• Abstract and Figures
• Public Full-text

Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali AGID 13 feb 2020 Indice 1 Premessa 3 2 Riferimenti 5 2.1 Leggi...................................................5 2.2 Linee Guida e Standard.........................................5 3 Definizioni e Acronimi 7 4 Contesto 9 4.1 Quadro di riferimento nazionale.....................................9 4.2 Impianto normativo applicabile ai CERT................................ 12 4.3 Organismi a supporto della Cyber Security............................... 18 4.4 Standard per la Cyber Security...................................... 21 5 Introduzione ai CERT 31 5.1 CERT: significato e definizioni generali................................. 31 5.2 Categorie di CERT............................................ 32 5.3 Mission dei CERT............................................ 32 5.4 Identificazione della constituency.................................... 33 5.5 CERT regionali.............................................. 34 6 Modello organizzativo 39 6.1 Modello indipendente.......................................... 39 6.2 Modello incorporato........................................... 41 6.3 Modello campus............................................. 43 7 Modello amministrativo 45 8 Servizi 47 8.1 Modelli di classificazione dei servizi.................................. 47 8.2 Servizi offerti dai CERT Regionali.................................... 50 9 Processo di gestione degli incidenti di sicurezza 57 9.1 Definizioni................................................ 57 9.2 Attori coinvolti e responsabilità..................................... 61 9.3 Fasi del processo di gestione incidenti nelle PAL............................ 62 9.4 Matrice delle responsabilità....................................... 77 i 10 Risorse 79 10.1 Struttura organizzativa e risorse umane................................. 79 10.2 Modello dati e informazioni....................................... 84 10.3 Modelli tecnologici e applicativi..................................... 87 10.4 Facilities................................................. 95 11 Sicurezza 97 11.1 Sicurezza fisica.............................................. 97 11.2 Sicurezza logica............................................. 99 12 Modelli di analisi e valutazione dei risultati raggiunti 101 12.1 Indicatori sulla qualità della risposta agli incidenti........................... 101 12.2 Indicatori sulla qualità della prevenzione degli incidenti........................ 102 12.3 Indicatori sulle capacità generali..................................... 102 13 Modelli di finanziamento 105 13.1 Fondi a gestione diretta......................................... 106 13.2 Fondi a gestione indiretta........................................ 108 14 Ipotesi di piano di attuazione 111 15 Glossario 115 15.1 A..................................................... 115 15.2 B..................................................... 115 15.3 C..................................................... 116 15.4 D..................................................... 117 15.5 E..................................................... 118 15.6 F..................................................... 119 15.7 H..................................................... 119 15.8 I...................................................... 119 15.9 K..................................................... 120 15.10 L..................................................... 120 15.11 M..................................................... 121 15.12 N..................................................... 121 15.13 O..................................................... 121 15.14 P..................................................... 122 15.15 R..................................................... 123 15.16 S..................................................... 123 15.17 T..................................................... 124 15.18 U..................................................... 124 15.19 V..................................................... 125 15.20 W..................................................... 125 15.21 X..................................................... 125 15.22 Z..................................................... 125 Indice 127 ii Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali consultation La consultazione pubblica relativa al presente documento è attiva dal 14 maggio al 13 giugno 2019. Questo documento raccoglie il testo delle Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali, disponibile per la consultazione pubblica. Indice 1 Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali 2 Indice CAPITOLO 1 Premessa Le Tecnologie dell’Informazione e della Comunicazione (Information and Communication Technology, ICT) sono in rapida espansione e condizionano ormai completamente un numero crescente di settori vitali dell’economia e di servizi offerti dalle Pubbliche Amministrazioni. L’ampliamento dei settori coinvolti e delle conoscenze richieste è una conse- guenza della digitalizzazione dell’economia e della dipendenza di numerose attività dai servizi digitali; molte azioni quotidiane si svolgono infatti nel cosiddetto spazio cibernetico o cyberspace1. In prospettiva la crescita dell’internet delle cose (Internet of Things, IoT), ossia l’insieme di dispositivi connessi in grado di svolgere operazioni nel mondo fisico, aprirà sia le attività domestiche alla dimensione cibernetica, in modo qualitativamente diverso rispetto a quanto accade attualmente. Alle nuove tecnologie si accompagnano tuttavia nuovi e crescenti rischi; tra questi particolarmente rilevante è quello cibernetico (cyber risk). I dispositivi, il software e le connessioni di rete che compongono lo spa- zio cibernetico presentano vulnerabilità tecnologiche e organizzative che possono essere sfruttate in modo malevolo, come dimostra il moltiplicarsi degli attacchi informatici che riguardano ormai i vari settori della società. Uno spazio cibernetico non sicuro costituisce una debolezza grave in una società digitalizzata, non solo per i danni diretti che gli attacchi possono arrecare alle strutture colpite, ma anche perché una diffusa percezione di insicurezza può minare il funzionamento di quei settori che si basano sulla disponibilità, sull’integrità e sulla riservatezza di dati digitali. Il rischio cibernetico non è nuovo. Nelle fasi iniziali del processo di digitalizzazione tuttavia erano in numero limitato sia le potenziali vittime sia gli attori della minaccia. Solo i settori informatizzati (come la difesa e le telecomunica- zioni) costituivano un target sufficientemente appetibile per gli attacchi cibernetici; inoltre le conoscenze e le risorse necessarie per progettare e sferrare tali aggressioni esistevano quasi esclusivamente in ambito militare e in alcuni cen- tri di ricerca. Negli anni l’uso di dispositivi informatici e l’accesso alle reti telematiche si sono enormemente estesi, moltiplicando il numero di obiettivi. Inoltre le competenze necessarie per programmare codici malevoli sono ormai a disposizione di molte organizzazioni criminali, che sviluppano strumenti offensivi e talvolta li offrono a basso costo a un’ampia platea di clienti ed utenti. Anche ormai il cittadino e i suoi rapporti con la Pubblica Amministrazione sono divenuti nel tempo oggetto di attenzione per gli attacchi cibernetici, con la finalità di colpire e compromettere il legame di fiducia esistente tra gli stessi. La sicurezza cibernetica dei sistemi informativi delle organizzazioni e della relativa rete di interconnessione viene assicurata dall’azione, e dal relativo coordinamento, di diverse strutture di gestione della cyber security operanti nei 1 Il cyberspace è definito come «l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché delle relazioni logiche, comunque stabilite, tra di essi. Include tra l’altro internet, reti di comunicazione, sistemi attuatori di processo ed apparecchiature mobili dotate di connessione di rete», cfr. Presidenza del Consiglio dei Ministri (2013a). 3 Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali diversi ambiti di competenza, tra cui i Computer Emergency Response Team (CERT2). Nel nostro ordinamento, come evidenziato più in dettaglio nelle successive sezioni del documento, l’attuale quadro legislativo ha determinato l’allo- cazione delle funzioni e dei compiti aventi rilievo per la sicurezza cibernetica a livello nazionale ad una molteplicità di attori istituzionali. In particolare, tale assetto è oggi in corso di evoluzione in risposta alle disposizioni provenien- ti dall’Unione Europea e che hanno portato alla costituzione del CSIRT Italia, che accoglierà al proprio interno le responsabilità e le competenze fino ad oggi ripartite tra CERT-PA e CERT Nazionale. In accordo con gli indirizzi strategici nazionali3, devono quindi essere create le condizioni per sviluppare un’azione integrata che metta a fattor comune le diverse attribuzioni istituzionali delineate, anche al fine di avere un maggior presidio ed assicurare una maggiore efficacia delle azioni sul territorio e nel rispetto delle esigenze delle relative constituency. In quest’ottica si inserisce l’esigenza di definire un modello organizzativo ed operativo per la costituzione e l’avvio di CERT regionali nell’ambito della Pubblica Amministrazione italiana, che

Load more

  132

Copy Link