Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.

Slides:

Advertisements

Presentazioni simili

MINISTERO DELL’INTERNO

Advertisements

La partecipazione ed i suoi organismi nella Società della Salute

E-GOVERNMENT IN FORTE CRESCITA IN ITALIA

VERSO UN SERVIZIO NAZIONALE DI VALUTAZIONE UN PERCORSO VENTENNALE

Dr.ssa Paola Minasi CNIPA Roma, 5 dicembre 2005

Le collaborazioni avviate dallAgenzia dellInnovazione con CNR, CRUI, ISS, ENEA e Fondazione Silvio Tronchetti-Provera 21 luglio 2009.

Ministero dell’Istruzione, dell’Università e della Ricerca

Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.

SERVIZIO DI PREVENZIONE E PROTEZIONE

Informazione ambientale e territoriale Sommario : Rilevanza dellinformazione ambientale e territoriale (qualificazione in termini di funzione amministrativa.

Convegno CNIPA – Roma 23 novembre 2004 La biometria entra nelle-government –A.Alessandroni La biometria entra nelle-government: Le Linee guida per limpiego.

CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.

Milano, 28 marzo 2001 La Qualità negli acquisti di beni e servizi ICT … unoccasione per le imprese Giuseppe Neri AITech-Assinform Parma, 28 novembre 2005.

I processi di valutazione nella scuola dei Nuovi Ordinamenti Sebastiano Pulvirenti 23 ottobre 2004.

La cooperazione territoriale vicentina SBPV : Servizio Bibliotecario Provinciale di Vicenza.

Il sistema ECM approvato per il Piemonte

I soggetti dell'Inclusione

Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.

Dipartimento della Funzione Pubblica

18 luglio 2007 Razionalizzazione dei sistemi di back-office Il ruolo del CNIPA Ing. Rosanna Alterisio Responsabile Area Progetti applicazioni e servizi.

3° Conf. attuazione e-gov– 30 giugno 2005 CARTE DIGITALI PER LACCESSO AI SERVIZI ON LINE, G. Manca CARTE DIGITALI PER LACCESSO AI SERVIZI ON LINE Giovanni.

La qualità della formazione per la Pubblica Amministrazione Verso standard condivisi tra pubblico e privato Roma, 13 Maggio 2004 La Formazione di Qualità

La governance del piano di zona. Governance del piano di zona Ufficio di piano Tavoli tematici Segreteria di piano Direttore CSSM Assemblea dei sindaci.

L'esperienza del Sistema Pubblico di Connettività (SPC) per la cooperazione applicativa tra le PA italiane Gaetano Santucci CNIPA Responsabile dell’Area.

Relazione finale del Gruppo di lavoro sulle società a partecipazione comunale Bergamo, 21 marzo 2006.

Coordinatore della Segreteria Tecnica del Progetto Monitoraggio

Dr.ssa Silvia Rosin Direzione Prevenzione - Regione Veneto SiRVeSS

La legge Stanca: principi ed attuazione Dott. Antonio De Vanna Responsabile dellUfficio accessibilità dei sistemi informatici Treviso 16 dicembre 2004.

Univ. Salerno – 30/11/05 Lo stato dellarte della sicurezza ICT nelle PA - C. Manganelli 1 di 20 ing. Claudio Manganelli Componente Collegio CNIPA - Presidente.

1 Quale e-learning per lintegrazione dei sistemi e lo sviluppo della qualità Marianna Forleo Area Sperimentazione Formativa ISFOL.

La Protezione delle Infrastrutture Critiche in Europa: Conclusioni del Progetto Europeo Dependability Development Support Initiative (DDSI) di Lorenzo.

Giovedì 15 Settembre 2011, ore 9,30 Napoli, Piazzale Tecchio, Aula Scipione Bobbio Foto della torre di piazzale Tecchio Incontro sul tema: Ingegneri per.

Forum regionale sulleLearning – Udine, 15 giugno 2004 LeLearning nelle P.A., Mirella Schaerf CNIPA Le linee guida e il vademecum per leLearning nelle P.A.

Maurizio. interno. it I livelli di responsabilità dellICT nella pubblica amministrazione centrale dopo i recenti provvedimenti normativi Chi.

P.O.F. Collegio Docenti elabora C. dI. adotta I consigli di classe attuano.

Milano, 13 febbraio 2003 Trattamento dei dati e sicurezza.

La consulenza aziendale nella PAC 2014/2020: prospettive

Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.

Un Piano Strategico per lo Sviluppo dei Sistemi ITS in Italia ROMA 13 Dicembre 2007 Prof. Giovanni Tesoriere I SISTEMI ITS A SUPPORTO DELLE POLITICHE SULLA.

Innovazione e federalismo Verso una visione condivisa dell’e- government nell’Italia federale Sessione : “Strumenti per l’attuazione del cambiamento”

Settore Coordinamento tecnico per lo Sviluppo Sostenibile U.O. Sviluppo Sostenibile – Claudia Beghi Salute e Sviluppo Sostenibile nel Comune di Milano.

Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.

Decreto-legge: omogeneità dell’oggetto Art. 15, legge 400/ I provvedimenti provvisori con forza di legge ordinaria adottati ai sensi dell'articolo.

Prof. Avv. Fabio Foglia Manzillo Dott.ssa Cristiana Fevola

Assistente Sociale Dirigente dott.ssa Donatella Meletti Varese – 9 ottobre DIREZIONE SOCIALE DIPARTIMENTO SVILUPPO E SUSSIDIARIETA’ A.S.S.I. UNITA’

1 FORUM P.A. La partenza del Sistema Pubblico di Connettività Roma - maggio 2004M. Martini La partenza del Sistema Pubblico di Connettività ing. Marco.

Anticorruzione.

L’Amministrazione Finanziaria

Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.

Formazione Preposti di Staff (art.37 c.7 D.Lgs 81/08)

1 Luca Monti, presidente Meet CORSO DI FORMAZIONE SULL’EUROPROGETTAZIONE 1° seminario: Dal bando al progetto Metodologie ed Esperienze per l’Evoluzione.

INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.

1 Lecce, 18 settembre 2008 II FORUM NAZIONALE SULLA DEMATERIALIZZAZIONE DEI DOCUMENTI Normativa italiana del documento informatico: prospettive ed evoluzione.

Master MATITCiclo di vita del Sistema Informativo1 CICLO DI VITA DEL SISTEMA INFORMATIVO.

Politiche Locali (nazionali e internazionali) per la sicurezza urbana Lezione 06 Corso di Formazione in Sicurezza Urbana Milano, 2/5 aprile 2008.

La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.

"Sicurezza delle Infrastrutture Critiche: la Sfida Europea"

La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.

1 La dematerializzazione della documentazione amministrativa: situazione e prospettive Prof. Ing. Pierluigi Ridolfi Componente CNIPA Roma - 12 ottobre.

Forum P.A. – Roma, 13 Maggio 2004 Il Vademecum per l’eLearning nelle P.A., Rosamaria Barrese Il Vademecum per l’eLearning nelle Pubbliche Amministrazioni.

La diffusione delle comunicazioni elettroniche nella P.A. - Il progetto - Ernesto Manna Convegno Forum PA Evento D6 - Roma – 10 maggio 2005.

Harmony Roberto Cecchini Commissione Calcolo e Reti 20 Ottobre 2005.

Le TIC nella didattica appunti-spunti di riflessione

DIREZIONE SANITARIA AZIENDA OSPEDALIERA “LUIGI SACCO”

1 Il regolamento di organizzazione A cura del dott. Arturo Bianco.

Regione Umbria - Protezione civile Il Ruolo dei Sindaci nella gestione di eventi di protezione civile Adempimenti e obblighi normativi Esempi pratici di.

A.A ottobre 2008 Facoltà di Scienze della Comunicazione Master in Comunicazione nella PA Le politiche attive del lavoro prof. Nedo Fanelli.

P r o g e t t o Governance PERCORSI PER LA COOPERAZIONE ISTITUZIONALE Lavello, 26 giugno 2003.

Referenti ICT1 Progetto di Formazione-Intervento® per i Referenti ICT Le linee di Piano.

Stato dell’arte sulle attività regionali in materia di ECM Filippo Melita Treviso 11/2/2005.

Transcript della presentazione:

Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione Pubblicazione del Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni – Marzo 2004

Studio Legale Baldacci Il Comitato tecnico nazionale sulla sicurezza ICT Istituito con Decreto Interministeriale del Ministro delle Comunicazioni e del Ministro per lInnovazione e le Tecnologie del 24 luglio 2002 Ha il compito di raggiungere gli obiettivi di sicurezza attraverso 5 fasi funzionali:

Studio Legale Baldacci 1.Esame della situazione della PA rispetto ai temi della sicurezza 2.Elaborazione e diffusione di linee guida 3.Stesura di progetti di attuazione dei principi fissati 4.Realizzazione e controllo dellavanzamento dei progetti 5.Fornitura di consulenza e supporto alla realizzazione

Studio Legale Baldacci 1. Il Comitato, al fine del raggiungimento di un livello di sicurezza nelle informazioni conferme a criteri standard internazionali e per garantire integrità e affidabilità dellinformazione, formula le proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione, in particolare ai fini della redazione: Art.2 – Funzioni del Comitato

Studio Legale Baldacci del Piano nazionale della sicurezza delle tecnologie dellinformazione e comunicazione della Pubblica Amministrazione, di cui verifica annualmente lo stato di avanzamento, identificando le eventuali misure correttive; della predisposizione del modello organizzativo nazionale di sicurezza ICT per la Pubblica Amministrazione, del quale verifica la relativa attivazione e applicazione. A) B)

Studio Legale Baldacci 2. Il Comitato formula, inoltre, proposte in materia di regolamentazione della certificazione e valutazione della sicurezza, nonché ai fini della predisposizione di criteri di certificazione e delle linee guida per la certificazione di sicurezza ICT per la pubblica amministrazione, sulla base delle normative nazionali e internazionali di riferimento. 3. Il Comitato elabora linee guida per la predisposizione delle intese con il Dipartimento della funzione pubblica in ordine alla formazione dei dipendenti pubblici in tema di sicurezza ICT.

Studio Legale Baldacci Proposte per un sistema di governo della sicurezza ICT nella PA Gestione della sicurezza nella PA eseguita attraverso un opportuno processo che preveda lo sviluppo di politiche di sicurezza sia a livello di Amministrazione sia a livello di sistemi ICT È importante definire i ruoli di responsabilità: alcuni devono essere di tipo centralizzato (come il CTNS- ICT), altri di tipo locale Data lassenza di risorse, il CTNS-ICT deve confluire in un apposito organismo dotato di mezzi atti a consentire piena operatività: il Centro Nazionale per la Sicurezza Informatica (CNSI)

Studio Legale Baldacci Obiettivi principali del CNSI Accrescere il livello medio di protezione dei sistemi informatici degli utenti internet italiani con particolare riferimento agli utenti della PA Predisporre le misure adeguate per far fronte ad eventuali attacchi informatici a sistemi della PA Predisporre le misure adeguate per ripristinare in tempi brevi i sistemi compromessi 1 2 3

Studio Legale Baldacci Attività del CNSI Prevenzione Promuovere programmi per accrescere la consapevolezza del problema sicurezza informatica tra gli utenti della rete internet Studiare, valutare e promuovere luso di best practice nel settore della sicurezza informatica Promuovere attività di ricerca e la cooperazione tra i centri di ricerca Raccogliere e distribuire informazioni aggiornate sulle intrusioni e relative contromisure Promuovere corsi di formazione per dipendenti della PA Promuovere il ricorso agli standard di sicurezza

Studio Legale Baldacci Rilevamento Controllare le attività svolte sulla rete Collezionare ed analizzare tutte le segnalazioni provenienti dagli utenti finali Risposta Fornire supporto agli utenti vittime di unintrusione Contattare uno o più centri di ricerca Allertare tutti i responsabili di sistemi che possono essere oggetto di un attacco simile Diffondere linformazione a livello internazionale

Studio Legale Baldacci CNSI Unità di Coordinamento Unità di Gestione degli incidenti Unità di Formazione Unità Locali (o Operative) Centro di ricerca Struttura del CNSI

Studio Legale Baldacci Unità di Coordinamento Raccorda tutte le attività intraprese dalle varie unità che operano allinterno della struttura Raccoglie, elabora e distribuisce le informazioni Fornisce alle singole Unità operative il supporto necessario Centro di ricerca Crea il corpo di conoscenze e di esperienze necessarie per risolvere casi di minacce o attacchi informatici particolarmente complessi Prevede nuove forme di attacco informatico e virus Forma il personale CNSI con alti contenuti scientifici e tecnologici nel settore della sicurezza informatica

Studio Legale Baldacci Unità di gestione degli incidenti informatici Rileva le intrusioni informatiche nei sistemi della PA Centro di early warning Centro di information sharing Unità Locali Organismi tecnici preposti alla gestione operativa della sicurezza informatica Funzione di raccordo tra il CNSI e le varie sedi della PA Unità di Formazione Predispone ed eroga corsi di formazione per i dipendenti della PA in tema di sicurezza

Studio Legale Baldacci Unità di gestione degli attacchi informatici GOVCERT.IT Altri CERT della PA Altri CERT o istituzioni analoghe (nazionali o internazionali) Produttori Centro di ricerca Forze dellordine ISP Unità operative

Studio Legale Baldacci Gestione di un incidente informatico 1. Attacco informatico 2. Comunicazione dellattacco 3. Registrazione dellattacco e studio delle caratteristiche 4. Avviso alla comunità internazionale 5. Contatti con il provider del dominio da cui è partito lattacco per raccogliere informazioni 6. Individuazione e predisposizione delle contromisure 7. Comunicazione delle difese e chiusura dellincidente informatico

Studio Legale Baldacci Le Unità locali sono il front-end del CSNI Già la Direttiva del Presidente del Consiglio dei Ministri definiva dei ruoli di sicurezza per ogni singola amministrazione: Comitato per la Sicurezza ICT Responsabile della Sicurezza ICT Responsabile dei sistemi informativi automatizzati Gestore esterno Proprietario dei dati e delle applicazioni A questi vanno aggiunti: Assistente del Responsabile dei sistemi informativi automatizzati nel campo della sicurezza ICT Addetto alle verifiche di sicurezza ICT Assistente alladdetto alle verifiche di sicurezza ICT

Studio Legale Baldacci Politica di sicurezza Per politica di sicurezza si intende linsieme delle leggi, regole e pratiche (di tipo tecnico, o di tipo procedurale o attinenti alla sicurezza fisica e del personale) che regolano la gestione e protezione dei beni (principalmente le informazioni) allinterno del dominio di validità della politica stessa. Nellambito di unorganizzazione, una politica di sicurezza può essere sviluppata a diversi livelli: A livello dellintera organizzazione A livello di singole componenti A livello di sistemi ICT specifici o per classi di essi

Studio Legale Baldacci Una buona politica di sicurezza a livello dellintera organizzazione (PA) dovrebbe prevedere: 1.Ladozione di una metodologia di analisi del rischio 2.Ladozione di un piano di Business Continuity 3.La stesura di capitolati per lacquisizione di sistemi/prodotti ICT dotati di funzionalità di sicurezza 4.La gestione del personale

Studio Legale Baldacci 5.La sicurezza nellaccesso di terze parti ai sistemi ICT della PA 6.Loutsorcing 7.Il ricorso alle certificazioni di sicurezza ICT