PIANI SICUREZZA PER CARTA D'IDENTITA' ELETTRONICA



(continua a leggere)


LINGUAGGIO NEGLI ATTI DELLA P.A.



































































































Ministero dell'Interno Ministero dell'Interno Dipartimento per gli Affari Interni e Territoriali Direzione Centrale per i Servizi Demografici Prot. n. 200510730 - 15100/15850 Roma, 13 Ottobre 2005 - AI PREFETTI DELLA REPUBBLICA LORO SEDI - AL COMMISSARIO DEL GOVERNO PER LA PROVINCIA DI 39100 BOLZANO - AL COMMISSARIO DEL GOVERNO PER LA PROVINCIA DI 38100 TRENTO -AL PRESIDENTE DELLA REGIONE AUTONOMA VALLE D' AOSTA SERVIZIO AFFARI DI PREFETTURA P.zza della Repubblica, 15 11100 AOSTA e, per conoscenza: - AL COMMISSARIO DELLO STATO PER LA REGIONE SICILIA 90100 PALERMO - AL RAPPRESENTANTE DEL GOVERNO PER LA REGIONE SARDEGNA 09100 CAGLIARI - ALL'ASSOCIAZIONE NAZIONALE DEI COMUNI D'ITALIA Via dei Prefetti, 46 00186 ROMA - ALL'ASSOCIAZIONE NAZIONALE UFFICIALI DI STATO CIVILE E DI ANAGRAFE Via dei Mille, 35 E/F 40024 CASTEL SAN PIETRO TERME (BO) -ALLA DEA-DEMOGRAFICI ASSOCIATI c/o Amministrazione comunale di Cascina Viale Com'aschi,116 56021 CASCINA (PI) -AL GABINETTO DEL SIG. MINISTRO SEDE -ALLA DIREZIONE CENTRALE PER LE RISORSE UMANE SEDE -ALL' UFFICIO COORDINAMENTO E AFFARI GENERALI SEDE -AL COMITATO PER LE PARI OPPORTUNITA' DELL' AMMINISTRAZIONE CIVILE DELL' INTERNO SEDE - AL SERVIZIO DOCUMENTAZIONE SEDE CIRCOLARE n. 47 OGGETTO: Carta d'identità elettronica - Decreto ministeriale 2 agosto 2005 recante regole tecniche e di sicurezza per la redazione dei piani di sicurezza comunali per la gestione delle postazioni di emissione CIE in attuazione del 2° comma dell'art. 7 vicies ter della legge 31 marzo 2005, n. 43. In data 19 settembre 2005 è stato pubblicato (G.U. serie generale n. 218) il decreto ministeriale 2 agosto 2005 recante Regole tecniche e di sicurezza per la redazione dei piani di sicurezza comunali per la gestione delle postazioni di emissione CIE in attuazione del 2° comma dell' art. 7 vicies ter della legge 31 marzo 2005, n. 43, che stabilisce che tutti i Comuni devono provvedere, entro il 31 ottobre 2005, alla redazione del Piano di sicurezza, secondo le regole tecniche fornite dal Ministero dell'Interno. Il decreto detta i principi generali ed enuclea le norme procedimentali, sulle quali si fonda il modello del piano di sicurezza che dovrà essere attuato dai Comuni. In un sistema integrato di competenze e di ruoli, la sicurezza delle informazioni nei Comuni rappresenta, infatti, condizione indefettibile per il raggiungimento dell' obiettivo di sicurezza che il processo di emissione della carta d'identità elettronica persegue. Di qui la previsione di un sistema di gestione della sicurezza articolato su tre livelli: - Comune, che redige ed attua il Piano di sicurezza; - Prefettura - UTG, che approva il Piano e vigila sulla corretta applicazione dello stesso; - Ministero dell' Interno, che controlla e verifica il rispetto dei vincoli di sicurezza relativi all'intero processo di emissione della CIE, avvalendosi delle proprie infrastrutture tecnologiche di controllo, monitoraggio ed allarme. La redazione dei piani di sicurezza comunali costituisce, dunque, il momento centrale nell' ambito di una politica organica di sicurezza che implica non solo l'adozione di misure specifiche, di carattere organizzativo, logistico e tecnologico che neutralizzino tutti gli attacchi ipotizzabili al sistema informatico, ma anche un' analisi conoscitiva dell' organizzazione che si traduca in scelte funzionali alla costruzione della sicurezza dell' intero sistema informatico. La sicurezza va vista, dunque, in termini globali ed in tale ottica il piano di sicurezza comunale rappresenta per codesti Uffici uno strumento fondamentale di conoscenza dei contesti organizzativi e strutturali in cui i servizi comunali operano, nonchè di valutazione e verifica delle azioni programmate dalle Amministrazioni locali per attuare le relative politiche di sicurezza. A tale proposito si ricorda che questo Ministero, consapevole dell' importanza e della necessità di costruire un sistema di gestione della sicurezza delle informazioni, con circolare n.57 del 25.11.2004, ha dato notizia dell' elaborazione del Nuovo modello informatizzato di vigilanza anagrafica, nell' ambito del quale è stato predisposto un modello di monitoraggio della sicurezza dei dati anagrafici, finalizzato a sensibilizzare e supportare l' azione degli operatori comunali, a conoscere ed analizzare la situazione dei Comuni in tema di sicurezza informatica, nonché a monitorare le attività, proponendo misure correttive. In riferimento agli specifici adempimenti, previsti dal cennato decreto ministeriale, si evidenzia che: I Comuni sono tenuti a: 1) nominare il responsabile comunale per la sicurezza degli accessi al CNSD, ove il Sindaco decida di delegare tale funzione (art. 7). I Comuni registrati al BackBone INA-SAIA per mezzo della nomina del responsabile su modulo cartaceo e antecedentemente all'emanazione della Circolare n."23/2005 in data 20 giugno 2005 del Capo Dipartimento per gli Affari Interni e Territoriali,devono comunque riesporre la stessa nell'area privata del sito web di questa Direzione Centrale nell'apposito "form" "Nomina nuovo Responsabile-Sicurezza" e attenersi a quanto disposto dall'allegato tecnico alla suddetta Circolare e successiva n.40/2005 in data 5 agosto 2005 del Direttore Centrale per i Servizi Demografici; 2) comunicare al Ministero, secondo le modalità indicate sul sito del CNSD, nell'area protetta a disposizione dei Comuni, il nominativo del responsabile comunale per la sicurezza degli accessi al CNSD. Il Ministero invierà le credenziali necessarie per l'accesso, da parte dei Comuni, all'area di personalizzazione e ricezione delle "quantità di sicurezza, attivazione e certificazione" al responsabile designato, o, in mancanza della comunicazione di nomina, al Sindaco; 3) inviare al Ministero, collegandosi in rete all'apposita area protetta prevista nel sito internet della Direzione Centrale per i Servizi Demografici ed utilizzando le credenziali ricevute, le informazioni necessarie per la personalizzazione e la successiva trasmissione delle "quantità di sicurezza, attivazione e certificazione"; 4) prendere in carico ed inventariare, con apposito verbale che dovrà essere allegato al Piano di sicurezza, le suddette quantità di sicurezza, che sono attivate nel momento stesso della trasmissione da parte del Ministero dell'Interno (art. 9, commi 10-11 e 12 e art. 10); 5) predisporre ed attivare il collegamento al CNSD, tramite Porta di accesso comunale ed in conformità alle regole tecniche e di sicurezza riportate nell'allegato B al D.M., attuando la seguente procedura operativa: a) predisposizione ed attivazione della Porta di accesso comunale (art. 11 del decreto ministeriale e paragrafo 4.1.2 del sub-allegato 3 dell'Allegato A al D.M., pag.70 e segg.); b) predisposizione ed attivazione dei sistemi comunali per l'accesso ai servizi applicativi del CNSD (art. 12); c) attivazione del collegamento all'INA (art. 13); d) attivazione delle postazioni di emissione CIE (art. 14); Per l'attivazione del collegamento all' INA, tramite porta di accesso del Comune, entro il 31 ottobre 2005, i Comuni devono aver già provveduto ad installare le componenti hardware e software di base della porta di accesso, a configurare le reti comunali, ad abilitare, registrare e verificare la porta d'accesso, nonché ad effettuare, con esito positivo, la prova di comunicazione, così come prescritto nell'art.11 comma 2, punti a) b) c) e d) del D.M. 6) redigere il Piano di sicurezza comunale, versione alfa, nel rispetto delle regole tecniche e di sicurezza di cui all'allegato A del decreto ministeriale (art. 8); 7) inviare, entro il 31 ottobre 2005, il Piano di sicurezza in formato digitale e cartaceo alla Prefettura per l'approvazione. A tale proposito si sottolinea che il Piano di sicurezza comunale deve essere adottato e quindi firmato dal Sindaco (artt.8 e 9), atteso che nell'esercizio di tale funzione, che ricade in materia di competenza statale, il medesimo opera nelle veste di Ufficiale di Governo; 8) rendere operativo il Piano di sicurezza comunale entro il 31 dicembre 2005 (art.9); 9) aggiornare semestralmente il Piano di sicurezza ed inviare le variazioni alla Prefettura per l'approvazione. La Prefettura deve approvare il Piano di sicurezza comunale versione alfa, entro trenta giorni dal suo ricevimento e lo deve inviare, in formato digitale, al CNSD, tramite la Porta di accesso della Prefettura che dovrà essere attivata con le stesse modalità, indicate sul sito del CNSD, previste per l'attivazione della Porta di accesso comunale. L' approvazione presuppone che tutte le schede informative riportate nell'Allegato A al D.M., relative sia alla struttura organizzativa, logistica e tecnologica del Comune, sia ai processi ed alle attività inerenti al circuito di emissione e all'uso della CIE, siano state compilate in modo puntuale e che le procedure operative ed i controlli che il Comune si impegna ad attuare, siano funzionali ed adeguati, rispetto agli obbiettivi perseguiti e alle esigenze evidenziate nell' analisi dei rischi . Il Piano di sicurezza versione alfa, ove non venga approvato, dovrà essere restituito ai Comuni per i necessari interventi correttivi. Il Prefetto potrà esercitare i poteri sostitutivi previsti dalla normativa vigente qualora il Piano di sicurezza comunale non venga redatto nei termini previsti o non venga modificato secondo le indicazioni fornite dalla Prefettura. Si raccomanda di predisporre accurate visite ispettive per verificare la corretta attuazione dei Piani di sicurezza comunali, delle relative procedure operative, nonché la puntuale compilazione, con cadenza trimestrale, delle relative schede di attuazione, monitoraggio e validazione. Modalità di compilazione del Piano di sicurezza versione alfa e suo aggiornamento. Viene denominato Piano di sicurezza versione alfa il primo Piano della sicurezza che i Comuni sono tenuti a redigere entro il 31 ottobre 2005. Nel sub-allegato 7 dell'Allegato A al D.M. è riportato l'indice generale del piano di sicurezza comunale ed un insieme di indicazioni utili alla redazione del piano da parte dei Comuni. Dal sub-allegato 7 si evince che, per ogni capitolo indicato nella seconda colonna dell'indice, nella compilazione del Piano occorre fare riferimento a determinate sezioni dell'Allegato A al D.M. i cui contenuti dovranno essere utilizzati, con gli adeguamenti necessari, per la compilazione del piano di sicurezza comunale versione alfa. Le schede relative ai capitoli 10 e 11 non devono essere compilate nel piano versione alfa, in quanto afferenti alle successive fase di monitoraggio, validazione, manutenzione ed evoluzione del piano. Ove nella descrizione dei macroprocessi il Comune individui attività ulteriori rispetto a quelle indicate nell' allegato A è necessario compilare una scheda aggiuntiva nella quale risultino descritti i relativi asset, minacce e vulnerabilità. Le attività eventualmente individuate in aggiunta a quelle già tipizzate, dovranno, altresì, essere inserite nel capitolo relativo al macroprocesso di riferimento, evidenziando i controlli che dovranno essere attuati. In relazione al capitolo 7 (Descrizione struttura tecnica, logistica ed organizzativa del Comune), si precisa che, in tutti i casi in cui i Comuni non siano ancora dotati delle postazioni di emissione, non dovranno essere redatte, nel piano versione alfa, le caselle relative alle caratteristiche tecniche e alla descrizione delle configurazioni dei dispositivi impiegati specificamente nel processo di emissione ed uso della CIE, fermo restando che andranno, comunque, compilati gli altri punti relativi al medesimo piano versione alfa. Il Piano di sicurezza versione alfa deve essere aggiornato alla scadenza del primo semestre 2006, allorché i Comuni dovranno redigere il Piano di sicurezza comunale versione beta, avvalendosi delle risultanze delle schede di attuazione, monitoraggio e validazione (sub-allegato 5 pag. 179, G.U. 19-9-2005 - supplemento ordinario) che il responsabile comunale della sicurezza CIE è tenuto a compilare trimestralmente. Il Piano di sicurezza comunale versione beta dovrà essere inviato per l'approvazione alla Prefettura entro il 30 settembre 2006. Nel nuovo Piano di sicurezza versione beta, il Comune è tenuto a riportare le variazioni rispetto al precedente piano afferenti alla struttura organizzativa, logistica e tecnica, alle procedure operative, alle minacce, alle vulnerabilità, alla valutazione del rischio ed ai relativi trattamenti. Le modalità di aggiornamento del Piano di sicurezza comunale sono riportate nel sub-allegato 6 - "Manutenzione ed Evoluzione del Piano". Si informano inoltre le SS.LL. che è reso disponibile, sul sito del CNSD, uno schema tipo di piano di sicurezza Comunale, compiutamente compilato secondo le indicazioni riportate nel sub?allegato A, a cui i Comuni potranno fare riferimento per la redazione del proprio Piano di sicurezza comunale versione alfa. Si ringrazia per la collaborazione e si resta in attesa di un cortese cenno di assicurazione e di intesa. IL DIRETTORE CENTRALE (Ciclosi)     ......