Si001 - Protezione di base delle TIC nell ...€¦ · anonimo e personalizzato alle applicazioni di...
Transcript of Si001 - Protezione di base delle TIC nell ...€¦ · anonimo e personalizzato alle applicazioni di...
Dipartimento federale delle finanze DFF
Organo direzione informatica della Confederazione ODIC
Sicurezza TIC
Versione 4.4
Si001 - Protezione di base delle TIC nell’Amministrazione federale
del 19 dicembre 2013 (stato: 1° gennaio 2020)
Visto il numero 3.1 delle Istruzioni del Consiglio federale del 16 gennaio 2019 sulla sicurezza
TIC nell’Amministrazione federale1 (di seguito «Istruzioni CF»), l’ODIC emana la seguente
direttiva.
Figura 1: Struttura delle basi per la sicurezza TIC
1 Vedi https://www.isb.admin.ch, Direttive TIC > Sicurezza.
e
Si001 - Protezione di base delle TIC nell’Amministrazione federale
2/24
Indice
1 Disposizioni generali per la protezione di base delle TIC ......................... 3
1.1 Campo d’applicazione ........................................................................................... 3 1.2 Deroghe concernenti i requisiti della protezione di base delle TIC .................... 3 1.3 Disposizioni di esecuzione concernenti la protezione di base delle TIC ........... 4 1.4 Rinvio agli standard ISO ........................................................................................ 4
2 Requisiti minimi di sicurezza e responsabilità in merito alle esigenze in materia di protezione generale .................................................................... 5
1 Direttive concernenti la sicurezza delle informazioni (5)..................................... 5 2 Organizzazione della sicurezza TIC (6) ................................................................. 5 3 Sicurezza del personale e responsabilità dirigenziale (7) ................................... 6 4 Gestione di valori specifici all’organizzazione (8) ............................................... 7 5 Utilizzo di supporti di memoria e registrazione (8.3) ........................................... 7 6 Sistemi di postazioni di lavoro (notebook, desktop ecc.) (8.3) ........................... 7 7 Controllo dell’accesso (9) ...................................................................................... 8 8 Mezzi di autenticazione (9.4) ............................................................................... 10 9 Controllo dell’accesso per sistemi TIC e applicazioni (9.4)............................... 11 10 Crittografia (10) .................................................................................................... 12 11 Sicurezza fisica e ambientale (11) ....................................................................... 13 12 Sicurezza operativa (12) ...................................................................................... 13 13 Sicurezza della comunicazione (13) .................................................................... 17 14 Acquisto, sviluppo e manutenzione di sistemi informativi (14) ........................ 18 15 Relazione con i fornitori (15) ............................................................................... 19 16 Come comportarsi in caso di incidenti riguardanti la sicurezza delle
informazioni (16) .................................................................................................. 20 17 Garanzia dell’operatività (17) ............................................................................... 21
3 Ulteriori aspetti riguardanti la protezione di base delle TIC ................... 21
3.1 Condizioni quadro principali ............................................................................... 21 3.1.1 Archiviazione .......................................................................................................... 21 3.1.2 Basi giuridiche, protezione dei dati e sicurezza delle informazioni .......................... 21 3.1.3 Controllo federale delle finanze .............................................................................. 21 3.1.4 UFCL, armasuisse ................................................................................................. 22
3.2 Entrata in vigore e aggiornamento continuo...................................................... 22 3.3 Definizione degli oggetti TIC da proteggere ....................................................... 22 3.4 Portafoglio TIC ..................................................................................................... 22 3.5 Abbreviazioni e termini utilizzati ......................................................................... 23
Si001 - Protezione di base delle TIC nell’Amministrazione federale
3/24
1 Disposizioni generali per la protezione di base delle TIC
La protezione di base delle TIC disciplina in maniera vincolante i requisiti minimi di sicurezza
definiti nelle direttive (protezione di base) dal punto di vista organizzativo, personale e
tecnico nel settore della sicurezza TIC.
L’attuazione dei requisiti e delle misure in materia di sicurezza deve essere documentata e
verificata dall’unità amministrativa (UA) vincolata (n. 2.2 cpv. 2, n. 2.3 cpv. 2 e n. 3.2 cpv. 3
Istruzioni CF). Inoltre, si deve provvedere affinché la documentazione come i manuali
operativi e gli elenchi delle autorizzazioni sia gestita in modo da tenere conto delle esigenze
di revisione.
1.1 Campo d’applicazione
Il campo d’applicazione della presente direttiva è disciplinato dall’articolo 2 dell’ordinanza del
9 dicembre 20112 sull’informatica nell’Amministrazione federale (OIAF).
1.2 Deroghe concernenti i requisiti della protezione di base delle TIC
L’ODIC può autorizzare deroghe (art. 4.3 WUBinfV3) e tiene un elenco aggiornato di tutte le
deroghe accordate.
Se nel singolo caso, per motivi organizzativi, tecnici o economici, un’UA intende derogare
alla protezione di base delle TIC, nel senso che i requisiti minimi non sono più soddisfatti
(scostamenti), si è in presenza di una deroga che necessita di un’autorizzazione (art. 17
cpv. 1 lett. e, f OIAF).
L’UA ha identificato, quantificato e sottoposto all’ODIC o all’incaricato della sicurezza
informatica del dipartimento (ISID) per valutazione e decisione sotto forma di una richiesta
dettagliata i rischi connessi a tale deroga.
L’ISID può: a) autorizzare autonomamente deroghe (scostamenti) dalla protezione di base delle
TIC, se vengono osservate (integralmente) le seguenti condizioni quadro;
b) delegare all’incaricato della sicurezza informatica dell’unità amministrativa (ISIU) la competenza di autorizzare deroghe (scostamenti) alla protezione di base delle TIC, se vengono osservate (integralmente) le seguenti condizioni quadro ed è garantito il suo coinvolgimento o quello dell’ISID nel processo delle deroghe, affinché quest’ultimo possa assumersene in ogni momento la responsabilità.
L’oggetto TIC da proteggere non ha un elevato bisogno di protezione.
Lo scostamento dalla protezione di base delle TIC non riguarda i servizi standard e mette
in pericolo esclusivamente la propria UA.
L’incaricato della sicurezza informatica ha verificato che nessuna disposizione legale,
interna all’Ufficio o al dipartimento impedisca/vieti una deroga alla protezione di base
delle TIC.
Il richiedente ha identificato, quantificato e sottoposto all’incaricato della sicurezza
informatica per verifica e approvazione, sotto forma di una richiesta dettagliata, i rischi
connessi a tale deroga. Il committente (ad es. nel caso di progetti) e il responsabile dei
processi aziendali/delle applicazioni decidono quindi in collaborazione con l’incaricato
della sicurezza informatica in merito a una possibile deroga (scostamento) dalla
2 RS 172.010.58.
3 WUBinfV: «Weisungen des EFD zur Umsetzung der Bundesinformatikverordnung» (disponibile solo in tedesco e in francese).
Si001 - Protezione di base delle TIC nell’Amministrazione federale
4/24
protezione di base delle TIC a livello di Confederazione secondo le Istruzioni CF,
numero 3.2, capoverso 6.
I rischi legati allo scostamento dalla protezione di base delle TIC devono essere ridotti,
nel limite del possibile, con misure complementari/alternative. I rischi residui4 di cui viene
a conoscenza devono essere documentati e comunicati per iscritto ai committenti e ai
responsabili dei processi aziendali secondo il numero 3.4, capoverso 1 delle
Istruzioni CF.
Il responsabile dell’UA decide se prendere in considerazione i rischi residui di cui viene a
conoscenza (n. 3.4, cpv. 2 Istruzioni CF).
L’ISID tiene un elenco aggiornato e comunica almeno una volta all’anno all’ODIC le
decisioni sulle deroghe.
Solitamente vengono autorizzate solo deroghe limitate nel tempo.
1.3 Disposizioni di esecuzione concernenti la protezione di base delle TIC
Con la «Matrice d’accesso» l’ODIC emana disposizioni di esecuzione vincolanti concernenti
la protezione di base delle TIC.
Inoltre, pubblica raccomandazioni per la protezione di base delle TIC. È possibile consultare
la relativa documentazione sul sito Internet dell’ODIC5 nella relativa rubrica.
1.4 Rinvio agli standard ISO
La presente protezione di base delle TIC è un adeguamento dello standard ISO/IEC
27002:20136, ampliato con misure specifiche dell’Amministrazione federale. Il rinvio alla
corrispondente numerazione ISO è riportato in corsivo e tra parentesi accanto al relativo
numero. Per maggiori chiarimenti è possibile consultare anche le spiegazioni dettagliate
nello standard ISO/IEC 27002:2013.
4 Rischi che non possono essere ridotti o possono essere ridotti soltanto in modo insufficiente. 5 intranet.isb.admin.ch. 6 intranet.isb.admin.ch, Temi > Sicurezza > Informazioni specifiche > Norme ISO.
Si001 - Protezione di base delle TIC nell’Amministrazione federale
5/24
2 Requisiti minimi di sicurezza e responsabilità in merito alle esigenze in materia di protezione generale
1 Direttive concernenti la sicurezza delle informazioni (5)
1.1 Indirizzo del management della sicurezza delle informazioni (5.1)
N. Requisito Responsabile
dell’attuazione7
Tipo8
1.1.1 Nella revisione del 2019 il requisito è stato soppresso. Esso è
ora contenuto nelle Istruzioni CF (n. 2.2 cpv. 7).
- -
1.1.2 Nella revisione del 2019 il requisito è stato soppresso. Esso è
ora contenuto nelle Istruzioni CF (n. 3.2 cpv. 9).
- -
1.1.3 Nella revisione del 2019 il requisito è stato soppresso. Esso è
ora contenuto nelle Istruzioni CF (n. 2.1 cpv. 4 lett. c).
- -
2 Organizzazione della sicurezza TIC (6)
2.1 Dispositivi intelligenti (smart devices: smartphone e tablet) (6.1)
N. Requisito Responsabile
dell’attuazione
Tipo
2.1.1
(6.2.1)
Soltanto gli smart devices che vengono gestiti mediante un
Mobile Device Management (MDM)9 possono comunicare
con i sistemi dell’Amministrazione federale.
Il presente requisito non tratta le possibilità di accesso
anonimo e personalizzato alle applicazioni di Governo
elettronico e le pagine Internet pubbliche
dell’Amministrazione federale.
BP O
2.1.2
(6.2.1)
È vietato elaborare e salvare su smart devices informazioni
classificate con il livello di protezione CONFIDENZIALE o
SEGRETO nonché dati personali degni di particolare
protezione o profili della personalità.
Il presente requisito non tratta le applicazioni autorizzate a
tal fine (ad es. applicazioni per la comunicazione
crittografata10).
UT O
2.1.3 Nella revisione del 2018 il requisito è stato soppresso. - -
2.1.4 Nella revisione del 2018 il requisito è stato soppresso. - -
2.1.5 Nella revisione del 2018 il requisito è stato soppresso. Esso
è ora compreso nel requisito 6.2.
- -
7 Responsabile dell’attuazione: beneficiario di prestazioni (BP), fornitore di prestazioni (FP), utente (UT). La
presente ripartizione ha valore indicativo. Se si adotta una ripartizione diversa, ciò deve essere concordato per iscritto tra i soggetti interessati.
8 Tipo: organizzativo (O), tecnico (T), nota (N). 9 Vedi la direttiva TIC « E021 – Direttiva delle applicazioni concernente l’impiego di smartphone/smarttablet
Sync» (disponibile solo in tedesco e francese) sul sito intranet.isb.admin.ch, Direttive TIC, Direttive delle applicazioni > E021 - Einsatzrichtlinie Smartphone/Smarttablet Sync.
10 Vedi la direttiva TIC «E027 – Direttiva delle applicazioni concernente le comunicazioni vocali crittografate» (disponibile solo in tedesco e francese) sul sito intranet.isb.admin.ch, Direttive TIC > Direttive delle applicazioni > E027 - Einsatzrichtlinie Verschlüsselte Sprachkommunikation (VSK).
Si001 - Protezione di base delle TIC nell’Amministrazione federale
6/24
2.1.6
(6.2.1)
Il FP implementa un processo per regolamentare il
trattamento degli smart devices da riparare, smarriti o
rubati.
Questa regolamentazione deve essere comunicata in modo
appropriato alle unità amministrative.
Il processo deve prevedere almeno il resettaggio dello
smart device (ripristino delle impostazioni di fabbrica =
perdita di tutti i dati).
FP O
2.1.7 Nella revisione del 2018 il requisito è stato soppresso. - -
2.1.8
(6.2.1)
L’accesso agli smart devices deve essere protetto mediante password, PIN o elementi biometrici (touch ID ecc.).
Password e/o PIN devono contenere almeno sei caratteri. Sono vietate combinazioni ovvie come ID dell’utente, cognome, nome, data di nascita o serie di numeri del tipo 111111, 123456.
Lo smart device deve essere bloccato al più tardi dopo tre minuti di inattività. L’accesso sarà di nuovo possibile digitando la password, il PIN o gli elementi biometrici.
FP
UT
T
O
2.1.9 Nella revisione del 2018 il requisito è stato soppresso. Esso è ora compreso nel requisito 2.1.1.
- -
2.1.10 Nella revisione del 2016 il requisito è stato soppresso. - -
2.1.11 Nella revisione del 2018 il requisito è stato soppresso.
Esso è ora contenuto nella Strategia TIC parziale per il lavoro mobile nell’Amministrazione federale.
- -
2.1.12 Nella revisione del 2018 il requisito è stato soppresso. - -
3 Sicurezza del personale e responsabilità dirigenziale (7)
3.1 Responsabilità del management (7.2.1)
N. Requisito Responsabile
dell’attuazione
Tipo
3.1.1
(7.2.2)
I collaboratori devono essere istruiti e sensibilizzati secondo
il loro livello e la loro funzione sull’oggetto TIC da
proteggere nell’ambito della sicurezza TIC, in modo che
sappiano quali sono le loro responsabilità.
BP O
3.1.2
(7.3.1,
9.2.1)
I diritti dell’utente dei collaboratori per i vari tipi di accesso
agli oggetti TIC da proteggere devono essere sempre
aggiornati. Se l’assunzione, il mandato o l’accordo di utilizzo
con i collaboratori muta o termina, i diritti dell’utente devono
essere adeguati immediatamente alle nuove circostanze.
Occorre istituire una procedura per il trattamento degli
account non utilizzati.
BP O
3.1.3
(7.1)
Occorre verificare la necessità di un controllo di sicurezza
relativo alle persone per quanto riguarda l’accesso
all’oggetto TIC da proteggere.11
BP O
11 Vedi l’ordinanza del 4.3.2011 sui controlli di sicurezza relativi alle persone (OCSP; RS 120.4).
Si001 - Protezione di base delle TIC nell’Amministrazione federale
7/24
3.2 Responsabilità dei collaboratori di ogni livello (7.3.1)
N. Requisito Responsabile
dell’attuazione
Tipo
3.2.1 Nella revisione del 2018 il requisito è stato soppresso. - -
4 Gestione di valori specifici all’organizzazione (8)
4.1 Responsabilità dei valori specifici all’organizzazione (8.1)
N. Requisito Responsabilità
dell’attuazione
Tipo
4.1.1 Nella revisione del 2018 il requisito è stato soppresso.
Esso è ora contenuto nelle Istruzioni CF (3.2).
- -
4.1.2
(11.2.6)
Se mezzi TIC privati, inclusi software acquistati
privatamente, vengono utilzzati per scopi professionali,
deve essere garantito il bisogno di protezione delle
informazioni e dei dati in questione.
UT O
4.1.3
(11.2.6,
13.2.4)
L’elaborazione di informazioni professionali su sistemi TIC
diversi da quelli di proprietà della Confederazione è
ammessa solo sulla base di un contratto12 che disciplina le
esigenze rilevanti sotto il profilo della sicurezza.
BP O
5 Utilizzo di supporti di memoria e registrazione (8.3)
N. Requisito Responsabile
dell’attuazione
Tipo
5.1
(8.3.1,
8.3.2,
8.3.3)
I BP e i FP definiscono un piano per l’utilizzo di oggetti TIC da
proteggere finalizzati alla conservazione di dati (supporti di
dati). Esso dovrà focalizzarsi in particolare sulla loro
riparazione, sulla loro distruzione e sul loro smaltimento.
In ogni caso i supporti di dati devono essere smaltiti in modo
da rendere impossibile il recupero del loro contenuto o dei dati
memorizzati.
In linea di principio le riparazioni devono essere
regolamentate d’intesa con l’ISIU o l’ISID competente.
BP O
6 Sistemi di postazioni di lavoro (notebook, desktop ecc.) (8.3)
N. Requisito Responsabile
dell’attuazione
Tipo
6.1
(8.3.3,
18.1.5)
I sistemi di postazioni di lavoro (notebook, desktop) devono
essere protetti contro fughe di dati/informazioni (protezione
contro i furti) crittografando completamente i dischi.
FP T
6.2
(16.1.2)
L’utente deve segnalare immediatamente lo smarrimento di
un apparecchio (sistemi di postazioni di lavoro, smart
devices ecc.) al service desk del FP.
UT O
12 Ad es. contratti con esterni.
Si001 - Protezione di base delle TIC nell’Amministrazione federale
8/24
7 Controllo dell’accesso (9)
7.1 Requisiti per il controllo dell’accesso (9.1)
N. Requisito Responsabile
dell’attuazione
Tipo
7.1.1
(9.1.1,
9.3.1,
9.4.2)
Tutti gli accessi ai mezzi TIC devono essere protetti con
un’autenticazione corrispondente al bisogno di protezione.
Per l’accesso alle zone si applicano le disposizioni
contenute nel documento «Si002 - Matrice d’accesso13».
FP T
7.1.2 Nella revisione del 2019 il requisito è stato soppresso. FP T
7.1.3 Nella revisione del 2017 il requisito è stato soppresso. Esso
è ora compreso nel requisito 8.1.
- -
7.1.4
(9.4.1,
9.2.5)
Gli utenti devono possedere solo i diritti per l’utilizzo dei
mezzi TIC di cui hanno obbligatoriamente bisogno.
I responsabili di applicazioni, sistemi e collezioni di dati
verificano una volta all’anno la correttezza e la necessità dei
diritti accordati agli utenti.
BP O
7.1.5
(9.2.3,
12.4.3)
Non sono consentiti diritti di amministratore locali sui sistemi
di postazioni di lavoro.
Se indispensabile, l’impiego di diritti di amministratore deve
essere garantito in modo da essere tracciabile (logging).
Deve essere definito il relativo piano SIPD.
FP T
7.1.6
(6.1.2)
La separazione dei poteri tra autorizzazione e assegnazione
di diritti d’accesso deve essere osservata e documentata.
Le deroghe a questo requisito devono essere descritte nel
documento «Attuazione delle misure per la protezione di
base delle TIC nell’Amministrazione federale» o in un piano
SIPD.
BP O
7.1.7
(9.2.3)
L’accesso di persone ai sistemi di postazioni di lavoro e di
server dell’Amministrazione federale è consentito solo
mediante un’autenticazione a due fattori14.
Per le deroghe si rimanda al documento «Richiesta di
autorizzazione speciale per account impersonali (account E
e F)»15.
Qualora non fosse possibile garantire questo tipo di
accesso, la soluzione corrispondente deve essere descritta
in un piano SIPD.
FP T
7.1.8
(9.1.2,
9.2.3,
12.4.3)
Per la manutenzione da remoto devono essere predisposti
speciali account degli utenti. Tali account devono essere
sorvegliati e il loro utilizzo deve essere tracciabile (logging).
FP T
7.1.9
(9.1.2)
Un accesso senza restrizioni16 può avvenire solo se
crittografato.
FP T
13 intranet.isb.admin.ch, Direttive TIC > Sicurezza > Si002 – Matrice d’accesso. 14 DCF del 4.6.2010. 15 intranet.isb.admin.ch, Direttive TIC > Sicurezza > Si002 – Matrice d’accesso > Si002-Hi01 - Richiesta di
autorizzazione speciale per account impersonali (account E e F). 16 Definizione contenuta nel documento «Si002 – Matrice d’accesso»; intranet.isb.admin.ch, Direttive TIC >
Sicurezza > Si002 – Matrice d’accesso.
Si001 - Protezione di base delle TIC nell’Amministrazione federale
9/24
7.1.10
(9.1.2,
9.2.3)
L’accesso remoto alla postazione di lavoro per fornire
assistenza è autorizzato solo dopo aver chiesto
esplicitamente il permesso dell’utente.
FP O
7.1.11 Gli account di servizio non interattivi (ad es. i «service
accounts»):
devono essere associati al servizio in modo univoco (un account per servizio);
possono avere soltanto i privilegi minimi di cui necessitano.
FP T
Si001 - Protezione di base delle TIC nell’Amministrazione federale
10/24
8 Mezzi di autenticazione (9.4)
N. Requisito Responsabile
dell’attuazione
Tipo
8.1
(9.4.3)
Requisiti in materia di password per l’identificazione
personale: lunghezza:
password utente di almeno 10 caratteri, password amministratore di almeno 12 caratteri, Per il login con la tessera PIN valgono i requisiti del
Certification Service Provider (CSP); composizione:
maiuscole e minuscole, cifre e caratteri speciali, devono figurare almeno tre di questi elementi, è vietato utilizzare password ovvie come ID utente,
cognome, nome, data di nascita ecc., è vietato utilizzare la stessa password aumentando
o diminuendo di un’unità una cifra in essa contenuta (ad es. da Giuseppe_10 a Giuseppe_11);
ripetizione di password: password iniziale = nessuna ripetizione, password utente e amministratore = ripetizione dopo
10 modifiche; tentativi:
al massimo 5, dopo di che l’ID utente dovrà essere bloccato;
trasmissione a terzi e conservazione: la password e il PIN sono personali e non possono
essere trasmessi a terzi, Le password devono essere conservate protette17;
unicità: per ogni sistema e account deve essere utilizzata
una nuova password, diversa dalle altre.
La password o il PIN devono essere modificati
immediatamente se vi è il sospetto che una persona non
autorizzata ne sia a conoscenza.
Deroghe riguardanti la composizione devono essere
stabilite per iscritto nel documento «Attuazione delle
misure per la protezione di base delle TIC
nell’Amministrazione federale» o in un piano SIPD.
FP
UT
T
O
8.2
(9.4.3)
Requisiti in materia di password per l’identificazione
impersonale18: ID utente o password impersonali devono essere
assegnati il meno possibile; è possibile derogare ai requisiti in materia di password
di cui al requisito 8.1 solo se: con questa ID utente o password si accede
esclusivamente ad applicazioni che hanno bisogno di protezione in generale (protezione di base), o
esiste un piano SIPD approvato nonché un’autorizzazione dell’ISID.
BP O
17 Con un programma di gestione delle password (KeePass per esempio). 18 Al riguardo, vedi gli aiuti relativi agli account funzionali nella matrice d’accesso.
Si001 - Protezione di base delle TIC nell’Amministrazione federale
11/24
8.3
(9.4.2)
Gli utenti con un account di servizio non interattivo devono
autenticarsi con una procedura PKI. La chiave privata
(private key) deve essere protetta sul sistema con i diritti
d’accesso necessari. Se non è possibile osservare la suddetta regola, occorre rispettare le regole seguenti per la creazione della password: lunghezza:
almeno 28 caratteri (se tecnicamente fattibile); composizione:
maiuscole e minuscole, cifre e caratteri speciali, devono figurare almeno tre di questi elementi;
rinnovo automatico: se il sistema prevede un’opzione di rinnovo
automatico della password, è necessario attivarla e impostare la maggiore frequenza possibile di rinnovo;
unicità: per ogni sistema e account deve essere utilizzata
una nuova password, diversa dalle altre; utilizzo:
è consentito esclusivamente un utilizzo statico. La password non può essere utilizzata da persone per lavorare su sistemi TIC o applicazioni;
conservazione / documentazione: la password deve essere conservata per iscritto in
un luogo sicuro per emergenze e/o lavori di manutenzione (ad es. in una cassaforte),
la gestione dei cambiamenti di password deve essere descritta nel piano SIPD o nel piano operativo del sistema o dell’applicazione.
FP T
8.4
(9.2.1,
9.2.2,
9.4.3)
Le UA dispongono di un processo di ripristino dei mezzi di
autenticazione dimenticati, scaduti o bloccati che viene
attuato e documentato.
BP O
8.5 Nella revisione del 2018 il requisito è stato soppresso.
Esso è ora compreso nel requisito 7.1.4. - -
9 Controllo dell’accesso per sistemi TIC e applicazioni (9.4)
N. Requisito Responsabile
dell’attuazione
Tipo
9.1
(9.4.1,
9.4.4)
I compiti amministrativi che richiedono diritti locali di amministratore devono
essere svolti da sistemi TIC dedicati (ad es. Privileged Access Workstation);
devono essere svolti mediante account personali speciali di amministratore.
Per le applicazioni con un bisogno di protezione più
elevato occorre stabilire nel piano SIPD se e, in caso
affermativo, quali attività amministrative devono essere
svolte da sistemi TIC dedicati.
FP
BP
T
Si001 - Protezione di base delle TIC nell’Amministrazione federale
12/24
9.2
(9.4.4)
L’amministrazione di sistemi di server viene effettuata su
un’apposita rete (logica) separata e deve essere svolta su
sistemi TIC dedicati e dotati di speciali dispositivi di
sicurezza. Questa rete non può consentire l’accesso a
Internet o alle applicazioni per la comunicazione d’ufficio
(cioè alle caselle di posta elettronica). Se l’amministrazione
non è attuabile a livello tecnico il tipo di accesso
amministrativo deve essere descritto in un piano SIPD.
Per accedere a questi livelli di gestione amministrativa e ai
relativi sistemi target da amministrare si deve applicare
un’autenticazione a due fattori.
FP T
9.3
(9.4.2)
Il tempo a disposizione per il processo di autenticazione19
deve essere limitato per quanto tecnicamente possibile.
FP T
9.4
(9.4.2)
L’accesso al sistema deve bloccarsi automaticamente al
massimo dopo 15 minuti di inattività. Anche il blocco
manuale deve essere possibile. Se quest’ultimo non è
possibile per motivi tecnici, l’accesso alle postazioni di
lavoro non sorvegliate con sessioni attive deve essere
protetto (ad es. chiusura a chiave del locale).
Le deroghe a questo requisito devono essere descritte nel
documento «Attuazione delle misure per la protezione di
base delle TIC nell’Amministrazione federale» o in un
piano SIPD.
FP T
10 Crittografia (10)
10.1 Requisiti crittografici (10.1)
N. Requisito Responsabile
dell’attuazione
Tipo
10.1.1
(10.1.1)
I procedimenti e i metodi crittografici impiegati devono
essere tecnologicamente avanzati20.
FP T
10.1.2 Nella revisione del 2016 il requisito è stato soppresso. - -
10.1.3
(10.1.1,
13.1.2)
Nell’impiego di sistemi di crittografia asimmetrici i certificati
devono essere emessi da Swiss Government PKI o da una
CA autorizzata dal rispettivo FP.
Laddove non è tecnicamente fattibile, si possono utilizzare
certificati di altri emittenti riconosciuti. Ciò deve essere
descritto in un piano SIPD.
FP T
10.1.4
(10.1.1)
L’amministrazione di chiavi crittografiche, compresi i
metodi per la gestione della loro protezione e del recupero
di dati crittografati in caso di chiavi smarrite, compromesse
o danneggiate, devono essere documentati e
periodicamente testati per verificare la loro affidabilità.
FP T
19 Dall’inizio della sessione. 20 I metodi crittografici raccomandati per l’Amministrazione federale si trovano su: intranet.isb.admin.ch > Direttive
TIC > Sicurezza > Raccomandazioni.
Si001 - Protezione di base delle TIC nell’Amministrazione federale
13/24
10.1.5 Gli archivi dei certificati devono essere amministrati dal FP.
Laddove non è tecnicamente fattibile (ad es. nel caso di
dispositivi multifunzione), si possono utilizzare certificati di
altri emittenti riconosciuti. Ciò deve essere descritto in un
piano SIPD.
FP T
10.1.6 L’elenco delle CA affidabili deve essere amministrato dal
FP.
FP O
11 Sicurezza fisica e ambientale (11)
11.1 Settori di sicurezza (11.1)
N. Requisito Responsabile
dell’attuazione
Tipo
11.1.1
(11.1)
La necessità di adottare misure edili e tecniche ai fini della
sicurezza fisica deve essere chiarita di comune accordo
con l’UFIT, armasuisse e il Servizio federale di sicurezza.
BP O
11.1.2
(11.2.1,
11.2.3)
I sistemi TIC devono essere protetti per quanto possibile
dall’accesso fisico di persone non autorizzate.
FP O
11.1.3 Nella revisione del 2016 il requisito è stato soppresso.
Esso è ora disciplinato all’interno del requisito 13.1.4.
- -
12 Sicurezza operativa (12)
12.1 Metodi operativi e responsabilità (12.1)
N. Requisito Responsabile
dell’attuazione
Tipo
12.1.1
(8.1.1,
8.1.2,
12.1.1)
I seguenti punti concernenti l’installazione, la gestione, la
manutenzione e l’utilizzo degli oggetti TIC da proteggere
devono essere documentati e costantemente aggiornati: hardware di sistema; sistema operativo e altri software di sistema; componenti di applicazioni (ad es. programmi,
modifiche, parametrizzazione); impostazioni e funzioni rilevanti per la sicurezza; ciclo di vita (life cycle); persona responsabile.
FP
BP
O
12.1.2
(12.1.2,
14.2.4)
Nell’ambito della sostituzione di hardware e software si
devono verificare ed eventualmente adeguare le funzioni
rilevanti per l’attività e sotto il profilo tecnico della
sicurezza.
BP O
12.1.3
(12.1.2)
Le richieste di modifica (change request) nell’ambiente
operativo devono essere tracciabili.
BP O
Si001 - Protezione di base delle TIC nell’Amministrazione federale
14/24
12.1.4
(12.1.2)
Gli ambienti riguardanti, ad esempio, lo sviluppo,
l’integrazione, la formazione e i test devono essere
separati sotto il profilo logico dagli ambienti21 di produzione
e devono essere protetti anch’essi in maniera adeguata22.
Le deroghe a questa misura devono essere descritte nel
documento «Attuazione delle misure per la protezione di
base delle TIC nell’Amministrazione federale» o in un
piano SIPD.
FP T
12.2 Protezione contro software dannosi (malware) (12.2)
N. Requisito Responsabile
dell’attuazione
Tipo
12.2.1
(12.2.1)
Tutte le TIC devono essere protette contro attacchi da
software dannosi mantenendo aggiornato il software
esistente23.
Sulla base della strategia di protezione contro il malware24,
i FP definiscono un relativo piano in cui si disciplinano
almeno i seguenti aspetti: processi e responsabilità; aggiornamenti del software per la protezione contro il
malware; definizione delle priorità e della periodicità delle
scansioni (ad es. client, server, memoria); realizzazione tecnica.
FP T
12.2.2
(12.2.1,
16.1.2)
In caso di sospetto di attacco da malware si deve
informare immediatamente il service desk. Il modo di
procedere dettagliato (compreso lo scollegamento dei
sistemi dalla rete) deve essere stabilito nei relativi
processi.
UT
BP
O
12.2.3
(12.2.1)
Per i sistemi di postazioni di lavoro (ad es. laptop) che non
sono costantemente collegati in rete, devono essere
installati aggiornamenti di sicurezza almeno una volta al
mese.
UT O
12.2.4
(12.2.1
14.1.1)
La funzione di autorun in caso di collegamento di supporti
di memoria esterni deve essere disattivata in tutti i sistemi
operativi (sistemi di postazioni di lavoro e server).
FP T
12.3 Backup (12.3)
N. Requisito Responsabile
dell’attuazione
Tipo
12.3.1
(12.3.1)
La ricostruzione dei dati e la loro riutilizzabilità dopo che
sono stati persi devono essere descritte dal FP
responsabile per iscritto (ad es. in un piano per la
salvaguardia dei dati).
FP O
12.3.2
(12.3.1)
Il ripristino di dati deve essere collaudato periodicamente.
L’utilizzabilità dei dati deve essere confermata dal FP.
FP T
21 Sistemi, applicazioni, dati. 22 Ad esempio, accesso a Internet solo tramite browser virtuali e client di posta elettronica per gli ambienti di
sviluppo. 23 Vedi «Malware Strategie für die Bundesverwaltung», disponibile in tedesco. 24 intranet.isb.admin.ch, Direttive TIC > Strategie e strategie parziali > SB003 – IKT-Teilstrategie Malwareschutz,
disponibile in tedesco.
Si001 - Protezione di base delle TIC nell’Amministrazione federale
15/24
12.4 Registrazione e monitoraggio (12.4)
N. Requisito Responsabile
dell’attuazione
Tipo
12.4.1
(12.4.1
12.4.3)
Le seguenti attività per i sistemi TIC e le applicazioni
devono essere registrate, sorvegliate e valutate
rapidamente (per quanto possibile in forma pseudonima) in
modo conforme allo scopo e tracciabile: inizializzazione e spegnimento del sistema; tentativi di autenticazione falliti (compresa
l’identificazione univoca dell’origine); accessi all’oggetto falliti; attribuzione e modifica di privilegi; tutte le azioni che richiedono privilegi più elevati.
FP T
12.4.2
(12.4.4)
L’ora del sistema deve essere sincronizzata centralmente
e può essere modificata solo previa autorizzazione.
FP T
12.4.3
(12.4.1)
Deve essere garantito un adeguato monitoraggio tecnico
del sistema e della rete.
FP O
12.4.4
(11.2.4)
Per sistemi di server che richiedono una protezione molto
elevata deve essere periodicamente effettuata una verifica
della loro integrità25 al fine di rilevare eventuali modifiche
non autorizzate26.
Le modifiche inattese devono successivamente essere
analizzate nei dettagli dai sistemisti e dagli specialisti in
materia di sicurezza. In ogni caso, i sistemi che sono stati
modificati illecitamente devono essere immediatamente
scollegati dalla rete e messi sotto controllo. Dopo
un’eventuale analisi forense i sistemi infetti devono
comunque essere completamente cancellati e reinstallati.
FP T
12.5 Controllo di software operativi (12.5)
N. Requisito Responsabile
dell’attuazione
Tipo
12.5.1
(12.5.1)
Si deve verificare l’autenticità del software (ad es. le firme).
Le modifiche non autorizzate constatate devono essere
analizzate e chiarite.
FP T
25 Per maggiori informazioni sull’interpretazione di questo requisito, sul suo adempimento allo stato attuale, sugli
strumenti a tale fine e su come questi ultimi devono essere impiegati nell’Amministrazione federale vedi la considerazione sulla tecnologia «Integritätsprüfung von Systemen» (disponibile solo in tedesco): intranet.isb.admin.ch > Direttive TIC > Sicurezza > Considerazioni sulla teconologia.
26 DCF del 16.12.2009.
Si001 - Protezione di base delle TIC nell’Amministrazione federale
16/24
12.6 Gestione delle vulnerabilità (12.6)
N. Requisito Responsabile
dell’attuazione
Tipo
12.6.1
(12.6.1)
Le correzioni di errori (patch) devono essere verificate e
installate il più rapidamente possibile. Devono essere
implementati processi che garantiscono una correzione
rapida degli errori. In particolare, si devono controllare i
componenti del sistema, i software della burotica, le
applicazioni web, il browser Internet e i relativi software
aggiuntivi.
Se non è più possibile correggere gli errori poiché i sistemi
sono obsoleti, si devono adottare misure che consentano
di sostituirli (gestione del ciclo di vita). Se ciò non è
possibile, si deve descrivere in un piano SIPD come sarà
garantita la continuità operativa (due anni al massimo).
FP
BP
T
O
12.6.2
(12.6.1,
14.2.8,
14.2.9)
Tutte le applicazioni e i sistemi TIC devono essere
controllati:
nella fase di sviluppo,
prima della loro attivazione e
periodicamente nella loro fase operativa, in particolare in caso di modifiche sostanziali,
per accertarsi che non vi siano vulnerabilità.
I risultati devono essere documentati. Le vulnerabilità
individuate devono essere valutate e adeguatamente
eliminate prima dell’attivazione. In particolare le
applicazioni e i sistemi TIC con accesso a Internet non
possono presentare vulnerabilità critiche nella produzione.
Eventuali vulnerabilità riguardanti le applicazioni Internet
devono essere verificate e adeguatamente eliminate in
base agli attuali rischi definiti dall’OWASP Top 10 (Open
Web Application Security Project).
FP T
12.6.3 Nella revisione del 2016 il requisito è stato soppresso ed è
stato integrato nel requisito 12.6.2.
- -
12.7 Ripercussioni degli audit sui sistemi informatici (12.7)
N. Requisito Responsabile
dell’attuazione
Tipo
12.7.1
(12.7.1)
I requisiti e le attività di audit correlate ai sistemi TIC
rilevanti ai fini della gestione devono essere accuratamente
pianificati, documentati e convenuti per contratto, in modo
da minimizzare le interruzioni dei processi lavorativi.
BP O
12.7.2
(18.2)
Gli audit devono essere effettuati da un servizio
indipendente.
BP O
Si001 - Protezione di base delle TIC nell’Amministrazione federale
17/24
13 Sicurezza della comunicazione (13)
13.1 Gestione della sicurezza di rete (13.1)
N. Requisito Responsabile
dell’attuazione
Tipo
13.1.1
(13.1.1)
Per le reti devono essere costantemente aggiornati i
seguenti documenti: proprietario e gestore della rete; topologia di rete, inclusi i suoi componenti attivi e
relative configurazioni; • requisiti per l’amministrazione dei componenti attivi delle
reti.
FP O
13.1.2
(13.1.2,
13.1.3)
Se una o più virtualizzazioni (ad es. sistemi, dati, reti,
memorie delle TIC) vengono gestite su un’unità fisica e non
appartengono alle stesse zone di rete, si deve dimostrare
mediante un piano SIPD approvato dal FP che i rischi sono
sostenibili in misura almeno equivalente rispetto a una
soluzione a sé stante.
Il FP comunica al BP in precedenza le modifiche che hanno
ripercussioni sul piano SIPD approvato (ad es. modifiche a
una piattaforma virtuale).
FP O
13.1.3
(13.1.2)
I componenti di rete devono essere protette contro attacchi.
Le misure di sicurezza adottate devono essere
documentate.
FP T
13.1.4
(13.1.2)
Tutti i componenti di rete configurabili e attivi devono essere
protetti contro gli accessi da parte di persone non
autorizzate.
Si applicano i seguenti requisiti: l’accesso amministrativo a componenti di rete attivi deve
essere garantito con misure di autenticazione e autorizzazione appropriate. Se è possibile, si usano autenticazioni a due fattori mediante certificati di classe B, altrimenti devono essere usati altri strumenti di autenticazione forte (ad es. password monouso);
l’accesso remoto avviene tramite un collegamento crittografato a partire da una rete di gestione dedicata (analogamente al n. 9.2). L’accesso alla rete di gestione deve essere protetto con crittografia e autenticazione a due fattori;
le modifiche delle configurazioni di componenti di rete attivi devono essere effettuate conformemente alla gestione della configurazione e delle modifiche;
le configurazioni possono essere trasmesse solo in modalità protetta;
eventuali dati d’accesso devono essere salvati nelle configurazioni in modalità protetta;
tutti i componenti devono disporre di meccanismi per disattivare interfacce, moduli e funzioni inutilizzati.
FP T
Si001 - Protezione di base delle TIC nell’Amministrazione federale
18/24
13.1.5
(13.1.2)
Il traffico di dati su Internet in un dominio della
Confederazione è soggetto alla «Direttiva sui web proxy
dell’AF»27 e deve essere conforme alla relativa policy28.
L’intero traffico su Internet del dominio di rete blu29 deve
essere collegato tramite un proxy array della
Confederazione.
FP T
13.1.6
(13.1.2,
12.4.1)
Tutti i protocolli di comunicazione (logfile e proxy log) di
passaggi di rete (firewall e gateway) devono essere
conservati per 2 anni e valutati secondo le regole30.
I log devono essere protetti contro successive
manipolazioni.
FP O
13.1.7
(13.1.2,
13.2)
La confidenzialità e l’integrità di dati sensibili (ad es. dati di
autenticazione) devono essere protette nella trasmissione
attraverso reti.
FP T
13.1.8 Nella revisione del 2015 il requisito è stato soppresso ed è
stato integrato nel requisito 7.1.7.
13.1.9 Nella revisione del 2018 il requisito è stato soppresso. - -
13.1.10
(13.2.1)
I siti Internet della Confederazione liberamente accessibili devono essere protetti mediante i certificati SSL/TLS (HTTPS). I rispettivi certificati sono ottenibili come descritto al requisito 10.1.3.
FP T
14 Acquisto, sviluppo e manutenzione di sistemi informativi (14)
14.1 Requisiti in materia di sicurezza per i sistemi informativi (14.1)
N. Requisito Responsabile
dell’attuazione
Tipo
14.1.1
(14.1.1)
Le periferiche (ad es. tastiere, stampanti o sistemi di
presentazione) che devono essere integrate o installate
(driver), devono essere procurate dal servizio d’acquisto
della Confederazione31.
L’integrabilità e la sicurezza devono essere
preventivamente chiarite dal servizio d’acquisto del FP.
FP T
14.1.2
(9.2.4)
Per quanto riguarda la fornitura e la prima installazione di
componenti di applicazioni e sistemi, gli account, le
password iniziali, i privilegi o i diritti d’accesso predefiniti
devono essere controllati immediatamente ed
eventualmente modificati o rimossi.
FP T
27 https://intranet.isb.admin.ch, Direttive TIC > Sicurezza > Si004 – Direttiva sui web proxy dell’AF. 28 Secondo il documento «Si003-Sicurezza delle reti nell’Amministrazione federale», www.isb.admin.ch, Direttive
TIC > Sicurezza > Si003 – Sicurezza delle reti nell’Amministrazione federale. 29 Per la policy relativa al dominio di rete blu vedi «Si003 - Sicurezza delle reti nell’Amministrazione federale»
Allegato A. 30 Al riguardo vedi l’ordinanza del 22.2.2012 sul trattamento di dati personali derivanti dall’utilizzazione
dell’infrastruttura elettronica della Confederazione, RS 172.010.442.
31Al riguardo vedi anche la decisione, disponibile solo in tedesco, «A-IS-Beschluss 66.10: Minimale Sicherheitsanforderungen», applicabile a dispositivi per la trasmissione o la copia di documenti nel settore della burotica (scanner, stampanti, fax, fotocopiatrici o una combinazione di essi, spesso definiti anche apparecchi multifunzione).
Si001 - Protezione di base delle TIC nell’Amministrazione federale
19/24
14.1.3
(14.1.1)
Le impostazioni di sicurezza TIC possono essere
riconfigurate, disinstallate o disattivate solo previa
autorizzazione.
FP T
14.1.3
(14.1.1)
Le impostazioni di sicurezza TIC possono essere
riconfigurate, disinstallate o disattivate solo previa
autorizzazione
FP T
14.1.4
(14.1.1)
Ogni sistema può avere solo una configurazione minima,
necessaria per il suo funzionamento (per quanto riguarda il
software, i servizi, gli account e il pannello di controllo), al
fine di ridurre al minimo le aree vulnerabili agli attacchi. A
seconda del bisogno di protezione e dell’ambiente, sono
opportune misure di protezione avanzata. È necessario
prevedere una gestione centralizzata della configurazione.
Le deroghe devono essere documentate per iscritto e devono essere approvate dall’ISIU del FP e del BP competente.
FP T
14.2 Dati di prova (14.3)
N. Requisito Responsabile
dell’attuazione
Tipo
14.2.1
(14.3.1)
I dati di prova devono essere protetti in funzione della loro
classificazione.
Se è indispensabile che i dati produttivi vengano utilizzati a
fini sperimentali, essi devono essere protetti in base alla
loro classificazione.
FP T
15 Relazione con i fornitori (15)
15.1 Regolamentazione della fornitura di prestazioni da parte di terzi (15.2)
N. Requisito Responsabile
dell’attuazione
Tipo
15.1.1
(15.1,
15.2,
18.1.1,
18.1.2)
Per quanto riguarda le prestazioni di servizi da parte di
terzi, i requisiti in materia di sicurezza TIC della
Confederazione devono essere disciplinati in modo
vincolante e contrattualmente.
Il relativo consenso dell’autorità preposta deve essere
acquisito conformemente alle procedure d’ufficio o a quelle
specifiche per i dipartimenti32.
BP O
32 Il documento «Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso in
relazione all’articolo 320 CP» contiene una base per le procedure di ottenimento del consenso specifiche all’organizzazione. Vedi https://intranet.isb.admin.ch/isb_kp/it/home.html, Direttive TIC > Sicurezza > Si001 - Protezione di base TIC nell’Amministrazione federale > Si001 - Hi04 – Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso.
Si001 - Protezione di base delle TIC nell’Amministrazione federale
20/24
15.2 Rischi in materia di violazione del segreto d’ufficio (15.2)
N. Requisito Responsabile
dell’attuazione
Tipo
15.2.1
(15.2,
7.1.1)
La rivelazione di segreti d’ufficio a fornitori esterni di TIC
deve essere ridotta al minimo.
Devono essere adottate le seguenti misure:
l’assistenza remota sui sistemi TIC avviene possibilmente via jump server. Se occorre, essa viene attivata manualmente e fornita soltanto per il tempo necessario;
l’assistenza remota deve essere monitorata (registrazione e/o principio del doppio controllo);
le connessioni per l’assistenza remota devono essere crittografate;
i dati possono essere consegnati solo previa procedura di autorizzazione o solo dal proprietario dei dati;
deve essere possibile controllare i processi esternalizzati.
Il relativo consenso dell’autorità preposta o, se possibile,
del titolare dei dati, deve essere acquisito secondo le
procedure d’ufficio e quelle specifiche per i dipartimenti33.
Ulteriori requisiti sono descritti nel documento «Prescrizioni
evitare i potenziali rischi di violazione del segreto d’ufficio
nell’Amministrazione federale»34.
BP
O
16 Come comportarsi in caso di incidenti riguardanti la sicurezza delle
informazioni (16)
Nr. Requisito Responsabile
dell’attuazione
Art
16.1
(16.1)
Devono essere sviluppati dei piani per poter reagire in
modo adeguato in caso di incidente legato alla sicurezza
riferito all’oggetto TIC da proteggere.35
BP O
16.2
(15.2,
16.1)
Il FP, in caso di incidenti o di lacune riguardanti la
sicurezza che lo coinvolgono, deve informare
immediatamente il beneficiario delle sue prestazioni. I dati
riguardanti lo storico degli eventi corrispondenti devono
essere messi a disposizione del BP per effettuare analisi.
FP O
33 Il documento «Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso in
relazione all’articolo 320 CP» costituisce la base per le procedure di ottenimento del consenso specifiche all’organizzazione. Vedi intranet.isb.admin.ch, Direttive TIC > Sicurezza > Si001 - Protezione di base delle TIC nell’Amministrazione federale > Si001 - Hi04 - Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso
34 Vedi intranet.isb.admin.ch. Direttive TIC > Sicurezza > Si001 - Protezione di base delle TIC nell’Amministrazione federale > Si001-Hi03 - Direttive per evitare i rischi di violazione del segreto d’ufficio nell’Amministrazione federale
35 Il requisito deve essere conforme al processo per l’elaborazione degli incidenti riguardanti la sicurezza (SVBP) dell’UA.
Si001 - Protezione di base delle TIC nell’Amministrazione federale
21/24
17 Garanzia dell’operatività (17)
17.1 Continuità della sicurezza delle informazioni (17.1)
N. Requisito Responsabile
dell’attuazione
Tipo
17.1.1
(11.2.2,
17.1,
17.2)
In base alle esigenze dell’oggetto TIC da proteggere,
devono essere sviluppati, documentati e attuati piani per
garantire e ripristinare l’operatività dell’oggetto stesso in
caso di guasti, emergenze e catastrofi (ITSCM).
Devono essere definite misure per garantire i processi
operativi critici (BCM) 36.
LB O
3 Ulteriori aspetti riguardanti la protezione di base delle TIC
3.1 Condizioni quadro principali
3.1.1 Archiviazione
I requisiti per l’archiviazione di informazioni elettroniche si fondano sulle direttive dell’Archivio
federale (legge del 26 giugno 1988 sull’archiviazione, LGA37). Quest’ultimo coordina la
gestione degli atti e sostiene le unità organizzative nella sua attuazione.
3.1.2 Basi giuridiche, protezione dei dati e sicurezza delle informazioni
Ai sensi dell’articolo 13 della Costituzione federale svizzera e delle disposizioni legali della
Confederazione sulla protezione dei dati ognuno ha diritto al rispetto della sua sfera privata
nonché d’essere protetto da un impiego abusivo dei suoi dati personali. Le autorità federali si
attengono a queste disposizioni.
Le esigenze in materia di protezione dei dati sono disciplinate nella legge federale del
19 giugno 199238 sulla protezione dei dati (LPD) e nell’ordinanza del 14 giugno 199339
relativa alla legge federale sulla protezione dei dati (OLPD).
Per una base corretta di un progetto TIC costituiscono parte integrante gli articoli 6−8
dell’ordinanza sull’informatica nell’Amministrazione federale (OIAF).
3.1.3 Controllo federale delle finanze
Il Controllo federale delle finanze è l’organo superiore di vigilanza finanziaria della Confederazione e orienta la sua attività di verifica alla legge del 28 giugno 196740 sul Controllo delle finanze (LCF).
36 Il presente requisito deve essere conforme al BCM dell’UA. 37 RS 152.1. 38 RS 235.1. 39 RS 235.11. 40 RS 614.0.
Si001 - Protezione di base delle TIC nell’Amministrazione federale
22/24
3.1.4 UFCL, armasuisse
Uno dei principali compiti dell’Ufficio federale delle costruzioni e della logistica (UFCL)
consiste nel collocare le unità dell’Amministrazione federale civile. L’obiettivo è sistemare il
maggiore numero possibile di unità amministrative in immobili di proprietà della
Confederazione. In collaborazione con il Servizio federale di sicurezza (SFS), l’UFCL emana
le prescrizioni tecniche ed edilizie.
Armasuisse è responsabile per conto del DDPS degli immobili della Confederazione e della
loro conformità alle disposizioni edilizie.
3.1.5 Servizio specializzato CSP41 DDPS e CSP CaF Il servizio specializzato per i controlli di sicurezza relativi alle persone in seno al Dipartimento
federale della difesa, della protezione della popolazione e dello sport (servizio specializzato
CSP DDPS) esegue i controlli di sicurezza secondo gli articoli 10, 11 e 12 capoverso 1
dell’ordinanza del 4 marzo 2011 sui controlli di sicurezza relativi alle persone (OCSP) in
collaborazione con gli organi di sicurezza della Confederazione e dei Cantoni.
Il servizio specializzato per i controlli di sicurezza relativi alle persone in seno alla Cancelleria
federale (servizio specializzato CSP CaF) esegue i controlli di sicurezza secondo l’articolo 12
capoverso 2 OCSP con il sostegno del servizio specializzato CSP DDPS.
3.2 Entrata in vigore e aggiornamento continuo
I requisiti dell’ODIC sulla protezione di base delle TIC entrano in vigore il 1° febbraio 2019.
L’ODIC esamina periodicamente l’attualità di questi requisiti come pure le disposizioni di
esecuzione. La versione più aggiornata è disponibile sul sito Internet dell’ODIC.
3.3 Definizione degli oggetti TIC da proteggere
Gli oggetti TIC da proteggere sono applicazioni, servizi, sistemi, reti, collezioni di dati,
infrastrutture e prodotti TIC che devono essere impiegati nell’Amministrazione federale e
quindi essere protetti. Di conseguenza vengono trattati nelle istruzioni.
Nella definizione e delimitazione di un oggetto TIC da proteggere si devono considerare gli
aspetti operativi e organizzativi. Se necessario, devono essere definiti più oggetti TIC da
proteggere in modo che, con la consegna del progetto per l’attivazione, le responsabilità
possano essere trasferite interamente e in modo univoco alle organizzazioni operative
competenti. È possible che un oggetto da proteggere di livello superiore contenga vari
oggetti, purché siano affini e richiedano la stessa protezione.
3.4 Portafoglio TIC
La documentazione sulla sicurezza delle applicazioni deve essere tenuta a livello centrale.
Nel portafoglio TIC (Cockpit TIC)42, per ogni applicazione indicata, deve essere riportato
almeno il link al rispettivo archivio.
41 Art. 3 OCSP. 42 Cfr. n. 2.2 cpv. 5 del documento «W007 - Istruzioni del Consiglio federale del 16.3.2018 concernenti i progetti
TIC dell’Amministrazione federale e il portafoglio TIC della Confederazione».
Si001 - Protezione di base delle TIC nell’Amministrazione federale
23/24
3.5 Abbreviazioni e termini utilizzati
Abbreviazione Spiegazione
AF Amministrazione federale
BP Beneficiario di prestazioni
CA Certification Authority
FP Fornitore di prestazioni
http Hypertext Transfer Protocol
https Hypertext Transfer Protocol Secure
ID Identificatore
ISID Incaricato della sicurezza informatica del dipartimento
ISIU Incaricato della sicurezza informatica dell’unità amministrativa
MDM Mobile Device Management
OCSP Ordinanza sui controlli di sicurezza relativi alle persone
ODIC Organo direzione informatica della Confederazione
OWASP Open Web Application Security Project
PIN Personal Identification Number (numero d’identificazione personale)
PKI Public Key Infrastructure (infrastruttura a chiave pubblica)
SIPD Piano per la sicurezza dell’informazione e la protezione dei dati
SSL Secure Sockets Layer
TIC Tecnologie dell’informazione e della telecomunicazione
TLS Transport Layer Security
UA Unità amministrativa
UFCL Ufficio federale delle costruzioni e della logistica
UFIT Ufficio federale dell’informatica e della telecomunicazione
UT Utente
Termine Accezione
Dati Nel presente documento il termine «dati» è utlizzato nell’accezione
generica. Comprende sia i dati personali sia altri dati, come i dati
registrati, collezioni di dati non personali ecc. Se una prescrizione è
applicabile esclusivamente a dati personali, si preferirà questo termine.
Si001 - Protezione di base delle TIC nell’Amministrazione federale
24/24
3.6 Attuazione della protezione di base delle TIC e delle disposizioni transitorie
Se la protezione di base delle TIC non corrisponde ai requisiti, le UA devono adeguarla alle
direttive entro un termine utile, al più tardi entro 2 anni (secondo il n. 2.2, cpv. 3 Istruzioni
CF). Qualora non fosse possibile, devono richiedere una deroga secondo il capitolo 1.2 del
presente documento.
Devono verificare periodicamente se l’attuazione della protezione di base delle TIC
corrisponde alle istruzioni più recenti dell’ODIC (cfr. cap. 2 del presente documento) ed
eventualmente procedere agli adeguamenti entro un termine utile.
I seguenti requisiti sono nuovi o sono stati modificati. Le novità devono essere attuate
dall’entrata in vigore della presente direttiva:
requisito nuovo: 7.1.11;
requisiti modificati: 7.1.1, 7.1.6, 8.1, 8.2, 8.3, 9.1, 12.1.1, 12.1.4, 12.5.1, 12.6.1,
12.6.2, 13.1.5, 13.1.6, 14.1.1.
I seguenti requisiti vengono soppressi:
1.1.1, 1.1.2, 1.1.3 (sono contenuti nelle Istruzioni CF) e 7.1.2.
Per il seguente requisito vale un termine transitorio di attuazione entro la fine del 2019:
12.4.4.