HOME

/

DIRITTO

/

PRIVACY 2024

/

LE MISURE MINIME PER LA SICUREZZA ICT DELLA PUBBLICA AMMINISTRAZIONE

Le misure minime per la sicurezza ICT della pubblica amministrazione

Pubblicato da AgID il documento che contiene le indicazioni ufficiali per valutare e innalzare il livello di sicurezza informatica della PA

Ascolta la versione audio dell'articolo

AGID ha predisposto un documento che contiene l’elenco ufficiale delle “Misure minime per la sicurezza ICT delle pubbliche amministrazioni" al fine di fornire alle pubbliche amministrazioni un riferimento pratico per valutare e migliorare il proprio livello di sicurezza informatica.
Riguardo il documento di cui all’oggetto, le misure minime di sicurezza informatica prevedono tre diversi livelli di attuazione e costituiscono parte integrante del più ampio disegno delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione.
L’obiettivo del documento è quello di fornire tempestivamente alle PA un riferimento normativo e consentire loro di intraprendere un percorso di progressiva verifica e adeguamento in termini di sicurezza informatica.

Il allegato il testo completo del documento AGID

L'articolo continua dopo la pubblicità

Segui tutti gli aggiornamenti nel dossier dedicato alla Privacy

Tutta la normativa aggiornata sulla Privacy nel Commento breve al Regolamento europeo per la privacy

1) Le misure minime per la sicurezza informatica della Pubblica Amministrazione

Le misure minime per la sicurezza informatica sono emesse come previsto dalla Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, che emana disposizioni relative alla sicurezza informatica nazionale e assegna all’Agenzia per l’Italia Digitale il compito di sviluppare gli standard di riferimento per le amministrazioni
Il documento anticipa le Regole Tecniche per la Sicurezza Informatica delle PA (la cui emanazione è competenza del Dipartimento della Funzione Pubblica), con l’obiettivo di fornire tempestivamente un riferimento utile a stabilire se il livello di protezione dei sistemi ICT delle pubbliche amministrazioni risponde alle esigenze operative di messa in sicurezza dei sistemi, individuando anche gli interventi idonei al suo adeguamento.
Vengono pertanto introdotti dei controlli denominati ABSC (AgID Basic Security Controls) che dovrebbero essere implementati per ottenere un determinato livello di sicurezza.
Si identificano 3 livelli di sicurezza:
“Minimo”, al di sotto il quale nessuna amministrazione può scendere;
“Standard”, che costituisce la base di riferimento nella maggior parte dei casi;
“Alto”, che potrebbe essere un obiettivo a cui tendere.

Vengono delineate 8 classi di controlli che brevemente si riportano..

Trattasi di controlli minimi che le PA devono effettuare:

  • ABSC1(CSC1): inventario dei dispositivi autorizzati e non autorizzati. Il livello minimo prevede l’implementazione, l’aggiornamento e la gestione dell’inventario di tutti i sistemi di rete (compresi i dispositivi di rete stessi) registrando almeno l’indirizzo IP.
  • ABSC2(CSC2): inventario dei software autorizzati e non autorizzati. Il livello minimo prevede la realizzazione dell’elenco dei software autorizzati (e relative versioni), con regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzati. L’installazione di software non presenti nell’elenco è vietata.
  • ABSC3(CSC3): proteggere le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server. Il livello minimo di questa classe di controlli prevede le definizione di configurazioni standard per tutti i sistemi (server, workstation, ecc.), con il tassativo rispetto di tali standard nelle fasi di installazione o ripristino dei sistemi. Le immagini di installazione dei sistemi devono essere memorizzate offline e tutte le operazioni di amministrazione remota  devono essere eseguite tramite connessioni protette.
  • ABSC4(CSC4): valutazione e correzione continua della vulnerabilità. Il livello minimo prevede la ricerca delle vulnerabilità tramite strumenti automatici ad ogni modifica della configurazione; detti strumenti devono fornire agli amministratori di sistema report con indicazione delle vulnerabilità più critiche. Non solo i sistemi devono essere aggiornati, ma anche gli stessi strumenti di scansione.
  • ABSC5(CSC5): uso appropriato dei privilegi di amministratore. Il livello minimo della classe di controlli relativa agli amministratori di sistema definisce una specifica policy di gestione degli utenti con diritti amministrativi, che disciplini i limiti nei privilegi attribuiti e l’inventario dei profili abilitati. Tale policy prevede tutte le accortezze che si rendono necessarie per l’adeguata gestione degli amministratori di sistema, dai controlli sulle scadenze delle password alla creazione di profili nominativi e individuali (non generici). Per questa classe di controlli, le azioni relative al tracciamento dei log degli amministratori sono definite come livello “standard”, mentre rappresentano un obbligo di legge sancito da un provvedimento del Garante Privacy sugli amministratori di sistema del 2008.
  • ABSC8(CSC8): difese contro i malware. Il livello minimo impone l’installazione e l’aggiornamento automatico di sistemi antimalware, firewall e Intrusion Prevention Systems (IPS). Si deve disabilitare inoltre l’esecuzione automatica di tutti quei sistemi che potrebbero inavvertitamente attivare una minaccia (es. apertura degli allegati delle email, esecuzione di macro, eseguibili lanciati da chiavette USB, ecc).
  • ABSC10(CSC10): copie di sicurezza. Il livello minimo di sicurezza contempla una copia almeno settimanale delle informazioni strettamente necessarie per il completo ripristino del sistema (in linea con le misure minime di sicurezza previste dal Codice della Privacy, anche se perdere una settimana di lavoro potrebbe essere troppo penalizzante per una PA). Si pone una certa attenzione anche alla riservatezza delle informazioni contenute nelle copie di sicurezza, tramite adeguata protezione fisica o mediate cifratura delle informazioni sottoposte a salvataggio. Infine, è necessario garantire che almeno una delle copie non sia permanentemente accessibile dal sistema stesso, onde evitare che eventuali attacchi al sistema possano coinvolgere anche le sue copie di sicurezza.
  • ABSC13(CSC13): protezione dei dati. Il livello minimo da garantire stabilisce di effettuare un’analisi dei dati per individuare quelli con particolari requisiti di riservatezza, ai quali applicare una protezione crittografica. Inoltre, si deve prevedere il blocco del traffico da e verso url presenti in una blacklist.

Il livello “Standard” prevede ulteriori azioni da svolgere per garantire la sicurezza dei sistemi, ma come approccio iniziale sarebbe corretto che le PA verificassero il proprio “stato di salute” per valutare eventuali azioni da compiere al fine di ottemperare agli obblighi imposti dal livello minimo.

In allegato il testo completo del documento.

Allegato

Agig le misure minime per la sicurezza delle PA
La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.