Sistema Pubblico di Connettività Ing. Gaspare Ferraro Ten. Col. Renato Naro Roma 2 luglio 2008 AGENDA IL Cnipa: La RUPA e la RIPA SPC: Il quadro normativo SPC: Architettura generale Stato avanzamento lavori La sicurezza 2
Il Centro Nazionale per l Informatica nella Pubblica Amministrazione IL CNIPA opera presso la Presidenza del Consiglio dei Ministri per l attuazione delle politiche del Ministro per la Pubblica amministrazione e l'innovazione. ha l'obiettivo primario di dare supporto alla pubblica amministrazione nell'utilizzo efficace dell'informatica per migliorare la qualità dei servizi e contenere i costi dell azione amministrativa. 3 Il Centro Nazionale per l Informatica nella Pubblica Amministrazione 1993 Autorità per l'informatica nella Centro Tecnico per la pubblica rete Unitaria della PA 1998 amministrazione (CT - RUPA) (AIPA) 2003 (*) CNIPA (*) decreto legislativo 30 giugno 2003, n. 196, "Codice in materia di protezione dei dati personali", pubblicato sul supplemento ordinario n. 123 alla Gazzetta Ufficiale n. 174 del 29 luglio 2003 4
Organizzazione CNIPA Presidente AREE OPERATIVE IN STAFF COLLEGIO DEL CNIPA Ufficio Comunicazione Analisi strategica dei mercati ICT nazionali ed internazionali Pianificazione strategica Studi Legislativi Direttore Generale AREE OPERATIVE DIVISIONALI Piattaforme Applicative Infrastrutture e Centri Servizio Metodologie per la qualità e per l innovazione organizzativa Area Amministrazione centrale UFFICI PROGETTUALI Ufficio Regioni ed Enti Locali Ufficio P.A. per cittadini ed imprese Ufficio Sicurezza Tecnologie Innovative Ufficio Dematerializzazione Area Personale Area Funzionamento 5 RUPA Rete Unitaria delle Pubbliche Amministrazioni RUPA ha realizzato la Intranet delle singole PA e le ha interconnesse tra loro Un unico fornitore dei servizi di trasporto PathNet (Telecom Italia) Un unico fornitore dei servizi di interoperabilità di base EDS PA (EDS) Architettura della rete Unitaria 6
I numeri della RUPA 138 Clienti tra P.A. centrali, locali ed enti non obbligati 27.000 sedi della P.A. collegate, di cui 10.853 scuole in ADSL Banda aggregata di 52,5 Gbit/sec La spesa complessiva è stata di circa 130 milioni di Euro l anno 7 La rete internazionale (RIPA) Los Angeles Londra Roma Hong Kong Il partner è RTI EDS-Infonet (ora BT) Il contratto quadro, stipulato in data 23/12/2004, ha validità 5 anni. La sua scadenza è prevista per il 22/12/2009 8
La rete internazionale (RIPA) Sono in corso le attività per indire una nuova gara, visto l interesse per il progetto manifestato ad oggi al Cnipa dalle seguenti amministrazioni: Ministero Affari Esteri Ministero della Difesa Ministero della Salute Agenzia delle Dogane ENIT ICE Regione Toscana Regione Emilia Romagna Regione Abruzzo Provincia di Bolzano 9 RETE INTERNAZIONALE I SERVIZI SERVIZI DI BASE: Servizi di connettività IP ed Internet Servizi di Supporto (Gestione e Monitoraggio della Rete) SERVIZI OPZIONALI: Servizi di Quality of Service Servizi di Sicurezza SERVIZI A VALORE AGGIUNTO: Voice over IP, Videoconferenza, 10
Copertura geografica La rete internazionale (RIPA) ZONE: A ZONE: B ZONE: C N. America W. & E. Europe APAC Central & S. America Middle East & Africa 11 La rete internazionale (RIPA) Fornitore Ministero degli Affari Esteri ENIT Ministero della Difesa EDS/BT - Infonet Valore 20 mln Agenzia delle Dogane Attivazioni 361/355 19/19 70/70 5/5 Introduzione di nuovi servizi (in particolare Mobile Xpress e nuovi servizi VoIP) Revisione annuale dei prezzi (risultato 2007: -5,77%) 12
SPC: Il quadro normativo Il Decreto legislativo n. 82/2005 (CAD Codice della Amministrazione Digitale) definisce e regola il SPC Il SPC viene definito (art. 73 comma 2) come l insieme di infrastrutture tecnologiche e di regole tecniche, per lo sviluppo, la condivisione, l integrazione e la diffusione del patrimonio informativo e dei dati della pubblica amministrazione, necessarie per assicurare l interoperabilità di base ed evoluta e la cooperazione applicativa dei sistemi informatici e dei flussi informativi, garantendo la sicurezza, la riservatezza delle informazioni, nonché la salvaguardia e l autonomia del patrimonio informativo di ciascuna pubblica amministrazione 13 SPC: Il quadro normativo Il CAD regola e definisce: Ambito di applicazione Governance: Commissione di Coordinamento Ruolo del Cnipa Migrazione della Rete Unitaria della PA Regole tecniche e regolamenti 14
SPC: Ambito di applicazione Partecipazione al SPC (Art. 75 ) Al SPC partecipano tutte le Pubbliche Amministrazioni Centrali (PAC) e Territoriali (PAT), in particolare: Le PAC sono tenute a aderire al SPC e stipulare gli atti esecutivi dei contratti quadro con uno o più fornitori., individuati dal CNIPA Le PAT possono aderire stipulando gli atti esecutivi dei contratti quadro definiti dalle Regioni di appartenenza ovvero delcnipa. 15 SPC: Governance Commissione di coordinamento del SPC (Art. 79 e 80) Composizione: La Commissione è formata da diciassette componenti, incluso il Presidente; otto componenti sono nominati in rappresentanza delle amministrazioni statali previa deliberazione del Consiglio dei Ministri; otto componenti sono nominati su designazione della Conferenza unificata; Quando esamina questioni di interesse della rete internazionale della pubblica amministrazione la Commissione è integrata da un rappresentante del Ministero degli affari esteri, qualora non ne faccia già parte. 16
SPC: Governance Commissione di coordinamento del SPC (Art. 79 e 80) Compito: Curare gli indirizzi strategici del SPC, assicurando il raccordo tra le P.A. centrali e locali; Curare l evoluzione del modello organizzativo e dell architettura tecnologica del SPC; Definire i criteri per individuare i fornitori qualificati SPC e curare la gestione dei relativi elenchi; Verificare la qualità e la sicurezza dei servizi erogati. 17 SPC: Ruolo del CNIPA (Art. 81. ) Il CNIPA, nel rispetto delle decisioni e degli indirizzi forniti dalla Commissione, anche avvalendosi di soggetti terzi, gestisce le risorse condivise del SPC e le strutture operative preposte al controllo e supervisione delle stesse, per tutte le pubbliche amministrazioni di cui all articolo 2, comma 2. Il CNIPA, anche avvalendosi di soggetti terzi, cura la progettazione, la realizzazione, la gestione e l evoluzione del SPC per le amministrazioni di cui all articolo 1, comma 1, del decreto legislativo 12 febbraio 1993, n. 39. 18
SPC: Contratti quadro (Art. 81) 1. Al fine della realizzazione del SPC, il CNIPA a livello nazionale e le regioni nell ambito del proprio territorio, stipulano uno o più contratti-quadro con più fornitori per i servizi di cui all articolo 77, 2. Le amministrazioni di cui all articolo 1, comma 1, del decreto legislativo 12 febbraio 1993, n. 39, sono tenute a stipulare gli atti esecutivi dei contratti-quadro con uno o più fornitori di cui al comma 1, individuati dal CNIPA. Gli atti esecutivi non sono soggetti al parere del CNIPA e, ove previsto, del Consiglio di Stato. Le amministrazioni non ricomprese tra quelle di cui al citato articolo 1, comma 1, del decreto legislativo n. 39 del 1993, hanno facoltà di stipulare gli atti esecutivi di cui al presente articolo. 19 Migrazione RUPA verso SPC (Art. 84) Le amministrazioni di cui all articolo 1, comma 1, del decreto legislativo 12 febbraio 1993, n. 39, aderenti alla Rete unitaria della pubblica amministrazione, presentano al CNIPA, secondo le indicazioni da esso fornite, i piani di migrazione verso il SPC, da attuarsi entro diciotto mesi dalla data di approvazione del primo contratto quadro di cui all articolo 83, comma 1, termine di cessazione dell operatività della Rete unitaria della pubblica amministrazione 20
Regole Tecniche e di sicurezza (Art. 71) Con decreto del Presidente del Consiglio dei Ministri del 1 aprile 2008 sono state emanate le (Pubblicate sulla Gazzetta Ufficiale del 21 giugno 2008): Regole tecniche e di sicurezza per il funzionamento del Sistema Pubblico di Connettività Il DPCM definisce: Principi normativi; architettura ed evoluzione; specifiche per la realizzazione ed utilizzo dei servizi; requisiti generali per la sicurezza definizione della documentazione operativa certificazione dei servizi e qualificazione di componenti infrastrutturali. monitoraggio dei servizi Infrastrutture condivise SPC Amministrazioni Servizi Interoperabilità e Cooperazione Servizi Connettività S I c u r e z z a 21 Regolamento per la qualificazione dei fornitori SPC (Art. 87) Modalità di qualificazione dei Fornitori Requisiti minimi (Art. 82): a) disponibilità di adeguate infrastrutture e servizi di comunicazioni elettroniche; b) esperienza comprovata nell ambito della realizzazione, gestione ed evoluzione delle soluzioni di sicurezza informatica; c) possesso di adeguata rete commerciale e di assistenza tecnica; d) possesso di adeguati requisiti finanziari e patrimoniali, anche dimostrabili per il tramite di garanzie rilasciate da terzi qualificati. Tutti i fornitori qualificati saranno inscritti in appositi elenchi tenuti: a livello nazionale a cura del CNIPA a livello regionale a cura della regione competente per territorio Il Regolamento dovrà definire anche le modalità di certificazione dei servizi erogati dai fornitori qualificati 22
Architettura generale del SPC 23 RUPA LIMITI DELLA RUPA DA SUPERARE Unico fornitore (resilienza, mercato); Partecipazione limitata degli Enti locali. OBIETTIVI Aprire il mercato delle reti nella PA. Introdurre innovazione e resilienza - migliori servizi - nuovi usi - maggiori prestazioni - agli errori - ai guasti - agli attacchi Condividere il progetto con gli Enti locali, coinvolgendoli nella gestione 24
L architettura del SPC - Connettività Q-ISP Q-ISP 11 PA PA Q-ISP Q-ISP PA Nodo Q-ISP Q-ISP 22 PA PA Q-CN Q-CN PA PA Nodo QXN Nodo Q-ISP Q-ISP PA RIPA RIPA Q-ISP Q-ISP 44 PA PA 25 QXN Consente l interconnessione delle reti dei Fornitori Qualificati SPC, della Rete Internazionale, delle Community Network Regionali, delle reti di interesse nazionale e dei Centri Servizi (CG-SPC, NIV, SICA, ecc..). Rende possibile un sistema unico in grado di erogare servizi end to end alle PA garantendo elevati ed omogenei livelli di qualità, sicurezza ed affidabilità Architettura geograficamente distribuita con 2 nodi (RM-MI) Disponibilità = 99,99%, OWD<=20 ms, PL<=0,05% Servizi centralizzati di DNS e di NTP NOC e SOC attivi h24 x 365 giorni l anno 26
The Obvious Question Perchè non abbiamo usato Internet? Controllo della Qualità ISPs sono qualificati e sotto contratto Si ha la garanzia della QoS e della Banda end-toend Si conosce il percorso del traffico Si evitano le instabilità tipiche dei punti di scambio Il CNIPA decide le politiche di peering Queste non sono influenzate dalle politiche commerciali degli afferenti Il Peering è obbligatorio Internet è il backup naturale della QXN 27 Gli ambiti PA 1 Internet qualificata della PA Q-ISP1 QXN Q-ISP 2 PA n PA n PA n PA 1 PA 1 Intranet Internet Infranet Big Internet Intranet Infranet Internet Ambito che costituito connette dal tra dominio loro Ambito di le interazione interno singole alla tra singola amministrazioni le singole amministrazione amministrazioni sia che assegnate e gli connette utenti esterni allo tutte ad le stesso esse sedi della fornitore fruitori stessa dei che, servizi distribuite tramite erogati sul la territorio QXN, dalle stesse a fornitori diversi. Cittadino / Imprese
L architettura del SPC - connettività Commissione di coordinamento 2^ Gara CG-SPC Gara multifornitore 3^ Gara Hosting e gestione Messagistica e Coop. Appl. Q-ISP Q-ISP PA Soc. consortile Nodo Q-ISP Q-ISP 11 PA PA Q-ISP Q-ISP 22 PA PA 4^ Gara Centro Serv. Coop. Appl. Q-CN Q-CN PA PA RIPA RIPA Nodo Regole tecniche Regolamento per la qualificazione Q-ISP Q-ISP 44 PA PA Q-ISP Q-ISP PA PA 29 Gara Multifornitore Oggetto: servizi di connettività: servizi di trasporto, supporto, VOIP, interoperabilità di base, manutenzione ed assistenza; servizi di sicurezza: servizi di protezione dei dati e dei sistemi da usi non autorizzati, garantendo la disponibilità ed i livelli di servizio. Durata: 60 mesi, eventualmente estendibile per un massimo di ulteriori 48 mesi su richiesta del CNIPA Importo complessivo massimo : 1.200.000.000,00 (IVA esclusa) 30
Documentazione di gara Lettera di invito all. 1 Schema di presentazione offerta economica ; all. 2 Schema di Contratto Quadro OPA e suoi allegati: Quadro introduttivo alla gara multifornitore del SPC (all. 2a); Capitolato tecnico (all. 2b); Livelli di servizio e penali OPA (all. 2c); Prezzi unitari dei singoli servizi e file prezzi.xls (all. 2d); Schema di Contratto esecutivo OPA (all. 2e); all. 3 Schema di Contratto Quadro OPO e suoi allegati: Livelli di servizio e penali OPO (all. 3a); Schema di Contratto esecutivo OPO (all. 3b); all. 4 Schema di Contratto per la realizzazione e gestione della QXN e suoi allegati. Detti allegati saranno inviati successivamente alle unità concorrenti (entro il 9.9.2005) e concernono: Statuto della società consortile (all. 4a); Accordo parasociale (all. 4b); all. 5 Definizioni e acronimi ; all. 6 Sedi Amministrazioni ed Enti di cui all art. 1 comma 1 d.lgs. n. 39/1993 aderenti alla RUPA e suo allegato: Sedi delle Scuole (all. 6a); all. 7 Sedi altre Amministrazioni ed Enti aderenti alla RUPA ; all. 8 Verifiche sulla capacità di erogare i servizi di connettività OPO ; 31 Modello di gara OBBIETTIVI Più fornitori (almeno due); Stessi servizi agli stessi prezzi; Avere competizione per abbattere i prezzi. VARIABILI PRINCIPALI Prezzo più vantaggioso o prezzo più basso? Dividere la fornitura in parti uguali o diverse? 32
Dimensione della parte 70% 60% 50% 40% 30% 20% 10% 0% Suddivisione in parti: aggiudicazione 100 FW BT Wind TI Tis 90 80 85 80 70 70 60 60 50 50 50 50 50 1^ parte 2^ parte 3^ parte 4^ parte Il fornitore che ha offerto il PMP più basso si è aggiudicato la parte più grande. Le successive parti sono state assegnate agli altri partecipanti alla gara, in funzione della graduatoria che si è venuta a determinare; 40 30 20 10 0 PMP offerto 33 Suddivisione in parti: dimensione Fatto 100 il valore complessivo della fornitura, sono state individuate parti di dimensioni differenti. Il numero delle parti è superiore di almeno una unità rispetto al numero dei partecipanti ammessi alla gara e comunque non superiore a quattro. Valore economico delle parti N assegnatari 1^ parte 2^ parte 3^ parte 4^ parte 2 70% 30% - - 3 65% 25% 10% - 4 60% 25% 10% 5% 34
Aggiudicazione: Prezzo Medio Ponderato Listino prezzi Matrice dei pesi Servizi IP IP HQ 2Mbps k k IP HQ 100 Mbps z Servizi Internet Accesso 2Mbps J J Servizi Sicurezza Firewall Y x Servizi IP IP HQ 2Mbps 0,5 IP HQ 100 Mbps 0,3 Servizi Internet Accesso 2Mbps 0,7 Servizi Sicurezza Firewall 0,2 = PMP Ogni singola voce di prezzo, moltiplicata per un peso proporzionale alla quantità stimata di utilizzo da parte delle Amministrazioni, ha determinato il Prezzo Medio Ponderato (PMP) del fornitore; 35 Servizi di trasporto always on Componente Di Accesso (CdA): Banda Massima in Accesso Terminazione di rete Livello di affidabilità Componente di Trasporto (CdT): Ambito Classe di Servizio Banda Garantita in Accesso o Banda Garantita End-To-End 36
Livelli di servizio Livelli di Affidabilità Parametro Disponibilità unitaria Tempo di ripristino Finestra di erogazione L1 L2 L3 L4 L5 95% 95% 99,5% Base Standard Standard Veloce Veloce Standard Standard / Estesa Standard / Estesa 99,5% 99,99% Standard / Estesa Estesa 37 Classi di servizio Ritardo di trasferimento round trip (RTD) o one-way (OWD) Tasso di perdita dei pacchetti Jitter (OWD) IP Best Effort RTD < 500 ms < 5% - IP Mission Critical RTD < 100 ms < 0,1% - IP Streaming OWD < 400 ms < 0,5% 250 ms IP Real time OWD < 40 ms < 0,1% 10 ms 38
Servizi di sicurezza Firewall management; Network Intrusion Detection; Event & log management; Antivirus & content filtering management; VPN management; Hardening dei sistemi; NAT management; Host Intrusion Detection System (HIDS) man.; Vulnerability assessment; Manutenzione e assistenza (SOC, Call Center, foult man., conf & change man.; rendicontazione, supporto sistemistico, consulenza e formazione) 39 L architettura del SPC - Connettività CG-SPC Gara multifornitore Q-ISP Q-ISP 11 PA PA Q-ISP Q-ISP PA Nodo Q-ISP Q-ISP 22 PA PA Q-CN Q-CN PA PA Nodo QXN Nodo Q-ISP Q-ISP PA RIPA RIPA Q-ISP Q-ISP 44 PA PA 40
IL Centro Gestione SPC (CG-SPC) Il CG-SPC supporta il CNIPA nello svolgimento delle attività operative di governo e controllo connesse all esercizio del SPC; con particolare riferimento a: Il collaudo è stato completato ed il CG-SPC ha iniziato a svolgere le sue funzioni. A breve le PA potranno beneficiare della sua attività di gestione e controllo. 41 CG-SPC: il Portale 42
Il controllo della qualità Punteggio globale di qualità CG-SPC Qualificazione, certificazione, monitoraggio di 3^ parte 43 L architettura del SPC - Connettività NIV-SPC CG-SPC Gara multifornitore Q-ISP Q-ISP 11 PA PA Q-ISP Q-ISP PA Nodo Q-ISP Q-ISP 22 PA PA Q-CN Q-CN PA PA Nodo QXN Nodo Q-ISP Q-ISP PA RIPA RIPA Q-ISP Q-ISP 44 PA PA 44
Nodo di interconnessione VoIP La Finanziaria 2008 al comma 591 ha inserito l obbligatorietà, per le amministrazioni, a decorrere dal 1º gennaio 2008 e comunque a partire dalla scadenza dei contratti relativi ai servizi di fonia in corso alla data predetta ad utilizzare i servizi "Voce tramite protocollo Internet" (VoIP) previsti dal Sistema pubblico di connettivita` o da analoghe convenzioni stipulate da CONSIP Il Cnipa ha stimato, in prima approssimazione, in 120 M.ni il risparmio per anno, per la PAC a processo di migrazione ultimato. 45 Nodo di interconnessione VoIP PSTN Nodo d interconnessione VoIP (NIV) PSTN gateway softswitch Carrier @QXN Carrier@ QXN 46
Stato dell arte 47 Stato dell arte: Accordi e contratti stipulati Il Cnipa ha completato in due anni il percorso delle gare SPC con la sottoscrizione : dell accordo quadro per la realizzazione e gestione della rete internazionale dell accordo quadro per la realizzazione e gestione della rete nazionale multifornitore del contratto per la realizzazione della QXN del contratto per la realizzazione del Centro di gestione del contratto per il Nodo di interconnessione VoIP dell accordo quadro per l affidamento della progettazione, realizzazione e gestione di servizi di siti web e conduzione sistemi dell accordo quadro per l affidamento della progettazione, realizzazione gestione di servizi di interoperabilita evoluta, cooperazione e sicurezza applicativa del contratto per il Centro Servizi di interoperabilità e cooperazione applicativa (SICA) 48
Stato dell arte: Migrazione RUPA-SPC Big Internet PA-1 PA-3 PA-2 PA-4 QXN Fornitore-1 Fornitore-2 RUPA Intranet Infranet Internet 49 PA Centrali Banda aggregata: 70 Gbps Valore dei Progetti dei Fabbisogni (sola connettività): 54 mln Numero di accessi: 8.730 più oltre 5.000/11.000 per le scuole Contratti firmati Numero Accessi 27 3.470 12 2.669 14 1.737 7 854 60 8.730 50
Stato adesioni SPC per le PAC Amministrazioni assegnate a Fastweb /EDS : Cnipa, Consip, CdC, Enac, Enpals, EIM; GDF, Inail, Ingv, Inps, Ipost, MEF (Dip. Politiche Fiscali, Ag. Dogane, Ag. Territorio, Ag. Entrate, Ag. Demanio), MAE, Min. Comunicazioni, Min. PI, PCM (Prot. Civile, Uf. Serv. Naz. Civ., SSPA). Amministrazioni assegnate a BT-Italia: Apat, Agea, CC, ICE, Inea, Comm. Intern., Min. Ambiente, Min. Difesa, Min. Giustizia, Min. PAAF, CFS. Amministrazioni assegnate a WIND: Ages, Avlp, Ags, CRI, IIMS, Ipsema, Min. Infrastrutture e Trasporti, Min. Lavoro e Salute, MiBac, AAMS, Notartel Amministrazioni assegnate a TI: ACI, CdS, Inpdap, Istat, Min. Sviluppo Economico, Min. Interno PA Territoriali Contratti SPC sottoscritti con le PAT: oltre 300 Accessi IP acquisiti dai fornitori SPC: oltre 1.300 Banda acquistata: 5 Gbps Valore dei Progetti: oltre 8 mln 52
Accordi Regionali Protocolli di intesa I Protocolli d Intesa (previsti dalle Regole Tecniche dell SPC di cui al CAD) definiscono le azioni da intraprendere per consentire alle reti regionali di interconnettersi, di interoperare e di cooperare con tutte le altre Amministrazioni in SPC. In particolare contengono: Misure di Governance delle componenti del SPC (aspetti generali e relativi alla sicurezza) Misure per l integrazione delle componenti del SPC (interazione con le infrastrutture di connettività e con il CG-SPC ed il NIV-SPC) Misure per il mutuo scambio del know-how 53 Accordi Regionali Modelli di interconnessione L ingresso delle reti regionali nel SPC può avvenire secondo 3 modelli principali: Q-ISP PAT PAT Rete regionale QXN Q-ISP PAT PAT Rete regionale Rete regionale PAT PAT 1. Utilizzo di un Q-ISP per la 2. Realizzazione in proprio realizzazione della rete della rete regionale e dei regionale servizi, collegamento alla QXN/Infranet tramite un Q-ISP 3. Collegamento alla QXN secondo le medesime modalità di un Q-ISP 54
Accordi Regionali Situazione In data 18/12/2007 sono stati approvati dalla Commissione di Coordinamento i primi protocolli d Intesa con: Emilia Romagna, Toscana e Umbria I protocolli d intesa si differenziano per tenere conto delle differenti scelte compiute dalle Regioni in merito alla realizzazione dell SPC. In particolare il PI con la Regione Umbria tiene conto della scelta di detto Ente di aderire ai CQ stipulati dal CNIPA mentre il PI per la Regione Toscana prevede una soluzione specifica per le Regioni che hanno implementato soluzioni particolari. 55 Accordi Regionali Situazione Sono in avanzato stato di perfezionamento i protocolli con le restanti Regioni. In particolare, sono stati definiti e sono in attesa di approvazione da parte della Commissione di Coordinamento i Protocolli d Intesa con: a) la Regione Friuli Venezia Giulia; b) la Regione Campania; c) la Regione Puglia. Mentre sono in fase di definizione i Protocolli d Intesa con: a)la Regione Valle d Aosta; b)la Regione Piemonte; c)la Regione Lombardia d)la Regione Marche; e)la Regione Lazio; f)la Regione Calabria. 56
Risparmi Nel periodo 2004 2007 si è ottenuta una forte riduzione dei costi pur raddoppiando la banda configurata Le spese per i servizi di connettività, per la sola PAC, si riducono dai 130 milioni di del 2004 a circa 54 milioni di nel 2007 La banda configurata, in corrispondenza, passa da 30 ad oltre 70 Gbit Servizi di connettività (milioni di /anno) 150 100 50 0 RUPA Risorse liberate per nuovi servizi SPC 2004 2007 fonte: Analisi CNIPA 57 Vantaggi non immediatamente monetizzabili Approvvigionamento senza gara, basta aderire Servizi collaudati in piattaforma di test bed, doc. a disposizione Misure dirette ed indirette di terza parte Introduzione di nuovi servizi Listino decrescente + revisione prezzi per l anno 2009 Supporto del CNIPA nella gestione del contratto Si entra a far parte dell Infranet della PA italiana 58
Servizi di hosting e gestione RTI Telecom Italia, Datamat, Elsag, Engineering 3 a gara: interoperabilità evoluta e cooperazione applicativa Servizi di messaggistica, cooperazione e sicurezza applicativa RTI EDS Italia Almaviva Hosting Hosting di siti web Servizi di redazione per siti web Adattamento delle applicazioni in modalità web Messaggistica Posta elettronica (esclusiva, Certificata) Archiving Unified messaging Gestione Supporto Gestione e conduzione di sistemi: lan postazioni di lavoro server applicazioni Call-center tecnico Risorse professionali Cooperazione applicativa Sicurezza applicativa Porta di dominio Integrazione applicativa Composizione e coordinamento di servizi Identity & Access management Firewall applicativo Security Assessment Supporto Risorse professionali 59 59 I servizi di interoperabilità evoluta Modalità di adesione ai servizi di gara - Approntamento del Piano dei Fabbisogni - Stipula contratto esecutivo - Progetto di attivazione - Realizzazione Servizi - Collaudi
Il Centro Servizi Ciascun lotto prevede l attivazione di un Centro Servizi con le seguenti caratteristiche: è realizzato presso Centri Servizi preesistenti ricavando un area per la PA garantendo sicurezza fisica, logica ed organizzativa connessione ad SPC attraverso due diversi QISP connessione ad Internet attraverso due diversi QISP collegamenti ad SPC ed a Internet a carico dell aggiudicatario piano della Sicurezza help desk di primo e secondo livello controllo dei livelli di servizio rendicontazione sull utilizzo dei servizi Il Centro Servizi Lotto 1 Dislocato su tre sedi sul territorio nazionale presso Roma, Pomezia, Milano L insieme delle tre sedi costituirà un unico data center virtuale ai fini della gestione dei siti web di grandi dimensioni, per le componenti di help desk e di gestione della sicurezza Lotto 2 Dislocato su due sedi in area metropolitana del comune di Roma (Via Marchetti, Via degli Estensi) Attraverso le due sedi garantisce la continuità operativa per alcuni servizi che richiedono caratteristiche di elevata affidabilità
4 gara centro servizi per la cooperazione Centro Servizi di cooperazione applicativa RTI IBM Italia, Sistemi Informativi Servizi di infrastruttura (SICA) Registro di servizi Indici di soggetti Catalogo di schemi Sicurezza (servizi di certificazione, tracciatura) Assegnazione e gestione nomi Supporto alla qualificazione Porta di dominio campione Qualificazione SICA secondari Controllo e gestione Monitoraggio, gestione e sicurezza interna del Centro servizi 63 63 Sicurezza
Modello sicurezza SPC GOVERNANCE ORGANIZZAZIONE Sicurezza della rete e gestione degli incidenti Gestione dell identità e degli accessi Sicurezza fisica Sicurezza dei dati e delle transazioni Sicurezza delle applicazioni Sicurezza del personale LEGGI, REGOLAMENTI, CONTRATTI, LINEE GUIDA 65 Organizzazione della Sicurezza CERT-SPC Report incidenti Commissione di Coordinamento-SPC Piani di risposta agli incidenti Gestore Schema Responsabile Politiche qualificazione linee sicurezza SPC e guida direttive Elenco Attività trasversali Sicurezza Connettività Unità Sicurezza Misure e TPM SPC procedure Responsabile operativo locale Sicurezza SPC Abusedesk Responsabile operativo Certificati PKI digitali Gestore tecnico PKI CG-SPC IRT CG-SIC QXN PA-n Unità Locale Sicurezza SPC Responsabile operativo locale Sicurezza SPC Abusedesk NOC-QXN SOC NIV-SPC Report Fornitori Qualità servizio Responsabile operativo locale Sicurezza SPC Abusedesk NOC-Fornitori SOC Servizi di connettività e sicurezza CERT Centro di gestione della sicurezza presso il CG- SPC Fornitori dotati di SOC Unità locali di sicurezza presso ogni PA Definite 10 famiglie di servizi di sicurezza Previsti servizi minimi obbligatori 66
Le attività del CERT-SPC Prevenzione Monitoraggio Prima Attività preventiva Monitoraggio fonti Early warning Risorse per l incident management Gestione Raccolta Dati Durante Attività operativa Coordinamento Conservazione e tracciamento dati Analisi incidenti Dopo Attività strategica Statistiche Supporto alla Commissione 67 Unità Locale di Sicurezza della PAC ULS PAC Responsabile locale sicurezza SPC Responsabile operativo locale sicurezza SPC Abuse Desk Gruppo di prevenzione e gestione incidenti Coordinata dal Responsabile locale Sicurezza SPC che rappresenta la principale interfaccia verso le altre strutture organizzative del SPC. Al Responsabile operativo locale Sicurezza compete la responsabilità delle attività operative. Abuse Desk è il punto di contatto per la gestione degli incidenti informatici e più in generale degli abusi. Al gruppo di prevenzione e gestione degli incidenti competono le attività operative. 68
Community della sicurezza SPC La componente distribuita di sicurezza: le ULS SPC I compiti assegnati alle ULS-SPC garantire la realizzazione ed il mantenimento almeno del livello minimo di sicurezza sul domino di competenza; garantire che la politica di sicurezza presso la propria organizzazione sia conforme agli indirizzi e alle politiche di sicurezza emesse dalla Commissione; interagire con la componente centrale per raccogliere, aggregare e predisporre nel formato richiesto le informazioni necessarie per verificare il livello di sicurezza del SPC; notificare alla componente centrale ed al CERT-SPC-C, secondo le modalità stabilite, eventuali incidenti informatici o situazioni di attenzione o vulnerabilità; adottare tutte quelle contromisure volte a limitare il rischio di attacchi informatici vecchi o nuovi; eliminare eventuali vulnerabilità all interno della rete, individuate a seguito di segnalazioni di abuso causate da sistemi o infrastrutture della pubblica amministrazione violati dall esterno e successivamente utilizzati per condurre illeciti. 69 Community della sicurezza SPC Il 18 dicembre 2007 si è costituita la comunità della sicurezza SPC, nel corso di un incontro presso il CNIPA cui hanno preso parte i rappresentanti: di 40 amministrazioni centrali; dei 4 fornitori e della QXN; del Centro di Gestione SPC. A partire da quella data è stato avviata la creazione dell Archivio dei Referenti, mediante: censimento dei referenti (per Resp.Sic, R-ULS e S-ULS) richiesta di creazione di caselle dedicate all operatività delle ULS Ad oggi sono patrimonio comune della community: La classificazione degli incidenti ICT; Il processo di gestione degli incidenti di sicurezza ICT; La prevenzione e gestione informativa degli incidenti informatici effettuate dal CERT-SPC; Il progetto pilota CNIPA e la Consip per la definizione dei processi di interazione tra il CERT-SPC e le Unità locali di Sicurezza (ULS). 70
Qualificazione CATEGORIE 1. Malware 2. Intrusioni informatiche 3. Compromissione di dati 4. Denial of service 5. Sabotaggio, furto e danneggiamento 6. Abuso di sistemi & servizi 7. Violazione di policy 8. Violazione di leggi 9. Fingerprinting 10. Tentativi di intrusione FONTE ULS, SOC, CG-SIC, CERT, Fonte esterna TARGET Interno: Amm, Infranet Esterno: Italia, Europa, TIPOLOGIA 1. Attacchi riusciti che producono danni diretti o indiretti 2. Prodromi di un attacco. N.B. gli incidenti di tipo 2 vengono registrati solo a fini statistici SEVERITA 1. alto 2. medio 3. basso 4. non attribuibile Community della sicurezza SPC Le Risorse per l Incident Management: RIM La suite RIM rientra nelle iniziative volte a realizzare applicazioni ad alto valore aggiunto nell ambito del programma di e-government ed è stata progettata per mettere a fattor comune le specifiche esperienze di CNIPA e CONSIP. Lo scopo è quello di far agire l intero sistema informatico pubblico come un unica squadra, non solo condividendo informazioni e strategie e strumenti di sicurezza, ma anche implementando a loro volta le applicazioni per adeguarle a nuovi scenari. Per consentire una totale portabilità delle soluzioni, a prescindere dall hardware e dai sistemi applicativi utilizzati dagli utenti, la suite RIM è stata realizzata da CNIPA e CONSIP con la tecnica della virtual appliance, ossia della virtualizzazione di un ambiente preconfigurato (sistema operativo ed applicazioni open source), per consentirne l immediato impiego nel singolo ambiente di esercizio. In questo modo è stato possibile realizzare un dvd, che contiene tutto l ambiente virtuale realizzato e che può essere utilizzato semplicemente su qualunque server. 72