REQUISITO TECNICO OPERATIVO - COMANDO PER LE OPERAZIONI IN RETE - Acquisizione di sistema CMDB - IT ASSET DISCOVERY - Ministero della Difesa

Pagina creata da Giacomo Leoni
 
CONTINUA A LEGGERE
REQUISITO TECNICO OPERATIVO - COMANDO PER LE OPERAZIONI IN RETE - Acquisizione di sistema CMDB - IT ASSET DISCOVERY - Ministero della Difesa
COMANDO PER LE OPERAZIONI IN RETE

                                     REQUISITO
                                 TECNICO OPERATIVO
                                          RELATIVO A

                      Acquisizione di sistema CMDB - IT ASSET DISCOVERY

                                         Edizione 2021

Digitally signed by RUGGIERO
DI BIASE
Date: 2021.10.13 20:38:14 CEST
PREDISPOSIZIONE DEL DOCUMENTO

                      Redatto da                          Data
         Comando per le Operazioni in Rete
      Reparto Sicurezza e Cyber Defence
          Ufficio Infrastrutture di Sicurezza
                                                        11/10/2021

                                LISTA REVISORI

                          Ufficio/Sezione/Nominativo

                         REGISTRO DELLE REVISIONI
Revisione      Data     Capitoli/paragrafi modificati      Osservazioni

            QUESTO DOCUMENTO È COSTITUITO DA 5 PAGINE TOTALI
Requisito Operativo Definitivo DII

___________________________________________________________________________________________________

                                                             INDICE

1. OBIETTIVI........................................................................................................................ 3

2. RIFERIMENTI ................................................................................................................. 3

3. SITUAZIONE “AS IS”...................................................................................................... 3

4. SITUAZIONE “TO BE” ................................................................................................... 4

5. GAP ANALYSIS ............................................................................................................... 4

6. REQUISITI ........................................................................................................................ 5

___________________________________________________________________________________________________
                                                 2
Requisito Operativo Definitivo DII

___________________________________________________________________________________________________

1. OBIETTIVI
     La Defence Information Infrastructure (DII) è considerata fondamentale nell’ambito del
     Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e per l’erogazione di servizi finan-
     ziari ed amministrativi. In tale contesto l’Agenzia per l’Italia Digitale (AgID) con circola-
     re n. 2 del 2017 pagina 69 ha definito le Misure Minime di Sicurezza per tutte le infra-
     strutture della Pubblica Amministrazione (PA). Fra queste riveste particolare carattere
     d’importanza dotare le PPAA di un sistema di IT Asset Discovery – Configuration Ma-
     nagement Data Base (CMDB) che automatizzi i processi di censimento, gestione e confi-
     gurazione degli asset informatici.
     Nel presente RTO vengono dettagliati i requisiti per l’acquisizione di un sistema con le
     suddette caratteristiche per il Comando per le Operazioni in Rete (COR), i cui costi sono
     da considerarsi IVA esente in quanto trattasi di acquisizione nell’ambito della DII.

2. RIFERIMENTI
     Con la Circolare 18 aprile 2017 n. 2/2017 “Misure minime di sicurezza ICT per le Pub-
     bliche Amministrazioni” l’AgID ha indicato la misure per la sicurezza ICT che devono
     essere adottate al fine di contrastare le minacce più rilevati cui sono soggetti i sistemi
     ICT.
     In ambito Amministrazione Difesa, le modalità di adozione delle suddette misure sono
     definite mediante la Direttiva SMD “Linee guida per l’implementazione delle Misure mi-
     nime di sicurezza ICT in ambito A.D. – Ed. 2018”, che prevede le seguenti misure:

     ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AU-
     TORIZZATI
     Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e
     mantenendo aggiornato l’inventario) in modo che l’accesso sia dato solo ai dispositivi
     autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro
     impedito l’accesso
       ABSC                                                   Descrizione                                                     FNSC      Min.   Std.   Alto

       1.1.1    Implementare un inventario delle risorse attive correlato a quello ABSC 1.4                                   ID.AM-1    X      X      X
       1.1.2    Implementare ABSC 1.1.1 attraverso uno strumento automatico                                                   ID.AM-1           X      X
       1.1.3    Effettuare il discovery dei dispositivi collegati alla rete con allarmi in caso di anomalie.                  ID.AM-1                  X
       1.1.4    Qualificare i sistemi connessi alla rete attraverso l’analisi del loro traffico.                              ID.AM-1                  X
       1.2.1    Implementare il “logging” delle operazione del server DHCP.                                                   ID.AM-1           X      X
                Utilizzare le informazioni ricavate dal “logging” DHCP per migliorare l’inventario delle risorse e
       1.2.2                                                                                                                  ID.AM-1           X      X
                identificare le risorse non ancora censite.
       1.3.1    Aggiornare l’inventario quando nuovi dispositivi approvati vengono collegati in rete.                         ID.AM-1    X      X      X
                Aggiornare l’inventario con uno strumento automatico quando nuovi dispositivi approvati vengono
       1.3.2                                                                                                                  ID.AM-1           X      X
                collegati in rete.
                Gestire l’inventario delle risorse di tutti i sistemi collegati alla rete e dei dispositivi di rete stessi,
       1.4.1                                                                                                                  ID.AM-1    X      X      X
                registrando almeno l’indirizzo IP.
                Per tutti i dispositivi che possiedono un indirizzo IP l’inventario deve indicare i nomi delle macchine,
                la funzione del sistema, un titolare responsabile della risorsa e l’ufficio associato. L’inventario delle
        1.4.2                                                                                                                 ID.AM-1           X      X
                risorse creato deve inoltre includere informazioni sul fatto che il dispositivo sia portatile e/o
                personale.
                Dispositivi come telefoni cellulari, tablet, laptop e altri dispositivi elettronici portatili che
        1.4.3   memorizzano o elaborano dati devono essere identificati, a prescindere che siano collegati o meno             ID.AM-1                  X
                alla rete dell’organizzazione.

3. SITUAZIONE “AS IS”
    La situazione attuale vede un censimento parziale dei dispositivi presenti
    nell’infrastruttura della difesa su diversi database. Tale inserimento viene in parte effettua-
    to manualmente, grazie alle informazioni acquisite da sistemi designati quali il software
    CA Spectrum, il sistema di monitoraggio apparati Sentinet e i log dei sistemi di identity e

___________________________________________________________________________________________________
                                                 3
Requisito Operativo Definitivo DII

___________________________________________________________________________________________________
    access control (NAC, DHCP, ecc). Tali informazioni alimentano attualmente il sistema
    CA Service Desk per le funzioni di ticketing ed Help Desk, ma non sono tuttavia suffi-
    cienti in quanto non vengono al momento individuate automaticamente eventuali aggiunte
    o rimozioni di dispositivi di rete.

4. SITUAZIONE “TO BE”
    L’obiettivo finale per assicurare la compliance alla circolare AgID è la raccolta automati-
    ca e costante di informazioni in merito agli asset in utilizzo, che dia evidenza di eventuali
    differenze fra due scansioni successive dell’infrastruttura. Le scansioni dovranno essere
    effettuare a intervalli prestabiliti. Le informazioni raccolte dovranno essere esportabili in
    vari formati (mandatori .csv, .txt, .xls) in modo da poter alimentare ulteriori assetti della
    DII, quali possono essere SIEM o sistemi di Decision Support System (DSS) e garantire
    l’interoperabilità fra gli apparati di sicurezza e networking, con l’aggiunta di webhook che
    permettano di sviluppare integrazioni con software di terze parti.
    L’implementazione di un tale sistema automatico per l’analisi e l’asset discovery
    dell’infrastruttura della Difesa dovrà consentire di mantenere costantemente aggiornato il
    database e permettere di identificare eventuali dispositivi non autorizzati o dispositivi ri-
    mossi senza autorizzazione, le differenze di configurazione hardware e software, come
    previsto dalle normative vigenti.
    La soluzione dovrà essere progettata on premises, avere la possibilità di scoperta assetti
    agentless con possibilità di visualizzazione delle risorse di archiviazione, permettere la
    mappatura e visualizzazione delle dipendenze tra applicazioni e dispositivi e liste di im-
    patto tra applicazioni correlate per comprendere interdipendenze e connessioni tra appli-
    cazioni (discovery automatico di componenti applicativi, come Oracle, Postgres, MySQL,
    MongoDB, IIS comprese le rispettive informazioni sulla versione del software, processi
    ed eseguibili; discovery dettagliato delle configurazioni per diverse applicazioni, come
    Oracle, Microsoft SQL, MongoDB, PostgreSQL, MySQL, ColdFusion, IIS, Apache; da-
    tabase discovery dettagliato per Oracle e MSSQL).
    Inoltre riveste fondamentale importanza la mappatura grafica delle dipendenze tra gli as-
    set e la mappatura del layout del Data Center con stilizzazione grafica del disegno di rack
    e patch panel.
    Il CMDB fornito dovrà garantire il monitoraggio del ciclo di vita delle risorse dal giorno
    di acquisto al giorno di dismissione, operando costantemente l’IP Address Management
    (IPAM).
    Dovrà altresì garantire la gestione di certificati digitali e le relative interdipendenze di
    connettività con le Certificate Authority nel caso di connessioni TLS.
    Infine è auspicabile l’installazione e posa in opera on site a cura della ditta fornitrice.

5. GAP ANALYSIS
                      Attività                Da realizzare      In realizzazione    Realizzata
       Acquisizione sistema CMDB
                                                    X
             automatizzato

___________________________________________________________________________________________________
                                                 4
Requisito Operativo Definitivo DII

___________________________________________________________________________________________________

6. REQUISITI
    La soluzione da implementare dovrà soddisfare i seguenti requisiti:
        1) soluzione on premisies;
        2) IT Asset discovery automatico;
        3) Inventory Management;
        4) Agentless discovery;
        5) discovery automatizzato e visibilità delle risorse di archiviazione;
        6) CMDB aggiornato automaticamente dai risultati delle ultime scansioni;
        7) mappatura e visualizzazione delle dipendenze tra applicazioni e dispositivi;
        8) mappatura grafica delle dipendenze tra gli asset;
        9) mappatura del layout del Data Center con disegno di rack e patch panel;
        10) monitoraggio del ciclo di vita delle risorse dal giorno di acquisto al giorno di di-
            smissione;
        11) IP Address Management (IPAM);
        12) SSL Certificate Management;
        13) installazione e posa in opera on site a cura della ditta fornitrice;
        14) possieda webhook che permettano di sviluppare integrazioni con software di terze
            parti;
        15) liste di impatto tra applicazioni correlate per comprendere interdipendenze e con-
            nessioni tra applicazioni;
        16) discovery automatico di componenti applicativi, come Oracle, Postgres, MySQL,
            MongoDB, IIS comprese le rispettive informazioni sulla versione del software,
            processi ed eseguibili;
        17) discovery dettagliato delle configurazioni per diverse applicazioni, come Oracle,
            Microsoft SQL, MongoDB, PostgreSQL, MySQL, ColdFusion, IIS, Apache;
        18) database discovery dettagliato per Oracle e MSSQL.

    Di seguito una stima dei costi che include fornitura, posa in opera (cura ditta fornitrice),
    attivazione del servizio ed eventuali licenze software e di sistema per 12 mesi:

                                                  Quanti     Durata       Costo complessivo (€)
                         Descrizione
                                                    tà       (mesi)            Iva Esente
      CMDB - IT ASSET DISCOVERY AU-
                                                     1         12               120.000
               TOMATIZZATO

___________________________________________________________________________________________________
                                                 5
Puoi anche leggere