CAPITOLATO TECNICO Servizi prfessinali vlti ad analizzare la sicurezza infrmatica dei Sistemi Infrmativi delle Scietà del Grupp Ferrvie dell Stat
INDICE 1. Premessa e biettivi... 3 2. Oggett... 4 3. Glssari... 5 4. Servizi prfessinali... 7 4.1 Vulnerability Assessment & Penetratin Test 7 4.1.1 Fasi delle attività di VA / PT 9 4.1.2 Dcumentazine a crred delle attività di Vulnerability Assessment 9 4.1.3 Dcumentazine a crred delle attività di Penetratin Test 10 4.2 Analisi del cdice srgente per l individuazine delle vulnerabilità12 4.2.1 Dcumentazine a crred delle attività di analisi del cdice 12 4.3 Audit di prcessi, prcedure e metdlgie 14 4.3.1 Dcumentazine a crred delle attività di audit 14 4.4 Cmpsizine dei team prfessinali per le attività 15 4.4.1 Prject Manager 16 4.4.2 Team per Vulnerability Assessment & Penetratin Test 16 4.4.3 Team per l analisi del cdice srgente 17 4.4.4 Team per gli audit di sicurezza 18 pag. 2
1. PREMESSA E OBIETTIVI L infrastruttura tecnlgica e infrmatica delle Scietà del Grupp Ferrvie dell Stat (nel seguit Grupp FS) erga servizi di estrema rilevanza. Pertant l biettiv della Gara a cui è anness il presente Capitlat Tecnic, è quell di individuare un Impresa in grad di ergare servizi prfessinali di elevat prfil, in grad di analizzare la sicurezza infrmatica dei sistemi infrmativi delle Scietà del Grupp FS e frmulare adeguate sluzini e prcedure in grad di elevare i livelli di sicurezza dei Sistemi. pag. 3
2. OGGETTO Il presente Capitlat ha ad ggett l ergazine di servizi prfessinali effettuati da n. 3 (tre) Team di Lavr strutturati crdinati da n. 1 (un) Prject Manager: 1. Team per Vulnerability Assesment / Penetratin Test, 2. Team per Analisi del cdice srgente, 3. Team per Audit di sicurezza. nei seguenti 4 (quattr) ambiti di attività: 1) Vulnerability Assesment: identificare le vulnerabilità infrmatiche presenti nei sistemi infrmativi/infrmatici e redigere piani di rientr e di mitigazine del rischi. 2) Penetratin Test & simulazine/effettuazine di attacchi infrmatici: Effettuare attacchi mirati ai sistemi, nde prdurre dettagliati reprt su ciò che è stat identificat e sviluppare piani di rientr cn metdlgie di mercat e tempistiche di massima; 3) Analisi del cdice srgente: frnire servizi di analisi del cdice srgente vlti all identificazine di vulnerabilità infrmatiche. 4) Audit di metdlgie, prcedure e prcessi: analizzare prcedure, prcessi e metdlgie al fine di: a. valutarne l efficienza e l efficacia per quell che cncerne la sicurezza ICT, b. verificarne la rispndenza cn standard di riferiment, c. prdurre piani di rientr mirati. pag. 4
3. GLOSSARIO Di seguit si frnisce un glssari dei principali termini utilizzati nel presente dcument e del significat a lr attribuit: VA/PT DS -Denial f Service DDS Distributed Denial f Service Vulnerability Assessment & Penetratin Test Si tratta di un attacc che una macchina prta ad un altra facendle cnsumare le risrse a dispsizine in md che nn ne restin per gli utenti reglari. In generale si fa in md che la macchina biettiv venga smmersa da richieste fasulle che la cstringn ad allcare memria tempraneamente. Se queste richieste giungn in numer sufficiente da esaurire le risrse, quelle che prvengn dall'utenza nn ptrann essere sddisfatte. A differenza del DS, in quest cas l'attacc viene prtat da piu' macchine (chiamate in genere zmbie) in cntempranea cntr un singl bersagli. Il risultat, in quest cas, e' il cnsum della banda a dispsizine della macchina/vittima in md tale che le richieste di utenti leciti nn pssan essere sddisfatte. OWASP- Open Web Applicatin Security Prject LAN- Lcal Area Netwrk Deliverable Milestne Template KPI Key Perfrmance Indicatrs Seven Pernicius Kingdm ISECOM È un prgett il cui scp è quell di raccgliere e distribuire dcumenti, metdlgie, strumenti e tecnlgie vtate all svilupp ed alla gestine sicura delle applicazini web. Reti lcali di interscambi dati Dcument prdtt cme risultat di un attività di prgett. utilizzat nella pianificazine e gestine di prgetti cmplessi per indicare il raggiungiment di biettivi stabiliti in fase di definizine del prgett stess. Un dcument prgramma dve, cme in un fgli semicmpilat cartace, su una struttura generica standard esistn spazi tempraneamente "bianchi" da riempire successivamente (template). Sn indici che mnitran l'andament di un prcess aziendale. Metdlgie di classificazine delle vulnerabilità infrmatiche del cdice srgente. Institute fr Security and Open Methdlgies fndata da Pete Herzg nel 2001 cn una filsfia rientata all pen surce, n prfit e vendr indipendet. Il su biettiv primari è la diffusine della cnsapevlezza della sicurezza. pag. 5
OSSTMM OPSA OPST OPSE OWSE (ISC) 2 CISSP CSSLP ISACA CISM CISA PMI PMP PRINCE2 Open Surce Security Testing Methdlgy Manual. È la metdlgia di riferiment per l esecuzine e misurazine delle verifiche tecniche di sicurezza. OSSTMM Prfessinal Security Analyst. OSSTMM Prfessinal Security Tester OSSTMM Prfessinal Security Expert OSSTMM Wireless Security Expert Internatinal Infrmatin System Security Certificatin Cnsrtium. Certified Infrmatin Systems Security Prfessinal Certified Secure Sftware Lifecycle Prfessinal. Infrmatin Systems Audit and Cntrl Assciatin Certified Infrmatin Security Manager Certified Infrmatin Systems Auditr Prject Management Institute Prject Management Prfessinal - certificazine di prject management rilascita dal Prject Management Institute (PMI). (Prjects IN Cntrlled Envirnment) certificazine di prject management. pag. 6
4. SERVIZI PROFESSIONALI 4.1 Vulnerability Assessment & Penetratin Test L Impresa si impegna ad effettuare delle attività di Vulnerability Assessment & Penetratin Test aventi le caratteristiche stt espste. L Impresa dvrà essere in grad di effettuare l attività agend direttamente dalla sede dell azienda del Grupp FS interessata da VA/PT dalla prpria sede. L ubicazine del test verrà cncrdata di vlta in vlta cn la singla Scietà del Grupp. L Impresa dvrà dare la dispnibilità ad effettuare le attività in rari cmpatibili cn l esercizi dei target, vver anche in rari ntturni e/ extra lavrativi. Sarà richiesta all Impresa la registrazine cmpleta di tutte le attività ggett delle analisi di VA/PT. L Impresa dvrà essere in grad di effettuare, durante la fase di PT, attacchi da internet dalla intranet di tiplgia DDS DS. Questi attacchi ptrann essere di tre nature principali: Saturazine delle risrse di rete. Saturazine delle risrse cmputazinali e prestazinali dei target. Mist delle due pzini spra citate. Per quell che cncerne gli attacchi Ds e DDS effettuati da internet si richiede di frnire una banda aggregata almen di almen 50 MBit/sec. Il servizi Vulnerability Assessment dvrà essere ergat tramite l impieg di strumenti aggirnati cn le infrmazini relative a vulnerabilità e minacce più recenti (l scart massim tra infrmazini presenti sul sistema di Vulnerability Assessement e vulnerabilità nte deve essere di 10 girni), che tengan in cnsiderazine la lcalizzazine prevalente dei sistemi in esercizi: italian e inglese. Il servizi deve prevedere la prduzine di reprt che frniscan indicazini circa l andament dell stat di sicurezza per ciascun sistema analizzat. Il servizi di Vulnerability Assessment deve essere ergat in md tale da garantire che i dati e le infrmazini acquisite durante l esecuzine delle attività, rimangan cnfinati all intern di un area indicata nel perimetr di rete del Grupp FS. Le infrmazini ed i dati acquisiti dvrann essere cnservati utilizzand delle tecniche di custdia che prevedan l impieg di crittgrafia frte (3DES, AES, e simili). Il servizi di Penetratin Test dvrà essere ergat tramite l impieg di strumenti che cnsentan di ricstruire le attività effettuate nel crs delle simulazini d attacc. Il pag. 7
servizi ptrà essere ergat, secnd le mdalità cncrdate nella fase di start-up, sia in mdalità remta che in mdalità n-site. I dati e le infrmazini acquisite durante l esecuzine delle attività devn essere cnservati e/ inviati utilizzand tecniche di custdia che prevedan l impieg di crittgrafia frte (3DES, AES, e simili). Le infrmazini ed i dati acquisiti devn essere custditi dall Impresa sl per il temp strettamente necessari alla redazine del reprt cnclusiv dell attività, e cmunque nn ltre i 40 girni slari dalla lr acquisizine. Le vulnerabilità individuate nel crs dell ergazine dei servizi di Vulnerability Assessment e Penetratin Test, dvrann essere classificate per mezz della metdlgia CVSS 2. È pssibile utilizzare anche altri standard di classificazine delle vulnerabilità, purché sian cncrdati preventivamente cn il persnale del Grupp FS. I servizi di Vulnerability Assessment e Penetratin Test devn essere ergati garantend la cntinuità perativa dei sistemi, servizi e infrastrutture ggett di test. Nel cas in cui le simulazini d attacc cmprtin disservizi danneggiamenti, l Impresa dvrà prvvedere ad evidenziarne preventivamente l impatt al persnale del Grupp FS, il quale prvvederà ad autrizzare men la prsecuzine dell attacc, pianificand eventualmente il ferm il disservizi prgrammat. Il persnale del Grupp FS ptrà partecipare alle attività effettuate nell ambit dell ergazine dei servizi di Vulnerability Assessment e Penetratin Test in qualità di sservatre. Il persnale del Grupp FS dvrà avere access in sla lettura alle infrmazini presenti sul sistema di Vulnerability Assessment, e sulle infrmazini acquisite nel crs delle attività di Penetratin Test. L Impresa dvrà effettuare le attività secnd le best practice internazinali, cn particlare attenzine alle metdlgie OSSTMM e OWASP. L Impresa dvrà avere cmpetenze in ambienti SCADA. A frnte della richiesta da parte una Scietà del Grupp FS, l Impresa si mbilita mettend a dispsizine il team descritt al paragraf 3.3.1. che in cncert cn il referente dell Azienda definisce: Perimetr dell attività, Target di riferiment, Tempistica, Metdlgia utilizzata. pag. 8
4.1.1 Fasi delle attività di VA / PT Ogni attività di VA/PT, dvrà essere crredata da un attività di prgettazine e relativ diagramma di GANTT particlareggiat. Avrà - al minim - le seguenti macr fasi: 1) Riunine di apertura di presentazine dell attività cn relativa frmazine dei referenti delle Scietà del Grupp FS riguard le azini da prre in essere entr e nn ltre 5 girni lavrativi dalla richiesta della Scietà del Grupp; 2) Prduzine del GANTT cntenente le attività pianificate entr e nn ltre 3 girni lavrativi dalla data del kick-ff di cui al punt 1. 3) Inizi del Vulnerability assessment entr e nn ltre 7 girni lavrativi dall apprvazine del GANTT di cui al punt 2; 4) Presentazine dei risultati del vulnerability assessment che indichi un pian di rientr di massima e, ve pssibile, di dettagli; 5) Qualificazine degli biettivi del PT a frnte di quant scpert dal VA; 6) Effettuazine del PT, a. Effettuazine dei test DDS/DS se pianificati dal Cmmittente; 7) Presentazine dei risultati del PT cn prpste di piani di rientr ed eventuali fllwup. Entr 7 girni lavrativi dal termine di gni sessine di Vulnerability Assessment e Penetratin Test, dvrà essere prdtta la dcumentazine a crred delle attività csì cme descritta nei paragrafi seguenti. 4.1.2 Dcumentazine a crred delle attività di Vulnerability Assessment Al termine di ciascuna sessine di Vulnerability Assessment dvrann essere prdtti tre dcumenti: 1. l executive summary, 2. il reprt di dettagli delle vulnerabilità individuate, 3. il pian di rientr. 1) L executive summary deve illustrare brevemente cn un linguaggi nn tecnic le vulnerabilità individuate sul perimetr d analisi, frnend al management di riferiment le infrmazini necessarie per: evincere l andament delle vulnerabilità nella stria delle attività effettuate sui sistemi ggett di analisi; valutare rispett alle attività pregresse, il livell di rischi dei sistemi, dei servizi e delle infrastrutture analizzate; pag. 9
pianificare, priritizzare e crdinare gli interventi crrettivi da attuare sui sistemi, sui servizi e sulle infrastrutture analizzate a frnte degli indici riprtati nel dcument. 2) Reprt di dettagli delle vulnerabilità individuate deve illustrare, per ciascuna delle vulnerabilità individuate, almen: la descrizine della vulnerabilità individuata e la relativa classificazine in cnfrmità di standard di riliev internazinale quale Cmmn Weakness Enumeratin (CWE), Open Web Applicatin Security Prject (OWASP) e simili. L standard di riferiment adttat deve essere indicat all intern del reprt; la valutazine della vulnerabilità sul sistema, calclat per mezz del sistema di rating CVSS 2 ( altr preventivamente cncrdat cl persnale della Scietà del Grupp FS cinvlta); la prva dell esistenza della vulnerabilità le infrmazini particlareggiate che ne hann res pssibile la deduzine; le mdalità, le indicazini, gli strumenti ed i passi necessari da attuare per la verifica manuale della vulnerabilità individuata; le mdalità di risluzine le tecniche di mitigazine della vulnerabilità individuata; eventuali scenari presenti di mitigazine delle vulnerabilità. 3) Il pian di rientr deve indicare, per ciascuna vulnerabilità individuata almen le mdalità per sanarla e le best practice per fare in md che altri sistemi, in futur, pssan esserne esentati. Qualra richiest il reprt deve cntenere una matrice di rispndenza fra la vulnerabilità ed il cntrll dell Annex A della nrma ISO/IEC 27001:06 impattat. 4.1.3 Dcumentazine a crred delle attività di Penetratin Test Al termine di ciascuna sessine di Penetratin Test, qualra effettuata, dvrann essere prdtti tre dcumenti: 1. l executive summary, 2. il reprt tecnic di dettagli delle vulnerabilità individuate e degli attacchi effettuati, 3. il pian di rientr particlareggiat. 1) L executive summary deve illustrare brevemente cn un linguaggi nn tecnic le metdlgie impiegate per l esecuzine delle attività ed i risultati cnseguiti sul pag. 10
perimetr d analisi, frnend al management di riferiment le infrmazini necessarie per: valutare il livell di rischi dei sistemi, dei servizi e delle infrastrutture analizzate a frnte degli interventi e delle indicazini derivanti dalle attività di gestine rdinaria della sicurezza infrmatica; valutare la slidità delle misure di sicurezza impiegate per la prtezine dei sistemi, dei servizi e delle infrastrutture analizzate; pianificare, priritizzare e crdinare gli interventi crrettivi da attuare sui sistemi, sui servizi e sulle infrastrutture analizzate a frnte degli indici riprtati nel dcument. 2) Il reprt tecnic di dettagli delle vulnerabilità individuate e degli attacchi effettuati deve illustrare, per ciascuna delle vulnerabilità individuate e per ciascun attacc prtat a termine, almen: la descrizine della vulnerabilità individuata e la relativa classificazine in cnfrmità di standard di riliev internazinale quale Cmmn Weakness Enumeratin (CWE), Open Web Applicatin Security Prject (OWASP) e simili. L standard di riferiment adttat deve essere indicat all intern del reprt; la valutazine della vulnerabilità sul sistema, calclat per mezz del sistema di rating CVSS 2 ( altr preventivamente cncrdat cl persnale della Scietà del Grupp FS cinvlta); le evidenze degli attacchi stt la frma che si ritiene più pprtuna, per far megli cmprendere il livell di periclsità dell attacc effettuat; le mdalità di esecuzine degli attacchi e le cndizini necessarie affinché pssa essere effettuat, crredate da un Prf Of Cncept (PC) e dalle istruzini; gli strumenti ed i passi necessari da cmpiere per la riprduzine dell attacc prtat a termine; gni infrmazine accessria ritenuta utile per megli valutare l attacc effettuat e l impatt sul servizi, sistema infrastruttura analizzata; le mdalità e le tecniche di mitigazine risluzine del prblema di sicurezza individuat; eventuali scenari presenti di mitigazine delle vulnerabilità. 3) Il pian di rientr particlareggiat deve illustrare, per ciascuna delle vulnerabilità individuate e per ciascun attacc prtat a termine almen: infrmazini di dettagli per la sluzine definitiva della vulnerabilità, adducend anche esempi di cnfigurazine e/ cdice srgente per la sua risluzine; metdlgie e best practice di svilupp sftware ed esercizi dei sistemi che faccian in md che la vulnerabilità sia prevenuta in casi futuri. pag. 11
Qualra richiest il reprt deve cntenere una matrice di rispndenza fra la vulnerabilità ed il cntrll dell Annex A della nrma ISO/IEC 27001:06 impattat. Qualra richiest verrà allegat al reprt il listat del cdice srgente di tutti gli strumenti utilizzati per effettuare gli attacchi. 4.2 Analisi del cdice srgente per l individuazine delle vulnerabilità Il servizi di analisi del cdice srgente dvrà essere ergat tramite l impieg di strumenti autmatizzati tramite l intervent di analisti di cmprvata esperienza nel settre. Il servizi dvrà essere ergat esclusivamente press la sede del Cliente. In nessun cas il cdice srgente verrà cnsegnat all Impresa. L analisi verrà cndtta su cdici redatti in linguaggi largamente diffusi (ad es.: C++, Java, ASP, ) ed in framewrk di svilupp nrmalmente utilizzati. I dati e le infrmazini acquisite durante l esecuzine delle attività devn essere cnservati e/ inviati utilizzand tecniche di custdia che prevedan l impieg di crittgrafia frte (3DES, AES, e simili). Le infrmazini devn essere custdite dall Impresa sl per il temp strettamente necessari alla redazine del reprt cnclusiv dell attività, e cmunque nn ltre i 60 girni slari dalla lr acquisizine. Le vulnerabilità individuate nel crs dell ergazine dei servizi di analisi del cdice, dvrann essere classificate per mezz delle metdlgie Seven Pernicius Kingdm Owasp. È pssibile utilizzare anche altri standard di classificazine delle vulnerabilità, purché sian cncrdati preventivamente cn il persnale della Scietà del Grupp FS cinvlta. L attività a frnte della richiesta dell azienda del Grupp, dvrà partire entr 7 girni lavrativi. Entr 7 girni lavrativi dal termine di gni sessine di analisi del cdice, dvrà essere prdtta la dcumentazine a crred delle attività csì cme descritta nei paragrafi seguenti. 4.2.1 Dcumentazine a crred delle attività di analisi del cdice Al termine di ciascuna sessine di analisi del cdice dvrann essere prdtti tre dcumenti: 1. l executive summary, pag. 12
2. il reprt tecnic di dettagli delle vulnerabilità individuate e degli attacchi effettuati, 3. il pian di rientr particlareggiat. 1) L executive summary deve illustrare brevemente cn un linguaggi nn tecnic le metdlgie impiegate per l esecuzine delle attività ed i risultati cnseguiti sul perimetr d analisi, frnend al management di riferiment le infrmazini necessarie per: valutare il livell di rischi dei sistemi, dei servizi e delle infrastrutture analizzate a frnte degli interventi e delle indicazini derivanti dalle attività di gestine rdinaria della sicurezza infrmatica; valutare la slidità delle misure di sicurezza impiegate per la prtezine dei sistemi, dei servizi e delle infrastrutture analizzate; pianificare, priritizzare e crdinare gli interventi crrettivi da attuare sui sistemi, sui servizi e sulle infrastrutture analizzate a frnte degli indici riprtati nel dcument. 2) Il reprt tecnic di dettagli delle vulnerabilità individuate e degli attacchi effettuati deve illustrare, per ciascuna delle vulnerabilità individuate e per ciascun attacc prtat a termine almen: la descrizine della vulnerabilità individuata e la relativa classificazine in cnfrmità di standard di riliev internazinale quale Seven Pernicius Kingdm, Open Web Applicatin Security Prject (OWASP) e simili. L standard di riferiment adttat deve essere indicat all intern del reprt; le evidenze degli eventuali attacchi che si ptrebber cnfigurare stt la frma che si ritiene più pprtuna; le mdalità di esecuzine degli attacchi e le cndizini necessarie affinché pssa essere effettuat, crredate da un Prf Of Cncept (PC) e dalle istruzini; gli strumenti ed i passi necessari da cmpiere per la riprduzine dell attacc prtat a termine; gni infrmazine accessria ritenuta utile per megli valutare l attacc effettuat e l impatt sul servizi, sistema infrastruttura analizzata; le mdalità e le tecniche di mitigazine risluzine del prblema di sicurezza individuat; eventuali scenari presenti di mitigazine delle vulnerabilità. 3) Il pian di rientr particlareggiat deve illustrare, per ciascuna delle vulnerabilità del cdice individuata: infrmazini di dettagli per la sluzine definitiva della vulnerabilità, adducend anche esempi di cnfigurazine e/ cdice srgente per la sua risluzine; pag. 13
metdlgie e best practice di svilupp sftware ed esercizi dei sistemi che faccian in md che la vulnerabilità sia prevenuta in casi futuri. Qualra richiest il reprt deve cntenere una matrice di rispndenza fra la vulnerabilità ed il cntrll dell Annex A della nrma ISO/IEC 27001:06 impattat. 4.3 Audit di prcessi, prcedure e metdlgie Cn quest servizi il Grupp FS vule dtarsi di specialisti che verifichin l efficienza e l efficacia della sicurezza ICT in prcedure, prcessi e metdlgie applicate internamente e press gli Outsurcer. Di vlta in vlta, di cncert cn i referenti delle Scietà del Grupp FS verrann definiti: Metdlgia utilizzata per effettuare l audit, Obiettivi dell audit, Perimetr, Tempi. L attività a frnte della richiesta dell azienda del Grupp, dvrà partire entr 7 girni lavrativi. Entr 7 girni lavrativi dal termine di gni audit, dvrà essere prdtta la dcumentazine a crred delle attività csì cme descritta nei paragrafi seguenti. 4.3.1 Dcumentazine a crred delle attività di audit Al termine di ciascuna sessine di audit dvrann essere prdtti due dcumenti: 1. l executive summary, 2. il reprt di dettagli delle evidenze individuate. 1) L executive summary deve illustrare brevemente cn un linguaggi nn tecnic le metdlgie impiegate per l esecuzine delle attività ed i risultati cnseguiti sul perimetr d analisi, frnend al management di riferiment le infrmazini necessarie per: valutare il livell di rischi dei sistemi, dei servizi e delle infrastrutture analizzate a frnte degli interventi e delle indicazini derivanti dalle attività di gestine rdinaria della sicurezza infrmatica; valutare la slidità delle misure di sicurezza impiegate per la prtezine dei sistemi, dei servizi e delle infrastrutture analizzate; valutare l efficienza e l efficacia delle misure di sicurezza implementate; pag. 14
pianificare, priritizzare e crdinare gli interventi crrettivi da attuare sui sistemi, sui servizi e sulle infrastrutture analizzate a frnte degli indici riprtati nel dcument. 2) Il reprt di dettagli delle evidenze individuate deve illustrare, per ciascuna area dell audit: i dcumenti che hann prtat alla prduzine delle evidenze; le infrmazini relative ad eventuali audit sul camp; in termini specifici l efficienza e l efficacia delle misure di sicurezza implementate nel perimetr dell audit in termini di: Plicy, Prcedure, Metdlgie, Tecnlgie implementate, Cnfigurazini in esercizi; ve richiest una matrice relativa al SOA (State f Applicability) dei maggiri standard ISO ( punti specifici delle nrme) relativi alla sicurezza best practice internazinali, almen: ISO/IEC 27001:06, ISO/IEC 20000-1:05, almen per i punti della nrma: 6.3, 6.6, 8.1, 8.2 e 9.2., CMMI-RSKM; gni infrmazine accessria ritenuta utile per megli valutare l espsizine al rischi. 4.4 Cmpsizine dei team prfessinali per le attività I team prfessinali per l ergazine dei servizi prfessinali nell ambit delle n. 4 (quattr) attività sn n. 3 (tre) crdinati da n. 1 (un) Prject Manager e sn csì cmpsti: A) Team per i Vulnerability Assessment & Penetratin Test 1 Security Analyst Senir, 2 Security Analyst, 1 Remediatin Analyst. B) Team per l Analisi del cdice srgente pag. 15
n. 1 Security Analyst Senir, 2 Security Analyst, 1 Remediatin Analyst. C) Team per gli Audit di sicurezza 1 Security Auditr Senir, 2 Security Auditr. 4.4.1 Prject Manager Il Prject Manager è il prfessinista che pianifica e crdina le attività di tutti i 3 (tre) team prfessinali. Deve pssedere i seguenti requisiti: almen 4 anni di esperienza del settre della sicurezza ICT, laurea in disciplina tecnica, capacità di analisi degli scenari tecnic/rganizzativi cmplessi, capacità di pianificare, prgettare e cntribuire alla realizzazine delle attività, capacità di impstazine e redazine di reprt cnsulenziali in grad di frnire al management del Grupp FS adeguati supprti alla presa di decisine e all impstazine di prcessi di gestine. Sarà ggett di cnseguiment di punteggi tecnic il pssess di certificazini prfessinali relative il prject management, vver il PMP ppure la Prince2. 4.4.2 Team per Vulnerability Assessment & Penetratin Test L Impresa si impegna ad utilizzare per le attività ggett del presente Capitlat un team di specialisti cmpst almen dalle seguenti figure prfessinali: n. 1 Security Analyst Senir, di almen 4 anni di esperienza nel settre infrmatic, rientat ad attività di Vulnerability Assessment & Penetratin Test, avente almen le seguenti e cmprvabili capacità: pianificare, in cncert cn il PM, le attività di VA/PT applicative ed infrastrutturali, analizzare il perimetr del test al fine di individuare i vettri e le metdlgie d attacc migliri, redigere, cnfrmemente a quant richiest dal Grupp, la reprtistica di riferiment; pag. 16
sarà ggett di cnseguiment di punteggi tecnic il pssediment di certificazini prfessinali inerenti la cnscenza della sicurezza infrmatica CISSP CISM e delle metdlgie di assessment relative, vver OPSA, OPST OWSE dell ISECOM; almen n. 2 Security Analyst, cn minim 2 anni di esperienza, che abbian cmprvabile cmpetenza specifica sia nel test infrastrutturale che in quell applicativ. In particlare queste figure prfessinali dvrann avere le seguenti caratteristiche: capacità di eseguire attività di VA/PT secnd gli standard e le metdlgie internazinali quali: OSSTMM e simili, capacità di eseguire Penetratin Test sull infrastruttura e sulle tecnlgie che cmpngn il sistema infrmativ del Grupp FS, avere cmpetenze specifiche sulle tecnlgie ggett dei test, sarà ggett di cnseguiment di punteggi tecnic il pssediment, da parte di almen un dei Security Analyst, di certificazini prfessinali inerenti la cnscenza della sicurezza infrmatica e delle metdlgie di assessment relative, vver OPSA, OWSE OPST dell ISECOM. almen n. 1 Remediatin Analyst, che abbia cmprvabile cmpetenza specifica nell analisi delle cntrmisure in particlar md dal punt di vista applicativ. Questa figura prfessinale dvrà avere le seguenti caratteristiche: capacità di eseguire analisi sulle vulnerabilità emerse, in particlare quelle applicative, e di prprre cntrmisure adeguate per mitigare e rislvere i prblemi, avere cmpetenze specifiche sulle tecnlgie ggett dei test; sarà ggett di cnseguiment di punteggi tecnic il pssediment di certificazini prfessinali inerenti la sicurezza nel cicl di vita del sftware vver la CSSLP. Il Remediatin Analyst cn il prfil spra delineat ptrà essere la stessa persna che fa parte del Team per l analisi del cdice srgente, descritt nel paragraf successiv. 4.4.3 Team per l analisi del cdice srgente L Impresa si impegna ad utilizzare per le attività ggett del presente dcument, pena l esclusine, un team di specialisti cmpst almen dalle seguenti figure prfessinali: n. 1 Security Analyst Senir, di almen 4 (quattr) anni di esperienza, che abbian cmprvabile cmpetenza specifica in analisi di sistemi, nelle tecniche di prgrammazine e di identificazine delle vulnerabilità all intern del cdice pag. 17
srgente. In particlare queste figure prfessinali dvrann avere le seguenti caratteristiche: pianificare, in cncert cn il PM, le attività di analisi di sistema e del cdice, definire l scping del test al fine di individuare le metdlgie di analisi più apprpriate alla circstanza, crdinare, cnfrmemente a quant richiest dal Cmmittente, la reprtistica di riferiment; almen n 2 Security Analyst, di almen 2 anni di esperienza, che abbian cmprvabile cmpetenza specifica nelle tecniche di prgrammazine e di identificazine delle vulnerabilità all intern del cdice srgente. In particlare queste figure prfessinali dvrann avere le seguenti caratteristiche: capacità di eseguire analisi secnd gli standard e le metdlgie internazinali, ampia cnscenza di OWASP e del Seven Pernicius Kingdm, avere cmpetenze specifiche sulle tecnlgie ggett dei test; almen n 1 Remediatin Analyst, che abbia cmprvabile cmpetenza specifica nell analisi delle cntrmisure in particlar md dal punt di vista applicativ. Questa figura prfessinale dvrà avere le seguenti caratteristiche: capacità di eseguire analisi sulle vulnerabilità emerse, in particlare quelle applicative, e di prprre cntrmisure adeguate per mitigare e rislvere i prblemi, avere cmpetenze specifiche sulle tecnlgie ggett dei test. Sarà ggett di cnseguiment di punteggi tecnic il pssediment di certificazini prfessinali inerenti la sicurezza nel cicl di vita del sftware vver la CSSLP. Il Remediatin Analyst cn il prfil spra delineat ptrà essere la stessa persna che fa parte del Team VA/PT descritt nel paragraf precedente. 4.4.4 Team per gli audit di sicurezza L Impresa si impegna a mettere a dispsizine delle attività ggett del presente dcument, pena l esclusine, un team di specialisti cmpst almen dalle seguenti figure prfessinali: n 1 Security Auditr Senir, cn almen 4 anni di esperienza nel settre, rientat ad attività di analisi ed audit di sistemi e prcessi, avente almen le seguenti caratteristiche: laurea in discipline tecniche, pag. 18
ampia cnscenza della ISO 20000, ITIL e CMMI, ampia esperienza in analisi e gestine del rischi infrmatic, ampia esperienza di audit interni su tematiche di sicurezza, ampia cnscenza della nrma UNI EN ISO 19011:03, Pssess di certificazine Auditr/Lead Auditr ISO 27001, Pssess di certificazine CISA CISM. N 2 due Security Auditr, di almen 2 anni di esperienza, che abbia cmprvabile cmpetenza specifica sia nel test infrastrutturale che in quell applicativ. In particlare questa figura prfessinale dvrà avere le seguenti caratteristiche: ampia cnscenza di ISO 20000, ITIL e CMMI, ampia cnscenza della nrma UNI EN ISO 19011:03, Pssess di certificazine Auditr/Lead Auditr ISO 27001, Pssess di certificazine CISA CISM. pag. 19