Sicurezza informatica nelle PA
Sicurezza informatica nelle PA
Argomenti correlati: Sicurezza informatica nei SI, Sicurezza informatica tecnica, Sicurezza informatica giuridica, Regolamento Europeo 679/2016
La Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri ha emanato le "Misure minime per la sicurezza ICT per le pubbliche Amministrazioni" finalizzate a consolidare lo stato della sicurezza informatica nazionale a contrasto dei crescenti rischi cibernetici che minacciano il nostro Paese.
La pubblicazione in Gazzetta Ufficiale (Serie Generale n. 103 del 5 maggio 2017) della Circolare del 18 aprile 2017, n. 2/2017, recante "Misure minime di sicurezza ICT per le pubbliche amministrazioni" rende obbligatoria la loro adozione per tutte le pubbliche Amministrazioni.
Quali sono le scadenze per l'attuazione del piano di sicurezza?
Entro il 31 dicembre 2017 il Responsabile del sistema informativo ed il Rappresentante legale della struttura devono firmare digitalmente il modulo di implementazione(allegato 2) datandolo con marca temporale per associargli data e ora certe e legalmente valide al documento informatico digitalmente firmato.
Che cosa sono le misure minime di sicurezza?
L'agenzia per l'Italia Digitale (AgID) ha sviluppato e reso disponibili gli indicatori ABSC x.y.z. degli standard di riferimento per mettere le pubbliche Amministrazioni in grado di dotarsi degli standard minimi di prevenzione e reazione ad eventi cibernetici. Gli indicatori intervegono sul sistema informativo agendo in particolar modo sul sistema informatico, sulla tutela ed analisi dei dati, sulla difesa proattiva hardware e software.
Che cosa devono fare le Pubbliche Amministrazioni?
L'art. 14-bis del D.Lgs. 7 marzo 2005, n. 82, di seguito C.A.D., all'art. 17 definisce il Responsabile della struttura per l'organizzazione, l'innovazione e le tecnologie che ha la responsabilità per l'attuazione delle "Misure minime di sicurezza ICT per le Pubbliche Amministrazioni", così come descritto negli indicatori ABSC x (CSC x) resi disponibili dall'Agenzia per l'italia Digitale.
Il Responsabile del sistema informativo, o in sua assenza il Dirigente, deve:
- compilare il modulo implementativo (allegato 2) del piano di sicurezza indicando sinteticamente le modalità con cui ciascuna misura ABSC x.y.z è implementata presso l'Amministrazione;
- firmare digitalmente il modulo implementativo datandolo con marca temporale per attestare la data e l'ora certa e legale del documento informatico firmato;
- far controfirmare al Rappresentante legale della struttura, con le stesse modalità, il documento informatico da lui firmato;
- conservare con cura il documento informatico così firmato.
In caso di incidente informatico il modulo di implementazione così firmato e datato dovrà essere inviato a CERT-PA con la segnalazione dell'incidente.
Come possiamo fare per aiutarti?
Innovationweb ed il suo ICT Security Team è in grado di aiutare le Pubbliche Amministrazioni a mettere in atto quanto previsto dall'Agenzia per l'Italia Digitale relativamente alle Basic Security Controls (ABSC) attraverso un esame dettagliato delle dimensioni principali del sistema informativo (SI).
La valutazione del SI prevede il rilascio di un documento che sarà utilizzato per la successiva compilazione del modulo implementativo secondo gli indicatori ABSC x di seguito riportati:
- ABSC 1 (CSC 1) Inventario dei dispositivi autorizzati e non autorizzati
- ABSC 2 (CSC 2) Inventario dei software autorizzati e non autorizzati
- ABSC 3 (CSC 3) Proteggere le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server
- ABSC 4 (CSC 4) Valutazione e correzione continua della vulnerabilità
- ABSC 5 (CSC 5) Uso appropriato dei privilegi di amministratore
- ABSC 8 (CSC 8) Difese contro i malware
- ABSC 10 (CSC 10) Copie di sicurezza
- ABSC 13 (CSC 13) Protezione dei dati