Allegato tecnico
1. Dati e trattamenti
I dati personali dell'interessato sono trattati per il
perseguimento delle finalita' connesse all'espletamento delle
attivita' demandate al Dipartimento della funzione pubblica (di
seguito, «Dipartimento») dall'35-ter del decreto legislativo 30 marzo
2001, n. 165.
I dati personali vengono conservati per il tempo strettamente
necessario allo svolgimento delle suesposte finalita' e, una volta
scaduti i rispettivi termini, i dati personali saranno cancellati e/o
resi anonimi in modo da impedire, anche indirettamente,
l'identificazione dell'interessato.
1.1 Misure per assicurare l'integrita' e la riservatezza dei dati
personali
Le misure di sicurezza organizzativa/procedurale messe in atto
dal Dipartimento sono di seguito elencate:
Privacy policy;
Procedura di data breach;
Procedura di DPIA;
Modello di nomina dei responsabili del trattamento e relative
istruzioni;
Modello di nomina dei soggetti autorizzati del trattamento e
relative istruzioni;
Nomina del Responsabile della protezione dei dati.
Misure procedurali/organizzative di sicurezza adottate
Accesso controllato aree fisiche
Accesso fisico ai dati (es. armadi chiusi)
Accesso digitale ai dati (es. autenticazione e autorizzazione)
Formazione
Istruzioni per il trattamento Nomina per iscritto personale
Nomina Amministratore di sistema
Nomina per iscritto responsabili esterni
Policy aziendali
Policy aziendali utilizzo posta elettronica
Procedura data breach
Procedura gestione dati (variazione, cancellazione)
Misure tecniche di sicurezza adottate - Misure Digitali
Antivirus/AntiSpam Autenticazione Autorizzazione Business
continuity
Data Inventory & Classification Disaster recovery
DLP (Data Loss Prevention)
Firewall/WAF (Web Application Firewall) Intrusion
Detection/Intrusion Prevention Monitoraggio/Log Management
Log Amministratori di sistema
Separazione (VLAN, Virtual Local Area Network) Trattamento Dati
-> Cifratura dei dati
Back Up periodici
Misure tecniche di sicurezza adottate - Misure Fisiche
Armadi/cassettiere chiusi a chiave
Autorizzazione di accesso - Badge - Sistema Biometrico
Guardiania/Presidio fisico locali
Sistemi di rilevamento accessi (es: sensori di accesso) Sistemi
di registrazione (es: telecamere)
1.2 Sintesi delle caratteristiche tecniche del Portale
Di seguito si riporta una sintesi delle caratteristiche tecniche
rilevanti del Portale; tali caratteristiche sono da considerarsi
«minime» da garantire per l'adeguamento e l'evoluzione delle
caratteristiche tecniche del Portale.
La soluzione infrastrutturale presenta le seguenti
caratteristiche:
Adozione di un WAF (Web Application Firewall) in cloud (SaaS -
Security as a Service) al fine di avere un'efficace linea di
contenimento verso le minacce piu' diffuse, come ad esempio attacchi
DDoS, malware e attacchi zero-day;
Continuita' operativa garantita dall'utilizzo congiunto del
Centro Servizi SPC e di un Cloud Service Provider qualificato da AgID
per un'erogazione «diversificata» del servizio in termini di:
Connettivita';
Infrastruttura tecnologica.
Di seguito una sintesi dello stack tecnologico utilizzato:
Wordpress: sistema di gestione dei contenuti (CMS) per l'area
pubblica del portale;
Spring Framework + Spring Boot: framework base per lo sviluppo
di tutte le componenti della piattaforma;
Spring Security: framework del progetto Spring per la gestione
dell'autenticazione e della profilazione degli utenti;
Spring MVC REST + Jackson: API;
Spring Data JPA + Bean Validation: interfacciamento alla base
dati;
Angular: User Interface;
Maven: compilazione, unit testing e deploy delle applicazioni;
Netflix OSS: orchestrazione e gestione dei micro-servizi.
Web Application Firewall (WAF): Il firewall per applicazioni web
utilizzato e' Fortiweb basato su cloud Security as a Service (SaaS).
Le sue caratteristiche riguardano:
Scalabilita' sufficiente per proteggere dagli attacchi DoS e
DDoS piu' imponenti;
Performance elevate anche durante gli attacchi grazie
all'architettura distribuita globalmente;
Approccio completo alla protezione delle applicazioni web tra
cui IP reputation, protezione DDoS, convalida del protocollo,
signature per rilevare attacchi contro le applicazioni, mitigazione
dei bot e molto altro per difendere le applicazioni web da un'ampia
gamma di minacce;
Apprendimento automatico che costruisce e aggiorna
automaticamente un modello di comportamento normale dell'utente e
utilizza tale modello per identificare il traffico benigno e dannoso
delle applicazioni.
Il Portale risiede nelle sedi dei CED del Fornitore (una sede
situata nell'area dell'Italia centrale e una diversa sede situata
nell'area settentrionale) e sull'infrastruttura del cloud provider
qualificato Amazon AWS (Irlanda). L'architettura dei Centri Servizi
garantisce al Portale BC (Business Continuity) e DR (Disaster
Recovery).
2. Centri Servizi del Fornitore
2.1 Infrastruttura
Gli elementi che concorrono a definire l'infrastruttura
necessaria sono ospitati nel Cento Servizi che assicura i massimi
livelli di sicurezza tali da consentire, in caso di malfunzionamenti
HW o SW o di perdita di contenuti informativi, il ripristino
tempestivo della situazione. Inoltre, le attivita' di Governo
previste su tali apparati sono tali da garantire un continuo e
costante aggiornamento delle soluzioni adottate.
Tutti gli elementi dell'infrastruttura del Centro Servizi sono
progettati e realizzati in logica ridondata per garantire l'alta
affidabilita' del servizio e senza Single Point of Failure
(dispositivi, connettivita' ecc.).
2.2 Continuita' Operativa
Il Centro Servizi e' certificato ISO27001 ed e' organizzato su 3
Data Center dislocati sul territorio italiano che ospitano sia il
personale sia l'infrastruttura dedicata alle amministrazioni
contraenti. Due Data Center sono situati nell'area dell'Italia
centrale integrati con una soluzione di «cluster metropolitano» per
garantire eccellenza in termini di bilanciamento del carico
elaborativo e di Business Continuity. I Data Center sono inoltre
certificati ISO 20000 per l'IT Service Management, ISO 22301 per la
Business Continuity, ISO 14001 e ISO 50001 per qualita'/impatto
ambientale. Vi e' un terzo Data Center situato nell'Italia
settentrionale che completa la soluzione di continuita' operativa
implementando le funzionalita' di Disaster Recovery. Il «cluster
metropolitano» offerto dal Centro Servizi costituisce una innovativa
architettura di data center, che garantisce elevati livelli di
scalabilita' a fronte di improvvisi picchi di carico e la massima
resilienza a fronte della indisponibilita' parziale o totale delle
singole componenti infrastrutturali. Complessivamente la soluzione
consente:
una completa Business Continuity con parametri di RTO e RPO
prossimi a zero. Gli apparati, le tecnologie e le competenze
impegnate consentono di erogare gli stessi servizi indifferentemente,
dall'uno o dall'altro Data Center garantendo sempre la continuita',
in caso di disastro parziale o totale di uno dei due siti;
elevati livelli di performance garantiti dal bilanciamento
dinamico del carico e la conseguente massima ottimizzazione delle
performance dei sistemi e degli strumenti utilizzati per l'erogazione
dei servizi;
un Disaster Recovery, che si affianca al Cluster Metropolitano
per garantire la continuita' operativa in caso di disastro che
coinvolga entrambi i siti del cluster. L'infrastruttura messa a
disposizione e le tecniche di replica dei dati adottate consentono di
garantire RTO pari a 4h e RPO pari a 1h.
2.3 Sicurezza
La soluzione di sicurezza del RTI e' in grado di fornire Misure
di Sicurezza su 3 livelli distinti:
Sicurezza fisica
Sicurezza logica
Sicurezza organizzativa
Sicurezza Fisica
Aree Sicure
Barriere all'ingresso
Per tutte le sedi che compongono il Centro Servizi sono previste
delle barriere perimetrali (mura, pareti, cancelli ad accesso
controllato, tornelli, etc.) ed ogni sito operativo dispone di un
piano della sicurezza fisica in linea con lo standard ISO27001.
1. Un Centro servizi Metropolitano
L'area su cui insiste l'edificio e' interamente recintata e
controllata da telecamere.
Per accedere all'edificio occorre superare uno sbarramento
comandato dal personale della guardiania posto vicino al cancello
d'ingresso dove avviene il riconoscimento tramite badge o documento
di identita' per tutte le persone in ingresso e, successivamente, un
servizio di reception presso il quale sono registrati gli ospiti e
consegnati i badge magnetici temporanei.
Per entrare nelle aree del CED in cui sono presenti le macchine
elaborative e gli apparati di rete, occorre superare un ulteriore
sbarramento, ossia le bussole antirapina comandate attraverso il
riconoscimento di badge magnetici autorizzati.
Le finestre e le porte sono antintrusione in quanto
videosorvegliate e allarmate.
2. Un secondo Centro servizi Metropolitano
L'area su cui insiste l'edificio e' interamente recintata e
controllata da telecamere. Per accedere all'edificio occorre superare
uno sbarramento comandato dal personale della guardiania posto vicino
al cancello d'ingresso dove avviene il riconoscimento tramite badge o
documento di identita' per tutte le persone in ingresso e,
successivamente, un servizio di reception presso il quale sono
registrati gli ospiti e consegnati i badge magnetici temporanei. Per
entrare nelle aree del CED in cui sono presenti le macchine
elaborative e gli apparati di rete, occorre superare un ulteriore
sbarramento: le bussole antirapina comandate attraverso il
riconoscimento di badge magnetici autorizzati. Le finestre e le porte
sono antintrusione in quanto videosorvegliate e allarmate.
3. Un Centro servizi Italia settentrionale
L'area su cui insiste il comprensorio e' interamente recintata e
controllata da telecamere. Tra l'area parcheggio per il personale
addetto al Data Center e per gli ospiti e l'edificio e' presente
un'ulteriore separazione. Per accedere all'edificio occorre superare
la reception. Per entrare nelle aree del Data Center in cui sono
presenti le macchine elaborative e gli apparati di rete, occorre
superare una serie di ulteriori sbarramenti tipo porta di accesso al
piano e accesso alle sale CED, attraverso il riconoscimento di badge
magnetici autorizzati per la disattivazione dell'allarme.
Controllo degli ingressi
Le aree da proteggere sono controllate in modo da assicurare che
solamente il personale autorizzato possa accedere alle strutture.
Protezione dell'edificio e dei locali del Data Center da disastri
ambientali o provocati dall'uomo
Per tutti i Data Center che compongono il Centro Servizi sono
messe in atto protezioni per far fronte a minacce di natura
ambientale e minacce di disastri per opera dell'uomo quali:
incendio
allagamento
terremoto
fulmini
esplosioni
attentati terroristici.
In sintesi, le protezioni/misure messe in atto in tutti e tre i
Data Center e per la sede operativa sono:
costruzione antisismica
impianto antincendio (dispositivi attivi e passivi a seconda
dei locali) parafulmine
pavimentazione delle sale rialzata e sonde per rilevazione
allagamenti barriere all'ingresso a piu' livelli (misura prevista
solo per i Data Center).
Sicurezza delle apparecchiature
Ubicazione sicura delle apparecchiature
Le apparecchiature presenti in tutte le sedi che compongono il
Centro Servizi sono posizionate in modo da ridurre i rischi
ambientali e i rischi dovuti a un accesso non autorizzato.
Impianti per la protezione delle apparecchiature e alimentazione
elettrica alternativa
Per proteggere le apparecchiature sono usati impianti per
garantire il funzionamento delle stesse e il mantenimento di
parametri ambientali richiesti dal costruttore delle apparecchiature.
Le apparecchiature e gli stessi impianti sono alimentati da corrente
elettrica e quindi sono attuate adeguate protezioni da cadute di
corrente.
A protezione del buon funzionamento delle apparecchiature, sono
installati opportunamente gli impianti a supporto delle
apparecchiature:
impianto elettrico e alimentazione elettrica adeguati al carico
richiesto;
impianto per il condizionamento dell'aria e la ventilazione;
impianti idraulici.
Le apparecchiature di tali impianti sono tenute costantemente
sotto controllo e periodicamente testate per ridurre al minimo i
rischi derivanti da un loro malfunzionamento.
Le apparecchiature sono protette nei confronti di possibili
mancanze di energia elettrica o per malfunzionamenti negli apparati
di controllo dei parametri indicati dai costruttori. Sono previsti
gruppi di continuita' (UPS) per tutte le apparecchiature informatiche
e uno o piu' generatori di corrente alternativi. Inoltre:
gli UPS e i generatori alternativi sono regolarmente
controllati;
sono previste luci di emergenza per accedere alle
apparecchiature in caso di mancanza di luce primaria;
sono previsti sistemi di allarme per avvisare per tempo
eventuali malfunzionamenti degli impianti;
sono previsti quadri elettrici a norma che consentano la
separazione dell'alimentazione elettrica nei vari ambienti.
Protezione dei cablaggi da intercettazioni o da danni fisici
I cablaggi per l'alimentazione elettrica e per la rete dati sono
protetti da intercettazioni e danneggiamenti.
Sicurezza Logica
Sicurezza delle reti
Di seguito sono descritti in generale i controlli per la
sicurezza delle reti:
per la rete pubblica e' utilizzato il Sistema Pubblico di
Connettivita' (SPC), che e' stato progettato per essere utilizzato
anche da cittadini e imprese che siano dotati di opportune
credenziali (per es. CIE e CNS). L'architettura di SPC prevede
un'organizzazione articolata per la sicurezza, nella quale le
strutture operanti in ciascun dominio sono interconnesse e coordinate
in modo tale da costituire virtualmente un'unica struttura operativa.
per la rete locale, le contromisure realizzate sono:
DMZ (rete demilitarizzata) su cui sono attestate le macchine
raggiungibili dall'esterno (tipicamente web server);
firewall di front-end tra la DMZ e l'esterno con funzioni di
filtraggio e apposite configurazioni di routing;
firewall di back-end per filtrare il traffico tra la DMZ e la
rete interna;
rete interna o protetta su cui sono attestate le macchine che
non devono essere raggiunte dall'esterno ma che possono essere
raggiunte solamente da macchine che si trovano in DMZ o da altre
macchine attestate sulla rete interna;
suddivisione della rete in VLAN per tenere separati i domini
applicativi tra di loro e consentire, attraverso opportune
configurazioni di apparati di rete come i firewall, solamente il
transito dei dati all'interno del dominio, fatta eccezione per
specifiche macchine di gateway del dominio stesso che rappresentano
l'interfaccia verso l'esterno del dominio;
controllo del traffico di rete - per garantire che la rete sia
utilizzata esclusivamente dall'utenza autorizzata e nelle modalita'
definite dai profili di abilitazione (ovvero quali servizi di rete e'
possibile usare e come) sono state realizzate misure efficaci di
identificazione e autenticazione dell'utente e di controllo degli
accessi ai servizi di rete, quali l'utilizzo di dispositivi firewall,
dislocati nei punti di interconnessione tra reti TCP/IP distinte, che
hanno il compito di controllare gli accessi alle risorse di rete
interconnesse. Tale controllo e' effettuato filtrando i messaggi in
transito e facendo passare solo quelli che rispondono ai requisiti
definiti dalle politiche di sicurezza definite dal Cliente o dalle
specifiche del servizio o, in loro assenza, dalle best practice. Le
macchine firewall presso i Data Center hanno una configurazione tale
da minimizzarne le vulnerabilita' a fronte di attacchi informatici
che possano pregiudicare l'integrita' del software stesso. I file di
log sono mantenuti per finalita' di trouble shooting, per un periodo
da uno a tre mesi in relazione allo spazio occupato;
riservatezza - adozione del protocollo HTTPS (SSL), per
consentire l'accesso a siti pubblici da parte di un ampio bacino di
utenza proteggendo mediante cifratura le informazioni che viaggiano
in rete.
integrita' - il requisito di integrita' ha l'obiettivo di
proteggere dai cosiddetti attacchi attivi verificando in fase di
ricezione se sono state apportate modifiche alle singole unita' dei
dati o alla sequenza delle stesse. Gli attacchi attivi comportano
un'alterazione o una modifica dei dati trasmessi. Presso i Data
Center metropolitani i firewall esterni sono configurati in modo che
e' consentito in maniera controllata il traffico verso l'esterno
mentre il traffico verso la rete interna e' consentito solo in
risposta a quello verso l'esterno. Il traffico proveniente da
internet e' bloccato a eccezione di quello verso la DMZ che comunque
viene controllato in termini di indirizzi accessibili e di protocolli
consentiti. Policy e regole di routing sui firewall consentono il
traffico tra DMZ e rete interna in modo controllato;
disponibilita' della rete - l'architettura SPC prevede apparati
di rete ridondati o comunque disposti in modo tale che l'eventuale
guasto o danneggiamento di uno di essi non possa pregiudicare il
funzionamento complessivo del servizio.
autenticazione - garantisce l'entita' ricevente
sull'autenticita' dell'entita' mittente e dei dati ricevuti. Il
requisito e' risolto, per gli accessi da internet da parte degli
utenti esterni, mediante la realizzazione di opportune VPN con
autenticazione mediante UserId e Password, per gli accessi dalla rete
interna, mediante connessioni realizzate esclusivamente su rete SPC
Intranet.
3. Ambienti Amazon Web Service (AWS)
Gli elementi che concorrono a definire l'infrastruttura
necessaria sono ospitati nel Cloud Pubblico di AWS che assicura i
massimi livelli di sicurezza e di resilienza tali da consentire, in
caso di malfunzionamenti HW o SW o di perdita di contenuti
informativi, il ripristino tempestivo. Inoltre, le attivita' di
Governo previste su tali apparati sono tali da garantire un continuo
e costante aggiornamento delle soluzioni adottate.
Tutti gli elementi dell'infrastruttura sono progettati e
realizzati in logica ridondata per garantire l'alta affidabilita' del
servizio e senza Single Point of Failure (dispositivi, connettivita'
ecc.).
I Data Center di AWS, il Cloud Service Provider (CSP) sono stati
realizzati e progettati seguendo gli standard IT definiti da
normative, regolamenti, conformita' e framework e valutati
qualitativamente da audit di terze parti indipendenti e certificati
da enti specializzati. AWS dispone di certificazioni di conformita'
ai sensi degli standard ISO/IEC 27001:2013, 27017:2015, 27018:2019,
27701:2019, 22301:2019, 9001:2015 e CSA STAR CCM v4.0.
Rif.: https://aws.amazon. com/it/compliance/iso-certified/
Parte di provvedimento in formato grafico
4. Politica di Backup
La tabella seguente riporta le politiche di backup attuate per i data
base:
=====================================================================
| |TIPO RMAN: Fisico, | | |
|Tipologia DB | EXDP: Logico | FREQUENZA | RETENTION |
|=============+=========================+==============+============+
| |Archive |Giornaliera |7gg |
|ORACLE |-------------------------+--------------+------------+
| |FULL |Settimanale |28gg |
|-------------+-------------------------+--------------+------------+
| |FULL (in locale) |Giornaliero |7gg * |
|MySQL |-------------------------+--------------+------------+
| |Backup fisico intera MV |Giornaliero |30gg |
|-------------|-------------------------+--------------+------------+
| |FULL (in locale) |Giornaliero |7gg |
|MARIA DB |-------------------------+--------------+------------+
| |Backup fisico intera MV |Giornaliero |30gg |
|-------------+-------------------------+--------------+------------+
| |- |- |- |
|MONGO DB |-------------------------+--------------+------------+
| |Backup fisico intera MV |Giornaliero |30gg |
|-------------+-------------------------+--------------+------------+
| |FULL (in locale) |Giornaliero |7gg * |
|POSTGRES |-------------------------+--------------+------------+
| |Backup fisico intera MV |Giornaliero |30gg |
|-------------+-------------------------+--------------+------------+
| |- |- |- |
|SQLServer |-------------------------+--------------+------------+
| |Backup fisico intera MV |Giornaliero |30gg |
+-------------+-------------------------+--------------+------------+
* Per un ristretto numero di macchine legacy migrate in SPC, la cui
configurazione pre esistente non aveva un dimensionamento dello
storage adeguato ad attuare la politica di retention dei backup in
locale definita per SPC di 7gg, e' mantenuto in linea 1 backup
giornaliero.
La tabella seguente riporta le politiche di backup attuate per i
server che sono gestiti tramite macchine virtuali:
=====================================================================
| | Tipo di | | |
| Ambiente | Backup | Frequenza | Retention |
+===============+=============+====================+================+
|Macchine |Full (di tipo| | |
|Virtuali |fisico) |Giornaliera | 30 giorni |
+---------------+-------------+--------------------+----------------+
Il ripristino dei dati sara' eseguito a fronte di una richiesta
dell'Amministrazione o dei referenti degli altri servizi contrattuali
autorizzati dall'Amministrazione medesima.
Nel caso di perdita e/o corruzione di dati segnalata dall'utente,
quest'ultimo deve fornire tutte le necessarie informazioni per
eseguire il restore.
Nelle attivita' di restore ci si atterra' per quanto possibile a
procedure standard che prevedono, per esempio, a seconda delle
necessita', attivita' di ripristino prendendo in input:
ultimo salvataggio completo
ultimo salvataggio differenziale
i salvataggi dei file successivi al salvataggio completo o a
quello differenziale e comunque immediatamente precedenti alla
situazione che ha causato la richiesta di ripristino.
A completamento delle operazioni di restore la procedura prevede
la verifica del buon esito delle operazioni di ripristino e
l'attivazione delle opportune procedure di ripartenza. In caso di
esito positivo sara' comunicato all'Amministrazione o ai referenti
degli altri servizi coinvolti nella richiesta l'avvenuto ripristino
dei dati e/o dei sistemi.
5. Cyber Security
SOC / CSIRT
Il SOC / CSIRT garantisce il controllo della sicurezza del
patrimonio informativo e la protezione attiva da minacce e incidenti
di cybersecurity.
Il SOC / CSIRT e' una funzione specializzata nell'erogazione di
servizi gestiti e professionali di sicurezza informatica che si
avvale di risorse altamente qualificate e con una vasta gamma di
certificazioni professionali di settore (ad esempio: CISSP, OPST
OSSTMM e certificazioni sulle principali tecnologie per la gestione
della sicurezza). Nella funzione sono presenti team che operano in
sinergia con differenti modalita' operative:
un team di primo livello per il monitoraggio real time,
gestione degli apparati e dei prodotti, gestione delle misure di
sicurezza logica, applicative e dei dati, configuration management,
patching/hardening dei sistemi, rilevazione e segnalazione di
attacchi, comportamenti fraudolenti, violazioni ed eventi rilevanti;
gestione delle utenze amministrative; reportistica e supporto alla
gestione della continuita' operativa.
un team di analisti, architetti e specialisti di sicurezza che
effettuano attivita' sia di analisi e definizione delle misure di
prevenzione sia di secondo livello nella gestione degli incidenti.
Per quello che riguarda soluzioni e strumenti, il SOC si avvale
di una infrastruttura tecnologica integrata come indicato nella
figura seguente
Parte di provvedimento in formato grafico
I servizi erogati dal SOC/ CSIRT sono i seguenti:
Advancd Endpoint Protection
Il servizio e' erogato tramite una soluzione basata su tecnologia
certificata FIPS e CC EAL 4+ per la sicurezza dei contenuti digitali
per i server e fornisce le funzionalita':
Antivirus & Antimalware
La soluzione si integra con gli ambienti VMware per la protezione
agentless o fornisce un agent per la difesa dei server sia fisici che
virtuali.
Host IPS e Virtual Patching
Questo modulo ha il compito di proteggere le VM da vulnerabilita'
note e zero-day. Grazie al proprio database interno offre regole gia'
pronte per oltre 100 applicazioni ed ha il compito di distribuire
velocemente le patch inerenti eventuali zero-day rilevati. La console
permette l'implementazione su larga scala in pochi minuti senza
richiedere un riavvio dei sistemi impattati.
Gestione WAF
La soluzione Web Application Firewall (WAF) e' uno strumento che
funge da controllore del traffico web diretto alle applicazioni da
proteggere in maniera del tutto trasparente per le applicazioni
stesse.
Il suo punto di forza e' riuscire ad interpretare il traffico
HTTP con lo scopo di rilevare e bloccare cyber attacchi. Tale
funzionalita' richiede di definire le regole di protezione
dell'applicazione analizzandone il normale utilizzo. Inoltre, il WAF
consente l'abilitazione di regole custom di vario tipo atte, ad
esempio, a consentire l'accesso ad URL amministrative solo
particolari IP oppure a disabilitare alcuni metodi http ritenuti
vulnerabili oppure ancora a securizzare i cookie, crittografandoli.
Fornisce inoltre la possibilita' di monitorare in real-time il
livello di sicurezza e di generare una serie di report,
personalizzabili, al fine di certificare la compliance a determinati
standard o per consentire analisi sul livello di protezione delle
applicazioni. L'attivita' di monitoraggio si rivela particolarmente
utile per individuare e risolvere in modo proattivo eventuali falsi
positivi e, quindi, possibili disservizi all'utenza.
Attraverso Web Application Firewall si effettuera' il controllo
del traffico HTTP, definendo regole di protezione di vario tipo
quali, ad esempio, consentire l'accesso ad URL amministrative solo a
particolari IP oppure disabilitare alcuni metodi http ritenuti
vulnerabili oppure ancora securizzare i cookie, crittografandoli.
Sara' anche possibile monitorare in real-time il livello di sicurezza
e generare report atti, se necessario, a certificare la compliance a
determinati standard o a consentire analisi sul livello di protezione
dell'applicazione.
Anti-DDOS
Il servizio e' erogato mediante un'architettura cloud connessa
con CDN dedicata al Data Center che permette di proteggere i sistemi
retrostanti da possibili attacchi DDOS che, basandosi sulla
generazione di un quantitativo enorme di traffico, tentano di rendere
il sistema non raggiungibile. L'uso di una soluzione basata sul cloud
permette di sfruttare la naturali caratteristiche di resilienza di
tale infrastruttura lasciando inalterata l'infrastruttura di
effettiva erogazione del servizio.
Il sistema Anti-DDOS erogato permette di intercettare molteplici
tipi di attacchi DDOS, sia basati sul livello 2 che superiori della
pila ISO/OSI, mettendo a disposizione strumenti personalizzabili sui
limiti di sicurezza del cliente; per ogni attacco identificato
permette di personalizzare una corretta reazione che varia dalla
semplice annotazione sui log fino al blocco della connessione.
La protezione puo' essere attivata agendo sia sulla limitazione
del traffico per singolo IP (tcp session limit rates, tcp flooding
limits, http limit rates, Malicious IPs, etc.), sia proponendo una
soluzione di «diversion» basato su challenge (javascript based,
captcha, etc.).
Il sistema e' integrato con la piattaforma di SIEM per una
gestione integrata delle segnalazioni.
Log Management / SIEM
Il servizio consente di:
Raccogliere e centralizzare i log ed archiviarli per un periodo
congruo con la normativa in vigore
Effettuare il parsing e la normalizzazione degli eventi
Effettuare analisi e correlazione in real-time delle
informazioni raccolte, attraverso la configurazione di regole di
correlazione e alert finalizzati all'individuazione e gestione di
incident di sicurezza
Effettuare reportistica sui dati archiviati
Verranno integrati sul SIEM i sistemi in esercizio raccogliendo
una tipologia di log standard per tutti (es: accesso Ads) utili sia a
rispettare la compliance alla normativa sulla Privacy, sia ad
alimentare un set standard di regole SIEM defnite in ambito SPC per
rilevare incident di sicurezza. Per implementare la raccolta degli
eventi dai sistemi per mezzo della soluzione SIEM adottata, la
piattaforma necessita di essere gestita in sinergia con le procedure
utilizzate per il delivery/deploy, la conduzione e la dismissione dei
sistemi.
L'attivita' prevede la raccolta e archiviazione centralizzata dei
log per un periodo congruo con la normativa in vigore, il parsing e
la normalizzazione degli eventi, l'analisi delle informazioni
raccolte, attraverso la configurazione di regole di correlazione e
l'invio di alert finalizzati all'individuazione e gestione di
incident di Sicurezza, con produzione di eventuali report sui dati
archiviati.
Il SOC/CSIRT del Centro Servizi, rispetto ad eventi ed incidenti
di Sicurezza, si interfaccera' con il SOC Sogin, secondo tempi e
modalita' di comunicazione concordate in fase di avvio dei servizi.
Il SIEM del Cero servizi potra' essere configurato per l'invio in
formato standard Syslog degli eventi di sicurezza al SOC indicato da
Sogin.
Eventuali esigenze aggiuntive richieste dal cliente, potranno
essere concordate con il team del SOC/CSIRT.
Vulnerability Assessment e Penetration Test
Il servizio di Vulnerability Assessment (VA o VA standard) si
pone come scopo la definizione, identificazione, classificazione e
prioritizzazione delle vulnerabilita' potenziali dei sistemi,
applicazione o reti che potrebbero compromettere la riservatezza,
l'integrita' e la disponibilita' dei dati. Il VA fornisce, quindi,
una mappatura delle vulnerabilita' rilevate, riducendo la
probabilita' d violazioni dei sistemi.
Il servizio di Vulnerability Assessment viene erogato mediante
una scansione automatica mediante lo strumento di assessment in
maniera tale da garantire un processo di ricerca sistematica delle
vulnerabilita' del sistema e della rete oggetto di valutazione.
Il Vulnerability Assessment viene effettuato prima dell'avvio in
esercizio dei sistemi e periodicamente con frequenza annuale.
Il Penetration Test Infrastrutturale ha lo scopo di verificare il
livello di sicurezza degli elementi infrastrutturali (quali router,
switch, etc.) e di difesa perimetrale (firewall, IPS, etc,) che
costituiscono la rete. Il Penetration Test Applicativo viene svolto
secondo la metodologia OWASP mediante l'esecuzione di una serie di
tentativi di attacco, che coinvolgono i protocolli e le logiche di
comunicazione utilizzati dagli utenti finali per interagire con le
applicazioni (attacco ai web server, alla struttura applicativa, ai
sistemi di autenticazione e autorizzazione, alle interfacce di
gestione, ai sistemi client, ...).
Il Penetration Test e' previsto prima dell'avvio in esercizio
delle applicazioni e periodicamente con frequenza annuale.
Eventuali esigenze aggiuntive richieste dal cliente, potranno
essere concordate con il team del SOC/CSIRT.
6. Sicurezza Organizzativa
La componente di sicurezza e' regolata da un sistema strutturato
e controllato di ruoli, responsabilita', processi e procedure del
SGSI formalizzato nel Piano di Sicurezza.
Con riferimento ai principi della ISO27001, il modello logico
delle responsabilita': le mansioni sono assegnate alle
figure/funzioni che cooperano nell'erogazione dei processi e servizi
compresi nel perimetro del SGSI e sono raggruppate in tre diverse
componenti: organizzativa (assegnata ai team SGSI), operativa
(assegnata ai team SOC e Continuita' Operativa), controllo e
improvement (assegnata ai team SGSI). Il Comitato per la Sicurezza ha
il compito di indirizzare in modo efficace anche tutti gli aspetti
organizzativi. Ad esempio, vengono definite ed attuate, in linea con
le prescrizioni della ISO 27001: le procedure codificate e
differenziate per l'accesso fisico agli edifici ed ai locali in cui
sono situati gli apparati di erogazione dei servizi; le procedure di
classificazione delle informazioni; le procedure di gestione, backup
e restore, conservazione e cancellazione delle informazioni.
Il modello organizzativo per la sicurezza e' quindi articolato
in:
Responsabile della Sicurezza, che coordina tutti i gruppi di
lavoro in ambito security;
Comitato per la Sicurezza, un elemento di Governo in cui si
concentrano competenze legali, IT, di sicurezza, procedurali;
Il team del Sistema di Gestione della Sicurezza delle
Informazioni (SGSI) che svolge le attivita' di pianificazione,
implementazione delle contromisure, verifica e miglioramento continuo
previsti dal sistema di gestione certificato ISO27001.