E. Bovo – Servizio Affari Legali INFN

Slides:



Advertisements
Presentazioni simili
La tipologia delle forme organizzative Il governo e l’amministrazione ministeriale Le autonomie locali.
Advertisements

Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.
IL DLG 231/2001: AMBITO DI APPLICAZIONE E IMPLICAZIONI ORGANIZZATIVE POTENZA, 5 GIUGNO 2008.
Progettare e programmare PROF.SENAREGA. Progettazione nella scuola  Processo mirato a definire e descrivere le finalità e le caratteristiche o modalità.
L’avvio della valutazione del sistema educativo di istruzione, secondo il procedimento previsto dall’art. 6 del D.P.R. n. 80/2013, costituisce un passo.
Con il termine reporting indichiamo sia il semplice “rapporto di gestione” che il più ampio “sistema dei rapporti di gestione” Cosa è il reporting? Il.
Padova, 11 marzo 2009 I DISPOSITIVI DI PROTEZIONE INDIVIDUALE (DPI): Legislazione, sviluppi e carenze a seguito dell’introduzione del Testo Unico Padova,
I sistemi di Programmazione negli Enti Locali
COMITATO VALUTAZIONE SINISTRI ASL NAPOLI 1 CENTRO
L. 241 del 7 agosto 1990 AI SENSI DELL’ART. 8, COMMA 3 DELLA L. 241/90 GLI EROGATORI DEI SERVIZI E DELLE PRESTAZIONI SONO TENUTI AD INFORMARE I DESTINATARI.
ESAMI DI STATO 2015/16 Esami dei candidati con disabilità
Prof. Cesare Stefanelli
VGR 2016 Tavola rotonda FACCIATE VENTILATE: INNOVAZIONE E SICUREZZA
CAMPAGNA COMMERCIALE CONTO IN PROPRIO (2 novembre - 31 dicembre 2010) UP RETAIL CON AREA IMPRESA MODALITÀ E CONDIZIONI OPERATIVE.
Formazione DS e DSGA Ambito 3 Rendicontazione sociale, Open Data Amministrazione digitale Sicurezza dei dati e Privacy Accessibilità del sito e dei documenti.
Corrado Giustozzi Agenzia per l’Italia Digitale – CERT-PA
Dematerializzazione, Sicurezza ed Amministrazione Trasparente
GPOI - L’organizzazione aziendale -
LA GESTIONE DELLE RISORSE UMANE
Accreditamento delle sedi formative
SIRU-FSE 2014/20 ACCESSI WEB AdA AdC ALTRI SS. II. REGOLAMENTI UE
GLI STRUMENTI DI PROGRAMMAZIONE DELL’ENTE
Studente/i Relatore Correlatore Committente Christian Ortega
CAMPAGNA COMMERCIALE POLIZZE POSTAPROTEZIONE PICCOLA IMPRESA (2 novembre - 31 dicembre 2010) UP RETAIL CON AREA IMPRESA MODALITÀ E CONDIZIONI OPERATIVE.
Strutture e incarichi.
“Titolo di spesa assegnato dall’AdG o dall’OI,
IL SISTEMA DI VALUTAZIONE DELLA PERFORMANCE della PROVINCIA DI PAVIA
Gestione documentale - 1
DIRIGERE L’INNOVAZIONE
CAMPAGNA COMMERCIALE CONTO IN PROPRIO (1 settembre - 31 ottobre 2010) UP IMPRESA MODALITÀ E CONDIZIONI OPERATIVE.
MODULO 1 - PROPOSTA DI DONAZIONE (allegato 1)
LABORATORIO PROGETTUALE
Aspetti di natura informatica
Business Plan della Società:
CAMPAGNA COMMERCIALE SIS ( NOVEMBRE 2010)
Gruppo nazionale difesa integrata (GDI)
CAMPAGNA COMMERCIALE SIS ( NOVEMBRE 2010)
Sociologia dell’organizzazione
ISTITUTO NAZIONALE DI FISICA NUCLEARE Sezione di Napoli
RUOLI E RESPONSABILITÀ
MODULO 1 – Computer essentials
Laboratorio metodologia applicata II *** Tirocinio
IL DISASTER RECOVERY Ing. Massimiliano Zuffi
L’esperienza del Comune di Cassano d’Adda
“CRITERI PER LA REVISIONE DELL’ORDINAMENTO DIDATTICO”
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
CITTADINANZA DIGITALE
STRESS LAVORO - CORRELATO
I NUOVI SERVIZI-PRIVACY DI CONFINDUSTRIA VERONA
Il Comitato OT11-OT2 e le Aree di Lavoro Comune
I principali compiti del datore di lavoro
Sistemi informativi statistici
Vincenzo Presciutti - Giorgio Schiano
PROTOCOLLO D’INTESA tra Il Ministro per la Pubblica Amministrazione e l’Innovazione e Il Sindaco del Comune di Milano per la realizzazione di un programma.
DELIBERAZIONE DELLA GIUNTA REGIONALE 26 febbraio 2007, n. 178
Il Piano Didattico Personalizzato
’INCONTRO IN PARTNERSHIP “
CUSTOMER SATISFACTION
Progetti Quadro Legge 236/93 – Anno 2008 Bando 277
Aspetti normativi del D.Lvo n. 196 del 2003
IL CONFLITTO DI INTERESSI
Docente: Prof. Roberto Diacetti Collaboratore di cattedra:
LA SECONDA PROVA NEL NUOVO ESAME DI STATO ISTITUTI TECNICI
Il ciclo di gestione della performance negli Enti Locali
Il protocollo informatico e il Manuale di Gestione
Modalità di attuazione degli interventi delle SSL Roma 11 aprile 2019
Misure Minime per la Pubblica Amministrazione
IL CONTROLLO DIREZIONALE
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

Misure minime di sicurezza AgID: natura giuridica ed attuazione nell’INFN E. Bovo – Servizio Affari Legali INFN Laboratori Nazionali del Gran Sasso 25.5.2017

Le misure minime di sicurezza AgID Cosa sono: “ … Costituiscono parte integrante delle Linee Guida per la sicurezza ICT delle Pubbliche Amministrazioni …” Si concretizzano in “standard, guide tecniche” individuate dall’Agid sulla base dei poteri a questa attribuiti dal Codice dell’Amministrazione Digitale (CAD) E. Bovo - WS CCR INFN 25/05/17

Le Linee guida Sono atti con i quali si indirizzano le attività di altri soggetti ed organi, indicando loro le priorità, i criteri informatori dell’azione, le modalità di attuazione, gli obiettivi da perseguire Caratteristica propria delle linee guida è quella di non specificare in modo precettivo i contenuti, così che ai destinatari sono rappresentate le metodiche per il raggiungimento del risultato. Consiglio di Stato - Parere consultivo atti normativi – 21.01.2008 E. Bovo - WS CCR INFN 25/05/17

Le Linee guida Le linee guida contengono disposizioni vincolanti nel “se”, discrezionali nel “come” … E. Bovo - WS CCR INFN 25/05/17

Le Linee guida Con le linee guida si individua un risultato che deve essere raggiunto secondo standard indicati, ma è attribuita all’Amministrazione la facoltà di calibrare al meglio, in relazione al proprio assetto organizzativo, le modalità con le quali raggiungere tale risultato. E. Bovo - WS CCR INFN 25/05/17

Le misure minime di sicurezza AgID Costituiscono criteri di riferimento per stabilire se il livello di protezione offerto da un’infrastruttura risponda alle esigenze operative, individuando gli interventi idonei per il suo adeguamento. (par. 1.1 e 2, secondo capoverso, delle misure) E. Bovo - WS CCR INFN 25/05/17

Le misure minime di sicurezza AgID A cosa servono: a “… consolidare un sistema di reazione efficiente, che raccordi le capacità di risposta delle singole Amministrazioni con l’obiettivo di assicurare la resilienza dell’infrastruttura informatica nazionale, a fronte di incidenti o azioni ostili che possano compromettere il funzionamento dei sistemi e degli assetti controllati dagli stessi”; a “sollecitare tutte le Amministrazioni e gli Organi chiamati ad intervenire nell’ambito degli assetti nazionali di reazione ad eventi cibernetici a dotarsi, secondo una tempistica definita e comunque nel più breve tempo possibile, di standard minimi di prevenzione e reazione ad eventi cibernetici”. E. Bovo - WS CCR INFN 25/05/17

In che modo si raggiunge la sicurezza ICT nelle P.A.? “Il raggiungimento di elevati livelli di sicurezza, quando è molto elevata la complessità della struttura e l’eterogeneità dei servizi erogati, può essere eccessivamente oneroso se applicato in modo generalizzato. Pertanto ogni amministrazione dovrà avere cura di individuare al suo interno gli eventuali sottoinsiemi, tecnici e/o organizzativi, caratterizzati da omogeneità di requisiti ed obiettivi di sicurezza, all’interno dei quali potrà applicare in modo omogeneo le misure adatte al raggiungimento degli obiettivi stessi”. (par. 2, penultimo cpv delle misure) E. Bovo - WS CCR INFN 25/05/17

Implementazione delle Misure minime di sicurezza La facoltà riconosciuta alle singole Pubbliche Amministrazioni di individuare il modo in cui implementare le misure minime di sicurezza ICT è confermata sia dal testo della circolare (art. 4), che dai moduli di implementazione allegati alla circolare stessa ove si indica l’onere dell’Ente di descrivere proprio le modalità con le quali si è ritenuto di dare attuazione ad ogni singola misura. E. Bovo - WS CCR INFN 25/05/17

Sicurezza ICT: le tipologie di rischio nelle misure AgID Rischio esaminato: attacchi cibernetici. 5 classi di controlli: (CSC1) Inventario dei dispositivi autorizzati e non autorizzati (CSC2) Inventario dei software autorizzati e non autorizzati (CSC3) Protezione delle configurazioni hardware e software sui dispositivi mobili, laptop, workstation e server (CSC4) Valutazione e correzione continua della vulnerabilità (CSC5) Uso appropriato dei privilegi di amministratore Cui si aggiungono ulteriori 3 classi: (CSC8) Difese contro i malware (CSC10) Copie di sicurezza (CSC13) Protezione dei dati E. Bovo - WS CCR INFN 25/05/17

Le misure minime e la responsabilità dell’attuazione La circolare AgID attribuisce al responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, la responsabilità dell’attuazione delle misure minime. Egli dovrà firmare digitalmente, assieme al legale rappresentante dell’Ente, con marcatura temporale, il modulo di implementazione delle misure di sicurezza predisposto dall’AgID. Il modulo firmato deve essere conservato nell’Ente e trasmesso al CERT-PA in caso di incidente informatico. E. Bovo - WS CCR INFN 25/05/17

Buon Lavoro! E. Bovo - WS CCR INFN 25/05/17