[b]AGENZIA PER L'ITALIA DIGITALE
CIRCOLARE 17 marzo 2017, n. 1/2017
Misure minime di sicurezza ICT per le pubbliche amministrazioni.
(Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015).
(17A02399)
(GU n.79 del 4-4-2017)
Vigente al: 4-4-2017 [/b]
Premessa.
Il decreto-legge del 22 giugno 2012, n. 83, all'art. 20, comma 3,
lettera b) identifica nell'Agenzia per l'Italia digitale l'organismo
che «detta indirizzi, regole tecniche e linee guida in materia di
sicurezza informatica».
La direttiva del 1° agosto 2015 del Presidente del Consiglio dei
ministri impone l'adozione di standard minimi di prevenzione e
reazione ad eventi cibernetici. Al fine di agevolare tale processo,
individua nell'Agenzia per l'Italia digitale l'organismo che dovra'
rendere prontamente disponibili gli indicatori degli standard di
riferimento, in linea con quelli posseduti dai maggiori partner del
nostro Paese e dalle organizzazioni internazionali di cui l'Italia e'
parte.
Art. 1
S c o p o
[b] Obiettivo della presente circolare e' indicare alle pubbliche
amministrazioni le misure minime per la sicurezza ICT che debbono
essere adottare al fine di contrastare le minacce piu' comuni e
frequenti cui sono soggetti i loro sistemi informativi.
Le misure minime di cui al comma precedente sono contenute
nell'allegato 1, che costituisce parte integrante della presente
circolare. [/b]
Art. 2
Amministrazioni destinatarie
Destinatarie della presente circolare sono le pubbliche
amministrazioni di cui all'art. 1, comma 2, del decreto legislativo
30 marzo 2001, n. 165.
Art. 3
Attuazione delle misure minime
Il responsabile dei sistemi informativi di cui all'art. 10 del
decreto legislativo 12 febbraio 1993, n. 39, ovvero, in sua assenza,
il dirigente allo scopo designato, ha la responsabilita' della
attuazione delle misure minime di cui all'art. 1.
Art. 4
Modulo di implementazione delle MMS-PA
Le modalita' con cui ciascuna misura e' implementata presso
l'amministrazione debbono essere sinteticamente riportate nel modulo
di implementazione di cui all'allegato 2, anch'esso parte integrante
della presente circolare.
Il modulo di implementazione deve essere firmato digitalmente con
marcatura temporale dal soggetto di cui all'art. 3 e dal responsabile
legale della struttura. Dopo la sottoscrizione esso deve essere
conservato e, in caso di incidente informatico, trasmesso al CERT-PA
insieme con la segnalazione dell'incidente stesso.
Art. 5
Tempi di attuazione
[color=red][b] Entro il 31 dicembre 2017 le amministrazioni dovranno attuare gli
adempimenti di cui agli articoli precedenti. [/b][/color]
Roma, 17 marzo 2017
Il presidente: Samaritani
Allegato 1
MISURE MINIME DI SICUREZZA ICT
PER LE PUBBLICHE AMMINISTRAZIONI
Parte di provvedimento in formato grafico
Allegato 2
MODULO DI IMPLEMENTAZIONE DELLE MISURE MINIME DI SICUREZZA
PER LE PUBBLICHE AMMINISTRAZIONI
Parte di provvedimento in formato grafico
I filtri contro l'accesso ai siti non istituzionali bloccano pure la categoria "malicious websites", cioè quelli che possono danneggiare con virus e affini, oppure monitorare occultamente. Confondendo la sicurezza informatica con la pertinenza al lavoro, prescrivono una richiesta formale del dirigente perché il vertice autorizzi la consultazione, mentre avrebbe molto più senso lo facesse l'amministratore informatico. La paura del monitoraggio in quanto tale è una paranoia che non so se debba spaventare più il singolo lavoratore o l'organizzazione, nè quali danni concreti possa fare se non qualche insulsa pubblicità mirata che si fa presto a cestinare.
Quanto ai siti estranei al lavoro, i criteri meccanici sono pure diseducativi, in quanto aggirarli sembra assolutamente banale. Magari censurano il filmato in quanto tale, non importa se d'intrattenimento o tutorial tecnico. Se le autorizzazioni vengono chieste in massa, per forza verranno rilasciate a scatola quanto meno semichiusa. altrimenti si bloccherebbe tutto