contratto quadro servizi di identità digitale e sicurezza ......creazione di un codice grafico...
Post on 28-Jul-2020
4 Views
Preview:
TRANSCRIPT
Classificazione: Consip public
1
Lotto 2 - ID 1403
Contratto Quadro
Servizi di identità digitale e sicurezza applicativa
Roma, 11 aprile 2016
Classificazione: Consip public
2
1. I crimini informatici
2. I servizi del Contratto Quadro
3. Identità digitali & IAM
4. Firma digitale e timbro elettronico
5. Servizi di sicurezza
6. Servizi professionali
Indice
Classificazione: Consip public
3
Da attacchi singoli, disorganizzati verso attacchi da parte di gruppi di hacker professionisti finanziati da governi o da malavita organizzata
«Il cyber crime è il 4° crimine economico» … da tecnologico è divenuto un problema di business e di sicurezza nazionale …
Le minacce sono divenute continue ed in costante aumento
Recente attacco a decine di PAL attraverso malware via email (cripta i dati salvati sul computer in qualunque formato e chiede un riscatto per riguadagnarne l’accesso; pwd di decrypt inviate via email)
Alcune PAC dichiarano oltre 10.000 attacchi/anno (Cyber Security Report 2014 a cura del Cyber Intelligence Security Center Università La Sapienza Roma e AgID)
In USA crescono gli attacchi alle strutture sanitarie per raccogliere dati «sensibili» sui cittadini (minor costo degli attacchi)
I crimini informatici
Scenario
1. I crimini informatici
Classificazione: Consip public
4
Le minacce principali, in ordine di frequenza degli incidenti (ma non di gravità, nel qual caso l’ordine è inverso) sono:
─ negligenza, errore umano e frodi realizzate da insiders.
─ cyber crime transnazionale organizzato: incassa 15Mld $ all’anno (2012) producendo danni diretti ed indiretti per quasi 400Mld $ a livello globale.
─ cyber espionage e cyber warfare, da parte di soggetti sponsorizzati da stati e di mercenari.
Vulnerabilità introdotte dai produttori software
Vulnerabilità di tipo «0days» (mercato nero)
Attacchi di tipo DDoS (Distributed Denial of Service)
I crimini informatici
Problematiche
1. I crimini informatici
Classificazione: Consip public
5
Servizi per la gestione delle identità digitali, erogati in modalità «as a service», in conformità anche all’art. 64 del CAD;
Servizi di firma digitale remota comprensiva della fornitura di certificati e di timbro elettronico, erogati in modalità «as a service», volti a favorire la dematerializzazione dei documenti e la digitalizzazione dei processi amministrativi;
Servizi di sicurezza, erogati sia in modalità «as a service» che in modalità «on premise», atti a garantire la sicurezza applicativa e a supportare le Amministrazioni nella prevenzione e gestione degli incidenti informatici e nell’analisi delle vulnerabilità dei sistemi informativi; i servizi di sicurezza includono anche servizi professionali a supporto delle attività delle Unità Locali di Sicurezza o strutture equivalenti delle Pubbliche Amministrazioni.
I servizi «as a service» saranno erogati dai fornitori aggiudicatari da Centri Servizi in cui l’Aggiudicatario obbligatoriamente dislocati su sedi ubicate sul territorio comunitario ed in ottempera la Direttiva 95/46/CE del Parlamento e del Consiglio Europeo. Il fornitore è obbligato a trattare, trasferire e conservare le eventuali repliche dei dati conservati dai suddetti Centri Servizi sempre all’interno del territorio comunitario.
I Centri Servizi e le relative macchine fisiche sono condivisi esclusivamente con altre Pubbliche Amministrazioni in logica di «community cloud».
Servizi oggetto del Contratto Quadro
2. I servizi del CQ
Classificazione: Consip public
6
Servizi disponibili
2. I servizi del CQ
Gestione delle identità digitali
Identity & access management
Firma digitale remota
Timbro elettronico
Static application security testing
Dynamic application security testing
Mobile application security testing
Vulnerability assessment
Data loss/leak prevention
Data base security
Web application firewall e next generation firewall
management
Secure web gateway
Classificazione: Consip public
7
Servizi di autorità di registrazione e autorità di autorizzazione, in ottemperanza alla normativa SPID (Sistema Pubblico per la gestione delle Identità Digitali)
Servizio fornito prevalentamente per agevolare la migrazione delle identità digitali già detenute dalle amministrazioni verso un identity provider fino ad un max di 12 mln di ID
Servizi aderenti allo standard SAML (Security Assertion Markup Language)
Servizio di gestione delle identità digitali (1/2)
3. Identità digitali & IAM
Classificazione: Consip public
8
Il servizio di registrazione gestisce ID con attributi identificativi (nome, luogo e data di nascita, sesso, ecc.) e attributi non identificativi (tel, residenza, ecc.)
Il servizio di autenticazione gestisce i livelli di sicurezza (Level of Assurance) LoA2, LoA3 e LoA4 (std ISO/IEC DIS 29115)
LoA2 autenticazione a un fattore (es. password)
LoA3 autenticazione a due fattori (es. OTP)
LoA4 autenticazione a due fattori con certificati digitali (es. smart card)
Servizio «as a service» con canone annuale per ID (fascia 1 fino a 1.000, fascia 2 fino a 10.000, fascia 3 oltre 10.000).
Durata minima: 24 mesi
Servizio di gestione delle identità digitali (2/2)
3. Identità digitali & IAM
Classificazione: Consip public
9
3. Identità digitali & IAM
Identificazione, autenticazione ed autorizzazione per l’accesso di utenti esterni al portale dell’Amministrazione o ai servizi da essa erogati in rete
Il servizio fornisce all’amministrazione una componente tecnologica che si frappone tra l’utente esterno e le risorse disponibili - siano esse pagine web o servizi telematici
Servizio «as a service» con canone annuale per utente (fascia 1 fino a 10k, fascia 2 fino a 100k, fascia 3 fino a 400k, fascia 4 oltre 400k). Durata minima: 12 mesi
Servizio di «Identity&Access Management»
Classificazione: Consip public
10
Servizio di firma nel quale la chiave privata del firmatario viene generata e conservata con il certificato di firma all'interno di un server remoto sicuro. Il servizio utilizza un sistema di autenticazione forte a due fattori, con sistemi OTP fisici o logici (USB, telefono cellulare, token).
Il servizio include la fornitura dei certificati digitali rilasciati da un Ente Certificatore accreditato secondo la normativa vigente.
Principali funzionalità:
─ firma in formato CAdES, PAdES e XAdES come da normativa vigente;
─ inserimento di firme multiple nello stesso documento;
─ firma remota massiva;
verifica della firma compatibile con i principali formati di documenti (tra cui almeno .doc, .docx, .xls, .xslx, .pdf, .ppt, .pptx, .eml, .odt, .ods, .odp).
Servizio «as a service» con canone annuale per utente (fascia 1 fino a 50, fascia 2 fino a 200, fascia 3 fino a 1.000, fascia 4 oltre 1.000).
Durata minima: 12 mesi
Servizio di firma digitale remota
4. Firma digitale e timbro elettronico
Classificazione: Consip public
11
Fornire validità legale a documenti cartacei prodotti a partire da documenti informatici.
Creazione di un codice grafico bidimensionale e posizionamento in un punto qualsiasi del documento, a scelta dell’utente, e generato a partire dal contenuto del documento stesso e dalla firma digitale, ove presente.
Principali funzionalità:
─ verifica del timbro elettronico e della conformità del documento stampato rispetto all’originale informatico;
─ gestione delle credenziali e creazione di specifici profili deputati all’apposizione;
─ verifica del timbro compatibile con i principali formati di documenti (tra cui almeno .doc, .docx, .xls, .xslx, .pdf, .ppt, .pptx, .eml, .odt, .ods, .odp).
Servizio «as a service» con quotazione per timbratura (fascia 1 fino a 1k, fascia 2 fino a 10k, fascia 3 fino a 100k, fascia 4 oltre 100k).
Durata minima: 12 mesi
Servizio di timbro elettronico
4. Firma digitale e timbro elettronico
Classificazione: Consip public
12
I servizi di sicurezza sono volti a supportare le Amministrazioni nella prevenzione e gestione degli incidenti informatici e nell’analisi delle vulnerabilità delle componenti hardware e software dei sistemi informativi.
Servizi di sicurezza
5. Servizi di sicurezza
Modalità di erogazione:
─ “as a service”, mediante il Centro Servizi del Fornitore con l’ausilio degli strumenti (hardware e software) messi a disposizione da quest'ultimo. Il Fornitore può richiedere l’autorizzazione ad installare una o più appliance e/o componenti/agent software dedicate presso l’Amministrazione.
─ ”on premise”, mediante l’utilizzo degli strumenti in uso presso le Amministrazioni stesse con il supporto di figure professionali messe a disposizione dal Fornitore.
Per i servizi «as a service»:
─ In fase di attivazione, l’Amministrazione concorda con il Fornitore la strategia e le policy di sicurezza per il blocco delle minacce e i livelli di criticità dei servizi erogati (critici e non critici).
─ Gestione degli incident in funzione delle policy definite e dei relativi livelli di criticità
─ Emissione di report periodici: executive summary, technical report, remediation plan
Classificazione: Consip public
13
Static application security testing
5. Servizi di sicurezza
Identificazione delle vulnerabilità software all'interno del codice (sorgente o binario), con metodologia OWASP (Open Web Application Software Project)
Servizio prevalentemente orientato ad applicazioni in ambiente web
Compatibilità con i principali linguaggi e framework di sviluppo largamente diffusi (tra cui almeno .NET, PHP, C/C++, Java, J2EE, ASP);
Integrazione con almeno due dei seguenti repository software: SVN - Subversion, CVS - Concurrent Versions System, Git, TFVC - Team Foundation Version Control.
Servizio «as a service» con canone annuale per applicazione nel caso di modalità continua o a corpo per modalità una tantum (fascia 1 fino a 5 app, fascia 2 fino a 10 app, fascia 3 oltre 10 app).
Durata minima: 12 mesi
Classificazione: Consip public
14
Dynamic application security testing
5. Servizi di sicurezza
Identificazione delle vulnerabilità all'interno delle applicazioni Web in fase di esecuzione, con metodologia OWASP (Open Web Application Software Project)
Identificazione delle vulnerabilità all'interno delle applicazioni Web in fase di esecuzione, con metodologia OWASP (Open Web Application Software Project)
Tre diversi profili in base alle applicazioni:
─ Bronze - applicazioni non critiche che consentono la visualizzazione di pagine di contenuto informativo (siti web statici);
─ Silver - applicazioni costituite da più form (siti web dinamici) e con funzionalità di autenticazione;
─ Gold - applicazioni critiche con funzionalità complesse e di tipo transazionale (ad esempio pagamenti)
Compatibilità con i principali linguaggi e framework di sviluppo largamente diffusi (tra cui almeno .NET, PHP, C/C++, Java, J2EE, ASP).
Servizio «as a service» con canone annuale per applicazione (fascia 1 fino a 5 app, fascia 2 fino a 10 app, fascia 3 oltre 10 app).
Durata minima: 12 mesi
Classificazione: Consip public
15
Mobile application security testing
5 Servizi di sicurezza
Verifica del livello di sicurezza delle applicazioni per dispositivi mobile.
Compatibilità con almeno due dei seguenti sistemi operativi: Android, Blackberry, iOS e Microsoft Windows Mobile.
Servizio «as a service» con canone annuale per applicazione nel caso di modalità continua o a corpo per modalità una tantum (fascia 1 fino a 5 app, fascia 2 fino a 10 app, fascia 3 oltre 10 app).
Durata minima: 12 mesi
Classificazione: Consip public
16
Vulnerability assessment
5 Servizi di sicurezza
Verifica dello stato di sicurezza dell’infrastruttura e dello stato di esposizione alle vulnerabilità attraverso la raccolta di informazioni su servizi erogati, architettura e configurazioni del sistema.
Il servizio prevede le fasi di raccolta informazioni, analisi delle vulnerabilità e prioritizzazione delle stesse con produzione della reportistica.
Compatibilità con i maggiori protocolli di rete di livello application quali FTP/SFTP/FTPS, HTTP/HTTPS, SMTP e di livello network e transport.
Servizio «as a service» con canone annuale per indirizzo IP (fascia 1 per un indirizzo, fascia 2 da 2 a 15, fascia 3 oltre 15).
Durata minima: 12 mesi.
Classificazione: Consip public
17
Dynamic application security testing
5. Servizi di sicurezza
Identificazione delle vulnerabilità all'interno delle applicazioni Web in fase di esecuzione, con metodologia OWASP (Open Web Application Software Project)
Identificazione delle vulnerabilità all'interno delle applicazioni Web in fase di esecuzione, con metodologia OWASP (Open Web Application Software Project)
Tre diversi profili in base alle applicazioni:
─ Bronze - applicazioni non critiche che consentono la visualizzazione di pagine di contenuto informativo (siti web statici);
─ Silver - applicazioni costituite da più form (siti web dinamici) e con funzionalità di autenticazione;
─ Gold - applicazioni critiche con funzionalità complesse e di tipo transazionale (ad esempio pagamenti)
Compatibilità con i principali linguaggi e framework di sviluppo largamente diffusi (tra cui almeno .NET, PHP, C/C++, Java, J2EE, ASP).
Servizio «as a service» con canone annuale per applicazione (fascia 1 fino a 5 app, fascia 2 fino a 10 app, fascia 3 oltre 10 app).
Durata minima: 12 mesi
Classificazione: Consip public
18
Data loss/leak prevention
5. Servizi di sicurezza
Protezione dei dati da accessi non autorizzati o violazioni delle policy di sicurezza per la riduzione del rischio di perdita, danno o svantaggio competitivo.
Le attività di monitoraggio e protezione sono effettuate su dati in-use (accesso tramite endpoint – desktop e laptop), in-motion (traffico rete), e at-rest (sui supporti di memorizzazione).
Possibilità di creare regole predefinite per la protezione dei dati, in funzione dei sistemi di memorizzazione (es. dischi rimovibili, porte USB, DVD, ecc.) per verifica utilizzo conferme alle politiche di privacy e sicurezza (DLP data at rest).
Generazione automatica di alert nel caso di violazione delle policy di sicurezza definite, controllo sui dati in movimento (DLP data in motion).
Compatibilità con i maggiori protocolli di rete di livello application quali FTP/SFTP/FTPS, HTTP/HTTPS, SMTP e di livello network e transport e con i sistemi operativi Windows e Linux.
Servizio «as a service» con canone annuale endpoint (1) (fascia 1 fino a 500, fascia 2 fino a 1000, fascia 3 oltre 1000).
Durata minima: 12 mesi.
Classificazione: Consip public
19
Data base security
5. Servizi di sicurezza
Protezione in tempo reale delle basi di dati da minacce esterne o interne.
Arresto in tempo reale delle sessioni che violano le policy, evitando che i dati vengano compromessi;
Controllo degli accessi ai dati, identificazione e arresto di comportamenti non autorizzati o dannosi;
Compatibilità con almeno tre dei seguenti sistemi di database: Oracle, Microsoft SQL Server, IBM DB2, SAP Sybase e MySQL.
Servizio «as a service» con canone annuale per istanza (fascia 1 fino a 25, fascia 2 fino a 50, fascia 3 oltre 50).
Durata minima: 12 mesi
Classificazione: Consip public
20
Web application firewall e next generation firewall management
5. Servizi di sicurezza
Protezione delle applicazioni web da attacchi esterni agendo da filtro del traffico di rete dello strato applicativo.
Principali funzionalità:
─ funzionalità standard firewall (es. policy enforcement, statefull inspection,
─ packet filtering, NAT, VPN client-to-site e site-to-site);
─ anti-malware e anti-spam;
─ Intrusion Prevention (IPS) per il blocco delle minacce;
─ monitoraggio del livello di sicurezza degli applicativi web;
─ prevenzione avanzata contro le intrusioni e filtraggio dei contenuti;
─ deep packet inspection per scansionare l'intero payload dei pacchetti;
Servizio «as a service» con canone annuale per livelli di throughput (fascia 1 fino a 50 Mbps, fascia 2 fino a 200 Mbps, fascia3 fino a 500 Mbps).
Durata minima: 12 mesi
Classificazione: Consip public
21
Secure web gateway
5. Servizi di sicurezza
Blocco dell’accesso a siti web potenzialmente malevoli aggiornando la propria base dati in maniera automatica.
Individuazione delle attività di download di applicazioni potenzialmente dannose.
Principali funzionalità:
─ analisi del traffico per bloccare malware, botnet , spyware e furto dei dati;
─ identificazione dei comportamenti potenzialmente pericolosi e blocco dei siti potenzialmente malevoli o categorizzati come tali;
─ aggiornamento automatico delle liste di siti malevoli;
─ gestione della navigazione tramite utilizzo di categorie di siti web e protocolli.
Servizio «as a service» con canone annuale per singola postazione di lavoro informatizzata (fascia 1 fino a 100, fascia 2 fino a 1.000, fascia3 fino a 5.000, fascia 4 oltre 5.000).
Durata minima: 12 mesi
Classificazione: Consip public
22
Servizi professionali
6. Servizi professionali
Supporto per la realizzazione di attività nell’ambito della sicurezza applicativa, comprensive di quelle relative ai servizi di monitoraggio, quali ad esempio:
─ supporto per la gestione delle attività del CERT (Computer Emergency Respose Team) e delle Unità Locali di Sicurezza o strutture equivalenti delle Pubbliche Amministrazioni per la prevenzione e gestione degli incidenti informatici, per l’analisi delle vulnerabilità dei sistemi hardware e software;
─ attività di supporto ai Security Operating Center (SOC) ;
─ penetration test di tipo applicativo e infrastrutturale;
─ encryption dei dati memorizzati sulle postazioni di lavoro.
I servizi sono erogati esclusivamente in modalità “on premise” con strumenti hw/sw presenti presso l’Amministrazione.
Per la specifica attività richiesta viene presentata una quotazione con tariffe per giorno/uomo delle figure professionali previste (Capo Progetto, Specialista di tecnologia senior, Specialista di tecnologia).
Possibilità di richiedere supporto per attività H24 (tariffa maggiorata specifica).
Classificazione: Consip internal
23
Consip S.p.A.
Via Isonzo 19/E – 00198 Roma
T +39 0685449.1
www.consip.it
@Consip_Spa
www.linkedin.com/company/consip/
Canale ‘’Consip’’
Direzione Progetti per la PA
top related