Misure minime di sicurezza AgID: natura giuridica ed attuazione nell’INFN E. Bovo – Servizio Affari Legali INFN Laboratori Nazionali del Gran Sasso 25.5.2017
Le misure minime di sicurezza AgID Cosa sono: “ … Costituiscono parte integrante delle Linee Guida per la sicurezza ICT delle Pubbliche Amministrazioni …” Si concretizzano in “standard, guide tecniche” individuate dall’Agid sulla base dei poteri a questa attribuiti dal Codice dell’Amministrazione Digitale (CAD) E. Bovo - WS CCR INFN 25/05/17
Le Linee guida Sono atti con i quali si indirizzano le attività di altri soggetti ed organi, indicando loro le priorità, i criteri informatori dell’azione, le modalità di attuazione, gli obiettivi da perseguire Caratteristica propria delle linee guida è quella di non specificare in modo precettivo i contenuti, così che ai destinatari sono rappresentate le metodiche per il raggiungimento del risultato. Consiglio di Stato - Parere consultivo atti normativi – 21.01.2008 E. Bovo - WS CCR INFN 25/05/17
Le Linee guida Le linee guida contengono disposizioni vincolanti nel “se”, discrezionali nel “come” … E. Bovo - WS CCR INFN 25/05/17
Le Linee guida Con le linee guida si individua un risultato che deve essere raggiunto secondo standard indicati, ma è attribuita all’Amministrazione la facoltà di calibrare al meglio, in relazione al proprio assetto organizzativo, le modalità con le quali raggiungere tale risultato. E. Bovo - WS CCR INFN 25/05/17
Le misure minime di sicurezza AgID Costituiscono criteri di riferimento per stabilire se il livello di protezione offerto da un’infrastruttura risponda alle esigenze operative, individuando gli interventi idonei per il suo adeguamento. (par. 1.1 e 2, secondo capoverso, delle misure) E. Bovo - WS CCR INFN 25/05/17
Le misure minime di sicurezza AgID A cosa servono: a “… consolidare un sistema di reazione efficiente, che raccordi le capacità di risposta delle singole Amministrazioni con l’obiettivo di assicurare la resilienza dell’infrastruttura informatica nazionale, a fronte di incidenti o azioni ostili che possano compromettere il funzionamento dei sistemi e degli assetti controllati dagli stessi”; a “sollecitare tutte le Amministrazioni e gli Organi chiamati ad intervenire nell’ambito degli assetti nazionali di reazione ad eventi cibernetici a dotarsi, secondo una tempistica definita e comunque nel più breve tempo possibile, di standard minimi di prevenzione e reazione ad eventi cibernetici”. E. Bovo - WS CCR INFN 25/05/17
In che modo si raggiunge la sicurezza ICT nelle P.A.? “Il raggiungimento di elevati livelli di sicurezza, quando è molto elevata la complessità della struttura e l’eterogeneità dei servizi erogati, può essere eccessivamente oneroso se applicato in modo generalizzato. Pertanto ogni amministrazione dovrà avere cura di individuare al suo interno gli eventuali sottoinsiemi, tecnici e/o organizzativi, caratterizzati da omogeneità di requisiti ed obiettivi di sicurezza, all’interno dei quali potrà applicare in modo omogeneo le misure adatte al raggiungimento degli obiettivi stessi”. (par. 2, penultimo cpv delle misure) E. Bovo - WS CCR INFN 25/05/17
Implementazione delle Misure minime di sicurezza La facoltà riconosciuta alle singole Pubbliche Amministrazioni di individuare il modo in cui implementare le misure minime di sicurezza ICT è confermata sia dal testo della circolare (art. 4), che dai moduli di implementazione allegati alla circolare stessa ove si indica l’onere dell’Ente di descrivere proprio le modalità con le quali si è ritenuto di dare attuazione ad ogni singola misura. E. Bovo - WS CCR INFN 25/05/17
Sicurezza ICT: le tipologie di rischio nelle misure AgID Rischio esaminato: attacchi cibernetici. 5 classi di controlli: (CSC1) Inventario dei dispositivi autorizzati e non autorizzati (CSC2) Inventario dei software autorizzati e non autorizzati (CSC3) Protezione delle configurazioni hardware e software sui dispositivi mobili, laptop, workstation e server (CSC4) Valutazione e correzione continua della vulnerabilità (CSC5) Uso appropriato dei privilegi di amministratore Cui si aggiungono ulteriori 3 classi: (CSC8) Difese contro i malware (CSC10) Copie di sicurezza (CSC13) Protezione dei dati E. Bovo - WS CCR INFN 25/05/17
Le misure minime e la responsabilità dell’attuazione La circolare AgID attribuisce al responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, la responsabilità dell’attuazione delle misure minime. Egli dovrà firmare digitalmente, assieme al legale rappresentante dell’Ente, con marcatura temporale, il modulo di implementazione delle misure di sicurezza predisposto dall’AgID. Il modulo firmato deve essere conservato nell’Ente e trasmesso al CERT-PA in caso di incidente informatico. E. Bovo - WS CCR INFN 25/05/17
Buon Lavoro! E. Bovo - WS CCR INFN 25/05/17