Con la Circolare dell’Agenzia per l’Italia Digitale (AgID) nr. 2/2017 del 18 aprile 2017 è stato sancito l’obbligo normativo di adottare un elenco di misure per le Pubbliche Amministrazioni, al fine di ridurre il rischio di attacchi ai sistemi informatici che potrebbero pregiudicare la continuità di erogazione dei servizi ai cittadini e la privacy delle informazioni gestite dagli Enti.
Entro il 31/12/2017 il Responsabile dei Sistemi Informativi (ovvero, in sua assenza, il Dirigente allo scopo designato e dal Responsabile Legale della struttura) deve compilare il “Modulo di implementazione delle misure minime di sicurezza” allegato alla circolare, deve essere firmato digitalmente con marcatura temporale. Dopo la sottoscrizione esso deve essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA insieme con la segnalazione dell’incidente stesso.
Il modulo prevede una autovalutazione sul grado di adozione di alcuni controlli di sicurezza relativamente a queste categorie:
- Inventario dei dispositivi autorizzati e non autorizzati
- Inventario del software autorizzato e non autorizzato
- Configurazione sicura di hardware e software
- Adozione di un processo di gestione delle vulnerabilità
- Utilizzo controllato dei privilegi amministrativi
- Adozione di difese contro i programmi malware
- Capacità di recuperare l’operatività in caso di incidente, ovvero Business Continuity
- Protezione dei dati
Tali controlli sono classificati in tre tipi:
- minimo: specifica il livello minimo sotto il quale nessuna amministrazione può scendere: i controlli in essa indicati debbono riguardarsi come obbligatori
- standard: ovvero il livello ottimale verso cui tutte le PA dovrebbero tendere
- alto: obbiettivo a cui tendere
Asmenet, per consentire il corretto adempimento normativo ai propri associati, ha predisposto gratuitamente un’applicazione informatica per la redazione del “modulo di implementazione delle misure minime di sicurezza per le pubbliche amministrazioni”. Questo sistema vuole facilitare l’adempimento normativo agli Enti associati, attraverso la compilazione on line, e fornendo utili suggerimenti, del “Modulo di implementazione delle misure minime di sicurezza per le pubbliche amministrazioni”.