Circolare n.1/2017 dell’AgID: entro il 31 dicembre 2017 le scuole obbligate a garantire le misure minime di sicurezza informatica
L’attuazione delle misure minime spetta al responsabile dei sistemi informativi o, in sua assenza, al dirigente scolastico
Di Agata Scarafilo
Entro il 31 dicembre 2017 anche le scuole, dovranno adottare tutte le misure minime di sicurezza informatica previste dalla Circolare dell’Agenzia per l’Italia Digitale (AgID) n. 1 del 17 marzo 2017 e pubblicata nei giorni scorsi in Gazzetta Ufficiale (GU Serie Generale n.79 del 4-4-2017). Infatti, destinatarie della citata Circolare sono tutte le Pubbliche Amministrazioni di cui all’art. 1, comma 2, del Decreto Legislativo 30 marzo 2001, n. 165 e, dunque, anche le scuole.
Così, l’AgID indica alle PA le misure minime per la sicurezza ICT che debbono essere adottare al fine di innalzare il livello di sicurezza informatica e contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi.
Scopo del documento è infatti quello di dare alle PA un riferimento normativo che faciliti un percorso di verifica ed adeguamento alla norma.
Per la verità, già ad aprile 2016, con lo scopo di favorire questo progressivo adattamento, l’atto era già stato reso pubblico da AgID e dal CERT–PA attraverso i loro portali.
Il documento è parte integrante del più ampio disegno delle “Regole Tecniche” per la sicurezza informatica della Pubblica Amministrazione emesso dalla Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri e che assegna all’Agenzia per l’Italia Digitale il compito di sviluppare gli standard di riferimento per le amministrazioni.
In base all’art. 3 della Circolare n. 1/2017, l’attuazione delle misure minime spetta al responsabile dei sistemi informativi di cui all’art. 10 del Decreto Legislativo 12 febbraio 1993, n. 39, ovvero, in sua assenza, al dirigente allo scopo designato che nell’ambito delle istituzioni scolastiche non può che essere il Dirigente Scolastico.
La Circolare si compone di due allegati che ne costituiscono parte integrante: Allegato 1 e Allegato 2.
Allegato 1: ”Misure minime di sicurezza ICT per le pubbliche amministrazioni” Esso costituisce una sorta di linea guida che indica quali controlli dovrebbero essere implementati per ottenere un determinato livello di sicurezza. Con il livello “Minimo” si specifica lo stato sotto il quale nessuna amministrazione può scendere per far fronte a quella rapida evoluzione della minaccia cibernetica che sta particolarmente colpendo la Pubblica Amministrazione e che sembra essere divenuta un bersaglio specifico per alcune tipologie di attaccanti particolarmente pericolosi.I controlli in essa indicati sono definiti dall’AgID obbligatori. Il secondo livello è quello “Standard” e può essere assunto come base di riferimento nella maggior parte dei casi, mentre il terzo livello, quello “Alto”, può riguardarsi come un obiettivo a cui tendere. Insomma, i livelli minimi stabiliscono i criteri di base ai quali ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve essere conforme, in termini tecnologici, organizzativi e procedurali. I livelli successivi rappresentano, invece, situazioni evolutive in grado di fornire livelli di protezione più completi, e dovrebbero essere adottati fin da subito dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma debbono anche essere visti come obiettivi di miglioramento da parte di tutte le altre organizzazioni.
I controlli sono previsti sia sui dispositivi hardware che software. I dispositivi hardware devono essere tracciati ed inventariati in modo che l’accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti devono non solo essere individuati, ma anche impedito loro l’accesso. Anche i software devono essere gestiti attivamente attraverso procedure di inventario, tracciabilità e correzione sulla rete in modo che siano installati ed eseguiti solo software autorizzati.
Le misure di sicurezza dovranno riguardare anche la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni. Inoltre, è prevista anche una valutazione e una correzione continua della vulnerabilità. A tutto ciò l’AgID aggiunge controlli tesi ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi e a difendersi contro i malware. Tuttavia, i livelli minimi essenziali dovranno, secondo l’allegato 1, essere garantiti anche attraverso le copie di sicurezza delle informazioni critiche, così da consentirne il ripristino in caso di necessità e attraverso la protezione dei dati con l’utilizzo di processi interni, di strumenti e di sistemi necessari per evitare l’esfiltrazione dei dati, per mitigarne gli effetti e garantire la riservatezza e l’integrità delle informazioni rilevanti.
Allegato 2: “Modulo di implementazione delle misure minime di sicurezza per le pubbliche amministrazioni”. In base all’art. 4 della Circolare AgID n. 1/2017 il modulo di implementazione, previsto dall’allegato 2, deve essere firmato digitalmente, con marcatura temporale, dal soggetto di cui all’art. 3 e dal responsabile legale della struttura (per le scuole il Dirigente Scolastico). Dopo la sottoscrizione esso deve essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA insieme con la segnalazione dell’incidente stesso.
RIFERIMENTI NORMATIVI E CIRCOLARI (PDF): DISPONIBILI SOLO PER GLI ABBONATI
PER CONTINUARE A LEGGERE QUESTO ARTICOLO DEVI ESSERE ABBONATO! Clicca qui per sottoscrivere l’abbonamento