In un precedente articolo avevamo proposto un'analisi sull'evoluzione delle normative inerenti ai temi di privacy e sicurezza dei dati nell'ultimo periodo. Da una visione completa dell'insieme si nota con evidenza che dopo alcuni anni di 'costruzione' e 'definizione' delle problematiche, dei ruoli e degli obblighi in materia, le ultime indicazioni arrivate dal legislatore tendono pian piano a semplificare e razionalizzare il complesso giuridico.
Tuttavia per quanto riguarda l'ambito Pubblica Amministrazione si sta andando in controtendenza. Le ultime indicazioni di DigitPA infatti stanno definendo obblighi sempre più precisi, stabilendo con chiarezza ambiti di applicazioni ed indicando suggerimenti e best-practice per permettere soprattutto agli enti locali di riconoscere le proprie mancanze e giungere nel tempo ad un livello di stabilità relativo alla parte informatica che garantisca la piena sicurezza dei dati ed il rapido ripristino delle attività in caso di incidente informatico.
Ad oggi infatti la sensazione (soggettiva) che molte PA locali debbano ancora fare molti passi in avanti per garantire un grado di sicurezza ICT accettabile è ancora diffusa, nonostante il piano normativo anche se un poco farraginoso e complesso già da anni si sia sufficientemente espresso.
In questo primo articolo analizzeremo il contesto storico (moderno) Italiano esclusivamente riguardo le correlazioni tra ICT e sicurezza ( tralasciando perciò il vasto complesso generale della Digital Governance e delle sue varie evoluzioni nel tempo), per poi proporre più avanti un secondo articolo contenente le ultime evoluzioni approfondendo in particolare il ruolo di DigitPa.
La politica italiana incomincia ad interessarsi concretamente di sicurezza informatica e del rapporto di quest'ultima con gli obblighi di privacy nel gennaio 2002 quando la Presidenza del Consiglio dei Ministri emana una direttiva sulla sicurezza ICT con la quale invita le PA ad ad effettuare una propria autovalutazione in merito e ad allinearsi ad una base minima di sicurezza tecnicamente definita negli nallegati alla direttiva. Al contempo il Dipartimento per l'Innovazione per le Tecnologie della Presidenza del Consiglio dei Ministri ed il Ministero delle comunicazioni si sarebbero impegnati a “[…] Promuovere la creazione e la successiva attivazione di un modello organizzativo nazionale di sicurezza ICT […] Costituire un comitato nazionale della sicurezza ICT […] Definire uno schema nazionale di riferimento […] Formulare il piano nazionale della sicurezza ICT della PA […] Realizzare la certificazione di sicurezza ICT nella PA […]”.
Ad aprile dello stesso anno sempre la Presidenza del Consiglio emana la direttiva denominata “Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione” con il quali si pongono le basi giuridiche “… per la valutazione e la certificazione della sicurezza nel settore delle tecnologie dell'informazione per la tutela delle informazioni classificate disciplina le linee essenziali per la definizione dei criteri e delle procedure da osservare per il funzionamento degli organismi di certificazione e per la valutazione dei prodotti e dei sistemi che gestiscono informazioni classificate.” In particolare viene appositamente definita un nuovo tipo di soggetto denominato Centro di Valutazione che dovrà rispondere ad alcune caratteristiche tecniche e sarà regolamentato nei rapporti con il cliente o "valutato".
Pochi mesi dopo a luglio viene istituito con termine al 31/12/2004 il Comitato Tecnico Nazionale sulla Sicurezza ICT con il compito di coordinare i lavori per il raggiungimento degli obiettivi prefissati con la direttiva di gennaio 2002.
Si passa quindi ad ottobre 2003 quando sempre con un decreto della presidenza del consiglio viene adottato il nuovo Schema Nazionale per la certificazione di sicurezza di prodotti e sistemi ICT, che si basa sugli standard ISO ITSEC e Common Criteria.
La sensazione è comunque che ci sia ancora molta strada da percorrere, ed infatti a dicembre dello stesso anno però in un ulteriore decreto viene precisato:
"Gli impegni indicati nella direttiva del marzo 2002 (autovalutazione del livello di sicurezza,
adeguamento alla «base minima» di sicurezza), al momento, non sono ancora compiutamente
realizzati. Le amministrazioni dovranno, pertanto, al più presto, adeguare le propria struttura,
almeno, ai livelli di sicurezza minimi richiesti, rivolgendo l'attenzione sia all'ambito organizzativo
che alla realizzazione di attività operative."
A Marzo 2004 il Comitato sulla Sicurezza ICT predispone un fondamentale documento chiamato Proposte concernenti le strategie in materia di Sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione dove viene riassunta tutta l'attività del Comitato. Ampia imprtanza viene data agli interventi di formazioni presso gli enti locali, alla sensibilizzazione sui temi di continuità operativa e analisi dei rischi, al favorire il ricorso a standard di sicurezza, e sopratutto ad una nuova struttura denominata GOVCERT.IT (poi CERT-SPC) con lo scopo di diventare punto di riferimento per le P.A in tema di attacchi informatici, tecniche di intrusione, vulnerabilità, minacce e patch.
Finalmente a Marzo 2006 il CNIPA pubblica il Piano Nazionale della sicurezza delle tecnologie dell’informazione e comunicazione della pubblica amministrazione che stabilisce le azioni necessarie per l' attuazione della sicurezza informatica e contiene al suo interno anche il Modello Organizzativo Nazionale di sicurezza ICT per la PA che invece definisce i processi e le strutture con cui attuare le azioni del Piano Nazionale.
A partire dal 2005 però importanti indicazioni arrivano anche dal Sistema Pubblico di Connettività definito dal Codice dell'Amministrazione Digitale dove sebbene in via generale vengono definite regole, metodi e best-practice (come la nomina di un Computer Emergency Response Team, CERT) per l'ambito di sicurezza nella PA, prestando attenzione a tutti gli aspetti logici, infrastrutturali, dei servizi, e dell’organizzazione.
Infine si ricorda anche nell'aprile 2008 il decreto denominato "Individuazione delle infrastrutture critiche informatiche di interesse nazionale" che sottolinea la sensibilità delle informazioni trattate da alcuni organismi della PA istituendo tra l'altro il C.N.A.I.P.I.C. Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche sotto il controllo della Polizia Postale e delle Comunicazioni.
Nei prossimi giorni come già spiegato proporremmo un ulteriore articolo con le evoluzioni avute negli ultimi 3 anni circa illustrando le specifiche indicazioni e richieste pervenute dal legislatore e da DigitPA nei confronti degli Enti Locali, fornendo anche alcune nostre considerazioni e proposte tecniche per lo sviluppo dei nuovi Sistemi Informatici nelle PA in previsione dell'adeguamento alle novità.
RIFERIMENTI:
http://www.interlex.it/pa/d_bruschi.htm
http://www.isticom.it/documenti/evidenza/intervento_guida.pdf
http://archivio.cnipa.gov.it/site/it-IT/Normativa/Raccolta_normativa_ICT/Sicurezza_informatica/
http://www.clusit.it/
Una risposta su “Sicurezza Informatica e PA / pt 1”
[…] Sicurezza Informatica e PA / pt 1 […]