dalle diverse fonti dati pari a 1500 EPS e dovrà essere dimensionato per assorbire un incremento di carico pari al 50% (max 2250 EPS). La soluzione dovrà essere conforme ai requisiti elaborativi e gestionali riportati nel paragrafo 2.4. La soluzione dovrà includere un ambiente in cui collaudare aggiornamenti software e nuovi requisiti funzionali. L ambiente di collaudo potrà essere realizzato su un ambiente virtuale e le funzionalità potranno essere accentrate su un unico sistema. La soluzione potrà prevedere la possibilità di utilizzo di tecnologie di virtualizzazione purché consentano il rispetto dei requisiti di performance definiti e il loro impiego sia certificato per l utilizzo con il prodotto proposto. Qualora il Fornitore intenda offrire dei software open source, questi dovranno essere di tipo supported open source. Dovrà quindi trattarsi di prodotti di cui è disponibile, contemporaneamente: Pagina 13 di 50

15 Codice FUN-ARC-014 Descrizione almeno una versione aggiornata, distribuita secondo i termini di una licenza approvata dalla Open Source Initiative ( il supporto da parte di una terza parte che, nell ambito di specifici contratti di manutenzione commerciale, cura la certificazione di compatibilità con le piattaforme hardware/software più comuni e fornisce le opportune patch in caso di malfunzionamenti; tale terza parte cura anche i rapporti con la comunità di sviluppo e deve, senza eccezione, sottoporre alla stessa eventuali evoluzioni e/o correzioni del software open source di base al fine di rendere disponibili i suddetti sviluppi all interno del progetto open source originale. La soluzione applicativa deve essere configurata in alta affidabilità e dovrà prevedere una configurazione di disaster recovery tra i due centri elaborativi della Banca tale che, nel caso di indisponibilità completa o parziale del sito primario, vengano garantite nel sito di recovery le stesse funzionalità e prestazioni fornite dai sistemi operanti normalmente nel sito primario. La configurazione di disaster recovery della soluzione applicativa dovrà essere realizzata sfruttando le funzionalità di alta affidabilità del sistema operativo o in alternativa del prodotto software offerto. L infrastruttura elaborativa a supporto deve essere resiliente al singolo punto di guasto. A tal fine, deve essere prevista una configurazione che rispetti i seguenti requisiti infrastrutturali: i singoli nodi devono essere distribuiti in centri elaborativi distinti ad una distanza di circa 25 km; la comunicazione tra i nodi, verso gli altri sistemi dell infrastruttura e verso l utenza deve basarsi su un modello di centro elaborativo split-site; i nodi presenti in un singolo centro elaborativo Pagina 14 di 50

16 Codice FUN-ARC-015 FUN-ARC-016 Descrizione devono essere sufficienti a garantire le medesime funzionalità offerte in assenza di guasto; a fronte di un malfunzionamento di un nodo, le funzionalità dovranno essere ripristinate in un tempo inferiore o uguale a 60 (sessanta) minuti. La soluzione dovrà fornire una base dati dimensionata per gestire almeno 50 milioni di eventi al giorno da conservare in linea per almeno un mese. La soluzione dovrà fornire una base dati dimensionata per conservare 12 mesi di eventi compressi. La soluzione dovrà consentire la raccolta dei log di interesse senza necessitare l installazione di client aggiuntivi sulle fonti. Pagina 15 di 50

17 2.2 Riepilogo Fonti Dati Categoria Quantità Prodotto Firewall IDS/IPS (Network Based) IDS/IPS (Host Based) Vulnerability Assessment Antivirus Fino a 30 nodi Fino a 30 nodi Fino a 140 Fino a 10 Fino a 30 Fino a 10 Fino a 4 Fino a 9500 Fino a 6 Fino a 15 Chekpoint NGX R65 e superiori Juniper Networks Firewall & Juniper Junos Firewall Juniper Networks Firewall Juniper Networks Firewall ISS Real Secure Network Sensor Serie GX ISS Real Secure Network Sensor Serie G ISS Realsecure server sensor 7.0 per Windows ISS Network Enterprise Scanner 2.3 McAfee Web Gateway McAfee Viruscan Enterprise 8.5/8.7 McAfee GroupShield McAfee PortalShield Log veicolato tramite Checkpoint Log Server NGX (n.2) Juniper Network and Security Manager ( n. 4) ISS Site Protector con Fusion (n.2) SNMP Trap originato dal prodotto(n. 4) McAfee epolicy Orchestrator (EPO) (n. 2) Fino a 2 Fino a 6 AAA Fino a 2 Fino a 8 Server Fino a 10 IBM Tivoli Directory Server (Ldap) Microsoft Domain Controller 2003 Oracle Identity Access Management Cisco Secure ACS, Cisco NGS RSA Ace Server GRSecurity, SeLinux, RFC,ModSecurity e altro SNMP-Trap o Syslog da BMC Control SA (n.2) SNMP-Trap o Syslog o Syslog NG originato dal prodotto (n. 8) SNMP-Trap o Syslog o Syslog NG originato dal prodotto (n. 10) Pagina 16 di 50

18 Categoria Quantità Prodotto Cisco Switch, Cisco Router, Cisco WCS Extreme Switch, Extreme Router Log veicolato tramite Routers, Switches, Load Balancer, VPN/SSL Concentrator Fino a 2000 Cisco CSS Juniper Dx3680 F5 LTM3400 SNMP-Trap o Syslog o Syslog NG originato dal prodotto (n. 2) F5 LTM5800 Juniper/NetScreen SSL VPN Tutte le fonti di dati (firewall, network e server sensor, antivirus) sono gestite e controllate da specifiche management console che si pongono anche come primi collettori nella ricezione degli eventi, vedi colonna Log veicolato tramite, analogamente tutti gli eventi di SYSLOG sono in prima istanza raccolti dai sistemi log server indicati in tabella. 2.3 Fornitura hardware Con riferimento all ambiente elaborativo si precisa che la Banca fornirà esclusivamente: i propri locali di Data Center; la parte impiantistica per l alimentazione dei sistemi; isole rack, per le caratteristiche si veda paragrafo 2.5. i collegamenti tra i due siti elaborativi dell Istituto; Pertanto costituiranno oggetto di fornitura hardware: tutti gli apparati hardware necessari alla realizzazione dell architettura proposta; Pagina 17 di 50

19 i materiali di cablaggio, (cavi di alimentazione e cavi di connessione per il collegamento alla rete locale, di adeguata lunghezza con connettori pressofusi per ciascun adattatore di rete previsto) e gli accessori vari per realizzare le connessioni di rete sia tra i sistemi componenti, sia verso le reti della Banca; console, KVM switching, alimentatori e quant altro necessario per installare l ambiente elaborativo in locali di tipo Data Center; È a carico del Fornitore anche la posa in opera, l installazione e il cablaggio di tutte le apparecchiature. Gli apparati dovranno essere consegnati presso i due siti elaborativi della Banca d Italia e i materiali di risulta e d imballo dovranno essere prelevati e smaltiti a cura del Fornitore. 2.4 Requisiti elaborativi e gestionali Codice Descrizione ELA-GES-001 ELA-GES-002 Le piattaforme devono ricadere nell ambito di: RedHat Enterprise Linux 5 o superiore; Windows 2003 Server o superiore; Appliance. Per i singoli apparati, dovranno essere previste le seguenti ridondanze hardware: doppia alimentazione hot-swappable; in particolare, l apparato deve essere alimentato da due linee di alimentazione indipendenti disponibili nei centri elaborativi, ciascun apparato deve garantire il corretto funzionamento anche nello scenario in cui una sola linea di alimentazione risulti attiva; dischi interni in tecnologia RAID in grado di Pagina 18 di 50

20 Codice Descrizione dare continuità di servizio a fronte della perdita di una unità disco fisica; sistemi di raffreddamento duplicati; schede di rete di tipo 10/100/1000 BASE-TX, in numero adeguato per il supporto all alta disponibilità; schede di controllo remoto (gestione fuori banda) per tutti gli apparati forniti (su tale interfaccia devono essere disponibili funzionalità di monitoraggio, power-off, power-on e remotizzazione della console). ELA-GES-003 ELA-GES-004 La soluzione dovrà includere uno spazio disco utile pari ad almeno 3 terabyte. La soluzione dovrà integrarsi con l infrastruttura Microsoft Active Directory di Banca d Italia tramite Kerberos o LDAP. ELA-GES-005 La soluzione dovrà integrarsi con il sistema di network management Suite IBM Tivoli (Netcool ITNM e Omnibus) al fine di misurare l effettiva disponibilità e raggiungibilità in rete dei sistemi che erogano i servizi oggetto della gara. Nel caso di appliance il network management dovrà essere realizzato ad hoc. ELA-GES-006 La soluzione dovrà integrarsi il sistema di system management IBM Tivoli Monitoring (ITM) al fine di monitorare la disponibilità e funzionalità delle componenti fondamentali per l erogazione del servizio. Nel caso di appliance il system management dovrà essere realizzato ad hoc. ELA-GES-007 La soluzione dovrà integrarsi con il sistema di job scheduling Tivoli Workload Scheduler al fine di centralizzare la pianificazione delle elaborazioni e il relativo controllo tramite il Tracker Agent del TWS Pagina 19 di 50

21 Codice Descrizione (Tivoli Workload Scheduler). Nel caso di appliance il job scheduling dovrà essere realizzato ad hoc. ELA-GES-008 ELA-GES-009 ELA-GES-010 ELA-GES-011 La soluzione dovrà integrarsi con il sistema di data archiving Tivoli Storage Management per la gestione dell archiviazione e dei backup dei dati su nastroteca tramite l agent TSM (Tivoli Storage Management). Nel caso di appliance il data archiving dovrà essere realizzato ad hoc. La soluzione proposta non dovrà occupare più di 25 rack unit, distribuite come segue: 15 rack unit nel sito primario e 10 rack unit nel sito secondario. La soluzione dovrà prevedere delle procedure di svecchiamento per le basi dati previste secondo la tempistica definita con la Banca. La soluzione dovrà essere corredata con la documentazione di prodotto, quella relativa alle configurazioni, personalizzazioni e regole di sicurezza adottate, e delle procedure gestionali realizzate. 2.5 Caratteristiche RACK Codice RACK-001 RACK-002 RACK-003 Descrizione Compatibilità Apparati conformi allo standard della Electronic Industries Alliance (EIA) nella sua ultima versione (EIA-310-D). Montanti verticali, conformi agli standard IEC regolabili in profondità. Dimensioni minime Larghezza: 750mm, profondità: 1200mm, altezza: 42U Capacità di carico statico 1000 kg Pagina 20 di 50

22 RACK-004 RACK-005 Sicurezza fisica e porte Grado di protezione IP20, conformi alle specifiche meccaniche definite nel IEC Chiusure e cardini delle porte collocati all interno del rack. Porte di tipo reversibile (apertura dx/sx). Alimentazione elettrica Due strisce di alimentazione di tipo verticale o installabili nella parte posteriore. Caratteristiche minime strisce di alimentazione: - tensione d ingresso 400 V trifase; - tensione di uscita 230 V monofase; - corrente nominale in ingresso 32A; - potenza 12 kw; - n 16 connessioni in uscita di tipo IEC 320 C13 e n 3 connessioni di uscita di tipo IEC 320 C19; - funzionalità di gestione remota; - misura in tempo reale dell assorbimento di corrente aggregato; - attivazione e disattivazione da remoto delle singole prese di alimentazione; 2.6 Fornitura software Sono oggetto della fornitura tutti i software e relative licenze, sia di sistema operativo che di prodotto, necessari alla realizzazione dell architettura proposta e tutte le licenze software necessarie per consentire la raccolta degli eventi da tutte le fonti dati indicate al paragrafo 2.2, oltre ai servizi di installazione, configurazione e manutenzione degli stessi per tutta la durata contrattuale. * * * Il concorrente deve predisporre un offerta tecnica relativa al rinnovo del sistema di correlazione degli eventi di sicurezza (SEM) contenente una sintetica descrizione della soluzione proposta, con particolare riferimento ai prodotti hardware e software offerti, dalla quale si evinca la rispondenza ai requisiti descritti nel capitolato. Pagina 21 di 50

23 2.7 Servizi di System Integration a corpo Oggetto della fornitura sono anche dei servizi di System Integration costituiti da servizi di impianto e servizi di assistenza specialistica di seguito illustrati. Sarà cura del Fornitore individuare la corretta combinazione di risorse da dedicare, in riferimento sia alle conoscenze ed esperienze possedute (ad es. sistemista esperto, specialista di sicurezza, specialista di prodotto) sia all impegno necessario per la realizzazione del progetto nei tempi previsti contrattualmente e sia per il servizio di assistenza specialistica a consumo corrente ed evolutiva Servizi di impianto I servizi di impianto della soluzione saranno finalizzati alla realizzazione della infrastruttura, la progettazione esecutiva degli interventi architetturali di rete e sicurezza, il collegamento e l attivazione delle fonti dati specificate, l integrazione col sistema di automazione della Banca, la definizione delle procedure gestionali del sistema, la messa in esercizio e il tuning di base della piattaforma. In particolare i servizi dovranno comprendere: l assessment e l analisi dei domini IT da integrare nella soluzione; la progettazione esecutiva; la posa in opera, l installazione e la configurazione hardware e software (di base e applicativo) dei sistemi; l hardening dei sistemi ; il collegamento e l attivazione di tutte le fonti di dati; la profilatura degli utenti, la definizione degli asset e/o dei gruppi di asset; il porting nella nuova infrastruttura delle funzionalità di correlazione, filtro e invio segnalazioni di allarme già Pagina 22 di 50

24 erogate dal sistema di correlazione attualmente operante in Banca; la personalizzazione della raccolta degli eventi (definizione di filtri, di aggregazioni, ecc.); il tuning di base della piattaforma, tale attività dovrà proseguire nei tre mesi successivi all avvio in esercizio della soluzione; la definizione e realizzazione delle procedure gestionali; la progettazione e realizzazione della soluzione di disaster recovery; predisposizione del Piano di Collaudo da effettuare al termine della fase di realizzazione; la messa in esercizio del sistema; la consegna delle procedure d installazione, del manuale di installazione e dei relativi supporti; la produzione della documentazione relativa alle configurazioni, personalizzazioni e regole di sicurezza adottate nonché alle procedure gestionali realizzate (ad es. backup e disaster recovery) l addestramento e la formazione del personale Workshop addestrativi Il Fornitore curerà, nei locali di Frascati della Banca, i servizi di formazione per un totale di 6 giorni in aula. I corsi saranno di tipo tecnico, orientati agli specialisti della funzione ICT. I corsi saranno replicati nell ambito di due sessioni della durata di tre giorni ciascuna. Il numero totale dei discenti interessati non sarà superiore a 20 unità. Le sessioni formative saranno tenute in lingua italiana; il Fornitore predisporrà la documentazione di supporto in lingua italiana. Fermo restando il numero complessivo di giornate di formazione previste, le tematiche da trattare verranno definite tra il Fornitore e la Banca nella fase di esecuzione del progetto. Le sessioni di addestramento dovranno trattare almeno i seguenti argomenti: Pagina 23 di 50

25 descrizione dell architettura dell infrastruttura; configurazione dei prodotti installati e modalità di intervento sui sistemi; configurazione del software di base e applicativo installato con particolare riferimento alle procedure di gestione, di emergenza e di riconfigurazione. 2.8 Collaudi Al completamento della realizzazione dell infrastruttura è prevista l esecuzione di prove di collaudo volte ad accertare la conformità al presente capitolato di quanto realizzato. Il Fornitore dovrà presentare alla Banca entro il 31/8/2012 il Piano di Collaudo, completo delle schede di dettaglio riferite alle singole verifiche da effettuare, per ogni sito, relativamente alla completezza dell infrastruttura realizzata e agli specifici test di disaster recovery. La Banca si riserva di approvare il Piano di Collaudo proposto ovvero di richiedere modifiche entro 10 giorni solari dalla data di ricezione dello stesso. Le operazioni di collaudo avranno inizio entro 10 giorni solari dalla data del Pronti al collaudo dichiarata dal Fornitore, per concludersi nei 30 giorni solari successivi al loro inizio, salvo proroga concordata tra le parti. In ogni caso l avvio in esercizio dovrà avvenire entro la data prevista nel paragafo 1.3 Durata della fornitura.il Fornitore si impegna a effettuare a proprie spese e senza alcun onere per la Banca tutti gli adeguamenti hardware e software che si rendessero necessari per il superamento dei test previsti dal Piano di Collaudo, nonché per assicurare la conformità dei servizi erogati alle norme di legge vigenti. Il collaudo finale si intenderà superato a seguito dell esito positivo delle verifiche previste dal Piano di Collaudo e della fornitura della documentazione di progetto comprendente almeno: descrizione dell architettura realizzata (es. schemi, connessioni, dimensionamento, modalità di funzionamento); descrizione tecnica dettagliata delle apparecchiature hardware fornite e descrizione e dei collegamenti; Pagina 24 di 50

26 descrizione e caratteristiche di tutti i prodotti hardware e software forniti e parametri di configurazione; descrizione e caratteristiche di tutte le procedure di gestione e controllo (inclusiva del dettaglio delle procedure di disaster recovery); manuali utente comprensivi degli scenari collaudati. In caso di esito positivo delle prove, la Banca dichiarerà l accettazione del servizio, sottoscrivendo un Rapporto di Accettazione. Il sistema sarà accettato solo in caso di assenza o avvenuta regressione (rimozione e riesecuzione della prova) di tutti i difetti, riscontrati durante l esecuzione dei test di collaudo. Qualora il Fornitore non fosse in grado di garantire l avvio del servizio per la data prevista, per cause non imputabili alla Banca, sarà applicata una penale pari a 100,00 (Euro cento/00) per ogni giorno di ritardo rispetto alla data prevista. 2.9 Servizi di assistenza specialistica a consumo Successivamente alla fase di impianto, a partire dalla data di avvio in esercizio del sistema e per tutta la durata del contratto, decorreranno i servizi di assistenza specialistica per un impegno massimo corrispondente a 420 giorni/uomo. Per quanto riguarda la tipologia di attività, che saranno di volta in volta richieste dalla Banca, esse potranno comprendere: l integrazione di nuove fonti dati; il supporto all'implementazione delle configurazioni di nuove fonti dati; la produzione e/o l aggiornamento della documentazione relativa alle configurazioni e personalizzazioni realizzate con riferimento alle nuove fonti di dati; la revisione delle policy di sicurezza adottate e il finetuning; Pagina 25 di 50

27 quanto fosse ritenuto necessario per l efficace ed efficiente funzionamento della infrastruttura realizzata Livelli di servizio L accordo sui livelli di servizio (SLA) ha l obiettivo di identificare e formalizzare la qualità dei servizi Definizioni Malfunzionamento Si definisce malfunzionamento una qualunque anomalia di funzionamento relativa ai componenti compresi nell infrastruttura realizzata dal Fornitore. Durata del malfunzionamento La durata del malfunzionamento è calcolata sulla base delle evidenze raccolte dagli strumenti di controllo dell infrastruttura. Tempo di intervento Il tempo di intervento è l intervallo di tempo che intercorre tra la segnalazione di malfunzionamento (tramite chiamata al servizio di help desk o apertura di un ticket) e il momento di arrivo presso la sede ove è installato il componente che ha prodotto il malfunzionamento del personale tecnico incaricato dal Fornitore per il ripristino del guasto. Tempo di ripristino Il tempo di ripristino è l intervallo di tempo che intercorre tra la segnalazione di malfunzionamento e il momento in cui le funzionalità del servizio sono completamente ripristinate (situazione di assenza di malfunzionamento). Malfunzionamento critico Si definisce critico un malfunzionamento di durata non inferiore a 30 minuti che comporti l indisponibilità di uno o più componenti dell infrastruttura tale che essa non sia in grado di erogare il servizio a cui è preposta. Pagina 26 di 50

28 Parametri di servizio Il Fornitore dovrà svolgere i servizi di assistenza tecnica e manutenzione su tutti i componenti hardware e software della fornitura, per tutta la durata del contratto nelle modalità di seguito specificate. Orario di servizio Il servizio deve essere erogato 24 ore al giorno, 7 giorni la settimana, 365 giorni l anno, salvo i periodi di interruzione per attività di manutenzione programmata o di manutenzione correttiva a seguito di guasti. L orario di servizio sarà suddiviso in due fasce: lavorativo dalle ore 06:00 alle ore 21:00, di tutti i giorni di calendario tranne le giornate di domenica, Capodanno, Lunedì dell Angelo, 1 maggio, Natale e S. Stefano 2 ; non lavorativo dalle ore 21:00 alle ore 06:00 del mattino successivo, di tutti i giorni di calendario tranne le giornate di domenica, Capodanno, Lunedì dell Angelo, 1 maggio, Natale e S. Stefano; dalle ore 06:00 alle ore 06:00 del mattino successivo, delle giornate di domenica, Capodanno, Lunedì dell Angelo, 1 maggio, Natale e S. Stefano. Le attività di manutenzione programmata potranno essere effettuate in orario di servizio non lavorativo, previo accordo con la Banca. Orario e strumenti per la ricezione delle segnalazioni Il Fornitore deve rendere disponibile un servizio di help desk telefonico per la ricezione delle segnalazioni di 2 Le festività ammesse potranno variare di anno in anno. Se ciò avverrà, la Banca ne darà comunicazione al Fornitore con 2 mesi di preavviso. Pagina 27 di 50

29 malfunzionamento da parte della Banca, operativo 24 ore al giorno, 7 giorni la settimana, 365 giorni l anno. Il Fornitore dovrà rendere disponibile anche un servizio di trouble ticketing via Internet. L accesso al servizio dovrà essere autenticato. Il servizio di trouble ticketing dovrà essere operativo 24 ore al giorno, 7 giorni la settimana, 365 giorni l anno. Tempi massimi di intervento Il tempo di intervento deve essere inferiore ai valori indicati in Tabella 1, in funzione della fascia dell orario di servizio in cui viene effettuata la segnalazione di malfunzionamento e della tipologia di malfunzionamento. Orario di servizio Lavorativo Non lavorativo Tipologia guasto Critico Non critico Critico Non critico Tempi massimi di intervento 2 ore solari 4 ore solari 3 ore solari 6 ore solari Tabella 1 Tempi massimi di intervento. Tempi massimi di ripristino Il tempo di ripristino deve essere inferiore ai valori indicati in Tabella 2, in funzione della fascia dell orario di servizio in cui viene effettuata la segnalazione di malfunzionamento e della tipologia di malfunzionamento. Pagina 28 di 50

30 Orario di servizio Lavorativo Non lavorativo Tipologia guasto Critico Non critico Critico Non critico Tempi massimi di ripristino 4 ore solari 12 ore solari 6 ore solari 24 ore solari Tabella 2 Tempi massimi di ripristino. A fronte di un malfunzionamento critico o non critico, che richieda un tempo di risoluzione eccedente i tempi massimi di ripristino indicati in Tabella 2, la Banca applicherà una penale, pari a 100,00 (Euro cento/00) per ogni ora di ritardo accumulata nel ripristino della completa funzionalità (assenza di situazioni di malfunzionamento). In ogni caso, il Fornitore deve impegnarsi a fornire tutte le informazioni necessarie per poter tempestivamente prendere decisioni in modo congiunto atte a contenere al massimo la durata del disservizio conseguente al malfunzionamento. Pagina 29 di 50

31 3 Oggetto della fornitura per il servizio di Presidio IDS I servizi richiesti comprendono il presidio per la gestione sistemistica ed operativa dei sistemi di difesa perimetrale (firewall, sonde IDS, sistemi antivirus) delle relative management console e del correlatore degli eventi di sicurezza, di seguito indicati come sistemi di sicurezza. Le risorse devono fornire un servizio di presidio di sicurezza che garantisca: la gestione ordinaria e straordinaria dei sistemi di sicurezza ; la rilevazione delle intrusioni segnalate dal correlatore degli eventi di sicurezza; le attività specialistiche per l aggiornamento delle release di software, dei motori di scansione, delle patch e delle fix di sicurezza dei sistemi di sicurezza ; le attività specialistiche per l analisi, preparazione e attuazione di regole e/o policy sui sistemi di sicurezza ove applicabile. In particolare, i compiti previsti sono raggruppati nelle seguenti tipologie: monitoraggio dell'infrastruttura (security monitoring); gestione operativa (system monitoring and management); gestione della sicurezza (security management); gestione delle modifiche (change management); gestione degli incidenti di sicurezza (security incident management); collaudo degli oggetti potenzialmente pericolosi in Quarantena. Pagina 30 di 50

32 3.1 Monitoraggio dell'infrastruttura Il Presidio assolverà al compito di monitoraggio dei sistemi di sicurezza (security monitoring) con l'obiettivo di rilevare con la massima tempestività qualsiasi evento che possa avere impatti di sicurezza. A tal fine, utilizzerà continuativamente gli strumenti di controllo disponibili, negli orari di presenza in Banca, e analizzerà tutte le segnalazioni al momento della loro insorgenza. Se, in base all'analisi delle segnalazioni ravviserà una possibile minaccia per la sicurezza, porrà in essere, nei tempi previsti dai livelli di servizio concordati, gli interventi e/o le procedure di risposta alle intrusioni in base a quanto preventivamente concordato con la Banca. Per i compiti di monitoraggio e analisi, il Presidio si avvarrà del correlatore degli eventi e delle GUI delle console di gestione dei firewall,delle sonde e dei sistemi antivirus. 3.2 Gestione operativa Il Presidio svolgerà il compito di gestione operativa (system monitoring and management) dei sistemi di sicurezza al fine di garantirne il funzionamento in esercizio. A tale scopo, controllerà continuativamente il funzionamento dei sistemi di sicurezza e ne gestirà i malfunzionamenti di natura tecnica. Tale attività si sostanzia quindi: nella rilevazione del malfunzionamento; nell effettuazione della problem determination; nel porre in atto la problem solving se il problema è superabile; nell attivazione, in caso di malfunzionamento non superabile in tempi brevi, del sistema alternativo se disponibile (recovery); nell effettuazione della chiamata all assistenza, nel caso si sia riscontrato un guasto hardware. Pagina 31 di 50

33 Le attività dovranno essere svolte nei tempi definiti nei livelli di servizio e ne dovrà essere data completa informativa alla Banca. Il Presidio dovrà inoltre espletare i compiti di gestione operativa sia nel corso del normale esercizio 3 sia nel caso di eventi straordinari o periodici 4 e dovrà attuare il recovery locale e/o il disaster recovery dei sistemi di sicurezza (se previsto), nelle situazioni e con le modalità contenute nelle procedure operative di esercizio a tal fine predisposte. Per tutti i sistemi di sicurezza, il Presidio dovrà predisporre, rivedere periodicamente e documentare tutte le procedure operative di esercizio che la Banca d'italia ritenga necessarie. Tali procedure e la relativa documentazione, dovranno essere verificate e rese disponibili anche alle funzioni della Banca affinché le stesse siano in grado di operare, in caso di emergenza, in autonomia. 3.3 Gestione della sicurezza Per tutti i sistemi di sicurezza, il Presidio dovrà svolgere i compiti di gestione della sicurezza (security management), che consistono nell'insieme di attività - operative, gestionali e di assistenza specialistica - volte a proporre, definire, attuare, verificare e documentare le politiche di sicurezza 5, come individuate nei paragrafi successivi. Tra le attività di natura operativa e gestionale rientrano: la verifica periodica, in collaborazione con le funzioni della Banca, delle politiche di sicurezza attuate sui sistemi di sicurezza ; 3 ad esempio reboot periodico dei sistemi, deframmentazione dei database installati, backup, ecc. 4 ad esempio fasi di collaudo o prove di recovery di altri sistemi della Banca, spegnimento e accensione dei centri di elaborazione dati, restore delle informazioni, ecc. 5 Per politiche di sicurezza si intende, l'insieme delle configurazioni atte a garantire i livelli di sicurezza richiesti. Pagina 32 di 50

34 l esecuzione delle modifiche alle politiche di sicurezza (aggiornamento delle regole dei firewall, aggiornamento dei filtri delle sonde, ecc.); l aggiornamento della relativa documentazione. Tali operazioni di security management saranno concordate con la Banca e eseguite nei tempi e modi da questa stabiliti. Tra le attività di assistenza specialistica rientrano: la proposta di aggiornamenti alle politiche di sicurezza in base alle "security best practises" e/o ai risultati delle verifiche delle politiche di sicurezza e/o dei penetration test; la segnalazione di aggiornamenti evolutivi e correttivi dei prodotti installati sui sistemi di sicurezza e delle relative configurazioni, ove valutato necessario per il mantenimento o accrescimento dei livelli di sicurezza e per la risoluzione di eventuali problemi o malfunzionamenti; l esecuzione degli aggiornamenti ai prodotti software, alle configurazioni e a quant altro sia ritenuto necessario per mantenere o accrescere i livelli di sicurezza, dei sistemi di sicurezza, concordati con la Banca. Sono comprese in tale ambito le attività di installazione di nuove release software, dei motori di scansione e di patch e fix di sicurezza; la messa a punto e la documentazione delle procedure di aggiornamento periodico evolutivo e correttivo dei prodotti installati sui sistemi di sicurezza e delle relative configurazioni; la proposta delle attività di tuning delle politiche di sicurezza volte a limitare il numero di false o mancate segnalazioni e l attuazione di quelle concordate con la Banca; il supporto nell effettuazione delle prove periodiche di penetration test e nell esame dei risultati; la partecipazione a incontri periodici (di norma con cadenza settimanale), organizzati dalla Banca per discutere degli aspetti di sicurezza. Pagina 33 di 50

35 3.4 Gestione delle modifiche Per quanto riguarda la gestione delle modifiche, il Presidio si occuperà del: supporto nelle fasi di avvio in esercizio delle infrastrutture di sicurezza; applicazione di nuove configurazioni dei dispositivi e dei sistemi di gestione di sicurezza oppure modifica di quelle esistenti; supporto all integrazione con gli apparati di rete o sistemi elaborativi della Banca; installazione dei nuovi livelli software e relativo collaudo; supporto nello svolgimento di collaudi e/o verifiche delle funzionalità degli apparati di sicurezza e dei sistemi di gestione, incluse le prove periodiche di disaster recovery e penetration test. Tutti gli interventi sono programmati in intervalli temporali definiti e concordati con il personale di Banca. 3.5 Gestione degli incidenti di sicurezza Il Presidio dovrà assicurare la gestione degli incidenti di sicurezza (security incident management) intesa come l'insieme dei processi volti a: classificare l incidente in tre classi (minor, warning, critical) in base all impatto stimato sulle funzioni applicative; reagire a fronte di un incidente, ovvero porre in atto, sulla base della classe attribuita all incidente, le procedure di risposta alle intrusioni definite (incident handling procedures), nei tempi stabiliti nei livelli di servizio; effettuare la root cause analysis ; avvisare le funzioni interne di Banca preposte alla gestione degli incidenti di sicurezza; definire e mantenere aggiornate le incident handling procedures, ovvero definire e mantenere in linea con lo stato dell arte le procedure di risposta alle intrusioni Pagina 34 di 50

36 sulla base delle security lessons learned e delle altre informazioni reperite su nuovi tipi di attacco informatico. In particolare le procedure di risposta alle intrusioni dovranno individuare responsabilità e conoscenze necessarie all assolvimento delle azioni previste, e dovranno permettere di: identificare la gravità, l'origine, la tipologia e l'oggetto dell'attacco; valutarne gli impatti sulle funzioni applicative; individuare e mettere in atto le necessarie contromisure immediate; dare corso ai follow-up ritenuti necessari. L organizzazione dei processi operativi dovrà essere conforme alle linee guida del "Computer Emergency Response Team o CERT Coordination Center (CERT/CC) 6. Gli specialisti di sicurezza del Presidio definiranno scenari, procedure di risposta alle intrusioni e procedure di escalation e forniranno, unitamente agli specialisti della Banca, il supporto per gli interventi a fronte di intrusioni (response team). 3.6 Collaudo degli oggetti potenzialmente pericolosi in Quarantena La Banca, al fine di poter effettuare un controllo sui flussi informatici provenienti da Internet, si è dotata di un sistema di filtro degli oggetti ritenuti pericolosi, che vengono collocati in una zona di Quarantena, messa a disposizione per tutti gli utenti dal sistema di filtro stesso. I flussi informatici inseriti nella zona di Quarantena possono essere immessi nel sistema informativo della Banca soltanto dopo un opportuna attività di collaudo, se richiesta 6 Raggiungibile al seguente indirizzo Internet: " Pagina 35 di 50

37 dall utente, oppure vengono cancellati dopo un prestabilito periodo di tempo. Rientrano tra le attività di collaudo: salvataggio di un immagine della configurazione dell ambiente elaborativo di collaudo predisposto dalla Banca; recupero dall area di quarantena dell oggetto da collaudare e il suo trasferimento nell ambiente elaborativo di collaudo; esecuzione dell oggetto al fine di verificarne le caratteristiche dinamiche quali tentativi di apertura di porte TCP/IP e/o di sessioni comunicative indirizzate al di fuori della piattaforma, ritenuti non leciti; verifica dello stato di integrità del sistema operativo e dell ambiente, rispetto alla configurazione software salvata prima dell esecuzione dell oggetto e valutazione dell eventuale presenza di un comportamento anomalo ; analisi dei log e delle segnalazioni provenienti dagli strumenti di sicurezza presenti nell ambiente elaborativo di collaudo; formalizzazione e conservazione degli esiti del collaudo; consegna degli oggetti che hanno superato il collaudo, con esito positivo, secondo le modalità definite dalla Banca; ripristino e ricostituzione dell integrità del sistema elaborativo di collaudo come previsto dalle policy di Banca al fine del suo riutilizzo in ulteriori collaudi. 3.7 Supporto nelle fasi di collaudo e avvio in produzione delle estensioni dei sistemi di sicurezza Il Presidio garantirà, con riferimento ai compiti delineati, il supporto tecnico necessario alle attività di collaudo e avvio in produzione delle estensioni dei sistemi di sicurezza. Per estensioni si intende: l'aumento del numero dei sistemi di sicurezza ; l'aumento delle tipologie di flussi, sistemi e collegamenti da controllare; Pagina 36 di 50