La CyberSecurity nel modello ICT per la PA

Documenti analoghi
Servizio Calcolo e Reti

ID.AM-1 X X X. 3 Effettuare il discovery dei dispositivi collegati alla rete con allarmi in caso di anomalie. ID.AM-1 X

Richiesta preventivo per consulenza e manutenzione e assistenza tecnico-informatica hardware e software

CITTA DI GIULIANOVA PROVINCIA DI TERAMO

CONTROLLI ESSENZIALI DI CYBERSECURITY

Misure minime di sicurezza ICT per le pubbliche amministrazioni

Global Cyber Security Center

AVVISO DI INDAGINE DI MERCATO PER MANIFESTAZIONE DI INTERESSE A PARTECIPARE ALLA PROCEDURA NEGOZIATA EX ART. 36 COMMA 2 DEL D.

Proposta per l organizzazione della Sicurezza Informatica dell ISTI

MISURE MINIME DI SICUREZZA ICT PER LE PUBBLICHE AMMINISTRAZIONI

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

MISURE MINIME DI SICUREZZA ICT PER LE PUBBLICHE AMMINISTRAZIONI

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

Dal GovCERT al CERT-SPC-C. SPC e la Sicurezza nella PA Italiana Roma, 27 maggio Gianluigi Moxedano GovCERT-CNIPA

DI GESTIONE E CONSERVAZIONE DEI DOCUMENTI

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Comune di Castiglione Cosentino PROVINCIA DI COSENZA

Sicuramente

CONTROLLARE I DISPOSITIVI AZIENDALI PER PREVENIRE I CRIMINI INFORMATICI

Cybersecurity per la PA: approccio multicompliance Sogei

Tecnico sistemista di reti

COMUNE DI TORELLA DEI LOMBARDI. Provincia di Avellino PIANO DI INFORMATIZZAZIONE

Sicurezza in Informatica

Supporto al Direttore (ChiefTechnologyOfficer) - nell analisi dell evoluzione tecnologica e del relativo potenziale applicato all Amministrazione

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

La sicurezza nella PA: dati e considerazioni

Sistema Informativo Unitario Regionale per la Programmazione (S.I.U.R.P.) LA SICUREZZA INFORMATICA

MODULO DI IMPLEMENTAZIONE DELLE MISURE MINIME DI SICUREZZA PER LE PUBBLICHE AMMINISTRAZIONI

WELCOME. To The Net. Ovvero sopravvivere alla rete ed altre storie incredibili.

INDICE INTRODUZIONE E SCOPO DEL DOCUMENTO ORGANIZZAZIONE DEL DOCUMENTO. Introduzione e scopo del documento SICUREZZA... 8

Definizione di sicurezza. Sicurezza in Informatica. Sicurezza per il singolo utente. Panoramica. Per sicurezza si intende la protezione delle risorse

PIANO PER LA SICUREZZA INFORMATICA ANNO 2015

REGOLAMENTO PER L UTILIZZO DEI SISTEMI E STRUMENTI INFORMATICI ED ELETTRONICI DELL I.P.A.B. LA PIEVE SERVIZI ASSISTENZIALI

Sistemi informativi in ambito sanitario e protezione dei dati personali

Virtualizzazione Infrastrutture ICT. A chi è rivolto. Vantaggi per il Cliente. Perchè Luganet. Partner Commerciale

Ambiente di apprendimento LA SICUREZZA DELLE INFORMAZIONI

Scarica il Bando :

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Trento, 8 febbraio Privacy (d.lgs 196/03) e internet. Obblighi ed opportunità per il datore di lavoro

FRAMEWORK NAZIONALE PER LA CYBER SECURITY

La nuova edizione della norma ISO (seconda parte)

SICUREZZA RIELLO CONNECT. Tecnologie utilizzate dalla soluzione Riello Connect per mantenere al sicuro i vostri dati

Assemblatore e riparatore di personal computer e installatore di reti locali

ISTITUTO CERTIFICATO EN UNI ISO

Cybersecurity, come difendersi dal furto dati

Politica per la Qualità, la Sicurezza delle Informazioni e la Sicurezza sul lavoro

IT Security Strumenti avanzati per la produttività, collaborazione on-line e sicurezza in rete

Usabilità e Sicurezza: un binomio fondamentale per il futuro del digitale. Prof. Giuseppe Vaciago

L esperienza dell Istituto Nazionale per le Malattie Infettive «Lazzaro Spallanzani»

HOSTING ASICT. Servizio piattaforme software e identità digitale Roberto Gaffuri - 27 marzo 2017

TITOLO:...Sistemista. DURATA TOTALE:...XXX ore

Istituto Comprensivo Statale 10 Vicenza. Provincia di VI. Documento Programmatico sulla Sicurezza ALLEGATO B. Adozione delle Misure di Sicurezza

Competenze digitali Scheda per l'autovalutazione

Strumenti e metodi per la Continuità Operativa ed il Disaster Recovery

DOCUMENTO PROGRAMMATICO sulla SICUREZZA Rev. 0 Data MISURE IN ESSERE E DA ADOTTARE

Obblighi di controllo dei Fornitori esterni. EUDA Applicazioni sviluppate dall utente finale

PROGRAMMA DEL CORSO MASTER IN TECNICO HARDWARE E SOFTWARE

Non rischiate, scegliete la miglior soluzione per client desktop e portatili CLIENT SECURITY

CONVENZIONE PER LA PREVENZIONE DEI CRIMINI INFORMATICI SUI SISTEMI INFORMATIVI CRITICI DI ACEA S.P.A.

GE1412. Specifiche Tecniche del Servizio di Manutenzione. Hardware e Software

GESTORE DEL SISTEMA QUALITA AZIENDALE

Manutenzione del computer a livello software e tecniche di protezione anti malware Bologna - 26 novembre Elena Camerin

Sample test Informatica Giuridica modulo: Protezione dati personali: Privacy e Sicurezza

SGSI CERT CSP POSTE ITALIANE

Indice. Introduzione. Capitolo 1 Introduzione a Windows Server Edizioni di Windows Server

Sistemi di identificazione elettronica Il Regolamento europeo. 910/2014 (eidas) quali opportunità per l economia del Paese SENATO DELLA REPUBBLICA

Colin & Partners. Business Unit e Servizi

SISTEMI E APPLICAZIONI PER L AMMINISTRAZIONE DIGITALE

Introduzione alla ISO/IEC 27001

Il Ruolo del referente ICT

InfoSec: non solo firewall e antivirus. Massimo Grandesso

PROTEGGI IL TUO BUSINESS OVUNQUE TI CONDURRÀ. Protection Service for Business

La normativa italiana sull accessibilità

SICUREZZA IT CON IL PILOTA AUTOMATICO Policy Manager

TECNOLOGIE DELL INFORMAZIONE E DELLA COMUNICAZIONE PER LE AZIENDE

Obblighi di controllo dei Fornitori esterni. Rischio tecnologico

Mozy Backup Desktop DATI PROTETTI E SEMPRE A DISPOSIZIONE NEL CLOUD TNOTICE, LA RACCOMANDATA ELETTRONICA

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

Piano Triennale di Informatizzazione delle Procedure COMUNE DI SALIZZOLE (VR) Ricognizione della situazione esistente

Università degli Studi di Parma Dipartimento di Fisica La sicurezza aziendale a 360 Il problema della sicurezza aziendale

COME PROTEGGERE L AZIENDA NELL ERA DEL RANSOWMARE? Claudio Panerai, CTO

NOTA: I prezzi disponibili non sono comprensivi di IVA né di costi di Setup* SERVIZI CLOUD. IntactMail Posta Sicura

Presidenza del Consiglio dei Ministri Autorità Nazionale per la Sicurezza CESIS III Reparto U.C.Si.

La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

Tecnico installatore e manutentore di reti locali

Giudizio di conformità sugli adempimenti richiesti BOZZA

l assistenza tecnica professionale per la tua azienda

Le Politiche di Sicurezza. Angelo BIANCHI

NON CLASSIFICATO COMANDO C4 DIFESA. La struttura CDC del Comando C4D Prospettive ed evoluzione. Gen. B. CASTELLI Comandante C4Difesa

LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI A TUTELA DEL PATRIMONIO AZIENDALE

Ottimizziamo il flusso di lavoro aziendale ed abbattiamo i costi di gestione mediante l uso di tecnologie adeguate.

GRUPPO HERA: INTEGRAZIONE DEL CYBER RISK NELL APPROCCIO ERM. Cybersecurity Summit 2016 Milano 24 maggio 2016

Corsi d'informatica. La formazione quale elemento indispensabile per lo sviluppo. Schede Corsi Serali

e, per conoscenza, Vicario del Direttore generale

mappa della COMPETENZA DIGITALE

Due certezze necessarie nei rapporti con la pubblica amministrazione digitale: la sicurezza dei documenti e il riconoscimento del cittadino.

Digistat Asset Management

Risultati, cioè attenzione ai risultati.

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

InfoCamere: Sicurezza degli asset digitali delle CCIAA italiane. Enrico Notariale 14/12/2017

Transcript:

AgID per la Cybersecurity della Pubblica Amministrazione Le Misure Minime di sicurezza ICT per le Pubbliche amministrazioni Corrado Giustozzi Agenzia per l Italia Digitale -PA Security Summit Roma, 8 giugno 2017 La CyberSecurity nel modello ICT per la PA Il ruolo dei e di AgID nella gestione della sicurezza Elementi strategici norme regole tecniche e misure minime risk assessment linee guida monitoraggio early warning risposta ripristino PA verifiche CS - KDB Corrado Giustozzi 1

Il ruolo di AgID nel QSN Regole tecniche e linee guida Protezione del patrimonio informativo Razionalizzazione dei CED Servizi erogati dalle Pubbliche Amministrazioni Formazione -PA Il ruolo del -PA ENISA NSC NCIRC Monitoraggio Allertamento Supporto Coordinamento CNAIPIC NAZIONA- LE Community -PA LOCALE -PA DICASTE- RO DIFESA GARR Operazione Segnalazione MINISTERI 17 AGENZIE 3 ENTI PUBBLICI 4 REGIONI 20 ULS/SOC CITTÀ METROPOLITANE 8 Altre strutture Constituency -PA Corrado Giustozzi 2

I servizi del -PA Information Sharing 3 2 Formazione e Awareness Informative 16 4 Supporto al Risk Mapping PAC 15 1 Accreditamento e Linee Guida Monitoraggio Preparazione e Prevenzione 5 Security Assessment e Consulenza Ticketing 6 Regioni Ripristino Rilevazione 14 Analisi postincidente e coordinamento Processo IRPA Threat Intelligence 7 13 Monitoraggio Risposta Analisi Correlazione 8 Città metropolitane Supporto Analisi Incidente 12 Coordinamento 11 Triage & Escalation 10 9 Tutto il resto (.gov.it) Le Misure Minime di sicurezza Già anticipate via Web sin da settembre 2016 Emesse con circolare 18 aprile 2017, n. 2/2017 Gazzetta Ufficiale (SG) n.103 del 5/5/2017 Adozione obbligatoria entro il 31/12/2017 Dovere d ufficio del Dirigente responsabile IT (art. 17 CAD) Corrado Giustozzi 3

I razionali: la situazione nella PA Sicurezza basata sulle tecnologie Mancanza di strutture organizzative in grado di gestire gli eventi e rispondere agli attacchi Superficie d attacco eccessiva Mancanza di una baseline comune di riferimento I livelli di applicazione Minimo Standard Avanzato È quello al quale ogni pubblica amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme. Può essere assunto come base di riferimento nella maggior parte dei casi. Deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni. Corrado Giustozzi 4

Le modalità di applicazione Il raggiungimento di elevati livelli di sicurezza, quando è molto elevata la complessità della struttura e l eterogeneità dei servizi erogati, può essere eccessivamente oneroso se applicato in modo generalizzato. Pertanto ogni Amministrazione dovrà avere cura di individuare al suo interno gli eventuali sottoinsiemi, tecnici e/o organizzativi, caratterizzati da omogeneità di requisiti ed obiettivi di sicurezza, all interno dei quali potrà applicare in modo omogeneo le misure adatte al raggiungimento degli obiettivi stessi. Le famiglie di controlli ABSC 1 (CSC 1): inventario dei dispositivi autorizzati e non autorizzati ABSC 2 (CSC 2): inventario dei software autorizzati e non autorizzati ABSC 3 (CSC 3): proteggere le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server ABSC 4 (CSC 4): valutazione e correzione continua della vulnerabilità ABSC 5 (CSC 5): uso appropriato dei privilegi di amministratore ABSC 8 (CSC 8): difese contro i malware ABSC 10 (CSC 10): copie di sicurezza ABSC 13 (CSC 13): protezione dei dati Corrado Giustozzi 5

ABSC 1 (CSC 1): inventario dei dispositivi autorizzati e non autorizzati Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l inventario) in modo che l accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro impedito l accesso Inventario delle risorse Logging Autenticazione di rete ABSC 2 (CSC 2): inventario dei software autorizzati e non autorizzati Gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla rete in modo che sia installato ed eseguito solo software autorizzato, mentre il software non autorizzato e non gestito sia individuato e ne venga impedita l installazione o l esecuzione Inventario dei software autorizzati Whitelist delle applicazioni autorizzate Individuazione di software non autorizzato Isolamento delle reti (air-gap) Corrado Giustozzi 6

ABSC 3 (CSC 3): proteggere le configurazioni di hardware e software sui dispositivi Istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni. Configurazioni standard Accesso amministrativo da connessioni protette Verifica dell integrità dei file critici Gestione delle configurazioni ABSC 4 (CSC 4): valutazione e correzione continua della vulnerabilità Acquisire, valutare e intraprendere continuamente azioni in relazione a nuove informazioni allo scopo di individuare vulnerabilità, correggere e minimizzare la finestra di opportunità per gli attacchi informatici. Verifica delle vulnerabilità Aggiornamento dei sistemi Corrado Giustozzi 7

ABSC 5 (CSC 5): uso appropriato dei privilegi di amministratore Regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi. Limitazione dei privilegi delle utenze amministrative Inventario delle utenze amministrative Gestione delle credenziali delle utenze amministrative ABSC 8 (CSC 8): difese contro i malware Controllare l installazione, la diffusione e l esecuzione di codice maligno in diversi punti dell azienda, ottimizzando al tempo stesso l utilizzo dell automazione per consentire il rapido aggiornamento delle difese, la raccolta dei dati e le azioni correttive. Sistemi di protezione (antivirus, firewall, IPS) Uso dei dispositivi esterni Controllo dei contenuti Web, email Corrado Giustozzi 8

ABSC 10 (CSC 10): copie di sicurezza Procedure e strumenti necessari per produrre e mantenere copie di sicurezza delle informazioni critiche, così da consentirne il ripristino in caso di necessità. Backup e verifica del restore Protezione delle copie di backup ABSC 13 (CSC 13): protezione dei dati Processi interni, strumenti e sistemi necessari per evitare l esfiltrazione dei dati, mitigarne gli effetti e garantire la riservatezza e l integrità delle informazioni rilevanti Uso della crittografia Limitazioni sull uso di dispositivi removibili Controlli sulle connessioni di rete/internet Corrado Giustozzi 9

Risorse on line Sui siti Web di AgID e del -PA sono disponibili: la normativa i moduli in formato elettronico editabile Riferimenti: www.agid.gov.it www.cert-pa.it Il Paese che cambia passa da qui. agid.gov.it Corrado Giustozzi 10

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back