Si001 - Protezione di base delle TIC nell ...€¦ · anonimo e personalizzato alle applicazioni di...

Dipartimento federale delle finanze DFF

Organo direzione informatica della Confederazione ODIC

Sicurezza TIC

Versione 4.4

Si001 - Protezione di base delle TIC nell’Amministrazione federale

del 19 dicembre 2013 (stato: 1° gennaio 2020)

Visto il numero 3.1 delle Istruzioni del Consiglio federale del 16 gennaio 2019 sulla sicurezza

TIC nell’Amministrazione federale1 (di seguito «Istruzioni CF»), l’ODIC emana la seguente

direttiva.

Figura 1: Struttura delle basi per la sicurezza TIC

1 Vedi https://www.isb.admin.ch, Direttive TIC > Sicurezza.

e

https://www.isb.admin.ch/isb/it/home.html


2/24

Indice

1 Disposizioni generali per la protezione di base delle TIC ......................... 3

1.1 Campo d’applicazione ........................................................................................... 3 1.2 Deroghe concernenti i requisiti della protezione di base delle TIC .................... 3 1.3 Disposizioni di esecuzione concernenti la protezione di base delle TIC ........... 4 1.4 Rinvio agli standard ISO ........................................................................................ 4

2 Requisiti minimi di sicurezza e responsabilità in merito alle esigenze in materia di protezione generale .................................................................... 5

1 Direttive concernenti la sicurezza delle informazioni (5)..................................... 5 2 Organizzazione della sicurezza TIC (6) ................................................................. 5 3 Sicurezza del personale e responsabilità dirigenziale (7) ................................... 6 4 Gestione di valori specifici all’organizzazione (8) ............................................... 7 5 Utilizzo di supporti di memoria e registrazione (8.3) ........................................... 7 6 Sistemi di postazioni di lavoro (notebook, desktop ecc.) (8.3) ........................... 7 7 Controllo dell’accesso (9) ...................................................................................... 8 8 Mezzi di autenticazione (9.4) ............................................................................... 10 9 Controllo dell’accesso per sistemi TIC e applicazioni (9.4)............................... 11 10 Crittografia (10) .................................................................................................... 12 11 Sicurezza fisica e ambientale (11) ....................................................................... 13 12 Sicurezza operativa (12) ...................................................................................... 13 13 Sicurezza della comunicazione (13) .................................................................... 17 14 Acquisto, sviluppo e manutenzione di sistemi informativi (14) ........................ 18 15 Relazione con i fornitori (15) ............................................................................... 19 16 Come comportarsi in caso di incidenti riguardanti la sicurezza delle

informazioni (16) .................................................................................................. 20 17 Garanzia dell’operatività (17) ............................................................................... 21

3 Ulteriori aspetti riguardanti la protezione di base delle TIC ................... 21

3.1 Condizioni quadro principali ............................................................................... 21 3.1.1 Archiviazione .......................................................................................................... 21 3.1.2 Basi giuridiche, protezione dei dati e sicurezza delle informazioni .......................... 21 3.1.3 Controllo federale delle finanze .............................................................................. 21 3.1.4 UFCL, armasuisse ................................................................................................. 22

3.2 Entrata in vigore e aggiornamento continuo...................................................... 22 3.3 Definizione degli oggetti TIC da proteggere ....................................................... 22 3.4 Portafoglio TIC ..................................................................................................... 22 3.5 Abbreviazioni e termini utilizzati ......................................................................... 23


3/24

1 Disposizioni generali per la protezione di base delle TIC

La protezione di base delle TIC disciplina in maniera vincolante i requisiti minimi di sicurezza

definiti nelle direttive (protezione di base) dal punto di vista organizzativo, personale e

tecnico nel settore della sicurezza TIC.

L’attuazione dei requisiti e delle misure in materia di sicurezza deve essere documentata e

verificata dall’unità amministrativa (UA) vincolata (n. 2.2 cpv. 2, n. 2.3 cpv. 2 e n. 3.2 cpv. 3

Istruzioni CF). Inoltre, si deve provvedere affinché la documentazione come i manuali

operativi e gli elenchi delle autorizzazioni sia gestita in modo da tenere conto delle esigenze

di revisione.

1.1 Campo d’applicazione

Il campo d’applicazione della presente direttiva è disciplinato dall’articolo 2 dell’ordinanza del

9 dicembre 20112 sull’informatica nell’Amministrazione federale (OIAF).

1.2 Deroghe concernenti i requisiti della protezione di base delle TIC

L’ODIC può autorizzare deroghe (art. 4.3 WUBinfV3) e tiene un elenco aggiornato di tutte le

deroghe accordate.

Se nel singolo caso, per motivi organizzativi, tecnici o economici, un’UA intende derogare

alla protezione di base delle TIC, nel senso che i requisiti minimi non sono più soddisfatti

(scostamenti), si è in presenza di una deroga che necessita di un’autorizzazione (art. 17

cpv. 1 lett. e, f OIAF).

L’UA ha identificato, quantificato e sottoposto all’ODIC o all’incaricato della sicurezza

informatica del dipartimento (ISID) per valutazione e decisione sotto forma di una richiesta

dettagliata i rischi connessi a tale deroga.

L’ISID può: a) autorizzare autonomamente deroghe (scostamenti) dalla protezione di base delle

TIC, se vengono osservate (integralmente) le seguenti condizioni quadro;

b) delegare all’incaricato della sicurezza informatica dell’unità amministrativa (ISIU) la competenza di autorizzare deroghe (scostamenti) alla protezione di base delle TIC, se vengono osservate (integralmente) le seguenti condizioni quadro ed è garantito il suo coinvolgimento o quello dell’ISID nel processo delle deroghe, affinché quest’ultimo possa assumersene in ogni momento la responsabilità.

L’oggetto TIC da proteggere non ha un elevato bisogno di protezione.

Lo scostamento dalla protezione di base delle TIC non riguarda i servizi standard e mette

in pericolo esclusivamente la propria UA.

L’incaricato della sicurezza informatica ha verificato che nessuna disposizione legale,

interna all’Ufficio o al dipartimento impedisca/vieti una deroga alla protezione di base

delle TIC.

Il richiedente ha identificato, quantificato e sottoposto all’incaricato della sicurezza

informatica per verifica e approvazione, sotto forma di una richiesta dettagliata, i rischi

connessi a tale deroga. Il committente (ad es. nel caso di progetti) e il responsabile dei

processi aziendali/delle applicazioni decidono quindi in collaborazione con l’incaricato

della sicurezza informatica in merito a una possibile deroga (scostamento) dalla

2 RS 172.010.58.

3 WUBinfV: «Weisungen des EFD zur Umsetzung der Bundesinformatikverordnung» (disponibile solo in tedesco e in francese).


4/24

protezione di base delle TIC a livello di Confederazione secondo le Istruzioni CF,

numero 3.2, capoverso 6.

I rischi legati allo scostamento dalla protezione di base delle TIC devono essere ridotti,

nel limite del possibile, con misure complementari/alternative. I rischi residui4 di cui viene

a conoscenza devono essere documentati e comunicati per iscritto ai committenti e ai

responsabili dei processi aziendali secondo il numero 3.4, capoverso 1 delle

Istruzioni CF.

Il responsabile dell’UA decide se prendere in considerazione i rischi residui di cui viene a

conoscenza (n. 3.4, cpv. 2 Istruzioni CF).

L’ISID tiene un elenco aggiornato e comunica almeno una volta all’anno all’ODIC le

decisioni sulle deroghe.

Solitamente vengono autorizzate solo deroghe limitate nel tempo.

1.3 Disposizioni di esecuzione concernenti la protezione di base delle TIC

Con la «Matrice d’accesso» l’ODIC emana disposizioni di esecuzione vincolanti concernenti

la protezione di base delle TIC.

Inoltre, pubblica raccomandazioni per la protezione di base delle TIC. È possibile consultare

la relativa documentazione sul sito Internet dell’ODIC5 nella relativa rubrica.

1.4 Rinvio agli standard ISO

La presente protezione di base delle TIC è un adeguamento dello standard ISO/IEC

27002:20136, ampliato con misure specifiche dell’Amministrazione federale. Il rinvio alla

corrispondente numerazione ISO è riportato in corsivo e tra parentesi accanto al relativo

numero. Per maggiori chiarimenti è possibile consultare anche le spiegazioni dettagliate

nello standard ISO/IEC 27002:2013.

4 Rischi che non possono essere ridotti o possono essere ridotti soltanto in modo insufficiente. 5 intranet.isb.admin.ch. 6 intranet.isb.admin.ch, Temi > Sicurezza > Informazioni specifiche > Norme ISO.


5/24

2 Requisiti minimi di sicurezza e responsabilità in merito alle esigenze in materia di protezione generale

1 Direttive concernenti la sicurezza delle informazioni (5)

1.1 Indirizzo del management della sicurezza delle informazioni (5.1)

N. Requisito Responsabile

dell’attuazione7

Tipo8

1.1.1 Nella revisione del 2019 il requisito è stato soppresso. Esso è

ora contenuto nelle Istruzioni CF (n. 2.2 cpv. 7).

- -


ora contenuto nelle Istruzioni CF (n. 3.2 cpv. 9).

- -


ora contenuto nelle Istruzioni CF (n. 2.1 cpv. 4 lett. c).

- -

2 Organizzazione della sicurezza TIC (6)

2.1 Dispositivi intelligenti (smart devices: smartphone e tablet) (6.1)


dell’attuazione

Tipo

2.1.1

(6.2.1)

Soltanto gli smart devices che vengono gestiti mediante un

Mobile Device Management (MDM)9 possono comunicare

con i sistemi dell’Amministrazione federale.

Il presente requisito non tratta le possibilità di accesso

anonimo e personalizzato alle applicazioni di Governo

elettronico e le pagine Internet pubbliche

dell’Amministrazione federale.

BP O

2.1.2

(6.2.1)

È vietato elaborare e salvare su smart devices informazioni

classificate con il livello di protezione CONFIDENZIALE o

SEGRETO nonché dati personali degni di particolare

protezione o profili della personalità.

Il presente requisito non tratta le applicazioni autorizzate a

tal fine (ad es. applicazioni per la comunicazione

crittografata10).

UT O

2.1.3 Nella revisione del 2018 il requisito è stato soppresso. - -


2.1.5 Nella revisione del 2018 il requisito è stato soppresso. Esso

è ora compreso nel requisito 6.2.

- -

7 Responsabile dell’attuazione: beneficiario di prestazioni (BP), fornitore di prestazioni (FP), utente (UT). La

presente ripartizione ha valore indicativo. Se si adotta una ripartizione diversa, ciò deve essere concordato per iscritto tra i soggetti interessati.

8 Tipo: organizzativo (O), tecnico (T), nota (N). 9 Vedi la direttiva TIC « E021 – Direttiva delle applicazioni concernente l’impiego di smartphone/smarttablet

Sync» (disponibile solo in tedesco e francese) sul sito intranet.isb.admin.ch, Direttive TIC, Direttive delle applicazioni > E021 - Einsatzrichtlinie Smartphone/Smarttablet Sync.

10 Vedi la direttiva TIC «E027 – Direttiva delle applicazioni concernente le comunicazioni vocali crittografate» (disponibile solo in tedesco e francese) sul sito intranet.isb.admin.ch, Direttive TIC > Direttive delle applicazioni > E027 - Einsatzrichtlinie Verschlüsselte Sprachkommunikation (VSK).

https://intranet.isb.admin.ch/isb_kp/de/home/ikt-vorgaben/einsatzrichtlinien.html

https://intranet.isb.admin.ch/isb_kp/de/home/ikt-vorgaben/einsatzrichtlinien.html


6/24

2.1.6

(6.2.1)

Il FP implementa un processo per regolamentare il

trattamento degli smart devices da riparare, smarriti o

rubati.

Questa regolamentazione deve essere comunicata in modo

appropriato alle unità amministrative.

Il processo deve prevedere almeno il resettaggio dello

smart device (ripristino delle impostazioni di fabbrica =

perdita di tutti i dati).

FP O


2.1.8

(6.2.1)

L’accesso agli smart devices deve essere protetto mediante password, PIN o elementi biometrici (touch ID ecc.).

Password e/o PIN devono contenere almeno sei caratteri. Sono vietate combinazioni ovvie come ID dell’utente, cognome, nome, data di nascita o serie di numeri del tipo 111111, 123456.

Lo smart device deve essere bloccato al più tardi dopo tre minuti di inattività. L’accesso sarà di nuovo possibile digitando la password, il PIN o gli elementi biometrici.

FP

UT

T

O

2.1.9 Nella revisione del 2018 il requisito è stato soppresso. Esso è ora compreso nel requisito 2.1.1.

- -


2.1.11 Nella revisione del 2018 il requisito è stato soppresso.

Esso è ora contenuto nella Strategia TIC parziale per il lavoro mobile nell’Amministrazione federale.

- -


3 Sicurezza del personale e responsabilità dirigenziale (7)

3.1 Responsabilità del management (7.2.1)


dell’attuazione

Tipo

3.1.1

(7.2.2)

I collaboratori devono essere istruiti e sensibilizzati secondo

il loro livello e la loro funzione sull’oggetto TIC da

proteggere nell’ambito della sicurezza TIC, in modo che

sappiano quali sono le loro responsabilità.

BP O

3.1.2

(7.3.1,

9.2.1)

I diritti dell’utente dei collaboratori per i vari tipi di accesso

agli oggetti TIC da proteggere devono essere sempre

aggiornati. Se l’assunzione, il mandato o l’accordo di utilizzo

con i collaboratori muta o termina, i diritti dell’utente devono

essere adeguati immediatamente alle nuove circostanze.

Occorre istituire una procedura per il trattamento degli

account non utilizzati.

BP O

3.1.3

(7.1)

Occorre verificare la necessità di un controllo di sicurezza

relativo alle persone per quanto riguarda l’accesso

all’oggetto TIC da proteggere.11

BP O

11 Vedi l’ordinanza del 4.3.2011 sui controlli di sicurezza relativi alle persone (OCSP; RS 120.4).


7/24

3.2 Responsabilità dei collaboratori di ogni livello (7.3.1)


dell’attuazione

Tipo


4 Gestione di valori specifici all’organizzazione (8)

4.1 Responsabilità dei valori specifici all’organizzazione (8.1)

N. Requisito Responsabilità

dell’attuazione

Tipo


Esso è ora contenuto nelle Istruzioni CF (3.2).

- -

4.1.2

(11.2.6)

Se mezzi TIC privati, inclusi software acquistati

privatamente, vengono utilzzati per scopi professionali,

deve essere garantito il bisogno di protezione delle

informazioni e dei dati in questione.

UT O

4.1.3

(11.2.6,

13.2.4)

L’elaborazione di informazioni professionali su sistemi TIC

diversi da quelli di proprietà della Confederazione è

ammessa solo sulla base di un contratto12 che disciplina le

esigenze rilevanti sotto il profilo della sicurezza.

BP O

5 Utilizzo di supporti di memoria e registrazione (8.3)


dell’attuazione

Tipo

5.1

(8.3.1,

8.3.2,

8.3.3)

I BP e i FP definiscono un piano per l’utilizzo di oggetti TIC da

proteggere finalizzati alla conservazione di dati (supporti di

dati). Esso dovrà focalizzarsi in particolare sulla loro

riparazione, sulla loro distruzione e sul loro smaltimento.

In ogni caso i supporti di dati devono essere smaltiti in modo

da rendere impossibile il recupero del loro contenuto o dei dati

memorizzati.

In linea di principio le riparazioni devono essere

regolamentate d’intesa con l’ISIU o l’ISID competente.

BP O

6 Sistemi di postazioni di lavoro (notebook, desktop ecc.) (8.3)


dell’attuazione

Tipo

6.1

(8.3.3,

18.1.5)

I sistemi di postazioni di lavoro (notebook, desktop) devono

essere protetti contro fughe di dati/informazioni (protezione

contro i furti) crittografando completamente i dischi.

FP T

6.2

(16.1.2)

L’utente deve segnalare immediatamente lo smarrimento di

un apparecchio (sistemi di postazioni di lavoro, smart

devices ecc.) al service desk del FP.

UT O

12 Ad es. contratti con esterni.


8/24

7 Controllo dell’accesso (9)

7.1 Requisiti per il controllo dell’accesso (9.1)


dell’attuazione

Tipo

7.1.1

(9.1.1,

9.3.1,

9.4.2)

Tutti gli accessi ai mezzi TIC devono essere protetti con

un’autenticazione corrispondente al bisogno di protezione.

Per l’accesso alle zone si applicano le disposizioni

contenute nel documento «Si002 - Matrice d’accesso13».

FP T

7.1.2 Nella revisione del 2019 il requisito è stato soppresso. FP T

7.1.3 Nella revisione del 2017 il requisito è stato soppresso. Esso

è ora compreso nel requisito 8.1.

- -

7.1.4

(9.4.1,

9.2.5)

Gli utenti devono possedere solo i diritti per l’utilizzo dei

mezzi TIC di cui hanno obbligatoriamente bisogno.

I responsabili di applicazioni, sistemi e collezioni di dati

verificano una volta all’anno la correttezza e la necessità dei

diritti accordati agli utenti.

BP O

7.1.5

(9.2.3,

12.4.3)

Non sono consentiti diritti di amministratore locali sui sistemi

di postazioni di lavoro.

Se indispensabile, l’impiego di diritti di amministratore deve

essere garantito in modo da essere tracciabile (logging).

Deve essere definito il relativo piano SIPD.

FP T

7.1.6

(6.1.2)

La separazione dei poteri tra autorizzazione e assegnazione

di diritti d’accesso deve essere osservata e documentata.

Le deroghe a questo requisito devono essere descritte nel

documento «Attuazione delle misure per la protezione di

base delle TIC nell’Amministrazione federale» o in un piano

SIPD.

BP O

7.1.7

(9.2.3)

L’accesso di persone ai sistemi di postazioni di lavoro e di

server dell’Amministrazione federale è consentito solo

mediante un’autenticazione a due fattori14.

Per le deroghe si rimanda al documento «Richiesta di

autorizzazione speciale per account impersonali (account E

e F)»15.

Qualora non fosse possibile garantire questo tipo di

accesso, la soluzione corrispondente deve essere descritta

in un piano SIPD.

FP T

7.1.8

(9.1.2,

9.2.3,

12.4.3)

Per la manutenzione da remoto devono essere predisposti

speciali account degli utenti. Tali account devono essere

sorvegliati e il loro utilizzo deve essere tracciabile (logging).

FP T

7.1.9

(9.1.2)

Un accesso senza restrizioni16 può avvenire solo se

crittografato.

FP T

13 intranet.isb.admin.ch, Direttive TIC > Sicurezza > Si002 – Matrice d’accesso. 14 DCF del 4.6.2010. 15 intranet.isb.admin.ch, Direttive TIC > Sicurezza > Si002 – Matrice d’accesso > Si002-Hi01 - Richiesta di

autorizzazione speciale per account impersonali (account E e F). 16 Definizione contenuta nel documento «Si002 – Matrice d’accesso»; intranet.isb.admin.ch, Direttive TIC >

Sicurezza > Si002 – Matrice d’accesso.

https://sharepoint.admin.ch/sites/608-ISB-SEC/Intern/Ueberarbeitung%202018/Ueberarbeitete%20Grundschutzvorgaben%20b)%20nach%20A-IS%20und%20zur%20Ubersetzung/intranet.isb.admin.ch

intranet.isb.admin.ch

https://sharepoint.admin.ch/sites/608-ISB-SEC/Intern/Ueberarbeitung%202018/Ueberarbeitete%20Grundschutzvorgaben%20b)%20nach%20A-IS%20und%20zur%20Ubersetzung/intranet.isb.admin.ch


9/24

7.1.10

(9.1.2,

9.2.3)

L’accesso remoto alla postazione di lavoro per fornire

assistenza è autorizzato solo dopo aver chiesto

esplicitamente il permesso dell’utente.

FP O

7.1.11 Gli account di servizio non interattivi (ad es. i «service

accounts»):

devono essere associati al servizio in modo univoco (un account per servizio);

possono avere soltanto i privilegi minimi di cui necessitano.

FP T


10/24

8 Mezzi di autenticazione (9.4)


dell’attuazione

Tipo

8.1

(9.4.3)

Requisiti in materia di password per l’identificazione

personale: lunghezza:

password utente di almeno 10 caratteri, password amministratore di almeno 12 caratteri, Per il login con la tessera PIN valgono i requisiti del

Certification Service Provider (CSP); composizione:

maiuscole e minuscole, cifre e caratteri speciali, devono figurare almeno tre di questi elementi, è vietato utilizzare password ovvie come ID utente,

cognome, nome, data di nascita ecc., è vietato utilizzare la stessa password aumentando

o diminuendo di un’unità una cifra in essa contenuta (ad es. da Giuseppe_10 a Giuseppe_11);

ripetizione di password: password iniziale = nessuna ripetizione, password utente e amministratore = ripetizione dopo

10 modifiche; tentativi:

al massimo 5, dopo di che l’ID utente dovrà essere bloccato;

trasmissione a terzi e conservazione: la password e il PIN sono personali e non possono

essere trasmessi a terzi, Le password devono essere conservate protette17;

unicità: per ogni sistema e account deve essere utilizzata

una nuova password, diversa dalle altre.

La password o il PIN devono essere modificati

immediatamente se vi è il sospetto che una persona non

autorizzata ne sia a conoscenza.

Deroghe riguardanti la composizione devono essere

stabilite per iscritto nel documento «Attuazione delle

misure per la protezione di base delle TIC

nell’Amministrazione federale» o in un piano SIPD.

FP

UT

T

O

8.2

(9.4.3)

Requisiti in materia di password per l’identificazione

impersonale18: ID utente o password impersonali devono essere

assegnati il meno possibile; è possibile derogare ai requisiti in materia di password

di cui al requisito 8.1 solo se: con questa ID utente o password si accede

esclusivamente ad applicazioni che hanno bisogno di protezione in generale (protezione di base), o

esiste un piano SIPD approvato nonché un’autorizzazione dell’ISID.

BP O

17 Con un programma di gestione delle password (KeePass per esempio). 18 Al riguardo, vedi gli aiuti relativi agli account funzionali nella matrice d’accesso.


11/24

8.3

(9.4.2)

Gli utenti con un account di servizio non interattivo devono

autenticarsi con una procedura PKI. La chiave privata

(private key) deve essere protetta sul sistema con i diritti

d’accesso necessari. Se non è possibile osservare la suddetta regola, occorre rispettare le regole seguenti per la creazione della password: lunghezza:

almeno 28 caratteri (se tecnicamente fattibile); composizione:

maiuscole e minuscole, cifre e caratteri speciali, devono figurare almeno tre di questi elementi;

rinnovo automatico: se il sistema prevede un’opzione di rinnovo

automatico della password, è necessario attivarla e impostare la maggiore frequenza possibile di rinnovo;

unicità: per ogni sistema e account deve essere utilizzata

una nuova password, diversa dalle altre; utilizzo:

è consentito esclusivamente un utilizzo statico. La password non può essere utilizzata da persone per lavorare su sistemi TIC o applicazioni;

conservazione / documentazione: la password deve essere conservata per iscritto in

un luogo sicuro per emergenze e/o lavori di manutenzione (ad es. in una cassaforte),

la gestione dei cambiamenti di password deve essere descritta nel piano SIPD o nel piano operativo del sistema o dell’applicazione.

FP T

8.4

(9.2.1,

9.2.2,

9.4.3)

Le UA dispongono di un processo di ripristino dei mezzi di

autenticazione dimenticati, scaduti o bloccati che viene

attuato e documentato.

BP O

8.5 Nella revisione del 2018 il requisito è stato soppresso.

Esso è ora compreso nel requisito 7.1.4. - -

9 Controllo dell’accesso per sistemi TIC e applicazioni (9.4)


dell’attuazione

Tipo

9.1

(9.4.1,

9.4.4)

I compiti amministrativi che richiedono diritti locali di amministratore devono

essere svolti da sistemi TIC dedicati (ad es. Privileged Access Workstation);

devono essere svolti mediante account personali speciali di amministratore.

Per le applicazioni con un bisogno di protezione più

elevato occorre stabilire nel piano SIPD se e, in caso

affermativo, quali attività amministrative devono essere

svolte da sistemi TIC dedicati.

FP

BP

T


12/24

9.2

(9.4.4)

L’amministrazione di sistemi di server viene effettuata su

un’apposita rete (logica) separata e deve essere svolta su

sistemi TIC dedicati e dotati di speciali dispositivi di

sicurezza. Questa rete non può consentire l’accesso a

Internet o alle applicazioni per la comunicazione d’ufficio

(cioè alle caselle di posta elettronica). Se l’amministrazione

non è attuabile a livello tecnico il tipo di accesso

amministrativo deve essere descritto in un piano SIPD.

Per accedere a questi livelli di gestione amministrativa e ai

relativi sistemi target da amministrare si deve applicare

un’autenticazione a due fattori.

FP T

9.3

(9.4.2)

Il tempo a disposizione per il processo di autenticazione19

deve essere limitato per quanto tecnicamente possibile.

FP T

9.4

(9.4.2)

L’accesso al sistema deve bloccarsi automaticamente al

massimo dopo 15 minuti di inattività. Anche il blocco

manuale deve essere possibile. Se quest’ultimo non è

possibile per motivi tecnici, l’accesso alle postazioni di

lavoro non sorvegliate con sessioni attive deve essere

protetto (ad es. chiusura a chiave del locale).

Le deroghe a questo requisito devono essere descritte nel


base delle TIC nell’Amministrazione federale» o in un

piano SIPD.

FP T

10 Crittografia (10)

10.1 Requisiti crittografici (10.1)


dell’attuazione

Tipo

10.1.1

(10.1.1)

I procedimenti e i metodi crittografici impiegati devono

essere tecnologicamente avanzati20.

FP T


10.1.3

(10.1.1,

13.1.2)

Nell’impiego di sistemi di crittografia asimmetrici i certificati

devono essere emessi da Swiss Government PKI o da una

CA autorizzata dal rispettivo FP.

Laddove non è tecnicamente fattibile, si possono utilizzare

certificati di altri emittenti riconosciuti. Ciò deve essere

descritto in un piano SIPD.

FP T

10.1.4

(10.1.1)

L’amministrazione di chiavi crittografiche, compresi i

metodi per la gestione della loro protezione e del recupero

di dati crittografati in caso di chiavi smarrite, compromesse

o danneggiate, devono essere documentati e

periodicamente testati per verificare la loro affidabilità.

FP T

19 Dall’inizio della sessione. 20 I metodi crittografici raccomandati per l’Amministrazione federale si trovano su: intranet.isb.admin.ch > Direttive

TIC > Sicurezza > Raccomandazioni.

https://intranet.isb.admin.ch/dam/isb_kp/it/dokumente/ikt-vorgaben/sicherheit/Empfehlungen-Kryptografie_Grundschutz_V1-1-i.pdf.download.pdf/Empfehlungen-Kryptografie_Grundschutz_V1-1-i.pdf

https://intranet.isb.admin.ch/dam/isb_kp/it/dokumente/ikt-vorgaben/sicherheit/Empfehlungen-Kryptografie_Grundschutz_V1-1-i.pdf.download.pdf/Empfehlungen-Kryptografie_Grundschutz_V1-1-i.pdf


13/24

10.1.5 Gli archivi dei certificati devono essere amministrati dal FP.

Laddove non è tecnicamente fattibile (ad es. nel caso di

dispositivi multifunzione), si possono utilizzare certificati di

altri emittenti riconosciuti. Ciò deve essere descritto in un

piano SIPD.

FP T

10.1.6 L’elenco delle CA affidabili deve essere amministrato dal

FP.

FP O

11 Sicurezza fisica e ambientale (11)

11.1 Settori di sicurezza (11.1)


dell’attuazione

Tipo

11.1.1

(11.1)

La necessità di adottare misure edili e tecniche ai fini della

sicurezza fisica deve essere chiarita di comune accordo

con l’UFIT, armasuisse e il Servizio federale di sicurezza.

BP O

11.1.2

(11.2.1,

11.2.3)

I sistemi TIC devono essere protetti per quanto possibile

dall’accesso fisico di persone non autorizzate.

FP O


Esso è ora disciplinato all’interno del requisito 13.1.4.

- -

12 Sicurezza operativa (12)

12.1 Metodi operativi e responsabilità (12.1)


dell’attuazione

Tipo

12.1.1

(8.1.1,

8.1.2,

12.1.1)

I seguenti punti concernenti l’installazione, la gestione, la

manutenzione e l’utilizzo degli oggetti TIC da proteggere

devono essere documentati e costantemente aggiornati: hardware di sistema; sistema operativo e altri software di sistema; componenti di applicazioni (ad es. programmi,

modifiche, parametrizzazione); impostazioni e funzioni rilevanti per la sicurezza; ciclo di vita (life cycle); persona responsabile.

FP

BP

O

12.1.2

(12.1.2,

14.2.4)

Nell’ambito della sostituzione di hardware e software si

devono verificare ed eventualmente adeguare le funzioni

rilevanti per l’attività e sotto il profilo tecnico della

sicurezza.

BP O

12.1.3

(12.1.2)

Le richieste di modifica (change request) nell’ambiente

operativo devono essere tracciabili.

BP O


14/24

12.1.4

(12.1.2)

Gli ambienti riguardanti, ad esempio, lo sviluppo,

l’integrazione, la formazione e i test devono essere

separati sotto il profilo logico dagli ambienti21 di produzione

e devono essere protetti anch’essi in maniera adeguata22.

Le deroghe a questa misura devono essere descritte nel


base delle TIC nell’Amministrazione federale» o in un

piano SIPD.

FP T

12.2 Protezione contro software dannosi (malware) (12.2)


dell’attuazione

Tipo

12.2.1

(12.2.1)

Tutte le TIC devono essere protette contro attacchi da

software dannosi mantenendo aggiornato il software

esistente23.

Sulla base della strategia di protezione contro il malware24,

i FP definiscono un relativo piano in cui si disciplinano

almeno i seguenti aspetti: processi e responsabilità; aggiornamenti del software per la protezione contro il

malware; definizione delle priorità e della periodicità delle

scansioni (ad es. client, server, memoria); realizzazione tecnica.

FP T

12.2.2

(12.2.1,

16.1.2)

In caso di sospetto di attacco da malware si deve

informare immediatamente il service desk. Il modo di

procedere dettagliato (compreso lo scollegamento dei

sistemi dalla rete) deve essere stabilito nei relativi

processi.

UT

BP

O

12.2.3

(12.2.1)

Per i sistemi di postazioni di lavoro (ad es. laptop) che non

sono costantemente collegati in rete, devono essere

installati aggiornamenti di sicurezza almeno una volta al

mese.

UT O

12.2.4

(12.2.1

14.1.1)

La funzione di autorun in caso di collegamento di supporti

di memoria esterni deve essere disattivata in tutti i sistemi

operativi (sistemi di postazioni di lavoro e server).

FP T

12.3 Backup (12.3)


dell’attuazione

Tipo

12.3.1

(12.3.1)

La ricostruzione dei dati e la loro riutilizzabilità dopo che

sono stati persi devono essere descritte dal FP

responsabile per iscritto (ad es. in un piano per la

salvaguardia dei dati).

FP O

12.3.2

(12.3.1)

Il ripristino di dati deve essere collaudato periodicamente.

L’utilizzabilità dei dati deve essere confermata dal FP.

FP T

21 Sistemi, applicazioni, dati. 22 Ad esempio, accesso a Internet solo tramite browser virtuali e client di posta elettronica per gli ambienti di

sviluppo. 23 Vedi «Malware Strategie für die Bundesverwaltung», disponibile in tedesco. 24 intranet.isb.admin.ch, Direttive TIC > Strategie e strategie parziali > SB003 – IKT-Teilstrategie Malwareschutz,

disponibile in tedesco.

https://intranet.isb.admin.ch/dam/isb_kp/de/dokumente/ikt-vorgaben/strategien/malware/sb003-Malwareschutz_Strategie_Bund_v400.pdf.download.pdf/sb003-Malwareschutz_Strategie_Bund_v400.pdf

https://intranet.isb.admin.ch/isb_kp/it/home/ikt-vorgaben/strategien-teilstrategien/sb003-teilstrategie_malwareschutz.html


15/24

12.4 Registrazione e monitoraggio (12.4)


dell’attuazione

Tipo

12.4.1

(12.4.1

12.4.3)

Le seguenti attività per i sistemi TIC e le applicazioni

devono essere registrate, sorvegliate e valutate

rapidamente (per quanto possibile in forma pseudonima) in

modo conforme allo scopo e tracciabile: inizializzazione e spegnimento del sistema; tentativi di autenticazione falliti (compresa

l’identificazione univoca dell’origine); accessi all’oggetto falliti; attribuzione e modifica di privilegi; tutte le azioni che richiedono privilegi più elevati.

FP T

12.4.2

(12.4.4)

L’ora del sistema deve essere sincronizzata centralmente

e può essere modificata solo previa autorizzazione.

FP T

12.4.3

(12.4.1)

Deve essere garantito un adeguato monitoraggio tecnico

del sistema e della rete.

FP O

12.4.4

(11.2.4)

Per sistemi di server che richiedono una protezione molto

elevata deve essere periodicamente effettuata una verifica

della loro integrità25 al fine di rilevare eventuali modifiche

non autorizzate26.

Le modifiche inattese devono successivamente essere

analizzate nei dettagli dai sistemisti e dagli specialisti in

materia di sicurezza. In ogni caso, i sistemi che sono stati

modificati illecitamente devono essere immediatamente

scollegati dalla rete e messi sotto controllo. Dopo

un’eventuale analisi forense i sistemi infetti devono

comunque essere completamente cancellati e reinstallati.

FP T

12.5 Controllo di software operativi (12.5)


dell’attuazione

Tipo

12.5.1

(12.5.1)

Si deve verificare l’autenticità del software (ad es. le firme).

Le modifiche non autorizzate constatate devono essere

analizzate e chiarite.

FP T

25 Per maggiori informazioni sull’interpretazione di questo requisito, sul suo adempimento allo stato attuale, sugli

strumenti a tale fine e su come questi ultimi devono essere impiegati nell’Amministrazione federale vedi la considerazione sulla tecnologia «Integritätsprüfung von Systemen» (disponibile solo in tedesco): intranet.isb.admin.ch > Direttive TIC > Sicurezza > Considerazioni sulla teconologia.

26 DCF del 16.12.2009.

https://intranet.isb.admin.ch/dam/isb_kp/de/dokumente/themen/sicherheit/technologiebetrachtungen/Technolgiebetrachtung-Integritaetspruefung_von_Systemen_V1-0-d.pdf.download.pdf/Technolgiebetrachtung-Integritaetspruefung_von_Systemen_V1-0-d.pdf


16/24

12.6 Gestione delle vulnerabilità (12.6)


dell’attuazione

Tipo

12.6.1

(12.6.1)

Le correzioni di errori (patch) devono essere verificate e

installate il più rapidamente possibile. Devono essere

implementati processi che garantiscono una correzione

rapida degli errori. In particolare, si devono controllare i

componenti del sistema, i software della burotica, le

applicazioni web, il browser Internet e i relativi software

aggiuntivi.

Se non è più possibile correggere gli errori poiché i sistemi

sono obsoleti, si devono adottare misure che consentano

di sostituirli (gestione del ciclo di vita). Se ciò non è

possibile, si deve descrivere in un piano SIPD come sarà

garantita la continuità operativa (due anni al massimo).

FP

BP

T

O

12.6.2

(12.6.1,

14.2.8,

14.2.9)

Tutte le applicazioni e i sistemi TIC devono essere

controllati:

nella fase di sviluppo,

prima della loro attivazione e

periodicamente nella loro fase operativa, in particolare in caso di modifiche sostanziali,

per accertarsi che non vi siano vulnerabilità.

I risultati devono essere documentati. Le vulnerabilità

individuate devono essere valutate e adeguatamente

eliminate prima dell’attivazione. In particolare le

applicazioni e i sistemi TIC con accesso a Internet non

possono presentare vulnerabilità critiche nella produzione.

Eventuali vulnerabilità riguardanti le applicazioni Internet

devono essere verificate e adeguatamente eliminate in

base agli attuali rischi definiti dall’OWASP Top 10 (Open

Web Application Security Project).

FP T

12.6.3 Nella revisione del 2016 il requisito è stato soppresso ed è

stato integrato nel requisito 12.6.2.

- -

12.7 Ripercussioni degli audit sui sistemi informatici (12.7)


dell’attuazione

Tipo

12.7.1

(12.7.1)

I requisiti e le attività di audit correlate ai sistemi TIC

rilevanti ai fini della gestione devono essere accuratamente

pianificati, documentati e convenuti per contratto, in modo

da minimizzare le interruzioni dei processi lavorativi.

BP O

12.7.2

(18.2)

Gli audit devono essere effettuati da un servizio

indipendente.

BP O


17/24

13 Sicurezza della comunicazione (13)

13.1 Gestione della sicurezza di rete (13.1)


dell’attuazione

Tipo

13.1.1

(13.1.1)

Per le reti devono essere costantemente aggiornati i

seguenti documenti: proprietario e gestore della rete; topologia di rete, inclusi i suoi componenti attivi e

relative configurazioni; • requisiti per l’amministrazione dei componenti attivi delle

reti.

FP O

13.1.2

(13.1.2,

13.1.3)

Se una o più virtualizzazioni (ad es. sistemi, dati, reti,

memorie delle TIC) vengono gestite su un’unità fisica e non

appartengono alle stesse zone di rete, si deve dimostrare

mediante un piano SIPD approvato dal FP che i rischi sono

sostenibili in misura almeno equivalente rispetto a una

soluzione a sé stante.

Il FP comunica al BP in precedenza le modifiche che hanno

ripercussioni sul piano SIPD approvato (ad es. modifiche a

una piattaforma virtuale).

FP O

13.1.3

(13.1.2)

I componenti di rete devono essere protette contro attacchi.

Le misure di sicurezza adottate devono essere

documentate.

FP T

13.1.4

(13.1.2)

Tutti i componenti di rete configurabili e attivi devono essere

protetti contro gli accessi da parte di persone non

autorizzate.

Si applicano i seguenti requisiti: l’accesso amministrativo a componenti di rete attivi deve

essere garantito con misure di autenticazione e autorizzazione appropriate. Se è possibile, si usano autenticazioni a due fattori mediante certificati di classe B, altrimenti devono essere usati altri strumenti di autenticazione forte (ad es. password monouso);

l’accesso remoto avviene tramite un collegamento crittografato a partire da una rete di gestione dedicata (analogamente al n. 9.2). L’accesso alla rete di gestione deve essere protetto con crittografia e autenticazione a due fattori;

le modifiche delle configurazioni di componenti di rete attivi devono essere effettuate conformemente alla gestione della configurazione e delle modifiche;

le configurazioni possono essere trasmesse solo in modalità protetta;

eventuali dati d’accesso devono essere salvati nelle configurazioni in modalità protetta;

tutti i componenti devono disporre di meccanismi per disattivare interfacce, moduli e funzioni inutilizzati.

FP T


18/24

13.1.5

(13.1.2)

Il traffico di dati su Internet in un dominio della

Confederazione è soggetto alla «Direttiva sui web proxy

dell’AF»27 e deve essere conforme alla relativa policy28.

L’intero traffico su Internet del dominio di rete blu29 deve

essere collegato tramite un proxy array della

Confederazione.

FP T

13.1.6

(13.1.2,

12.4.1)

Tutti i protocolli di comunicazione (logfile e proxy log) di

passaggi di rete (firewall e gateway) devono essere

conservati per 2 anni e valutati secondo le regole30.

I log devono essere protetti contro successive

manipolazioni.

FP O

13.1.7

(13.1.2,

13.2)

La confidenzialità e l’integrità di dati sensibili (ad es. dati di

autenticazione) devono essere protette nella trasmissione

attraverso reti.

FP T

13.1.8 Nella revisione del 2015 il requisito è stato soppresso ed è

stato integrato nel requisito 7.1.7.


13.1.10

(13.2.1)

I siti Internet della Confederazione liberamente accessibili devono essere protetti mediante i certificati SSL/TLS (HTTPS). I rispettivi certificati sono ottenibili come descritto al requisito 10.1.3.

FP T

14 Acquisto, sviluppo e manutenzione di sistemi informativi (14)

14.1 Requisiti in materia di sicurezza per i sistemi informativi (14.1)


dell’attuazione

Tipo

14.1.1

(14.1.1)

Le periferiche (ad es. tastiere, stampanti o sistemi di

presentazione) che devono essere integrate o installate

(driver), devono essere procurate dal servizio d’acquisto

della Confederazione31.

L’integrabilità e la sicurezza devono essere

preventivamente chiarite dal servizio d’acquisto del FP.

FP T

14.1.2

(9.2.4)

Per quanto riguarda la fornitura e la prima installazione di

componenti di applicazioni e sistemi, gli account, le

password iniziali, i privilegi o i diritti d’accesso predefiniti

devono essere controllati immediatamente ed

eventualmente modificati o rimossi.

FP T

27 https://intranet.isb.admin.ch, Direttive TIC > Sicurezza > Si004 – Direttiva sui web proxy dell’AF. 28 Secondo il documento «Si003-Sicurezza delle reti nell’Amministrazione federale», www.isb.admin.ch, Direttive

TIC > Sicurezza > Si003 – Sicurezza delle reti nell’Amministrazione federale. 29 Per la policy relativa al dominio di rete blu vedi «Si003 - Sicurezza delle reti nell’Amministrazione federale»

Allegato A. 30 Al riguardo vedi l’ordinanza del 22.2.2012 sul trattamento di dati personali derivanti dall’utilizzazione

dell’infrastruttura elettronica della Confederazione, RS 172.010.442.

31Al riguardo vedi anche la decisione, disponibile solo in tedesco, «A-IS-Beschluss 66.10: Minimale Sicherheitsanforderungen», applicabile a dispositivi per la trasmissione o la copia di documenti nel settore della burotica (scanner, stampanti, fax, fotocopiatrici o una combinazione di essi, spesso definiti anche apparecchi multifunzione).

https://intranet.isb.admin.ch/isb_kp/it/home/ikt-vorgaben/sicherheit.html#2047215121

https://www.admin.ch/opc/it/classified-compilation/20111415/index.html

https://www.admin.ch/opc/it/classified-compilation/20111415/index.html

https://intranet.isb.admin.ch/isb_kp/de/home/informatikorganisation_bund/a-is/beschluesse.html#912383895


19/24

14.1.3

(14.1.1)

Le impostazioni di sicurezza TIC possono essere

riconfigurate, disinstallate o disattivate solo previa

autorizzazione.

FP T

14.1.3

(14.1.1)

Le impostazioni di sicurezza TIC possono essere

riconfigurate, disinstallate o disattivate solo previa

autorizzazione

FP T

14.1.4

(14.1.1)

Ogni sistema può avere solo una configurazione minima,

necessaria per il suo funzionamento (per quanto riguarda il

software, i servizi, gli account e il pannello di controllo), al

fine di ridurre al minimo le aree vulnerabili agli attacchi. A

seconda del bisogno di protezione e dell’ambiente, sono

opportune misure di protezione avanzata. È necessario

prevedere una gestione centralizzata della configurazione.

Le deroghe devono essere documentate per iscritto e devono essere approvate dall’ISIU del FP e del BP competente.

FP T

14.2 Dati di prova (14.3)


dell’attuazione

Tipo

14.2.1

(14.3.1)

I dati di prova devono essere protetti in funzione della loro

classificazione.

Se è indispensabile che i dati produttivi vengano utilizzati a

fini sperimentali, essi devono essere protetti in base alla

loro classificazione.

FP T

15 Relazione con i fornitori (15)

15.1 Regolamentazione della fornitura di prestazioni da parte di terzi (15.2)


dell’attuazione

Tipo

15.1.1

(15.1,

15.2,

18.1.1,

18.1.2)

Per quanto riguarda le prestazioni di servizi da parte di

terzi, i requisiti in materia di sicurezza TIC della

Confederazione devono essere disciplinati in modo

vincolante e contrattualmente.

Il relativo consenso dell’autorità preposta deve essere

acquisito conformemente alle procedure d’ufficio o a quelle

specifiche per i dipartimenti32.

BP O

32 Il documento «Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso in

relazione all’articolo 320 CP» contiene una base per le procedure di ottenimento del consenso specifiche all’organizzazione. Vedi https://intranet.isb.admin.ch/isb_kp/it/home.html, Direttive TIC > Sicurezza > Si001 - Protezione di base TIC nell’Amministrazione federale > Si001 - Hi04 – Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso.


20/24

15.2 Rischi in materia di violazione del segreto d’ufficio (15.2)


dell’attuazione

Tipo

15.2.1

(15.2,

7.1.1)

La rivelazione di segreti d’ufficio a fornitori esterni di TIC

deve essere ridotta al minimo.

Devono essere adottate le seguenti misure:

l’assistenza remota sui sistemi TIC avviene possibilmente via jump server. Se occorre, essa viene attivata manualmente e fornita soltanto per il tempo necessario;

l’assistenza remota deve essere monitorata (registrazione e/o principio del doppio controllo);

le connessioni per l’assistenza remota devono essere crittografate;

i dati possono essere consegnati solo previa procedura di autorizzazione o solo dal proprietario dei dati;

deve essere possibile controllare i processi esternalizzati.

Il relativo consenso dell’autorità preposta o, se possibile,

del titolare dei dati, deve essere acquisito secondo le

procedure d’ufficio e quelle specifiche per i dipartimenti33.

Ulteriori requisiti sono descritti nel documento «Prescrizioni

evitare i potenziali rischi di violazione del segreto d’ufficio

nell’Amministrazione federale»34.

BP

O

16 Come comportarsi in caso di incidenti riguardanti la sicurezza delle

informazioni (16)

Nr. Requisito Responsabile

dell’attuazione

Art

16.1

(16.1)

Devono essere sviluppati dei piani per poter reagire in

modo adeguato in caso di incidente legato alla sicurezza

riferito all’oggetto TIC da proteggere.35

BP O

16.2

(15.2,

16.1)

Il FP, in caso di incidenti o di lacune riguardanti la

sicurezza che lo coinvolgono, deve informare

immediatamente il beneficiario delle sue prestazioni. I dati

riguardanti lo storico degli eventi corrispondenti devono

essere messi a disposizione del BP per effettuare analisi.

FP O

33 Il documento «Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso in

relazione all’articolo 320 CP» costituisce la base per le procedure di ottenimento del consenso specifiche all’organizzazione. Vedi intranet.isb.admin.ch, Direttive TIC > Sicurezza > Si001 - Protezione di base delle TIC nell’Amministrazione federale > Si001 - Hi04 - Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso

34 Vedi intranet.isb.admin.ch. Direttive TIC > Sicurezza > Si001 - Protezione di base delle TIC nell’Amministrazione federale > Si001-Hi03 - Direttive per evitare i rischi di violazione del segreto d’ufficio nell’Amministrazione federale

35 Il requisito deve essere conforme al processo per l’elaborazione degli incidenti riguardanti la sicurezza (SVBP) dell’UA.


21/24

17 Garanzia dell’operatività (17)

17.1 Continuità della sicurezza delle informazioni (17.1)


dell’attuazione

Tipo

17.1.1

(11.2.2,

17.1,

17.2)

In base alle esigenze dell’oggetto TIC da proteggere,

devono essere sviluppati, documentati e attuati piani per

garantire e ripristinare l’operatività dell’oggetto stesso in

caso di guasti, emergenze e catastrofi (ITSCM).

Devono essere definite misure per garantire i processi

operativi critici (BCM) 36.

LB O

3 Ulteriori aspetti riguardanti la protezione di base delle TIC

3.1 Condizioni quadro principali

3.1.1 Archiviazione

I requisiti per l’archiviazione di informazioni elettroniche si fondano sulle direttive dell’Archivio

federale (legge del 26 giugno 1988 sull’archiviazione, LGA37). Quest’ultimo coordina la

gestione degli atti e sostiene le unità organizzative nella sua attuazione.

3.1.2 Basi giuridiche, protezione dei dati e sicurezza delle informazioni

Ai sensi dell’articolo 13 della Costituzione federale svizzera e delle disposizioni legali della

Confederazione sulla protezione dei dati ognuno ha diritto al rispetto della sua sfera privata

nonché d’essere protetto da un impiego abusivo dei suoi dati personali. Le autorità federali si

attengono a queste disposizioni.

Le esigenze in materia di protezione dei dati sono disciplinate nella legge federale del

19 giugno 199238 sulla protezione dei dati (LPD) e nell’ordinanza del 14 giugno 199339

relativa alla legge federale sulla protezione dei dati (OLPD).

Per una base corretta di un progetto TIC costituiscono parte integrante gli articoli 6−8

dell’ordinanza sull’informatica nell’Amministrazione federale (OIAF).

3.1.3 Controllo federale delle finanze

Il Controllo federale delle finanze è l’organo superiore di vigilanza finanziaria della Confederazione e orienta la sua attività di verifica alla legge del 28 giugno 196740 sul Controllo delle finanze (LCF).

36 Il presente requisito deve essere conforme al BCM dell’UA. 37 RS 152.1. 38 RS 235.1. 39 RS 235.11. 40 RS 614.0.


22/24

3.1.4 UFCL, armasuisse

Uno dei principali compiti dell’Ufficio federale delle costruzioni e della logistica (UFCL)

consiste nel collocare le unità dell’Amministrazione federale civile. L’obiettivo è sistemare il

maggiore numero possibile di unità amministrative in immobili di proprietà della

Confederazione. In collaborazione con il Servizio federale di sicurezza (SFS), l’UFCL emana

le prescrizioni tecniche ed edilizie.

Armasuisse è responsabile per conto del DDPS degli immobili della Confederazione e della

loro conformità alle disposizioni edilizie.

3.1.5 Servizio specializzato CSP41 DDPS e CSP CaF Il servizio specializzato per i controlli di sicurezza relativi alle persone in seno al Dipartimento

federale della difesa, della protezione della popolazione e dello sport (servizio specializzato

CSP DDPS) esegue i controlli di sicurezza secondo gli articoli 10, 11 e 12 capoverso 1

dell’ordinanza del 4 marzo 2011 sui controlli di sicurezza relativi alle persone (OCSP) in

collaborazione con gli organi di sicurezza della Confederazione e dei Cantoni.

Il servizio specializzato per i controlli di sicurezza relativi alle persone in seno alla Cancelleria

federale (servizio specializzato CSP CaF) esegue i controlli di sicurezza secondo l’articolo 12

capoverso 2 OCSP con il sostegno del servizio specializzato CSP DDPS.

3.2 Entrata in vigore e aggiornamento continuo

I requisiti dell’ODIC sulla protezione di base delle TIC entrano in vigore il 1° febbraio 2019.

L’ODIC esamina periodicamente l’attualità di questi requisiti come pure le disposizioni di

esecuzione. La versione più aggiornata è disponibile sul sito Internet dell’ODIC.

3.3 Definizione degli oggetti TIC da proteggere

Gli oggetti TIC da proteggere sono applicazioni, servizi, sistemi, reti, collezioni di dati,

infrastrutture e prodotti TIC che devono essere impiegati nell’Amministrazione federale e

quindi essere protetti. Di conseguenza vengono trattati nelle istruzioni.

Nella definizione e delimitazione di un oggetto TIC da proteggere si devono considerare gli

aspetti operativi e organizzativi. Se necessario, devono essere definiti più oggetti TIC da

proteggere in modo che, con la consegna del progetto per l’attivazione, le responsabilità

possano essere trasferite interamente e in modo univoco alle organizzazioni operative

competenti. È possible che un oggetto da proteggere di livello superiore contenga vari

oggetti, purché siano affini e richiedano la stessa protezione.

3.4 Portafoglio TIC

La documentazione sulla sicurezza delle applicazioni deve essere tenuta a livello centrale.

Nel portafoglio TIC (Cockpit TIC)42, per ogni applicazione indicata, deve essere riportato

almeno il link al rispettivo archivio.

41 Art. 3 OCSP. 42 Cfr. n. 2.2 cpv. 5 del documento «W007 - Istruzioni del Consiglio federale del 16.3.2018 concernenti i progetti

TIC dell’Amministrazione federale e il portafoglio TIC della Confederazione».


23/24

3.5 Abbreviazioni e termini utilizzati

Abbreviazione Spiegazione

AF Amministrazione federale

BP Beneficiario di prestazioni

CA Certification Authority

FP Fornitore di prestazioni

http Hypertext Transfer Protocol

https Hypertext Transfer Protocol Secure

ID Identificatore

ISID Incaricato della sicurezza informatica del dipartimento

ISIU Incaricato della sicurezza informatica dell’unità amministrativa

MDM Mobile Device Management

OCSP Ordinanza sui controlli di sicurezza relativi alle persone

ODIC Organo direzione informatica della Confederazione

OWASP Open Web Application Security Project

PIN Personal Identification Number (numero d’identificazione personale)

PKI Public Key Infrastructure (infrastruttura a chiave pubblica)

SIPD Piano per la sicurezza dell’informazione e la protezione dei dati

SSL Secure Sockets Layer

TIC Tecnologie dell’informazione e della telecomunicazione

TLS Transport Layer Security

UA Unità amministrativa

UFCL Ufficio federale delle costruzioni e della logistica

UFIT Ufficio federale dell’informatica e della telecomunicazione

UT Utente

Termine Accezione

Dati Nel presente documento il termine «dati» è utlizzato nell’accezione

generica. Comprende sia i dati personali sia altri dati, come i dati

registrati, collezioni di dati non personali ecc. Se una prescrizione è

applicabile esclusivamente a dati personali, si preferirà questo termine.


24/24

3.6 Attuazione della protezione di base delle TIC e delle disposizioni transitorie

Se la protezione di base delle TIC non corrisponde ai requisiti, le UA devono adeguarla alle

direttive entro un termine utile, al più tardi entro 2 anni (secondo il n. 2.2, cpv. 3 Istruzioni

CF). Qualora non fosse possibile, devono richiedere una deroga secondo il capitolo 1.2 del

presente documento.

Devono verificare periodicamente se l’attuazione della protezione di base delle TIC

corrisponde alle istruzioni più recenti dell’ODIC (cfr. cap. 2 del presente documento) ed

eventualmente procedere agli adeguamenti entro un termine utile.

I seguenti requisiti sono nuovi o sono stati modificati. Le novità devono essere attuate

dall’entrata in vigore della presente direttiva:

requisito nuovo: 7.1.11;

requisiti modificati: 7.1.1, 7.1.6, 8.1, 8.2, 8.3, 9.1, 12.1.1, 12.1.4, 12.5.1, 12.6.1,

12.6.2, 13.1.5, 13.1.6, 14.1.1.

I seguenti requisiti vengono soppressi:

1.1.1, 1.1.2, 1.1.3 (sono contenuti nelle Istruzioni CF) e 7.1.2.

Per il seguente requisito vale un termine transitorio di attuazione entro la fine del 2019:

12.4.4.

Si001 - Protezione di base delle TIC nell ...€¦ · anonimo e personalizzato alle applicazioni di...

Documents

Transcript of Si001 - Protezione di base delle TIC nell ...€¦ · anonimo e personalizzato alle applicazioni di...