PIANI SICUREZZA PER CARTA D'IDENTITA' ELETTRONICA
LINGUAGGIO NEGLI ATTI DELLA P.A.
Ministero dell'Interno
Ministero
dell'Interno
Dipartimento per gli Affari Interni e Territoriali
Direzione Centrale per i Servizi Demografici
Prot. n. 200510730 - 15100/15850
Roma, 13 Ottobre 2005
- AI PREFETTI DELLA REPUBBLICA LORO SEDI
- AL COMMISSARIO DEL GOVERNO PER LA PROVINCIA DI 39100 BOLZANO
- AL COMMISSARIO DEL GOVERNO PER LA PROVINCIA DI 38100 TRENTO
-AL PRESIDENTE DELLA REGIONE AUTONOMA VALLE D' AOSTA
SERVIZIO AFFARI DI PREFETTURA
P.zza della Repubblica, 15 11100 AOSTA
e, per conoscenza:
- AL COMMISSARIO DELLO STATO PER LA REGIONE SICILIA 90100 PALERMO
- AL RAPPRESENTANTE DEL GOVERNO PER
LA REGIONE SARDEGNA 09100 CAGLIARI
- ALL'ASSOCIAZIONE NAZIONALE DEI COMUNI D'ITALIA
Via dei Prefetti, 46 00186 ROMA
- ALL'ASSOCIAZIONE NAZIONALE UFFICIALI DI
STATO CIVILE E DI ANAGRAFE
Via dei Mille, 35 E/F 40024 CASTEL SAN PIETRO TERME (BO)
-ALLA DEA-DEMOGRAFICI ASSOCIATI
c/o Amministrazione comunale di Cascina
Viale Com'aschi,116 56021 CASCINA (PI)
-AL GABINETTO DEL SIG. MINISTRO SEDE
-ALLA DIREZIONE CENTRALE PER LE RISORSE UMANE SEDE
-ALL' UFFICIO COORDINAMENTO E AFFARI GENERALI SEDE
-AL COMITATO PER LE PARI OPPORTUNITA'
DELL' AMMINISTRAZIONE CIVILE DELL' INTERNO SEDE
- AL SERVIZIO DOCUMENTAZIONE SEDE
CIRCOLARE n. 47
OGGETTO: Carta d'identità elettronica - Decreto ministeriale 2 agosto 2005
recante regole tecniche e di sicurezza per la redazione dei piani di sicurezza
comunali per la gestione delle postazioni di emissione CIE in attuazione del 2°
comma dell'art. 7 vicies ter della legge 31 marzo 2005, n. 43.
In data 19 settembre 2005 è stato pubblicato (G.U. serie generale n. 218) il
decreto ministeriale 2 agosto 2005 recante Regole tecniche e di sicurezza per
la redazione dei piani di sicurezza comunali per la gestione delle postazioni
di emissione CIE in attuazione del 2° comma dell' art. 7 vicies ter della legge
31 marzo 2005, n. 43, che stabilisce che tutti i Comuni devono provvedere,
entro il 31 ottobre 2005, alla redazione del Piano di sicurezza, secondo le
regole tecniche fornite dal Ministero dell'Interno.
Il decreto detta i principi generali ed enuclea le norme procedimentali, sulle
quali si fonda il modello del piano di sicurezza che dovrà essere attuato dai
Comuni.
In un sistema integrato di competenze e di ruoli, la sicurezza delle
informazioni nei Comuni rappresenta, infatti, condizione indefettibile per il
raggiungimento dell' obiettivo di sicurezza che il processo di emissione della
carta d'identità elettronica persegue.
Di qui la previsione di un sistema di gestione della sicurezza articolato su
tre livelli:
- Comune, che redige ed attua il Piano di sicurezza;
- Prefettura - UTG, che approva il Piano e vigila sulla corretta applicazione
dello stesso;
- Ministero dell' Interno, che controlla e verifica il rispetto dei vincoli di
sicurezza relativi all'intero processo di emissione della CIE, avvalendosi
delle proprie infrastrutture tecnologiche di controllo, monitoraggio ed
allarme.
La redazione dei piani di sicurezza comunali costituisce, dunque, il momento
centrale nell' ambito di una politica organica di sicurezza che implica non
solo l'adozione di misure specifiche, di carattere organizzativo, logistico e
tecnologico che neutralizzino tutti gli attacchi ipotizzabili al sistema
informatico, ma anche un' analisi conoscitiva dell' organizzazione che si traduca
in scelte funzionali alla costruzione della sicurezza dell' intero sistema
informatico.
La sicurezza va vista, dunque, in termini globali ed in tale ottica il piano di
sicurezza comunale rappresenta per codesti Uffici uno strumento fondamentale di
conoscenza dei contesti organizzativi e strutturali in cui i servizi comunali
operano, nonchè di valutazione e verifica delle azioni programmate dalle
Amministrazioni locali per attuare le relative politiche di sicurezza.
A tale proposito si ricorda che questo Ministero, consapevole dell' importanza
e della necessità di costruire un sistema di gestione della sicurezza delle
informazioni, con circolare n.57 del 25.11.2004, ha dato notizia dell'
elaborazione del Nuovo modello informatizzato di vigilanza anagrafica, nell'
ambito del quale è stato predisposto un modello di monitoraggio della sicurezza
dei dati anagrafici, finalizzato a sensibilizzare e supportare l' azione degli
operatori comunali, a conoscere ed analizzare la situazione dei Comuni in tema
di sicurezza informatica, nonché a monitorare le attività, proponendo misure
correttive.
In riferimento agli specifici adempimenti, previsti dal cennato decreto
ministeriale, si evidenzia che:
I Comuni sono tenuti a:
1) nominare il responsabile comunale per la sicurezza degli accessi al CNSD,
ove il Sindaco decida di delegare tale funzione (art. 7). I Comuni registrati
al BackBone INA-SAIA per mezzo della nomina del responsabile su modulo cartaceo
e antecedentemente all'emanazione della Circolare n."23/2005 in data 20
giugno 2005 del Capo Dipartimento per gli Affari Interni e Territoriali,devono
comunque riesporre la stessa nell'area privata del sito web di questa Direzione
Centrale nell'apposito "form" "Nomina nuovo
Responsabile-Sicurezza" e attenersi a quanto disposto dall'allegato
tecnico alla suddetta Circolare e successiva n.40/2005 in data 5 agosto 2005
del Direttore Centrale per i Servizi Demografici;
2) comunicare al Ministero, secondo le modalità indicate sul sito del CNSD,
nell'area protetta a disposizione dei Comuni, il nominativo del responsabile
comunale per la sicurezza degli accessi al CNSD. Il Ministero invierà le
credenziali necessarie per l'accesso, da parte dei Comuni, all'area di
personalizzazione e ricezione delle "quantità di sicurezza, attivazione e
certificazione" al responsabile designato, o, in mancanza della
comunicazione di nomina, al Sindaco;
3) inviare al Ministero, collegandosi in rete all'apposita area protetta
prevista nel sito internet della Direzione Centrale per i Servizi Demografici
ed utilizzando le credenziali ricevute, le informazioni necessarie per la
personalizzazione e la successiva trasmissione delle "quantità di
sicurezza, attivazione e certificazione";
4) prendere in carico ed inventariare, con apposito verbale che dovrà essere
allegato al Piano di sicurezza, le suddette quantità di sicurezza, che sono
attivate nel momento stesso della trasmissione da parte del Ministero
dell'Interno (art. 9, commi 10-11 e 12 e art. 10);
5) predisporre ed attivare il collegamento al CNSD, tramite Porta di accesso
comunale ed in conformità alle regole tecniche e di sicurezza riportate
nell'allegato B al D.M., attuando la seguente procedura operativa:
a) predisposizione ed attivazione della Porta di accesso comunale (art. 11 del
decreto ministeriale e paragrafo 4.1.2 del sub-allegato 3 dell'Allegato A al
D.M., pag.70 e segg.);
b) predisposizione ed attivazione dei sistemi comunali per l'accesso ai servizi
applicativi del CNSD (art. 12);
c) attivazione del collegamento all'INA (art. 13);
d) attivazione delle postazioni di emissione CIE (art. 14);
Per l'attivazione del collegamento all' INA, tramite porta di accesso del
Comune, entro il 31 ottobre 2005, i Comuni devono aver già provveduto ad
installare le componenti hardware e software di base della porta di accesso, a
configurare le reti comunali, ad abilitare, registrare e verificare la porta
d'accesso, nonché ad effettuare, con esito positivo, la prova di comunicazione,
così come prescritto nell'art.11 comma 2, punti a) b) c) e d) del D.M.
6) redigere il Piano di sicurezza comunale, versione alfa, nel rispetto delle
regole tecniche e di sicurezza di cui all'allegato A del decreto ministeriale
(art. 8);
7) inviare, entro il 31 ottobre 2005, il Piano di sicurezza in formato digitale
e cartaceo alla Prefettura per l'approvazione. A tale proposito si sottolinea
che il Piano di sicurezza comunale deve essere adottato e quindi firmato dal
Sindaco (artt.8 e 9), atteso che nell'esercizio di tale funzione, che ricade in
materia di competenza statale, il medesimo opera nelle veste di Ufficiale di
Governo;
8) rendere operativo il Piano di sicurezza comunale entro il 31 dicembre 2005
(art.9);
9) aggiornare semestralmente il Piano di sicurezza ed inviare le variazioni
alla Prefettura per l'approvazione.
La Prefettura deve approvare il Piano di sicurezza comunale versione alfa,
entro trenta giorni dal suo ricevimento e lo deve inviare, in formato digitale,
al CNSD, tramite la Porta di accesso della Prefettura che dovrà essere attivata
con le stesse modalità, indicate sul sito del CNSD, previste per l'attivazione
della Porta di accesso comunale.
L' approvazione presuppone che tutte le schede informative riportate
nell'Allegato A al D.M., relative sia alla struttura organizzativa, logistica e
tecnologica del Comune, sia ai processi ed alle attività inerenti al circuito
di emissione e all'uso della CIE, siano state compilate in modo puntuale e che
le procedure operative ed i controlli che il Comune si impegna ad attuare,
siano funzionali ed adeguati, rispetto agli obbiettivi perseguiti e alle
esigenze evidenziate nell' analisi dei rischi .
Il Piano di sicurezza versione alfa, ove non venga approvato, dovrà essere
restituito ai Comuni per i necessari interventi correttivi.
Il Prefetto potrà esercitare i poteri sostitutivi previsti dalla normativa
vigente qualora il Piano di sicurezza comunale non venga redatto nei termini
previsti o non venga modificato secondo le indicazioni fornite dalla
Prefettura.
Si raccomanda di predisporre accurate visite ispettive per verificare la corretta
attuazione dei Piani di sicurezza comunali, delle relative procedure operative,
nonché la puntuale compilazione, con cadenza trimestrale, delle relative schede
di attuazione, monitoraggio e validazione.
Modalità di compilazione del Piano di sicurezza versione alfa e suo
aggiornamento.
Viene denominato Piano di sicurezza versione alfa il primo Piano della
sicurezza che i Comuni sono tenuti a redigere entro il 31 ottobre 2005.
Nel sub-allegato 7 dell'Allegato A al D.M. è riportato l'indice generale del
piano di sicurezza comunale ed un insieme di indicazioni utili alla redazione
del piano da parte dei Comuni.
Dal sub-allegato 7 si evince che, per ogni capitolo indicato nella seconda
colonna dell'indice, nella compilazione del Piano occorre fare riferimento a
determinate sezioni dell'Allegato A al D.M. i cui contenuti dovranno essere
utilizzati, con gli adeguamenti necessari, per la compilazione del piano di
sicurezza comunale versione alfa.
Le schede relative ai capitoli 10 e 11 non devono essere compilate nel piano
versione alfa, in quanto afferenti alle successive fase di monitoraggio,
validazione, manutenzione ed evoluzione del piano.
Ove nella descrizione dei macroprocessi il Comune individui attività ulteriori
rispetto a quelle indicate nell' allegato A è necessario compilare una scheda
aggiuntiva nella quale risultino descritti i relativi asset, minacce e
vulnerabilità.
Le attività eventualmente individuate in aggiunta a quelle già tipizzate,
dovranno, altresì, essere inserite nel capitolo relativo al macroprocesso di
riferimento, evidenziando i controlli che dovranno essere attuati.
In relazione al capitolo 7 (Descrizione struttura tecnica, logistica ed
organizzativa del Comune), si precisa che, in tutti i casi in cui i Comuni non
siano ancora dotati delle postazioni di emissione, non dovranno essere redatte,
nel piano versione alfa, le caselle relative alle caratteristiche tecniche e
alla descrizione delle configurazioni dei dispositivi impiegati specificamente
nel processo di emissione ed uso della CIE, fermo restando che andranno,
comunque, compilati gli altri punti relativi al medesimo piano versione alfa.
Il Piano di sicurezza versione alfa deve essere aggiornato alla scadenza del
primo semestre 2006, allorché i Comuni dovranno redigere il Piano di sicurezza
comunale versione beta, avvalendosi delle risultanze delle schede di
attuazione, monitoraggio e validazione (sub-allegato 5 pag. 179, G.U. 19-9-2005
- supplemento ordinario) che il responsabile comunale della sicurezza CIE è
tenuto a compilare trimestralmente.
Il Piano di sicurezza comunale versione beta dovrà essere inviato per
l'approvazione alla Prefettura entro il 30 settembre 2006.
Nel nuovo Piano di sicurezza versione beta, il Comune è tenuto a riportare le
variazioni rispetto al precedente piano afferenti alla struttura organizzativa,
logistica e tecnica, alle procedure operative, alle minacce, alle
vulnerabilità, alla valutazione del rischio ed ai relativi trattamenti.
Le modalità di aggiornamento del Piano di sicurezza comunale sono riportate nel
sub-allegato 6 - "Manutenzione ed Evoluzione del Piano".
Si informano inoltre le SS.LL. che è reso disponibile, sul sito del CNSD, uno
schema tipo di piano di sicurezza Comunale, compiutamente compilato secondo le
indicazioni riportate nel sub?allegato A, a cui i Comuni potranno fare
riferimento per la redazione del proprio Piano di sicurezza comunale versione
alfa.
Si ringrazia per la collaborazione e si resta in attesa di un cortese cenno di
assicurazione e di intesa.
IL DIRETTORE CENTRALE
(Ciclosi)
......