Embed Size (px)
Citation preview
Studio Legale Baldacci
Esempio strutturato di SICUREZZA ORGANIZZATIVA
““Proposte concernenti le Proposte concernenti le strategie in materia di strategie in materia di
sicurezza informatica e delle sicurezza informatica e delle telecomunicazioni per la telecomunicazioni per la pubblica amministrazione”pubblica amministrazione”
Pubblicazione del Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni – Marzo 2004
Studio Legale Baldacci
Il Comitato tecnico nazionale sulla sicurezza ICT
Istituito con Decreto Interministeriale del Ministro delle Comunicazioni e del Ministro per l’Innovazione e le Tecnologie del 24 luglio 2002
Ha il compito di raggiungere gli obiettivi di sicurezza attraverso 5 fasi funzionali:
Studio Legale Baldacci
1. Esame della situazione della PA rispetto ai temi della sicurezza
1. Elaborazione e diffusione di linee guida
1. Stesura di progetti di attuazione dei principi fissati
1. Realizzazione e controllo dell’avanzamento dei progetti
1. Fornitura di consulenza e supporto alla realizzazione
Studio Legale Baldacci
“1. Il Comitato, al fine del raggiungimento di un livello di sicurezza nelle informazioni conferme a criteri standard internazionali e per garantire integrità e affidabilità dell’informazione, formula le proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione, in particolare ai fini della redazione:
Art.2 – Funzioni del Comitato
Studio Legale Baldacci
del Piano nazionale della sicurezza delle tecnologie dell’informazione e comunicazione della Pubblica Amministrazione, di cui verifica annualmente lo stato di avanzamento, identificando le eventuali misure correttive;
della predisposizione del modello organizzativo nazionale di sicurezza ICT per la Pubblica Amministrazione, del quale verifica la relativa attivazione e applicazione.
A)
B)
Studio Legale Baldacci
2. Il Comitato formula, inoltre, proposte in materia di regolamentazione della certificazione e valutazione della sicurezza, nonché ai fini della predisposizione di criteri di certificazione e delle linee guida per la certificazione di sicurezza ICT per la pubblica amministrazione, sulla base delle normative nazionali e internazionali di riferimento.
3. Il Comitato elabora linee guida per la predisposizione delle intese con ilDipartimento della funzione pubblica in ordine alla formazione dei dipendenti pubblici in tema di sicurezza ICT.”
Studio Legale Baldacci
Proposte per un sistema di governo della sicurezza ICT nella PA
Gestione della sicurezza nella PA eseguita attraverso un opportuno processo che preveda lo sviluppo di politiche di sicurezza sia a livello di Amministrazione sia a livello di sistemi ICT
È importante definire i ruoli di responsabilità: alcuni devono essere di tipo centralizzato (come il CTNS-ICT), altri di tipo locale
Data l’assenza di risorse, il CTNS-ICT deve confluire in un apposito organismo dotato di mezzi atti a consentire piena operatività: il Centro Nazionale per la Sicurezza Informatica (CNSI)
Studio Legale Baldacci
Obiettivi principali del CNSI
Accrescere il livello medio di protezione dei sistemi informatici degli utenti internet italiani con particolare riferimento agli utenti della PA
Predisporre le misure adeguate per far fronte ad eventuali attacchi informatici a sistemi della PA
Predisporre le misure adeguate per ripristinare in tempi brevi i sistemi compromessi
1
2
3
Studio Legale Baldacci
Attività del CNSIPrevenzione
•Promuovere programmi per accrescere la consapevolezza del problema sicurezza informatica tra gli utenti della rete internet
•Studiare, valutare e promuovere l’uso di “best practice” nel settore della sicurezza informatica
•Promuovere attività di ricerca e la cooperazione tra i centri di ricerca
•Raccogliere e distribuire informazioni aggiornate sulle intrusioni e relative contromisure
•Promuovere corsi di formazione per dipendenti della PA
•Promuovere il ricorso agli standard di sicurezza
Studio Legale Baldacci
Rilevamento
•Controllare le attività svolte sulla rete
•Collezionare ed analizzare tutte le segnalazioni provenienti dagli utenti finali
Risposta
•Fornire supporto agli utenti vittime di un’intrusione
•Contattare uno o più centri di ricerca
•Allertare tutti i responsabili di sistemi che possono essere oggetto di un attacco simile
•Diffondere l’informazione a livello internazionale
Studio Legale Baldacci
CNSI
Unità di Coordinamento
Unità di Gestione degli incidenti
Unità di Formazione
Unità Locali (o Operative)
Centro di ricerca
Struttura del CNSI
Studio Legale Baldacci
Unità di Coordinamento•Raccorda tutte le attività intraprese dalle varie unità che operano all’interno della struttura•Raccoglie, elabora e distribuisce le informazioni•Fornisce alle singole Unità operative il supporto necessario
Centro di ricerca•Crea il corpo di conoscenze e di esperienze necessarie per risolvere casi di minacce o attacchi informatici particolarmente complessi•Prevede nuove forme di attacco informatico e virus•Forma il personale CNSI con alti contenuti scientifici e tecnologici nel settore della sicurezza informatica
Studio Legale Baldacci
Unità di gestione degli incidenti informatici•Rileva le intrusioni informatiche nei sistemi della PA•Centro di early warning•Centro di information sharing
Unità Locali•Organismi tecnici preposti alla gestione operativa della sicurezza informatica•Funzione di raccordo tra il CNSI e le varie sedi della PA
Unità di Formazione•Predispone ed eroga corsi di formazione per i dipendenti della PA in tema di sicurezza
Studio Legale Baldacci
Unità di gestione degli attacchi informatici
Unità operative
ISP
Forze dell’ordine Centro di ricerca
Produttori
Altri CERT o istituzioni analoghe
(nazionali o internazionali)
Altri CERT della PA
GOVCERT.IT
Studio Legale Baldacci
Gestione di un incidente informatico
1. Attacco informatico 2. Comunicazione dell’attacco 3. Registrazione dell’attaccoe studio delle caratteristiche
4. Avviso alla comunità internazionale
5. Contatti con il provider del dominio da cui è partito l’attacco per raccogliere informazioni
6. Individuazione e predisposizione delle contromisure
7. Comunicazione delle difese e chiusura dell’incidente informatico
Studio Legale Baldacci
Le Unità locali sono il front-end del CSNI
Già la Direttiva 16-01-2002 del Presidente del Consiglio dei Ministri definiva dei ruoli di sicurezza per ogni singola amministrazione:•Comitato per la Sicurezza ICT•Responsabile della Sicurezza ICT•Responsabile dei sistemi informativi automatizzati•Gestore esterno•Proprietario dei dati e delle applicazioni
A questi vanno aggiunti:•Assistente del Responsabile dei sistemi informativi automatizzati nel campo della sicurezza ICT•Addetto alle verifiche di sicurezza ICT•Assistente all’addetto alle verifiche di sicurezza ICT
Studio Legale Baldacci
Politica di sicurezzaPer politica di sicurezza si intende l’insieme delle leggi, regole e pratiche (di tipo tecnico, o di tipo procedurale o attinenti alla sicurezza fisica e del personale) che regolano la gestione e protezione dei beni (principalmente le informazioni) all’interno del dominio di validità della politica stessa.
Nell’ambito di un’organizzazione, una politica di sicurezza può essere sviluppata a diversi livelli:•A livello dell’intera organizzazione•A livello di singole componenti•A livello di sistemi ICT specifici o per classi di essi
Studio Legale Baldacci
Una buona politica di sicurezza a livello dell’intera organizzazione (PA) dovrebbe prevedere:
3. L’adozione di una metodologia di analisi del rischio
6. L’adozione di un piano di Business Continuity
9. La stesura di capitolati per l’acquisizione di sistemi/prodotti ICT dotati di funzionalità di sicurezza
12.La gestione del personale
Studio Legale Baldacci
1. La sicurezza nell’accesso di terze parti ai sistemi ICT della PA
4. L’outsorcing
7. Il ricorso alle certificazioni di sicurezza ICT
Studio Legale Baldacci
Studio Legale BaldacciVia Calvi dell’Umbria n.9 – 00191 Roma
tel.063337535 – fax [email protected]
• Avv. Fulvio BaldacciPatrocinante in Cassazione
• Avv. Michele Baldacci• Dott.ssa Aurelia Rottoli Baldacci• Dott.ssa Eloisa Baldacci
