Misure minime di sicurezza ICT per le pubbliche amministrazioni
Le “misure minime di sicurezza informatica per la PA” sono lo strumento utilizzato dall’AgID per diffondere la cultura della sicurezza ICT nella Pubblica Amministrazione. Sostanza e forma del documento, però, risultano solo un ulteriore primo passo verso una cyber security della PA, a fronte di indicazioni basiche, soluzioni prettamente tecniche e del disvelamento, indiretto, d’inadeguatezza dell’attuale cyber security PA.
Emanate dall’AgID il 26 aprile 2016, pubblicate in Gazzetta Ufficiale il 6 aprile 2017, le “Misure minime di sicurezza informatica per la PA” contengono indicazioni per valutare e innalzare il livello di ICT security della Pubblica amministrazione. Il documento è parte delle “Regole Tecniche per la sicurezza informatica delle PA”, ex Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, che incarica l’Agenzia per l’Italia Digitale dello sviluppo di standard di riferimento. Le prescrizioni dovranno essere adottate entro il 31 dicembre 2017 da tutte le Amministrazioni Pubbliche, per il contrasto di minacce digitali-telematiche più comuni e frequenti. Le linee guida mostrano tre livelli di attuazione, di cui il primo stabilisce i criteri di base per la conformità tecnologica, organizzativa e procedurale; i successivi livelli, invece, prevedono strumenti di protezione più completi. In via generale, le regole tecniche concernono l’Inventario dei dispositivi autorizzati e non autorizzati, l’Inventario dei software autorizzati e non autorizzati, la Protezione delle configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server, la Valutazione e la correzione continua delle vulnerabilità, l’Uso appropriato dei privilegi di amministratore, le Difese contro i malware, le Copie di sicurezza, la Protezione dei dati. L’obiettivo sotteso al documento è di fornire alle PA un riferimento normativo, consentendo loro di intraprendere un percorso di progressiva verifica ed adeguamento per la sicurezza informatica.
Questa attività dovrà essere portata a termine entro il 31 dicembre 2017 e avrà impatto su circa 20mila pubbliche amministrazioni (Enti centrali, Regioni, Città Metropolitane, Comuni, Università, Aziende Ospedaliere, Aziende sanitarie locali, ecc.).
I controlli di sicurezza, denominati ABSC, ovvero AgID Basic Security Controls, derivano dal progetto ormai maturo dei 20 Critical Security Controls avviato nel 2008 da parte del SANS Institute e dal Center for Internet Security in collaborazione con le principali agenzie americane dedicate alla sicurezza e i principali fornitori di tecnologie del settore: a partire da una analisi legata all'esperienza professionale dei contributori e in seguito condivisa è stato stilato un elenco articolato su 20 categorie di circa 150 controlli caratterizzati da un approccio molto operativo che, se adottati, garantiscono un adeguato livello di sicurezza.
Le misure previste nei controlli ABSC sono state selezionati dalle seguenti 8 categorie di controlli:
• Inventario dei dispositivi autorizzati e non autorizzati
• Inventario del software autorizzato e non autorizzato
• Configurazione sicura di hardware e software
• Adozione di un processo di gestione delle vulnerabilità
• Utilizzo controllato dei privilegi amministrativi
• Adozione di difese contro i programmi malware
• Capacità di recuperare l'operatività in caso di incidente, ovvero Business Continuity
• Protezione dei dati
Da rilevare che nella versione AgID i controlli da verificare sono stati mappati con le specifiche del Framework Nazionale sulla Sicurezza Cibernetica e il livello della loro adozione è graduato rispetto ai seguenti livelli:
• minimo, ovvero il livello al di sotto del quale il rischio è ritenuto inaccettabile
• standard, ovvero il livello ottimale verso cui tutte le Pa dovrebbero tendere
• alto, livello di pertinenza degli Enti coinvolti nel processo di gestione della sicurezza nazionale.
Di seguito le indicazioni agID:
Al fine di indicare alle pubbliche amministrazioni le misure minime per la sicurezza ICT che debbono essere adottate per contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi, ed in attuazione della Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri che emana disposizioni finalizzate a consolidare lo stato della sicurezza informatica nazionale, AgID ha provveduto ad emanare l'elenco ufficiale delle "Misure minime per la sicurezza ICT delle pubbliche amministrazioni".
Per fornire tempestivamente alle PA un riferimento pratico, e consentire loro di intraprendere un percorso di progressivo adeguamento, il documento con le Misure minime era già stato reso disponibile da AgID e dal CERT-PA sui rispettivi siti Web istituzionali sin dal settembre 2016.
Con l'avvenuta pubblicazione in Gazzetta Ufficiale (Serie Generale n.103 del 5-5-2017) della Circolare 18 aprile 2017, n. 2/2017, recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)», le Misure minime sono ora divenute di obbligatoria adozione per tutte le Amministrazioni.
Modalità di attuazione
L'adeguamento delle Pubbliche amministrazioni alle Misure minime dovrà avvenire entro il 31 dicembre 2017, a cura del responsabile della struttura per l'organizzazione, l'innovazione e le tecnologie di cui all'art.17 del C.A.D., ovvero, in sua assenza, del dirigente allo scopo designato.
Le Misure, che si articolano sull'attuazione di controlli di natura tecnologica, organizzativa e procedurale, prevedono tre livelli di attuazione. Il livello minimo è quello al quale ogni pubblica amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme. I livelli successivi rappresentano situazioni evolutive in grado di fornire livelli di protezione più completi, e dovrebbero essere adottati fin da subito dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visti come obiettivi di miglioramento da parte di tutte le altre organizzazioni.
Come parte del processo di adeguamento, il dirigente responsabile dell'attuazione deve inoltre compilare e firmare digitalmente il "Modulo di implementazione" allegato alla Circolare, il quale è reso disponibile in diversi formati editabili, da questa pagina.
Fra le misure minime è previsto anche che le pubbliche amministrazioni accedano sistematicamente a servizi di early warning che consentano loro di rimanere aggiornate sulle nuove vulnerabilità di sicurezza. A tal proposito il CERT-PA fornisce servizi proattivi ed informativi a tutte le amministrazioni accreditate.
AgID provvederà ad aggiornare le Misure minime tutte le volte che si renderà necessario, in funzione dell'evoluzione della minaccia cibernetica, al fine di mantenere la Pubblica Amministrazione ad un livello adeguato di protezione.
La Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri
Le misure minime per la sicurezza ICT sono emesse in attuazione della Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, che emana disposizioni finalizzate a consolidare lo stato della sicurezza informatica nazionale, alla luce dei crescenti rischi cibernetici che minacciano anche il nostro Paese.
La direttiva assegna all'Agenzia per l'Italia Digitale il compito di sviluppare e rendere disponibili "indicatori degli standard di riferimento" che mettano le amministrazioni in grado di dotarsi degli standard minimi di prevenzione e reazione ad eventi cibernetici.
Gazzetta Ufficiale (link esterno) - pagina web per la compilazione del documento
Gazzezza Ufficiale (download PDF) (link esterno) Manuale per la compilazione del documento
Download moduli di implementazione