AgID emana le misure minime di sicurezza ICT per le PA

Facebook
Twitter
LinkedIn
sicurezza
In attuazione di quanto previsto dalla direttiva del 1 agosto 2015 del Presidente del Consiglio dei Ministri, l’Agenzia per l’Italia Digitale ha emanato le misure minime di sicurezza ICT a cui tutte le pubbliche amministrazioni devono allinearsi.

Il documento anticipa le Regole Tecniche per la Sicurezza Informatica delle PA (la cui emanazione è competenza del Dipartimento della Funzione Pubblica), con l’obiettivo di fornire tempestivamente un riferimento utile a stabilire se il livello di protezione dei sistemi ICT delle pubbliche amministrazioni risponde alle esigenze operative di messa in sicurezza dei sistemi, individuando anche gli interventi idonei al suo adeguamento.
Vengono pertanto introdotti dei controlli denominati ABSC (AgID Basic Security Controls) che dovrebbero essere implementati per ottenere un determinato livello di sicurezza. Si identificano 3 livelli:
“Minimo”, al di sotto il quale nessuna amministrazione può scendere;
“Standard”, che costituisce la base di riferimento nella maggior parte dei casi;
“Alto”, che potrebbe essere un obiettivo a cui tendere.

Vengono delineate 8 classi di controlli. Vediamo brevemente quali sono i controlli minimi che le PA devono effettuare:

ABSC1(CSC1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI. Il livello minimo prevede l’implementazione, l’aggiornamento e la gestione dell’inventario di tutti i sistemi di rete (compresi i dispositivi di rete stessi) registrando almeno l’indirizzo IP.

ABSC2(CSC2): INVENTARIO DEI SOFTWARE AUTORIZZATI E NON AUTORIZZATI. Il livello minimo prevede la realizzazione dell’elenco dei software autorizzati (e relative versioni), con regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzati. L’installazione di software non presenti nell’elenco è vietata.

ABSC3(CSC3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER. Il livello minimo di questa classe di controlli prevede le definizione di configurazioni standard per tutti i sistemi (server, workstation, ecc.), con il tassativo rispetto di tali standard nelle fasi di installazione o ripristino dei sistemi. Le immagini di installazione dei sistemi devono essere memorizzate offline e tutte le operazioni di amministrazione remota  devono essere eseguite tramite connessioni protette.

ABSC4(CSC4): VALUTAZIONE E CORREZIONE CONTINUA DELLA VULNERABILITÀ. Il livello minimo prevede la ricerca delle vulnerabilità tramite strumenti automatici ad ogni modifica della configurazione; detti strumenti devono fornire agli amministratori di sistema report con indicazione delle vulnerabilità più critiche. Non solo i sistemi devono essere aggiornati, ma anche gli stessi strumenti di scansione. Questa classe di controlli impone l’installazione sistematica di patch e contromisure idonee a contrastare le vulnerabilità riscontrate. Va inoltre implementato un adeguato piano di gestione dei rischi che tenga conto dei livelli di gravità delle vulnerabilità, del potenziale impatto e della tipologia degli apparati; tale piano deve anche prevedere le azioni da svolgere per la risoluzione delle vulnerabilità individuate.

ABSC5(CSC5): USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE. Il livello minimo della classe di controlli relativa agli amministratori di sistema definisce una specifica policy di gestione degli utenti con diritti amministrativi, che disciplini i limiti nei privilegi attribuiti e l’inventario dei profili abilitati. Tale policy prevede tutte le accortezze che si rendono necessarie per l’adeguata gestione degli amministratori di sistema, dai controlli sulle scadenze delle password alla creazione di profili nominativi e individuali (non generici). E’ curioso rilevare come in questa classe di controlli, le azioni relative al tracciamento dei log degli amministratori siano definite come livello “standard”, mentre rappresentano un obbligo di legge sancito da un provvedimento del Garante Privacy sugli amministratori di sistema del 2008.

ABSC8(CSC8): DIFESE CONTRO I MALWARE. Il livello minimo impone l’installazione e l’aggiornamento automatico di sistemi antimalware, firewall e Intrusion Prevention Systems (IPS). Si deve disabilitare inoltre l’esecuzione automatica di tutti quei sistemi che potrebbero inavvertitamente attivare una minaccia (es. apertura degli allegati delle email, esecuzione di macro, eseguibili lanciati da chiavette USB, ecc). Sempre in chiave preventiva, si deve prevedere l’adozione di strumenti filtraggio dei contenuti, sia sulla navigazione internet che sulla posta elettronica.

ABSC10(CSC10): COPIE DI SICUREZZA. Il livello minimo di sicurezza contempla una copia almeno settimanale delle informazioni strettamente necessarie per il completo ripristino del sistema (in linea con le misure minime di sicurezza previste dal Codice della Privacy, anche se perdere una settimana di lavoro potrebbe essere troppo penalizzante per una PA). Si pone una certa attenzione anche alla riservatezza delle informazioni contenute nelle copie di sicurezza, tramite adeguata protezione fisica o mediate cifratura delle informazioni sottoposte a salvataggio. Infine, è necessario garantire che almeno una delle copie non sia permanentemente accessibile dal sistema stesso, onde evitare che eventuali attacchi al sistema possano coinvolgere anche le sue copie di sicurezza.

ABSC13(CSC13): PROTEZIONE DEI DATI. Il livello minimo da garantire stabilisce di effettuare un’analisi dei dati per individuare quelli con particolari requisiti di riservatezza, ai quali applicare una protezione crittografica. Inoltre, si deve prevedere il blocco del traffico da e verso url presenti in una blacklist.

Il livello “Standard” prevede ulteriori azioni da svolgere per garantire la sicurezza dei sistemi, ma come approccio iniziale sarebbe corretto che le PA verificassero il proprio “stato di salute” per valutare eventuali azioni da compiere al fine di ottemperare agli obblighi imposti dal livello minimo.

A questo link è possibile leggere la notizia pubblicata sul sito di AgID.

Ricordiamo che SI.net Servizi Informatici, sempre molto attenta alle tematiche della sicurezza dei dati, offre anche un servizio di audit mirato dei sistemi ICT per verificare lo stato di messa a norma degli stessi.

_______________________________________________________

Per informazioni sui servizi di information tecnology offerti da SI.net per accompagnarti nelle continue sfide legate all’innovazione tecnologica, scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter e su Facebook

 

 

 

Salva