Linee Guida dell`Amministrazione Comunale sulla Sicurezza
Transcript
Linee Guida dell`Amministrazione Comunale sulla Sicurezza
Linee Guida dell’Amministrazione Comunale sulla Sicurezza Informatica Documento approvato dalla Giunta Comunale con deliberazione n. ……… in data …………./2005 Technology and Security Risk Services Documento: LINEE GUIDA DELL’AMMINISTRAZIONE COMUNALE SULLA SICUREZZA INFORMATICA Pag.: 2 di 4 L’Amministrazione dell’Ente, con il presente documento, intende ribadire la necessità di tutelare il proprio patrimonio informativo in termini di disponibilità, confidenzialità ed integrità; per questo motivo si sottolinea l’importanza che sia acquisita consapevolezza sulle problematiche di sicurezza intesa nel senso ampio del termine, dalla salvaguardia delle competenze interne fino alla protezione contro le frodi. La gestione delle informazioni è realizzata principalmente con l’ausilio dei Sistemi Informatici che, per la costante innovazione tecnologica, sono sempre più sofisticati ed evoluti, orientati nella direzione di una sempre maggior apertura verso altri Sistemi ed orientati ad utilizzi sempre più complessi da parte di utenti non specialisti. Tutto ciò, se da un lato migliora l’efficienza e la qualità del lavoro dall’altro espone il patrimonio informativo a sempre nuove vulnerabilità. L’importanza di questi aspetti è ribadita dal Dipartimento per l’Innovazione e le Tecnologie della Presidenza del Consiglio dei Ministri che, nella Direttiva del 16 gennaio 2002 pubblicata sulla G.U. n. 69 del 22 marzo 2002, ha definito alcuni concetti fondamentali che i destinatari della Direttiva - ovvero: tutte le Amministrazioni dello Stato, le Aziende ed Amministrazioni autonome dello Stato e tutti gli Enti Pubblici non Economici nazionali - devono acquisire; ne citiamo alcuni: e Le informazioni gestite dai sistemi informativi pubblici costituiscono una risorsa di valore strategico per il governo del Paese. e Questo patrimonio deve essere efficacemente protetto e tutelato al fine di prevenire possibili alterazioni sul significato intrinseco delle informazioni stesse. e Assume importanza fondamentale valutare il rischio connesso con la gestione delle informazioni e dei sistemi. e ….. le Pubbliche Amministrazioni devono essere in grado di presentare credenziali di sicurezza nelle informazioni conformi agli standard internazionali di riferimento. e Si raccomanda a tutte le Pubbliche Amministrazioni di avviare nell’immediato alcune azioni prioritarie tali da consentire il conseguimento di un primo importante risultato di allineamento ad una “base minima di sicurezza” attraverso un’autodiagnosi e l’attivazione delle necessarie iniziative per posizionarsi sulla “base minima di sicurezza”. Pari attenzione dovrà essere riservata ai trattamenti eseguiti con strumenti tradizionali, rappresentati tipicamente dai supporti cartacei. _______________________________________________________________________________________________________ Technology and Security Risk Services Documento: LINEE GUIDA DELL’AMMINISTRAZIONE COMUNALE SULLA SICUREZZA INFORMATICA Pag.: 3 di 4 Le attività informatiche nell’ambito dell’Ente sono gestite attraverso una propria infrastruttura tecnologica alla quale sono demandate anche le funzioni di sicurezza nell’ambito dei Sistemi. Le componenti tecnologiche non sono tuttavia in grado di garantire, da sole, la Governance della Sicurezza, a tale proposito l’Amministrazione evidenzia la necessità che siano recepite e rese operative le seguenti linee guida: e L’organizzazione della sicurezza nell’ambito dei Sistemi Informatici deve essere realizzata nel rispetto delle disposizioni normative, le misure di sicurezza da adottare dovranno essere definite salvaguardando anche i principi di economicità ed efficienza. e L’organizzazione della sicurezza dovrà essere realizzata tenendo conto dei principi di snellimento delle procedure amministrative. e Compatibilmente con la tutela della sicurezza dei Sistemi Informatici, si dovrà garantire al personale la massima libertà possibile di utilizzo dei sistemi di comunicazione (Internet, posta elettronica) in modo da rendere più flessibile il lavoro degli stessi. e La funzione di Security Manager è garante del rispetto dei principi citati. A tale scopo dovranno essere identificati ed implementati gli indicatori per le attività di monitoraggio. e E’ richiesta particolare attenzione nell’applicazione e formalizzazione dei controlli, in particolare quelli di base. e Relativamente ai principali processi che influiscono sulle problematiche di sicurezza informatica dovranno essere predisposte le policy/regolamenti riportanti le disposizioni, alle quali tutti i referenti sono tenuti ad attenersi. Fra le policy da realizzare dovranno comunque essere incluse le seguenti: o Struttura Organizzativa della Sicurezza Informatica – Identifica e regolamenta le funzioni che hanno il compito di gestire e monitorare la sicurezza. o Policy per l’utilizzo delle Risorse Informatiche – Regolamenta come devono essere tutelati gli Asset aziendali. o Utilizzo della Posta Elettronica, Intranet, Internet o Policy sulla Gestione e Utilizzo delle Credenziali e Nella realizzazione di programmi applicativi e, in generale, nella creazione di archivi dati si dovrà sempre procedere alla classificazione delle informazioni trattate, alla valutazione dei rischi ed all’identificazione delle soluzioni per _______________________________________________________________________________________________________ Technology and Security Risk Services Documento: LINEE GUIDA DELL’AMMINISTRAZIONE COMUNALE SULLA SICUREZZA INFORMATICA Pag.: 4 di 4 mitigarli, secondo le modalità che dovranno essere definite in un apposito processo codificato. Quest’ultimo sarà predisposto tenendo conto della necessità di individuare la figura del Proprietario dei dati e le fasi essenziali del processo valutativo, senza incidere negativamente sui tempi di realizzazione. e Si ribadisce che è fatto assoluto divieto di installare e/o utilizzare qualsiasi software al di fuori di quello “ufficiale” censito e distribuito dal Centro Elaborazione Dati. e Si ribadisce che è fatto assoluto divieto di installare e/o utilizzare qualsiasi software di sistema di tipo anomalo (es.: sniffer) né utilities che potrebbero operare in deroga ai presidi realizzati in termini di confidenzialità ed integrità dei dati. A tale proposito devono essere definite ed implementate le opportune attività di monitoraggio poste all’attenzione del Security Manager. e Si dovrà inoltre procedere all’aggiornamento del Documento Programmatico della Sicurezza secondo le modalità e le tempistiche indicati nel nuovo Codice in Materia di Protezione dei Dati Personali (D.Lgs. 196 del 30 giugno 2003 pubblicato in G.U. il 29 luglio 2003). _______________________________________________________________________________________________________ Technology and Security Risk Services