1 Si richiede la descrizione degli obiettivi e delle politiche della Direzione ICT che ha emanato e che ha in progetto di emanare. 2 Si richiede di definire il perimetro d'applicazione del DLgs 196/2003 e la tipologia di dati da trattare. 3 Si richiede di specificare il dettaglio necessario alla comprensione dell'infrastruttura di sicurezza a supporto del contesto tecnologico descritto; nello specifico si richiede un riscontro in rapporto alle soluzioni di firewalling, NIDS o qualsiasi altra soluzione attualmente in uso a supporto dell'integrità dei sistemi in esercizio. 4 Si richiede di specificare il dettaglio delle soluzioni di sicurezza in campo a protezione degli ambienti server. 5 Si richiede di specificare i termini dell'attività di supporto all'aggiornamento del DPS. 6.1 Si richiede di indicare la responsabilità relativa alle attività di deployment delle funzionalità Antivirus/antispyware e personal firewall, e di specificare i termini dell'attività stessa. 7.1 Si richiede di specificare l'attuale stato di deployment della funzionalità di Antivirus/antispyware, rispetto alla flotta. Pag. 1
8.1 Si richiede di specificare la versione Symantec EPP attualmente in uso e la presenza di eventuali implementazioni da considerare in sede di update di versione. 9.1 Si richiede di confermare se l'implementazione della soluzione VDI prevede la migrazione in contemporanea delle licenze antivirus dalle PdL standard. 10.1.2 Si richiede di definire i livelli di priorità basati sui criteri d'impatto e urgenza della Direzione ICT. 11.1.2 Si richiede di comprendere le modalità d'interazione da remoto con le PdL 12.1.2 Si richiede di segnalare l'eventuale presenza di subset di PdL cne richiedono a priori l'effettuazione di interventi sul posto. 13.2 Si richiede di specificare il perimetro di applicazione delle normative vigenti. 14.2 Si richiede di indicare il dettaglio tecnologico della soluzione SIEM di correlazione eventi di sicurezza attualmente presente presso la Direzione ICT e il livello d'integrazione della stessa con le altre soluzioni di sicurezza in esercizio. Pag. 2
15 Si richiede di specificare se le due infrastrutture (Websense Security Gateway e Websense WebSecurity integrato con ISA) sono da considerarsi come due infrastrutture parallele e quindi entrambe attive. In caso affermativo si chiede di indicare se è necessario prevedere il mantenimento delle due linee di prodotto o se entrambe le funzionalità dovranno essere consolidate sulla medesima soluzione gateway proposta 16 Si richiede di specificare le funzionalità demandate alle singole soluzioni: Microsoft ISA Websense Web Security Websense Web Security Gateway 17 Si richiede di indicare se nell'ambito dell'attuale piattaforma Websense Security Gateway è in uso un meccanismo di autenticazione degli utenti. In caso affermativo si richiede di indicare se sono presenti limiti o requirement particolari in merito al protocollo di autenticazione. Si chiede inoltre di indicare se è possibile prevedere delle modifiche all'attuale sistema di autenticazione e di indicare quali browser devono essere supportati dall'architettura di autenticazione. 18 Si richiede di indicare se nel sistema in esercizio è attivo un servizio di filtro della navigazione basato sull'url del sito Web e sul contenuto dello stesso in termini di parole e testo e/o link embedded. Si chiede inoltre di specificare se deve essere previsto un meccanismo di categorizzazione in tempo reale dei siti con tecnologia 2.0. Pag. 3
19 Si richiede di indicare se nel sistema in esercizio sono attive delle policy di Filtro avanzate quali sistemi di abilitazione per fascia temporale, quote di tempo definite utilizzabile con gettoni di tempo o accesso a determinati siti dietro accettazione si policy di accesso. In caso affermativo si chiede se tali policy debbano essere mantenute nella nuova soluzione. 20 Si richiede di indicare se nel sistema in esercizio è presente un sistema di log della navigazione che permette di rendere anonimo l'accesso ai dati, pur consentendo la creazione di report e statiche in formato anonimo da parte degli operatori. In caso affermativo si chiede se tale sistema debba essere mantenuto anche nella nuova soluzione. 21 Si chiede di specificare se lo scanning delle transazioni https debba essere selettivo su base categoria. 22 Si chiede di specificare il numero di utenti concorrenti rispetto al totale delle utenze previste a fine contratto. 23 Si chiede di specificare l'eventuale spazio disco personale assegnabile per singolo utente La soluzione proposta sarà soggetta a valutazione. 24 Si chiede di specificare, ave possibile, la distribuzione delle postazioni che accederanno alla Virtual Desktop Infrastructure sulle sedi interessate. Pag. 4
25 Si richiede di specificare se il servizio Antivirus Gateway se è erogato dalla piattaforma attualmente in esercizio. In caso negativo si chiede di specificare da quale piattaforma è attualmente erogato. Pag. 5