Sicurezza ICT per la PA: pubblicate le Misure Minime


Entro il 31/12/2017 tutte le pubbliche amministrazioni dovranno adottare le Misure Minime di sicurezza indicate da AGID per il contrasto alle minacce cibernetiche. Questo insieme di misure di sicurezza, ispirato ai Critical Security Controls emessi dal SANS Institute, ha come obiettivo quello di innalzare i livelli di sicurezza delle oltre 20.000 pubbliche amministrazioni italiane.

Il 4 aprile 2017 è stata pubblicata in Gazzetta Ufficiale la Circolare AgID n. 1/2017 del 17 marzo 2017 con la quale vengono definite le misure di sicurezza ICT che tutte le PA dovranno adottare entro il 31/12/2017 sotto la responsabilità del dirigente preposto ai sistemi informativi dell’organizzazione.

    Tali misure sono suddivise in 3 livelli:

  • I controlli del primo gruppo (livello “Minimo”) sono quelli strettamente obbligatori che ogni Pubblica Amministrazione deve attivare
  • I controlli del secondo gruppo (livello “Standard”) rappresentano la base di riferimento per la maggior parte delle Amministrazioni.
  • I controlli del terzo gruppo (livello “Alto”) rappresentano infine il livello adeguato per le organizzazioni maggiormente esposte a rischi.

E’ importante notare la massima cura posta nel modulare i controlli in modo da non costringere le Amministrazioni, soprattutto quelle più piccole, ad introdurre misure esagerate per la propria organizzazione, con evidente inutile dispendio di risorse.
La norma attuativa prevede che ciascuna Amministrazione debba non solo implementare i controlli rilevanti, ma anche dare brevemente conto della modalità di implementazione compilando un apposito modulo (il quale andrà poi firmato digitalmente con marcatura temporale) e conservato dall’Amministrazione stessa, salvo inviarlo al CERT-PA in caso di incidenti.
Le PA dovranno quindi procedere nell’adeguamento delle misure di sicurezza di cui sopra ed organizzarsi per dare evidenza di quanto effettivamente adottato. Tale attività, al fine di renderla non solo efficace ma anche efficiente, potrà essere svolta sinergicamente (gestendo un unico modello organizzativo in ambito “Data Protection”) con quanto necessario ai fini della diverse normative (cogenti o volontarie) cui l’amministrazione è o sarà tenuta ad adempiere:

  • Regolamento Europeo in ambito Privacy 679/2016 – GDPR
  • Provvedimento del Garante in ambito Amministratori di Sistema (27/11/2008)
  • ISO-IEC 27001

Potete consultare la pubblicazione relativa sulla Gazzetta Ufficiale al link:
http://www.gazzettaufficiale.it/eli/id/2017/04/04/17A02399/sg