CITTA DI GIULIANOVA PROVINCIA DI TERAMO

Transcript

1 ALLEGATO A CITTA DI GIULIANOVA PROVINCIA DI TERAMO l infrastruttura informatica comunale. Periodo biennale (24 mesi) 2017/ di 9

2 Indice generale 1 Premessa Il contesto operativo Definizione della fornitura Oggetto Requisiti del fornitore Conoscenze e competenze del personale impiegato Specifiche tecniche della fornitura Servizio di Supporto all assistenza tecnica e manutenzione Livelli di Servizio (SLA) Penali sui livelli di servizio (SLA) di 9

3 1 PREMESSA Il Comune di Giulianova, nel rispetto dei principi dettati dall Agenzia per l Italia Digitale (c.d AgID ), intende investire sulla sicurezza ICT, considerata indispensabile per garantire la disponibilità, l'integrità e la riservatezza delle informazioni proprie del Sistema informativo dell Ente. In particolare, il Comune intende dotarsi, secondo una tempistica ben definita, di standard minimi di prevenzione e reazione ad eventi cibernetici, secondo quanto stabilito dalle recenti misure minime di sicurezza ICT per le pubbliche amministrazioni previste dall AgID con la Circolare 1/2017, ai sensi del DPCM Al tal fine, è necessario avere un qualificato supporto in campo della gestione della sicurezza. Pertanto, lo scopo del presente documento è quello di definire le specifiche tecniche finalizzate al raggiungimento degli standard di riferimento sulla sicurezza, questi ultimi stabiliti dagli indicatori dettati dalla succitata Circolare AgID e, più in generale, dagli indirizzi, dalle regole tecniche e dalle linee guida dettate dall AgID in materia di sicurezza informatica. La fornitura dei servizi richiesti dovrà essere rispondente alle specifiche tecniche del presente Capitolato; il mancato rispetto dei requisiti tecnici minimi indicati di seguito determina la non conformità del servizio erogato. L'impresa fornitrice dovrà eseguire la fornitura dei servizi garantendone la perfetta esecuzione a regola d'arte, ivi comprendendo tutti gli accorgimenti necessari ed opportuni anche se non espressamente specificati nel presente documento. I servizi oggetto della presente fornitura dovranno essere erogati dall impresa per il periodo di 24 mesi (biennale) a decorrere dalla data di sottoscrizione del contratto. Nel seguito del presente Capitolato, le specfiche tecniche sono sempre da intendersi come minime se non diversamente specificato. 2 IL CONTESTO OPERATIVO Il Comune è attualmente dotato di un infrastruttura IT in ambiente virtuale costituita da due sistemi blade (Data Center di produzione, ubicato c/o la Sede Municipale, e Data Center di replica, ubicato c/o il mercato ittico comunale), nonché di un infrastruttura di rete locale (intranet), indispensabile per erogare i servizi IT come, ad esempio, la connettività intranet/internet, la telefonia digitale VoIP e la videosorveglianza nelle diverse sedi degli uffici comunali, negli asili nido, nel mercato ittico, nella piscina comunale, nella polizia municipale, negli uffici di segreteria amministrativa degli istituti comprensivi scolastici del territorio e nei plessi scolastici. La gestione delle succitate infrastrutture è svolta dall Ente mediante l operato del personale interno dell Ufficio Sistemi Informativi Area I dell Ente. In particolare, la gestione si esplica in attività di assistenza e di manutenzione ordinaria e straordinaria: degli apparati di rete fisici e virtuali in modalità On premise quali, gli switch, i router, i dispositivi wireless (Antenne CPE, Access Point - AP) e i dispositivi di sicurezza (firewall, antivirus, antispam, etc.); dei servizi digitali erogati dall Ente in ambiente virtualizzato mediante la gestione delle 3 di 9

4 macchine virtuali (VM) dedicate. Dunque, la continuità nell'erogazione dei servizi digitali da parte del Comune, (come, ad esempio, la gestione e la conservazione dei documenti digitali, il servizio di posta elettronica, il Protocollo informatico, la contabilità finanziaria, gli stipendi, il Servizio Anagrafe, i Servizi Demografici, il Servizio Tributi, l asta telematica del Mercato Ittico, il sistema di rilevazione presenze e tanti altri servizi comunali), assicurata dalle predette attività di management, deve essere assolutamente coadiuvata dall attuazione delle misure minime di sicurezza ICT per le pubbliche amministrazioni, di cui all Allegato 1 della Circolare AgID n. 1/ DEFINIZIONE DELLA FORNITURA 3.1 OGGETTO In riferimento al contesto operativo precedentemente descritto, l Ente intende acquisire la fornitura di un qualificato supporto in tema di sicurezza, finalizzato all adeguamento del livello di protezione dell infrastruttura IT comunale, anche in base ai criteri minimi di sicurezza stabiliti dall AgID. Allo scopo, è necessario che la ditta appaltatrice assicuri, con professionalità e competenza, un supporto nell individuare ed implementare gli interventi tecnici in tema di sicurezza ICT necessari per adeguare il sistema alle misure minime di sicurezza ICT, previste anche dal Piano triennale per l informatica nella PA ed individuate in dettaglio dall Allegato 1 della Circolare AgID 1/2017. In particolare, è richiesta all impresa la fornitura dei seguenti servizi: 1. supporto all implementazione degli standard minimi di prevenzione e reazione ad eventi cibernetici seguendo i criteri di riferimento degli indicatori standard (c.d. AgID Basic Security Control(s) ABSC) richiamati nel par. 4 e descritti dettagliatamente nell Allegato 1 - Misure minime di sicurezza ICT per le PA della Circolare AgID 1/2017; 2. supporto alle attività volte ad irrobustire la resilienza dell infrastruttura IT dell Ente, a fronte di eventi cibernetici quali incidenti o azioni ostili che possono compromettere il funzionamento dei sistemi e degli assetti fisici controllati dagli stessi; 3. supporto alla risoluzione di problematiche complesse di progettazione, ri-progettazione o start-up di nuove componenti hardware/software e servizi dell infrastruttura IT comunale (sistema informatico e rete comunale, applicativi, infrastrutture di sicurezza, monitoraggio e log analysis, incident handling e response, etc.); 4. installazione di hotfix e/o patch per l aggiornamento dei dispositivi dell infrastruttura IT quali oggetto della presente fornitura. La frequenza delle predette attività di aggiornamento è definita sulla base delle componenti oggetto del servizio e comunque concordata con il Servizio Sistemi Informativi che ne coordina le attività. In riferimento al punto 1, l obiettivo dell Ente è quello di adeguare i controlli di protezione dell infrastruttura dell Ente ai livelli di sicurezza minimi dettati dagli ABSC (Agid Basic Security Controls), questi ultimi definiti dall Allegato 1 della Circolare AgID 1/2017 (v. par. 4 del presente documento). In particolare, l obiettivo dell Ente è quello di: 1. adeguare l infrastruttura IT al livello di sicurezza Minimo entro la data del , a 4 di 9

5 partire dalla data di sottoscrizione del contratto, così come previsto dall art. 5 della stessa Circolare AgID; 2. far convergere l'infrastruttura IT verso il livello di sicurezza Standard entro 24 mesi a partire dalla data di sottoscrizione del contratto. Le modalità con le quali ciascuna misura ABSC è implementata devono essere riportate nell apposito modulo di implementazione, di cui all Allegato 2 della Circolare AgID 1/2017. In base all art. 4 della succitata Circolare AgID, il modulo deve essere deve essere firmato digitalmente con marcatura temporale dal Responsabile dei sistemi informativi e dal Responsabile legale dell Ente (o suoi delegati) e, successivamente, deve essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA coadiuvato dalla segnalazione dell'incidente stesso. Le attività finalizzate all adeguamento del livello di sicurezza, quale oggetto della presente fornitura, devono riguardare i seguenti dispositivi in dotazione dell Ente: 1. Gli apparati di switching fisici e virtuali utilizzati per le interconnessioni interne ed esterne ai blade server di produzione e di replica; 2. Gli switch fisici ubicati c/o gli edifici comunali e gli edifici scolastici degli Istituti comprensivi Statali. 3. Le antenne CPE per i collegamenti punto-punto (PtP) tra gli edifici collegati alla intranet comunale; 4. Gli Access Point (AP HotSpot) degli uffici comunali e delle scuole; 5. I dispositivi di firewall e antispam dell Ente; 6. Le Macchine Virtuali (VM) gestite dall Ente a livello di sistema operativo e di software applicativo. 7. Le VM create ad hoc per la gestione di particolari servizi di sicurezza finalizzati all adeguamento del livello di protezione dell infrastruttura comunale (Inventario delle risorse attive, sistemi di logging, strumenti automatici per discovery della rete, etc.). La fornitura di tutti i servizi sono coordinate dal Servizio Sistemi Informativi comunale. 3.3 REQUISITI DEL FORNITORE La ditta fornitrice per la fornitura dei servizi in oggetto deve impiegare obbligatoriamente del personale qualificato con le seguenti certificazioni/qualifiche: 1. La certificazione/qualifica ITIL (almeno di livello Foundations) necessaria per incrementare l'efficienza nel sistema di gestione ed attuare l'approccio Good Practice ITIL. 2. La qualifica e/o certificazione per Lead Auditor dei sistemi di gestione per la sicurezza delle informazioni conformi alla norma standard ISO/IEC La certificazione OSSTMM Professional Security Tester (OPST) rilasciata da Institute for Security and Open Methodologies (ISECOM). Il personale impiegato per la presente fornitura di servizi, altresì, deve possedere obbligatoriamente i seguenti requisiti: specifica esperienza nella definizione di strategie di sicurezza cibernetica e nello sviluppo e divulgazione della cultura sulla sicurezza delle informazioni; specifica esperienza nelle attività connesse al contrasto delle minacce cibernetiche; 5 di 9

6 documentata esperienza lavorativa pluriennale nella formazione o divulgazione culturale sulle tematiche connesse alla sicurezza cibernetica CONOSCENZE E COMPETENZE DEL PERSONALE IMPIEGATO L impresa aggiudicataria deve obbligatoriamente impiegare, per tutti servizi oggetto della presente fornitura, risorse umane altamente qualificate dotate di specifiche certificazioni professionali di tipo Senior rilasciate da società accreditate nell ambito della sicurezza ICT, che comprovano formalmente il possesso delle seguenti conoscenze e competenze specifiche di settore: tecniche per la conduzione di attacchi informatici sia a livello di software di base che applicativo; misure di contrasto degli attacchi informatici a livello preventivo e di contenimento; correlazione degli eventi e strumenti per l individuazione degli incidenti informatici; analisi forensica ed aspetti tecnici in generale utilizzati alla criminalità informatica; conoscenza ed esperienza nella configurazione delle principali piattaforme di sicurezza perimetrale, quali piattaforme Firewall, piattaforme IPS/IDS, piattaforme Antivirus centralizzate, piattaforme di network anomaly detection per la protezione da attacchi di tipo DoS, piattaforme di URL filtering; conoscenza delle principali tecniche utilizzate per la conduzione di attacchi informatici, sia a livello di sistema operativo che applicativo (tecniche di buffer overflow, tecniche di injection, attacchi di spoofing, attacchi al DNS, tecniche utilizzate dalle principali botnet, etc.); conoscenza delle principali tematiche di sicurezza tecnologica in ambiente Web; conoscenza delle principali tematiche di sicurezza organizzativa, quali analisi dei rischi, business impact analysis, definizione procedure di sicurezza, ecc.; conoscenza delle principali piattaforme di controllo accessi e autorizzazione, con particolare riferimento alle piattaforme di strong authentication e sistemi di cifratura forte per sistemi client e server; conoscenza dei principali tool open source per l assessment tecnologico e l analisi delle vulnerabilità (nmap, sqlmap, nessus, hping, ecc.); conoscenza dei principi e delle tecniche di hardening dei principali sistemi operativi (Windows, Unix, Linux) nonché dei principali dispositivi attivi/passivi tipicamente utilizzati nelle LAN, WLAN e WAN (switch managed, router, antenne CPE, antenne AP, etc.); conoscenza delle principali tecniche utilizzate per lo sfruttamento delle vulnerabilità e la conduzione di attacchi informatici, sia a livello di sistema operativo che applicativo (tecniche di buffer overflow, tecniche di injection, attacchi di spoofing, attacchi al DNS, tecniche utilizzate dalle principali botnet, ecc.), con particolare riferimento alla conoscenza delle principali metodologie di assessment tecnologico e Penetration Testing, quali OSSTMM e OWASP Testing Guide; conoscenza delle piattaforme di correlazione eventi per l analisi e la classificazione degli eventi di sicurezza; conoscenza delle tecniche di analisi e classificazione del malware (analisi statica, reverse engineering del codice, analisi dinamica); linguaggio SQL e principali linguaggi di shell scripting in ambiente Windows/Unix; formazione (training) nel settore della sicurezza informatica. 6 di 9

7 4 SPECIFICHE TECNICHE DELLA FORNITURA Il presente sotto-paragrafo contiene la descrizione dettagliata del supporto richiesto. Il Comune di Giulianova deve conseguire almeno i livelli di sicurezza minimi, nei tempi stabiliti al par. 3.1, in base ai seguenti ABSC definiti in dettaglio nelle regole tecniche di cui all Allegato 1 della Circolare n. 1/2017: 1. ABSC 1 (CSC 1) - INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI Lo scopo è gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l inventario) in modo che l accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro impedito l accesso. 2. ABSC 2 (CSC 2) - INVENTARIO DEI SOFTWARE AUTORIZZATI E NON AUTORIZZATI Lo scopo è gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla rete in modo che sia installato ed eseguito solo software autorizzato, mentre il software non autorizzato e non gestito sia individuato e ne venga impedita l installazione o l esecuzione. 3. ABSC 3 (CSC 3) - PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER Lo scopo è istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni. 4. ABSC 4 (CSC 4) - VALUTAZIONE E CORREZIONE CONTINUA DELLA VULNERABILITÀ Acquisire, valutare e intraprendere continuamente azioni in relazione a nuove informazioni allo scopo di individuare vulnerabilità, correggere e minimizzare la finestra di opportunità per gli attacchi informatici. 5. ABSC 5 (CSC 5) - USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE Lo scopo è adottare le regole, i processi e gli strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi. 6. ABSC 8 (CSC 8) - DIFESE CONTRO I MALWARE Lo scopo è controllare l installazione, la diffusione e l esecuzione di codice maligno in diversi punti dell azienda, ottimizzando al tempo stesso l utilizzo dell automazione per consentire il rapido aggiornamento delle difese, la raccolta dei dati e le azioni correttive. 7. ABSC 10 (CSC 10) - COPIE DI SICUREZZA Lo scopo è quello di definire ed adottare le procedure e gli strumenti necessari per produrre e mantenere copie di sicurezza delle informazioni critiche, così da consentirne il ripristino in caso di necessità. 8. ABSC 13 (CSC 13): PROTEZIONE DEI DATI Lo scopo è quello di definire ed adottare i processi interni, gli strumenti e i sistemi necessari per evitare l esfiltrazione dei dati, mitigarne gli effetti e garantire la riservatezza e l integrità 7 di 9

8 delle informazioni rilevanti. I servizi di riferimento devono essere eseguite dal personale certificato della ditta (v. par. Requisiti del fornitore) sotto il coordinamento del Servizio Sistemi Informativi comunale. 5 SERVIZIO DI SUPPORTO ALL ASSISTENZA TECNICA E MANUTENZIONE Il servizio di supporto all assistenza tecnica e alla manutenzione dei dispositivi oggetto della fornitura include, per il periodo contrattuale di 24 mesi a partire dalla data di sottoscrizione del contratto: interventi on-remote di supporto illimitati; n. 24 giornate di supporto on-site erogabili nel periodo dei 24 mesi di validità contrattuale. Il servizio di supporto all assistenza tecnica e alla manutenzione dell infrastruttura per il periodo del contratto in essere è comprensiva del: supporto alla manutenzione correttiva, che comprende la diagnosi e la rimozione delle cause e degli effetti di malfunzionamenti dei dispositivi dell'infrastruttura informatica oggetto della presente fornitura, non imputabile ad un uso non corretto o ad azioni incaute o dolose da parte del cliente, che impediscono il regolare funzionamento degli applicativi. Supporto all'assistenza tecnica dei dispositivi dell'infrastruttura informatica oggetto della presente fornitura, che deve essere garantita nel rispetto dei livelli di servizio (SLA) di seguito specificati. Con l'assistenza tecnica e la manutenzione il fornitore si impegna ad assicurare il predetto supporto, per l'intero periodo contrattuale (24 mesi a partire dalla data di sottoscrizione del contratto): 1. per garantire la piena funzionalità, sicurezza ed efficienza dei dispositivi dell'infrastruttura informatica oggetto della presente fornitura; 2. per la risoluzione dei problemi di installazione e/o configurazione dei relativi servizi dell'infrastruttura informatica oggetto della presente fornitura, nel rispetto degli SLA di seguito specificati. 6 LIVELLI DI SERVIZIO (SLA) I Service Level Agreement (SLA) definiscono i parametri di qualità del servizio che devono essere rispettati dalla ditta fornitrice. Tutti gli SLA descritti nel presente paragrafo si applicano ai servizi applicativi quali oggetto delle predette specifiche tecniche definite per l adeguamento del livello di protezione dell infrastruttura comunale. Gli SLA descritti di seguito saranno misurati in riferimento alla seguente finestra temporale di erogazione dei servizi: martedì e giovedì dalle 8,00 alle 14,00 e dalle 15,30 alle 18,30; lunedì, mercoledì e venerdì dalle 8,00 alle 14,00. Le azioni di assistenza tecnica e di manutenzione potranno essere richieste dalla Stazione 8 di 9

9 Appaltante al fornitore mediante le seguenti modalità: per via telefonica all impresa fornitrice; per via posta elettronica e/o altro sistema informatico idoneo ad accogliere le richieste di apertura ticket per l assistenza e la manutenzione dei software. Relativamente ai servizi di assistenza e manutenzione, i guasti segnalati al fornitore, mediante una delle modalità sopra segnalate, saranno codificati secondo una classe di severità (Severity Code), in base alla gravità del problema riscontrato. Sulla base del Severity Code assegnato la ditta dovrà fornire una stima dei tempi di ripristino e le modalità di intervento nel rispetto dei parametri di SLA definiti nel successivo paragrafo, eventualmente avvalendosi della possibilità di effettuare una prima diagnosi da remoto. I Severity Code sono classificati come segue: Severity Code 1 - Guasto Bloccante: le funzionalità di base e/o maggiormente rilevanti non sono più operative. Severity Code 2 - Disservizio: le funzionalità di base sono operative ma il loro utilizzo non è soddisfacente. Per malfunzioni di tipo Bloccante (Severity Code 1) dovranno essere assicurati i seguenti livelli di servizio (SLA): Intervento on-site in caso di necessità per il ripristino dell operatività del servizio dell infrastruttura IT: entro il giorno lavorativo successivo (next business day) dalla richiesta della stazione appaltante; Per tutte le malfunzioni di tipo Non Bloccante (Severity Code 2) dovranno essere assicurati i seguenti livelli di servizio: Intervento on-site in caso di necessità per il ripristino dell operatività dei sistemi: entro n. 3 giorni lavorativi successivi dalla richiesta della stazione appaltante. 7 PENALI SUI LIVELLI DI SERVIZIO (SLA) In caso di mancato rispetto dei parametri di SLA richiesti ed indicati nel precedente paragrafo la ditta fornitrice sarà tenuto a corrispondere alla Stazione Appaltante le penali di seguito riepilogate fatto salvo, in ogni caso, il risarcimento del maggior danno subito. Tempestività di ripristino del servizio - Severity Code 1 Tempestività di ripristino del servizio - Severity Code 2 Parametro Valore target Valorizzazione della penale Entro il giorno lavorativo successivo (next business day) dalla richiesta della stazione appaltante Entro n. 3 giorni lavorativi successivi dalla richiesta della stazione appaltante 300 Euro per ogni giorno lavorativo di ritardo 150 Euro per ogni giorno lavorativo di ritardo 9 di 9