Gazzetta n. 69 del 22 marzo 2002 (vai al sommario) |
PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO PER L'INNOVAZIONE E LE TECNOLOGIE |
DIRETTIVA 16 gennaio 2002 |
Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni. |
|
|
A tutte le amministrazioni dello Stato Alle aziende ed amministrazioni autonome dello Stato A tutti gli enti pubblici non economici nazionali
IL MINISTRO PER L'INNOVAZIONE E LE TECNOLOGIE di intesa con IL MINISTRO DELLE COMUNICAZIONI
Visto il decreto-legge 12 giugno 2001, n. 217, recante "Modificazione al decreto legislativo 30 luglio 1999, n. 300, nonche' alla legge 23 agosto 1988, n. 400, in materia di organizzazione del Governo", convertito, con modificazioni, dalla legge 3 agosto 2001, n. 317, ed in particolare l'art. 6 del decreto-legge; Visto il decreto del Presidente del Consiglio dei Ministri 9 agosto 2001, recante "Delega di funzioni del Presidente del Consiglio dei Ministri in materia di innovazione e tecnologie al Ministro senza portafoglio dott. Lucio Stanca"; Visto il decreto del Presidente del Consiglio dei Ministri 27 settembre 2001, recante "Istituzione del Dipartimento per l'innovazione e le tecnologie";
E m a n a la seguente direttiva:
Sicurezza nelle tecnologie dell'informazione e della comunicazione
Le informazioni gestite dai sistemi informativi pubblici costituiscono una risorsa di valore strategico per il governo del Paese; Questo patrimonio deve essere efficacemente protetto e tutelato al fine di prevenire possibili alterazioni sul significato intrinseco delle informazioni stesse. E' noto infatti che esistono minacce di intrusione e possibilita' di divulgazione non autorizzata di informazioni, nonche' di interruzione e di distruzione del servizio. Lo stesso processo di innovazione tecnologica produce da un lato strumenti piu' sofisticati di "attacco", ma d'altro lato idonei strumenti di difesa e protezione. Assume quindi importanza fondamentale valutare il rischio connesso con la gestione delle informazioni e dei sistemi. Inoltre per poter operare in un mondo digitale sempre piu' aperto, le pubbliche amministrazioni devono essere in grado di presentare credenziali di sicurezza nelle informazioni conformi agli standard internazionali di riferimento. Nell'ambito delle rispettive responsabilita' il Ministro per l'innovazione e le tecnologie ed il Ministro delle comunicazioni sono quindi chiamati ad interpretare il tema rischio-sicurezza non solo nell'ottica della riduzione della vulnerabilita', per garantire integrita' e affidabilita' dell'informazione pubblica, ma anche al fine di creare e mantenere una posizione primaria a livello europeo. Si raccomanda pertanto a tutte le pubbliche amministrazioni in indirizzo di avviare nell'immediato alcune azioni prioritarie tali da consentire il conseguimento di un primo importante risultato di allineamento ad una "base minima di sicurezza", attraverso: 1) una rapida autodiagnosi, sulla base dell'allegato 1, del livello di adeguatezza della Sicurezza informatica e delle telecomunicazioni (ICT), con particolare riferimento alla dimensione organizzativa operativa e conoscitiva della sicurezza; 2) l'attivazione delle necessarie iniziative per posizionarsi sulla "base minima di sicurezza", definita nell'allegato 2, che consenta di costruire con un approccio unitario e condiviso, le fondamenta della sicurezza della pubblica amministrazione. Tali fondamenta non pretendono di rappresentare una risposta completa ed esaustiva, ma vogliono fornire una serie di indicazioni tecnico-operative utili per avviare la pubblica amministrazione verso la concreta soluzione dei principali problemi di sicurezza e, nel contempo, gettare le basi per lo sviluppo di un vero e proprio sistema nazionale di sicurezza ICT della pubblica amministrazione. Nel frattempo a tal fine il Dipartimento per l'innovazione per le tecnologie della Presidenza del Consiglio dei Ministri ed il Ministero delle comunicazioni stanno promovendo la predisposizione del programma di azione del Governo per la sicurezza ICT da sottoporre alla attenzione delle pubbliche amministrazioni, articolato sulle seguenti linee: 1) promuovere la creazione e la successiva attivazione di un modello organizzativo nazionale di sicurezza ICT che comprenda tutti gli organi istituzionali, scientifici ed accademici deputati, ciascuno per il proprio ruolo, ad assicurare organicita' e completezza al tema sicurezza; 2) costituire un comitato nazionale della sicurezza ICT per indirizzare, guidare e coordinare le varie iniziative connesse con il raggiungimento degli standard di sicurezza che verranno definiti; 3) definire uno schema nazionale di riferimento della sicurezza sviluppando linee guida, direttive, standard, nonche' i processi di accreditamento e di certificazione; 4) formulare il piano nazionale della sicurezza ICT della pubblica amministrazione; 5) realizzare la certificazione di sicurezza ICT nella pubblica amministrazione. Data l'importanza ed attualita' del tema in oggetto e nella consapevolezza del grande impegno richiesto in termini di competenze e risorse da mobilitare si raccomanda tutte le pubbliche amministrazioni di agire con la massima priorita' ed urgenza per quanto riguarda le azioni immediate preventivamente descritte. Roma, 16 gennaio 2002 Il Ministro per l'innovazione e le tecnologie: Stanca
Registrato alla Corte dei conti il 26 febbraio 2002 Ministeri istituzionali, Presidenza del Consiglio dei Ministri, registro n. 2, foglio n. 201 |
| Allegato 1 La Sicurezza Informatica e delle Telecomunicazioni (ICT Security)
VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione
Allegato 1
gennaio 2002
Note sul questionario di Auto - diagnosi - Il questionario ha lo scopo di guidare l'Amministrazione nel processo di auto-valutazione del proprio livello di sicurezza, rispetto alla base minima raccomandata. - I risultati dell'auto-valutazione sono proprieta' riservata dell'Amministrazione, la quale e' libera di decidere come utilizzarli. - Il questionario e' stato impostato al fine di consentire un processo operativo affidabile e rapido. A tale scopo sono state definite sei schede, una per ciascuna delle aree chiave della sicurezza: Policy, Ruoli e Responsabilita', Norme e Procedure, Amministrazione della Sicurezza, Analisi del Rischio, Formazione e Sensibilizzazione. Ogni scheda comprende una lista di modalita' operative, una guida alle domande che dovrebbero essere poste e un insieme di possibili risposte (1,2,3,4) nell'ambito delle quali ci dovrebbe essere quella maggiormente coerente con la situazione riscontrata. - Valutare la scheda comporta semplicemente selezionare una delle 4 possibili risposte predefinite su ciascuna delle 6 schede.
Policy della Sicurezza
-------------------------------------------------------------------- Obiettivo: Ci dovrebbe essere una appropriata Policy di sicurezza informatica
Tick Passi suggeriti Commenti ( ) Ottenere e valutare il documento di policy ( ) Intervistare alcuni responsabili per verificare l'adeguatezza della policy per supportare la sicurezza ( ) Considerare la rilevanza della policy per l'attivita' dell'Amministrazione -------------------------------------------------------------------- Tick Considerazioni di valutazione Commenti ( ) La policy indirizza sia la sicurezza informatica che quella informativa? ( ) Fornisce una base per gli obiettivi di sicurezza e di continuita'? ( ) Fornisce una base sufficiente per realizzare la sicurezza? ( ) Fornisce una base sufficiente per misurare la coerenza della sicurezza alla policy? ( ) L'amministrazione supporta adeguatamente il rispetto delle policy? -------------------------------------------------------------------- Val. Conclusioni Commenti ( ) 1. La policy e' formalizzata e completa ( ) 2. La policy esiste e puo' essere migliorata ( ) 3. La sicurezza e' solo parzialmente e indirettamente indirizzata dalla policy ( ) 4. Non esiste alcuna policy --------------------------------------------------------------------
---------- Tick: apporre l'indicazione (x) di effettuazione del passo suggerito e del tipo di considerazione Val.: apporre la cifra (1, 2, 3 o 4) corrispondente al rating valutato piu' opportuno
Ruoli e Responsabilita'
-------------------------------------------------------------------- Obiettivo: Le Responsabilita' della sicurezza informatica dovrebbero essere formalmente descritti ed efficacemente implementati
Tick Passi suggeriti Commenti ( ) Intervistare i ruoli utente sulla loro consapevolezza circa le responsabilita' della sicurezza in azienda ( ) Rivedere le job description per verificare la presenza di specifiche responsabilita' sulla sicurezza ( ) Verificare la documentazione relativa ad analisi del rischio, a classificazioni e ad autorizzazioni per valutare le responsa- bilita' esercitate -------------------------------------------------------------------- Tick Considerazioni di valutazione Commenti ( ) I Proprietari richiedono/sviluppano analisi del rischio e classificazioni delle risorse? ( ) Autorizzano chiaramente i privilegi di accesso ai dati? ( ) Hanno la responsabilita' sulla sicurezza chiaramente specificata? ( ) Autorizzano gli investimenti in sicurezza? -------------------------------------------------------------------- Val. Conclusioni Commenti ( ) 1. Le responsabilita' sulla sic.zza sembrano essere specificate e suff.nte implementate ( ) 2. Le responsabilita' non sono documentate ma sembrano essere ragionevolmente applicate in pratica ( ) 3. Le responsabilita' sono documentate ma sembrano inefficaci ( ) 4. Le responsabilita' non esistono --------------------------------------------------------------------
----------- Tick: apporre l'indicazione (x) di effettuazione del passo suggerito e del tipo di considerazione Val.: apporre la cifra (1, 2, 3 o 4) corrispondente al rating valutato piu' opportuno
Norme e Procedure
-------------------------------------------------------------------- Obiettivo: Un insieme organico di norme e procedure dovrebbe fornire una guida efficace all'utilizzo e allo sviluppo sicuro del sistema ICT
Tick Passi suggeriti Commenti ( ) Ottenere informazioni e documenti sulle metodologie di sviluppo e gestione dei sistemi informatici ( ) Valutare la completezza degli standard di sicurezza informatica ( ) Valutare l'esistenza, l'utilizzo, il rispetto e l'adeguatezza delle norme di sicurezza -------------------------------------------------------------------- Tick Considerazioni di valutazione Commenti ( ) Gli standard e le procedure di IT considerano le implicazioni di sicurezza? ( ) Gli standard e le procedure e le norme di sicurezza sono aggiornate? ( ) Le risorse sono classificate in base alla loro sensitivita'? ( ) La sicurezza informatica e' considerata in tutte le fasi del ciclo di vita delle applicazioni? -------------------------------------------------------------------- Val. Conclusioni Commenti ( ) 1. Norme e procedure sono formalizzate e sembrano essere complete e attuali ( ) 2. Esistono ma devono essere significativamente migliorate ( ) 3. Esistono ma a livello informale o non documentate ( ) 4. Non esistono --------------------------------------------------------------------
----------- Tick: apporre l'indicazione (x) di effettuazione del passo suggerito e del tipo di considerazione Val.: apporre la cifra (1, 2, 3 o 4) corrispondente al rating valutato piu' opportuno
Amministrazione della Sicurezza
-------------------------------------------------------------------- Obiettivo: L'Organizzazione della Funzione Sicurezza Informatica dovrebbe avere un adeguato numero di Professionalita' con il compito di amministrare la sicurezza informatica
Tick Passi suggeriti Commenti ( ) Intervistare gli amministratori della sicurezza: funzioni, background, attivita', ecc.... ( ) Valutare la copertura delle posizioni rispetto a quantita' e qualita' ( ) Valutare la coerenza delle attivita' svolte rispetto alla missione ( ) Valutare i ruoli aziendali coinvolti e l'interazione tra di essi -------------------------------------------------------------------- Tick Considerazioni di valutazione Commenti ( ) Sono individuati chiaramente i ruoli interni/esterni (utenti) e le relazioni tra i due? ( ) Esistono regole chiare e conosciute sulla richiesta, modifica, attivazione ed estinzione delle abilitazioni? ( ) Esistono e sono implementati adeguati strumenti per la configurazione centralizzata delle utenze/privilegi? ( ) Esistono e sono configurati sistemi di controllo accessi alle risorse? ( ) Esistono e sono aggiornati sistemi di gestione antivirus ( ) Esistono e sono operativi sistemi di gestione del back-up e recovery ( ) Esistono e sono operative strutture di gestione degli incidenti (gruppi di risposta) -------------------------------------------------------------------- Val. Conclusioni Commenti ( ) 1. L'amministrazione della sicurezza risulta ben presidiata e operativamente efficiente ( ) 2. L'amministrazione e' impropriamente presidiata ma appare essere oper.ente efficiente ( ) 3. Le responsabilita' sono assegnate ma la funzione e' solo parzialmente efficiente ( ) 4. L'amministrazione e' inefficiente -------------------------------------------------------------------- ------- Tick: apporre l'indicazione (x) di effettuazione del passo suggerito e del tipo di considerazione Val.: apporre la cifra (1, 2, 3 o 4) corrispondente al rating valutato piu' opportuno
Analisi del Rischio
-------------------------------------------------------------------- Obiettivo: Ci dovrebbe essere un efficace e tempestiva analisi delle minacce potenziali e del loro impatto sulla sicurezza delle informazioni critiche
Tick Passi suggeriti Commenti ( ) Identificare e rivedere le analisi del rischio piu' recenti ( ) Considerare il livello e l'impatto dei rischi individuali ( ) Discutere le procedure di analisi e valutazione del rischio utilizzate ( ) Valutare i piani d'azione generati dall'analisi -------------------------------------------------------------------- Tick Considerazioni di valutazione Commenti ( ) L'analisi del rischio copre tutte le risorse informatiche? ( ) L'analisi considera tutte le minacce ragionevolmente probabili? ( ) Il personale della sicurezza informatica e i Referenti applicativi sono coinvolti? ( ) Sono stimati gli impatti sul business? ( ) Sono valutati i costi/benefici delle contromisure suggerite? ( ) E' valutata la riduzione di rischio conseguente? -------------------------------------------------------------------- Val. Conclusioni Commenti ( ) 1. Le analisi del rischio sono periodicamente eseguite ( ) 2. Le analisi del rischio sono eseguite ma sono superate ed hanno un obiettivo ristretto ( ) 3. Il rischio e' stato informalmente considerato ( ) 4. Non c'e' analisi del rischio --------------------------------------------------------------------
--------- Tick: apporre l'indicazione (x) di effettuazione del passo suggerito e del tipo di considerazione Val.: apporre la cifra (1, 2, 3 o 4) corrispondente al rating valutato piu' opportuno
Sensibilizzazione e Formazione
-------------------------------------------------------------------- Obiettivo: Consapevolezza e sensibilizzazione sulla sicurezza dovrebbero essere sviluppati attraverso efficaci programmi di formazione a tutti i livelli dell'Organizzazione
Tick Passi suggeriti Commenti ( ) Intervistare alcuni Responsabili per determinare se viene fornito uno specifico training sulla sicurezza ( ) Rivedere il materiale di training ( ) Rivedere i programmi e le procedure di formazione -------------------------------------------------------------------- Tick Considerazioni di valutazione Commenti (3) E' richiesto al personale di firmare un accordo di riservatezza sulle informazioni? (4) Il personale riceve periodicamente un bollettino sulla sicurezza o altro materiale? (4) Esistono programmi di sensibilizzazione e formazione? (4) La consapevolezza sulla sicurezza sembra ragionevolmente diffusa? -------------------------------------------------------------------- Val. Conclusioni Commenti ( ) 1. Sono impiegati programmi di sensibilizzazione e formazione ( ) 2. Il materiale disponibile puo' essere sensibilmente migliorato ( ) 3. Non c'e' un programma di training ma esiste una certa consapevolezza ( ) 4. Non esiste consapevolezza --------------------------------------------------------------------
-------------- Tick: apporre l'indicazione (x) di effettuazione del passo suggerito e del tipo di considerazione Val.: apporre la cifra (1, 2, 3 o 4) corrispondente al rating valutato piu' opportuno Quadro di Valutazione Esempio
SECURITY MANAGEMENT CONCLUSIONI Adeguato Non adeguato --------------- 1. POLICY 1 (2) 3 4 2. RUOLI/RESPONSABILITA' 1 2 (3) 4 3. NORME/PROCEDURE 1 2 (3) 4 4. AMMINISTRAZIONE 1 2 (3) 4 5. ANALISI DEL RISCHIO 1 2 3 (4) 6. SENSIBILIZZAZIONE E FORMAZIONE 1 (2) 3 4 |
| Allegato 2
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security)
BASE MINIMA DI SICUREZZA
Allegato 2
GENNAIO 2002
Scopo del documento e' di fornire (nell'ambito del contesto normativo attuale), alcune indicazioni per assistere i Ministeri nell'individuazione delle misure di protezione che debbono essere realizzate e gestite con assoluta priorita', al fine di supportare le Amministrazioni sia nell'applicazione degli adempimenti normativi di riferimento (es 675-318) sia nel contrastare eventuali potenziali minacce. Le prime soluzioni di sicurezza proposte in questo documento hanno sia la caratteristica di propedeuticita' realizzativa rispetto a quelle che verranno inserite successivamente nel piano complessivo, sia la peculiarita' di rappresentare uno strato di base per la protezione dei sistemi ICT. Tale strato non rappresenta certamente una soluzione completa e definitiva della sicurezza ma costituisce comunque una significativa barriera di protezione sulla quale implementare successivamente altre contromisure. Piu' in dettaglio si tratta, per le Amministrazioni, di definire, progettare e realizzare, nell'arco temporale orientativo di 12 mesi, le seguenti misure.
1. ORGANIZZAZIONE DELLA SICUREZZA
Per assicurare che le contromisure individuate (qualunque siano, dalle politiche a quelle tecnologiche) possano effettivamente essere rese operative, e' indispensabile integrare la struttura organizzativa esistente con una rete di responsabilita' specifiche sulla sicurezza e condividere una serie di principi e regole che devono guidare la corretta gestione della sicurezza. La politica generale dell'amministrazione e' di considerare e trattare le informazioni ed i servizi come parte integrante del Patrimonio; e' quindi intenzione dell'Amministrazione garantire, in analogia a quanto avviene per le altre attivita', il corretto svolgimento delle azioni di prevenzione, protezione e contrasto tramite la definizione delle seguenti logiche organizzative: Presidio Globale: Sicurezza, analisi del rischio, controllo delle informazioni/servizi critici sono concetti che stanno assumendo una importanza sempre maggiore. Deve essere quindi assicurata una visione unitaria e strategica a livello di Amministrazione in grado di valutare sia il rischio operativo complessivo sia le necessarie misure di sicurezza predisponendo: a: l'istituzione un apposito "Comitato per la sicurezza ICT"; b: la nomina di un "Consigliere Tecnico" per la Sicurezza ICT in diretto affiancamento al Ministro per tale materia.
Corretta Responsabilizzazione: la valutazione del rischio e la realizzazione della sicurezza necessaria devono essere garantite dai ruoli dell'Amministrazione che hanno a disposizione le effettive leve di responsabilita' e di autonomia/delega, nonche' di conoscenza dell'operativita' per prendere decisioni chiave quali: classificare e valorizzare il bene, riconoscere un certo grado di esposizione al rischio, definire un conseguente livello di protezione, monitorare la coerenza dei comportamenti con le politiche stabilite. Bilanciamento Rischio/Sicurezza: essere in sicurezza significa operare avendo ottenuto una ragionevole riduzione delle probabilita' di accadimento (vulnerabilita) di una determinata minaccia la cui presenza espone il bene ad un certo rischio. Qualsiasi investimento per la realizzazione di contromisure di sicurezza deve essere quindi rigorosamente collegabile al margine di riduzione del rischio ottenibile mettendo in campo quelle contromisure. Separazione dei Compiti: vale per il processo della sicurezza il principio che "chi esegue non verifica", distinguendo tra monitoraggio e verifica della sicurezza. Per monitoraggio si intende l'attivita' di controllo continuo degli indicatori di performance, sicurezza e rischio, svolte dalla funzione/ruolo che realizza le misure di sicurezza, mentre per verifica si vuole significare l'attivita' di controllo saltuaria che si sviluppa attraverso un vero e proprio audit da parte di una funzione/ruolo (ICT Auditing) diversa da quella/o che ha realizzato la sicurezza. Al fine di assicurare un corretto presidio organizzativo della sicurezza e consentire cosi' sia una corretta gestione (security management system) sia una efficace diffusione e crescita della "cultura" della sicurezza, l'Amministrazione deve ancorare la Rete di Responsabilita' ad un insieme di ruoli chiaramente identificati. Segue uno schema di riferimento di Modello Organizzativo della sicurezza che soddisfa le logiche precisate. MINISTRO Consigliere tecnico per la sicurezza ICT COMITATO PER LA SICUREZZA ICT - responsabile/coordinatore generale per la legge 626 - responsabile/coordinatore generale per la legge 675 - responsabile segreteria NATO/UEO o analoga articolazione per il segreto di Stato - responsabile dei sistemi informativi ex d.lgs. 39/93 - responsabile della sicurezza ICT (da nominare ove non previsto) - responsabile sicurezza infrastrutture e controllo accessi - responsabile ufficio legislativo - responsabile programmazione e pianificazione finanziaria
proprietario di dati ed applicazioni
responsabile sicurezza ICT
responsabile sistemi informativi
gestore esterno Descrizione del modello
Ministro Per le organizzazioni non ministeriali (es. Enti pubblici non economici) al vertice del funzionigramma deve essere collocato il Presidente o altro soggetto avente rappresentanza legale o altri poteri specificamente a lui conferiti
Consigliere Tecnico per la Sicurezza ICT E' il consulente strategico del Ministro, l'interfaccia tra il Comitato ed il titolare del Dicastero
Comitato per la Sicurezza ICT E' l'organo cui viene demandata la politica della sicurezza delle infrastrutture tecnologiche e del patrimonio informativo gestito prevalentemente con soluzioni automatizzate
Responsabile della sicurezza ICT E' il soggetto cui compete la definizione delle soluzioni tattiche in attuazione alle direttive impartite dal Ministro direttamente o su indicazione del Comitato
Proprietario dei dati e delle applicazioni E' ciascun direttore generale per la sfera di informazioni di diretta competenza o trattamento
Responsabile dei sistemi informativi automatizzati E' il referente istituito dal decreto legislativo 39/93, cui compete la pianificazione degli interventi di automazione, l'adozione delle cautele e delle misure di sicurezza, la committenza delle attivita' da affidare all'esterno
Gestore esterno E' il fornitore di servizi che opera sotto il controllo del responsabile dei sistemi informativi
Per facilitare ed accelerare lo sviluppo di una adeguata consapevolezza sui rischi e sull'esigenza di proteggere il patrimonio informativo in tutte le risorse umane dell'Amministrazione, requisito indispensabile per qualsiasi sistema di sicurezza, e' inoltre necessario: - Attuare un processo di sensibilizzazione sul valore delle informazioni, sul rischio al quale risultano esposte, sulle misure di sicurezza e sulla importanza di progettarle adeguatamente. - Programmare una serie di comunicazioni (presentazioni, bollettini, avvisi, bacheche "virtuali", forum), finalizzate a promuovere la corresponsabilizzazione e la consapevolezza riguardo alle nuove logiche, modelli e comportamenti organizzativi della sicurezza. - Pianificare la diffusione di informazioni "spot" relativamente agli argomenti chiave della gestione della sicurezza: analisi e gestione del rischio, pianificazione e monitoraggio delle contromisure, normativa e regolamentazione, audit e controllo. Ciascuna Amministrazione progettera' e realizzera' la propria organizzazione della sicurezza e le sessioni formative in base alle proprie esigenze.
2. GESTIONE DELLA SICUREZZA
Per ottenere il funzionamento della sicurezza organizzativa occorre calare sulla struttura dell'Amministrazione un sistema di gestione (management system) della sicurezza composto da: - Carta della Sicurezza, che definisce gli obiettivi e le finalita' delle politiche di sicurezza, le strategie di sicurezza scelte dall'Amministrazione nonche' il modello organizzativo ed i processi per attuarle. - Politiche Generali di Sicurezza, che indicano, coerentemente con la Carta della Sicurezza, le direttive da seguire per lo sviluppo, a gestione, il controllo e la verifica delle misure di sicurezza da adottare; devono essere modificate al verificarsi di cambiamenti di scenario. - Politiche Specifiche di Sicurezza (Norme), focalizzate sull'emissione di normative afferenti argomenti rilevanti per l'organizzazione, il Personale, i sistemi e aggiornate frequentemente sulla base dei cambiamenti organizzativi e tecnologici. - Specifiche procedure, a supporto delle gestione operativa delle contromisure tecnologiche adottate. Tali procedure di base riguardano: - La gestione della "System Security" - La gestione della "Network Security" - Il ciclo di vita del software - La gestione operativa - La continuita' del servizio (Contingency Plan) - La gestione degli incidenti - Il controllo e il monitoraggio del sistema di sicurezza - La sicurezza del Personale.
3. ANALISI E GESTIONE DEL RISCHIO
L'analisi del rischio e' un processo fondamentale per la pianificazione, realizzazione e gestione di qualsiasi sistema di sicurezza ICT (ISMS - information security managemnt system). Infatti, senza una costante valutazione del valore del patrimonio informativo, dell'intensita' delle minacce attuali e potenziali, delle vulnerabilita' del sistema e dei potenziali impatti tangibili e intangibili sull'attivita' e sul posizionamento dell'Amministrazione, risulta impossibile definire un sistema di sicurezza veramente equilibrato e bilanciato rispetto ai rischi ed ai danni/perdite che potrebbero verificarsi. In un sistema di Governo delle P.A. sempre piu' aperto, cooperante, digitale ed interconnesso, anche a livello internazionale, i confini del rischio non hanno piu' barriere e le minacce diventano tutte possibili e, in qualche misura, sempre piu' probabili. Ciascuna Amministrazione si deve pertanto dotare di un processo di analisi e gestione del rischio conforme agli standard internazionali di sicurezza, che preveda di massima i passi riportati nello schema seguente:
Attivita' dell'Analisi del Rischio
Identificazione e Elencare i beni dell'organizzazione, Valutazione dei i processi e le informazioni Beni valutate interne all'ambito dell'ISMS (information security management system)
Valutazione delle Elencare le potenziali minacce Minacce associate alla lista dei beni utilizzando le checklist esistenti con le piu' conosciute e generiche vulnerabilita'
Valutazione delle Elencare le vulnerabilita' associate Vulnerabilità alla lista dei beni utilizzando le checklist esistenti con le piu' conosciute e generiche vulnerabilita'.
Identificazione Identificare e documentare tutti i dell'esistente e controlli di sicurezza esistenti/ Pianificazione dei pianificati associati alla lista di Controlli di beni in accordo con le precedenti Sicurezza revisioni della sicurezza.
Analisi del Rischio Raccogliere insieme le informazioni relative ai beni, le minacce e vulnerabilita' derivate dalle precedenti fasi di valutazione per fornire una semplice e pratica vista delle misure dei rischi.
Identificazione e Per ogni bene elencato identificare Selezione dei gli obiettivi di controllo rilevanti controlli di previsti(es dal BS 7799) ed utiliz- Sicurezza e Riduzione re le minacce e le vulnerabilita' dei rischi correlate per selezionare quei controlli che garantiscono il raggiungimento degli obiettivi.
Accettazione del Rischio Se necessario, considerare un'ulteriore riduzione dei rischi scegliendo controlli aggiuntivi in base alle reali esigenze.
Il processo di Analisi del rischio e', tra l'altro, la "pietra angolare" che sostiene l'individuazione e la gestione delle misure minime di sicurezza per il trattamento dei dati personali richiesta dal DPR 318 della Legge 675 sulla Privacy.
4. CONTROLLO FISICO/LOGICO DEGLI ACCESSI
Il controllo degli accessi fa parte di diritto della Base Minima di sicurezza e deve essere implementata con priorita'. Esso consiste nel garantire che tutti gli accessi agli oggetti del sistema ICT avvengano esclusivamente secondo modalita' prestabilite. Seguono le indicazioni fondamentali per comprendere ed indirizzare la realizzazione di queste contromisure.
Controllo Fisico Il controllo degli accessi fisici deve restringe i diritti di accesso del personale alle zone che ospitano risorse aziendali informatiche e non (magazzini tecnici, aree con dati e/o apparati ad alto rischio, uffici riservati, ecc.). Gli accessi devono essere disciplinati da una procedura di carattere generale e da procedure specifiche per ogni singolo sito. I controlli di accesso fisico alle aree devono servire a tutte le locazioni che contengono apparati di rete, LAN, impianti elettrici, impianti di condizionamento, telefoni e linee dati, supporti di' backup e documenti e qualsiasi altro elemento richiesto per la gestione e manutenzione dei sistemi e non solo alla protezione dei locali contenenti sistemi hardware. Si deve consentire l'accesso alle aree critiche compartimentate, secondo diversi livelli ed esigenze di sicurezza, alle persone preventivamente autorizzate. Ciascun dipendente deve essere informato sulle aree di competenza in termini d'accesso fisico e d'orario. Deve essere verificata l'efficacia dei controlli di accesso fisico alle aree sia durante il normale orario di lavoro che in altri orari. Le procedure devono prevedere apposite regole di sicurezza in grado di disciplinare l'accesso disciplinando per singolo soggetto (es dipendente, consulente , personale di imprese varie ecc.) la regola di accesso. In particolare l'accesso ai Centri di produzione (Data Center, Call Center, ecc.) deve essere controllato tramite l'uso di badge magnetici/smart card strettamente personali rilasciati esclusivamente al personale conosciuto. Devono essere privilegiate, evidenziando preventivamente le potenziali criticita' che ne conseguono, le scelte a favore della tutela della protezione della persona, nel caso gli obiettivi del controllo degli accessi fisici siano in conflitto con quelli della Legge 626.
Controllo Logico I controlli d'accesso logico devono fornire un modo tecnico per controllare l'accesso di un utente alle risorse di sistema ed alle informazioni al fine di garantire il controllo delle informazioni che gli utenti possono utilizzare, dei programmi che possono eseguire e delle modifiche che possono apportare. Nella stesura delle procedure si deve tener conto che: - L'accesso e' la capacita' da parte di un soggetto (utente o processo) di fare operazioni (lettura, aggiornamento, scrittura, comunicazione) che accedono e usano "oggetti" (applicazioni, programmi, dati). - L'autorizzazione e' il permesso per usare una risorsa del computer. L'autorizzazione e' assegnata, direttamente o indirettamente, dal proprietario del sistema o dell'applicazione. - L'autenticazione dimostra che gli utenti sono chi sostengono di essere. - Il controllo d'accesso e' strettamente legato all'autenticazione. I controlli d'accesso logici devono contribuire a proteggere: - I sistemi operativi e l'altro software di sistema dalla modifica o dalla manipolazione non autorizzata (e quindi contribuire ad accertare l'integrita' e la disponibilita' del sistema). - L'integrita' e la disponibilita' delle informazioni limitando il numero di utenti e di processi con accesso. - Le informazioni confidenziali dalla rilevazione agli individui non autorizzati.
Deve essere controllato il diritto d'accesso che si permette, ovvero quali sono i privilegi assegnati alle risorse in funzione del ruolo che ricoprono (per esempio la capacita' per l'utente di eseguire, ma di non cambiare, i programmi di sistema, di leggere i files senza poterli riscrivere o cancellare, ecc). Il servizio di identificazione ed autenticazione deve essere eseguito mediante tecniche basate su password e userid (identificativo utente); relativamente alla userid si fa riferimento alle norme previste dalla legge 675/96 e relativo DPR 318. Tutti gli utenti interni e esterni che lavorano con continuita' sui sistemi dell'Amministrazione, devono essere dotati di un proprio userid personale, mentre gli utenti esterni dovranno utilizzare, secondo i casi, un userid che identifica la persona, il ruolo o l'ente. In ogni caso e' obbligatoria l'autenticazione mediante password o altro sistema con caratteristiche di protezione piu' potenti. Deve essere attivato un processo di sensibilizzazione dell'utenza per ottemperare ad una opportuna gestione delle password tramite controlli di qualita' delle stesse. La password deve essere considerata uno strumento di autenticazione poco efficace in presenza di dati particolarmente sensibili. I dispositivi smart card devono essere privilegiati, rispetto ai badge magnetici, nei casi in cui sia necessaria una maggiore sicurezza; la smart card infatti, offre i seguenti vantaggi: - Rende piu' semplici le operazioni di autenticazione in quanto l'utente deve semplicemente inserire la smart card nell'apposito alloggiamento e digitare il PIN (Personal Identification Number) per legittimare l'utilizzo del dispositivo; non e' quindi necessario ricordare password complesse e modificarle periodicamente. - Permette di utilizzare protocolli di autenticazione "potenti". - Puo' essere impiegata per la firma elettronica dei documenti. Ove possibile devono essere installati/attivati prodotti che offrono la funzione di "single signon" per rendere possibile un utilizzo corretto delle password e per non limitare l'usabilita' delle funzioni; tale funzione infatti, richiede una sola volta l'autenticazione (la password) facendosi carico di autentificare l'utente verso gli altri sistemi, in modo automatico e trasparente per l'utente stesso.
5. PROTEZIONE ANTIVIRUS
Tutte le piu' recenti statistiche internazionali citano il virus informatico come la minaccia piu' ricorrente e piu' efficace. Esso puo' dar luogo a danni anche molto rilevanti per l'operativita' e l'immagine dell'Amministrazione che, per contro, deve attivare una protezione sistematica ed adeguatamente presidiata. Relativamente a questo aspetto viene fornito un modello di procedura tipo per la gestione della contaminazione/anticontaminazione.
Il profilo del Virus Dal punto di vista informatico il virus piu' comune si puo' definire come "una procedura automatica autoriproducente", quando detta procedura eeseguita, essa effettua piu' copie di se stessa; a loro volta le copie si moltiplicano con metodo analogo e cosi' via. L'introduzione di applicazioni pericolose (virus) puo' essere causata da un'operazione diretta o, come effetto collaterale e non individuabile, di una azione indiretta. Tra le azioni dirette vi sono il trasferimento di file, la lettura di una e-mail o di un attachment, l'installazione di una applicazione da un supporto esterno (floppy, nastro, zip) o attraverso Internet. Tra le azioni indirette vi sono l'apertura di un file in formato Word o Excel (o tutti i formati che utilizzano un linguaggio eseguibile) contenente un macro virus o la visualizzazione di una pagina Web contenente un applet o un componente ActiveX. In via generale, al lancio del programma eseguibile "infetto", il programma virus effettuera' le seguenti operazioni: - Cerchera' un programma eseguibile in cui riprodursi. - Ne individuera' la prima istruzione. - La sostituira' con una nuova istruzione che consenta di passare alla posizione di memoria successiva a quella dell'ultima istruzione del programma. - Inserira' il codice del virus dopo l'ultima istruzione del programma. - Inserira' dopo il codice del virus un'istruzione che emuli la prima istruzione del programma originale. - Aggiungera' un'istruzione che passi alla seconda istruzione del programma originale. Oltre a riprodursi, il virus informatico attuera' delle procedure dannose secondo intervalli casuali, a tempo determinato, o anche in base ad eventi di sistema. La finalita' di un virus informatico e' percio' quella di nuocere al sistema usando varie metodologie orientate all'impedimento dell'accesso ai dati contenuti nel sistema stesso se non alla loro distruzione. Un virus (trojan) puo' anche essere usato per violare l'integrita' di un sistema di controllo accessi e consentire l'intrusione di estranei nei dati e nelle applicazioni aziendali.
Misure di prevenzione Le applicazioni anti virus devono essere installate sui server e sui client; la frequenza di analisi del sistema deve essere quotidiana o residente in memoria. I sistemi commerciali anti virus devono essere aggiornati con frequenza settimanale, o in caso di apparizione di nuovi virus, tempestivamente. Le workstation che possiedono applicazioni anti virus devono controllare tutti i dati che vengono immessi sul sistema. I programmi non devono essere aperti senza essere prima sottoposti ad un'analisi. Tutti i file trasmessi attraverso la rete (comprese le e-mail) devono essere analizzati al momento della ricezione. L'analisi delle informazioni in transito tra interno ed esterno deve avvenire al perimetro della rete effettuando l'analisi attraverso i sistemi di accesso (firewall o server posta). Tale approccio permette il controllo e la gestione dei sistemi anti virus in modo centralizzato e rende piu' efficiente: - L'uso delle risorse di elaborazione dei sistemi (l'analisi avviene una sola volta). - L'amministrazione. - L'aggiornamento dei sistemi anti virus.
Funzioni dei programmi antivirus Un programma che si proponga di instaurare un livello sufficiente di sicurezza e protezione da virus informatici deve essere dotato di precise funzioni. Il sistema di difesa dovra' avere: - Il modo di funzionamento non intrusivo nei confronti del sistema, con impatto minimo e possibilita' di ottimizzazione dell'occupazione di memoria. - La presenza di funzioni di individuazione virus di bootstrap e di file. - La possibilita' di individuare i virus residenti in memoria e' un requisito fondamentale del prodotto antivirus: in caso contrario, il prodotto stesso puo' divenire veicolo di propagazione. - La possibilita' di scoprire virus auto-mutanti (polimorfi). - La possibilita' di individuare infezioni relative al settore Master Boot Record. - La possibilita' di individuazione dei virus in file compressi. Il virus puo' essere localizzato all'interno del file compresso, o all'esterno del file ma compresso con esso. - La possibilita' di dirottare l'output su file o stampante: cio' risulta particolarmente utile in caso di numero elevato di file infettati, o rimozioni incomplete. - La possibilita' di notificare automaticamente al network manager l'esistenza del virus. - La possibilita' di verificare il comportamento dell'anti virus in caso di file di rete aperti momentaneamente in lettura o scrittura. - La possibilita' di controllo in tempo reale dei file in download da reti esterne, tenendo comunque presente che le indicazioni di sicurezza limitano la possibilita' di collegamenti diretti verso l'esterno, possibili solo con la mediazione di server opportunamente protetti. - La velocita' di esecuzione molto alta: e' un parametro importante in quanto l'operazione di controllo, se non effettuata sistematicamente, aumenta notevolmente la percentuale di rischio. - La percentuale di falsi allarmi molto bassa: e' un problema abbastanza diffuso fra gli antivirus e causa inconvenienti e costi non indifferenti agli utenti. - La modalita' di aggiornamento complete con funzioni per individuare efficientemente virus di tipo auto-criptato, tutti quei virus cioe', in grado di rendere la propria "firma" nel file contaminato illeggibile grazie a tecniche di crittografia variabili nel tempo. - La garanzia di integrita' del file di aggiornamento (controllato tramite checksum). - La possibilita' di specificare l'area di ricerca per velocizzare l'impiego, indicando l'area di ricerca, il tipo di file in cui cercare un virus o se quest'ultimo risiede in memoria, in un file su disco, sul settore di boot, o in altre zone specifiche tipiche dell'azione dei virus informatici. - La disponibilita' di opzioni di rimozione. Ad esempio, possibilita' di rimozione del virus ricreando un file pulito senza modificare l'originale, opzione di cancellazione definitiva o tentativo di preservazione tramite ridenominazione del file infetto. - La possibilita' di intercettare i virus "furtivi" (stealth) di nuova generazione che agiscono prendendo il controllo o perturbando le richieste d'interruzione (Interrupt) hardware e software interne al computer per evitare l'individuazione. - La possibilita' di intercettare un virus in presenza di piu' partizioni attive contemporaneamente. - La possibilita' di controlli sulla memoria RAM in tutti i suoi indirizzi. - La possibilita' di individuare e rimuovere virus in assenza di comandi utente, possibilita' di esecuzione ad intervalli regolari. - L'impossibilita' per l'utente di cambiare la configurazione del programma a meno che non disponga dell'apposita password. - La possibilita' di fornire reporting su rete, aggiornare il file di log ad ogni esecuzione con l'indicazione dell'identificativo della workstation. - La possibilita' di produrre certificazioni esterne per integrita'. - La capacita' di fornire chiare indicazioni sul proprio corretto funzionamento. Questa caratteristica e' di fondamentale importanza, in quanto la consapevolezza del funzionamento di un anti virus, si ha solo al momento della scoperta del virus stesso. - Il programma anti virus deve disporre di un metodo di auto validazione dopo l'installazione che fornisca l'assoluta certezza di funzionalita' e non contaminazione. - La possibilita' di personalizzare i messaggi verso l'utente: la messaggistica all'utente riveste un ruolo di primaria importanza in quanto le operazioni da effettuare, una volta scoperto il virus, sono diverse. Come informativa minima, deve essere prodotto un rapporto sui rischi connessi al tipo di virus individuato, lo stato di avanzamento dell'infezione, le istruzioni per la rimozione e debbono essere date chiare indicazioni sulla necessita' o meno di un immediato fermo macchina.
6. GESTIONE DEI SUPPORTI L'Amministrazione deve assicurare che tutti i supporti informatici e cartacei vengano gestiti nel rispetto cosciente del bene aziendale (informazione) ivi contenuto e in ottemperanza ai dettati della legge sulla privacy e della gestione degli incidenti e delle emergenze. Deve essere tenuto in considerazione dagli addetti, in sede di sviluppo delle applicazioni, il tema del "back-up" su supporto elettronico, predisponendo le applicazioni stesse in modo da essere trasportabili in caso di disastro o facilmente ripristinabili in fase d'emergenza. Le copie dei programmi applicativi, dati, documentazione a supporto e software di sistema operativo usato in produzione richiedono una sicurezza fisica e logica; per quanto riguarda la sicurezza fisica devono essere depositate in un'ubicazione separata che agisca da Archivio di Sicurezza. Relativamente ai dettati sulla gestione cartacea della legge 675/96 (tutela della privacy) e relativo DPR 318/99: - Deve essere controllato che gli atti e i documenti contenenti i dati personali siano conservati in archivi ad accesso selezionato, e cioe' organizzato in maniera tale che le pratiche conservate siano suddivise per argomenti, tipologie, caratteristiche omogenee, ecc.. Gli accessi dovranno percio' essere organizzati in maniera selettiva, con riferimento ai soli elementi necessari al tipo di consultazione. - Deve essere controllato che gli atti e i documenti contenenti i dati personali che sono affidati agli incaricati del trattamento, vengano da questi ultimi conservati e restituiti al termine delle operazioni affidate. - Deve essere controllato che gli atti e i documenti contenenti i dati personali che sono affidati agli incaricati del trattamento si riferiscono a dati inerenti agli articoli 22 e 24 della legge (sensibili e giudiziari). In tal caso: - Deve essere controllato che tali atti e documenti siano trattenuti dagli incaricati del trattamento, solo per il periodo necessario e sufficiente a svolgere la consultazione necessaria. - Deve essere controllato che tali atti e documenti siano trattenuti e conservati, dagli incaricati del trattamento, in contenitori muniti di serratura. - Deve essere controllato che gli archivi custodiscano dati inerenti agli articoli 22 e 24 della legge (sensibili e giudiziari). In tal caso, si deve predisporre una procedura per la verifica che l'accesso agli archivi sia controllato, prevedendo all'obbligo di identificare e registrare i soggetti che vi sono ammessi dopo l'orario di chiusura degli archivi stessi. - Deve essere emanata una norma organizzativa scritta che imponga il controllo dei supporti magnetici prima della loro riutilizzazione. Nel caso i dati registrati non possano essere definitivamente cancellati, la norma deve prevedere la distruzione del supporto, vietandone tassativamente il riutilizzo. (Riguarda il caso di trattamento dei dati di cui agli articoli 22 e 24 della legge 675/96 effettuato con gli strumenti di cui all'articolo 3). - Deve essere controllato che i supporti non informatici contenenti la riproduzione di informazioni relative al trattamento di dati personali di cui agli articoli 22 e 24 della legge siano conservati e custoditi in archivi ad accesso selezionato e, se affidati agli incaricati del trattamento, che siano da questi ultimi conservati e restituiti al termine delle operazioni affidate; tali atti e documenti contenenti i dati devono essere conservati fino alla restituzione, in contenitori muniti di serratura. In caso di incidente tutte le Aree devono fornire l'assistenza necessaria alla squadra di Pronto Intervento, attestando con apposito documento la validita' delle prove condotte sui supporti informatici di back-up ed assicurando che i controlli amministrativi e di protezione sulle informazioni e sulle applicazioni continuino ad essere efficaci. La documentazione delle prove deve essere tenuta a disposizione per eventuali verifiche a posteriori. Le informazioni riguardanti le attivita' vitali devono essere duplicate ed i relativi supporti conservati in un apposito archivio di sicurezza, la cui gestione e' disciplinata da specifiche procedure. Queste procedure devono prevedere che: - I movimenti dei supporti ed il loro trasferimento avvenga in modo controllato. - Si accerti, almeno una volta l'anno, l'effettiva giacenza fisica dei supporti. - Siano stabilite le modalita' ed i comportamenti da tenere in caso effettivo di emergenza/disastro. Il materiale deve essere inventariato e, periodicamente, deve esserne verificata la disponibilita' e la validita'.
7. LA GESTIONE DEGLI INCIDENTI Assume priorita' la predisposizione di una procedura per la Gestione degli Incidenti e l'approntamento di uno specifico presidio organizzativo denominato CERT-AM: Computer Emergency Response Team dell'Amministrazione. Un incidente e' definito come un evento che puo' avere effetti negativi sulle operazioni del sistema e che si puo' configurare come frode, danno, abuso, compromissione dell'informazione, perdita di beni. La gestione degli incidenti e' strettamente legata alla pianificazione delle eventualita' critiche. La struttura di gestione degli incidenti deve essere considerata una componente della pianificazione, poiche' garantisce la possibilita' di rispondere rapidamente ed efficientemente all'evento negativo e di portare a termine le normali operazioni in seguito a danneggiamento. Occorre prevedere: - Contenimento e riparazione del danno derivante dagli incidenti. - Prevenzione dei danni futuri. - Benefici collaterali. I membri del gruppo di gestione degli incidenti devono avere le opportune conoscenze e capacita', sia di tipo tecnico che non tecnico, che sono: - Familiarita' con la tecnologia cui si rivolge la struttura di gestione degli incidenti. - Abitudine a lavorare in un gruppo. - Abitudine a comunicare in maniera efficace con diversi tipi di utenti, che vanno dall'amministratore di sistema agli utenti inesperti ed ai dirigenti. - Disponibilita' ad intervenire ventiquattro ore su ventiquattro. - Possibilita' di spostamenti rapidi. E' estremamente importante imparare a rispondere in maniera efficace ad un incidente. Le ragioni principali sono: - Evitare danni diretti alle persone. - Evitare danni economici: se il personale che deve rispondere ad un incidente e' stato adeguatamente istruito, il tempo richiesto a queste persone per gestire l'incidente e' ragionevolmente limitato e possono essere utilizzate in altri ambiti. - Proteggere informazione classificata, sensibile o proprietaria: uno dei danni maggiori di un incidente alla sicurezza e' che l'informazione potrebbe rivelarsi irrecuperabile. Un'opportuna gestione degli incidenti minimizza questo pericolo. - Limitare i danni all'immagine dell'organizzazione: le notizie sugli incidenti di sicurezza tendono a danneggiare il rapporto di fiducia tra un'organizzazione, le persone, le altre organizzazioni e l'opinione pubblica. E' importante stabilire con anticipo la priorita' delle azioni da compiere durante un incidente. A volte un incidente puo' essere troppo complesso da fronteggiare in modo globale e simultaneo in tutte le sue implicazioni quindi e' essenziale stabilire le priorita':
Priorita' 1: proteggere la sicurezza delle persone Priorita' 2: proteggere i dati classificati o sensibili Priorita' 3: proteggere gli altri dati, inclusi i dati scientifici, proprietari e relativi alla gestione Priorita' 4: prevenire i danni al sistema Priorita' 5: minimizzare i danni alle risorse tecnologiche ed elaborative.
Chi deve essere avvertito Il personale tecnico, gli Amministratori, i gruppi di risposta, le forze di polizia, i fornitori e distributori del software, altri fornitori di servizio. In casi specifici e preventivamente individuati, puo' essere anche necessario informare la stampa e/o la comunita' degli utenti ed altre organizzazioni che potrebbero essere vittime dello stesso tipo di incidente.
Chi deve essere coinvolto Per la gestione degli incidenti, deve essere creato un gruppo di risposta agli incidenti formato da Tecnici specialisti delle varie Aree Tecnologiche e da Esperti funzionali dell'Amministrazione.
Risposta all'incidente La risposta ad un incidente si svolge attraverso le fasi di contenimento, di eliminazione, di ripristino e di azione successiva all'incidente. Le procedure per trattare questo tipo di problema devono essere chiaramente formalizzate e comunicate. Occorre prevedere: - Chi ha l'autorita' di decidere quali azioni intraprendere - in che momento e se devono essere coinvolte le forze di polizia - Come e quando l'organizzazione deve cooperare con altre per cercare di risalire all'intruso - Se l'intrusione deve essere fermata immediatamente dopo il rilevamento o l'intruso deve poter continuare la sua attivita', per poterla registrare e utilizzare come prova
Come rilevare un incidente Per stabilire se un determinato comportamento sospetto e' indicativo di un incidente, bisogna analizzarlo alla luce delle seguenti considerazioni: - discrepanze nell'uso degli account; - modifica e sparizione di dati; - cattive prestazioni del sistema (cosi' come percepite dagli utenti); - irregolarita' nell'andamento del traffico; - irregolarita' nei tempi di utilizzo del sistema; - quote particolarmente elevate di tentativi di connessione falliti. Ovviamente, per rilevare anomalie bisogna avere un'idea precisa di che cosa possa essere considerato "normale". L'utilizzo di strumenti automatici per la rilevazione dell'andamento del traffico puo' senz'altro aiutare. Inoltre, invece di illudersi sulla possibilita' di rilevare e bloccare tutte le intrusioni sul nascere, e' preferibile concentrarsi su procedure che consentono di limitare l'impatto delle violazioni. Data l'enorme diversita' degli attacchi, l'impiego di strumenti automatici efondamentale. I sistemi di rilevamento automatico delle intrusioni si basano su di una combinazione di analisi statistiche e verifica della rispondenza alle regole.
Squadra di pronto intervento (CERT-AM) Deve essere costituita una squadra di intervento per gli incidenti, in modo da poterli limitare e prevenire in maniera efficace ed economica. La maggior parte dei programmi per la sicurezza informatica non sono efficaci quando si tratta di gestire nuove classi di minacce poco diffuse. Le risposte tradizionali, cioe' l'analisi del rischio, la pianificazione delle emergenze e della revisione della sicurezza dei computer, non sono in genere sufficienti per controllare incidenti e per prevenire gravi danni relativamente a minacce poco probabili o poco note, quindi si devono attivare procedure organizzative reattive anziche' misure tecnologiche protettive che potrebbero risultare troppo onerose. La squadra di intervento deve essere preparata a rilevare ed a reagire agli incidenti garantendo: - Risposta efficace e preparata - Centralizzazione e non duplicazione degli sforzi - Incremento della consapevolezza degli utenti rispetto le minacce. Una squadra di risposta agli incidenti e' costituita da alcune componenti fondamentali, tra cui un ufficio di help desk, una linea di comunicazione centralizzata e il personale con adeguate capacita' tecniche. Caratteristiche fondamentali di una squadra di intervento sono: - La dimensione e l'area di impiego della squadra, che nella maggior parte dei casi e' l'organizzazione stessa. - La struttura, che puo' essere centralizzata, oppure distribuita. - I meccanismi di comunicazione centralizzati per diminuire i costi operativi e il tempo di risposta. - I meccanismi di allarme distribuiti nell'area che viene servita dalla squadra. - Il personale con competenze tecniche e con capacita' di comunicare e di tenere la situazione sotto controllo. |
| Allegato 3
PROTOCOLLO DI INTESA
SICUREZZA ICT
Le informazioni gestite dai sistemi informativi delle pubbliche amministrazioni centrali e locali costituiscono una grande risorsa del Paese sia per il valore strategico di Governo sia come una grande potenzialita' di sviluppo economico. Questo patrimonio deve essere opportunamente protetto e tutelato anche alla luce dei piani di digitalizzazione delle pubbliche amministrazioni che costituiscono uno dei punti chiave degli obiettivi di Governo. Assume quindi importanza fondamentale avviare un piano della sicurezza ICT che veda coinvolte sia le amministrazioni pubbliche sia il Paese nella sua globalita' e che risponda a requisiti internazionali di affidabilita' e di gestione del rischio. A tal fine il Ministro delle comunicazioni e il Ministro per l'innovazione e le tecnologie predisporranno programmi congiunti in cui: il Ministro delle comunicazioni svolgera' un ruolo di indirizzo e monitoraggio nell'ambito delle proprie funzioni; il Ministro per l'innovazione e le tecnologie svolgera' le funzioni di pianificazione e implementazione che gli sono proprie; Allo scopo i Ministri incaricano l'avv. Massimo Condemi e l'ing. Mario Pelosi a predisporre proposte e iniziative ai fini della definizione del piano nazionale della sicurezza ICT. Nel frattempo i Ministri promuovono la diffusione della direttiva della Presidenza del Consiglio dei Ministri concernente la sicurezza ICT per le PA, adottata d'intesa tra i Ministri stessi. |
|
|
|