Linee Guida dell`Amministrazione Comunale sulla Sicurezza

Linee Guida dell’Amministrazione
Comunale sulla
Sicurezza Informatica
Documento approvato dalla Giunta Comunale
con deliberazione n. ……… in data …………./2005
Technology and Security Risk Services
Documento: LINEE GUIDA DELL’AMMINISTRAZIONE
COMUNALE SULLA SICUREZZA
INFORMATICA
Pag.: 2 di 4
L’Amministrazione dell’Ente, con il presente documento, intende ribadire la
necessità di tutelare il proprio patrimonio informativo in termini di disponibilità,
confidenzialità ed integrità; per questo motivo si sottolinea l’importanza che sia
acquisita consapevolezza sulle problematiche di sicurezza intesa nel senso
ampio del termine, dalla salvaguardia delle competenze interne fino alla
protezione contro le frodi.
La gestione delle informazioni è realizzata principalmente con l’ausilio dei
Sistemi Informatici che, per la costante innovazione tecnologica, sono sempre
più sofisticati ed evoluti, orientati nella direzione di una sempre maggior apertura
verso altri Sistemi ed orientati ad utilizzi sempre più complessi da parte di utenti
non specialisti. Tutto ciò, se da un lato migliora l’efficienza e la qualità del lavoro
dall’altro espone il patrimonio informativo a sempre nuove vulnerabilità.
L’importanza di questi aspetti è ribadita dal Dipartimento per l’Innovazione e le
Tecnologie della Presidenza del Consiglio dei Ministri che, nella Direttiva del 16
gennaio 2002 pubblicata sulla G.U. n. 69 del 22 marzo 2002, ha definito alcuni
concetti fondamentali che i destinatari della Direttiva - ovvero: tutte le
Amministrazioni dello Stato, le Aziende ed Amministrazioni autonome dello Stato
e tutti gli Enti Pubblici non Economici nazionali - devono acquisire; ne citiamo
alcuni:
e Le informazioni gestite dai sistemi informativi pubblici costituiscono una
risorsa di valore strategico per il governo del Paese.
e Questo patrimonio deve essere efficacemente protetto e tutelato al fine di
prevenire possibili alterazioni sul significato intrinseco delle informazioni
stesse.
e Assume importanza fondamentale valutare il rischio connesso con la
gestione delle informazioni e dei sistemi.
e ….. le Pubbliche Amministrazioni devono essere in grado di presentare
credenziali di sicurezza nelle informazioni conformi agli standard
internazionali di riferimento.
e Si raccomanda a tutte le Pubbliche Amministrazioni di avviare nell’immediato
alcune azioni prioritarie tali da consentire il conseguimento di un primo
importante risultato di allineamento ad una “base minima di sicurezza”
attraverso un’autodiagnosi e l’attivazione delle necessarie iniziative per
posizionarsi sulla “base minima di sicurezza”.
Pari attenzione dovrà essere riservata ai trattamenti eseguiti con strumenti
tradizionali, rappresentati tipicamente dai supporti cartacei.
_______________________________________________________________________________________________________
Technology and Security Risk Services
Documento: LINEE GUIDA DELL’AMMINISTRAZIONE
COMUNALE SULLA SICUREZZA
INFORMATICA
Pag.: 3 di 4
Le attività informatiche nell’ambito dell’Ente sono gestite attraverso una propria
infrastruttura tecnologica alla quale sono demandate anche le funzioni di
sicurezza nell’ambito dei Sistemi. Le componenti tecnologiche non sono tuttavia
in grado di garantire, da sole, la Governance della Sicurezza, a tale proposito
l’Amministrazione evidenzia la necessità che siano recepite e rese operative le
seguenti linee guida:
e L’organizzazione della sicurezza nell’ambito dei Sistemi Informatici deve
essere realizzata nel rispetto delle disposizioni normative, le misure di
sicurezza da adottare dovranno essere definite salvaguardando anche i
principi di economicità ed efficienza.
e L’organizzazione della sicurezza dovrà essere realizzata tenendo conto dei
principi di snellimento delle procedure amministrative.
e Compatibilmente con la tutela della sicurezza dei Sistemi Informatici, si dovrà
garantire al personale la massima libertà possibile di utilizzo dei sistemi di
comunicazione (Internet, posta elettronica) in modo da rendere più flessibile il
lavoro degli stessi.
e La funzione di Security Manager è garante del rispetto dei principi citati. A
tale scopo dovranno essere identificati ed implementati gli indicatori per le
attività di monitoraggio.
e E’ richiesta particolare attenzione nell’applicazione e formalizzazione dei
controlli, in particolare quelli di base.
e Relativamente ai principali processi che influiscono sulle problematiche di
sicurezza informatica dovranno essere predisposte le policy/regolamenti
riportanti le disposizioni, alle quali tutti i referenti sono tenuti ad attenersi. Fra
le policy da realizzare dovranno comunque essere incluse le seguenti:
o Struttura Organizzativa della Sicurezza Informatica – Identifica e
regolamenta le funzioni che hanno il compito di gestire e
monitorare la sicurezza.
o Policy per l’utilizzo delle Risorse Informatiche – Regolamenta come
devono essere tutelati gli Asset aziendali.
o Utilizzo della Posta Elettronica, Intranet, Internet
o Policy sulla Gestione e Utilizzo delle Credenziali
e Nella realizzazione di programmi applicativi e, in generale, nella creazione di
archivi dati si dovrà sempre procedere alla classificazione delle informazioni
trattate, alla valutazione dei rischi ed all’identificazione delle soluzioni per
_______________________________________________________________________________________________________
Technology and Security Risk Services
Documento: LINEE GUIDA DELL’AMMINISTRAZIONE
COMUNALE SULLA SICUREZZA
INFORMATICA
Pag.: 4 di 4
mitigarli, secondo le modalità che dovranno essere definite in un apposito
processo codificato. Quest’ultimo sarà predisposto tenendo conto della
necessità di individuare la figura del Proprietario dei dati e le fasi essenziali
del processo valutativo, senza incidere negativamente sui tempi di
realizzazione.
e Si ribadisce che è fatto assoluto divieto di installare e/o utilizzare qualsiasi
software al di fuori di quello “ufficiale” censito e distribuito dal Centro
Elaborazione Dati.
e Si ribadisce che è fatto assoluto divieto di installare e/o utilizzare qualsiasi
software di sistema di tipo anomalo (es.: sniffer) né utilities che potrebbero
operare in deroga ai presidi realizzati in termini di confidenzialità ed integrità
dei dati. A tale proposito devono essere definite ed implementate le
opportune attività di monitoraggio poste all’attenzione del Security Manager.
e Si dovrà inoltre procedere all’aggiornamento del Documento Programmatico
della Sicurezza secondo le modalità e le tempistiche indicati nel nuovo
Codice in Materia di Protezione dei Dati Personali (D.Lgs. 196 del 30 giugno
2003 pubblicato in G.U. il 29 luglio 2003).
_______________________________________________________________________________________________________
Technology and Security Risk Services