Misure minime di sicurezza ICT per le pubbliche amministrazioni
Al fine di indicare alle pubbliche amministrazioni le misure minime per la sicurezza ICT che debbono essere adottate per contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi, ed in attuazione della Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri che emana disposizioni finalizzate a consolidare lo stato della sicurezza informatica nazionale, AgID ha provveduto ad emanare l’elenco ufficiale delle “Misure minime per la sicurezza ICT delle pubbliche amministrazioni”.
Per fornire tempestivamente alle PA un riferimento pratico, e consentire loro di intraprendere un percorso di progressivo adeguamento, il documento con le Misure minime era già stato reso disponibile da AgID e dal CERT-PA sui rispettivi siti Web istituzionali sin dal settembre 2016.
Con l’avvenuta pubblicazione in Gazzetta Ufficiale (Serie Generale n.103 del 5-5-2017) della Circolare 18 aprile 2017, n. 2/2017, recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)», le Misure minime sono ora divenute di obbligatoria adozione per tutte le Amministrazioni.
Premesse sulla definizione delle Misure minime di sicurezza ICT per le pubbliche amministrazioni
Le Misure minime di sicurezza ICT per le pubbliche amministrazioni si basano sull’insieme di controlli noto come SANS 20, pubblicato dal Center for Internet Security come CCSC «CIS Critical Security Controls for Effective Cyber Defense» nella versione 6.0 di ottobre 2015. Il SANS20 è un elenco composto da venti controlli, denominati Critical Security Control (CSC), ordinato sulla base dell’impatto sulla sicurezza dei sistemi. Ciascun controllo precede tutti quelli la cui implementazione innalza il livello di sicurezza in misura inferiore alla sua.
Dal momento che è comune convinzione che i primi cinque controlli siano quelli indispensabili per assicurare il minimo livello di protezione nella maggior parte delle situazioni AgID è partita da questi per stabilire le misure minime di sicurezza per la pubblica amministrazione italiana e definire gli AgID Basic Security Control(s) (ABSC).
Per definire gli ABSC AgID è partita dal confronto tra le versioni 6.0 e 5.1 dei CCSC, assunto quale indicatore dell’evoluzione della minaccia cibernetica nel corso degli ultimi anni da cui risulta:
- Un aumento di importanza delle misure relative agli amministratori di sistema, che balzano dal 12° al 5° posto, entrando nella rosa dei Quick Win.
- Riduzione d’importanza della sicurezza applicativa scivola dal 6° al 18° posto
- Riduzione d’importanza degli accessi wireless dal 7° al 15° a causa della diffusione delle contromisure atte a contrastare le vulnerabilità tipiche di tali ambiti.
Si è deciso di fare riferimento, nell’identificazione degli ABSC, alla versione 6 dei CCSC. Tuttavia l’insieme dei controlli definiti è più vicino a quello della versione 5.1 poiché AgID ha ritenuto che molti dei controlli eliminati nel passaggio alla nuova versione, probabilmente perché non più attuali nella realtà statunitense, sono ancora importanti nel contesto della pubblica amministrazione italiana.