Risultati
205 risultati
-
AGID
11. Sicurezza
Se da un lato la sicurezza fisica rappresenta un primo livello di protezione dei dati, dall’altro la sicurezza logica costituisce uno strato indispensabile per la difesa di sistemi e reti informatiche. Infatti, in ragione della natura delle informazioni trattate dal CERT in caso di vulnerabilità ed incidenti, oltre alle misure di sicurezza per i canali di comunicazione, dovrebbero essere implementati controlli logici di sicurezza per proteggere la riservatezza e l’integrità delle informazioni. Una base di partenza può essere validamente rappresentata, nel contesto nazionale italiano, dalle Misure minime di Sicurezza ICT per la PA [76], ovvero quell’insieme di controlli volti a garantire una sicurezza di base a tutte le organizzazioni esposte alle minacce di tipo cyber. [76]. AGID “Misure minime di sicurezza ICT per le pubbliche amministrazioni” (2017). I suddetti controlli possono essere raccolti nei seguenti ambiti di sicurezza:. Inventario dispositivi e software: individuare i sistemi (hardware, software), i servizi e le risorse che gestiscono i dati informatici trattati da proteggere. Governance: identificare e rispettare le leggi e/o i regolamenti con rilevanza in tema di cyber security applicabili al contesto. Protezione da malware: i dispositivi in perimetro quando possibile devono utilizzare software di protezione, ad esempio antivirus / anti-malware, regolarmente aggiornato. Gestione password e account: assicurare una complessità adeguata delle password e gestire le utenze secondo i principi di need to know e least privilege. Formazione e consapevolezza: sensibilizzare il personale sui rischi di cyber security e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali. Protezione dei dati: i sistemi devono essere configurati tramite procedure di hardening e backup periodici devono essere effettuati. Protezione delle reti: le reti e i sistemi devono essere protetti da accessi non autorizzati attraverso componenti hardware / software. Prevenzione e mitigazione: i software utilizzati vanno mantenuti aggiornati o dismessi in caso risultino obsoleti e non più aggiornabili. Nel caso di un incidente informatico devono essere informati i responsabili di sicurezza che seguiranno il processo di gestione degli incidenti interno ...
-
AGID
2. Riferimenti
ENISA, “Un approccio graduale alla creazione di un CSIRT”, Documento WP2006/5.1(CERT-D1/D2) (2006). ENISA, “Baseline capabilities for National / Governmental CERTs, Part 1”, Version 1.0 (2009). ENISA, “Baseline capabilities for National / Governmental CERTs, Part 2, Policy Recommendations”, Version 1.0 (2010). ENISA, “ENISA’s recommendations on baseline capabilities”, Update, December 2014 (2014). ENISA, “NIS Directive and national CSIRTs”, Info Note, February 2016 (2016). ENISA, “CERT Operational Gaps and Overlaps”, Report, December 2011 (2011). CMU-SEI, “Handbook for Computer Security Incident Response Teams”, (2003). CMU-SEI, “Organizational Models for CSIRTs”, (2003). FIRST, “Computer Security Incident Response Team Services Framework”, Version 1.1 (2017) ...
-
AGID
1. Premessa
Le Tecnologie dell’Informazione e della Comunicazione (Information and Communication Technology, ICT) sono in rapida espansione e condizionano ormai completamente un numero crescente di settori vitali dell’economia e di servizi offerti dalle Pubbliche Amministrazioni. L’ampliamento dei settori coinvolti e delle conoscenze richieste è una conseguenza della digitalizzazione dell’economia e della dipendenza di numerose attività dai servizi digitali; molte azioni quotidiane si svolgono infatti nel cosiddetto spazio cibernetico o cyberspace [1]. In prospettiva la crescita dell’internet delle cose (Internet of Things, IoT), ossia l’insieme di dispositivi connessi in grado di svolgere operazioni nel mondo fisico, aprirà sia le attività domestiche alla dimensione cibernetica, in modo qualitativamente diverso rispetto a quanto accade attualmente. Alle nuove tecnologie si accompagnano tuttavia nuovi e crescenti rischi; tra questi particolarmente rilevante è quello cibernetico (cyber risk). I dispositivi, il software e le connessioni di rete che compongono lo spazio cibernetico presentano vulnerabilità tecnologiche e organizzative che possono essere sfruttate in modo malevolo, come dimostra il moltiplicarsi degli attacchi informatici che riguardano ormai i vari settori della società. Uno spazio cibernetico non sicuro costituisce una debolezza grave in una società digitalizzata, non solo per i danni diretti che gli attacchi possono arrecare alle strutture colpite, ma anche perché una diffusa percezione di insicurezza può minare il funzionamento di quei settori che si basano sulla disponibilità, sull’integrità e sulla riservatezza di dati digitali. Il cyberspace è definito come «l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché delle relazioni logiche, comunque stabilite, tra di essi. Include tra l’altro internet, reti di comunicazione, sistemi attuatori di processo ed apparecchiature mobili dotate di connessione di rete», cfr. Presidenza del Consiglio dei Ministri (2013a). Il rischio cibernetico non è nuovo. Nelle fasi iniziali del processo di digitalizzazione tuttavia erano in numero limitato sia le potenziali vittime sia gli attori della minaccia. Solo i settori informatizzati (come la difesa e le telecomunicazioni) costituivano un target sufficientemente appetibile per gli attacchi cibernetici; inoltre le conoscenze e le risorse necessarie per progettare e sferrare tali aggressioni esistevano quasi esclusivamente in ambito militare e in alcuni centri di ricerca. Negli anni l’uso di dispositivi informatici e l’accesso alle reti telematiche si sono enormemente estesi, moltiplicando il numero di obiettivi. Inoltre le competenze necessarie per programmare codici malevoli sono ormai a disposizione di molte organizzazioni criminali, che sviluppano strumenti offensivi e talvolta li offrono a basso costo a un’ampia platea di clienti ed utenti. Anche ormai il cittadino e i suoi rapporti con la Pubblica Amministrazione sono divenuti nel tempo oggetto di attenzione per gli attacchi cibernetici, con la finalità di colpire e compromettere il legame di fiducia esistente tra gli stessi. La sicurezza cibernetica dei sistemi informativi delle organizzazioni e della relativa rete di interconnessione viene assicurata dall’azione, e dal relativo coordinamento, di diverse strutture di gestione della cyber security operanti nei diversi ambiti di competenza, tra cui i Computer Emergency Response Team (CERT [2]). Nel nostro ordinamento, come evidenziato più in dettaglio nelle successive sezioni del documento, l’attuale quadro legislativo ha determinato l’allocazione delle funzioni e dei compiti aventi rilievo per la sicurezza cibernetica a livello nazionale ad una molteplicità di attori istituzionali. In particolare, tale assetto è oggi in corso di evoluzione in risposta alle disposizioni provenienti dall’Unione Europea e che hanno portato alla costituzione del CSIRT Italia, che accoglierà al proprio interno le responsabilità e le competenze fino ad oggi ripartite tra CERT-PA e CERT Nazionale. Per ragioni di comodità espositiva si farà utilizzo nel resto del documento della denominazione CERT in luogo di altre con significati del tutto analoghi quali CSIRT (Computer Security Incident Response Team), IRT (Incident Response Team), CIRT (Computer Incident Response Team) o SERT (Security Emergency Response Team). Si precisa tuttavia che l’utilizzo della denominazione CERT dovrebbe considerare i seguenti criteri di base: (i) l’acronimo CERT è un marchio registrato della CMU-SEI e pertanto l’utilizzo dello stesso deve essere autorizzato da tale organizzazione; (ii) la mission primaria del CERT, secondo le convenzioni internazionali associate all’utilizzo di questo acronimo, deve essere fondata sulla gestione degli incidenti di Cyber Security, anche se focalizzata su aspetti di coordinamento e supervisione. In accordo con gli indirizzi strategici nazionali [3], devono quindi essere create le condizioni per sviluppare un’azione integrata che metta a fattor comune le diverse attribuzioni istituzionali delineate, anche al fine di avere un maggior presidio ed assicurare una maggiore efficacia delle azioni sul territorio e nel rispetto delle esigenze delle relative constituency. In quest’ottica si inserisce l’esigenza di definire un modello organizzativo ed operativo per la costituzione e l’avvio di CERT regionali nell’ambito della Pubblica Amministrazione italiana, che possa delineare uno standard nazionale rispetto al quale basare ogni implementazione degli stessi su base locale, tenendo in considerazione ed indirizzando al meglio le esigenze dei singoli settori, dell’industria ed i vincoli specifici delle singole amministrazioni. Indirizzo Operativo 5 “Operatività delle strutture nazionali, di incident prevention, response e remediation”, Piano Nazionale per la protezione cibernetica e la sicurezza informatica, Marzo 2017. All’interno del presente documento sono illustrati gli aspetti significativi da considerare per poter avviare ed operare un CERT e che potranno essere presi a riferimento per la costituzione di CERT regionali. Tali aspetti riguardano:. struttura amministrativa ed organizzativa;. catalogo dei servizi da erogare;. carta dei processi e matrice delle responsabilità;. risorse necessarie, in termini di personale, informazioni (modello dati), modelli tecnologici e applicativi e facilities;. requisiti di sicurezza fisica e logica da implementare;. modalità di analisi e valutazione dei risultati raggiunti;. opportunità di finanziamento per iniziative nel nostro Paese;. piano di attuazione. Nella definizione del modello sono state prese in considerazione le indicazioni e Best Practice fornite dalle organizzazioni internazionali di riferimento del settore (ENISA - Agenzia Europea per la sicurezza delle reti e dell’informazione; CERT/CC – CERT Coordination Center della Carnegie Mellon University - Software Engineering Institute; FIRST - Forum of Incident Response and Security Teams; TI - Trusted Introducer) e le pratiche attuate dal CERT-PA [4]. Si rimanda ai par. 2.2 e 2.3 per un elenco più dettagliato dei riferimenti considerati. Il documento è organizzato nelle seguenti sezioni:. Sezione 2 - Cosa fa un CERT regionale: descrizione del modello funzionale di riferimento per un CERT regionale, con presentazione degli elementi costitutivi dello stesso in termini di servizi, processi e risorse necessarie; vengono inoltre illustrati alcuni modelli per l’analisi delle performance (metriche e indicatori) (Cap. 8-12);. Sezione 3 - Come avviare un CERT regionale: vengono inoltre forniti una panoramica sui fondi disponibili per finanziare la costituzione e l’esercizio di un CERT regionale e un possibile piano di attuazione (Cap. 13-14);. Appendici: Glossario dei termini ...
-
AGID
9. Processo di gestione degli incidenti di sicurezza
Si riporta di seguito la matrice delle responsabilità relativa al processo di gestione incidenti della PA, indicando per ciascuna attività sopra descritta, l’attore coinvolto ed il grado di coinvolgimento, secondo la convenzione:. A. Analizza. R. Riceve. V. Valida/Verifica. E. Effettua. S. Supervisiona. I. Viene Informato. U. Supporta. Tabella 9.3 Matrice delle responsabilità. Id. Attività. Referente Sicurezza Informatica PA. CERT Regionale. CERT-PA. 1. Monitoraggi o degli eventi di sicurezza. E. 2. Analisi e classificazione. E. 3. Trattamento falsi positivi. E. 4. Gestione evento anomalo. U. E. 5. Gestione Incidenti Livello 0 (Non Rilevante) – Livello 1 (Informativo). 5.1. Definizione delle attività di gestione. E. 5.2. Trattamento incidente. E. I. 5.3. Chiusura incidente. E. 5.4. Comunicazio ne incidente Liv.1 al CERT Regionale. E. R. 6. Gestione Incidenti Livello 2 (Attenzione). 6.1. Coinvolgimento CERT Regionale. E. 6.2. Analisi e riclassifi cazione incidente. I. E. 6.3. De-classificazione per falso positivo. I. E. 6.4. Coinvolgimento PAL interessate. I. E. 6.5. Analisi segnalazione. E. I. 6.6. Supporto risposta incidente. R. E. 6.7. Coordinamento risposta incidente sistemico PA. R. E. 6.8. Trattamento incidente. E. I, S. 6.9. Rientro stato ordinario. I. E. 7. Gestione Incidenti Livello 3 (Critico). 7.1. Coinvolgimento CERT Regionale. E. 7.2. Analisi e ri-classificazione incidente. I. E. 7.3. De-classificazione per falso positivo. I. E. 7.4. Coinvolgimento CERT-PA. U. E. V. 7.5. Coinvolgimento PA interessate. I. E. 7.6. Analisi segnalazione. E. I. 7.7. Aggiornamen to CERT-PA. U. E. V. 7.8. Supporto attività di gestione. R. E. 7.9. Coordinamento e supporto attività di gestione. R. E. 7.10. Supporto risposta incidente. R. E. I. 7.11. Coordinamento risposta incidente sistemico PAL. R. E. I. 7.12. Trattamento incidente. E. I, S. I. 7.13. Rientro stato ordinario. I. E. 8. Ripristino e analisi post- incidente. 8.1. Analisi post-incidente e follow-up. U. E. 8.2. Supporto pianificazione attività di ripristino. U. E. 8.3. Attuazione piano di ripristino. E. I. 8.4. Monitoraggio ripristino. I, U. E. 8.5. Chiusura ripristino. R. E ...
-
AGID
14. Ipotesi di piano di attuazione
In questa sezione del documento viene rappresentato un possibile piano di attuazione di un CERT regionale, fornendo indicazione delle fasi da seguire, le macro-azioni necessarie e un’ipotesi di tempistiche. Tale piano è da ritenersi puramente indicativo e basato sull’esperienza pregressa di AGID e sul confronto con analoghe organizzazione. In tal senso, deve essere considerato come un’ipotesi a partire dalla quale costruire un piano di attuazione effettivo basato su una puntuale analisi del contesto in cui agirà il CERT regionale e degli specifici fabbisogni della constituency e degli ulteriori stakeholder. Pianificazione. Fase 1: Identificazione degli stakeholder e degli attori coinvolti nel piano. Identificare la constituency del CERT regionale. Identificare soggetti/interni ed esterni con cui il CERT dovrà interagire. Individuare uno sponsor per l’attuazione dell’iniziativa ed ottenerne il supporto. Fase 2: Ottenere la sponsorship dell’iniziativa. Definire un business case sui benefici derivanti dall’avvio del CERT regionale. Presentare il business case allo sponsor dell’iniziativa ed ottenerne il supporto. Fase 3: Sviluppare il piano di progetto operativo. Assegnare ruoli e responsabilità. Definire il macro-piano di progetto. Definire il piano di progetto di dettaglio, incluso il piano di comunicazione finale. Progettazione. Fase 4: Definizione della constituency. Identificare le aspettative della constituency e degli altri stakeholder. Definire l’approccio comunicativo verso la constituency. Determinare la constituency (iniziale) di riferimento per il CERT regionale. Fase 5: Dichiarare la missione del CERT regionale. Comunicare la missione alla constituency e al resto della community di riferimento. Fase 6: Determinare il modello finanziario. Determinare il modello di finanziamento/ricavo. Ottenere il finanziamento iniziale. Fase 7: Definizione del catalogo dei servizi. Determinare le modalità di erogazione dei servizi ai membri della constituency. Definire i livelli di servizio. Fase 8: Definizione del modello organizzativo. Determinare la struttura amministrativa. Determinare l’assetto organizzativo e il sistema di ruoli e reponsabilità. Fase 9: Definizione dei fabbisogni (personale, tecnologie, facilities). Personale: definire le job description. Tecnologie: definire l’infrastruttura di rete ed e le applicazioni a supporto dei servizi. Facilities: individuare gli spazi fisici (uffici, data center, ecc.). Fase 10: Definire il modello di information sharing con la constituency. Definire i flussi informativi da gestire e i metodi di collaborazione e comunicazione con tutte le parti coinvolte. Fase 11: Definire policy, processi e procedure. Documentare i flussi di lavoro e relativi ruoli e responsabilità. Formalizzare le procedure operative a supporto dei processi. Fase 12: Definizione dei modelli di valutazione delle prestazioni del CERT. Definire i livelli target/obiettivo. Costruire gli indicatori. Definire modalità di rilevazione e misurazione. Implementazione. Fase 13: Avviare il processo di acquisizione/potenziamento delle risorse individuate. Personale: avviare i processi di selezione interni/esterni. Tecnologie: acquisire le componenti infrastrutturali e applicative. Facilities: installare gli equipaggiamenti presso gli spazi fisici individuati. Fase 14: Rendere operativo il CERT regionale. Formare il personale. Implementare gli strumenti tecnologici presso i locali del CERT. Fase 15: Promuovere l’operatività del CERT presso la community. Attuare il piano di comunicazione per l’avvio del CERT (promozione online, organizzazione di eventi, workshop, ecc.) ...
-
AGID
Linee guida operative per la fruizione dei servizi SPID da parte dei minori
La consultazione pubblica per questo documento è attiva dal 13/05/2021 al 14/06/2021 ...
-
AGID
3. Obiettivi
Con l’identità digitale dei minori si mira a garantire il raggiungimento dei seguenti obiettivi:. Consentire al minore di utilizzare la propria identità digitale SPID autonomamente ferma restando la possibilità di controllo da parte dei genitori;. Impedire ai minori di accedere ai servizi in rete a loro non destinati;. Consentire la selezione dei fruitori dei servizi in rete in base all’età;. Garantire che i dati personali del minore siano trattabili solo in presenza dello specifico consenso al trattamento da parte del titolare della responsabilità genitoriale o, qualora, ultraquattordicenne, del minore stesso. ...
-
AGID
7. Limitazione dell’accesso ai servizi in rete
Non si rilevano rischi residui. 7.2.1. Contromisure. N.A ...
-
AGID
5. Rilascio di SPID ai minori
Un soggetto potrebbe dichiarare falsamente di esercitare la tutela di un minore. 5.2.1. Contromisure. L’IdP verifica il reale stato di tutela del minore sulla carta di identità o sul permesso di soggiorno. Nel caso residuale dell’autocertificazione, la normativa prevede responsabilità penali in capo al soggetto che effettua false dichiarazioni ai sensi del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445. Tale soggetto potrà essere facilmente individuato e perseguito, in quanto, per effettuare la dichiarazione di cui al punto 5, è necessario procedere a un’autenticazione SPID ...
-
AGID
8. L’identità al sopraggiungere della maggiore età
Non si rilevano rischi residui. 8.2.1. Contromisure. N.A ...
-
AGID
2. Quadro normativo e considerazioni a carattere generale
Dall’analisi della normativa in materia di identità digitale non è emerso alcun elemento ostativo al rilascio di SPID ai minori. Con particolare riferimento alla normativa vigente in tema di protezione dei dati personali, è essenziale rapportare le presenti Linee guida operative in primis al Regolamento (UE) 2016/679 recante il Regolamento Generale sulla Protezione dei Dati (di seguito RGPD). Il Considerando 38 del RGPD stabilisce quanto segue:. «I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore». L’articolo 8 del medesimo Regolamento, con riferimento al trattamento dei dati personali del minore in relazione ai servizi della società dell’informazione, chiarisce che il trattamento effettuato sulla base del consenso del minore è lecito. 1. Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili. […]». Il legislatore italiano, mediante il decreto legislativo 10 agosto 2018, n. 101, ha introdotto nel decreto legislativo 30 giugno 2003, n. 196 recante «Codice in materia di protezione dei dati personali» l’articolo 2-quinquies rubricato «Consenso del minore in relazione ai servizi della società dell’informazione». In virtù di tale disposizione. 1. In relazione all’offerta diretta ai minori dei servizi di cui al comma 1, il titolare del trattamento redige con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.». Il primo comma dell’articolo 320 del codice civile dispone che. Si applicano, in caso di disaccordo o di esercizio difforme dalle decisioni concordate, le disposizioni dell’articolo 316. […]». Ai sensi dell’articolo 1425 del codice civile, il contratto concluso da un minore, privo in quanto tale – almeno ordinariamente - della capacità di agire, è annullabile fatta salva l’ipotesi in cui, ex articolo 1426 del codice civile, il minore abbia occultato, con raggiri, la propria età. In considerazione di quanto sopra e, più in generale, della normativa vigente con riferimento alla sfera giuridica del minore, per l’accesso ai servizi in rete da parte del minore occorre valutare l’età del minore e la tipologia del servizio richiesto, al fine di stabilire se sia necessario l’intervento, eventualmente congiunto, dei genitori. Sino alla verifica del consenso prestato dal genitore, il fornitore dei servizi in rete non tratta i dati personali del minore. ...
-
AGID
4. Acronimi e definizioni
Ai fini della presente Linea guida, si intende per:. il soggetto che dichiara di esercitare la responsabilità genitoriale per la richiesta dell’identità del minore;. Genitore non richiedente. altro soggetto che esercita la responsabilità genitoriale e che fornisce il consenso per la gestione dell’identità digitale del minore da parte del genitore;. IdP. il gestore dell’identità digitale SPID che rilascia, conformemente alle presenti Linee guida, l’identità digitale SPID al minore;. SP. il fornitore di servizi accessibili con SPID;. Notifica push. messaggio istantaneo che, su richiesta del minore, l’IdP invia al genitore. ...