Le misure minime di sicurezza per la pubblica amministrazione sono contenute in una circolare AgIDrelativa all'emanazione di regole, standard e guide tecniche, nonché di vigilanza e controllo in materia di sicurezza informatica.Lo scopo delle MMS è quello di indicare alle PA le misure più consone per contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi.
Chi è il soggetto che deve implementarle ? Il responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie di cui all’art.17 del C.A.D., ovvero, in sua assenza, il dirigente allo scopo designato, ha la responsabilità della attuazione delle misure minime di cui all’art. 1.
La circolare, in realtà, prende le mosse dall’insieme di controlli noto come SANS 20, oggi pubblicato dal Center for Internet Security come CCSC «CIS Critical Security Controls for Effective Cyber Defense», un documento nel quale sono riportati 20 controlli relativi alla sicurezza e realizzato all'Istituto SANS.
Si tratta, tuttavia, di una base di partenza in quanto come sottolineato dallo stesso documento il SANS20 si riferisce ai soli attacchi cibernetici sono stati pertanto implementati ulteriori direttive quali CSC8, il CSC10 e CSC13.
Le misure sono volte ad affrontare la minaccia cibernetica in via preventiva affiancate ad azioni di rilevazione divise in classi chiamate AgID Basic Security Control(s) (ABSC)
Elenco delle classi
- ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI. Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l’inventario) in modo che l’accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro impedito l’accesso
- ABSC 2 (CSC 2): INVENTARIO DEI SOFTWARE AUTORIZZATI E NON AUTORIZZATI Gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla rete in modo che sia installato ed eseguito solo software autorizzato, mentre il software non autorizzato e non gestito sia individuato e ne venga impedita l’installazione o l’esecuzione
- ABSC 3 (CSC 3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER Istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni.
- ABSC 4 (CSC 4): VALUTAZIONE E CORREZIONE CONTINUA DELLA VULNERABILITÀ Acquisire, valutare e intraprendere continuamente azioni in relazione a nuove informazioni allo scopo di individuare vulnerabilità, correggere e minimizzare la finestra di opportunità per gli attacchi informatici.
- ABSC 5 (CSC 5): USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE Regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi.
- ABSC 8 (CSC 8): DIFESE CONTRO I MALWARE Controllare l’installazione, la diffusione e l’esecuzione di codice maligno in diversi punti dell’azienda, ottimizzando al tempo stesso l’utilizzo dell’automazione per consentire il rapido aggiornamento delle difese, la raccolta dei dati e le azioni correttive.
- ABSC 10 (CSC 10): COPIE DI SICUREZZA Procedure e strumenti necessari per produrre e mantenere copie di sicurezza delle informazioni critiche, così da consentirne il ripristino in caso di necessità.
- ABSC 13 (CSC 13): PROTEZIONE DEI DATI Processi interni, strumenti e sistemi necessari per evitare l’esfiltrazione dei dati, mitigarne gli effetti e garantire la riservatezza e l’integrità delle informazioni rilevanti
Documento completo (PDF)
Nessun commento:
Posta un commento