E. Bovo – Servizio Affari Legali INFN

Slides:

Advertisements

Presentazioni simili

La tipologia delle forme organizzative Il governo e l’amministrazione ministeriale Le autonomie locali.

Advertisements

Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.

Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.

IL DLG 231/2001: AMBITO DI APPLICAZIONE E IMPLICAZIONI ORGANIZZATIVE POTENZA, 5 GIUGNO 2008.

Progettare e programmare PROF.SENAREGA. Progettazione nella scuola  Processo mirato a definire e descrivere le finalità e le caratteristiche o modalità.

L’avvio della valutazione del sistema educativo di istruzione, secondo il procedimento previsto dall’art. 6 del D.P.R. n. 80/2013, costituisce un passo.

Con il termine reporting indichiamo sia il semplice “rapporto di gestione” che il più ampio “sistema dei rapporti di gestione” Cosa è il reporting? Il.

Padova, 11 marzo 2009 I DISPOSITIVI DI PROTEZIONE INDIVIDUALE (DPI): Legislazione, sviluppi e carenze a seguito dell’introduzione del Testo Unico Padova,

I sistemi di Programmazione negli Enti Locali

COMITATO VALUTAZIONE SINISTRI ASL NAPOLI 1 CENTRO

L. 241 del 7 agosto 1990 AI SENSI DELL’ART. 8, COMMA 3 DELLA L. 241/90 GLI EROGATORI DEI SERVIZI E DELLE PRESTAZIONI SONO TENUTI AD INFORMARE I DESTINATARI.

ESAMI DI STATO 2015/16 Esami dei candidati con disabilità

Prof. Cesare Stefanelli

VGR 2016 Tavola rotonda FACCIATE VENTILATE: INNOVAZIONE E SICUREZZA

CAMPAGNA COMMERCIALE CONTO IN PROPRIO (2 novembre - 31 dicembre 2010) UP RETAIL CON AREA IMPRESA MODALITÀ E CONDIZIONI OPERATIVE.

Formazione DS e DSGA Ambito 3 Rendicontazione sociale, Open Data Amministrazione digitale Sicurezza dei dati e Privacy Accessibilità del sito e dei documenti.

Corrado Giustozzi Agenzia per l’Italia Digitale – CERT-PA

Dematerializzazione, Sicurezza ed Amministrazione Trasparente

GPOI - L’organizzazione aziendale -

LA GESTIONE DELLE RISORSE UMANE

Accreditamento delle sedi formative

SIRU-FSE 2014/20 ACCESSI WEB AdA AdC ALTRI SS. II. REGOLAMENTI UE

GLI STRUMENTI DI PROGRAMMAZIONE DELL’ENTE

Studente/i Relatore Correlatore Committente Christian Ortega

CAMPAGNA COMMERCIALE POLIZZE POSTAPROTEZIONE PICCOLA IMPRESA (2 novembre - 31 dicembre 2010) UP RETAIL CON AREA IMPRESA MODALITÀ E CONDIZIONI OPERATIVE.

Strutture e incarichi.

“Titolo di spesa assegnato dall’AdG o dall’OI,

IL SISTEMA DI VALUTAZIONE DELLA PERFORMANCE della PROVINCIA DI PAVIA

Gestione documentale - 1

DIRIGERE L’INNOVAZIONE

CAMPAGNA COMMERCIALE CONTO IN PROPRIO (1 settembre - 31 ottobre 2010) UP IMPRESA MODALITÀ E CONDIZIONI OPERATIVE.

MODULO 1 - PROPOSTA DI DONAZIONE (allegato 1)

LABORATORIO PROGETTUALE

Aspetti di natura informatica

Business Plan della Società:

CAMPAGNA COMMERCIALE SIS ( NOVEMBRE 2010)

Gruppo nazionale difesa integrata (GDI)

CAMPAGNA COMMERCIALE SIS ( NOVEMBRE 2010)

Sociologia dell’organizzazione

ISTITUTO NAZIONALE DI FISICA NUCLEARE Sezione di Napoli

RUOLI E RESPONSABILITÀ

MODULO 1 – Computer essentials

Laboratorio metodologia applicata II *** Tirocinio

IL DISASTER RECOVERY Ing. Massimiliano Zuffi

L’esperienza del Comune di Cassano d’Adda

“CRITERI PER LA REVISIONE DELL’ORDINAMENTO DIDATTICO”

Il Codice etico nei modelli ex D.Lgs. n. 231/2001

CITTADINANZA DIGITALE

STRESS LAVORO - CORRELATO

I NUOVI SERVIZI-PRIVACY DI CONFINDUSTRIA VERONA

Il Comitato OT11-OT2 e le Aree di Lavoro Comune

I principali compiti del datore di lavoro

Sistemi informativi statistici

Vincenzo Presciutti - Giorgio Schiano

PROTOCOLLO D’INTESA tra Il Ministro per la Pubblica Amministrazione e l’Innovazione e Il Sindaco del Comune di Milano per la realizzazione di un programma.

DELIBERAZIONE DELLA GIUNTA REGIONALE 26 febbraio 2007, n. 178

Il Piano Didattico Personalizzato

’INCONTRO IN PARTNERSHIP “

CUSTOMER SATISFACTION

Progetti Quadro Legge 236/93 – Anno 2008 Bando 277

Aspetti normativi del D.Lvo n. 196 del 2003

IL CONFLITTO DI INTERESSI

Docente: Prof. Roberto Diacetti Collaboratore di cattedra:

LA SECONDA PROVA NEL NUOVO ESAME DI STATO ISTITUTI TECNICI

Il ciclo di gestione della performance negli Enti Locali

Il protocollo informatico e il Manuale di Gestione

Modalità di attuazione degli interventi delle SSL Roma 11 aprile 2019

Misure Minime per la Pubblica Amministrazione

IL CONTROLLO DIREZIONALE

Workshop della Commissione Calcolo e Reti dell'I.N.F.N.

Transcript della presentazione:

Misure minime di sicurezza AgID: natura giuridica ed attuazione nell’INFN E. Bovo – Servizio Affari Legali INFN Laboratori Nazionali del Gran Sasso 25.5.2017

Le misure minime di sicurezza AgID Cosa sono: “ … Costituiscono parte integrante delle Linee Guida per la sicurezza ICT delle Pubbliche Amministrazioni …” Si concretizzano in “standard, guide tecniche” individuate dall’Agid sulla base dei poteri a questa attribuiti dal Codice dell’Amministrazione Digitale (CAD) E. Bovo - WS CCR INFN 25/05/17

Le Linee guida Sono atti con i quali si indirizzano le attività di altri soggetti ed organi, indicando loro le priorità, i criteri informatori dell’azione, le modalità di attuazione, gli obiettivi da perseguire Caratteristica propria delle linee guida è quella di non specificare in modo precettivo i contenuti, così che ai destinatari sono rappresentate le metodiche per il raggiungimento del risultato. Consiglio di Stato - Parere consultivo atti normativi – 21.01.2008 E. Bovo - WS CCR INFN 25/05/17

Le Linee guida Le linee guida contengono disposizioni vincolanti nel “se”, discrezionali nel “come” … E. Bovo - WS CCR INFN 25/05/17

Le Linee guida Con le linee guida si individua un risultato che deve essere raggiunto secondo standard indicati, ma è attribuita all’Amministrazione la facoltà di calibrare al meglio, in relazione al proprio assetto organizzativo, le modalità con le quali raggiungere tale risultato. E. Bovo - WS CCR INFN 25/05/17

Le misure minime di sicurezza AgID Costituiscono criteri di riferimento per stabilire se il livello di protezione offerto da un’infrastruttura risponda alle esigenze operative, individuando gli interventi idonei per il suo adeguamento. (par. 1.1 e 2, secondo capoverso, delle misure) E. Bovo - WS CCR INFN 25/05/17

Le misure minime di sicurezza AgID A cosa servono: a “… consolidare un sistema di reazione efficiente, che raccordi le capacità di risposta delle singole Amministrazioni con l’obiettivo di assicurare la resilienza dell’infrastruttura informatica nazionale, a fronte di incidenti o azioni ostili che possano compromettere il funzionamento dei sistemi e degli assetti controllati dagli stessi”; a “sollecitare tutte le Amministrazioni e gli Organi chiamati ad intervenire nell’ambito degli assetti nazionali di reazione ad eventi cibernetici a dotarsi, secondo una tempistica definita e comunque nel più breve tempo possibile, di standard minimi di prevenzione e reazione ad eventi cibernetici”. E. Bovo - WS CCR INFN 25/05/17

In che modo si raggiunge la sicurezza ICT nelle P.A.? “Il raggiungimento di elevati livelli di sicurezza, quando è molto elevata la complessità della struttura e l’eterogeneità dei servizi erogati, può essere eccessivamente oneroso se applicato in modo generalizzato. Pertanto ogni amministrazione dovrà avere cura di individuare al suo interno gli eventuali sottoinsiemi, tecnici e/o organizzativi, caratterizzati da omogeneità di requisiti ed obiettivi di sicurezza, all’interno dei quali potrà applicare in modo omogeneo le misure adatte al raggiungimento degli obiettivi stessi”. (par. 2, penultimo cpv delle misure) E. Bovo - WS CCR INFN 25/05/17

Implementazione delle Misure minime di sicurezza La facoltà riconosciuta alle singole Pubbliche Amministrazioni di individuare il modo in cui implementare le misure minime di sicurezza ICT è confermata sia dal testo della circolare (art. 4), che dai moduli di implementazione allegati alla circolare stessa ove si indica l’onere dell’Ente di descrivere proprio le modalità con le quali si è ritenuto di dare attuazione ad ogni singola misura. E. Bovo - WS CCR INFN 25/05/17

Sicurezza ICT: le tipologie di rischio nelle misure AgID Rischio esaminato: attacchi cibernetici. 5 classi di controlli: (CSC1) Inventario dei dispositivi autorizzati e non autorizzati (CSC2) Inventario dei software autorizzati e non autorizzati (CSC3) Protezione delle configurazioni hardware e software sui dispositivi mobili, laptop, workstation e server (CSC4) Valutazione e correzione continua della vulnerabilità (CSC5) Uso appropriato dei privilegi di amministratore Cui si aggiungono ulteriori 3 classi: (CSC8) Difese contro i malware (CSC10) Copie di sicurezza (CSC13) Protezione dei dati E. Bovo - WS CCR INFN 25/05/17

Le misure minime e la responsabilità dell’attuazione La circolare AgID attribuisce al responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, la responsabilità dell’attuazione delle misure minime. Egli dovrà firmare digitalmente, assieme al legale rappresentante dell’Ente, con marcatura temporale, il modulo di implementazione delle misure di sicurezza predisposto dall’AgID. Il modulo firmato deve essere conservato nell’Ente e trasmesso al CERT-PA in caso di incidente informatico. E. Bovo - WS CCR INFN 25/05/17

Buon Lavoro! E. Bovo - WS CCR INFN 25/05/17