Esempio strutturato di SICUREZZA ORGANIZZATIVA “Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione” Pubblicazione del Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni – Marzo 2004 Studio Legale Baldacci Il Comitato tecnico nazionale sulla sicurezza ICT Istituito con Decreto Interministeriale del Ministro delle Comunicazioni e del Ministro per l’Innovazione e le Tecnologie del 24 luglio 2002 Ha il compito di raggiungere gli obiettivi di sicurezza attraverso 5 fasi funzionali: Studio Legale Baldacci 1. Esame della situazione della PA rispetto ai temi della sicurezza 2. Elaborazione e diffusione di linee guida 3. Stesura di progetti di attuazione dei principi fissati 4. Realizzazione e controllo dell’avanzamento dei progetti 5. Fornitura di consulenza e supporto alla realizzazione Studio Legale Baldacci Art.2 – Funzioni del Comitato “1. Il Comitato, al fine del raggiungimento di un livello di sicurezza nelle informazioni conferme a criteri standard internazionali e per garantire integrità e affidabilità dell’informazione, formula le proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione, in particolare ai fini della redazione: Studio Legale Baldacci A) B) del Piano nazionale della sicurezza delle tecnologie dell’informazione e comunicazione della Pubblica Amministrazione, di cui verifica annualmente lo stato di avanzamento, identificando le eventuali misure correttive; della predisposizione del modello organizzativo nazionale di sicurezza ICT per la Pubblica Amministrazione, del quale verifica la relativa attivazione e applicazione. Studio Legale Baldacci 2. Il Comitato formula, inoltre, proposte in materia di regolamentazione della certificazione e valutazione della sicurezza, nonché ai fini della predisposizione di criteri di certificazione e delle linee guida per la certificazione di sicurezza ICT per la pubblica amministrazione, sulla base delle normative nazionali e internazionali di riferimento. 3. Il Comitato elabora linee guida per la predisposizione delle intese con il Dipartimento della funzione pubblica in ordine alla formazione dei dipendenti pubblici in tema di sicurezza ICT.” Studio Legale Baldacci Proposte per un sistema di governo della sicurezza ICT nella PA Gestione della sicurezza nella PA eseguita attraverso un opportuno processo che preveda lo sviluppo di politiche di sicurezza sia a livello di Amministrazione sia a livello di sistemi ICT È importante definire i ruoli di responsabilità: alcuni devono essere di tipo centralizzato (come il CTNSICT), altri di tipo locale Data l’assenza di risorse, il CTNS-ICT deve confluire in un apposito organismo dotato di mezzi atti a consentire piena operatività: il Centro Nazionale per la Sicurezza Informatica (CNSI) Studio Legale Baldacci Obiettivi principali del CNSI 1 Accrescere il livello medio di protezione dei sistemi informatici degli utenti internet italiani con particolare riferimento agli utenti della PA 2 Predisporre le misure adeguate per far fronte ad eventuali attacchi informatici a sistemi della PA 3 Predisporre le misure adeguate per ripristinare in tempi brevi i sistemi compromessi Studio Legale Baldacci Attività del CNSI Prevenzione •Promuovere programmi per accrescere la consapevolezza problema sicurezza informatica tra gli utenti della rete internet del •Studiare, valutare e promuovere l’uso di “best practice” nel settore della sicurezza informatica •Promuovere attività di ricerca e la cooperazione tra i centri di ricerca •Raccogliere e distribuire informazioni aggiornate sulle intrusioni e relative contromisure •Promuovere corsi di formazione per dipendenti della PA •Promuovere il ricorso agli standard di sicurezza Studio Legale Baldacci Rilevamento •Controllare le attività svolte sulla rete •Collezionare ed analizzare tutte le segnalazioni provenienti dagli utenti finali Risposta •Fornire supporto agli utenti vittime di un’intrusione •Contattare uno o più centri di ricerca •Allertare tutti i responsabili di sistemi che possono essere oggetto di un attacco simile •Diffondere l’informazione a livello internazionale Studio Legale Baldacci Struttura del CNSI Unità di Coordinamento Unità di Formazione CNSI Unità Locali (o Operative) Centro di ricerca Unità di Gestione degli incidenti Studio Legale Baldacci Unità di Coordinamento •Raccorda tutte le attività intraprese dalle varie unità che operano all’interno della struttura •Raccoglie, elabora e distribuisce le informazioni •Fornisce alle singole Unità operative il supporto necessario Centro di ricerca •Crea il corpo di conoscenze e di esperienze necessarie per risolvere casi di minacce o attacchi informatici particolarmente complessi •Prevede nuove forme di attacco informatico e virus •Forma il personale CNSI con alti contenuti scientifici e tecnologici nel settore della sicurezza informatica Studio Legale Baldacci Unità di Formazione •Predispone ed eroga corsi di formazione per i dipendenti della PA in tema di sicurezza Unità di gestione degli incidenti informatici •Rileva le intrusioni informatiche nei sistemi della PA •Centro di early warning •Centro di information sharing Unità Locali •Organismi tecnici preposti alla gestione operativa della sicurezza informatica •Funzione di raccordo tra il CNSI e le varie sedi della PA Studio Legale Baldacci Unità di gestione degli attacchi informatici Altri CERT della PA Altri CERT o istituzioni analoghe (nazionali o internazionali) Unità operative GOVCERT.IT ISP Produttori Forze dell’ordine Studio Legale Baldacci Centro di ricerca Gestione di un incidente informatico 1. Attacco informatico 2. Comunicazione dell’attacco 6. Individuazione e predisposizione delle contromisure 3. Registrazione dell’attacco e studio delle caratteristiche 5. Contatti con il provider del dominio da cui è partito l’attacco per raccogliere informazioni 4. Avviso alla comunità internazionale 7. Comunicazione delle difese e chiusura dell’incidente informatico Studio Legale Baldacci Le Unità locali sono il front-end del CSNI Già la Direttiva 16-01-2002 del Presidente del Consiglio dei Ministri definiva dei ruoli di sicurezza per ogni singola amministrazione: •Comitato per la Sicurezza ICT •Responsabile della Sicurezza ICT •Responsabile dei sistemi informativi automatizzati •Gestore esterno •Proprietario dei dati e delle applicazioni A questi vanno aggiunti: •Assistente del Responsabile dei sistemi informativi automatizzati nel campo della sicurezza ICT •Addetto alle verifiche di sicurezza ICT •Assistente all’addetto alle verifiche di sicurezza ICT Studio Legale Baldacci Politica di sicurezza Per politica di sicurezza si intende l’insieme delle leggi, regole e pratiche (di tipo tecnico, o di tipo procedurale o attinenti alla sicurezza fisica e del personale) che regolano la gestione e protezione dei beni (principalmente le informazioni) all’interno del dominio di validità della politica stessa. Nell’ambito di un’organizzazione, una politica di sicurezza può essere sviluppata a diversi livelli: •A livello dell’intera organizzazione •A livello di singole componenti •A livello di sistemi ICT specifici o per classi di essi Studio Legale Baldacci Una buona politica di sicurezza a livello dell’intera organizzazione (PA) dovrebbe prevedere: 1. L’adozione di una metodologia di analisi del rischio 2. L’adozione di un piano di Business Continuity 3. La stesura di capitolati per l’acquisizione di sistemi/prodotti ICT dotati di funzionalità di sicurezza 4. La gestione del personale Studio Legale Baldacci 5. La sicurezza nell’accesso di terze parti ai sistemi ICT della PA 6. L’outsorcing 7. Il ricorso alle certificazioni di sicurezza ICT Studio Legale Baldacci