REQUISITO TECNICO OPERATIVO - COMANDO PER LE OPERAZIONI IN RETE - Acquisizione di sistema CMDB - IT ASSET DISCOVERY - Ministero della Difesa
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
COMANDO PER LE OPERAZIONI IN RETE REQUISITO TECNICO OPERATIVO RELATIVO A Acquisizione di sistema CMDB - IT ASSET DISCOVERY Edizione 2021 Digitally signed by RUGGIERO DI BIASE Date: 2021.10.13 20:38:14 CEST
PREDISPOSIZIONE DEL DOCUMENTO Redatto da Data Comando per le Operazioni in Rete Reparto Sicurezza e Cyber Defence Ufficio Infrastrutture di Sicurezza 11/10/2021 LISTA REVISORI Ufficio/Sezione/Nominativo REGISTRO DELLE REVISIONI Revisione Data Capitoli/paragrafi modificati Osservazioni QUESTO DOCUMENTO È COSTITUITO DA 5 PAGINE TOTALI
Requisito Operativo Definitivo DII ___________________________________________________________________________________________________ INDICE 1. OBIETTIVI........................................................................................................................ 3 2. RIFERIMENTI ................................................................................................................. 3 3. SITUAZIONE “AS IS”...................................................................................................... 3 4. SITUAZIONE “TO BE” ................................................................................................... 4 5. GAP ANALYSIS ............................................................................................................... 4 6. REQUISITI ........................................................................................................................ 5 ___________________________________________________________________________________________________ 2
Requisito Operativo Definitivo DII ___________________________________________________________________________________________________ 1. OBIETTIVI La Defence Information Infrastructure (DII) è considerata fondamentale nell’ambito del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e per l’erogazione di servizi finan- ziari ed amministrativi. In tale contesto l’Agenzia per l’Italia Digitale (AgID) con circola- re n. 2 del 2017 pagina 69 ha definito le Misure Minime di Sicurezza per tutte le infra- strutture della Pubblica Amministrazione (PA). Fra queste riveste particolare carattere d’importanza dotare le PPAA di un sistema di IT Asset Discovery – Configuration Ma- nagement Data Base (CMDB) che automatizzi i processi di censimento, gestione e confi- gurazione degli asset informatici. Nel presente RTO vengono dettagliati i requisiti per l’acquisizione di un sistema con le suddette caratteristiche per il Comando per le Operazioni in Rete (COR), i cui costi sono da considerarsi IVA esente in quanto trattasi di acquisizione nell’ambito della DII. 2. RIFERIMENTI Con la Circolare 18 aprile 2017 n. 2/2017 “Misure minime di sicurezza ICT per le Pub- bliche Amministrazioni” l’AgID ha indicato la misure per la sicurezza ICT che devono essere adottate al fine di contrastare le minacce più rilevati cui sono soggetti i sistemi ICT. In ambito Amministrazione Difesa, le modalità di adozione delle suddette misure sono definite mediante la Direttiva SMD “Linee guida per l’implementazione delle Misure mi- nime di sicurezza ICT in ambito A.D. – Ed. 2018”, che prevede le seguenti misure: ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AU- TORIZZATI Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l’inventario) in modo che l’accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro impedito l’accesso ABSC Descrizione FNSC Min. Std. Alto 1.1.1 Implementare un inventario delle risorse attive correlato a quello ABSC 1.4 ID.AM-1 X X X 1.1.2 Implementare ABSC 1.1.1 attraverso uno strumento automatico ID.AM-1 X X 1.1.3 Effettuare il discovery dei dispositivi collegati alla rete con allarmi in caso di anomalie. ID.AM-1 X 1.1.4 Qualificare i sistemi connessi alla rete attraverso l’analisi del loro traffico. ID.AM-1 X 1.2.1 Implementare il “logging” delle operazione del server DHCP. ID.AM-1 X X Utilizzare le informazioni ricavate dal “logging” DHCP per migliorare l’inventario delle risorse e 1.2.2 ID.AM-1 X X identificare le risorse non ancora censite. 1.3.1 Aggiornare l’inventario quando nuovi dispositivi approvati vengono collegati in rete. ID.AM-1 X X X Aggiornare l’inventario con uno strumento automatico quando nuovi dispositivi approvati vengono 1.3.2 ID.AM-1 X X collegati in rete. Gestire l’inventario delle risorse di tutti i sistemi collegati alla rete e dei dispositivi di rete stessi, 1.4.1 ID.AM-1 X X X registrando almeno l’indirizzo IP. Per tutti i dispositivi che possiedono un indirizzo IP l’inventario deve indicare i nomi delle macchine, la funzione del sistema, un titolare responsabile della risorsa e l’ufficio associato. L’inventario delle 1.4.2 ID.AM-1 X X risorse creato deve inoltre includere informazioni sul fatto che il dispositivo sia portatile e/o personale. Dispositivi come telefoni cellulari, tablet, laptop e altri dispositivi elettronici portatili che 1.4.3 memorizzano o elaborano dati devono essere identificati, a prescindere che siano collegati o meno ID.AM-1 X alla rete dell’organizzazione. 3. SITUAZIONE “AS IS” La situazione attuale vede un censimento parziale dei dispositivi presenti nell’infrastruttura della difesa su diversi database. Tale inserimento viene in parte effettua- to manualmente, grazie alle informazioni acquisite da sistemi designati quali il software CA Spectrum, il sistema di monitoraggio apparati Sentinet e i log dei sistemi di identity e ___________________________________________________________________________________________________ 3
Requisito Operativo Definitivo DII ___________________________________________________________________________________________________ access control (NAC, DHCP, ecc). Tali informazioni alimentano attualmente il sistema CA Service Desk per le funzioni di ticketing ed Help Desk, ma non sono tuttavia suffi- cienti in quanto non vengono al momento individuate automaticamente eventuali aggiunte o rimozioni di dispositivi di rete. 4. SITUAZIONE “TO BE” L’obiettivo finale per assicurare la compliance alla circolare AgID è la raccolta automati- ca e costante di informazioni in merito agli asset in utilizzo, che dia evidenza di eventuali differenze fra due scansioni successive dell’infrastruttura. Le scansioni dovranno essere effettuare a intervalli prestabiliti. Le informazioni raccolte dovranno essere esportabili in vari formati (mandatori .csv, .txt, .xls) in modo da poter alimentare ulteriori assetti della DII, quali possono essere SIEM o sistemi di Decision Support System (DSS) e garantire l’interoperabilità fra gli apparati di sicurezza e networking, con l’aggiunta di webhook che permettano di sviluppare integrazioni con software di terze parti. L’implementazione di un tale sistema automatico per l’analisi e l’asset discovery dell’infrastruttura della Difesa dovrà consentire di mantenere costantemente aggiornato il database e permettere di identificare eventuali dispositivi non autorizzati o dispositivi ri- mossi senza autorizzazione, le differenze di configurazione hardware e software, come previsto dalle normative vigenti. La soluzione dovrà essere progettata on premises, avere la possibilità di scoperta assetti agentless con possibilità di visualizzazione delle risorse di archiviazione, permettere la mappatura e visualizzazione delle dipendenze tra applicazioni e dispositivi e liste di im- patto tra applicazioni correlate per comprendere interdipendenze e connessioni tra appli- cazioni (discovery automatico di componenti applicativi, come Oracle, Postgres, MySQL, MongoDB, IIS comprese le rispettive informazioni sulla versione del software, processi ed eseguibili; discovery dettagliato delle configurazioni per diverse applicazioni, come Oracle, Microsoft SQL, MongoDB, PostgreSQL, MySQL, ColdFusion, IIS, Apache; da- tabase discovery dettagliato per Oracle e MSSQL). Inoltre riveste fondamentale importanza la mappatura grafica delle dipendenze tra gli as- set e la mappatura del layout del Data Center con stilizzazione grafica del disegno di rack e patch panel. Il CMDB fornito dovrà garantire il monitoraggio del ciclo di vita delle risorse dal giorno di acquisto al giorno di dismissione, operando costantemente l’IP Address Management (IPAM). Dovrà altresì garantire la gestione di certificati digitali e le relative interdipendenze di connettività con le Certificate Authority nel caso di connessioni TLS. Infine è auspicabile l’installazione e posa in opera on site a cura della ditta fornitrice. 5. GAP ANALYSIS Attività Da realizzare In realizzazione Realizzata Acquisizione sistema CMDB X automatizzato ___________________________________________________________________________________________________ 4
Requisito Operativo Definitivo DII ___________________________________________________________________________________________________ 6. REQUISITI La soluzione da implementare dovrà soddisfare i seguenti requisiti: 1) soluzione on premisies; 2) IT Asset discovery automatico; 3) Inventory Management; 4) Agentless discovery; 5) discovery automatizzato e visibilità delle risorse di archiviazione; 6) CMDB aggiornato automaticamente dai risultati delle ultime scansioni; 7) mappatura e visualizzazione delle dipendenze tra applicazioni e dispositivi; 8) mappatura grafica delle dipendenze tra gli asset; 9) mappatura del layout del Data Center con disegno di rack e patch panel; 10) monitoraggio del ciclo di vita delle risorse dal giorno di acquisto al giorno di di- smissione; 11) IP Address Management (IPAM); 12) SSL Certificate Management; 13) installazione e posa in opera on site a cura della ditta fornitrice; 14) possieda webhook che permettano di sviluppare integrazioni con software di terze parti; 15) liste di impatto tra applicazioni correlate per comprendere interdipendenze e con- nessioni tra applicazioni; 16) discovery automatico di componenti applicativi, come Oracle, Postgres, MySQL, MongoDB, IIS comprese le rispettive informazioni sulla versione del software, processi ed eseguibili; 17) discovery dettagliato delle configurazioni per diverse applicazioni, come Oracle, Microsoft SQL, MongoDB, PostgreSQL, MySQL, ColdFusion, IIS, Apache; 18) database discovery dettagliato per Oracle e MSSQL. Di seguito una stima dei costi che include fornitura, posa in opera (cura ditta fornitrice), attivazione del servizio ed eventuali licenze software e di sistema per 12 mesi: Quanti Durata Costo complessivo (€) Descrizione tà (mesi) Iva Esente CMDB - IT ASSET DISCOVERY AU- 1 12 120.000 TOMATIZZATO ___________________________________________________________________________________________________ 5
Puoi anche leggere