Circolare AgID sulle misure minime di sicurezza per le PA

Nella giornata di ieri, 4 aprile 2017, è stata pubblicata in Gazzetta Ufficiale la circolare AgID 1/2017 sulle misure minime di  sicurezza ICT per le Pubbliche Amministrazioni.

 

La circolare trasforma le misure minime di sicurezza pubblicate sul sito di AGID lo scorso anno in uno strumento di compliance: in pratica, ogni Pubblica Amministrazione rientrante nella definizione ex. art. 1 c.2 d.Lgs. 165/2001 dovrà attestare il livello di adozione delle misure minime di sicurezza e conservare tale attestazione da trasmettere al CERT-PA (l’acronimo di  Computer Emergency Response Team Pubblica Amministrazione) in caso di incidente informatico.

La responsabilità di attuazione delle misure minime è in capo al responsabile dei sistemi informativi (definito all’art. 10 del D.Lgs. 39/1993) o, in sua assenza, al dirigente allo scopo designato.

L’allegato 1 della circolare riporta le misure minime di sicurezza adottate da AgiD, mentre l’allegato 2 è il modulo di implementazione con cui il responsabile deve attestare il livello di adozione delle misure minime.

Il modulo deve essere compilato dal responsabile e dal responsabile legale della struttura, oltre che marcato temporalmente (NB si parla di marcatura temporale, non di riferimento temporale, per cui il numero di protocollo non è idoneo; la marcatura temporale viene apposta direttamente sul documento).

La scadenza di prima adozione di tale adempimento è il 31/12/2017; c’è da osservare che, essendo il sistema informatico soggetto a continue evoluzioni, la misura di adozione potrebbe essere aggiornata anche in data successiva a tale scadenza. Sarà pertanto necessario implementare un processo opponibile a terzi di versioning di tale documento.

E’ interessante rilevare che le misure di sicurezza, analizzate nel nostro precedente articolo di settembre 2016, si sviluppano su 3 livelli:

“Minimo”, al di sotto il quale nessuna amministrazione può scendere;
“Standard”, che costituisce la base di riferimento nella maggior parte dei casi;
“Alto”, che potrebbe essere un obiettivo a cui tendere.

Il responsabile quindi dovrà adottare almeno le misure di livello minimo e tendere a rendere il sistema sicuro a seconda della propria situazione contingente: quello che nel codice della privacy (D. Lgs. 196/2003) si  definisce “misure idonee di sicurezza”.

Questo adempimento è propedeutico alla comunicazione, in caso di eventuale incidente informatico, a CERT-PA del documento sottoscritto allegato alla segnalazione dell’incidente stesso. E’ importante rilevare che, in caso di data breach (cioè di violazioni di sicurezza) di dati personali, è obbligatoria la segnalazione al garante della Privacy: quando il nuovo regolamento eurpeo di protezione dei dati personali verrà interamente applicato (la scadenza ultima è maggio 2018), il Garante svolgerà delle ispezioni presso l’ente che ha subito l’attacco – al fine di verificare le misure di sicurezza adottate – ed eventualmente comminare delle sanzioni, che possono essere molto salate.

L’obiettivo degli enti dovrebbe essere quello di non ripetere adempimenti simili, implementando un Sistema di Gestione della Sicurezza in grado di ottemperare in maniera efficiente a tutti gli obblighi di legge.

Fonte: circolare AgID 1/2017 pubblicata in Gazzetta Ufficiale

SI.net, con la sua pluriennale esperienza nel campo della sicurezza informatica e della normativa ICT, può affiancare qualsiasi tipo di ente nel percorso di messa in sicurezza dei propri sistemi informativi.

_______________________________________________________

Per informazioni sui servizi di information technology offerti da SI.net per accompagnarti nelle continue sfide legate all’innovazione tecnologica, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter e su Facebook e YouTube

 

 

 

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

Salva

2 commenti

  1. 7 novembre 2017    

    L’osservazione è corretta. La segnatura di protocollo, così come la ricevta della PEC, sono riferimenti temporali. Il problema è che tali strumenti di validazione temporale sono “esterni” al file, cioè se la firma digitale apposta al documento scade, il documento risulta scaduto, per cui è necessario accompagnarlo con un’attestazione da parte del responsabile del protocollo informatico o della conservazione (se il documento è stato portato in conservazione). Invece la marca temporale (che dall’entrata del regolamento EIDAS rientra nella definizione di validazione elettronica) è uno strumento autoconsistente: se la firma digitale scade, è comunque provvista sul file sottoscritto e marcato una segnatura direttamente opponibile a terzi senza alcuna attestazione di contorno. Probabilmente per questo motivo AgID ha ritenuto di richiedere espressamente la marcatura temporale e non il riferimento. Per maggiori certezze sul perché di tale scelta sarebbe il caso di chiedere direttamente ad AgID.

  2. Giancarlo's Gravatar Giancarlo
    6 novembre 2017    

    Le linee guida Agid di dicembre 2015 inerenti la conservazione dei documenti informatici punto 1.4 pagina 19 lettera a) dice chiaramente che la segnatura di protocollo è riferimento temporale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Eventi e Scadenze

SCADENZA PA: adesione delle PA al circuito SPID 31 dicembre 2017
SCADENZA PA - Redazione attestazione misure di sicurezza adottate 31 dicembre 2017
SCADENZA PA - Nomina del responsabile per la transizione al digitale 31 dicembre 2017
SCADENZA PA: UFF. PROTOCOLLO - redazione elenco dei fascicoli da trasferire nell'archivio di deposito 10 gennaio 2018
SCADENZA PA: UFF. PROTOCOLLO - riversamento registrazioni Protocollo Informatico 28 febbraio 2018
SCADENZA PA: Obiettivi di accessibilità 31 marzo 2018
SCADENZA PA: applicazione del regolamento europeo sulla protezione dei dati personali 25 maggio 2018

Tweet recenti