Allegato tecnico 1. Dati e trattamenti I dati personali dell'interessato sono trattati per il perseguimento delle finalita' connesse all'espletamento delle attivita' demandate al Dipartimento della funzione pubblica (di seguito, «Dipartimento») dall'35-ter del decreto legislativo 30 marzo 2001, n. 165. I dati personali vengono conservati per il tempo strettamente necessario allo svolgimento delle suesposte finalita' e, una volta scaduti i rispettivi termini, i dati personali saranno cancellati e/o resi anonimi in modo da impedire, anche indirettamente, l'identificazione dell'interessato. 1.1 Misure per assicurare l'integrita' e la riservatezza dei dati personali Le misure di sicurezza organizzativa/procedurale messe in atto dal Dipartimento sono di seguito elencate: Privacy policy; Procedura di data breach; Procedura di DPIA; Modello di nomina dei responsabili del trattamento e relative istruzioni; Modello di nomina dei soggetti autorizzati del trattamento e relative istruzioni; Nomina del Responsabile della protezione dei dati. Misure procedurali/organizzative di sicurezza adottate Accesso controllato aree fisiche Accesso fisico ai dati (es. armadi chiusi) Accesso digitale ai dati (es. autenticazione e autorizzazione) Formazione Istruzioni per il trattamento Nomina per iscritto personale Nomina Amministratore di sistema Nomina per iscritto responsabili esterni Policy aziendali Policy aziendali utilizzo posta elettronica Procedura data breach Procedura gestione dati (variazione, cancellazione) Misure tecniche di sicurezza adottate - Misure Digitali Antivirus/AntiSpam Autenticazione Autorizzazione Business continuity Data Inventory & Classification Disaster recovery DLP (Data Loss Prevention) Firewall/WAF (Web Application Firewall) Intrusion Detection/Intrusion Prevention Monitoraggio/Log Management Log Amministratori di sistema Separazione (VLAN, Virtual Local Area Network) Trattamento Dati -> Cifratura dei dati Back Up periodici Misure tecniche di sicurezza adottate - Misure Fisiche Armadi/cassettiere chiusi a chiave Autorizzazione di accesso - Badge - Sistema Biometrico Guardiania/Presidio fisico locali Sistemi di rilevamento accessi (es: sensori di accesso) Sistemi di registrazione (es: telecamere) 1.2 Sintesi delle caratteristiche tecniche del Portale Di seguito si riporta una sintesi delle caratteristiche tecniche rilevanti del Portale; tali caratteristiche sono da considerarsi «minime» da garantire per l'adeguamento e l'evoluzione delle caratteristiche tecniche del Portale. La soluzione infrastrutturale presenta le seguenti caratteristiche: Adozione di un WAF (Web Application Firewall) in cloud (SaaS - Security as a Service) al fine di avere un'efficace linea di contenimento verso le minacce piu' diffuse, come ad esempio attacchi DDoS, malware e attacchi zero-day; Continuita' operativa garantita dall'utilizzo congiunto del Centro Servizi SPC e di un Cloud Service Provider qualificato da AgID per un'erogazione «diversificata» del servizio in termini di: Connettivita'; Infrastruttura tecnologica. Di seguito una sintesi dello stack tecnologico utilizzato: Wordpress: sistema di gestione dei contenuti (CMS) per l'area pubblica del portale; Spring Framework + Spring Boot: framework base per lo sviluppo di tutte le componenti della piattaforma; Spring Security: framework del progetto Spring per la gestione dell'autenticazione e della profilazione degli utenti; Spring MVC REST + Jackson: API; Spring Data JPA + Bean Validation: interfacciamento alla base dati; Angular: User Interface; Maven: compilazione, unit testing e deploy delle applicazioni; Netflix OSS: orchestrazione e gestione dei micro-servizi. Web Application Firewall (WAF): Il firewall per applicazioni web utilizzato e' Fortiweb basato su cloud Security as a Service (SaaS). Le sue caratteristiche riguardano: Scalabilita' sufficiente per proteggere dagli attacchi DoS e DDoS piu' imponenti; Performance elevate anche durante gli attacchi grazie all'architettura distribuita globalmente; Approccio completo alla protezione delle applicazioni web tra cui IP reputation, protezione DDoS, convalida del protocollo, signature per rilevare attacchi contro le applicazioni, mitigazione dei bot e molto altro per difendere le applicazioni web da un'ampia gamma di minacce; Apprendimento automatico che costruisce e aggiorna automaticamente un modello di comportamento normale dell'utente e utilizza tale modello per identificare il traffico benigno e dannoso delle applicazioni. Il Portale risiede nelle sedi dei CED del Fornitore (una sede situata nell'area dell'Italia centrale e una diversa sede situata nell'area settentrionale) e sull'infrastruttura del cloud provider qualificato Amazon AWS (Irlanda). L'architettura dei Centri Servizi garantisce al Portale BC (Business Continuity) e DR (Disaster Recovery). 2. Centri Servizi del Fornitore 2.1 Infrastruttura Gli elementi che concorrono a definire l'infrastruttura necessaria sono ospitati nel Cento Servizi che assicura i massimi livelli di sicurezza tali da consentire, in caso di malfunzionamenti HW o SW o di perdita di contenuti informativi, il ripristino tempestivo della situazione. Inoltre, le attivita' di Governo previste su tali apparati sono tali da garantire un continuo e costante aggiornamento delle soluzioni adottate. Tutti gli elementi dell'infrastruttura del Centro Servizi sono progettati e realizzati in logica ridondata per garantire l'alta affidabilita' del servizio e senza Single Point of Failure (dispositivi, connettivita' ecc.). 2.2 Continuita' Operativa Il Centro Servizi e' certificato ISO27001 ed e' organizzato su 3 Data Center dislocati sul territorio italiano che ospitano sia il personale sia l'infrastruttura dedicata alle amministrazioni contraenti. Due Data Center sono situati nell'area dell'Italia centrale integrati con una soluzione di «cluster metropolitano» per garantire eccellenza in termini di bilanciamento del carico elaborativo e di Business Continuity. I Data Center sono inoltre certificati ISO 20000 per l'IT Service Management, ISO 22301 per la Business Continuity, ISO 14001 e ISO 50001 per qualita'/impatto ambientale. Vi e' un terzo Data Center situato nell'Italia settentrionale che completa la soluzione di continuita' operativa implementando le funzionalita' di Disaster Recovery. Il «cluster metropolitano» offerto dal Centro Servizi costituisce una innovativa architettura di data center, che garantisce elevati livelli di scalabilita' a fronte di improvvisi picchi di carico e la massima resilienza a fronte della indisponibilita' parziale o totale delle singole componenti infrastrutturali. Complessivamente la soluzione consente: una completa Business Continuity con parametri di RTO e RPO prossimi a zero. Gli apparati, le tecnologie e le competenze impegnate consentono di erogare gli stessi servizi indifferentemente, dall'uno o dall'altro Data Center garantendo sempre la continuita', in caso di disastro parziale o totale di uno dei due siti; elevati livelli di performance garantiti dal bilanciamento dinamico del carico e la conseguente massima ottimizzazione delle performance dei sistemi e degli strumenti utilizzati per l'erogazione dei servizi; un Disaster Recovery, che si affianca al Cluster Metropolitano per garantire la continuita' operativa in caso di disastro che coinvolga entrambi i siti del cluster. L'infrastruttura messa a disposizione e le tecniche di replica dei dati adottate consentono di garantire RTO pari a 4h e RPO pari a 1h. 2.3 Sicurezza La soluzione di sicurezza del RTI e' in grado di fornire Misure di Sicurezza su 3 livelli distinti: Sicurezza fisica Sicurezza logica Sicurezza organizzativa Sicurezza Fisica Aree Sicure Barriere all'ingresso Per tutte le sedi che compongono il Centro Servizi sono previste delle barriere perimetrali (mura, pareti, cancelli ad accesso controllato, tornelli, etc.) ed ogni sito operativo dispone di un piano della sicurezza fisica in linea con lo standard ISO27001. 1. Un Centro servizi Metropolitano L'area su cui insiste l'edificio e' interamente recintata e controllata da telecamere. Per accedere all'edificio occorre superare uno sbarramento comandato dal personale della guardiania posto vicino al cancello d'ingresso dove avviene il riconoscimento tramite badge o documento di identita' per tutte le persone in ingresso e, successivamente, un servizio di reception presso il quale sono registrati gli ospiti e consegnati i badge magnetici temporanei. Per entrare nelle aree del CED in cui sono presenti le macchine elaborative e gli apparati di rete, occorre superare un ulteriore sbarramento, ossia le bussole antirapina comandate attraverso il riconoscimento di badge magnetici autorizzati. Le finestre e le porte sono antintrusione in quanto videosorvegliate e allarmate. 2. Un secondo Centro servizi Metropolitano L'area su cui insiste l'edificio e' interamente recintata e controllata da telecamere. Per accedere all'edificio occorre superare uno sbarramento comandato dal personale della guardiania posto vicino al cancello d'ingresso dove avviene il riconoscimento tramite badge o documento di identita' per tutte le persone in ingresso e, successivamente, un servizio di reception presso il quale sono registrati gli ospiti e consegnati i badge magnetici temporanei. Per entrare nelle aree del CED in cui sono presenti le macchine elaborative e gli apparati di rete, occorre superare un ulteriore sbarramento: le bussole antirapina comandate attraverso il riconoscimento di badge magnetici autorizzati. Le finestre e le porte sono antintrusione in quanto videosorvegliate e allarmate. 3. Un Centro servizi Italia settentrionale L'area su cui insiste il comprensorio e' interamente recintata e controllata da telecamere. Tra l'area parcheggio per il personale addetto al Data Center e per gli ospiti e l'edificio e' presente un'ulteriore separazione. Per accedere all'edificio occorre superare la reception. Per entrare nelle aree del Data Center in cui sono presenti le macchine elaborative e gli apparati di rete, occorre superare una serie di ulteriori sbarramenti tipo porta di accesso al piano e accesso alle sale CED, attraverso il riconoscimento di badge magnetici autorizzati per la disattivazione dell'allarme. Controllo degli ingressi Le aree da proteggere sono controllate in modo da assicurare che solamente il personale autorizzato possa accedere alle strutture. Protezione dell'edificio e dei locali del Data Center da disastri ambientali o provocati dall'uomo Per tutti i Data Center che compongono il Centro Servizi sono messe in atto protezioni per far fronte a minacce di natura ambientale e minacce di disastri per opera dell'uomo quali: incendio allagamento terremoto fulmini esplosioni attentati terroristici. In sintesi, le protezioni/misure messe in atto in tutti e tre i Data Center e per la sede operativa sono: costruzione antisismica impianto antincendio (dispositivi attivi e passivi a seconda dei locali) parafulmine pavimentazione delle sale rialzata e sonde per rilevazione allagamenti barriere all'ingresso a piu' livelli (misura prevista solo per i Data Center). Sicurezza delle apparecchiature Ubicazione sicura delle apparecchiature Le apparecchiature presenti in tutte le sedi che compongono il Centro Servizi sono posizionate in modo da ridurre i rischi ambientali e i rischi dovuti a un accesso non autorizzato. Impianti per la protezione delle apparecchiature e alimentazione elettrica alternativa Per proteggere le apparecchiature sono usati impianti per garantire il funzionamento delle stesse e il mantenimento di parametri ambientali richiesti dal costruttore delle apparecchiature. Le apparecchiature e gli stessi impianti sono alimentati da corrente elettrica e quindi sono attuate adeguate protezioni da cadute di corrente. A protezione del buon funzionamento delle apparecchiature, sono installati opportunamente gli impianti a supporto delle apparecchiature: impianto elettrico e alimentazione elettrica adeguati al carico richiesto; impianto per il condizionamento dell'aria e la ventilazione; impianti idraulici. Le apparecchiature di tali impianti sono tenute costantemente sotto controllo e periodicamente testate per ridurre al minimo i rischi derivanti da un loro malfunzionamento. Le apparecchiature sono protette nei confronti di possibili mancanze di energia elettrica o per malfunzionamenti negli apparati di controllo dei parametri indicati dai costruttori. Sono previsti gruppi di continuita' (UPS) per tutte le apparecchiature informatiche e uno o piu' generatori di corrente alternativi. Inoltre: gli UPS e i generatori alternativi sono regolarmente controllati; sono previste luci di emergenza per accedere alle apparecchiature in caso di mancanza di luce primaria; sono previsti sistemi di allarme per avvisare per tempo eventuali malfunzionamenti degli impianti; sono previsti quadri elettrici a norma che consentano la separazione dell'alimentazione elettrica nei vari ambienti. Protezione dei cablaggi da intercettazioni o da danni fisici I cablaggi per l'alimentazione elettrica e per la rete dati sono protetti da intercettazioni e danneggiamenti. Sicurezza Logica Sicurezza delle reti Di seguito sono descritti in generale i controlli per la sicurezza delle reti: per la rete pubblica e' utilizzato il Sistema Pubblico di Connettivita' (SPC), che e' stato progettato per essere utilizzato anche da cittadini e imprese che siano dotati di opportune credenziali (per es. CIE e CNS). L'architettura di SPC prevede un'organizzazione articolata per la sicurezza, nella quale le strutture operanti in ciascun dominio sono interconnesse e coordinate in modo tale da costituire virtualmente un'unica struttura operativa. per la rete locale, le contromisure realizzate sono: DMZ (rete demilitarizzata) su cui sono attestate le macchine raggiungibili dall'esterno (tipicamente web server); firewall di front-end tra la DMZ e l'esterno con funzioni di filtraggio e apposite configurazioni di routing; firewall di back-end per filtrare il traffico tra la DMZ e la rete interna; rete interna o protetta su cui sono attestate le macchine che non devono essere raggiunte dall'esterno ma che possono essere raggiunte solamente da macchine che si trovano in DMZ o da altre macchine attestate sulla rete interna; suddivisione della rete in VLAN per tenere separati i domini applicativi tra di loro e consentire, attraverso opportune configurazioni di apparati di rete come i firewall, solamente il transito dei dati all'interno del dominio, fatta eccezione per specifiche macchine di gateway del dominio stesso che rappresentano l'interfaccia verso l'esterno del dominio; controllo del traffico di rete - per garantire che la rete sia utilizzata esclusivamente dall'utenza autorizzata e nelle modalita' definite dai profili di abilitazione (ovvero quali servizi di rete e' possibile usare e come) sono state realizzate misure efficaci di identificazione e autenticazione dell'utente e di controllo degli accessi ai servizi di rete, quali l'utilizzo di dispositivi firewall, dislocati nei punti di interconnessione tra reti TCP/IP distinte, che hanno il compito di controllare gli accessi alle risorse di rete interconnesse. Tale controllo e' effettuato filtrando i messaggi in transito e facendo passare solo quelli che rispondono ai requisiti definiti dalle politiche di sicurezza definite dal Cliente o dalle specifiche del servizio o, in loro assenza, dalle best practice. Le macchine firewall presso i Data Center hanno una configurazione tale da minimizzarne le vulnerabilita' a fronte di attacchi informatici che possano pregiudicare l'integrita' del software stesso. I file di log sono mantenuti per finalita' di trouble shooting, per un periodo da uno a tre mesi in relazione allo spazio occupato; riservatezza - adozione del protocollo HTTPS (SSL), per consentire l'accesso a siti pubblici da parte di un ampio bacino di utenza proteggendo mediante cifratura le informazioni che viaggiano in rete. integrita' - il requisito di integrita' ha l'obiettivo di proteggere dai cosiddetti attacchi attivi verificando in fase di ricezione se sono state apportate modifiche alle singole unita' dei dati o alla sequenza delle stesse. Gli attacchi attivi comportano un'alterazione o una modifica dei dati trasmessi. Presso i Data Center metropolitani i firewall esterni sono configurati in modo che e' consentito in maniera controllata il traffico verso l'esterno mentre il traffico verso la rete interna e' consentito solo in risposta a quello verso l'esterno. Il traffico proveniente da internet e' bloccato a eccezione di quello verso la DMZ che comunque viene controllato in termini di indirizzi accessibili e di protocolli consentiti. Policy e regole di routing sui firewall consentono il traffico tra DMZ e rete interna in modo controllato; disponibilita' della rete - l'architettura SPC prevede apparati di rete ridondati o comunque disposti in modo tale che l'eventuale guasto o danneggiamento di uno di essi non possa pregiudicare il funzionamento complessivo del servizio. autenticazione - garantisce l'entita' ricevente sull'autenticita' dell'entita' mittente e dei dati ricevuti. Il requisito e' risolto, per gli accessi da internet da parte degli utenti esterni, mediante la realizzazione di opportune VPN con autenticazione mediante UserId e Password, per gli accessi dalla rete interna, mediante connessioni realizzate esclusivamente su rete SPC Intranet. 3. Ambienti Amazon Web Service (AWS) Gli elementi che concorrono a definire l'infrastruttura necessaria sono ospitati nel Cloud Pubblico di AWS che assicura i massimi livelli di sicurezza e di resilienza tali da consentire, in caso di malfunzionamenti HW o SW o di perdita di contenuti informativi, il ripristino tempestivo. Inoltre, le attivita' di Governo previste su tali apparati sono tali da garantire un continuo e costante aggiornamento delle soluzioni adottate. Tutti gli elementi dell'infrastruttura sono progettati e realizzati in logica ridondata per garantire l'alta affidabilita' del servizio e senza Single Point of Failure (dispositivi, connettivita' ecc.). I Data Center di AWS, il Cloud Service Provider (CSP) sono stati realizzati e progettati seguendo gli standard IT definiti da normative, regolamenti, conformita' e framework e valutati qualitativamente da audit di terze parti indipendenti e certificati da enti specializzati. AWS dispone di certificazioni di conformita' ai sensi degli standard ISO/IEC 27001:2013, 27017:2015, 27018:2019, 27701:2019, 22301:2019, 9001:2015 e CSA STAR CCM v4.0. Rif.: https://aws.amazon. com/it/compliance/iso-certified/ Parte di provvedimento in formato grafico 4. Politica di Backup La tabella seguente riporta le politiche di backup attuate per i data base: ===================================================================== | |TIPO RMAN: Fisico, | | | |Tipologia DB | EXDP: Logico | FREQUENZA | RETENTION | |=============+=========================+==============+============+ | |Archive |Giornaliera |7gg | |ORACLE |-------------------------+--------------+------------+ | |FULL |Settimanale |28gg | |-------------+-------------------------+--------------+------------+ | |FULL (in locale) |Giornaliero |7gg * | |MySQL |-------------------------+--------------+------------+ | |Backup fisico intera MV |Giornaliero |30gg | |-------------|-------------------------+--------------+------------+ | |FULL (in locale) |Giornaliero |7gg | |MARIA DB |-------------------------+--------------+------------+ | |Backup fisico intera MV |Giornaliero |30gg | |-------------+-------------------------+--------------+------------+ | |- |- |- | |MONGO DB |-------------------------+--------------+------------+ | |Backup fisico intera MV |Giornaliero |30gg | |-------------+-------------------------+--------------+------------+ | |FULL (in locale) |Giornaliero |7gg * | |POSTGRES |-------------------------+--------------+------------+ | |Backup fisico intera MV |Giornaliero |30gg | |-------------+-------------------------+--------------+------------+ | |- |- |- | |SQLServer |-------------------------+--------------+------------+ | |Backup fisico intera MV |Giornaliero |30gg | +-------------+-------------------------+--------------+------------+ * Per un ristretto numero di macchine legacy migrate in SPC, la cui configurazione pre esistente non aveva un dimensionamento dello storage adeguato ad attuare la politica di retention dei backup in locale definita per SPC di 7gg, e' mantenuto in linea 1 backup giornaliero. La tabella seguente riporta le politiche di backup attuate per i server che sono gestiti tramite macchine virtuali: ===================================================================== | | Tipo di | | | | Ambiente | Backup | Frequenza | Retention | +===============+=============+====================+================+ |Macchine |Full (di tipo| | | |Virtuali |fisico) |Giornaliera | 30 giorni | +---------------+-------------+--------------------+----------------+ Il ripristino dei dati sara' eseguito a fronte di una richiesta dell'Amministrazione o dei referenti degli altri servizi contrattuali autorizzati dall'Amministrazione medesima. Nel caso di perdita e/o corruzione di dati segnalata dall'utente, quest'ultimo deve fornire tutte le necessarie informazioni per eseguire il restore. Nelle attivita' di restore ci si atterra' per quanto possibile a procedure standard che prevedono, per esempio, a seconda delle necessita', attivita' di ripristino prendendo in input: ultimo salvataggio completo ultimo salvataggio differenziale i salvataggi dei file successivi al salvataggio completo o a quello differenziale e comunque immediatamente precedenti alla situazione che ha causato la richiesta di ripristino. A completamento delle operazioni di restore la procedura prevede la verifica del buon esito delle operazioni di ripristino e l'attivazione delle opportune procedure di ripartenza. In caso di esito positivo sara' comunicato all'Amministrazione o ai referenti degli altri servizi coinvolti nella richiesta l'avvenuto ripristino dei dati e/o dei sistemi. 5. Cyber Security SOC / CSIRT Il SOC / CSIRT garantisce il controllo della sicurezza del patrimonio informativo e la protezione attiva da minacce e incidenti di cybersecurity. Il SOC / CSIRT e' una funzione specializzata nell'erogazione di servizi gestiti e professionali di sicurezza informatica che si avvale di risorse altamente qualificate e con una vasta gamma di certificazioni professionali di settore (ad esempio: CISSP, OPST OSSTMM e certificazioni sulle principali tecnologie per la gestione della sicurezza). Nella funzione sono presenti team che operano in sinergia con differenti modalita' operative: un team di primo livello per il monitoraggio real time, gestione degli apparati e dei prodotti, gestione delle misure di sicurezza logica, applicative e dei dati, configuration management, patching/hardening dei sistemi, rilevazione e segnalazione di attacchi, comportamenti fraudolenti, violazioni ed eventi rilevanti; gestione delle utenze amministrative; reportistica e supporto alla gestione della continuita' operativa. un team di analisti, architetti e specialisti di sicurezza che effettuano attivita' sia di analisi e definizione delle misure di prevenzione sia di secondo livello nella gestione degli incidenti. Per quello che riguarda soluzioni e strumenti, il SOC si avvale di una infrastruttura tecnologica integrata come indicato nella figura seguente Parte di provvedimento in formato grafico I servizi erogati dal SOC/ CSIRT sono i seguenti: Advancd Endpoint Protection Il servizio e' erogato tramite una soluzione basata su tecnologia certificata FIPS e CC EAL 4+ per la sicurezza dei contenuti digitali per i server e fornisce le funzionalita': Antivirus & Antimalware La soluzione si integra con gli ambienti VMware per la protezione agentless o fornisce un agent per la difesa dei server sia fisici che virtuali. Host IPS e Virtual Patching Questo modulo ha il compito di proteggere le VM da vulnerabilita' note e zero-day. Grazie al proprio database interno offre regole gia' pronte per oltre 100 applicazioni ed ha il compito di distribuire velocemente le patch inerenti eventuali zero-day rilevati. La console permette l'implementazione su larga scala in pochi minuti senza richiedere un riavvio dei sistemi impattati. Gestione WAF La soluzione Web Application Firewall (WAF) e' uno strumento che funge da controllore del traffico web diretto alle applicazioni da proteggere in maniera del tutto trasparente per le applicazioni stesse. Il suo punto di forza e' riuscire ad interpretare il traffico HTTP con lo scopo di rilevare e bloccare cyber attacchi. Tale funzionalita' richiede di definire le regole di protezione dell'applicazione analizzandone il normale utilizzo. Inoltre, il WAF consente l'abilitazione di regole custom di vario tipo atte, ad esempio, a consentire l'accesso ad URL amministrative solo particolari IP oppure a disabilitare alcuni metodi http ritenuti vulnerabili oppure ancora a securizzare i cookie, crittografandoli. Fornisce inoltre la possibilita' di monitorare in real-time il livello di sicurezza e di generare una serie di report, personalizzabili, al fine di certificare la compliance a determinati standard o per consentire analisi sul livello di protezione delle applicazioni. L'attivita' di monitoraggio si rivela particolarmente utile per individuare e risolvere in modo proattivo eventuali falsi positivi e, quindi, possibili disservizi all'utenza. Attraverso Web Application Firewall si effettuera' il controllo del traffico HTTP, definendo regole di protezione di vario tipo quali, ad esempio, consentire l'accesso ad URL amministrative solo a particolari IP oppure disabilitare alcuni metodi http ritenuti vulnerabili oppure ancora securizzare i cookie, crittografandoli. Sara' anche possibile monitorare in real-time il livello di sicurezza e generare report atti, se necessario, a certificare la compliance a determinati standard o a consentire analisi sul livello di protezione dell'applicazione. Anti-DDOS Il servizio e' erogato mediante un'architettura cloud connessa con CDN dedicata al Data Center che permette di proteggere i sistemi retrostanti da possibili attacchi DDOS che, basandosi sulla generazione di un quantitativo enorme di traffico, tentano di rendere il sistema non raggiungibile. L'uso di una soluzione basata sul cloud permette di sfruttare la naturali caratteristiche di resilienza di tale infrastruttura lasciando inalterata l'infrastruttura di effettiva erogazione del servizio. Il sistema Anti-DDOS erogato permette di intercettare molteplici tipi di attacchi DDOS, sia basati sul livello 2 che superiori della pila ISO/OSI, mettendo a disposizione strumenti personalizzabili sui limiti di sicurezza del cliente; per ogni attacco identificato permette di personalizzare una corretta reazione che varia dalla semplice annotazione sui log fino al blocco della connessione. La protezione puo' essere attivata agendo sia sulla limitazione del traffico per singolo IP (tcp session limit rates, tcp flooding limits, http limit rates, Malicious IPs, etc.), sia proponendo una soluzione di «diversion» basato su challenge (javascript based, captcha, etc.). Il sistema e' integrato con la piattaforma di SIEM per una gestione integrata delle segnalazioni. Log Management / SIEM Il servizio consente di: Raccogliere e centralizzare i log ed archiviarli per un periodo congruo con la normativa in vigore Effettuare il parsing e la normalizzazione degli eventi Effettuare analisi e correlazione in real-time delle informazioni raccolte, attraverso la configurazione di regole di correlazione e alert finalizzati all'individuazione e gestione di incident di sicurezza Effettuare reportistica sui dati archiviati Verranno integrati sul SIEM i sistemi in esercizio raccogliendo una tipologia di log standard per tutti (es: accesso Ads) utili sia a rispettare la compliance alla normativa sulla Privacy, sia ad alimentare un set standard di regole SIEM defnite in ambito SPC per rilevare incident di sicurezza. Per implementare la raccolta degli eventi dai sistemi per mezzo della soluzione SIEM adottata, la piattaforma necessita di essere gestita in sinergia con le procedure utilizzate per il delivery/deploy, la conduzione e la dismissione dei sistemi. L'attivita' prevede la raccolta e archiviazione centralizzata dei log per un periodo congruo con la normativa in vigore, il parsing e la normalizzazione degli eventi, l'analisi delle informazioni raccolte, attraverso la configurazione di regole di correlazione e l'invio di alert finalizzati all'individuazione e gestione di incident di Sicurezza, con produzione di eventuali report sui dati archiviati. Il SOC/CSIRT del Centro Servizi, rispetto ad eventi ed incidenti di Sicurezza, si interfaccera' con il SOC Sogin, secondo tempi e modalita' di comunicazione concordate in fase di avvio dei servizi. Il SIEM del Cero servizi potra' essere configurato per l'invio in formato standard Syslog degli eventi di sicurezza al SOC indicato da Sogin. Eventuali esigenze aggiuntive richieste dal cliente, potranno essere concordate con il team del SOC/CSIRT. Vulnerability Assessment e Penetration Test Il servizio di Vulnerability Assessment (VA o VA standard) si pone come scopo la definizione, identificazione, classificazione e prioritizzazione delle vulnerabilita' potenziali dei sistemi, applicazione o reti che potrebbero compromettere la riservatezza, l'integrita' e la disponibilita' dei dati. Il VA fornisce, quindi, una mappatura delle vulnerabilita' rilevate, riducendo la probabilita' d violazioni dei sistemi. Il servizio di Vulnerability Assessment viene erogato mediante una scansione automatica mediante lo strumento di assessment in maniera tale da garantire un processo di ricerca sistematica delle vulnerabilita' del sistema e della rete oggetto di valutazione. Il Vulnerability Assessment viene effettuato prima dell'avvio in esercizio dei sistemi e periodicamente con frequenza annuale. Il Penetration Test Infrastrutturale ha lo scopo di verificare il livello di sicurezza degli elementi infrastrutturali (quali router, switch, etc.) e di difesa perimetrale (firewall, IPS, etc,) che costituiscono la rete. Il Penetration Test Applicativo viene svolto secondo la metodologia OWASP mediante l'esecuzione di una serie di tentativi di attacco, che coinvolgono i protocolli e le logiche di comunicazione utilizzati dagli utenti finali per interagire con le applicazioni (attacco ai web server, alla struttura applicativa, ai sistemi di autenticazione e autorizzazione, alle interfacce di gestione, ai sistemi client, ...). Il Penetration Test e' previsto prima dell'avvio in esercizio delle applicazioni e periodicamente con frequenza annuale. Eventuali esigenze aggiuntive richieste dal cliente, potranno essere concordate con il team del SOC/CSIRT. 6. Sicurezza Organizzativa La componente di sicurezza e' regolata da un sistema strutturato e controllato di ruoli, responsabilita', processi e procedure del SGSI formalizzato nel Piano di Sicurezza. Con riferimento ai principi della ISO27001, il modello logico delle responsabilita': le mansioni sono assegnate alle figure/funzioni che cooperano nell'erogazione dei processi e servizi compresi nel perimetro del SGSI e sono raggruppate in tre diverse componenti: organizzativa (assegnata ai team SGSI), operativa (assegnata ai team SOC e Continuita' Operativa), controllo e improvement (assegnata ai team SGSI). Il Comitato per la Sicurezza ha il compito di indirizzare in modo efficace anche tutti gli aspetti organizzativi. Ad esempio, vengono definite ed attuate, in linea con le prescrizioni della ISO 27001: le procedure codificate e differenziate per l'accesso fisico agli edifici ed ai locali in cui sono situati gli apparati di erogazione dei servizi; le procedure di classificazione delle informazioni; le procedure di gestione, backup e restore, conservazione e cancellazione delle informazioni. Il modello organizzativo per la sicurezza e' quindi articolato in: Responsabile della Sicurezza, che coordina tutti i gruppi di lavoro in ambito security; Comitato per la Sicurezza, un elemento di Governo in cui si concentrano competenze legali, IT, di sicurezza, procedurali; Il team del Sistema di Gestione della Sicurezza delle Informazioni (SGSI) che svolge le attivita' di pianificazione, implementazione delle contromisure, verifica e miglioramento continuo previsti dal sistema di gestione certificato ISO27001.