Il Piano Nazionale per la Sicurezza ICT nella PA

Documenti analoghi
La certificazione della sicurezza di sistemi e prodotti ICT

La certificazione della sicurezza ICT

Istituzione del Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni

Coordinamento organizzativo nazionale dei Manager didattici per la qualità

Proposta per l organizzazione della Sicurezza Informatica dell ISTI

Protocollo elettronico e forniture ASP: esperienze, ostacoli, opportunità

Attività conto terzi dell Organismo di Certificazione della Sicurezza Informatica Indicazioni economiche

La sicurezza globale delle informazioni e la certificazione: ambiti di applicazione

Programma Triennale per la Trasparenza e l Integrità

Business Continuity: criticità e best practice

Requisiti di sistema per la costituzione del fascicolo informatico

1 NdR: Si riporta il comma 7-bis dell art. 59 del D. Lgs. n. 82/2005, aggiunto dall art. 25 del D. Lgs. 4 aprile 2006, n.

SOGEI E L AGENZIA DELLE ENTRATE

PERCORSO VERSO UN SISTEMA DI GESTIONE INTEGRATO. DIRETTORE ORGANIZZAZIONE SISTEMI E SERVIZI Nicola De Iorio Frisari Verona 21/04/2017

Proposte per superare gli aspetti critici della dematerializzazione

La valutazione della sicurezza

Analisi, revisione e implementazione di un modello organizzativo in Qualità nello Studio Legale

DIREZIONE GENERALE DIRITTI DI CITTADINANZA E COESIONE SOCIALE SETTORE RICERCA, INNOVAZIONE E RISORSE UMANE BELVEDERE KATIA

La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

DISPOSIZIONI IN MATERIA DI OFFERTA FORMATIVA REGIONALE NELL AMBITO DEI CONTRATTI DI APPRENDISTATO DI CUI AL D. LGS. 167/2011

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

REGOLAMENTO (UE) N. 1078/2012 DELLA COMMISSIONE

CONSERVAZIONE DIGITALE

Centro di economia regionale, dei trasporti e del turismo

La formazione dei professionisti sanitari nel quadro della riforma didattica

La certificazione di 3^ parte dei Sistemi di Gestione Stefano PROCOPIO

Centro di Servizi InfoSapienza Regolamento Organizzativo (DR n del 29/07/2011)

Lunedì 5 Novembre a cura di Federico Barcherini (Managing Partner COVECO Srl) Consulenza e Formazione all impresa e ai suoi uomini

INDICE CAPITOLO 1: NORMAZIONE, CERTIFICAZIONE E ACCREDITAMENTO... 15

Articolazioni organizzative che si occupano di sicurezza alimentare auditate:

Seminari / Corsi / Percorsi formativi INDICE

CONVENZIONE PER LA PREVENZIONE DEI CRIMINI INFORMATICI SUI SISTEMI INFORMATIVI CRITICI DI ACEA S.P.A.

"Organizzazione del lavoro, Responsabilità amministrativa degli enti ed efficacia esimente ai sensi dell'art. 30 dlgs 81/08: l'importanza

Direzione Mercati Autorità per l energia elettrica e il gas Roma, Sede Acquirente Unico 30 settembre 2011

Ferservizi S.p.A. Piano Industriale

L Agenda Digitale Italiana

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

CORSO DI AUDITOR INTERNO ED ESTERNO

LA CERTIFICAZIONE E GLI ORGANISMI DI CERTIFICAZIONE

CLAUDIO GAETANO DISTEFANO. Roma - 24 maggio 2016

PEC POSTA ELETTRONICA CERTIFICATA. C.R.I Servizio 4 Informatica - Ufficio Coordinamento Infrastrutture, Sistemi & Applicativi ICT 1

PROCEDURA GESTIONE RECLAMI RICORSI E CONTENZIOSI SOMMARIO

I s is temi di ges tione ambientale (SGA)

30 dicembre 2010, n.235)

La sicurezza nella PA: dati e considerazioni

Centro di ricerche sulla gestione dell'assistenza sanitaria e sociale

Il Ruolo del referente ICT

Regione Lazio. Atti della Giunta Regionale e degli Assessori 30/07/ BOLLETTINO UFFICIALE DELLA REGIONE LAZIO - N. 61

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

Strumenti e metodi per la Continuità Operativa ed il Disaster Recovery

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DOCUMENTO PROGRAMMATICO

L Ente italiano di accreditamento

REGOLAMENTO SULL ORDINAMENTO

CAPITOLO 7 GESTIONE DEI PROCESSI

La funzione antiriciclaggio nel sistema di controllo interno: ruolo, responsabilità e rendicontazione delle attività svolte

Progetto Performance PA SPENDING REVIEW

Comune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000

LA LEGGE DI STABILITA 2016: LE DISPOSIZIONI IN TEMA DI APPALTI PUBBLICI. a cura di Fabiano Crovetti

Regione Lazio. Decreti del Commissario ad Acta. 16/08/ BOLLETTINO UFFICIALE DELLA REGIONE LAZIO - N Supplemento n. 2 Pag.

La Qualità. nei Laboratori Chimici delle Dogane. Prestigio della tradizione e valorizzazione della competenza

I Sistemi di Gestione della Sicurezza e la Certificazione BS OHSAS 18001

Identità digitale e relativi servizi: sicurezza e verifiche sui sistemi ICT

«Decreto sugli enti di certificazione»

LA PRESIDENZA DEL CONSIGLIO DEI MINISTRI - DIPARTIMENTO PER LA PROGRAMMAZIONE ED IL COORDINAMENTO DELLA POLITICA ECONOMICA

AGENZIA PER L ITALIA DIGITALE

PROTOCOLLO D INTESA FRA REGIONE LOMBARDIA MINISTERO DELL ISTRUZIONE, DELL UNIVERSITÀ E DELLA RICERCA MINISTERO DEL LAVORO E DELLE POLITICHE SOCIALI

I SISTEMI DI GESTIONE PER IL MIGLIORAMENTO DELLE CONDIZIONI DI SALUTE E SICUREZZA

Posta elettronica certificata: nasce l'indice nazionale degli indirizzi Decreto Ministero Sviluppo economico , G.U

SCHEMA DI PROTOCOLLO D INTESA TRA

VI Forum Centri Servizi Digitali. Le firme elettroniche nel CAD La firma grafometrica Milano, 20 giugno 2013

[RAGIONE SOCIALE AZIENDA] [Manuale Qualità]

LA SICUREZZA NEL CANTIERE EDILE ALLA LUCE DEL D. Lgs. 81/08

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS (Information Security Management Systems) AUDITOR / RESPONSABILI GRUPPO DI AUDIT

BANDO FORMAZIONE CONTINUA ANNO 2015/16 IV^ FINESTRA

MODALITÀ DI ACQUISIZIONE DEL SOFTWARE APPLICATIVO

La dematerializzazione dei documenti:

Concetti generali e introduzione alla norma UNI EN ISO 9001/2008

Marco Cinquegrani. Capo della Segreteria Tecnica del Ministro. Roma, 14 aprile 2007

GESTORE DEL SISTEMA QUALITA AZIENDALE

Dal GovCERT al CERT-SPC-C. SPC e la Sicurezza nella PA Italiana Roma, 27 maggio Gianluigi Moxedano GovCERT-CNIPA

STRUMENTI PER COMPETERE: IL DISCIPLINARE TECNICO CERTIFICATO LINEE GUIDA

Ordinanza n. 47 del 4 Agosto 2016

INTEGRAZIONE E AGGIORNAMENTO DEI SISTEMI DI GESTIONE (QUALITA, SICUREZZA, AMBIENTE)

Il ruolo del commercialista

I modelli di processo

PROTOCOLLO INFORMATICO E TRASPARENZA: LE INIZIATIVE DEL GOVERNO

Provincia di Cosenza

Relazione introduttiva ALLEGATO A CIG : C.U.P. : B34C Allegato A: Relazione introduttiva Pag. 1

Obblighi di controllo dei Fornitori esterni. EUDA Applicazioni sviluppate dall utente finale

LA GESTIONE DELLA SICUREZZA NELLE ORGANIZZAZIONI PRODUTTIVE

PROTOCOLLO D'INTESA TRA. Ministero dell Istruzione, dell Universita e della Ricerca (di seguito denominato MIUR)

La trasmissione di documenti informatici mediante la posta elettronica certificata: fondamenti giuridici e regole tecniche. D.P.R. n.

I sistemi di gestione della salute e sicurezza sul lavoro. La norma OHSAS 18001

DONDENA. Centro permanente di ricerca Permanent research centre. acronimo. denominazione. oggetto di attività 1/6

DIRITTO AMMINISTRATIVO E APPALTI:

La continuità operativa in INPS L esperienza del CUB Dionigi Spadaccia CIO

PROTOCOLLO D INTESA TRA REGIONE EMILIA-ROMAGNA. (di seguito Regione)

ALMA MATER STUDIORUM - UNIVERSITÀ DI BOLOGNA

Abstract: the Italian Certification Body in the field

Transcript:

Il Piano Nazionale per la Sicurezza ICT nella PA Seminario di formazione e sensibilizzazione dei Dirigenti Generali della Pubblica Amministrazione in materia di sicurezza ICT

Comitato Tecnico Nazionale sulla sicurezza ICT nelle PA (1) Previsto dalla Direttiva del 16 gennaio 2002 sulla sicurezza ICT nella PA, emanata dal Ministro per l Innovazione e le Tecnologie, di intesa con il Ministro delle Comunicazioni Istituito il 24 luglio 2002 con decreto dei due suddetti Ministri Composto inizialmente da cinque membri poi portati a sette 3 membri (tra cui il Presidente) nominati dal Min. delle Comunicazioni 4 membri nominati dal Ministro per l Innovazione e le Tecnologie Membri: C. Manganelli (Presidente), L. Angelone, F. Berghella, D. Bruschi, F. Guida, C. Sarzana di S. Ippolito, G. Tonelli Scadenza mandato: fine legislatura

Comitato Tecnico Nazionale sulla sicurezza ICT nelle PA (2) COMPITI Formula proposte strategiche ai fini dello sviluppo: del Piano Nazionale di sicurezza ICT per la PA, del quale verifica annualmente lo stato di avanzamento e individua le azioni correttive del Modello Organizzativo di sicurezza ICT per la PA, del quale verifica l attivazione e l applicazione della certificazione della sicurezza ICT nella PA della formazione dei dipendenti pubblici in tema di sicurezza ICT

Comitato Tecnico Nazionale sulla sicurezza ICT nelle PA Documenti di riferimento predisposti dal Comitato 1. Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione Marzo 2004 2. Linee guida per la certificazione di sicurezza ICT nella Pubblica Amministrazione Gennaio 2006

Gruppo di lavoro per lo sviluppo del PN e del MO Istituito su iniziativa del CNIPA Coordinatore: C. Sarzana di S. Ippolito Membri del Comitato Tecnico Nazionale sulla sicurezza ICT nelle PA: D. Bruschi, F. Guida, G. Tonelli (oltre al Coordinatore) Membri del CNIPA: G. Manca, G. Moxedano, G. Pontevolpe, M. Pucciarelli, G. Rellini Lerz, M. Terranova Membri del Dip. per l Innovazione Tecnologica: V. Merola Membri del Ministero delle Comunicazioni: L. Franchina, G. L. Petrillo

Piano Nazionale e Modello Organizzativo Piano Nazionale della sicurezza delle tecnologie dell informazione e comunicazione della pubblica amministrazione Stabilisce le azioni necessarie per attuare la sicurezza informatica Modello Organizzativo Nazionale di sicurezza ICT per la pubblica amministrazione Definisce i processi e le strutture con cui le azioni previste nel Piano Nazionale possono essere attuate I due documenti saranno entro breve pubblicati dal CNIPA

Piano Nazionale: struttura (1) 1. Premessa 2. Sintesi del Piano Nazionale 3. Guida alla lettura 4. Strategia nazionale di sicurezza ICT 5. Iniziative in corso 6. Ulteriori interventi per la sicurezza ICT 7. L attuazione del piano nazionale 8. Conclusioni

Piano Nazionale: struttura (2) Appendici A. Linee guida per la valutazione dei rischi B. Situazione internazionale della certificazione di sicurezza per i sistemi e prodotti ICT C. I contratti relativi alla sicurezza informatica D. La business continuity E. Le verifiche secondo best practices F. Bibliografia normativa G. Glossario

Piano Nazionale: contenuti (1) STRATEGIA NAZIONALE DI SICUREZZA ICT Approccio che non si limita a considerare un analisi in termini di costi/benefici per la PA L analisi deve essere anche applicata, in termini non solo economici (es: tutela dei diritti e delle libertà del cittadino), all intero sistema paese

Piano Nazionale: contenuti (2) INIZIATIVE IN CORSO Adeguamento alla direttiva sulla sicurezza informatica L Organismo per la certificazione della sicurezza (OCSI presso ISCOM-Ministero Comunicaz.) L Unità di gestione degli incidenti (GovCERT.it presso CNIPA) L Unità di formazione (presso ISCOM-Min.Comunic.) Le iniziative internazionali (in particolare ENISA Agenzia europea per la sicurezza ICT)

Piano Nazionale: contenuti (3) ULTERIORI INTERVENTI PER LA SICUREZZA ICT La cultura della sicurezza La protezione delle informazioni gestite dalle amministrazioni L utilizzo delle certificazioni di sicurezza nelle PA Le infrastrutture di connessione condivise Il coordinamento nazionale della sicurezza ICT

Piano Nazionale: contenuti (4) L ATTUAZIONE DEL PIANO NAZIONALE Tempi e priorità Il processo di monitoraggio e verifica Gli audit di sicurezza La gestione del Piano Nazionale

Modello Organizzativo: struttura (1) 1. Scopo e struttura del documento 2. Riferimenti al piano nazionale della sicurezza ICT 3. Il coordinamento nazionale della sicurezza ICT 4. L Organizzazione di sicurezza delle amministrazioni 5. Le strutture per la certificazione della sicurezza ICT in Italia

Modello Organizzativo: struttura (2) Appendici A. Indicazioni per la gestione della sicurezza ICT B. Indicazioni per la gestione degli incidenti informatici C. Indicazioni per l outsourcing D. Gli aspetti etici della sicurezza informatica E. Esempi di procedure per la gestione della sicurezza F. I codici deontologici di riferimento G. Bibliografia normativa H. Glossario

Modello Organizzativo: contenuti (1) L ORGANIZZAZIONE DI SICUREZZA DELLE AMMINISTRAZIONI Logiche organizzative Strutture operative Ruoli e responsabilità I CERT-AM Principali ruoli Strutture per l emergenza Unità locale di Struttura di auditing sicurezza SPC Gli uffici e le responsabilità Gestione del personale per la sicurezza

Contenuti di particolare interesse per i dirigenti PA (1) Analisi dei rischi per le attività di propria competenza Ordinamento delle attività in base alla criticità in termini di possibili danni economici per per la PA e per la collettività indisponibilità di servizi impossibilità di beneficiare delle economie consentite dall automatizzazione di processi e servizi a causa di» scarsa affidabilità in termini di sicurezza ICT» scarsa fiducia da parte del cittadino (nel caso di servizi offerti in forma telematica) rispetto di norme di legge (ad es: norme a tutela del cittadino quali quelle sulla Privacy), con possibili riflessi in termini di responsabilità individuali

Contenuti di particolare interesse per i dirigenti PA (2) Gestione dei rischi per le attività di propria competenza Utilizzazione di un sistema di gestione della sicurezza affidabile (preferibilmente certificato) che rispecchi le indicazioni del PN e del MO e che preveda tra l altro l utilizzazione, per quanto possibile, di risorse umane interne all amministrazione, soprattutto per i delicati ruoli di gestione della sicurezza Formazione il ricorso oculato all outsourcing, secondo le indicazioni fornite nel Piano Nazionale e nel Modello Organizzativo, con l obiettivo di ridurre progressivamente tale ricorso man mano che la Formazione produce i suoi benefici - Acquisizione di sistemi ICT che offrano adeguate garanzie di sicurezza, preferibilmente nella forma di una vera e propria certificazione

Contenuti di particolare interesse per i dirigenti PA (3) ACQUISIZIONE DI SISTEMI ICT AFFIDABILI - Individuazione ed esplicitazione dei requisiti di sicurezza, almeno in termini di obiettivi, se non di funzionalità di sicurezza richieste (in quest ultimo caso, possibilmente secondo la forma di univoca interpretazione prevista dallo standard ISO 15408) - Certificazione di sicurezza preferenziale o obbligatoria dipendentemente dalla criticità del sistema ICT da acquisire

La sicurezza ICT in un Organizzazione Processo di gestione della sicurezza ICT (ISMS) Certificabile ISO 27001 (BS7799) Informazioni/beni da proteggere Sistemi/prodotti ICT Contromisure tecniche Certificabili ISO/IEC 15408 (Common Criteria) Analisi e gestione dei rischi Politiche di sicurezza (modello organizzativo, definizione requisiti per le contromisure tecniche e non tecniche, ecc.) Contromisure fisiche Pluralità di soggetti con diversi compiti e responsabilità Competenza certificabile secondo criteri quali CISSP/SSCP, CISA/CISM, ecc.)

Tipi di certificazione Oggetto certificato Processo di gestione della sicurezza ICT (ISMS) Sistema/prodotto ICT Competenza del personale Norme di riferimento ISO/IEC IS 27001 (BS7799:2) Common Criteria (ISO/IEC IS15408) ITSEC CISSP/SSCP, CISA/CISM, ecc.

Le entità in gioco Common Criteria/ITSEC ACCREDITATORE NORMA DI RIFERIMENTO FORNITORE/TITOLARE OGG. DA CERTIFICARE FRUITORE DEI SERVIZI FORNITI DALL OGGETTO CERTIFICATO BS7799 VALUTATORE CERTIFICATORE OGGETTO DA CERTIFICARE CERTIFICATO

Certificazione di prodotto/sistema ICT Le certificazioni in Italia regolate da DPCM Schema Nazionale del 1995 aggiornato nel 2002 (DPCM 11 aprile 2002 GU n. 131 del 6 giugno 2002) applicabile nel contesto della sicurezza interna e esterna dello Stato Ente di Certificazione/Accreditamento (EC): ANS/UCSi Centri di Valutazione (Ce.Va.): 3 privati, 2 pubblici (tra cui ISCOM) Schema Nazionale del 2003 (DPCM 30 ottobre 2003 GU n. 98 del 27 aprile 2004) applicabile in tutti i contesti non coperti dal primo Schema Organismo di Certificazione/Accreditamento (OCSI): ISCOM (Ministero Comunicazioni) che si avvale del supporto della Laboratori di Valutazione (LVS) accreditati dall OCSI

Certificazione della sicurezza di sistemi e prodotti ICT www.ocsi.gov.it Può essere eseguita con costi e tempi contenuti se ci si attiene alle indicazioni fornite nel citato documento del Comitato e nel Piano Nazionale Ulteriori indicazioni che facilitano le certificazioni nella PA è previsto siano fornite da OCSI e CNIPA nell ambito di una collaborazione che dovrebbe essere avviata entro breve

Conclusioni E fondamentale che i dirigenti della PA si convincano dell assoluta necessità di proteggere informazioni e servizi in modo proporzionato alla loro criticità Con una gestione corretta della sicurezza gli investimenti fatti vengono ampiamente ripagati dalla riduzione dei danni derivanti da incidenti informatici dalla realizzazione di economie, di entità anche notevole, nell ambito della PA e/o dell intero paese dall adeguata tutela dei diritti del cittadino

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back