Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Transcript

1 Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione Pubblicazione del Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni Marzo 2004

2 Il Comitato tecnico nazionale sulla sicurezza ICT Istituito con Decreto Interministeriale del Ministro delle Comunicazioni e del Ministro per l Innovazione e le Tecnologie del 24 luglio 2002 Ha il compito di raggiungere gli obiettivi di sicurezza attraverso 5 fasi funzionali:

3 1. Esame della situazione della PA rispetto ai temi della sicurezza 1. Elaborazione e diffusione di linee guida 1. Stesura di progetti di attuazione dei principi fissati 1. Realizzazione e controllo dell avanzamento dei progetti 1. Fornitura di consulenza e supporto alla realizzazione

4 Art.2 Funzioni del Comitato 1. Il Comitato, al fine del raggiungimento di un livello di sicurezza nelle informazioni conferme a criteri standard internazionali e per garantire integrità e affidabilità dell informazione, formula le proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione, in particolare ai fini della redazione:

5 A) B) del Piano nazionale della sicurezza delle tecnologie dell informazione e comunicazione della Pubblica Amministrazione, di cui verifica annualmente lo stato di avanzamento, identificando le eventuali misure correttive; della predisposizione del modello organizzativo nazionale di sicurezza ICT per la Pubblica Amministrazione, del quale verifica la relativa attivazione e applicazione.

6 2. Il Comitato formula, inoltre, proposte in materia di regolamentazione della certificazione e valutazione della sicurezza, nonché ai fini della predisposizione di criteri di certificazione e delle linee guida per la certificazione di sicurezza ICT per la pubblica amministrazione, sulla base delle normative nazionali e internazionali di riferimento. 3. Il Comitato elabora linee guida per la predisposizione delle intese con il Dipartimento della funzione pubblica in ordine alla formazione dei dipendenti pubblici in tema di sicurezza ICT.

7 Proposte per un sistema di governo della sicurezza ICT nella PA Gestione della sicurezza nella PA eseguita attraverso un opportuno processo che preveda lo sviluppo di politiche di sicurezza sia a livello di Amministrazione sia a livello di sistemi ICT È importante definire i ruoli di responsabilità: alcuni devono essere di tipo centralizzato (come il CTNS- ICT), altri di tipo locale Data l assenza di risorse, il CTNS-ICT deve confluire in un apposito organismo dotato di mezzi atti a consentire piena operatività: il Centro Nazionale per la Sicurezza Informatica (CNSI)

8 Obiettivi principali del CNSI 1 Accrescere il livello medio di protezione dei sistemi informatici degli utenti internet italiani con particolare riferimento agli utenti della PA 2 Predisporre le misure adeguate per far fronte ad eventuali attacchi informatici a sistemi della PA 3 Predisporre le misure adeguate per ripristinare in tempi brevi i sistemi compromessi

9 Prevenzione Attività del CNSI Promuovere programmi per accrescere la consapevolezza del problema sicurezza informatica tra gli utenti della rete internet Studiare, valutare e promuovere l uso di best practice nel settore della sicurezza informatica Promuovere attività di ricerca e la cooperazione tra i centri di ricerca Raccogliere e distribuire informazioni aggiornate sulle intrusioni e relative contromisure Promuovere corsi di formazione per dipendenti della PA Promuovere il ricorso agli standard di sicurezza

10 Rilevamento Controllare le attività svolte sulla rete Collezionare ed analizzare tutte le segnalazioni provenienti dagli utenti finali Risposta Fornire supporto agli utenti vittime di un intrusione Contattare uno o più centri di ricerca Allertare tutti i responsabili di sistemi che possono essere oggetto di un attacco simile Diffondere l informazione a livello internazionale

11 Struttura del CNSI Unità di Coordinamento Unità di Formazione Unità Locali (o Operative) CNSI Centro di ricerca Unità di Gestione degli incidenti

12 Unità di Coordinamento Raccorda tutte le attività intraprese dalle varie unità che operano all interno della struttura Raccoglie, elabora e distribuisce le informazioni Fornisce alle singole Unità operative il supporto necessario Centro di ricerca Crea il corpo di conoscenze e di esperienze necessarie per risolvere casi di minacce o attacchi informatici particolarmente complessi Prevede nuove forme di attacco informatico e virus Forma il personale CNSI con alti contenuti scientifici e tecnologici nel settore della sicurezza informatica

13 Unità di Formazione Predispone ed eroga corsi di formazione per i dipendenti della PA in tema di sicurezza Unità di gestione degli incidenti informatici Rileva le intrusioni informatiche nei sistemi della PA Centro di early warning Centro di information sharing Unità Locali Organismi tecnici preposti alla gestione operativa della sicurezza informatica Funzione di raccordo tra il CNSI e le varie sedi della PA

14 Unità di gestione degli attacchi informatici Unità operative Altri CERT della PA Altri CERT o istituzioni analoghe (nazionali o internazionali) GOVCERT.IT ISP Produttori Forze dell ordine Centro di ricerca

15 Gestione di un incidente informatico 1. Attacco informatico 2. Comunicazione dell attacco 3. Registrazione dell attacco e studio delle caratteristiche 6. Individuazione e predisposizione delle contromisure 5. Contatti con il provider del dominio da cui è partito l attacco per raccogliere informazioni 4. Avviso alla comunità internazionale 7. Comunicazione delle difese e chiusura dell incidente informatico

16 Le Unità locali sono il front-end del CSNI Già la Direttiva del Presidente del Consiglio dei Ministri definiva dei ruoli di sicurezza per ogni singola amministrazione: Comitato per la Sicurezza ICT Responsabile della Sicurezza ICT Responsabile dei sistemi informativi automatizzati Gestore esterno Proprietario dei dati e delle applicazioni A questi vanno aggiunti: Assistente del Responsabile dei sistemi informativi automatizzati nel campo della sicurezza ICT Addetto alle verifiche di sicurezza ICT Assistente all addetto alle verifiche di sicurezza ICT

17 Politica di sicurezza Per politica di sicurezza si intende l insieme delle leggi, regole e pratiche (di tipo tecnico, o di tipo procedurale o attinenti alla sicurezza fisica e del personale) che regolano la gestione e protezione dei beni (principalmente le informazioni) all interno del dominio di validità della politica stessa. Nell ambito di un organizzazione, una politica di sicurezza può essere sviluppata a diversi livelli: A livello dell intera organizzazione A livello di singole componenti A livello di sistemi ICT specifici o per classi di essi

18 Una buona politica di sicurezza a livello dell intera organizzazione (PA) dovrebbe prevedere: 3. L adozione di una metodologia di analisi del rischio 6. L adozione di un piano di Business Continuity 9. La stesura di capitolati per l acquisizione di sistemi/prodotti ICT dotati di funzionalità di sicurezza 12.La gestione del personale

19 1. La sicurezza nell accesso di terze parti ai sistemi ICT della PA 4. L outsorcing 7. Il ricorso alle certificazioni di sicurezza ICT

20 Via Calvi dell Umbria n Roma tel fax Avv. Fulvio Baldacci Patrocinante in Cassazione Avv. Michele Baldacci Dott.ssa Aurelia Rottoli Baldacci Dott.ssa Eloisa Baldacci