Presidenza del Consiglio dei Ministri – Dipartimento per l’Innovazione e le Tecnologie
Direttiva del 16 gennaio 2002
——–
il punto:
Con la presente direttiva, il Ministro Stanca fissa alcuni punti chiave per la sicurezza dei flussi telematici di dati nelle Pubbliche Amministrazioni.
In via preliminare, è necessario che tutte le P.A. svolgano una rapida autodiagnosi del livello attuale di adeguatezza della sicurezza informatica, per allinearsi su quella "base minima di sicurezza" che consenta di costruire con un approccio unitario e condiviso un vero e proprio sistema nazionale di sicurezza ICT della pubblica amministrazione.
Il Ministro poi ricorda che è in corso di realizzazione un programma di azione del Governo per la sicurezza ICT mediante il quale, una volta formulato un Piano nazionale per la sicurezza ICT, sarà costituito un Comitato nazionale, definito uno schema nazionale di riferimento della sicurezza, e verrà realizzata la certificazione di sicurezza ICT nella Pubblica Amministrazione.
——–
il testo:
SICUREZZA INFORMATICA E DELLE TELECOMUNICAZIONI NELLE PUBBLICHE AMMINISTRAZIONI STATALI
A tutte le Amministrazioni dello Stato
Alle aziende ed amministrazioni autonome dello Stato
A tutti gli enti pubblici non economici nazionali
IL MINISTRO PER L’INNOVAZIONE E LE TECNOLOGIE, DI INTESA CON IL MINISTRO DELLE COMUNICAZIONI
Visto il decreto legge 12 giugno 2001, n. 217, recante "Modificazione al decreto legislativo 30 luglio 1999, n. 300, nonché alla legge 23 agosto 1988, n. 400, in materia di organizzazione del Governo", convertito, con modificazioni, dalla legge 3 agosto 2001, n. 317, ed in particolare l’articolo 6 del decreto-legge;
Visto il decreto del Presidente del Consiglio dei ministri 9 agosto 2001, recante "delega di funzioni del Presidente del Consiglio dei Ministri in materia di innovazione e tecnologie al Ministro senza portafoglio dott. Lucio Stanca";
Visto il decreto del Presidente del Consiglio dei Ministri 27 settembre 2001, recante "Istituzione del Dipartimento per l’innovazione e le tecnologie";
EMANA
la seguente direttiva:
Sicurezza nelle tecnologie dell’informazione e della comunicazione.
Le informazioni gestite dai sistemi informativi pubblici costituiscono una risorsa di valore strategico per il governo del Paese.
Questo patrimonio deve essere efficacemente protetto e tutelato al fine di prevenire possibili alterazioni sul significato intrinseco delle informazioni stesse. E’ noto infatti che esistono minacce di intrusione e possibilità di divulgazione non autorizzata di informazioni, nonché di interruzione e di distruzione del servizio.
Lo stesso processo di innovazione tecnologica produce da un lato strumenti più sofisticati di "attacco", ma d’altro lato idonei strumenti di difesa e protezione.
Assume quindi importanza fondamentale valutare il rischio connesso con la gestione delle informazione e dei sistemi.
Inoltre per poter operare in un mondo digitale sempre più aperto, le pubbliche amministrazione devono essere in grado di presentare credenziali di sicurezza nelle informazioni conformi agli standard internazionali di riferimento.
Nell’ambito delle rispettive responsabilità il Ministro per l’innovazione e le tecnologie ed il Ministro delle comunicazioni sono quindi chiamati ad interpretare il tema rischio-sicurezza non solo nell’ottica della riduzione della vulnerabilità, per garantire integrità e affidabilità dell’informazione pubblica, ma anche al fine di creare e mantenere una posizione primaria a livello europeo.
Si raccomanda pertanto a tutte le pubbliche amministrazioni in indirizzo di avviare nell’immediato alcune azioni prioritarie tali da consentire il conseguimento di un primo importante risultato di allineamento ad una "base minima di sicurezza", attraverso:
1) una rapida autodiagnosi, sulla base dell’allegato 1, del livello di adeguatezza della Sicurezza Informatica e delle Telecomunicazioni (ICT), con particolare riferimento alla dimensione organizzativa operativa e conoscitiva della sicurezza;
2) l’attivazione delle necessarie iniziative per posizionarsi sulla "base minima di sicurezza", definita nell’allegato 2, che consenta di costruire con un approccio unitario e condiviso, le fondamenta della sicurezza della pubblica amministrazione.
Tali fondamenta non pretendono di rappresentare una risposta completa ed esaustiva, ma vogliono fornire una serie di indicazioni tecnico-operative utili per avviare la Pubblica Amministrazione verso la concreta soluzione dei principali problemi di sicurezza e, nel contempo, gettare le basi per lo sviluppo di un vero e proprio sistema nazionale di sicurezza ICT della pubblica amministrazione.
Nel frattempo a tal fine il Dipartimento per l’innovazione per le tecnologie della Presidenza del Consiglio dei Ministri ed il Ministero delle comunicazioni stanno promovendo la predisposizione del programma di azione del Governo per la sicurezza ICT da sottoporre alla attenzione delle pubbliche amministrazioni, articolato sulle seguenti linee:
1) promuovere la creazione e la successiva attivazione di un modello organizzativo nazionale di sicurezza ICT che comprenda tutti gli organi istituzionali, scientifici ed accademici deputati, ciascuno per il proprio ruolo, ad assicurare organicità e completezza al tema sicurezza;
2) costituire un Comitato nazionale della sicurezza ICT per indirizzare, guidare e coordinare le varie iniziative connesse con il raggiungimento degli standard di sicurezza che verranno definiti;
3) definire uno schema nazionale di riferimento della sicurezza sviluppando linee guida, direttive, standard, nonché i processi di accreditamento e di certificazione;
4) formulare il Piano nazionale della sicurezza ICT della pubblica amministrazione;
5) realizzare la certificazione di sicurezza ICT nella pubblica amministrazione.
Data l’importanza ed attualità del tema in oggetto e nella consapevolezza del grande impegno richiesto in termini di competenze e risorse da mobilitare si raccomanda tutte le pubbliche amministrazioni di agire con la massima priorità ed urgenza per quanto riguarda le azioni immediate preventivamente descritte.
Roma, 16 gennaio 2002
