La strategia e le azioni AgID per la gestione della sicurezza informatica delle PA [2013-07-10]

Click here to load reader

Embed Size (px)

description

 

Transcript of La strategia e le azioni AgID per la gestione della sicurezza informatica delle PA [2013-07-10]

  • 1. Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri La strategia e le azioni AgID per la gestione della sicurezza informatica delle PA Agostino Ragosa Roma, 10 luglio 2013
  • 2. Il contesto Leconomia digitale consente di registrare un forte impatto diretto sul PIL e di supportare indirettamente lo sviluppo di tutti i settori della societ. Le pubbliche amministrazioni partecipano a questo processo in modi nuovi: Fornendo servizi su canali differenziati Aprendo i loro sistemi alla collaborazione con altre PA anche estere e con i privati Aprendo i loro bacini informativi Fornendo servizi sempre pi integrati e di valore IsistemiinformatividellePAsonounarisorsacritica,preziosaeda proteggere,anchealloscopodiaumentarelafiducianeiservizidigitali. Occorregarantirelaccessoallerisorsesolamenteaisoggettiche legittimamentedevonoaveretaleaccessoetutelarelaprivacy. Leazionidevonoesserecoraliesincronizzate. Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri La strategia e le azioni AgID per la sicurezza informatica delle PA 1
  • 3. Cosa devono fare le Pubbliche Amministrazioni DaDecretoLegislativo7marzo2005,n.82es.m.i. Art.51 Sicurezzadeidati,deisistemiedelleinfrastrutturedellepubbliche amministrazioni. 2. Idocumentiinformaticidellepubblicheamministrazionidevonoessere custoditiecontrollaticonmodalittalidaridurrealminimoirischidi distruzione,perdita,accessononautorizzatoononconsentitoonon conformeallefinalitdellaraccolta. Unaqualunque rappresentazionedi informazioniconstrumentie susupportiinformatici Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri La strategia e le azioni AgID per la sicurezza informatica delle PA 2
  • 4. Lincontrodioggielagenda 1. Lanormativasullasicurezzainformatica 2. IrisultatidellarilevazionepressolePAC 3. Irischidisicurezza 4. LeazioniAgID Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri La strategia e le azioni AgID per la sicurezza informatica delle PA 3
  • 5. Lincontrodioggielagenda 1. Lanormativasullasicurezzainformatica 2. IrisultatidellarilevazionepressolePAC 3. Irischidisicurezza 4. LeazioniAgID Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri La strategia e le azioni AgID per la sicurezza informatica delle PA 4
  • 6. Lenormativeinmateriadisicurezzainformatica/1 CodiceinmateriadiprotezionedeidatipersonaliLn.196/2003 LAllegatoB)costituisceildisciplinaretecnicorelativoallemisureminimedi sicurezza art.51delCAD.Sicurezzadeidati,deisistemiedelleinfrastrutturedellepubbliche amministrazioni Conleregoletecnicheadottateaisensidell'articolo71sonoindividuatelemodalit chegarantisconol'esattezza,ladisponibilit,l'accessibilit,l'integritela riservatezzadeidati,deisistemiedelleinfrastrutture Art.21DPCMregoletecnicheSPC(1aprile2008) LarchitetturadisicurezzadelSPCvoltaaconsentire: a. losviluppodelSPCcomedominioaffidabile(trusted),costituitodaunafederazione didominidisicurezzaincuidiversisoggettisiimpegnanoreciprocamentead adottarelemisureminimedefinitenellambitodelSPC,atteagarantireilivellidi sicurezzanecessariallinterosistema; LaCommissioneSPC,sullabasedellanalisideirischicuisonosoggettiilpatrimonioin formativoedidatidellapubblicaamministrazione,emanalelineeguidariguardantile misuredisicurezzaeglistandarddaadottare Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri La strategia e le azioni AgID per la sicurezza informatica delle PA 5
  • 7. Lenormativeinmateriadisicurezzainformatica/2 Art.20,comma3,lett b)DL83/2012 LAgenziadettaindirizzi,regoletecnicheelineeguidainmateriadisicurezza informatica, Decretocrescita2.0:DL18ottobre2012n.179convertitonellalegge17dicembre 2012n.221Art.33septies,comma1,Consolidamentoerazionalizzazionedeisitie delleinfrastrutturedigitalidelPaese. L'Agenziaperl'Italiadigitale,conl'obiettivodirazionalizzarelerisorseefavorireil consolidamentodelleinfrastrutturedigitalidellepubblicheamministrazioni, avvalendosideiprincipalisoggettipubblicititolaridibanchedati,effettuail censimentodeiCentriperl'elaborazionedelleinformazioni(CED)dellapubblica amministrazione,comedefinitialcomma2,edelaboralelineeguida,basatesulle principalimetrichediefficienzainternazionalmentericonosciute,finalizzatealla definizionediunpianotriennaledirazionalizzazionedeiCEDdelleamministrazioni pubblichechedovrportarealladiffusionedistandardcomunidiinteroperabilit,a crescentilivellidiefficienza,disicurezzaedirapiditnell'erogazionedeiserviziai cittadiniealleimprese. Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri La strategia e le azioni AgID per la sicurezza informatica delle PA 6
  • 8. Lenormativeinmateriadisicurezzainformatica/3 DPCM24gennaio2013GUn.66del1932013recanteindirizziperlaprotezione ciberneticaelasicurezzainformaticanazionale. interagireconlecorrispondentiautoritestere(UE,NATO); Architetturasutredistintilivellid'intervento: indirizzopoliticoecoordinamentostrategico,cuiaffidarel'individuazione degliobiettivifunzionaliagarantirelaprotezioneciberneticaelasicurezza informaticanazionali, disupporto,acaratterepermanente,confunzionidiraccordoneiconfronti ditutteleAmministrazioniedenticompetenti, digestionedellecrisi,conilcompitodicurareecoordinareleattivitdi rispostaediripristinodellafunzionalitdeisistemi,avvalendosidituttele componentiinteressate; Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri La strategia e le azioni AgID per la sicurezza informatica delle PA 7
  • 9. Scopodeldecretoindirizziperlaprotezionecibernetica elasicurezzainformaticanazionale Ildecretodefinisce,inuncontestounitarioeintegrato,l'architetturaistituzionale deputataallatuteladellasicurezzanazionalerelativamentealleinfrastrutture critichematerialieimmateriali,conparticolareriguardoallaprotezionecibernetica eallasicurezzainformaticanazionali,indicandoatalfineicompitiaffidatiaciascuna componenteedimeccanismieleproceduredaseguireaifinidellariduzionedella vulnerabilit,dellaprevenzionedeirischi,dellarispostatempestivaalleaggressioni edelripristinoimmediatodellafunzionalitdeisistemiincasodicrisi. Isoggetticompresinell'architetturaistituzionaleoperanonelrispettodelle competenzegiattribuitedallaleggeaciascunodiessi. Ilmodelloorganizzativofunzionaledelineatoconildecretoperseguelapiena integrazioneconleattivitdicompetenzadelMinisterodellosviluppoeconomicoe dell'Agenziaperl'Italiadigitale,nonchconquelleespletatedallestrutturedel Ministerodelladifesadedicateallaprotezionedelleproprieretiesisteminonch allacondottadioperazionimilitarinellospaziocibernetico,dallestrutturedel Ministerodell'interno,dedicateallaprevenzioneealcontrastodelcrimine informaticoealladifesacivile,equelledellaprotezionecivile. Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri La strategia e le azioni AgID per la sicurezza informatica delle PA 8
  • 10. Contestointernazionale Agendadigitaleeuropea Prevedeunpillar(nr.3)dedicatoatrustandsecurity Action29 combatterecyberattackcontrosistemicritici Action38 creazionediretidiCERT Action41 adattarepiattaformenazionalidiallertadiattacchiper combatterecyberattackanchecrossborder Altriaspettidisicurezzasonoades.previstinelPillar 7, Action83 glistatimembridefinisconopiattaformeperassicurareil riconoscimentoreciprocodimeccanismidiidentificazionee autorizzazionedigitaleanchetransfrontaliera LeactionsdellaDigitalAgendaforeEuroperiguardanolaCommissione eglistatimembrievengonomonitorateattraversoscoreboard Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri La strategia e le azioni 9 AgID per la sicurezza informatica delle PA
  • 11. Lorganizzazionedellasicurezzainformatica CISR ComitatoInterministerialeperla SicurezzadellaRepubblica Nucleoperla sicurezzacibernetica AISE AISI } Livelli: Politico strategico Coordinamento DIS Dip.Informazioni sullaSicurezza CNAIPIC Centroanticrimineinformatico perinfrastrutturecritiche CERT NAZIONALE FFAA NISP ... Strutture organizzative Centraliprepostealla gestionedella sicurezzaedellecrisi Tavolointermin.dicrisicibernetica CERTPA Resp.SicurezzacentroserviziPA Res.SicurezzaPA Organizzazioneegestionesicurezzadella singolaPubblicaAmministrazione Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri Areadiintervento dellAgenzia(esclusi ordinepubblicoe sicurezzanazionale) La strategia e le azioni AgID per la sicurezza informatica delle PA 10
  • 12. Lincontrodioggielagenda 1. Lanormativasullasicurezzainformatica 2. IrisultatidellarilevazionepressolePAC 3. Irischidisicurezza 4. LeazioniAgID Agenzia per lItalia Digitale Presidenza del Consiglio dei Ministri La strategia e le azioni AgID per la sicurezza informatica delle PA 11
  • 13. Ilquestionario Conloscopodidefinireunpuntodipartenza,afinemarzo2013,stato inviatounquestionarioa37amministrazionicentrali Sonopervenute27schedeparial73%dellePAinterpellate 40 35 30 25 Dopo2mesi avevanorisposto il50%delle