Capitolato Tecnico
Transcript
Capitolato Tecnico
Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 Capitolato Tecnico per la fornitura dell’End Point Protection delle Postazioni di Lavoro e degli Smartphone in uso presso le Società del Gruppo Ferrovie dello Stato Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 INDICE 1. 2. 3. 4. PREMESSA OBIETTIVO GLOSSARIO OGGETTO DELLA FORNITURA 4.1. FASI DELLA FORNITURA 3 4 5 6 8 4.1.1. FORNITURA DELLE LICENZE 8 4.1.2. MIGRAZIONE ED INSTALLAZIONE END POINT PROTECTION 8 4.1.3. PERSONALIZZAZIONE - DEFINIZIONE DEI PROFILI DI SICUREZZA 8 4.1.4. GESTIONE (CONSOLLE DI SICUREZZA SOCIETARI E CRUSCOTTI CENTRALI) 9 4.1.5. TEAM DI PROFESSIONISTI 9 4.2. END POINT PROTECTION DEI PERSONAL COMPUTER FISSI E MOBILI 10 4.2.1. ANTIVIRUS 11 4.2.2. PERSONAL FIREWALL 13 4.2.3. APPLICATION & DEVICE CONTROL 14 4.2.4. SOLUZIONE DI CRIPTAZIONE DEL FILE SYSTEM 15 4.3. END POINT PROTECTION DEI DISPOSITIVI MOBILI (SMARTPHONE) 17 4.3.1. ANTIVIRUS 18 4.3.2. ANTIFURTO 19 20 4.4. GESTIONE 4.4.1. CONSOLLE DI SICUREZZA SOCIETARIE 20 4.4.2. CRUSCOTTI CENTRALI 22 4.4.3. FUNZIONALITÀ DI REPORTING 22 4.4.4 EARLY WARNING 23 4.5. SERVIZI DI SOFTWARE ASSURANCE pag. 2 di 24 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus 1. Ver. .1 PREMESSA Le Società del Gruppo Ferrovie dello Stato (nel seguito Gruppo FS) utilizzano attualmente una suite di McAfee a protezione delle ca. 36.000 Postazioni di Lavoro fisse (desktop) e mobili (notebook) in dotazione ai propri dipendenti. Le Postazioni di Lavoro del Gruppo FS si compongono di Personal Computer con Sistema Operativo Microsoft Windows, unitamente a numerosi applicativi legacy in licenza. Il sistema di autenticazione e accesso ai Personal Computer si basa su Microsoft Active Directory. pag. 3 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus 2. Ver. .1 OBIETTIVO L’Obiettivo del presente Capitolato Tecnico è quello di definire i requisiti di una serie di prodotti di End Point Protection in grado di ampliare le attuali funzioni di sicurezza delle ca. 36.000 Postazioni di Lavoro del Gruppo FS, in modo tale da proteggere tutte le funzionalità svolte dai client. Tali prerogative di sicurezza dovranno comprendere anche gli ulteriori 11.000 Smartphone in dotazione al personale viaggiante ed ai manager del Gruppo FS. Le Postazioni di Lavoro del Gruppo FS dovranno essere profilate secondo le nuove funzioni di sicurezza e raccordate in cruscotti di monitoraggio e gestione ad uso delle singole Società del Gruppo FS. pag. 4 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus 3. Ver. .1 GLOSSARIO Di seguito si fornisce un glossario dei principali termini utilizzati nel presente documento e del significato a loro attribuito: EPP – End Point Protection MAC address Switch LAN – Local Area Network Smartphone PdL – Postazioni di Lavoro Deliverable Milestone LDAP – Lightweight Directory Access Protocol Template KPI – Key Performance Indicator Agent EAP – Extensible Authentication Protocol (protocollo di autenticazione) Prevenzione avanzata delle minacce per garantire una difesa esclusiva dal malware per portatili, desktop e server. Media Access Control address Dispositivo, denominato commutatore, che riceve due segnali in ingresso e inoltra, a determinati indirizzi di destinazione, un unico flusso di dati. Gruppo di calcolatori e altri dispositivi distribuiti in un’area geografica relativamente ristretta e in grado di comunicare tra loro grazie a un collegamento di rete. Tipologia di dispositivi elettronici portatili che riuniscono funzioni di telefono cellulare, gestione di applicativi, trasmissione dati e posta elettronica. Postazione di Lavoro fissa (Desktop) o mobile (notebook), corrispondente ad un nodo di rete. Documento prodotto come risultato di un’attività di progetto. Utilizzato nella pianificazione e gestione di progetti complessi per indicare il raggiungimento di obiettivi stabiliti in fase di definizione del progetto stesso. E’ un protocollo standard per l'interrogazione e la modifica dei servizi di directory. Un documento o programma dove, come in un foglio semicompilato cartaceo, su una struttura generica o standard esistono spazi temporaneamente "bianchi" da riempire successivamente (template). Sono indici che monitorano l’andamento di un processo aziendale. Programma in esecuzione capace di sopperire da solo a tutte le funzionalità per i client Un framework di autenticazione nato per le reti di tipo wireless e per le connessioni punto-punto. La principale caratteristica di EAP è che non è un meccanismo di autenticazione, ma un protocollo progettato per consentire l'utilizzo soluzioni per il riconoscimento di utenti ed apparati di volta in volta diversi. pag. 5 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus 4. Ver. .1 OGGETTO DELLA FORNITURA Fornitura di una serie di prodotti per l’End Point Protection dei Personal Computer e degli Smartphone in uso presso le Società del Gruppo FS. Tutti i prodotti forniti devono essere di unico Vendor. La fornitura si articola nelle seguenti fasi: Fase 1 - Fornitura delle licenze di End Point Protection, per le circa 36.000 Postazioni di Lavoro (desktop e notebook) ed i ca. 11.000 Smartphone in dotazione al personale del Gruppo FS e distribuite sull’intero territorio nazionale. Tutte le licenze dovranno essere comprensive di Software Assurance per 3 (tre) anni dal momento del collaudo. Allo stato attuale le licenze in uso risultano così distribuite tra le principali Società del Gruppo FS: SOCIETA' Nodi coperti da suite Antivirus Ferrovie dello Stato SpA Trenitalia SpA Rete Ferroviaria Italiana SpA Ferservizi SpA Italferr SpA 460 15.000 15.968 2.000 2.300 Ulteriori licenze sono in uso presso le altre Società del Gruppo FS. Fase 2 - Migrazione di tutte le PdL di Gruppo dalla suite attuale ai nuovi prodotti ed installazione dell’agent sugli Smartphone. Tale migrazione dovrà essere effettuata nel tempo massimo di 40 (quaranta) giorni per ciascuna Società del Gruppo FS. Le Società potranno migrare quindi in parallelo. I costi di migrazione si intendono inclusi nella Fornitura delle Licenze. Fase 3 - Personalizzazione. Il Fornitore dovrà definire adeguati profili di sicurezza per i diversi Gruppi di utenza delle seguenti Società del Gruppo: - Ferrovie dello Stato S.p.A., - Trenitalia S.p.A., - Rete Ferroviaria Italiana S.p.A., - Ferservizi SpA., - Italferr S.p.A.. pag. 6 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 Dovrà inoltre definire ed implementare procedure e standard funzionali coerenti con i Gruppi di utenza definiti, riguardanti in particolare i seguenti prodotti/applicazioni: a. Antivirus b. Application & Device control c. Personal firewall d. Encryption e. Protezione Smartphone La personalizzazione dovrà essere completata entro massimo 4 (quattro) mesi. Fase 4 – Gestione. Installazione di consolle di monitoraggio e gestione per le PdL di: - Ferrovie dello Stato S.p.A., - Trenitalia S.p.A., - Rete Ferroviaria Italiana S.p.A., - Ferservizi S.p.A., - Italferr S.p.A. - più l’installazione di cruscotti centrali di monitoraggio per Ferrovie dello Stato S.p.A.. L’installazione delle consolle societarie e dei cruscotti centrali dovrà essere completata anch’essa entro 4 (quattro) mesi. Le Fasi 3 e 4 devono pertanto essere svolte in parallelo, nell’arco di tempo massimo di 4 (quattro) mesi, impegnando il Team di professionisti di cui al cap. 4.1.5. pag. 7 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 4.1. FASI DELLA FORNITURA 4.1.1. FORNITURA DELLE LICENZE Le licenze dovranno essere fornite attraverso l’apertura di determinati codici (grant number) dedicati a ciascuna Società del Gruppo FS. Ogni successivo aggiornamento funzionale delle licenze (Software Assurance) nonché le variazioni in aumento o diminuzione dei nodi coperti dovrà essere gestito da remoto. 4.1.2. MIGRAZIONE ED INSTALLAZIONE END POINT PROTECTION La migrazione delle PdL verso i nuovi prodotti del Fornitore dovrà essere effettuata sui server centrali e periferici delle Società del Gruppo FS e successivamente estesa su tutte le PdL e su tutti gli Smartphone del Gruppo FS. La migrazione deve essere preceduta dalla rimozione dell’attuale suite antivirus dai server centrali e periferici delle Società del Gruppo FS. I server centrali delle Società del Gruppo FS sono dislocati a Roma, presso la sede dell’Outsourcer informatico del Gruppo FS. La distribuzione sulle PdL periferiche potrà essere effettuata sia da remoto che on-site. Gli Smartphone sono gestiti da una piattaforma di Device Management ubicata a Roma. Dovrà essere prodotto un GANTT per le attività di migrazione di ciascuna Società del Gruppo FS. Le attività dovranno essere completate in un periodo massimo di 40 (quaranta) giorni per ciascuna Società e potranno essere svolte in parallelo. 4.1.3. PERSONALIZZAZIONE - DEFINIZIONE DEI PROFILI DI SICUREZZA Ferrovie dello Stato S.p.A. e le Società del Gruppo FS, ai fini del corretto utilizzo dei prodotti di End Point Protection, definiranno Gruppi di utenza specifici, con profili di sicurezza differenziati a seconda delle funzioni loro attribuite. In particolare gli utenti mobili, dotati di notebook e Smartphone, dovranno essere definiti anche in funzione della location dei device. Il Fornitore dovrà pertanto implementare i profili di sicurezza definiti dalle Società del Gruppo FS ed abilitarli alle funzioni previste dai seguenti prodotti: • Antivirus, • Personal firewall, • Application & Device control, • Criptazione file system, • Protezione dispositivi mobili. pag. 8 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 Il Fornitore, nel corso della Fornitura, dovrà produrre un documento descrittivo dei profili di sicurezza per ogni Società del Gruppo FS. 4.1.4. GESTIONE (CONSOLLE DI SICUREZZA SOCIETARI E CRUSCOTTI CENTRALI) I prodotti installati dovranno essere raccordati in diverse consolle di sicurezza, ciascuna specifica per ogni Società del Gruppo FS sopra riportate, più dei cruscotti centrali di monitoraggio per Ferrovie dello Stato S.p.A.. Le consolle dovranno dare una immagine visiva immediata dell’andamento dei principali parametri di controllo della sicurezza. Si richiedono, inoltre, degli indicatori del livello di sicurezza su Internet e della eventuale presenza di minacce specifiche. Le consolle dovranno prevedere una navigazione dinamica che consenta di approfondire fino al dettaglio l’analisi dei dati e dei KPI di sicurezza di Gruppo. 4.1.5. TEAM DI PROFESSIONISTI Le fasi di Personalizzazione e Gestione della fornitura dovranno essere assicurate da un Team composto da almeno 4 (quattro) professionisti, che dovrà completarle entro massimo 4 (quattro) mesi. Il Team di Professionisti deve essere composto da: ¾ 1 (uno) Senior Consultant del Vendor dei prodotti forniti, ¾ 1 (uno) Project Manager dotato di almeno 4 anni di esperienza in possesso di certificazione PMI-PMP o Prince 2, ¾ 2 (due) System Analist, ciascuno dei quali in possesso di almeno una delle seguenti qualifiche: a. certificazioni CISSP (ISC2), b. Certificazioni Microsoft MCSA ed MCSE, c. PMI-PMP (Project Management Institute). pag. 9 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 4.2. END POINT PROTECTION DEI PERSONAL COMPUTER FISSI E MOBILI In questo paragrafo si descrivono i requisiti per i prodotti di End Point Protection dei Personal Computer fissi e mobili. Per agent si intende un programma in esecuzione, rilevato dal Sistema Operativo, che abbia almeno una delle seguenti funzionalità: ¾ Antivirus, ¾ Application & Device Control, ¾ Personal Firewall, ¾ Crittografia (Encryption). I prodotti devono garantire che la componente client possa essere installata sia da remoto in modalità silenziosa, sia demandando l’installazione all’utente finale (esempio tramite pagina WEB). Dovrà in ogni caso essere garantita la possibilità d’installazione mediante almeno una di queste modalità: • attraverso la consolle di gestione (push remoto), • attraverso i prodotti di software distribution utilizzati dal Gruppo FS (SMS), • tramite login script, • attraverso un sistema di software distribution proposto dal fornitore. I prodotti devono poter essere installati e disabilitati dalle consolle societarie di cui al successivo paragrafo “4.4. Gestione”. Il Fornitore dovrà garantire, a fronte della pubblicazione di una vulnerabilità di sicurezza relativa al software utilizzato per espletare le funzionalità descritte nei paragrafi successivi, una soluzione strutturata alla problematica di sicurezza e la sua implementazione entro e non oltre 7 giorni solari. I prodotti devono garantire che le configurazioni di scansione non possano essere modificate dall’utente forzando le impostazioni direttamente dalla consolle di gestione. I prodotti devono consentire l’implementazione di un’architettura di gestione multi-livello e garantire un livello di scalabilità in grado di supportare fino a 100.000 nodi. La distribuzione degli aggiornamenti deve essere organizzata, in modo da poter distribuire gli stessi in maniera ottimale su tutta la rete evitando punti di concentrazione. I prodotti devono consentire l’aggiornamento diretto e automatico sui server del fornitore nel caso in cui il client non sia connesso alla rete aziendale ma direttamente alla rete Internet. I prodotti devono garantire che gli aggiornamenti delle signature avvengano attraverso il trasferimento non dell’intero pacchetto di signature ma attraverso la trasmissione del solo “delta” di aggiornamento. pag. 10 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 Dovrà essere fornita tutta la documentazione relativa ai sistemi software oggetto della fornitura (technical reference, operator & service guide, installation guide, tuning guide etc.). La documentazione dovrà essere redatta in lingua italiana, o in subordine in lingua inglese, e dovrà essere fornita su supporto cartaceo (manuali) ed elettronico (CD-ROM). Dovrà essere prodotta inoltre, a cura del fornitore, una completa e circostanziata documentazione di fornitura, installazione, collaudo e configurazione relativa a: 9 operazioni d’installazione e configurazione effettuate sulla consolle; 9 eventuali problemi incontrati; 9 soluzioni adottate. I prodotti devono integrarsi con soluzioni di Active Directory, PKI e LDAP e supportare la software distribution attraverso i sistemi attualmente in uso presso il Gruppo FS, o in alternativa integrare una propria soluzione di distribuzione. Per quello che concerne i sistemi Linux, deve integrarsi con i package manager delle distribuzioni più comuni, come ad esempio YUM o APT, oppure con un sistema di distribuzione tramite agent proprietario. 4.2.1. ANTIVIRUS L’antivirus dovrà prevedere una suite di moduli in grado di intercettare un virus auto replicante prima che questo possa danneggiare il computer ospite. Essa dovrà: • essere multipiattaforma; • supportare almeno le seguenti piattaforme operative: o Microsoft o Linux • supportare sia piattaforme client che server; • garantire il funzionamento sia in ambienti fisici che virtuali. La suite per quello che concerne gli ambienti Microsoft dovrà garantire la piena compatibilità con tutti i sistemi futuri e, in maniera obbligatoria con le versioni client e server, in tutte le sue architetture (32 e 64 bit) a partire da Windows 2000 fino a Windows Seven. La suite, per quello che concerne gli ambienti Linux dovrà garantire la piena compatibilità con tutti i sistemi futuri e, in maniera obbligatoria, con le versioni: • RedHat, • SuSE. La suite dovrà essere in grado di intercettare, bloccare e rimuovere, anche tramite diversi moduli eventualmente aggiuntivi e/o predisposti all’occorrenza, almeno le principali tipologie di minacce informatiche quali: • operating sistem viruses, • macro viruses, pag. 11 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus • script minaccia, • worms, • backdoors / bots, • trojan, • spyware, • adware, • rootkit, • botnet. Ver. .1 La suite dovrà essere in grado di effettuare : 9 verifica della integrità del settore di boot, del Master Boot Record (MBR) e dei file di sistema durante la fase iniziale di avvio del sistema; 9 scansione in tempo reale della memoria; 9 scansione in tempo reale dei file; 9 capacità di individuazione di tutte le tipologie di codice nocivo (cavalli di troia, backdoor, macro virus, ecc.); 9 blocco preventivo degli attacchi di tipo buffer overflow; 9 rilascio da parte del produttore di frequenti aggiornamenti del file delle firme con almeno un rilascio al giorno; 9 possibilità di programmare scansioni del file system ad intervalli regolari; 9 distribuzione centralizzata degli aggiornamenti per computer connessi in rete locale; 9 possibilità di effettuare gli aggiornamenti attraverso Internet in assenza di collegamento alla rete locale; 9 capacità di isolare i file infetti per i quali il prodotto non sia in grado di compiere operazioni di pulizia. Il modulo antispyware dovrà garantire le seguenti caratteristiche: 9 scansione in tempo reale di memoria e processi per bloccare lo spyware prima che si installi; 9 rilascio da parte del produttore di frequenti aggiornamenti del file delle firme; 9 funzionamento “euristico” per garantire la possibilità di fermare spyware anche in assenza di firme specifiche; 9 integrazione con il motore antivirus per garantire una logica univoca di funzionamento, sia verso l’utente (interfaccia grafica) che verso la consolle di gestione (reportistica); 9 integrazione di funzionalità anti-Adware e similari tipologie di minacce presenti e future. La suite fornita dovrà essere in grado di intercettare il codice minaccia sia sulla base di impronte caratteristiche (signature) sia in base alla rilevazione di comportamenti ritenuti potenzialmente dannosi (modulo di scansione euristica). In questo senso dovrà avere una pag. 12 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 protezione specifica in grado di riconoscere e bloccare minacce di tipo “buffer overflow” delle famiglie: • stack based, • heap based. La suite deve disporre di funzionalità di quarantena della minaccia individuata e la remediation successiva. La suite deve disporre di funzionalità di scan del sistema attivabili sia in base ad una schedulazione preventiva che in modalità manuale. La suite deve disporre di funzionalità di scansione dei dispositivi rimovibili in grado di rilevare una minaccia anche se presente solo in questi supporti (ad esempio chiavetta USB, scheda SD). La suite deve essere predisposta per verificare eventuali minacce sulle tipologie di file compressi più diffuse quali ed es.: file .zip, file .rar, etc.. L’architettura dovrà essere di tipo plug-in, con possibilità di aggiungere nuovi moduli con nuove funzionalità senza dover procedere alla reinstallazione di tutto il prodotto. La libreria delle impronte virali dovrà essere di dimensioni contenute e la componente client dovrà operare garantendo un basso utilizzo delle risorse (memoria, etc.). La suite deve permettere di configurare le modalità di prioritizzazione del processo di scansione antivirus (manuale/automatica). La suite deve essere protetta da password nel caso di modifica locale della configurazione o tentativi di disinstallazione o di disabilitazione dell’agent locale. La suite deve garantire che non siano modificate le configurazioni di download degli aggiornamenti. La suite deve disporre di vari livelli di auditing e logging in modo da tracciare puntualmente tutte le attività amministrative effettuate sull’infrastruttura e tutti gli eventi riguardanti infezioni in corso, aggiornamenti effettuati e/o falliti. La suite deve essere in grado di allertare, con opportuni messaggi, sia l’utente sia la consolle di gestione, in caso di mancato aggiornamento o di basi virali outdated. La suite deve garantire funzionalità di Host Intrusion Prevention System (HIPS). 4.2.2. PERSONAL FIREWALL La suite deve possedere un modulo in grado di effettuare: 9 monitoraggio, controllo e registrazione dell’attività di rete; 9 blocco connessioni non autorizzate; 9 blocco attacchi di tipo Denial of Service (DOS); pag. 13 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus 9 Ver. .1 autoconfigurazione iniettata da parte degli altri moduli di sicurezza (antivirus) di regole specifiche per il blocco della minaccia. Il modulo Personal Firewall deve disporre di funzionalità di network firewalling in grado di gestire le connessioni alla postazione per singolo indirizzo IP o “range” di indirizzi, per singola porta TCP/UDP o “range” di porte. Il modulo di Personal Firewall dovrà essere in grado di applicare configurazioni e politiche specifiche in base alla rete a cui la postazione è collegata. La soluzione dovrà quindi contemplare la possibilità di assegnare politiche di sicurezza in base almeno ai seguenti parametri: • Classe IP di appartenenza, • DNS Server, • Tipologia di connessioni su utenti mobili, quali: o LAN, o Wireless, o Dial-up, o VPN, almeno tecnologie Cisco e Microsoft. 4.2.3. APPLICATION & DEVICE CONTROL La suite dovrà comprendere un modulo in grado di monitorare ed eventualmente bloccare l’accesso almeno ai seguenti dispositivi periferici del personal computer: • Porte USB, • Lettore/masterizzatore CD/DVD, • Interfacce wireless (bluetooth, infrarossi), • Modem. Dovrà essere inoltre prevista la possibilità di bloccare applicazioni potenzialmente indesiderate quali: • Desktop search tool, • Distributed computing, • E-mail client, • File sharing, • Game, • Instant messenger client, • Internet Browser, • Media player, • Proxy application, • Remote management tool, • Toolbar, pag. 14 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus • Virtualization application, • VoIP, • scarewares in generale. Ver. .1 Tale elenco non è da considerarsi esaustivo. Il modulo dovrà essere in grado di garantire che possano essere avviati solo eseguibili/processi/servizi specificati in requisiti di sicurezza applicando politiche di: • Hashing; • Certificazione digitale, quest’ultima integrandosi con la PKI aziendale; • White & black listing. Il modulo deve contemplare la possibilità di assegnare politiche di sicurezza in base all’ubicazione fisica del device. Esempio pratico può essere il portatile del dipendente utilizzato in azienda o da casa, altresì sedi diverse potrebbero prevedere politiche differenti. 4.2.4. SOLUZIONE DI CRIPTAZIONE DEL FILE SYSTEM Deve essere fornita una soluzione di criptazione del File System, che potrà essere un modulo della suite, oppure potrà essere una soluzione specifica. La soluzione deve comunque rispettare i seguenti requisiti tecnico-funzionali: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Crittografia avanzata che deve supportare desktop, portatili e dispositivi di archiviazione rimovibili quali dischi rigidi, Memory Stick USB, etc.; Autenticazione preliminare all’avvio del client basata su password, token o Smart Card ed accesso ai dati del computer solo agli utenti autorizzati; Supporto di più utenti e amministratori sui singoli PC; Supporto di una gamma di algoritmi di crittografia, come ad esempio Twofish, Blowfish, Serpent, compreso AES-256; Supporto di una gamma di algoritmi di hashing, compresi SHA-512, RIPEMD-160 e Whirpool; Riproduzione su una consolle di gestione delle postazioni che hanno il disco criptato; Creazione del cosiddetto “rescue disk” o succedaneo, ovvero un set di tool in grado di supportare il ripristino in caso di problemi di ogni genere (es.: boot loader o master key danneggiati); Supporto di un largo insieme di tokens e Smartcards, incluso CAC v2, GSC-IS 2.1, Aladdin eToken e RSA; Supporto di un vasto insieme di card reader incluso USB reader CCID-compliant e PCMCIA; Supporto, anche remoto, dell’utente che avesse dimenticato il token d’accesso o la password. In tal caso lo sblocco dovrà essere consentito dalla consolle di controllo pag. 15 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 della soluzione anche su internet attraverso un portale o tramite il supporto del Service Desk aziendale. pag. 16 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 4.3. END POINT PROTECTION DEI DISPOSITIVI MOBILI (SMARTPHONE) In questo paragrafo si descrivono i requisiti funzionali del prodotto di End Point Protection dei Dispositivi Mobili (Smartphone). Per quello che concerne i sistemi operativi, il prodotto dovrà supportare almeno: • Microsoft Windows Mobile e le sue future evoluzioni, • Symbian OS e le sue future evoluzioni, • qualora non disponibile, il supporto iOS di Apple Iphone dovrà essere disponibile entro il primo trimestre del 2011, • qualora non disponibile, il supporto Google Android OS dovrà essere disponibile entro il primo trimestre del 2012. Il prodotto deve garantire che la componente sul client possa essere installata sia da remoto in modalità silenziosa che localmente. Devono in ogni caso essere garantite le seguenti funzioni di gestione: 9 Installazione tramite login script, 9 Trasmissione del SW di installazione attraverso connessione diretta al PC o automaticamente tramite una connessione al server centrale via WLAN, GPRS,UMTS etc., 9 Single File Update e garanzia di roll-back in caso di problemi, 9 Sincronizzazione in modalità sicura ed automatica, 9 Trasferimento su ogni device compatibile nel caso di sostituzione dello Smartphone. Il prodotto deve poi assicurare i seguenti requisiti funzionali: • Protezione completamente trasparente del dispositivo e delle schede di memoria ovunque ed in qualsiasi condizione (con/senza connettività, con schede di vari service provider di connettività); • Rilevamento automatico delle connessioni dati per scaricare gli aggiornamenti; • Aggiornamenti automatici del client anche attraverso i server del fornitore nel caso in cui il client non sia connesso alla rete aziendale; • Impossibilità di disinstallare l’antivirus dall’utente; • Integrazione con le policy e le configurazioni base previste per i dispositivi desktop; • Scanning in real time di file e messaggi (SMS, MMS, …) nel momento in cui essi arrivano; • Scanning manuali (su richiesta) e automatici ad intervalli definiti o ad eventi prestabiliti (accensione, …); • Modalità operativa in background; • Scanning dei ROM files; pag. 17 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 • Cancellazione automatica di tutti i file infetti; • Gestione centralizzata di tutte le sue componenti attraverso una consolle di management dedicata (ad es. attraverso SMS listener) preferibilmente integrata con la consolle della soluzione scelta per i Personal Computer e i Server; • Predisposizione di vari livelli di auditing e logging in modo da tracciare puntualmente tutte le attività amministrative effettuate sull’infrastruttura e tutti gli eventi riguardanti infezioni in corso, aggiornamenti effettuati e/o falliti; • Raccolta e visualizzazione (centralizzata e locale) dei log; • Disattivazione/attivazione attraverso la consolle di gestione, sia per un singolo che per un gruppo di client, (sia in modo permanente che periodi stabiliti), di specifiche funzionalità/policy; • Impossibilità di modifica delle configurazioni. Per la gestione si richiede l’utilizzo di un singolo agente che viene gestito da una consolle centralizzata. Dovrà essere fornita tutta la documentazione rilasciata dal produttore, relativa ai sistemi software, oggetto della fornitura (technical reference, operator & service guide, installation guide, tuning guide etc.). La documentazione dovrà essere redatta in lingua italiana, o in subordine in lingua inglese, e dovrà essere fornita su supporto cartaceo (manuali) ed elettronico (CD-ROM). Dovrà essere prodotta, a cura del Fornitore, una completa e circostanziata documentazione di fornitura, installazione, collaudo e configurazione relativa: • alle operazioni d’installazione e configurazione effettuate sulla consolle; • agli eventuali problemi incontrati; • alle soluzioni adottate. 4.3.1. ANTIVIRUS Il prodotto deve essere in grado di intercettare un virus auto replicante prima che questo possa danneggiare il device ospite. Il prodotto deve: 9 essere multipiattaforma e dovrà supportare gli hardware Smartphone più diffusi; 9 consentire la gestione da consolle centralizzata delle piattaforme sopraindicate. Il prodotto dovrà essere in grado di intercettare, bloccare e rimuovere, anche tramite diversi moduli eventualmente aggiuntivi e/o predisposti all’occorrenza, le principali tipologie di minacce presenti e future. L’architettura deve essere di tipo plug-in, con possibilità di aggiungere nuovi moduli con nuove funzionalità senza dover procedere alla reinstallazione di tutto il prodotto. La libreria delle impronte virali dovrà essere di dimensioni contenute e la componente client dovrà operare garantendo un basso utilizzo delle risorse (memoria, etc.) delle pag. 18 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 postazioni di lavoro, in particolare l’impegno della CPU deve essere tale de non inficiare la normale operatività del device. Il modulo antivirus dovrà garantire le seguenti funzioni: • scansione in tempo reale della memoria; • scansione in tempo reale dei file; • individuazione di tutte le tipologie di codice nocivo (cavalli di troia, backdoor, macro virus, etc.); • blocco preventivo degli attacchi critici; • rilascio da parte del produttore di frequenti aggiornamenti del file delle firme; • programmazione di scansioni del file system ad intervalli regolari; • distribuzione centralizzata degli aggiornamenti per i device connessi in rete locale; • aggiornamento attraverso Internet in assenza di collegamento alla rete locale; • capacità di isolare i file infetti per i quali il prodotto non sia in grado di compiere operazioni di pulizia. 4.3.2. ANTIFURTO Il Prodotto EPP degli Smartphone deve prevedere, in unica soluzione o con modulo a se stante, un’applicazione di Antifurto, in grado di garantire che i dati e le applicazioni del dispositivo siano protetti anche nel caso di furto o perdita dello Smartphone. A questo scopo il modulo antifurto dovrà avere le seguenti caratteristiche: • Blocco del dispositivo. Lo sblocco dovrà avvenire solo attraverso una procedura sicura tramite password o codice; • Blocco automatico del dispositivo nel caso di furto. pag. 19 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 4.4. GESTIONE 4.4.1. CONSOLLE DI SICUREZZA SOCIETARIE I prodotti di End Point Protection dovranno essere monitorati e gestiti attraverso delle consolle di sicurezza specifiche, installate per 5 (cinque) Società del Gruppo FS: ¾ Ferrovie dello Stato S.p.A., ¾ Trenitalia S.p.A., ¾ Rete Ferroviaria Italiana S.p.A., ¾ Ferservizi S.p.A., ¾ Italferr S.p.A.. Attraverso le consolle di sicurezza societarie dovrà essere possibile controllare e configurare tutti i prodotti installati, ivi inclusi gli agent o i moduli aggiuntivi previsti dal presente Capitolato. Le consolle potranno essere composte di diverse viste, fino a una per ogni tipo di agent installato sull’End Point. Ogni consolle di sicurezza societaria dovrà rendere disponibili informazioni relative almeno ai seguenti aspetti: • profili di sicurezza attualmente utilizzati, • indicatori sui livelli di sicurezza attuali per le varie funzionalità e per i vari gruppi di utenti (patch di sistema operativo presenti, livello antivirus, applicazioni illecite, client senza encryption del file system), • possibilità di lettura dei dati di configurazione fino al singolo client, • informazioni di early warning. Dovrà essere disponibile anche una consolle specifica per informazioni relative agli Smartphone, tenendo conto della discontinuità di raggiungibilità dei medesimi. Le consolle di sicurezza societarie dovranno prevedere almeno le seguenti informazioni: • Indicatori di sicurezza su Internet, in termini di livello, di minacce presenti in rete e la loro tipologia; • Indicatori dello stato di sicurezza interna navigabili fino ai singoli eventi di sicurezza; • Definizione di almeno 1 KPI storicizzato sull’andamento complessivo della sicurezza per ogni funzionalità. Le consolle di sicurezza societarie devono assicurare le seguenti funzioni di gestione: 1. consentire la disattivazione/attivazione attraverso - sia per un singolo che per un gruppo di client/utenti, (sia in modo permanente che periodi stabiliti) - specifiche funzionalità/policy; pag. 20 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 2. gestire ruoli differenziati di accesso alla consolle (almeno amministratore, gestore, auditor) e le relative deleghe amministrative su porzioni differenti dell’organizzazione e su componenti differenti; 3. gestire ruoli che permettano di amministrare in modo condiviso o esclusivo i vari componenti (ad es. gestione differenziata su antivirus, amministrazione per compound, accesso a report di sintesi). pag. 21 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus 4.4.2. Ver. .1 CRUSCOTTI CENTRALI I cruscotti centrali dovranno consentire la visione integrata delle varie informazioni e dei report provenienti dai prodotti sottostanti. Attraverso i cruscotti centrali deve essere possibile visualizzare tutti i profili di sicurezza e le politiche di applicazione definite per le Società del Gruppo FS, nonché dei Gruppi utenti fino al dettaglio del singolo utente. I cruscotti centrali dovranno evidenziare tutte le situazioni di violazione della sicurezza che si verificassero nelle varie funzionalità. Il cruscotto relativo all’Application Control deve consentire la visualizzazione delle applicazioni presenti sul client del singolo utente. Deve inoltre segnalare tutte le anomalie rilevate a livello di integrità delle applicazioni sui PdL. 4.4.3. FUNZIONALITÀ DI REPORTING I prodotti e sistemi installati devono consentire un’attività di reporting che riguardi le seguenti informazioni: • eventi di sicurezza occorsi; • statistiche sull’andamento delle infezioni (suddivisi per tipologie di virus e per client); • statistiche sul parco macchine, fisse e mobili; • applicazioni installate; • utilizzo di Smartphone. Dai report si dovrà evincere in maniera chiara lo stato dell’intera infrastruttura e dei client serviti. Dovranno essere incluse tutte le informazioni relative alle versioni (di engine antivirus e di pattern scaricati) installate sui server e sui client. Dovrà essere possibile produrre report in forma grafica in modo da fornire una panoramica veloce sullo stato dell’intera infrastruttura; dovranno inoltre essere previsti opportuni warning su situazioni potenzialmente pericolose (p. es. engine non aggiornati, pattern datati, client antivirus non funzionanti o con problemi). Per quanto concerne auditing e logging, la soluzione deve garantire, per tutte le sue componenti, opportuni livelli di auditing in grado di tracciare tutte le attività amministrative che comportano un cambio nelle configurazioni delle componenti della soluzione sui server e sui client. pag. 22 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus 4.4.4 Ver. .1 EARLY WARNING Il Fornitore deve offrire un servizio informativo sulle vulnerabilità informatiche esistenti ed emergenti, nonché sull’evoluzione di minacce informatiche attraverso attività di intelligence tipiche del settore. La distribuzione di tali avvisi avverrà a mezzo di mail oppure un portale web che dovranno contenere almeno le seguenti informazioni: 9 sistemi affetti/vulnerabili, 9 strategie di mitigazione. pag. 23 di 24 Capitolato Tecnico Area Acquisti di Gruppo Piattaforma antivirus Ver. .1 4.5. SERVIZI DI SOFTWARE ASSURANCE Il Fornitore dovrà provvedere a fornire un servizio di aggiornamento software per tre anni dal momento del collaudo. Tale manutenzione e assistenza riguarda: 9 aggiornamento signature antivirus, 9 aggiornamenti software di tutte le componenti (agent, consolle, etc.), 9 possibilità di sottoporre file sospetti al produttore al fine di verificare la presenza di codice malevolo; si richiede un tempo di risposta di 24 ore solari, 9 servizio informativo erogato direttamente dal produttore. Il Fornitore deve garantire, a fronte della pubblicazione di una vulnerabilità di sicurezza relativa al software utilizzato per espletare le funzionalità descritte nel presente Capitolato, entro e non oltre 7 giorni solari, una soluzione strutturata alla problematica di sicurezza. pag. 24 di 24