DIRETTIVA SUI PIANI DI SICUREZZA



(continua a leggere)


COLLEGAMENTI AL CNSD



































































































Il Ministro dell'Interno Il Ministro dell'Interno VISTO il Decreto Legislativo del 12 febbraio 1993, n. 39, recante "Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche; VISTA la legge 31 dicembre 1996, n. 675, avente ad oggetto la "Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali"; VISTA la legge 15 maggio 1997, n. 127, contenente "Misure urgenti per lo snellimento dell'attività amministrativa e dei procedimenti di decisione e di controllo" e successive integrazioni; VISTO l'art. 2 quater del decreto-legge 27 dicembre 2000, n. 39, convertito con legge 28 febbraio 2001, n. 26, con il quale è stato istituito l'Indice Nazionale delle Anagrafi (INA) presso il Ministero dell'Interno; VISTO il Decreto Legislativo 30 marzo 2001, n. 165, avente ad oggetto "Norme generali sull'ordinamento del lavoro alle dipendenze delle Amministrazioni Pubbliche"; VISTO il Decreto Legislativo 30 giugno 2003, n. 196 " Codice in materia di protezione dei dati personali; VISTO il D.P.R. 27 luglio 2004, n. 242 recante "Regolamento per la razionalizzazione e la interconnessione delle comunicazioni tra Amministrazioni Pubbliche in materia di immigrazione"; VISTA la legge 31 marzo 2005, n. 43 recante "Conversione in legge, con modificazioni, del decreto-legge 31 gennaio 2005, n. 7, recante disposizioni urgenti per l'università e la ricerca, per i beni e le attività culturali, per il completamento di grandi opere strategiche, per la mobilità dei pubblici dipendenti, nonché per semplificare gli adempimenti relativi a imposte di bollo e tasse di concessione. Sanatoria degli effetti dell'articolo 4, comma 1, del decreto-legge 29 novembre 2004, n. 280"; VISTA la legge 31 maggio 2005, n. 88 avente ad oggetto la "Conversione in legge, con modificazioni, del decreto-legge 31 marzo 2005, n. 44 recante disposizioni urgenti in materia di enti locali"; VISTO il Decreto Lgs. del 7 marzo 2005 denominato "Codice dell'Amministrazione digitale"; VISTO il decreto del Ministro dell'Interno 23 aprile 2002, avente ad oggetto la costituzione presso il Ministero dell'Interno, Dipartimento degli Affari Interni e Territoriali, Direzione Centrale per i Servizi Demografici, del Centro Nazionale per i Servizi Demografici (CNSD); VISTO il D.M. in data 2 agosto 2005 concernente "Modificazioni al decreto ministeriale 19 luglio 2000, recante: "Regole tecniche e di sicurezza relative alla carta d'identita' e al documento d'identita' elettronici""; VISTO il D.M. in data 2 agosto 2005 concernente "Regole tecniche e di sicurezza per la redazione dei piani di sicurezza comunali per la gestione delle postazioni di emissione CIE""; VISTO il D.M. n. 240 in data 13 ottobre 2005 "Regolamento di gestione dell'Indice Nazionale delle Anagrafi (INA)", di concerto con il Ministro della funzione Pubblica e con il Ministro per l'Innovazione e le Tecnologie; VISTO il "Decreto costitutivo del comitato tecnico per l'uso consapevole di Internet" del Presidente del Consiglio dei Ministri 12 luglio 2002; VISTA la Direttiva del Presidente del Consiglio dei Ministri 16 gennaio 2002, recante "Sicurezza Informatica e delle telecomunicazioni nelle Amministrazioni statali"; VISTA la Direttiva del Ministro per l'Innovazione e le Tecnologie 18 dicembre 2003, recante "Linee guida in materia di digitalizzazione dell'Amministrazione per l'anno 2004"; VISTA la Direttiva del Comitato Tecnico Nazionale sulla sicurezza informatica e delle telecomunicazioni nelle Pubbliche Amministrazioni del marzo 2004; VISTA la Convenzione in data 3 agosto 2005 tra il Ministero dell'Interno e l'Associazione Nazionale Comuni d'Italia (ANCI) per "Interventi di supporto per l'operatività del Centro Nazionale per i Servizi Demografici (CNSD) ed interventi di supporto ai Comuni per l'uso del sistema INA-SAIA" ; VISTA la Convenzione in data 3 agosto 2005 tra il Ministero dell'Interno e l'Università di Roma 2 "Tor Vergata" per "Interventi di supporto per l'operatività del Centro Nazionale per i Servizi Demografici (CNSD) ed interventi di supporto ai Comuni per l'uso del sistema INA-SAIA" ; VISTO il parere dell' Università di Roma 2 Tor Vergata, in data 3 marzo 2005, in ordine alla necessità di adottare la Direttiva per la Sicurezza del CNSD ed il relativo Piano di Sicurezza; CONSIDERATO che il Centro Nazionale per i Servizi Demografici è incaricato: - di tutte le funzioni connesse alla gestione dei processi di autenticazione e convalida dei dati anagrafici; - di tutte le funzioni connesse alla gestione, all'aggiornamento e alla consultazione dell'INA; - di tutte le funzioni connesse alla gestione del Centro servizi anagrafi del Sistema di accesso e interscambio anagrafico; - di tutte le funzioni connesse alla gestione tecnica delle componenti telematiche e informatiche relative alle funzioni sopraesposte; - di tutte le funzioni di natura logistica connesse alla conservazione delle risorse informative derivanti dall'attuazione delle funzioni sopraesposte; - di tutte le funzioni di natura organizzativa connesse ad attività di assistenza ai comuni, ai cittadini, alle amministrazioni durante l'espletamento delle funzioni sopra definite; - di tutte le funzioni connesse alla raccolta dei supporti informatici contenenti i dati registrati negli archivi informatici comunali dello stato civile, ai sensi dell'art. 10, comma 2, lett. D) del D.P.R. n. 396/2000; RITENUTO di dover procedere alla emanazione della "Direttiva per la sicurezza del Centro Nazionale per i Servizi Demografici (CNSD)" e all'adozione del "Piano di Sicurezza" ai sensi della normativa sopra richiamata nonché del menzionato parere dell' Università di Roma 2 Tor Vergata; DECRETA: Art. 1 (Definizioni e Acronimi) Al fine della presente Direttiva gli acronimi e le abbreviazioni utilizzati nel testo corrispondono alle seguenti definizioni: MINISTERO: Ministero dell'Interno; CNSD: Centro Nazionale per i Servizi Demografici; INA: Indice Nazionale delle Anagrafi; Art. 2 (Finalità e Obiettivi) La presente Direttiva è emanata al fine di stabilire le norme ed i comportamenti richiesti per la corretta attuazione del Sistema di Sicurezza. Art. 3 (Il Sistema di Sicurezza) Il Sistema di Sicurezza è volto a garantire: - la confidenzialità, ovvero l'individuazione degli utenti autorizzati che possono accedere alle informazioni necessarie; - l'integrità, ovvero la protezione contro alterazioni o danneggiamenti e la tutela dell'accuratezza e completezza dei dati; - la prevenzione da minacce ed attacchi, tramite monitoraggio continuo ed immediata segnalazione di allarme a fronte di eventi potenzialmente pericolosi; - la disponibilità delle informazioni, quando occorrono, e nell'ambito di un contesto pertinente, con riferimento alle autorizzazioni ministeriali di accesso all'INA. Art. 4 (Responsabile del Sistema di Sicurezza) Il Responsabile del Sistema di Sicurezza del CNSD è il Direttore Centrale per i Servizi Demografici, il quale può delegare tale funzione con apposito decreto. Art. 5 (Il Piano di Sicurezza) Il Piano di Sicurezza rappresenta lo strumento di attuazione del Sistema di Sicurezza ed è redatto nell'osservanza delle regole concernenti il contenuto minimo del "Piano di Sicurezza" allegato alla presente Direttiva di cui è parte integrante. Il Piano di Sicurezza descrive le procedure per l'attuazione del Sistema di Sicurezza, sulla base della valutazione del rischio e della normativa vigente. Il Piano di Sicurezza individua le seguenti fasi: 1) pianificazione dell'intervento; 2) valutazione del rischio; 3) gestione del rischio; 4) rilascio e manutenzione evolutiva del "Piano di sicurezza del CNSD". La prima fase identifica e classifica i sistemi, le risorse e le Unità funzionali oggetto dell'intervento, ed attribuisce le relative responsabilità. La seconda fase classifica le minacce e le vulnerabilità, permettendo quindi l'identificazione e la valutazione di ciascun rischio e la sua misura (entità/gravità/durata). La terza fase esplicita le procedure e le modalità per la gestione del rischio e l'attuazione delle misure di contenimento per garantire la continuità del servizio. A questo scopo, all'interno del Piano e delle sue evoluzioni, viene individuata la sede alternata (disaster recovery) del CNSD in funzione delle necessità di ripristino dei processi e dei servizi chiave del CNSD. La quarta fase riguarda la manutenzione evolutiva del "Piano di sicurezza del CNSD" al fine di mantenere costantemente aggiornate le azioni da intraprendere per la gestione degli eventi che possono minacciare il corretto e regolare svolgimento delle attività del Centro Nazionale dei Servizi Demografici. L'aggiornamento del Piano avviene secondo le linee guida e le modalità definite dal gestore dell'Unità sicurezza, controllo e qualità di sistema, come previsto dal successivo articolo 6 della presente Direttiva, in funzione delle esigenze di volta in volta emerse in relazione alla attività di monitoraggio in ordine alla sua attuazione ed alle esigenze specifiche dovute all'evoluzione di norme e di regolamenti. Art. 6 (Unità funzionali) Il CNSD è suddiviso funzionalmente nelle seguenti Unità : 1. Unità Sicurezza, Controllo e Qualità di sistema. L'Unità assicura le funzioni di controllo della sicurezza dell'infrastruttura logica e fisica del CNSD, della qualità corrente dei servizi erogati, in funzione dei relativi livelli di servizio, e del controllo e supervisione della manutenzione correttiva od evolutiva dell'infrastruttura logica e fisica del CNSD, avendo cura di tenere apposita reportistica di monitoraggio delle predette attività. 2. Altre Unità funzionali: - Unità Applicativa dedicata alla gestione dei servizi applicativi erogati dal CNSD e al funzionamento del call center; - Unità Connettività e gestione della rete dedicata alla gestione della rete CNSD e della connessione con le reti esterne; - Unità Backbone che garantisce la sicurezza e la certificazione delle comunicazioni; - Unità Certification Authority volta alla realizzazione e alla gestione di una propria Certification Authority; - Unità Amministrativa addetta alla gestione ed allo svolgimento delle funzioni amministrative assegnate al CNSD; - Unità Servizi Infrastrutturali volta alla gestione e alla manutenzione dei servizi e delle risorse offerte al livello infrastrutturale; 3. Il Piano di sicurezza descrive i compiti e le responsabilità di ciascuna Unità . Art. 7 (Soggetti responsabili delle Unità Funzionali) I soggetti responsabili delle Unità e della attuazione del Piano di Sicurezza per la parte relativa a ciascuna Unità, sono nominati con decreto del Direttore Centrale per i Servizi Demografici, anche sulla base di apposite Convenzioni, previa accettazione formale di un atto di impegno inerente le conseguenti responsabilità. L'ambito di esercizio delle funzioni svolte da ciascuna Unità funzionale, al fine di garantire l'attuazione del Sistema di Sicurezza e l'attuazione del Piano di Sicurezza, ha ad oggetto tutte le strutture di cui al successivo art. 8, qualunque sia la dislocazione fisica delle stesse. Art. 8 (Oggetto del Sistema di Sicurezza) Oggetto del Sistema di Sicurezza è la tutela della sicurezza delle seguenti strutture: a) Struttura dei domini applicativi del CNSD: INA, AIRE, CIE/SSCE, Stato Civile, Open Source e di altri domini applicativi dei servizi demografici. b) Struttura di rete del CNSD e infrastrutture. c) Struttura di sicurezza, monitoraggio e allarme per la qualità del servizio. d) Altre Strutture di rete geografica e sistemi di servizio del CNSD. Art. 9 (Unità di crisi e funzioni di "Squadra di risposta alle emergenze dei Sistemi") (Computer Emergency Response Team) E' costituita una unità di crisi, svolgente funzioni di "Squadra di risposta alle emergenze dei Sistemi", composta dal Dirigente del CNSD, dal suo ufficio e dall'Unità Sicurezza, Controllo e Qualità di sistema, per il coordinamento e la gestione degli eventi capaci di inficiare il funzionamento dei servizi del CNSD, sulla base delle direttive impartite dal Direttore Centrale per i Servizi Demografici. Tramite le funzioni di "Squadra di risposta alle emergenze dei Sistemi" può essere attivato un forum della Sicurezza allargato tra il CNSD, gli Uffici centrali e territoriali del Ministero, le Autonomie Locali, le Pubbliche Amministrazioni e i soggetti privati che, individuati a tal uopo dal Ministero, possano consentire un flusso continuo di informazioni relative all'attività del Centro e alle necessarie successive implementazioni derivanti dalla normativa vigente. Art. 10 (Disposizioni finali) La presente Direttiva è soggetta ad aggiornamenti e/o modifiche, sulla base di specifiche esigenze dettate da leggi e/o da regolamenti. Tutti i responsabili di Unità funzionale, individuati con decreto del Direttore Centrale per i Servizi Demografici, sono tenuti all'osservanza della presente Direttiva. Il Direttore Centrale per i Servizi Demografici è incaricato dell'esecuzione del presente decreto. Roma, 22 marzo 2006 p. IL MINISTRO IL SOTTOSEGRETARIO DI STATO (d'Alì) __________________________________________ ALLEGATO (1) CONTENUTO MINIMO DEL PIANO DI SICUREZZA DEL CNSD a) Aspetti di sicurezza fisica del CNSD Nel seguito sono descritti i controlli fisici necessari a proteggere e garantire la sicurezza fisica CNSD, con particolare riferimento all'Area delle Comunicazioni (Network Center), all'Area di Controllo (Control Center) e all'Area dei Dati (Data Center). Regole di controllo accessi: - Lettori di badge, per consentire l'accesso solo alle persone autorizzate. - Accesso di personale esterno regolamentato da specifica procedura. - Accesso ai visitatori consentito solo se accompagnati da persone autorizzate. - porte di emergenza dotate di dispositivi di allarme. Inoltre, devono essere attivi i seguenti servizi ausiliari: - Servizio di portineria. - Sistemi anti-intrusione. - Controllo accessi automatizzato tramite badge magnetico. - Controllo e revisione periodica dei sistemi e degli impianti antincendio (rilevatori di fumo, spegnimento a gas, estintori, ecc..). - Controllo, revisione e test del gruppo elettrogeno, per consentire continuità operativa anche in mancanza di energia elettrica. - Impianti di condizionamento. - Impianti elettrici e telefonici. - Sistema di supervisione e controllo a circuito chiuso TVCC (con log videoregistrato) garantendo, con specifici piani di manutenzione programmata, la piena continuità operativa e la funzionalità degli impianti. - Regole per la sicurezza fisica del personale: - Piano di esodo dalla sede del CNSD in caso di eventi catastrofici. Misure di sicurezza volte a garantire la riduzione del rischio: - Ridurre il rischio di errori umani, furto, frode o uso improprio delle Strutture del CNSD. b) Sicurezza logica Al fine di gestire la sicurezza logica si riportano le seguenti indicazioni: - Definizione, implementazione e manutenzione di procedure per la gestione dei processi di sicurezza del backbone del CNSD. - Definizione, implementazione e manutenzione di procedure per la gestione dei processi applicativi del CNSD. - Definizione, implementazione e manutenzione di procedure di analisi dei sistemi, in particolare circa la capacità di rispondere efficacemente a richieste sempre più elevate di flussi informativi nel corso del tempo. - Definizione, implementazione e manutenzione di procedure di upgrade dei sistemi. - Definizione, implementazione e manutenzione di attività di backup delle informazioni. - Definizione, implementazione e manutenzione di politiche di accesso ai sistemi con gestione dei login degli utenti. c) Gestione della sicurezza del Locale ad accesso controllato Il Locale dove sono installati i sistemi del CNSD e gli apparati di rete è classificato Locale di accesso controllato ed è soggetto a particolari misure di protezione, regolamentate da precise norme, delle quali ne vengono riportate le linee guida. Locali ad accesso controllato. Questi Locali devono trovarsi in uno spazio interno e devono includere i seguenti ulteriori controlli: - Il responsabile del Locale deve essere chiaramente identificato. - Il Locale deve essere chiuso, anche se presidiato. - L'accesso al Locale deve essere limitato solo agli autorizzati dal responsabile del Locale. - E' necessario consentire l'accesso al Locale solo da uno spazio interno e le uscite di emergenza devono essere dotate di allarme. Le finestre esterne non so......