Fino al 13 giugno 2019 è possibile integrare con commenti e suggerimenti le linee guida sulla sicurezza nel procurement ICT e le linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali
La sicurezza informatica della PA riveste un’importanza fondamentale perché necessaria a garantire la disponibilità, l'integrità e la riservatezza delle informazioni del Sistema informativo della Pubblica amministrazione assicurando la fiducia, presupposto per la diffusione dei servizi digitali. AgID, secondo le previsioni dell’art. 14-bis del Codice dell’Amministrazione Digitale, ha tra l’altro il compito di emanare di Linee guida contenenti regole, standard, guide tecniche e di indirizzo in materia di sicurezza informatica.
Dal 14 maggio al 13 giugno 2019, sono in consultazione le “Linee Guida sulla sicurezza nel procurement ICT” e le “Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali”.
Le Linee Guida sulla sicurezza nel procurement ICT raccolgono indicazioni tecnico-amministrative, buone prassi e strumenti operativi (con esempi per agevolarne l’utilizzo), per garantire, all’interno delle procedure per l’approvvigionamento di beni e servizi informatici delle pubbliche amministrazioni, la rispondenza ad adeguati livelli di sicurezza.
Le linee guida hanno la finalità di:
- illustrare in maniera semplice e immediatamente fruibile la problematica della sicurezza nel procurement ICT;
- mettere a sistema (tramite opportuni glossari e classificazioni), formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della PA;
- presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per alzare tale livello senza per questo aumentare in modo eccessivo la complessità dei processi e l’impegno necessario a condurli.
Le Linee guida sono frutto del tavolo di lavoro promosso dal Nucleo per la Sicurezza Cibernetica (NSC) del Dipartimento Informazioni per la Sicurezza (DIS) presso la Presidenza del Consiglio dei Ministri, che ne ha approvato la stesura. Al documento hanno contribuito, oltre al DIS, il Dipartimento della Protezione Civile, il MAE, il MEF, il MiSE, AgID, Consip, i Ministeri dell’Interno, della Giustizia e della Difesa.
Le Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali hanno l’obiettivo di introdurre un modello organizzativo ed operativo per la costituzione e l’avvio di CERT (Computer Emergency Response Team) regionali nell’ambito della PA.
Il Modello delinea lo standard nazionale, in cui sono illustrati gli aspetti significativi da considerare per la costituzione di CERT regionali, di snodo fra il CERT-PA e le amministrazioni locali. I CERT regionali sono una tipologia di “CERT di prossimità”, la cui constituency viene selezionata per appartenenza geografica, e si distinguono dai CERT settoriali per i quali il supporto è dato a specifiche comunità su base funzionale (es. Sanità, Trasporti, ecc).
Nella definizione del modello all’interno delle linee guida, sono state prese in considerazione le indicazioni e Best Practice fornite dalle organizzazioni internazionali, come ENISA, CERT/CC, FIRST e le pratiche attuate dal CERT-PA.
La consultazione pubblica di entrambe le Linee guida è attiva dal 14 maggio al 13 giugno 2019.
Come partecipare alla consultazione
Le linee guida sono pubblicate su Docs Italia ed è possibile commentarle su Forum Italia.
Approfondimenti
Consultazione sulle Linee Guida sulla sicurezza nel procurement ICT
Consultazione sulle Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali