REQUISITO TECNICO OPERATIVO - COMANDO PER LE OPERAZIONI IN RETE - Acquisizione di sistema CMDB - IT ASSET DISCOVERY - Ministero della Difesa
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
COMANDO PER LE OPERAZIONI IN RETE
REQUISITO
TECNICO OPERATIVO
RELATIVO A
Acquisizione di sistema CMDB - IT ASSET DISCOVERY
Edizione 2021
Digitally signed by RUGGIERO
DI BIASE
Date: 2021.10.13 20:38:14 CESTPREDISPOSIZIONE DEL DOCUMENTO
Redatto da Data
Comando per le Operazioni in Rete
Reparto Sicurezza e Cyber Defence
Ufficio Infrastrutture di Sicurezza
11/10/2021
LISTA REVISORI
Ufficio/Sezione/Nominativo
REGISTRO DELLE REVISIONI
Revisione Data Capitoli/paragrafi modificati Osservazioni
QUESTO DOCUMENTO È COSTITUITO DA 5 PAGINE TOTALIRequisito Operativo Definitivo DII
___________________________________________________________________________________________________
INDICE
1. OBIETTIVI........................................................................................................................ 3
2. RIFERIMENTI ................................................................................................................. 3
3. SITUAZIONE “AS IS”...................................................................................................... 3
4. SITUAZIONE “TO BE” ................................................................................................... 4
5. GAP ANALYSIS ............................................................................................................... 4
6. REQUISITI ........................................................................................................................ 5
___________________________________________________________________________________________________
2Requisito Operativo Definitivo DII
___________________________________________________________________________________________________
1. OBIETTIVI
La Defence Information Infrastructure (DII) è considerata fondamentale nell’ambito del
Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e per l’erogazione di servizi finan-
ziari ed amministrativi. In tale contesto l’Agenzia per l’Italia Digitale (AgID) con circola-
re n. 2 del 2017 pagina 69 ha definito le Misure Minime di Sicurezza per tutte le infra-
strutture della Pubblica Amministrazione (PA). Fra queste riveste particolare carattere
d’importanza dotare le PPAA di un sistema di IT Asset Discovery – Configuration Ma-
nagement Data Base (CMDB) che automatizzi i processi di censimento, gestione e confi-
gurazione degli asset informatici.
Nel presente RTO vengono dettagliati i requisiti per l’acquisizione di un sistema con le
suddette caratteristiche per il Comando per le Operazioni in Rete (COR), i cui costi sono
da considerarsi IVA esente in quanto trattasi di acquisizione nell’ambito della DII.
2. RIFERIMENTI
Con la Circolare 18 aprile 2017 n. 2/2017 “Misure minime di sicurezza ICT per le Pub-
bliche Amministrazioni” l’AgID ha indicato la misure per la sicurezza ICT che devono
essere adottate al fine di contrastare le minacce più rilevati cui sono soggetti i sistemi
ICT.
In ambito Amministrazione Difesa, le modalità di adozione delle suddette misure sono
definite mediante la Direttiva SMD “Linee guida per l’implementazione delle Misure mi-
nime di sicurezza ICT in ambito A.D. – Ed. 2018”, che prevede le seguenti misure:
ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AU-
TORIZZATI
Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e
mantenendo aggiornato l’inventario) in modo che l’accesso sia dato solo ai dispositivi
autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro
impedito l’accesso
ABSC Descrizione FNSC Min. Std. Alto
1.1.1 Implementare un inventario delle risorse attive correlato a quello ABSC 1.4 ID.AM-1 X X X
1.1.2 Implementare ABSC 1.1.1 attraverso uno strumento automatico ID.AM-1 X X
1.1.3 Effettuare il discovery dei dispositivi collegati alla rete con allarmi in caso di anomalie. ID.AM-1 X
1.1.4 Qualificare i sistemi connessi alla rete attraverso l’analisi del loro traffico. ID.AM-1 X
1.2.1 Implementare il “logging” delle operazione del server DHCP. ID.AM-1 X X
Utilizzare le informazioni ricavate dal “logging” DHCP per migliorare l’inventario delle risorse e
1.2.2 ID.AM-1 X X
identificare le risorse non ancora censite.
1.3.1 Aggiornare l’inventario quando nuovi dispositivi approvati vengono collegati in rete. ID.AM-1 X X X
Aggiornare l’inventario con uno strumento automatico quando nuovi dispositivi approvati vengono
1.3.2 ID.AM-1 X X
collegati in rete.
Gestire l’inventario delle risorse di tutti i sistemi collegati alla rete e dei dispositivi di rete stessi,
1.4.1 ID.AM-1 X X X
registrando almeno l’indirizzo IP.
Per tutti i dispositivi che possiedono un indirizzo IP l’inventario deve indicare i nomi delle macchine,
la funzione del sistema, un titolare responsabile della risorsa e l’ufficio associato. L’inventario delle
1.4.2 ID.AM-1 X X
risorse creato deve inoltre includere informazioni sul fatto che il dispositivo sia portatile e/o
personale.
Dispositivi come telefoni cellulari, tablet, laptop e altri dispositivi elettronici portatili che
1.4.3 memorizzano o elaborano dati devono essere identificati, a prescindere che siano collegati o meno ID.AM-1 X
alla rete dell’organizzazione.
3. SITUAZIONE “AS IS”
La situazione attuale vede un censimento parziale dei dispositivi presenti
nell’infrastruttura della difesa su diversi database. Tale inserimento viene in parte effettua-
to manualmente, grazie alle informazioni acquisite da sistemi designati quali il software
CA Spectrum, il sistema di monitoraggio apparati Sentinet e i log dei sistemi di identity e
___________________________________________________________________________________________________
3Requisito Operativo Definitivo DII
___________________________________________________________________________________________________
access control (NAC, DHCP, ecc). Tali informazioni alimentano attualmente il sistema
CA Service Desk per le funzioni di ticketing ed Help Desk, ma non sono tuttavia suffi-
cienti in quanto non vengono al momento individuate automaticamente eventuali aggiunte
o rimozioni di dispositivi di rete.
4. SITUAZIONE “TO BE”
L’obiettivo finale per assicurare la compliance alla circolare AgID è la raccolta automati-
ca e costante di informazioni in merito agli asset in utilizzo, che dia evidenza di eventuali
differenze fra due scansioni successive dell’infrastruttura. Le scansioni dovranno essere
effettuare a intervalli prestabiliti. Le informazioni raccolte dovranno essere esportabili in
vari formati (mandatori .csv, .txt, .xls) in modo da poter alimentare ulteriori assetti della
DII, quali possono essere SIEM o sistemi di Decision Support System (DSS) e garantire
l’interoperabilità fra gli apparati di sicurezza e networking, con l’aggiunta di webhook che
permettano di sviluppare integrazioni con software di terze parti.
L’implementazione di un tale sistema automatico per l’analisi e l’asset discovery
dell’infrastruttura della Difesa dovrà consentire di mantenere costantemente aggiornato il
database e permettere di identificare eventuali dispositivi non autorizzati o dispositivi ri-
mossi senza autorizzazione, le differenze di configurazione hardware e software, come
previsto dalle normative vigenti.
La soluzione dovrà essere progettata on premises, avere la possibilità di scoperta assetti
agentless con possibilità di visualizzazione delle risorse di archiviazione, permettere la
mappatura e visualizzazione delle dipendenze tra applicazioni e dispositivi e liste di im-
patto tra applicazioni correlate per comprendere interdipendenze e connessioni tra appli-
cazioni (discovery automatico di componenti applicativi, come Oracle, Postgres, MySQL,
MongoDB, IIS comprese le rispettive informazioni sulla versione del software, processi
ed eseguibili; discovery dettagliato delle configurazioni per diverse applicazioni, come
Oracle, Microsoft SQL, MongoDB, PostgreSQL, MySQL, ColdFusion, IIS, Apache; da-
tabase discovery dettagliato per Oracle e MSSQL).
Inoltre riveste fondamentale importanza la mappatura grafica delle dipendenze tra gli as-
set e la mappatura del layout del Data Center con stilizzazione grafica del disegno di rack
e patch panel.
Il CMDB fornito dovrà garantire il monitoraggio del ciclo di vita delle risorse dal giorno
di acquisto al giorno di dismissione, operando costantemente l’IP Address Management
(IPAM).
Dovrà altresì garantire la gestione di certificati digitali e le relative interdipendenze di
connettività con le Certificate Authority nel caso di connessioni TLS.
Infine è auspicabile l’installazione e posa in opera on site a cura della ditta fornitrice.
5. GAP ANALYSIS
Attività Da realizzare In realizzazione Realizzata
Acquisizione sistema CMDB
X
automatizzato
___________________________________________________________________________________________________
4Requisito Operativo Definitivo DII
___________________________________________________________________________________________________
6. REQUISITI
La soluzione da implementare dovrà soddisfare i seguenti requisiti:
1) soluzione on premisies;
2) IT Asset discovery automatico;
3) Inventory Management;
4) Agentless discovery;
5) discovery automatizzato e visibilità delle risorse di archiviazione;
6) CMDB aggiornato automaticamente dai risultati delle ultime scansioni;
7) mappatura e visualizzazione delle dipendenze tra applicazioni e dispositivi;
8) mappatura grafica delle dipendenze tra gli asset;
9) mappatura del layout del Data Center con disegno di rack e patch panel;
10) monitoraggio del ciclo di vita delle risorse dal giorno di acquisto al giorno di di-
smissione;
11) IP Address Management (IPAM);
12) SSL Certificate Management;
13) installazione e posa in opera on site a cura della ditta fornitrice;
14) possieda webhook che permettano di sviluppare integrazioni con software di terze
parti;
15) liste di impatto tra applicazioni correlate per comprendere interdipendenze e con-
nessioni tra applicazioni;
16) discovery automatico di componenti applicativi, come Oracle, Postgres, MySQL,
MongoDB, IIS comprese le rispettive informazioni sulla versione del software,
processi ed eseguibili;
17) discovery dettagliato delle configurazioni per diverse applicazioni, come Oracle,
Microsoft SQL, MongoDB, PostgreSQL, MySQL, ColdFusion, IIS, Apache;
18) database discovery dettagliato per Oracle e MSSQL.
Di seguito una stima dei costi che include fornitura, posa in opera (cura ditta fornitrice),
attivazione del servizio ed eventuali licenze software e di sistema per 12 mesi:
Quanti Durata Costo complessivo (€)
Descrizione
tà (mesi) Iva Esente
CMDB - IT ASSET DISCOVERY AU-
1 12 120.000
TOMATIZZATO
___________________________________________________________________________________________________
5Puoi anche leggere
