Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Firmato digitalmente da Sede legale Via Nazionale, 91 - Casella Postale 2484-00100 Roma - Capitale versato Euro 156.000,00 Tel. 06/47921 - telex 630045 BANKIT - Partita IVA 00950501007 - www.bancaditalia.it
Allegato 1 CAPITOLATO TECNICO Procedura aperta, ai sensi del D.Lgs. n. 163/2006 e s.m.i., per l acquisizione di risorse specialistiche per la redazione di documentazione e lo svolgimento dei connessi servizi in materia di sicurezza informatica G858 014/12 G858 014/12
AVVERTENZE La pubblicità degli atti di gara è preordinata in via esclusiva a esigenze di imparzialità e trasparenza dell attività amministrativa. È vietato, e sarà perseguito ai sensi di legge, qualsiasi utilizzo, totale o parziale, del materiale pubblicato, che sia difforme da tale finalità. La pubblicazione dei documenti avviene nel rispetto della normativa in materia di protezione dei dati personali e dei diritti di privativa. In nessun modo la pubblicazione, infatti, intende costituire violazione dei diritti di privativa da cui sono coperti i prodotti citati negli atti pubblicati, come creazioni intellettuali o invenzioni industriali in uso presso la Banca. Allo stesso modo è vietato, e sarà perseguito ai sensi di legge, qualsiasi utilizzo, totale o parziale, da parte di terzi, del materiale pubblicato, che miri a costituire un vantaggio indiretto o pubblicità ingannevole nei confronti del pubblico ovvero ad appropriarsi della proprietà intellettuale altrui.
INDICE GLOSSARIO TABELLE 1 INTRODUZIONE 2 SEZIONE PRIMA - DESCRIZIONE DEL CONTESTO E OBIETTIVI DEL PROGETTO 6 4 4 5 2.1 SITUAZIONE ATTUALE 3 SEZIONE SECONDA - OGGETTO DELLA FORNITURA 6 8 3.1.1 PIANO INTEGRATO DELLE ATTIVITÀ 3.1.2 RESPONSABILE TECNICO 3.1.3 REQUISITI PROFESSIONALI PER IL PERSONALE 4 SEZIONE TERZA - MODALITÀ DI PAGAMENTO ALLEGATO I: IL QUADRO NORMATIVO DELLA SICUREZZA INFORMATICA IN BANCA D ITALIA: SOMMARI DEI DOCUMENTI ESISTENTI. 12 9 10 10 11 G014/12 3 di 17
GLOSSARIO. Termini tecnici utilizzati nel capitolato CISSP CISM RID Selezionatrici di banconote TVCC Certified Information Systems Security Professional, conosciuto anche come (ISC)², (Riconosciuto da: International Information Systems Security Certification Consortium). Certified Information Security Manager (riconosciuto da: ISACA ( Information Systems Audit and Control Association) Riservatezza Integrità Disponibilità Apparati utilizzati per selezionare le banconote Televisioni a circuito chiuso: telecamere che trasmettono il segnale verso specifici o limitati set di monitor e/o videoregistratori. TABELLE Tabella Pag Descrizione Tabella 1 8-9 Linee guida e manuali di sicurezza da produrre. G014/12 4 di 17
1 INTRODUZIONE La Banca d Italia (Banca o Istituto nel seguito) intende acquisire servizi professionali specialistici nell ambito dell Information and Communication Technology (ICT) per la redazione e l aggiornamento dell attuale normativa di sicurezza informatica. G014/12 5 di 17
2 SEZIONE PRIMA - DESCRIZIONE DEL CONTESTO E OBIETTIVI DEL PROGETTO 2.1 Situazione attuale Il quadro normativo della Banca d Italia in materia di sicurezza informatica definisce e disciplina nel suo complesso il sistema costituito dall insieme di norme di comportamento, assetti organizzativi, misure tecniche, metodologie e processi volti alla tutela delle risorse informatiche dell Istituto. Esso è distribuito su tre livelli: 1. la policy, che definisce gli obiettivi, i principi generali, le responsabilità dei ruoli organizzativi interessati e i processi fondamentali del sistema aziendale di sicurezza informatica; nella policy trovano fondamento le norme e le istruzioni di sicurezza emanate ai livelli successivi; 2. le linee guida, generalmente indipendenti dalle specifiche tecnologie, che forniscono indicazioni e prescrizioni relative ai processi fondamentali del sistema aziendale di sicurezza informatica, nonché all utilizzo di sistemi e servizi informatici da parte degli utenti finali; 3. i manuali operativi, che sono documenti contenenti le specifiche tecniche di sicurezza e le istruzioni d uso riferiti a singoli sistemi, piattaforme e applicazioni. La policy definisce i ruoli organizzativi e i processi di sicurezza informatica con l obiettivo di garantire il livello di protezione delle risorse informatiche richiesto dai processi aziendali, in termini di riservatezza, integrità, disponibilità, verificabilità e accountability, lungo l intero ciclo di vita. Collegate alla policy sono le seguenti linee guida: 1. Il processo di analisi del rischio informatico : definisce le fasi in cui è articolato il processo di analisi del rischio informatico, i ruoli e le responsabilità nell esecuzione, le modalità di effettuazione correlate al principio di proporzionalità; 2. Le verifiche di sicurezza informatica : disciplina le verifiche di sicurezza alle quali sono sottoposti gli asset informatici in fase di rilascio in produzione (Pre-Production Security Assessment) e in esercizio (Production Security Assessment); 3. Utilizzo della posta elettronica e di Internet : disciplina l utilizzo della posta elettronica e di Internet all interno dell Istituto; 4. L accesso ai sistemi elaborativi : descrive i principi con cui è declinato il sistema di controllo degli accessi ai sistemi elaborativi dell Istituto da parte degli utenti. Collegato alla linea guida Il processo di analisi del rischio informatico è presente il manuale: 1. Metodologia di Analisi dei Rischi Informatici. Collegati alla linea guida Le verifiche di sicurezza informatica sono presenti i manuali: 1. Processo di verifica di sicurezza di infrastrutture e applicazioni prima del rilascio in produzione (Pre-Production Security Assessment); 2. Processo di verifica di sicurezza di infrastrutture e applicazioni in produzione (Production Security Assessment). G014/12 6 di 17
Collegato alla linea guida Utilizzo della posta elettronica e di Internet è presente il manuale: 1. Manuale operativo per l utilizzo della posta elettronica e di Internet. Collegati alla linea guida L accesso ai sistemi elaborativi sono presenti i manuali: 1. Sicurezza posto di lavoro; 2. Protezione antimalware; 3. Protezione antivirus; 4. Guida alla creazione di account windows; 5. Configurazione delle ACL (Access Control List) sui posti di lavoro; 6. Antimalware per i PDL (Postazioni Di Lavoro) e i server; 7. Antimalware per i sistemi SharePoint; 8. Configurazione di sicurezza Windows 2003; 9. Configurazioni di sicurezza Windows XP. In allegato I sono riportati alcuni indici dei documenti sopra descritti. G014/12 7 di 17
3 SEZIONE SECONDA - OGGETTO DELLA FORNITURA Si richiedono servizi professionali specialistici per un totale di 500 giorni/persona da erogare durante il periodo contrattuale (3 anni) per la redazione/aggiornamento dei documenti di cui alla Tabella 1 e per l aggiornamento nel tempo di tutto il corpo normativo sulla sicurezza IT. Documento Gestione delle vulnerabilità e delle patch di sicurezza (impatto su RID) Monitoraggio della sicurezza Classificazione delle infrastrutture informatiche Sicurezza delle reti telematiche Sicurezza delle infrastrutture elaborative Gestione degli incidenti Processo ISO 27001 Obiettivi di controllo Di riferimento Linee Guida Information development and maintenance Communication and operation management Asset management Communication and operation management Information development and maintenance Information security incident management Principali argomenti da trattare Identificazione e valutazione delle vulnerabilità. Identificazione delle misure da applicare. Criteri per la pianificazione delle attività. Ruoli e responsabilità. Ruoli e responsabilità. Eventi da monitorare. Frequenza. Reporting di sintesi e di dettaglio. Classificazione RID della criticità delle risorse informatiche. Architettura di sicurezza delle reti. Regole per la connessione di apparecchiature. Wireless. VoIP. Linee guida per la virtualizzazione, Cloud computing. Misure per la gestione degli incidenti di sicurezza. Ruoli e responsabilità. Hardening delle infrastrutture elaborative e di rete Manuali Information development and maintenance Principi da adottare nella configurazione di switch, router e firewall Principi da adottare nella configurazione dei sistemi operativi e nei middleware: (es. AIX, Linux, JBOSS..) G014/12 8 di 17
Documento Aspetti di sicurezza da considerare nel processo di acquisizione, realizzazione e manutenzione di apparati speciali (e.g. TVCC, multifunzione, selezionatrici di banconote, ) Manuale operativo per l analisi del rischio informatico Processo ISO 27001 Obiettivi di controllo Di riferimento Information development and maintenance Organizational security Tabella 1 Principali argomenti da trattare Specifiche di sicurezza da inserire nei capitolati di gara, nei contratti. Formalizzazione del processo di analisi del rischio informatico. Valutazione dei rischi. Ruoli e responsabilità. I servizi professionali potranno essere richiesti anche per la redazione di ulteriori linee guida e di manuali di sicurezza (non elencati nella Tabella 1) e per attività riguardanti l addestramento del personale sulla normativa di sicurezza, l effettuazione di verifiche di conformità di applicazioni e infrastrutture alla normativa e/o criteri di sicurezza indicati dalla Banca, scrittura di best practices di sicurezza su argomenti specifici, anche in lingua inglese. Le risorse professionali da impiegare nella redazione dovranno possedere la certificazione CISSP o CISM (cfr. paragrafo 3.1.3). 3.1.1 Piano integrato delle attività L azienda aggiudicataria dovrà predisporre, entro 10 (dieci) giorni solari dalla data di sottoscrizione del contratto, il piano delle attività relativo alla scrittura delle linee guida e dei manuali indicati nella Tabella 1. Successivamente alla sottoscrizione del contratto, la Banca d Italia organizzerà un primo incontro (kick-off meeting) con i responsabili della società aggiudicataria al fine di pianificare le attività successive. La data del kick-off meeting sarà assunta come Data di Inizio Lavori (DIL). La società aggiudicataria ha l onere di redigere, con il supporto del personale della Banca, il piano esecutivo delle attività con i seguenti vincoli: la società aggiudicataria deve presentare una prima bozza dei seguenti documenti: Gestione delle vulnerabilità e delle patch di sicurezza (impatto su RID); Monitoraggio della sicurezza e Gestione degli incidenti di sicurezza informatica al massimo 15 (quindici) settimane dopo la data di inizio lavori. L indice e i contenuti dei documenti saranno concordati con il supporto del personale della Banca, le bozze dovranno essere comunque complete in ogni parte; relativamente ai restanti documenti indicati nella Tabella 1, il piano delle attività sarà concordato tra la Banca e la società aggiudicataria successivamente alla Data di Inizio Lavori G014/12 9 di 17
e la società aggiudicataria dovrà rendere disponibili le risorse necessarie a svolgere il lavoro entro tre settimane dalla richiesta della Banca. Per la scrittura di ulteriori linee guida e di manuali di sicurezza (non elencati nella Tabella 1) ovvero per le altre attività di supporto, il piano degli impegni verrà di volta in volta concordato tra la Banca e la società aggiudicataria nei tempi e nella quantità di risorse necessarie all espletamento delle attività 3.1.2 Responsabile tecnico Entro 10 (dieci) giorni solari dalla data di sottoscrizione del contratto, il fornitore dovrà nominare un responsabile tecnico incaricato di curare il coordinamento tecnico dei servizi forniti nonché di svolgere la funzione di unico referente nei confronti della Banca. In particolare, al responsabile tecnico fanno capo, tra gli altri, gli adempimenti di seguito indicati: le relazioni con la Banca e con eventuali ulteriori interlocutori esterni alla Banca; il rilascio nei tempi previsti dei documenti di sicurezza richiesti; la disponibilità delle risorse e del personale specializzato per le attività di realizzazione; il coordinamento di tutte le comunicazioni dal presente capitolato; il coordinamento del personale che dovrà fornire i servizi professionali richiesti; rappresentare il fornitore nelle riunioni di avanzamento e di coordinamento lavori. L eventuale nomina di un nuovo responsabile tecnico in sostituzione del precedente deve essere comunicata alla Banca con un anticipo di almeno 10 (dieci) giorni solari rispetto alla data di attuazione del provvedimento. Il responsabile tecnico deve essere messo a disposizione senza alcun onere aggiuntivo per la Banca per tutta la durata del contratto. Analogamente la Banca nominerà un Direttore dell esecuzione del contratto, che rappresenterà l unica figura nei confronti del fornitore, per concordare la pianificazione delle attività, verificare l adeguatezza del personale messo a disposizione dalla società aggiudicataria e riconoscere i corrispettivi economici delle prestazioni rese. 3.1.3 Requisiti professionali per il personale Il personale incaricato della scrittura delle linee guida e dei manuali di sicurezza (elencati nella Tabella 1 o successivamente richiesti) nonché di fornire i restanti servizi professionali deve essere in possesso di certificazione CISSP o CISM in corso di validità e deve avere esperienza di almeno 3 (tre) anni nel settore della sicurezza informatica, maturata dopo l ottenimento delle menzionate certificazioni. Il numero di anni di esperienza richiesta deve essere posseduto da ciascun elemento al momento della presentazione dell offerta da parte della società aggiudicataria mentre, in caso di sostituzione di un incaricato in corso d opera, il requisito dovrà essere soddisfatto al momento dell effettivo utilizzo in Banca. Le società partecipanti alla gara dovranno dichiarare nella documentazione amministrativa, e successivamente documentare nella comprova dei requisiti tecnici, la disponibilità di almeno 2 G014/12 10 di 17
risorse da adibire alle prestazioni oggetto dell appalto, e il possesso da parte loro dei requisiti come sopra richiesti. La Banca si riserva la facoltà di richiedere, in ogni momento, la sostituzione del personale utilizzato dalla società aggiudicataria se non di suo gradimento. 4 SEZIONE TERZA - MODALITÀ DI PAGAMENTO I servizi professionali verranno pagati a consumo su base trimestrale posticipata. G014/12 11 di 17
ALLEGATO I: Il quadro normativo della sicurezza informatica in Banca d Italia: sommari dei documenti esistenti. Policy di sicurezza informatica 1. Struttura e ambito di applicazione 2. Obiettivi 3. Princìpi generali 3.1. L organizzazione della sicurezza 4. L indirizzo strategico 5. Le competenze normative 5.1. Il system owner 5.2. La progettazione degli aspetti di sicurezza 5.3. La gestione degli aspetti di sicurezza 5.4. L internal auditing 5.5. L utente finale 6. I processi fondamentali del sistema di sicurezza informatica 6.1. Il processo di analisi del rischio informatico 6.2. La classificazione delle informazioni 6.3. L implementazione dei controlli di sicurezza 6.3.1. Il controllo degli accessi 6.3.2. La protezione fisica e ambientale 7. L acquisizione, lo sviluppo, la gestione e la manutenzione dei sistemi informatici 7.1.1. La gestione dei cambiamenti 7.1.2. La gestione degli incidenti di sicurezza 7.1.3. Le misure per la continuità operativa 7.2. Il monitoraggio della sicurezza 8. La conformita alle norme di sicurezza 9. Glossario Linee Guida: Il processo di analisi del rischio informatico 1. Principi generali 2. I compiti delle funzioni aziendali interessate 3. Modalità di attivazione e fasi del processo di analisi 3.1. Classificazione del sistema informatico 4. Applicazioni 5. Infrastrutture 5.1. Analisi di dettaglio delle minacce 5.2. Individuazione delle contromisure di sicurezza 5.3. Valutazione del rischio residuo 6. Output del processo di analisi 7. Allegati G014/12 12 di 17
Linee Guida: Le verifiche di sicurezza informatica 1. Principi generali 2. I compiti delle funzioni aziendali interessate 3. Il processo 4. Pianificazione 5. Preparazione 6. Esecuzione 7. Analisi, rendicontazione e condivisione 8. Trattamento del rischio Linee Guida: L accesso ai sistemi elaborativi 1. Introduzione 2. Le responsabilità dell utente 3. L accesso alle risorse informatiche 4. L identificazione e l autenticazione degli utenti 5. Le regole di qualità di password e PIN 6. Il processo di autorizzazione 7. Le abilitazioni ai sistemi 8. Gli strumenti di mobilità 9. La gestione dei privilegi di sistema 10. Accesso remoto ai sistemi dell Istituto 11. Accesso ai sistemi dell Istituto da parte di utenti esterni 12. La protezione delle risorse del posto di lavoro 13. La protezione delle risorse dei server 14. Il tracciamento delle attività Linee Guida Utilizzo della posta elettronica e di internet 1. Infrastruttura 2. Regole generali 2.1. Accesso ai servizi 2.2. Responsabilità personali 2.3. Attività non consentite 2.4. Registrazioni di sicurezza: finalità, conservazione e gestione 2.5. Violazioni delle norme 2.6. Protezione delle informazioni 2.7. Segnalazioni 3. 3 Posta Elettronica 3.1. Accesso al sistema 3.2. Utilizzo della Posta Elettronica 3.3. Assenze dal servizio: funzione di delega 3.4. Attività non consentite 3.5. Assetto delle misure di sicurezza e indicazioni per gli utenti 3.6. Filtri 3.7. Accesso remoto 3.8. La conservazione dei messaggi G014/12 13 di 17
4. 4 Internet 4.1. Accesso alla navigazione Internet e agli altri servizi 4.2. Utilizzo della navigazione Internet e degli altri servizi 4.3. Attività non consentite 4.4. Filtri di sicurezza Manuale Operativo: Metodologia di Analisi dei Rischi Informatici 5. Introduzione 6. Legenda 7. Ruoli 8. Il Processo 9. Documenti ancillari 10. La classificazione delle informazioni 11. La metodologia di analisi dei rischi nformatici. 12. La metodologia di analisi semplificata 13. Le fasi successive Manuale Operativo: Processo di verifica di sicurezza di infrastrutture e applicazioni prima del rilascio in produzione 1. Introduzione 2. Legenda 3. Ruoli 4. Il processo 4.1. Ricezione delle richieste e preparazione delle attività di verifica 4.2. Esecuzione delle attività 4.3. Reporting 4.4. Follow-up: trattamento del rischio 5. Allegati Manuale Operativo: Processo di Verifica di Sicurezza di Infrastrutture e Applicazioni in produzione 1. Introduzione 2. Ruoli 3. Il processo 3.1. Pianificazione 3.2. Preparazione 3.3. Esecuzione 3.3.1. Esecuzione delle attività di penetration test 3.3.2. Esecuzione delle attività di compliance assessment 3.4. Analisi, rendicontazione e condivisione 3.4.1. Analisi 3.4.2. Rendicontazione e condivisione 3.5. Trattamento del rischio G014/12 14 di 17
Manuale operativo per l utilizzo della posta elettronica e Internet 1. I Servizi Internet 2. Caratteristiche del sistema 2.1. I presidi di sicurezza 2.1.1. I sistemi antivirus 2.1.2. I filtri 2.1.3. Il controllo della posta indesiderata (antispamming) 3. Le modalità di fruizione dei servizi Internet 3.1. Posta elettronica 3.1.1. L abilitazione e la revoca del servizio 3.1.2. La conservazione dei messaggi 3.1.3. La funzione filtro 3.1.4. Utilizzo della casella di posta 3.2. 3.2 Navigazione e altri servizi 3.2.1. L abilitazione e la revoca dei servizi 3.2.2. La funzione filtro 3.2.3. Utilizzo della navigazione Internet 3.3. Verifica di sicurezza degli oggetti in quarantena Manuale operativo: Sicurezza del posto di lavoro Windows XP 1. Corretto utilizzo del posto di lavoro 2. Sicurezza ambientale e fisica 2.1. Misure di sicurezza fisica 2.2. Restrizione del processo di avvio della postazione (boot) 2.3. Blocco della postazione di lavoro 2.4. Interventi di assistenza remota 2.5. Installazione delle applicazioni 3. Gestione delle utenze 3.1. Utenze nominative 3.2. Utenze privilegiate 3.3. Utenza di amministratore locale 3.4. Password di setup 3.5. Password di accensione 4. Gestione dei dati e delle informazioni 4.1. Backup delle informazioni 4.2. Protezione delle informazioni 4.3. Condivisione delle informazioni 4.4. Protezione degli output 4.5. Dismissione o riassegnazione delle stazioni di lavoro 4.6. Protezione della postazione dal malware 4.7. Supporti rimovibili 5. Strumenti internet 6. Mobilità 6.1. Utilizzo del pc portatile 6.2. Connessioni wireless G014/12 15 di 17
Manuale operativo: Protezione Antimalware 1. Introduzione 2. Architettura del sistema di protezione antimalware 3. Politiche di controllo del software antimalware 4. Il processo di gestione dell incidente virale 5. Il processo di monitoraggio 6. Il processo di bonifica off-line 7. Altre raccomandazioni Specifiche di sicurezza del sistema di protezione antimalware per i posti di lavoro e i server 1. Scopo del documento 2. Dettaglio delle specifiche 2.1. Modulo Antivirus VirusScan 8.7 e Antispyware 8.7 2.2. Modulo HIPS 7.0.1 Specifiche di sicurezza del sistema di protezione antimalware per i sistemi SharePoint 1. Scopo del documento 2. Dettaglio delle specifiche 2.1. Anti-virus scanner settings 2.2. Content scanner 2.3. File filtering 2.4. Corrupt content 2.5. Protected content 2.6. Encrypted content 2.7. Signed content 2.8. Password-protected files 2.9. Scanner control 2.10. Task on-demand scanner 3. Dettaglio configurazione 3.1. Detected items 3.2. User interface preferences 3.3. Diagnostic Configurazioni di sicurezza Windows XP Quadro di riferimento per la sicurezza informatica del sistema operativo windows xp 1. Introduzione 2. 2. Principi generali 2.1. Richiamo alla normativa di sicurezza 2.2. Caratteristiche del quadro di riferimento G014/12 16 di 17
2.3. Modello di sicurezza 2.3.1. Sicurezza fisica 2.3.2. Sicurezza logica 2.3.3. Accountability 2.3.4. Minimo privilegio 2.3.5. Ownership di un pdl 3. Sicurezza ambientale e fisica 3.1. Sicurezza di impianto 3.2. Controllo dell accesso fisico ai computer 3.3. Restrizione del processo di boot 3.4. Lock della postazione di lavoro 3.5. Messaggio di avvertimento 3.6. Limitazione dello shutdown 4. 4. Protezione degli elaboratori 4.1. Configurazione dei servizi 4.2. Configurazione dei file system 4.3. Protezione del registry 4.4. Protezione delle applicazioni 4.5. Presidio antivirus 4.6. Aggiornamenti del software 5. 5. Account policy 5.1. Autenticazione 5.2. Password quality 5.3. Utenze 5.3.1. Nomenclatura delle user id 5.3.2. Utenze locali 5.3.3. Utenze finali 5.3.4. Utenze di servizio 5.3.5. Utenze di gestione 5.3.6. Utenze di auditing 5.4. Utilizzo dei gruppi per l accesso alle risorse locali 5.5. Gestione delle risorse condivise 6. 6. Politiche di sicurezza 6.1. Group policy e template 6.2. Politiche locali 6.2.1. Impostazioni di sicurezza 6.2.2. Politiche di auditing 6.2.3. Assegnazione dei diritti utente 6.3. Configurazione software 6.3.1. Utenze di autologon G014/12 17 di 17