Requisiti di Progetto - WP3.1 ¶
Panoramica ¶
Questo documento dettaglia i requisiti del Work Package 3.1: Analisi trasversale delle tecnologie per garantire cybersecurity by design, organizzati per categoria e priorità.
I requisiti sono derivati dall'analisi di sicurezza del sistema IDMS 3.x e dagli obiettivi di progetto, con focus su compliance NIS2 e ISO/IEC 27001:2022.
Indice ¶
- Requisiti Funzionali
- Requisiti di Sicurezza
- Requisiti di Modernizzazione Tecnologica
- Requisiti di Compliance
- Requisiti di Monitoraggio
- Requisiti di Documentazione
- Criteri di Accettazione
- Matrice di Tracciabilità
Requisiti Funzionali ¶
RF-1: Gestione Credenziali e Autenticazione ¶
RF-1.1: Secret Management (Priorità: Alta) ¶
Codice Req.: R-1.1
Obiettivo: O-1
Requisito: Il sistema DEVE utilizzare un Secret Manager (es. HashiCorp Vault) per tutte le credenziali e segreti. È vietata la memorizzazione in chiaro in repository o configurazioni.
Criteri di Accettazione:
- ✅ HashiCorp Vault installato e operativo
- ✅ 100% credenziali migrate da hardcoded/config a Vault
- ✅ 0 credenziali in chiaro verificate con scan automatico
- ✅ Audit trail accessibilità a tutti i segreti
- ✅ Procedura operativa gestione segreti documentata
Task Correlati: T3.1, T3.2
RF-1.2: Rotazione Automatica Credenziali (Priorità: Alta) ¶
Codice Req.: R-1.3
Obiettivo: O-1
Requisito: DEVE essere implementata rotazione automatica delle password/chiavi/certificati con audit tracciabile.
Criteri di Accettazione:
- ✅ Rotazione automatica configurata per credenziali critiche
- ✅ Policy rotazione: ≤90 giorni per asset critici
- ✅ Notifiche scadenza funzionanti
- ✅ Log audit trail completo delle rotazioni
- ✅ Test rotazione senza interruzione servizio superati
Task Correlati: T3.4
RF-1.3: Autenticazione Certificati MQTT (Priorità: Alta) ¶
Codice Req.: R-1.6
Obiettivo: O-1
Requisito: Per MQTT DEVE essere supportata e abilitabile l'autenticazione a certificato client.
Criteri di Accettazione:
- ✅ MQTT broker configurato per client certificate auth
- ✅ PKI interna emette certificati client
- ✅ Client MQTT aggiornati con certificati
- ✅ Autenticazione username/password disabilitata
- ✅ Test connessioni con certificati OK
Task Correlati: T3.5, T3.3
RF-1.4: Token JWT per API (Priorità: Alta) ¶
Codice Req.: R-1.7
Obiettivo: O-1
Requisito: Le API DEVONO utilizzare token JWT con scadenze e rotazione dei secret/chiavi di firma.
Criteri di Accettazione:
- ✅ Autenticazione JWT implementata su tutte le API
- ✅ Chiavi JWT gestite in Vault
- ✅ Token con scadenza configurabile (es. 1h)
- ✅ Refresh token mechanism implementato
- ✅ Revoca token funzionante
Task Correlati: T3.6
RF-1.5: PKI Interna (Priorità: Media) ¶
Codice Req.: R-1.8
Obiettivo: O-1
Requisito: DEVE esistere una PKI interna per l'emissione, validazione e rotazione dei certificati (inclusi wildcard interni dove appropriato).
Criteri di Accettazione:
- ✅ CA root e intermediate CA configurate
- ✅ Processo emissione certificati documentato
- ✅ Validazione certificati attiva
- ✅ CRL/OCSP configurato per revoche
- ✅ Rotazione automatica prima scadenza
Task Correlati: T3.3
RF-2: Crittografia e Protezione Dati ¶
RF-2.1: TLS 1.3 Forzato (Priorità: Alta) ¶
Codice Req.: R-2.1
Obiettivo: O-2
Requisito: Tutte le comunicazioni sensibili DEVONO usare TLS 1.3; protocolli obsoleti (SSL 2/3, TLS 1.0/1.1) DEVONO essere disabilitati.
Criteri di Accettazione:
- ✅ TLS 1.3 attivo su MQTT, API, database connections
- ✅ Protocolli TLS 1.0/1.1 e SSLv2/v3 disabilitati
- ✅ Cipher suite sicure con PFS configurate
- ✅ Test ssllabs/testssl con rating A+
- ✅ Configurazioni documentate
Task Correlati: T4.1
RF-2.2: Transparent Data Encryption Database (Priorità: Alta) ¶
Codice Req.: R-2.3
Obiettivo: O-2
Requisito: I database PostgreSQL/TimescaleDB DEVONO essere crittografati (TDE o equivalente) e le chiavi gestite in modo centralizzato.
Criteri di Accettazione:
- ✅ TDE abilitato su PostgreSQL/TimescaleDB
- ✅ Chiavi encryption gestite da Vault/KMS
- ✅ Backup crittografati verificati
- ✅ Performance impact ≤10% misurato
- ✅ Procedura recovery documentata e testata
Task Correlati: T4.2
RF-2.3: Backup Crittografati (Priorità: Alta) ¶
Codice Req.: R-2.5
Obiettivo: O-2
Requisito: I backup DEVONO essere crittografati con chiavi separate e gestite.
Criteri di Accettazione:
- ✅ Tutti i backup crittografati con AES-256
- ✅ Chiavi backup separate da chiavi produzione
- ✅ Chiavi gestite in Vault
- ✅ Test restore da backup crittografato OK
- ✅ Procedura disaster recovery documentata
Task Correlati: T7.6
RF-3: Controllo Accessi e Autorizzazione ¶
RF-3.1: RBAC su Tutti i Componenti (Priorità: Alta) ¶
Codice Req.: R-3.1
Obiettivo: O-3
Requisito: DEVE essere implementato RBAC su servizi, API, database e storage, secondo il principio del privilegio minimo.
Criteri di Accettazione:
- ✅ Ruoli definiti per ogni componente
- ✅ RBAC implementato su API, DB, MQTT, storage
- ✅ Matrice ruoli-permessi documentata
- ✅ Test matrice accessi superati
- ✅ Audit log accessi attivo
Task Correlati: T4.3
RF-3.2: Row-Level Security Database (Priorità: Alta) ¶
Codice Req.: R-3.5
Obiettivo: O-3
Requisito: Per dati sensibili, DEVE essere adottata Row-Level Security (RLS) su PostgreSQL.
Criteri di Accettazione:
- ✅ RLS abilitata su tabelle con dati sensibili
- ✅ Policy RLS per ogni ruolo definite
- ✅ Test isolamento dati tra utenti OK
- ✅ Performance impact analizzato e accettabile
- ✅ Documentazione policy RLS
Task Correlati: T4.4
RF-3.3: Segmentazione Accessi di Rete (Priorità: Alta) ¶
Codice Req.: R-3.2
Obiettivo: O-3
Requisito: Gli accessi di rete DEVONO essere limitati da firewall e/o micro-segmentazione (VLAN) con policy granulari.
Criteri di Accettazione:
- ✅ VLAN separate per management, data, storage
- ✅ Firewall rules granulari configurate
- ✅ Routing inter-VLAN controllato
- ✅ Whitelist IP per accessi admin
- ✅ Test isolamento e connettività OK
Task Correlati: T4.5, T6.2
RF-4: Monitoraggio e Incident Response ¶
RF-4.1: SIEM Centralizzato (Priorità: Alta) ¶
Codice Req.: R-4.1
Obiettivo: O-4
Requisito: Tutti i log di sicurezza e operativi critici DEVONO essere centralizzati in un SIEM.
Criteri di Accettazione:
- ✅ SIEM (ELK/Wazuh) installato e operativo
- ✅ Copertura ≥95% sorgenti log (OS, app, DB, rete)
- ✅ Log indicizzati e ricercabili
- ✅ Retention policy conforme (es. 1 anno)
- ✅ Backup log configurato
Task Correlati: T5.1, T5.2
RF-4.2: Alerting e Correlazione Eventi (Priorità: Alta) ¶
Codice Req.: R-4.2
Obiettivo: O-4
Requisito: Il SIEM DEVE eseguire correlazione eventi e generare alert su pattern anomali o policy violation.
Criteri di Accettazione:
- ✅ Regole alerting configurate per eventi critici
- ✅ Correlazione eventi attiva (es. brute force)
- ✅ Notifiche alert funzionanti (email/Slack)
- ✅ Tuning alert con tasso falsi positivi <5%
- ✅ Dashboard alert management
Task Correlati: T5.3
RF-4.3: Dashboard Metriche Sicurezza (Priorità: Media) ¶
Codice Req.: R-4.9
Obiettivo: O-4
Requisito: DEVONO essere esposte metriche di sicurezza (es. Prometheus) e dashboard dedicate (Grafana/Kibana).
Criteri di Accettazione:
- ✅ Dashboard sicurezza create (Grafana/Kibana)
- ✅ Metriche chiave visualizzate (accessi, CVE, cert)
- ✅ Export report automatici configurati
- ✅ Accesso dashboard per management
- ✅ User guide dashboard disponibile
Task Correlati: T5.4
RF-4.4: IDS/IPS (Priorità: Media) ¶
Codice Req.: R-4.4
Obiettivo: O-4
Requisito: DEVE essere implementato monitoraggio in tempo reale (IDS/IPS) su segmenti e servizi critici.
Criteri di Accettazione:
- ✅ IDS/IPS (Suricata/Snort) installato
- ✅ Signature rules aggiornate
- ✅ Integrazione alert con SIEM
- ✅ Testing in monitor mode completato
- ✅ Policy IDS/IPS documentata
Task Correlati: T5.5
RF-4.5: Playbook Incident Response (Priorità: Alta) ¶
Codice Req.: R-4.7
Obiettivo: O-4
Requisito: DEVONO esistere procedure documentate di incident response e playbook per scenari comuni.
Criteri di Accettazione:
- ✅ Playbook per scenari principali (breach, ransomware, DoS)
- ✅ Ruoli e responsabilità IR definiti
- ✅ Procedure escalation documentate
- ✅ Contact tree IR aggiornato
- ✅ Tabletop exercise eseguito
Task Correlati: T5.6
RF-5: Sicurezza di Rete e Perimetro ¶
RF-5.1: WAF per Applicazioni Esposte (Priorità: Media) ¶
Codice Req.: R-5.2
Obiettivo: O-5
Requisito: Le applicazioni esposte DEVONO essere protette da WAF.
Criteri di Accettazione:
- ✅ WAF configurato davanti ad API
- ✅ OWASP Core Rule Set implementato
- ✅ Custom rules per applicazione specifiche
- ✅ Log WAF integrati in SIEM
- ✅ Tuning per ridurre falsi positivi
Task Correlati: T6.3
RF-5.2: Rate Limiting e Protezioni DDoS (Priorità: Media) ¶
Codice Req.: R-5.4
Obiettivo: O-5
Requisito: DEVE essere attivata protezione DDoS e rate limiting alle API.
Criteri di Accettazione:
- ✅ Rate limiting implementato per IP/user/endpoint
- ✅ Throttling configurato con threshold adeguati
- ✅ Protezioni DDoS base a livello firewall
- ✅ Load testing eseguito e superato
- ✅ Monitoring rate limiting attivo
Task Correlati: T6.6
RF-5.3: Topic ACL MQTT (Priorità: Alta) ¶
Codice Req.: R-5.6
Obiettivo: O-5
Requisito: Per MQTT, configurare topic ACL granulari, client certificate auth, QoS adeguati e message signing per integrità.
Criteri di Accettazione:
- ✅ Topic ACL granulari configurate
- ✅ Client certificate auth attiva
- ✅ QoS coerenti con rischi configurati
- ✅ Message signing implementato (se applicabile)
- ✅ Test permessi topic OK
Task Correlati: T3.5
RF-6: Hardening e Sicurezza Applicativa ¶
RF-6.1: Hardening Sistemi Operativi (Priorità: Media) ¶
Codice Req.: R-6.1
Obiettivo: O-6
Requisito: I sistemi operativi DEVONO avere servizi non necessari disabilitati, con profili SELinux/AppArmor configurati.
Criteri di Accettazione:
- ✅ SELinux/AppArmor attivo su tutti i server
- ✅ Profili custom per applicazioni
- ✅ Servizi non necessari disabilitati
- ✅ Checklist CIS Benchmark applicata
- ✅ Audit hardening completato
Task Correlati: T6.1
RF-6.2: Patching Automatico (Priorità: Media) ¶
Codice Req.: R-6.2
Obiettivo: O-6
Requisito: DEVONO essere applicati aggiornamenti di sicurezza automatici o cicli di patching definiti.
Criteri di Accettazione:
- ✅ unattended-upgrades configurato
- ✅ Security patches installati automaticamente
- ✅ Vulnerability scanner (OpenVAS) operativo
- ✅ Policy remediation SLA definita (Crit≤15d, High≤30d)
- ✅ Dashboard CVE tracking attivo
Task Correlati: T6.4
RF-6.3: Container Security (Priorità: Alta) ¶
Codice Req.: R-6.4
Obiettivo: O-6
Requisito: I container DEVONO essere eseguiti con utenti non-root e security contexts adeguati.
Criteri di Accettazione:
- ✅ Container scanning in CI/CD (Trivy/Grype)
- ✅ Policy: immagini minimali, utenti non-root
- ✅ Security contexts applicati
- ✅ 0 container root in produzione (salvo eccezioni motivate)
- ✅ Scan registry periodico configurato
Task Correlati: T6.5
RF-6.4: Secure Coding Practices (Priorità: Alta) ¶
Codice Req.: R-6.5
Obiettivo: O-6
Requisito: Le applicazioni DEVONO implementare validazione input rigorosa e prepared statements per SQL.
Criteri di Accettazione:
- ✅ Linee guida secure coding documentate
- ✅ Input validation implementata su tutti endpoint
- ✅ Prepared statements per tutte query SQL
- ✅ Code review checklist security
- ✅ SAST tool integrato in CI/CD (opzionale)
Task Correlati: T6.7
Requisiti di Modernizzazione Tecnologica ¶
RM-1: Upgrade Python 3.7 → 3.13 (Priorità: Alta) ¶
Codice Req.: R-MOD-1
Obiettivo: O-11
Requisito: Il sistema DEVE migrare da Python 3.7 (EOL) a Python 3.13, aggiornando tutte le dipendenze e verificando la compatibilità del codice esistente.
Criteri di Accettazione:
- ✅ Python 3.13 installato in ambiente test
- ✅ 100% codice compatibile con Python 3.13
- ✅ Tutte dipendenze aggiornate (pydantic, pandas, etc.)
- ✅ Test suite passing al 100%
- ✅ 0 dipendenze EOL o vulnerabili
- ✅ Guida migrazione documentata
Metriche:
- Riduzione ≥50% CVE grazie upgrade
- Performance improvement misurato
Task Correlati: T2.1, T2.2
RM-2: Upgrade Sistema Operativo Debian (Priorità: Alta) ¶
Codice Req.: R-MOD-2
Obiettivo: O-11
Requisito: Il sistema DEVE aggiornare da Debian ~2021 a Debian 12 (Bookworm) o superiore, applicando le ultime patch di sicurezza e configurazioni hardened.
Criteri di Accettazione:
- ✅ Debian 12 Bookworm installato
- ✅ Patch di sicurezza applicate (0 CVE Critical/High)
- ✅ Kernel aggiornato
- ✅ Compatibilità hardware verificata
- ✅ Procedura upgrade documentata
- ✅ Rollback procedure testata
Metriche:
- 0 CVE Critical/High non patchate
- Uptime ≥99.5% post-upgrade
Task Correlati: T2.3
RM-3: Upgrade Stack Infrastrutturale (Priorità: Alta) ¶
Codice Req.: R-MOD-3
Obiettivo: O-11
Requisito: DEVE essere aggiornato lo stack infrastrutturale: PostgreSQL/TimescaleDB, Redis, MQTT broker, garantendo compatibilità e miglioramenti di performance.
Criteri di Accettazione:
- ✅ PostgreSQL aggiornato a versione LTS recente (≥14)
- ✅ TimescaleDB compatibile installato
- ✅ Redis aggiornato (≥7.0)
- ✅ MQTT broker aggiornato (Mosquitto ≥2.0 o EMQX)
- ✅ Script migrazione database testati
- ✅ Backup pre-upgrade completati
Metriche:
- Performance query DB: miglioramento ≥10%
- Throughput MQTT: miglioramento ≥15%
Task Correlati: T2.4
RM-4: Valutazione Librerie Performance (polars/dask) (Priorità: Media) ¶
Codice Req.: R-MOD-4
Obiettivo: O-11
Requisito: DEVONO essere valutate e testate librerie alternative ad alte performance: polars e/o dask al posto di pandas per elaborazioni intensive.
Criteri di Accettazione:
- ✅ POC polars implementato su use case reale
- ✅ POC dask implementato su use case distribuito
- ✅ Benchmark comparativo pandas vs polars vs dask
- ✅ Analisi pro/contro migrazione
- ✅ Raccomandazione Go/No-Go documentata
Metriche:
- Target: miglioramento ≥20% tempi elaborazione
- Riduzione ≥30% utilizzo memoria
Task Correlati: T2.6
RM-5: Test Suite Completa Post-Migrazione (Priorità: Alta) ¶
Codice Req.: R-MOD-5
Obiettivo: O-11
Requisito: DEVE essere implementato un processo di testing rigoroso (unit, integration, regression) per garantire la stabilità post-migrazione.
Criteri di Accettazione:
- ✅ Test suite completa (unit + integration)
- ✅ Code coverage ≥85%
- ✅ 100% test passing post-migrazione
- ✅ Test regressione end-to-end superati
- ✅ Performance regression test OK
Metriche:
- Test coverage ≥85%
- 0 regression bug critici
Task Correlati: T2.5, T8.1
Requisiti di Compliance ¶
RC-1: ISMS ISO/IEC 27001:2022 (Priorità: Alta) ¶
Codice Req.: R-10.1
Obiettivo: O-10
Requisito: DEVE essere istituito un ISMS conforme a ISO/IEC 27001:2022 con ambito definito, policy, ruoli/responsabilità, Statement of Applicability (SoA) e risk treatment plan.
Criteri di Accettazione:
- ✅ ISMS documentato con ambito chiaro
- ✅ Policy di sicurezza approvate
- ✅ Ruoli ISMS definiti (CISO, Security Officer)
- ✅ SoA completo per 93 controlli Annex A
- ✅ Risk treatment plan approvato
- ✅ Management commitment ottenuto
Metriche:
- 0 non-conformità maggiori in audit interno
- 100% controlli applicabili implementati
Task Correlati: T7.1, T7.2
RC-2: Risk Assessment Annuale (Priorità: Alta) ¶
Codice Req.: R-10.2
Obiettivo: O-10
Requisito: DEVE essere eseguito un risk assessment almeno annuale (o ad ogni cambiamento rilevante) con criteri e metodologia formalizzati.
Criteri di Accettazione:
- ✅ Risk assessment eseguito con metodologia ISO 27005
- ✅ Risk register completo e aggiornato
- ✅ Valutazione probabilità e impatto documentata
- ✅ Risk treatment decision (mitigate/accept/transfer/avoid)
- ✅ Review annuale pianificata
Metriche:
- ≥1 risk assessment/anno
- 100% rischi identificati con treatment plan
Task Correlati: T7.3
RC-3: Compliance NIS2 (Priorità: Alta) ¶
Codice Req.: R-10.4, R-10.5, R-10.6, R-10.7
Obiettivo: O-10
Requisito: DEVONO essere rispettati gli obblighi NIS2 di notifica incidenti, vulnerability management, supply-chain security, testing periodici.
Criteri di Accettazione:
- ✅ Procedura incident reporting NIS2 (≤24h early warning, ≤72h notifica)
- ✅ Vulnerability management con SLA (Crit≤15d, High≤30d, Med≤90d)
- ✅ Penetration test annuale eseguito
- ✅ SAST/DAST in CI/CD attivi
- ✅ Supply chain: 100% fornitori critici valutati
- ✅ SBOM per componenti critici
Metriche:
- 100% incident reporting entro SLA NIS2
- 0 vulnerabilità Critical note in produzione
- ≥1 pentest/anno
Task Correlati: T7.4, T7.8, T6.4
RC-4: Business Continuity e Disaster Recovery (Priorità: Alta) ¶
Codice Req.: R-10.8
Obiettivo: O-10
Requisito: DEVONO essere definiti e testati piani di Business Continuity e Disaster Recovery basati su BIA, con RTO/RPO per servizi critici (es. RTO ≤4h, RPO ≤1h).
Criteri di Accettazione:
- ✅ BIA (Business Impact Analysis) completata
- ✅ RTO/RPO definiti per servizi critici
- ✅ Piano BC documentato
- ✅ Piano DR documentato
- ✅ Test DR annuale eseguito con successo
- ✅ Procedura restore testata
Metriche:
- RTO ≤4h per servizi critici
- RPO ≤1h per servizi critici
- ≥1 esercitazione DR/anno
Task Correlati: T7.6
RC-5: Classificazione e Gestione Dati (Priorità: Media) ¶
Codice Req.: R-10.10
Obiettivo: O-10
Requisito: DEVE esistere una policy di classificazione e trattamento delle informazioni (ISO 27001) con etichettatura, gestione supporti e trasferimenti sicuri.
Criteri di Accettazione:
- ✅ Policy classificazione dati definita (Public/Internal/Confidential/Restricted)
- ✅ Etichettatura asset informativi
- ✅ Policy gestione supporti removibili
- ✅ Procedure trasferimento dati sicuro
- ✅ Training team su classificazione
Metriche:
- 100% asset informativi classificati
- 100% utenti formati su policy
Task Correlati: T7.5
RC-6: Audit Interni e Management Review (Priorità: Media) ¶
Codice Req.: R-10.3
Obiettivo: O-10
Requisito: DEVONO essere condotti audit interni periodici e management review a cadenza almeno annuale.
Criteri di Accettazione:
- ✅ Audit interno ISMS eseguito
- ✅ Report audit con non-conformità documentato
- ✅ Piano azioni correttive definito
- ✅ Management review eseguita
- ✅ Decisioni management documentate
Metriche:
- ≥1 audit interno/anno
- ≥1 management review/anno
- 100% azioni correttive chiuse entro deadline
Task Correlati: T7.7
Requisiti di Monitoraggio ¶
RM-1: KPI di Sicurezza (Priorità: Media) ¶
Codice Req.: R-9.1
Obiettivo: O-9
Requisito: Definire e misurare KPI: MTTD, MTTR, copertura logging/monitoraggio, compliance, frequenza patching.
Criteri di Accettazione:
- ✅ KPI definiti e documentati
- ✅ MTTD < 15 minuti per incidenti critici
- ✅ MTTR < 4 ore per incidenti critici
- ✅ Copertura logging ≥95%
- ✅ Dashboard KPI attiva
Metriche:
- MTTD: <15 min
- MTTR: <4 ore
- Log coverage: ≥95%
Task Correlati: T5.4, T8.1
RM-2: Dashboard e Review Periodiche (Priorità: Media) ¶
Codice Req.: R-9.2
Obiettivo: O-9
Requisito: Mantenere dashboard di sicurezza e review periodiche (trimestrali/semestrali/annuali).
Criteri di Accettazione:
- ✅ Dashboard sicurezza disponibili 24/7
- ✅ Review trimestrali metriche sicurezza
- ✅ Report per management
- ✅ Trending analysis
- ✅ Action items tracciati
Metriche:
- ≥4 review/anno (trimestrali)
- 100% action items tracciati
Task Correlati: T5.4, T7.7
Requisiti di Documentazione ¶
RD-1: Documentazione Tecnica Completa (Priorità: Alta) ¶
Codice Req.: R-7.3
Obiettivo: O-7
Requisito: La documentazione di sicurezza e le procedure operative DEVONO essere mantenute aggiornate.
Criteri di Accettazione:
- ✅ Architettura sistema documentata
- ✅ Configurazioni sicurezza documentate
- ✅ Runbook operativi completi
- ✅ Troubleshooting guide disponibili
- ✅ Diagrammi aggiornati
Task Correlati: T8.3
RD-2: Standard Operating Procedures (SOP) (Priorità: Alta) ¶
Codice Req.: R-7.3
Obiettivo: O-7
Requisito: DEVONO esistere SOP per tutte le procedure operative ricorrenti.
Criteri di Accettazione:
- ✅ SOP per gestione accessi
- ✅ SOP per onboarding/offboarding
- ✅ SOP per incident management
- ✅ SOP per patching e maintenance
- ✅ SOP per backup/restore
Task Correlati: T8.4
RD-3: Materiali Formazione (Priorità: Media) ¶
Codice Req.: R-7.6
Obiettivo: O-7
Requisito: DEVONO essere attivati programmi di formazione continua per il team.
Criteri di Accettazione:
- ✅ Materiali formazione creati (slide, lab, video)
- ✅ Sessioni formazione erogate
- ✅ Quiz validazione apprendimento
- ✅ Attestati partecipazione
- ✅ Copertura formazione ≥90% team
Metriche:
- ≥90% team formato
- Score medio quiz ≥80%
Task Correlati: T8.5, T8.6
Criteri di Accettazione Globali ¶
Obiettivi Raggiunti ¶
Al termine del progetto (M8), DEVONO essere soddisfatti:
Sicurezza ¶
- ✅ 0 credenziali in chiaro in repository/configurazioni
- ✅ 100% traffico crittografato con TLS 1.3
- ✅ 100% database crittografati (TDE)
- ✅ RBAC implementato su tutti i componenti
- ✅ Copertura logging ≥95%
- ✅ MTTD <15 min, MTTR <4h su incidenti critici
Modernizzazione ¶
- ✅ Python 3.13 e Debian 12 in produzione
- ✅ Riduzione ≥50% CVE rispetto a baseline
- ✅ Miglioramento ≥20% performance (su use case specifici)
- ✅ Test coverage ≥85%, 100% test passing
Compliance ¶
- ✅ ISMS ISO 27001 attivo e documentato
- ✅ SoA completo per 93 controlli
- ✅ Risk assessment eseguito
- ✅ Controlli NIS2 implementati e tracciati
- ✅ BC/DR testato con RTO ≤4h, RPO ≤1h
- ✅ Penetration test eseguito e remediation completata
Documentazione e Formazione ¶
- ✅ Documentazione tecnica completa
- ✅ SOP per procedure chiave disponibili
- ✅ Team formato su nuove tecnologie (≥90%)
- ✅ Knowledge transfer completato
Matrice di Tracciabilità ¶
Obiettivi → Requisiti ¶
| Obiettivo | Requisiti Coperti | Sprint Implementazione |
|---|---|---|
| O-1: Gestione credenziali | R-1.1, R-1.3, R-1.6, R-1.7, R-1.8 | S3 |
| O-2: Crittografia | R-2.1, R-2.3, R-2.5 | S4 |
| O-3: Controllo accessi | R-3.1, R-3.2, R-3.3 | S4, S6 |
| O-4: Monitoring | R-4.1, R-4.2, R-4.3, R-4.4, R-4.5 | S5 |
| O-5: Sicurezza rete | R-5.1, R-5.2, R-5.3 | S6 |
| O-6: Hardening | R-6.1, R-6.2, R-6.3, R-6.4 | S6 |
| O-7: Documentazione | R-7.3, R-7.6 | S8 |
| O-9: KPI e miglioramento | R-9.1, R-9.2 | S5, S8 |
| O-10: Compliance NIS2/ISO | R-10.1, R-10.2, R-10.3, R-10.4, R-10.8, R-10.10 | S7 |
| O-11: Modernizzazione | R-MOD-1, R-MOD-2, R-MOD-3, R-MOD-4, R-MOD-5 | S2 |
Requisiti per Priorità ¶
| Priorità | N. Requisiti | % Totale | Implementazione |
|---|---|---|---|
| Alta | 28 | 70% | S1-S7 (obbligatorio) |
| Media | 12 | 30% | S5-S8 (best effort) |
| Bassa | 0 | 0% | Roadmap futura |
| TOTALE | 40 | 100% | - |
Sprint → Requisiti Implementati ¶
| Sprint | Focus | Requisiti Alta Priorità | Requisiti Media Priorità |
|---|---|---|---|
| S1 | Assessment | - | - |
| S2 | Modernizzazione | R-MOD-1, R-MOD-2, R-MOD-3, R-MOD-5 | R-MOD-4 |
| S3 | Secret Mgmt | R-1.1, R-1.3, R-1.6, R-1.7 | R-1.8 |
| S4 | Crittografia | R-2.1, R-2.3, R-2.5, R-3.1, R-3.2, R-3.3 | - |
| S5 | Monitoring | R-4.1, R-4.2, R-4.5 | R-4.3, R-4.4, R-9.1 |
| S6 | Hardening | R-6.3, R-6.4 | R-5.1, R-5.2, R-6.1, R-6.2 |
| S7 | ISMS | R-10.1, R-10.2, R-10.4, R-10.8 | R-10.3, R-10.10, R-9.2 |
| S8 | Chiusura | R-7.3 | R-7.6 |
Requisiti Non Funzionali ¶
Performance ¶
- RNF-1: Il sistema DEVE mantenere throughput ≥1000 pacchetti/secondo post-migrazione
- RNF-2: Latenza query database DEVE essere ≤100ms (p95) post-TDE
- RNF-3: Overhead crittografia DEVE essere ≤10% performance baseline
Disponibilità ¶
- RNF-4: Uptime DEVE essere ≥99.5% su servizi critici
- RNF-5: RTO DEVE essere ≤4 ore per servizi critici
- RNF-6: RPO DEVE essere ≤1 ora per dati critici
Scalabilità ¶
- RNF-7: Il sistema DEVE supportare crescita 50% traffico senza degrado
- RNF-8: Log retention DEVE supportare 1 anno di dati senza impatto performance SIEM
Usabilità ¶
- RNF-9: Dashboard DEVONO essere accessibili con ≤3 click da home
- RNF-10: Procedure operative DEVONO essere eseguibili da operatore medio con <30 min training
Link Correlati ¶
- ✅ Task di Progetto - Task che implementano requisiti
- 📊 Piano di Progetto - Piano generale e obiettivi
- 👥 Team di Progetto - Ruoli e responsabilità
- 🔤 Acronimi - Glossario tecnico
- 🏠 Home - Panoramica
Note:
- Requisiti derivati dall'analisi di sicurezza IDMS 3.x
- Questo documento traccia i 40 requisiti principali per il WP3.1
- Requisiti organizzati per priorità: Alta (70%), Media (30%), Bassa (0%)
Versione: 1.0
Data creazione: Settembre 2025
Responsabile: Ilario Febi
Comments
Please login to leave a comment.
No comments yet. Be the first to comment!