AGID ha predisposto un documento che contiene l’elenco ufficiale delle “Misure minime per la sicurezza ICT delle pubbliche amministrazioni" al fine di fornire alle pubbliche amministrazioni un riferimento pratico per valutare e migliorare il proprio livello di sicurezza informatica.
Riguardo il documento di cui all’oggetto, le misure minime di sicurezza informatica prevedono tre diversi livelli di attuazione e costituiscono parte integrante del più ampio disegno delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione.
L’obiettivo del documento è quello di fornire tempestivamente alle PA un riferimento normativo e consentire loro di intraprendere un percorso di progressiva verifica e adeguamento in termini di sicurezza informatica.
Il allegato il testo completo del documento AGID
L'articolo continua dopo la pubblicità
Segui tutti gli aggiornamenti nel dossier dedicato alla Privacy
Tutta la normativa aggiornata sulla Privacy nel Commento breve al Regolamento europeo per la privacy
Le misure minime per la sicurezza informatica della Pubblica Amministrazione
Le misure minime per la sicurezza informatica sono emesse come previsto dalla Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, che emana disposizioni relative alla sicurezza informatica nazionale e assegna all’Agenzia per l’Italia Digitale il compito di sviluppare gli standard di riferimento per le amministrazioni
Il documento anticipa le Regole Tecniche per la Sicurezza Informatica delle PA (la cui emanazione è competenza del Dipartimento della Funzione Pubblica), con l’obiettivo di fornire tempestivamente un riferimento utile a stabilire se il livello di protezione dei sistemi ICT delle pubbliche amministrazioni risponde alle esigenze operative di messa in sicurezza dei sistemi, individuando anche gli interventi idonei al suo adeguamento.
Vengono pertanto introdotti dei controlli denominati ABSC (AgID Basic Security Controls) che dovrebbero essere implementati per ottenere un determinato livello di sicurezza.
Si identificano 3 livelli di sicurezza:
– “Minimo”, al di sotto il quale nessuna amministrazione può scendere;
– “Standard”, che costituisce la base di riferimento nella maggior parte dei casi;
– “Alto”, che potrebbe essere un obiettivo a cui tendere.
Vengono delineate 8 classi di controlli che brevemente si riportano..
Trattasi di controlli minimi che le PA devono effettuare:
-
ABSC1(CSC1): inventario dei dispositivi autorizzati e non autorizzati. Il livello minimo prevede l’implementazione, l’aggiornamento e la gestione dell’inventario di tutti i sistemi di rete (compresi i dispositivi di rete stessi) registrando almeno l’indirizzo IP.
-
ABSC2(CSC2): inventario dei software autorizzati e non autorizzati. Il livello minimo prevede la realizzazione dell’elenco dei software autorizzati (e relative versioni), con regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzati. L’installazione di software non presenti nell’elenco è vietata.
-
ABSC3(CSC3): proteggere le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server. Il livello minimo di questa classe di controlli prevede le definizione di configurazioni standard per tutti i sistemi (server, workstation, ecc.), con il tassativo rispetto di tali standard nelle fasi di installazione o ripristino dei sistemi. Le immagini di installazione dei sistemi devono essere memorizzate offline e tutte le operazioni di amministrazione remota devono essere eseguite tramite connessioni protette.
-
ABSC4(CSC4): valutazione e correzione continua della vulnerabilità. Il livello minimo prevede la ricerca delle vulnerabilità tramite strumenti automatici ad ogni modifica della configurazione; detti strumenti devono fornire agli amministratori di sistema report con indicazione delle vulnerabilità più critiche. Non solo i sistemi devono essere aggiornati, ma anche gli stessi strumenti di scansione.
-
ABSC5(CSC5): uso appropriato dei privilegi di amministratore. Il livello minimo della classe di controlli relativa agli amministratori di sistema definisce una specifica policy di gestione degli utenti con diritti amministrativi, che disciplini i limiti nei privilegi attribuiti e l’inventario dei profili abilitati. Tale policy prevede tutte le accortezze che si rendono necessarie per l’adeguata gestione degli amministratori di sistema, dai controlli sulle scadenze delle password alla creazione di profili nominativi e individuali (non generici). Per questa classe di controlli, le azioni relative al tracciamento dei log degli amministratori sono definite come livello “standard”, mentre rappresentano un obbligo di legge sancito da un provvedimento del Garante Privacy sugli amministratori di sistema del 2008.
-
ABSC8(CSC8): difese contro i malware. Il livello minimo impone l’installazione e l’aggiornamento automatico di sistemi antimalware, firewall e Intrusion Prevention Systems (IPS). Si deve disabilitare inoltre l’esecuzione automatica di tutti quei sistemi che potrebbero inavvertitamente attivare una minaccia (es. apertura degli allegati delle email, esecuzione di macro, eseguibili lanciati da chiavette USB, ecc).
-
ABSC10(CSC10): copie di sicurezza. Il livello minimo di sicurezza contempla una copia almeno settimanale delle informazioni strettamente necessarie per il completo ripristino del sistema (in linea con le misure minime di sicurezza previste dal Codice della Privacy, anche se perdere una settimana di lavoro potrebbe essere troppo penalizzante per una PA). Si pone una certa attenzione anche alla riservatezza delle informazioni contenute nelle copie di sicurezza, tramite adeguata protezione fisica o mediate cifratura delle informazioni sottoposte a salvataggio. Infine, è necessario garantire che almeno una delle copie non sia permanentemente accessibile dal sistema stesso, onde evitare che eventuali attacchi al sistema possano coinvolgere anche le sue copie di sicurezza.
-
ABSC13(CSC13): protezione dei dati. Il livello minimo da garantire stabilisce di effettuare un’analisi dei dati per individuare quelli con particolari requisiti di riservatezza, ai quali applicare una protezione crittografica. Inoltre, si deve prevedere il blocco del traffico da e verso url presenti in una blacklist.
Il livello “Standard” prevede ulteriori azioni da svolgere per garantire la sicurezza dei sistemi, ma come approccio iniziale sarebbe corretto che le PA verificassero il proprio “stato di salute” per valutare eventuali azioni da compiere al fine di ottemperare agli obblighi imposti dal livello minimo.
In allegato il testo completo del documento.