• Home
  • News
  • Prevenire e reagire: AgID indica le misure minime per la sicurezza ICT delle PP.AA.

Prevenire e reagire: AgID indica le misure minime per la sicurezza ICT delle PP.AA.

  • di Carola Caputo - Consulente Digital & Law Department e Francesca Cafiero, Consulente Archivista Digital & Law Department Studio Legale Lisi

 Prevenire e reagire: AgID indica le misure minime per la sicurezza ICT delle PP.AA.
Venerdì, 21 Aprile 2017

La direttiva del 1° agosto 2015 del Presidente del Consiglio dei Ministri sollecita l'adozione di standard minimi di prevenzione e reazione ad eventi cibernetici da parte delle Pubbliche Amministrazioni, nel più breve tempo possibile. In considerazione del crescente inasprimento delle minacce ai danni dei sistemi informativi della Pubblica Amministrazione, l’Agenzia per l’Italia Digitale ha emanato, in via di urgenza, la Circolare n. 1/2017 contenente le “Misure minime di sicurezza ICT per le pubbliche amministrazioni” al fine di dare immediata attuazione alla direttiva e con lo scopo di rendere prontamente disponibili standard minimi di prevenzione e reazione ai cyberattacchi.

La Circolare è presentata, in realtà, come anticipazione urgente delle Regole Tecniche per la sicurezza ICT delle PP.AA., attualmente in elaborazione da parte del Dipartimento per la funzione pubblica: in attesa dell’omologazione della normativa tecnica su scala nazionale, l’Agenzia per l’Italia Digitale, in qualità di organismo preposto alla definizione di «indirizzi, regole tecniche e linee guida in materia di sicurezza informatica», ai sensi dell’art. 20, comma 3 del d. lgs 22 giugno 2012, n. 83, ha inteso mantenere costante l’aggiornamento dei soggetti interessati, offrendo nei due allegati le indicazioni minime per risolvere esigenze pratiche in tema di sicurezza delle pubbliche amministrazioni. Come anticipato, lo spirito del documento è quello di allineare le strategie delle PP.AA. ad indicatori di standard minimi di prevenzione e reazione già sperimentati e condivisi da diverse organizzazioni internazionali, di cui l’Italia è parte.

Procedendo con ordine, occorre chiarire cosa si intenda per “misure minime” commisurate ad eventi di “prevenzione” e “reazione”. Il livello minimo stabilisce i criteri di base tecnologici, organizzativi e procedurali ai quali un soggetto, in questo caso ogni pubblica amministrazione, indipendentemente dalla sua natura e dimensione, dovrebbe conformarsi.  In particolare, il nucleo delle misure minime viene ad essere individuato nell’alveo di un insieme di controlli, il SANS 20, pubblicato dal CIS (Center for Internet Research) nel CCSC (CIS Critical Security Controls for Effective Cyber Defense). A livello sintetico, il documento contiene un elenco di 20 famiglie di controlli, delle quali le prime 5 sono ritenute indispensabili e in grado di assicurare un livello di protezione “minimo” rispetto a diverse situazioni. Da questo nucleo e dalla collazione tra due versioni del documento (rispettivamente la 5.1 e la 6.0), AgID ha ricavato e definito le misure minime di sicurezza per le PP.AA..

Il confronto è servito specialmente per approfondire la comprensione del contesto nel quale si insidiano le minacce cibernetiche, studiandone l’evoluzione e l’andamento degli ultimi anni. Di fatto l’adozione di specifiche misure di sicurezza deve essere attentamente valutata in relazione non solo alla complessità della struttura, ma anche in relazione alla natura stessa della minaccia. Pertanto non è sufficiente limitarsi ad adottare misure di reazione, ma risulta necessario ragionare anche in termini di prevenzione, adottando specifiche strategie di monitoraggio e rilevazione del rischio.

Un ruolo particolarmente significativo, in questo contesto, è riconosciuto all’adozione e alla tenuta dei c.d. inventari, che occupano il posto delle prime due classi di misure tecniche indicate, seguite in ordine da: protezione della configurazione, analisi della vulnerabilità e dei sistemi, gestione degli utenti, individuazione del codice malevolo, adozione di copie di sicurezza e protezione dei dati.

Questa è l’architettura predisposta nell’allegato 1 della Circolare, utile per supportare le Pubbliche Amministrazioni nel compito di attuare e gestire le misure minime di sicurezza, da adattare, però, a ciascun contesto di riferimento, con l’obiettivo di “assicurare la resilienza dell’infrastruttura informatica nazionale”: Agid raccomanda alle PP.AA. di adeguare sin da subito i propri sistemi informatici, con particolare riferimento agli enti maggiormente esposti a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati).

Al fine di agevolare il raggiungimento degli obiettivi di miglioramento dei livelli di sicurezza,  l'Agenzia per l'Italia Digitale ha predisposto, nell’allegato 2 alla Circolare, un “modulo di implementazione”, messo a disposizione delle PP.AA. per individuare le specifiche modalità attuative di ciascuna misura. Il modulo dovrà poi essere firmato digitalmente dal responsabile dei sistemi informativi e dal responsabile legale dell’ente e marcato temporalmente. Dopo la sottoscrizione il modulo dovrà essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA insieme alla segnalazione dell’incidente stesso.

Il termine di adeguamento delle PP.AA alle disposizioni contenute nella Circolare è fissato al 31 dicembre 2017.

Torna su

ANORC

ANORC Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
Sede Legale: via Mario Stampacchia 21 - 73100 Lecce - P.I: 04367590751 - C.F: 09747511005 - E-mail: segreteria@anorc.it
© copyright 2016 - Tutti i diritti riservati - Note legali - Mappa del sito