Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoConsolata Carlini Modificato 11 anni fa
1
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione Pubblicazione del Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni – Marzo 2004
2
Studio Legale Baldacci Il Comitato tecnico nazionale sulla sicurezza ICT Istituito con Decreto Interministeriale del Ministro delle Comunicazioni e del Ministro per lInnovazione e le Tecnologie del 24 luglio 2002 Ha il compito di raggiungere gli obiettivi di sicurezza attraverso 5 fasi funzionali:
3
Studio Legale Baldacci 1.Esame della situazione della PA rispetto ai temi della sicurezza 2.Elaborazione e diffusione di linee guida 3.Stesura di progetti di attuazione dei principi fissati 4.Realizzazione e controllo dellavanzamento dei progetti 5.Fornitura di consulenza e supporto alla realizzazione
4
Studio Legale Baldacci 1. Il Comitato, al fine del raggiungimento di un livello di sicurezza nelle informazioni conferme a criteri standard internazionali e per garantire integrità e affidabilità dellinformazione, formula le proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione, in particolare ai fini della redazione: Art.2 – Funzioni del Comitato
5
Studio Legale Baldacci del Piano nazionale della sicurezza delle tecnologie dellinformazione e comunicazione della Pubblica Amministrazione, di cui verifica annualmente lo stato di avanzamento, identificando le eventuali misure correttive; della predisposizione del modello organizzativo nazionale di sicurezza ICT per la Pubblica Amministrazione, del quale verifica la relativa attivazione e applicazione. A) B)
6
Studio Legale Baldacci 2. Il Comitato formula, inoltre, proposte in materia di regolamentazione della certificazione e valutazione della sicurezza, nonché ai fini della predisposizione di criteri di certificazione e delle linee guida per la certificazione di sicurezza ICT per la pubblica amministrazione, sulla base delle normative nazionali e internazionali di riferimento. 3. Il Comitato elabora linee guida per la predisposizione delle intese con il Dipartimento della funzione pubblica in ordine alla formazione dei dipendenti pubblici in tema di sicurezza ICT.
7
Studio Legale Baldacci Proposte per un sistema di governo della sicurezza ICT nella PA Gestione della sicurezza nella PA eseguita attraverso un opportuno processo che preveda lo sviluppo di politiche di sicurezza sia a livello di Amministrazione sia a livello di sistemi ICT È importante definire i ruoli di responsabilità: alcuni devono essere di tipo centralizzato (come il CTNS- ICT), altri di tipo locale Data lassenza di risorse, il CTNS-ICT deve confluire in un apposito organismo dotato di mezzi atti a consentire piena operatività: il Centro Nazionale per la Sicurezza Informatica (CNSI)
8
Studio Legale Baldacci Obiettivi principali del CNSI Accrescere il livello medio di protezione dei sistemi informatici degli utenti internet italiani con particolare riferimento agli utenti della PA Predisporre le misure adeguate per far fronte ad eventuali attacchi informatici a sistemi della PA Predisporre le misure adeguate per ripristinare in tempi brevi i sistemi compromessi 1 2 3
9
Studio Legale Baldacci Attività del CNSI Prevenzione Promuovere programmi per accrescere la consapevolezza del problema sicurezza informatica tra gli utenti della rete internet Studiare, valutare e promuovere luso di best practice nel settore della sicurezza informatica Promuovere attività di ricerca e la cooperazione tra i centri di ricerca Raccogliere e distribuire informazioni aggiornate sulle intrusioni e relative contromisure Promuovere corsi di formazione per dipendenti della PA Promuovere il ricorso agli standard di sicurezza
10
Studio Legale Baldacci Rilevamento Controllare le attività svolte sulla rete Collezionare ed analizzare tutte le segnalazioni provenienti dagli utenti finali Risposta Fornire supporto agli utenti vittime di unintrusione Contattare uno o più centri di ricerca Allertare tutti i responsabili di sistemi che possono essere oggetto di un attacco simile Diffondere linformazione a livello internazionale
11
Studio Legale Baldacci CNSI Unità di Coordinamento Unità di Gestione degli incidenti Unità di Formazione Unità Locali (o Operative) Centro di ricerca Struttura del CNSI
12
Studio Legale Baldacci Unità di Coordinamento Raccorda tutte le attività intraprese dalle varie unità che operano allinterno della struttura Raccoglie, elabora e distribuisce le informazioni Fornisce alle singole Unità operative il supporto necessario Centro di ricerca Crea il corpo di conoscenze e di esperienze necessarie per risolvere casi di minacce o attacchi informatici particolarmente complessi Prevede nuove forme di attacco informatico e virus Forma il personale CNSI con alti contenuti scientifici e tecnologici nel settore della sicurezza informatica
13
Studio Legale Baldacci Unità di gestione degli incidenti informatici Rileva le intrusioni informatiche nei sistemi della PA Centro di early warning Centro di information sharing Unità Locali Organismi tecnici preposti alla gestione operativa della sicurezza informatica Funzione di raccordo tra il CNSI e le varie sedi della PA Unità di Formazione Predispone ed eroga corsi di formazione per i dipendenti della PA in tema di sicurezza
14
Studio Legale Baldacci Unità di gestione degli attacchi informatici GOVCERT.IT Altri CERT della PA Altri CERT o istituzioni analoghe (nazionali o internazionali) Produttori Centro di ricerca Forze dellordine ISP Unità operative
15
Studio Legale Baldacci Gestione di un incidente informatico 1. Attacco informatico 2. Comunicazione dellattacco 3. Registrazione dellattacco e studio delle caratteristiche 4. Avviso alla comunità internazionale 5. Contatti con il provider del dominio da cui è partito lattacco per raccogliere informazioni 6. Individuazione e predisposizione delle contromisure 7. Comunicazione delle difese e chiusura dellincidente informatico
16
Studio Legale Baldacci Le Unità locali sono il front-end del CSNI Già la Direttiva 16-01-2002 del Presidente del Consiglio dei Ministri definiva dei ruoli di sicurezza per ogni singola amministrazione: Comitato per la Sicurezza ICT Responsabile della Sicurezza ICT Responsabile dei sistemi informativi automatizzati Gestore esterno Proprietario dei dati e delle applicazioni A questi vanno aggiunti: Assistente del Responsabile dei sistemi informativi automatizzati nel campo della sicurezza ICT Addetto alle verifiche di sicurezza ICT Assistente alladdetto alle verifiche di sicurezza ICT
17
Studio Legale Baldacci Politica di sicurezza Per politica di sicurezza si intende linsieme delle leggi, regole e pratiche (di tipo tecnico, o di tipo procedurale o attinenti alla sicurezza fisica e del personale) che regolano la gestione e protezione dei beni (principalmente le informazioni) allinterno del dominio di validità della politica stessa. Nellambito di unorganizzazione, una politica di sicurezza può essere sviluppata a diversi livelli: A livello dellintera organizzazione A livello di singole componenti A livello di sistemi ICT specifici o per classi di essi
18
Studio Legale Baldacci Una buona politica di sicurezza a livello dellintera organizzazione (PA) dovrebbe prevedere: 1.Ladozione di una metodologia di analisi del rischio 2.Ladozione di un piano di Business Continuity 3.La stesura di capitolati per lacquisizione di sistemi/prodotti ICT dotati di funzionalità di sicurezza 4.La gestione del personale
19
Studio Legale Baldacci 5.La sicurezza nellaccesso di terze parti ai sistemi ICT della PA 6.Loutsorcing 7.Il ricorso alle certificazioni di sicurezza ICT
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.