La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

E. Bovo – Servizio Affari Legali INFN

PubblicatoDario Donati Modificato 6 anni fa

Presentazioni simili

Presentazione sul tema: "E. Bovo – Servizio Affari Legali INFN"— Transcript della presentazione:

1 Misure minime di sicurezza AgID: natura giuridica ed attuazione nell’INFN
E. Bovo – Servizio Affari Legali INFN Laboratori Nazionali del Gran Sasso

2 Le misure minime di sicurezza AgID
Cosa sono: “ … Costituiscono parte integrante delle Linee Guida per la sicurezza ICT delle Pubbliche Amministrazioni …” Si concretizzano in “standard, guide tecniche” individuate dall’Agid sulla base dei poteri a questa attribuiti dal Codice dell’Amministrazione Digitale (CAD) E. Bovo - WS CCR INFN 25/05/17

3 Le Linee guida Sono atti con i quali si indirizzano le attività di altri soggetti ed organi, indicando loro le priorità, i criteri informatori dell’azione, le modalità di attuazione, gli obiettivi da perseguire Caratteristica propria delle linee guida è quella di non specificare in modo precettivo i contenuti, così che ai destinatari sono rappresentate le metodiche per il raggiungimento del risultato. Consiglio di Stato - Parere consultivo atti normativi – E. Bovo - WS CCR INFN 25/05/17

4 Le Linee guida Le linee guida contengono disposizioni vincolanti nel “se”, discrezionali nel “come” … E. Bovo - WS CCR INFN 25/05/17

5 Le Linee guida Con le linee guida si individua un risultato che deve essere raggiunto secondo standard indicati, ma è attribuita all’Amministrazione la facoltà di calibrare al meglio, in relazione al proprio assetto organizzativo, le modalità con le quali raggiungere tale risultato. E. Bovo - WS CCR INFN 25/05/17

6 Le misure minime di sicurezza AgID
Costituiscono criteri di riferimento per stabilire se il livello di protezione offerto da un’infrastruttura risponda alle esigenze operative, individuando gli interventi idonei per il suo adeguamento. (par. 1.1 e 2, secondo capoverso, delle misure) E. Bovo - WS CCR INFN 25/05/17

7 Le misure minime di sicurezza AgID
A cosa servono: a “… consolidare un sistema di reazione efficiente, che raccordi le capacità di risposta delle singole Amministrazioni con l’obiettivo di assicurare la resilienza dell’infrastruttura informatica nazionale, a fronte di incidenti o azioni ostili che possano compromettere il funzionamento dei sistemi e degli assetti controllati dagli stessi”; a “sollecitare tutte le Amministrazioni e gli Organi chiamati ad intervenire nell’ambito degli assetti nazionali di reazione ad eventi cibernetici a dotarsi, secondo una tempistica definita e comunque nel più breve tempo possibile, di standard minimi di prevenzione e reazione ad eventi cibernetici”. E. Bovo - WS CCR INFN 25/05/17

8 In che modo si raggiunge la sicurezza ICT nelle P.A.?
“Il raggiungimento di elevati livelli di sicurezza, quando è molto elevata la complessità della struttura e l’eterogeneità dei servizi erogati, può essere eccessivamente oneroso se applicato in modo generalizzato. Pertanto ogni amministrazione dovrà avere cura di individuare al suo interno gli eventuali sottoinsiemi, tecnici e/o organizzativi, caratterizzati da omogeneità di requisiti ed obiettivi di sicurezza, all’interno dei quali potrà applicare in modo omogeneo le misure adatte al raggiungimento degli obiettivi stessi”. (par. 2, penultimo cpv delle misure) E. Bovo - WS CCR INFN 25/05/17

9 Implementazione delle Misure minime di sicurezza
La facoltà riconosciuta alle singole Pubbliche Amministrazioni di individuare il modo in cui implementare le misure minime di sicurezza ICT è confermata sia dal testo della circolare (art. 4), che dai moduli di implementazione allegati alla circolare stessa ove si indica l’onere dell’Ente di descrivere proprio le modalità con le quali si è ritenuto di dare attuazione ad ogni singola misura. E. Bovo - WS CCR INFN 25/05/17

10 Sicurezza ICT: le tipologie di rischio nelle misure AgID
Rischio esaminato: attacchi cibernetici. 5 classi di controlli: (CSC1) Inventario dei dispositivi autorizzati e non autorizzati (CSC2) Inventario dei software autorizzati e non autorizzati (CSC3) Protezione delle configurazioni hardware e software sui dispositivi mobili, laptop, workstation e server (CSC4) Valutazione e correzione continua della vulnerabilità (CSC5) Uso appropriato dei privilegi di amministratore Cui si aggiungono ulteriori 3 classi: (CSC8) Difese contro i malware (CSC10) Copie di sicurezza (CSC13) Protezione dei dati E. Bovo - WS CCR INFN 25/05/17

11 Le misure minime e la responsabilità dell’attuazione
La circolare AgID attribuisce al responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, la responsabilità dell’attuazione delle misure minime. Egli dovrà firmare digitalmente, assieme al legale rappresentante dell’Ente, con marcatura temporale, il modulo di implementazione delle misure di sicurezza predisposto dall’AgID. Il modulo firmato deve essere conservato nell’Ente e trasmesso al CERT-PA in caso di incidente informatico. E. Bovo - WS CCR INFN 25/05/17

12 Buon Lavoro! E. Bovo - WS CCR INFN 25/05/17

Scaricare ppt "E. Bovo – Servizio Affari Legali INFN"

Presentazioni simili

La tipologia delle forme organizzative Il governo e l’amministrazione ministeriale Le autonomie locali.

La tipologia delle forme organizzative Il governo e l’amministrazione ministeriale Le autonomie locali.
Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.

Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.

Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.
IL DLG 231/2001: AMBITO DI APPLICAZIONE E IMPLICAZIONI ORGANIZZATIVE POTENZA, 5 GIUGNO 2008.

IL DLG 231/2001: AMBITO DI APPLICAZIONE E IMPLICAZIONI ORGANIZZATIVE POTENZA, 5 GIUGNO 2008.
Progettare e programmare PROF.SENAREGA. Progettazione nella scuola  Processo mirato a definire e descrivere le finalità e le caratteristiche o modalità.

Progettare e programmare PROF.SENAREGA. Progettazione nella scuola  Processo mirato a definire e descrivere le finalità e le caratteristiche o modalità.
L’avvio della valutazione del sistema educativo di istruzione, secondo il procedimento previsto dall’art. 6 del D.P.R. n. 80/2013, costituisce un passo.

L’avvio della valutazione del sistema educativo di istruzione, secondo il procedimento previsto dall’art. 6 del D.P.R. n. 80/2013, costituisce un passo.
Con il termine reporting indichiamo sia il semplice “rapporto di gestione” che il più ampio “sistema dei rapporti di gestione” Cosa è il reporting? Il.

Con il termine reporting indichiamo sia il semplice “rapporto di gestione” che il più ampio “sistema dei rapporti di gestione” Cosa è il reporting? Il.
Padova, 11 marzo 2009 I DISPOSITIVI DI PROTEZIONE INDIVIDUALE (DPI): Legislazione, sviluppi e carenze a seguito dell’introduzione del Testo Unico Padova,

Padova, 11 marzo 2009 I DISPOSITIVI DI PROTEZIONE INDIVIDUALE (DPI): Legislazione, sviluppi e carenze a seguito dell’introduzione del Testo Unico Padova,
I sistemi di Programmazione negli Enti Locali

I sistemi di Programmazione negli Enti Locali
COMITATO VALUTAZIONE SINISTRI ASL NAPOLI 1 CENTRO

COMITATO VALUTAZIONE SINISTRI ASL NAPOLI 1 CENTRO
L. 241 del 7 agosto 1990 AI SENSI DELL’ART. 8, COMMA 3 DELLA L. 241/90 GLI EROGATORI DEI SERVIZI E DELLE PRESTAZIONI SONO TENUTI AD INFORMARE I DESTINATARI.

L. 241 del 7 agosto 1990 AI SENSI DELL’ART. 8, COMMA 3 DELLA L. 241/90 GLI EROGATORI DEI SERVIZI E DELLE PRESTAZIONI SONO TENUTI AD INFORMARE I DESTINATARI.
ESAMI DI STATO 2015/16 Esami dei candidati con disabilità

ESAMI DI STATO 2015/16 Esami dei candidati con disabilità
Prof. Cesare Stefanelli

Prof. Cesare Stefanelli
VGR 2016 Tavola rotonda FACCIATE VENTILATE: INNOVAZIONE E SICUREZZA

VGR 2016 Tavola rotonda FACCIATE VENTILATE: INNOVAZIONE E SICUREZZA
CAMPAGNA COMMERCIALE CONTO IN PROPRIO (2 novembre - 31 dicembre 2010) UP RETAIL CON AREA IMPRESA MODALITÀ E CONDIZIONI OPERATIVE.

CAMPAGNA COMMERCIALE CONTO IN PROPRIO (2 novembre - 31 dicembre 2010) UP RETAIL CON AREA IMPRESA MODALITÀ E CONDIZIONI OPERATIVE.
Formazione DS e DSGA Ambito 3 Rendicontazione sociale, Open Data Amministrazione digitale Sicurezza dei dati e Privacy Accessibilità del sito e dei documenti.

Formazione DS e DSGA Ambito 3 Rendicontazione sociale, Open Data Amministrazione digitale Sicurezza dei dati e Privacy Accessibilità del sito e dei documenti.
Corrado Giustozzi Agenzia per l’Italia Digitale – CERT-PA

Corrado Giustozzi Agenzia per l’Italia Digitale – CERT-PA
Dematerializzazione, Sicurezza ed Amministrazione Trasparente

Dematerializzazione, Sicurezza ed Amministrazione Trasparente
GPOI - L’organizzazione aziendale -

GPOI - L’organizzazione aziendale -
LA GESTIONE DELLE RISORSE UMANE

LA GESTIONE DELLE RISORSE UMANE

Presentazioni simili

Annunci Google