Nuove Linee guida per lo sviluppo del software sicuro AgID. Cosa cambia per le pubbliche amministrazioni?


Sono stati adeguati gli allegati alle “Linee guida per lo sviluppo del software sicuro” nella pubblica amministrazione, le quali si inseriscono nel contesto delle linee guida per la sicurezza ICT delle Pubbliche amministrazioni, aventi lo scopo di fornire indicazioni sulle misure da adottare in ciascuna componente del Modello strategico del Piano Triennale 2019-2021.

Gli aggiornamenti ai quattro allegati tecnici alle Linee guide sono relativi alle seguenti tematiche:

  • 1) Linee guida per l’adozione di un ciclo di sviluppo di software sicuro;
  • 2) Linee guida per lo sviluppo di un codice sicuro;
  • 3) Linee guida per la configurazione per adeguare la sicurezza del software di base;
  • 4) Linee guida per la modellazione delle minacce e individuazione delle azioni di mitigazione conformi ai principi del Secure/Privacy by Design.

L’obiettivo è quello di pervenire ad un’architettura della sicurezza per servizi sia critici che non critici, che definisca i principi e le linee guida del modello architetturale di gestione dei servizi e contestualizzazione rispetto al cluster dei dati gestiti. La sicurezza informatica ha un’importanza fondamentale in quanto oltre ad essere fondamentale per garantire disponibilità, integrità e riservatezza delle informazioni proprie del Sistema informativo della Pubblica amministrazione, è direttamente collegata ai principi di privacy previsti dall’ordinamento giuridico.

Maggiori informazioni: https://www.agid.gov.it/it/sicurezza/cert-pa/linee-guida-sviluppo-del-software-sicuro

L’aggiornamento degli allegati pubblicato lo scorso 6 maggio da AgID rappresentano l’attenzione che l’ente pone alla cybersecurity dando così alla pubblica amministrazione la possibilità di intervenire sugli adeguamenti tecnici, frutto delle ricerche e sviluppo del settore, con norme tecniche adeguate e coordinate con uno strumento di soft law ormai consolidatosi nel tempo e previsto anche dalla normativa primaria.

La digitalizzazione del settore pubblico deve necessariamente passare attraverso l’adozione di pratiche omogenee, al fine di garantire l’interoperabilità tra le varie PA, oltre che tra le stesse PA e gli operatori/fornitori privati, per gli acquisti di beni e servizi mediante modelli di approvvigionamento informatizzato. In questa prospettiva AgID ha emanato le linee guida fornendo “indicazioni tecnico-amministrative per garantire, all’interno delle procedure per l’approvvigionamento di beni e servizi informatici della PA, la rispondenza di questi ad adeguati livelli di sicurezza”. I vari fornitori possono accedere al patrimonio informatico delle PA con il rischio di introdurre potenziali rischi informatici che potrebbero impattare sulla riservatezza, sull’integrità, sull’autenticità dei dati pubblici, vanificando le misure prese dalle PA a salvaguardia del loro patrimonio informatico.

 

I consigli delle linee guida AgID

Attraverso le linee guida si evidenzia la necessità di meglio formalizzare e strutturare il rapporto con i fornitori ed, al tempo stesso, si fornisce, a tutti gli attori coinvolti nel processo di e-procurement, l’opportunità per un continuo aggiornamento o modifica delle misure di sicurezza, mutuando, ove il caso, modalità efficienti/efficaci e competenze dei fornitori stessi di beni e servizi informatici, in un’ottica di spirito di collaborazione e partnership tra pubblico e privato. Dunque una necessità di:

  • stabilire un linguaggio comune
  • condividere obiettivi di sicurezza
  • rendere più efficienti le clausole dei contratti
  • evidenziare problematiche della sicurezza nel procurement ICT
  • fornire glossari e classificazioni
  • formalizzare definizioni e concetti correlati alla sicurezza nel procurement ICT
  • fornire good practices o soluzioni già in essere o semplici misure da implementare, per misurare il livello di sicurezza dei processi di procurement in essere in un’ottica di coerenza con la norma e con il contesto in cui si trova ad operare la PA.

Dal punto di vista della normativa, si rimanda a:

  • ISO 22301 – Business Continuity,
  • ISO 22317 – Business Impact Analysis ,
  • ISO 22001 – Sistema di Gestione della Sicurezza delle Informazioni
  • ISO 31000 – Risk Management
  • ISO 15408 – Standard Common Criteria
  • Linee guida del Software Sicuro (AgID)
  • Misure Minime di sicurezza AgID

 

Il piano triennale

Il Piano Triennale per l’informatica nella Pubblica amministrazione è il documento di indirizzo strategico ed economico che nasce per guidare operativamente la trasformazione digitale del Paese e diventa riferimento per le amministrazioni centrali e locali nello sviluppo dei propri sistemi informativi.

Il Piano definisce il modello di riferimento per lo sviluppo dell’informatica pubblica italiana fissando i principi architetturali fondamentali, le regole di usabilità e interoperabilità, precisando la logica di classificazione delle spese ICT.

In linea con la Legge di stabilità 2016, il Piano dà il via al percorso di accompagnamento che consentirà alle amministrazioni di adeguarsi a livello nazionale all’obiettivo di risparmio della spesa annuale per la gestione corrente del settore informatico.

AgID ha il compito di guidare le amministrazioni nella fase di adeguamento, assicurando la piena coerenza tra attività regionali e centrali, e condividendo con le singole PA le esigenze di coordinamento, il modello di governance e il monitoraggio, e assicurando la piena coerenza tra attività regionali e centrali.

Il Piano identifica un modello per lo sviluppo del digitale secondo cui:

  • il livello nazionale definisce regole, standard e realizza piattaforme abilitanti che ottimizzano investimenti;
  • le amministrazioni – centrali e locali – sviluppano servizi secondo le proprie specificità utilizzando competenze interne e/o di mercato;
  • il privato, compresa la strategia di paese, programma investimenti di lungo periodo e sfrutta nuove opportunità di mercato creando soluzioni che si integrino con le piattaforme nazionali.

L’obiettivo del Piano è quello di rifocalizzare la spesa delle amministrazioni, migliorare la qualità dei servizi offerti a cittadini e imprese e degli strumenti messi a disposizione degli operatori della PA.

Maggiori informazioni:

https://www.agid.gov.it/it/agenzia/strategia-quadro-normativo/piano-triennale

 

Compliance dei prodotti GRC CORA

La soluzione GRC CORA, sviluppata da Compet-e per la gestione degli obiettivi in ambito GDPR, 27001, Amministratori di Sistema, Antiriciclaggio ecc… è sviluppata rispettando le linee guida individuate da AgID per lo sviluppo sicuro.

Maggiori informazioni: https://www.compet-e.com/grc-cora/