Il Comitato tecnico nazionale sulla sicurezza ICT

Esempio strutturato di SICUREZZA ORGANIZZATIVA
“Proposte concernenti le
strategie in materia di
sicurezza informatica e delle
telecomunicazioni per la
pubblica amministrazione”
Pubblicazione del Comitato tecnico nazionale sulla
sicurezza informatica e delle telecomunicazioni nelle
pubbliche amministrazioni – Marzo 2004
Studio Legale Baldacci
Il Comitato tecnico nazionale
sulla sicurezza ICT
Istituito con Decreto Interministeriale
del Ministro delle Comunicazioni e del
Ministro per l’Innovazione e le Tecnologie
del 24 luglio 2002
Ha il compito di raggiungere gli obiettivi
di sicurezza attraverso 5 fasi funzionali:
Studio Legale Baldacci
1. Esame della situazione della PA
rispetto ai temi della sicurezza
2. Elaborazione e diffusione di linee guida
3. Stesura di progetti di
attuazione dei principi fissati
4. Realizzazione e controllo
dell’avanzamento dei progetti
5. Fornitura di consulenza e
supporto alla realizzazione
Studio Legale Baldacci
Art.2 – Funzioni del Comitato
“1. Il Comitato, al fine del raggiungimento di un
livello di sicurezza nelle informazioni conferme
a criteri standard internazionali e per garantire
integrità e affidabilità dell’informazione,
formula le proposte concernenti le strategie in
materia di sicurezza informatica e delle
telecomunicazioni (ICT) per la pubblica
amministrazione, in particolare ai fini della
redazione:
Studio Legale Baldacci
A)
B)
del Piano nazionale della sicurezza delle
tecnologie dell’informazione e comunicazione
della Pubblica Amministrazione, di cui
verifica
annualmente
lo
stato
di
avanzamento, identificando le eventuali
misure correttive;
della
predisposizione
del
modello
organizzativo nazionale di sicurezza ICT per
la Pubblica Amministrazione, del quale
verifica
la
relativa
attivazione
e
applicazione.
Studio Legale Baldacci
2. Il Comitato formula, inoltre, proposte in materia di
regolamentazione della certificazione e valutazione
della sicurezza, nonché ai fini della predisposizione di
criteri di certificazione e delle linee guida per la
certificazione di sicurezza ICT per la pubblica
amministrazione, sulla base delle normative nazionali e
internazionali di riferimento.
3. Il Comitato elabora linee guida per la
predisposizione delle intese con il
Dipartimento della funzione
pubblica in ordine alla
formazione dei dipendenti
pubblici in tema di sicurezza
ICT.”
Studio Legale Baldacci
Proposte per un sistema di governo della sicurezza ICT nella PA
Gestione della sicurezza nella PA eseguita attraverso un opportuno
processo che preveda lo sviluppo di politiche di sicurezza sia a livello
di Amministrazione sia a livello di sistemi ICT
È importante definire i ruoli di responsabilità: alcuni
devono essere di tipo centralizzato (come il CTNSICT), altri di tipo locale
Data l’assenza di risorse, il CTNS-ICT deve confluire in un
apposito organismo dotato di mezzi atti a consentire piena
operatività: il Centro Nazionale per la Sicurezza
Informatica (CNSI)
Studio Legale Baldacci
Obiettivi principali del CNSI
1
Accrescere il livello medio di protezione dei sistemi
informatici degli utenti internet italiani con
particolare riferimento agli utenti della PA
2
Predisporre le misure adeguate per far fronte
ad eventuali attacchi informatici a sistemi
della PA
3
Predisporre le misure adeguate per
ripristinare in tempi brevi i sistemi
compromessi
Studio Legale Baldacci
Attività del CNSI
Prevenzione
•Promuovere programmi per accrescere la consapevolezza
problema sicurezza informatica tra gli utenti della rete internet
del
•Studiare, valutare e promuovere l’uso di “best practice” nel settore
della sicurezza informatica
•Promuovere attività di ricerca e la cooperazione tra i centri di
ricerca
•Raccogliere e distribuire informazioni aggiornate sulle intrusioni e
relative contromisure
•Promuovere corsi di formazione per dipendenti della PA
•Promuovere il ricorso agli standard di sicurezza
Studio Legale Baldacci
Rilevamento
•Controllare le attività svolte sulla rete
•Collezionare ed analizzare tutte le segnalazioni provenienti dagli utenti
finali
Risposta
•Fornire supporto agli utenti vittime di un’intrusione
•Contattare uno o più centri di ricerca
•Allertare tutti i responsabili di sistemi che possono essere oggetto di un
attacco simile
•Diffondere l’informazione a livello internazionale
Studio Legale Baldacci
Struttura del CNSI
Unità di Coordinamento
Unità di Formazione
CNSI
Unità Locali
(o Operative)
Centro di ricerca
Unità di Gestione degli incidenti
Studio Legale Baldacci
Unità di Coordinamento
•Raccorda tutte le attività intraprese dalle varie unità che
operano all’interno della struttura
•Raccoglie, elabora e distribuisce le informazioni
•Fornisce alle singole Unità operative il supporto necessario
Centro di ricerca
•Crea il corpo di conoscenze e di esperienze necessarie per
risolvere casi di minacce o attacchi informatici
particolarmente complessi
•Prevede nuove forme di attacco informatico e virus
•Forma il personale CNSI con alti contenuti scientifici e
tecnologici nel settore della sicurezza informatica
Studio Legale Baldacci
Unità di Formazione
•Predispone ed eroga corsi di formazione per i dipendenti
della PA in tema di sicurezza
Unità di gestione degli incidenti informatici
•Rileva le intrusioni informatiche nei sistemi della PA
•Centro di early warning
•Centro di information sharing
Unità Locali
•Organismi tecnici preposti alla gestione operativa della
sicurezza informatica
•Funzione di raccordo tra il CNSI e le varie sedi della PA
Studio Legale Baldacci
Unità di gestione degli attacchi informatici
Altri CERT della PA
Altri CERT o
istituzioni analoghe
(nazionali o
internazionali)
Unità operative
GOVCERT.IT
ISP
Produttori
Forze dell’ordine
Studio Legale Baldacci
Centro di ricerca
Gestione di un incidente informatico
1. Attacco informatico
2. Comunicazione dell’attacco
6. Individuazione e predisposizione
delle contromisure
3. Registrazione dell’attacco
e studio delle caratteristiche
5. Contatti con il provider
del dominio da cui è partito
l’attacco per raccogliere
informazioni
4. Avviso alla comunità
internazionale
7. Comunicazione delle difese e
chiusura dell’incidente informatico
Studio Legale Baldacci
Le Unità locali sono il front-end del CSNI
Già la Direttiva 16-01-2002 del Presidente del Consiglio dei
Ministri definiva dei ruoli di sicurezza per ogni singola
amministrazione:
•Comitato per la Sicurezza ICT
•Responsabile della Sicurezza ICT
•Responsabile dei sistemi informativi automatizzati
•Gestore esterno
•Proprietario dei dati e delle applicazioni
A questi vanno aggiunti:
•Assistente del Responsabile dei sistemi informativi
automatizzati nel campo della sicurezza ICT
•Addetto alle verifiche di sicurezza ICT
•Assistente all’addetto alle verifiche di sicurezza ICT
Studio Legale Baldacci
Politica di sicurezza
Per politica di sicurezza si intende l’insieme delle leggi, regole e
pratiche (di tipo tecnico, o di tipo procedurale o attinenti alla sicurezza
fisica e del personale) che regolano la gestione e protezione dei beni
(principalmente le informazioni) all’interno del dominio di validità della
politica stessa.
Nell’ambito di un’organizzazione, una politica di sicurezza può essere
sviluppata a diversi livelli:
•A livello dell’intera organizzazione
•A livello di singole componenti
•A livello di sistemi ICT specifici o per classi di essi
Studio Legale Baldacci
Una buona politica di sicurezza a livello dell’intera
organizzazione (PA) dovrebbe prevedere:
1. L’adozione di una metodologia di analisi del rischio
2. L’adozione di un piano di Business Continuity
3. La stesura di capitolati per l’acquisizione di
sistemi/prodotti ICT dotati di funzionalità di sicurezza
4. La gestione del personale
Studio Legale Baldacci
5. La sicurezza nell’accesso di terze parti ai sistemi ICT
della PA
6. L’outsorcing
7. Il ricorso alle certificazioni di sicurezza ICT
Studio Legale Baldacci