Si001 - Protezione di base delle TIC nell'Amministrazione federale

Pagina creata da Beatrice Manca
 
CONTINUA A LEGGERE
Dipartimento federale delle finanze DFF

                                                 Centro nazionale per la cibersicurezza NCSC
                                                 Sicurezza informatica della Confederazione

 Versione 4.6

Si001 – Protezione di base delle TIC
nell’Amministrazione federale
del 19 dicembre 2013 (stato: 1° aprile 2021)

Ai sensi dell’articolo 11 capoverso 1 lettera e dell’ordinanza del 27 maggio 2020 sui ciber-
rischi (OCiber), il delegato alla cibersicurezza emana la seguente direttiva per la protezione di
base di cui all’articolo 14c OCiber.

                      Figura 1: Riepilogo delle basi per la sicurezza informatica
Si001 – Protezione di base delle TIC nell’Amministrazione federale

Indice

1           Disposizioni generali sulla protezione di base delle TIC .......................... 3
1.1         Campo d’applicazione ........................................................................................... 3
1.2         Deroghe alle direttive della protezione di base delle TIC .................................... 3
1.3         Disposizioni di esecuzione concernenti la protezione di base delle TIC ........... 4
1.4         Rinvio agli standard ISO ........................................................................................ 4
1.5         Impiego di nuove tecnologie dell’informazione e della comunicazione............. 4
2           Requisiti minimi di sicurezza e responsabilità in merito al bisogno di
            protezione generale ...................................................................................... 5
1           Direttive concernenti la sicurezza delle informazioni (5)..................................... 5
2           Organizzazione della sicurezza informatica (6).................................................... 5
3           Sicurezza del personale e responsabilità dirigenziale (7) ................................... 6
4           Gestione di valori specifici all’organizzazione (8) ............................................... 7
5           Utilizzo di supporti di memoria e registrazione (8.3) ........................................... 7
6           Sistemi di postazioni di lavoro (notebook, desktop ecc.) (8.3) ........................... 7
7           Controllo dell’accesso (9) ...................................................................................... 8
8           Mezzi di autenticazione (9.4) ............................................................................... 10
9           Controllo dell’accesso per sistemi TIC e applicazioni (9.4)............................... 12
10          Crittografia (10) .................................................................................................... 12
11          Sicurezza fisica e ambientale (11) ....................................................................... 13
12          Sicurezza operativa (12) ...................................................................................... 13
13          Sicurezza della comunicazione (13).................................................................... 17
14          Acquisto, sviluppo e manutenzione di sistemi informatici (14) ........................ 18
15          Relazione con i fornitori (15) ............................................................................... 19
16          Come comportarsi in caso di incidenti riguardanti la sicurezza delle
            informazioni (16) .................................................................................................. 20
17          Garanzia dell’operatività (17)............................................................................... 21
3           Ulteriori aspetti riguardanti la protezione di base delle TIC ................... 21
3.1         Condizioni quadro principali ............................................................................... 21
3.1.1       Archiviazione .......................................................................................................... 21
3.1.2       Basi giuridiche, protezione dei dati e sicurezza delle informazioni .......................... 21
3.1.3       Controllo federale delle finanze .............................................................................. 21
3.1.4       UFCL, armasuisse ................................................................................................. 21
3.2         Entrata in vigore e aggiornamento continuo...................................................... 22
3.3         Definizione degli oggetti informatici da proteggere .......................................... 22
3.4         Portafoglio TIC ..................................................................................................... 22
3.5         Abbreviazioni e termini utilizzati ......................................................................... 23

                                                                                                                                          2/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

1 Disposizioni generali sulla protezione di base delle TIC
La protezione di base delle TIC disciplina in maniera vincolante i requisiti minimi di sicurezza
definiti nelle direttive (protezione di base) dal punto di vista organizzativo, personale e
tecnico nel settore della sicurezza informatica.

L’attuazione delle direttive e delle misure in materia di sicurezza deve essere documentata e
verificata dalle unità amministrative (UA) incaricate (art. 14 cpv. 3 e art. 14c OCiber).
I requisiti di sicurezza sono convenuti per scritto con i fornitori di prestazioni, sia per lo
sviluppo e l’esercizio sia per la messa fuori esercizio di mezzi informatici. Le UA
documentano e verificano l’attuazione delle misure di sicurezza.

La documentazione relativa all’attuazione della protezione di base TIC deve essere verificata
almeno dall’incaricato della sicurezza informatica dell’UA (ISIU)1 nonché approvata dal
committente e dal responsabile dei processi aziendali.

Inoltre, si deve provvedere affinché la documentazione come i manuali operativi e gli elenchi
delle autorizzazioni sia gestita in modo da tenere conto delle esigenze di revisione.

1.1       Campo d’applicazione
Il campo d’applicazione della presente direttiva è disciplinato dall’articolo 2 OCiber.

1.2       Deroghe alle direttive della protezione di base delle TIC
Il Centro nazionale per la cibersicurezza (NCSC) può autorizzare deroghe (art. 11 cpv. 1
lett. f OCiber) e tiene un elenco aggiornato di tutte le deroghe accordate.

Se nel singolo caso, per motivi organizzativi, tecnici o economici, un’UA intende derogare
alla protezione di base delle TIC, nel senso che i requisiti minimi non sono più soddisfatti
(scostamenti), si è in presenza di una deroga che necessita di un’autorizzazione (art. 11
cpv. 1 lett. f OCiber).
L’UA ha identificato, quantificato e sottoposto all’NCSC o all’incaricato della sicurezza
informatica del dipartimento (ISID) per valutazione e decisione, sotto forma di una richiesta
dettagliata, i rischi connessi a tale deroga.

L’ISID può:
    a) autorizzare autonomamente deroghe (scostamenti) dalla protezione di base delle
       TIC, se vengono osservate (cumulativamente) le condizioni quadro indicate di
       seguito;
    b) delegare all’ISIU la competenza di autorizzare deroghe (scostamenti) alla protezione
       di base delle TIC, se vengono osservate (cumulativamente) le condizioni quadro
       indicate di seguito ed è garantito il suo coinvolgimento o quello dell’ISID nel processo
       di deroga, affinché quest’ultimo possa assumersene in ogni momento la
       responsabilità.

        • L’oggetto informatico da proteggere non presenta un elevato bisogno di protezione.
        • Lo scostamento dalla protezione di base delle TIC non riguarda i servizi standard e
          mette in pericolo esclusivamente la propria UA.
        • L’incaricato della sicurezza informatica ha verificato che nessuna disposizione legale,
          interna all’Ufficio o al dipartimento impedisca/vieti una deroga alla protezione di base
          delle TIC.
        • Il richiedente ha identificato, quantificato e sottoposto all’incaricato della sicurezza

1
    Nel caso dei servizi standard, la verifica compete al pertinente incaricato della sicurezza informatica.
                                                                                                               3/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

          informatica per verifica e approvazione, sotto forma di una richiesta dettagliata, i
          rischi connessi a tale deroga. Il committente (ad es. nel caso di progetti) e il
          responsabile dei processi aziendali/delle applicazioni decidono quindi in
          collaborazione con l’incaricato della sicurezza informatica in merito a una possibile
          deroga (scostamento) dalla protezione di base delle TIC.
        • I rischi legati allo scostamento dalla protezione di base delle TIC devono essere
          ridotti, nel limite del possibile, con misure complementari/alternative. Analogamente a
          quanto descritto all’articolo 14d capoverso 2 OCiber, i rischi residui2 noti devono
          essere documentati e comunicati per scritto ai committenti, ai responsabili dei
          processi aziendali e alla direzione dell’UA.
        • Il responsabile dell’UA decide se assumere i rischi residui di cui viene a conoscenza
          (art. 14d cpv. 3 OCiber).
        • L’ISID tiene un elenco aggiornato e comunica all’NCSC, su richiesta, le decisioni sulle
          deroghe.

Solitamente vengono autorizzate solo deroghe limitate nel tempo.

1.3       Disposizioni di esecuzione concernenti la protezione di base delle TIC
Con il documento «Si003 - Sicurezza delle reti nell’Amministrazione federale», l’NCSC
emana disposizioni di esecuzione vincolanti concernenti la protezione di base delle TIC.
Inoltre, pubblica raccomandazioni per la protezione di base delle TIC. È possibile consultare
questi documenti sul sito Internet dell’ODIC3 nella relativa rubrica.

1.4       Rinvio agli standard ISO
Le misure di sicurezza si orientano agli attuali standard ISO concernenti le procedure di
sicurezza informatica. Il rinvio alla numerazione ISO/IEC 27002:20134 è riportato in corsivo e
tra parentesi accanto al relativo numero. Per maggiori chiarimenti è possibile consultare
anche le spiegazioni dettagliate nello standard ISO/IEC 27002:2013.

1.5       Impiego di nuove tecnologie dell’informazione e della comunicazione
L’UA che intende utilizzare in un nuovo ambito nuove tecnologie dell’informazione e della
comunicazione (hardware e software) o tecnologie esistenti deve sottoporle a un’analisi dei
rischi prima del loro impiego. Il risultato della valutazione dei rischi deve essere presentato
all’incaricato della sicurezza informatica competente e all’NCSC.

2
  Rischi che non possono essere ridotti o possono essere ridotti soltanto in modo insufficiente.
3
  intranet.ncsc.admin.ch
4
  intranet.ncsc.admin.ch, Documentazione > Documenti dei partner rilevanti ai fini della sicurezza > Norme ISO.
                                                                                                                  4/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

2 Requisiti minimi di sicurezza e responsabilità in merito
  al bisogno di protezione generale
1      Direttive concernenti la sicurezza delle informazioni (5)
1.1         Indirizzo della gestione della sicurezza delle informazioni (5.1)
 N.           Requisito                                                                         Responsabile               Tipo6
                                                                                               dell’attuazione5
    1.1.1       Nella revisione del 2019 il requisito è stato soppresso.                               -                     -

    1.1.2       Nella revisione del 2019 il requisito è stato soppresso.                                 -                   -

    1.1.3       Nella revisione del 2019 il requisito è stato soppresso.                                 -                   -

2      Organizzazione della sicurezza informatica (6)
2.1       Dispositivi intelligenti (smart devices: smartphone e tablet) (6.1)
 N.          Requisito                                                      Responsabile                                   Tipo
                                                                           dell’attuazione
    2.1.1    Soltanto gli smart devices che vengono gestiti mediante un           BP                                        O
                                                  7
    (6.2.1)  Mobile  Device   Management   (MDM)    possono   comunicare
             con i sistemi dell’Amministrazione federale.
             Il presente requisito non riguarda le possibilità di accesso
             anonimo e personalizzato alle applicazioni di Governo
             elettronico o le pagine Internet pubbliche
             dell’Amministrazione federale.
    2.1.2         È vietato elaborare e salvare su smart devices informazioni                           UT                  O
    (6.2.1)       classificate con il livello di protezione CONFIDENZIALE o
                  SEGRETO nonché dati personali degni di particolare
                  protezione o profili della personalità.
                  Il presente requisito non riguarda le applicazioni autorizzate
                  a tal fine (ad es. applicazioni per la comunicazione
                  crittografata8).
    2.1.3         Nella revisione del 2018 il requisito è stato soppresso.                               -                   -
    2.1.4         Nella revisione del 2018 il requisito è stato soppresso.                               -                   -
    2.1.5         Nella revisione del 2018 il requisito è stato soppresso ed è                           -                   -
                  ora compreso nel requisito 6.2.

5
  Responsabile dell’attuazione: beneficiario di prestazioni (BP), fornitore di prestazioni (FP), utente (UT). La
  presente ripartizione ha valore indicativo. Se si adotta una ripartizione diversa, ciò deve essere concordato per
  scritto tra i soggetti interessati.
6
  Tipo: organizzativo (O), tecnico (T), indicativo (I).
7
  Vedi la direttiva TIC «E021 – Direttiva delle applicazioni concernente l’impiego di smartphone/smarttablet Sync»
  (disponibile solo in tedesco e francese) sul sito intranet.isb.admin.ch, Direttive TIC, Direttive delle applicazioni >
  E021 - Einsatzrichtlinie Smartphone/Smarttablet Sync.
8
  Vedi la direttiva TIC «E027 – Direttiva delle applicazioni concernente le comunicazioni vocali crittografate»
  (disponibile solo in tedesco e francese) sul sito intranet.isb.admin.ch, Direttive TIC > Direttive delle applicazioni
  > E027 - Einsatzrichtlinie Verschlüsselte Sprachkommunikation (VSK).
                                                                                                                             5/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

    2.1.6         Il FP implementa un processo per regolamentare il                                    FP         O
    (6.2.1)       trattamento degli smart devices da riparare, smarriti o
                  rubati.
                  Questa regolamentazione deve essere comunicata in modo
                  appropriato alle UA.
                  Il processo deve prevedere almeno il resettaggio dello
                  smart device (ripristino delle impostazioni di fabbrica =
                  perdita di tutti i dati).
    2.1.7         Nella revisione del 2018 il requisito è stato soppresso.                             -          -
    2.1.8         L’accesso agli smart devices deve essere protetto mediante                           FP         T
    (6.2.1)       password, PIN o elementi biometrici (touch ID ecc.).                                 UT         O
                  Password e/o PIN devono contenere almeno sei caratteri.
                  Sono vietate combinazioni ovvie come ID dell’utente,
                  cognome, nome, data di nascita o serie di numeri del tipo
                  111111, 123456.
                  Lo smart device deve essere bloccato al più tardi dopo tre
                  minuti di inattività. L’accesso sarà di nuovo possibile
                  digitando la password o il PIN o utilizzando gli elementi
                  biometrici.
    2.1.9         Nella revisione del 2018 il requisito è stato soppresso ed è                         -          -
                  ora compreso nel requisito 2.1.1.
    2.1.10        Nella revisione del 2016 il requisito è stato soppresso.                             -          -
    2.1.11        Nella revisione del 2018 il requisito è stato soppresso ed è                         -          -
                  ora contenuto nella Strategia TIC parziale per il lavoro
                  mobile nell’Amministrazione federale.
    2.1.12        Nella revisione del 2018 il requisito è stato soppresso.                             -          -

3      Sicurezza del personale e responsabilità dirigenziale (7)
3.1         Responsabilità della gestione (7.2.1)
 N.            Requisito                                                                       Responsabile      Tipo
                                                                                               dell’attuazione
    3.1.1         I collaboratori devono essere istruiti e sensibilizzati secondo                      BP         O
    (7.2.2)       il loro livello e la loro funzione sull’oggetto informatico da
                  proteggere nell’ambito della sicurezza informatica, in modo
                  che sappiano quali sono le loro responsabilità.
    3.1.2         I diritti dell’utente che spettano ai collaboratori per i vari tipi                  BP         O
    (7.3.1,       di accesso agli oggetti informatici da proteggere devono
    9.2.1)        essere sempre aggiornati. Se il rapporto lavorativo, il
                  mandato o l’accordo di utilizzo con i collaboratori muta o
                  termina, i diritti dell’utente devono essere adeguati
                  immediatamente alle nuove circostanze. Occorre istituire
                  una procedura per il trattamento degli account non utilizzati.
    3.1.3         Occorre verificare la necessità di un controllo di sicurezza                         BP         O
    (7.1)         relativo alle persone per quanto riguarda l’accesso
                  all’oggetto informatico da proteggere.9

9
    Vedi l’ordinanza del 4.3.2011 sui controlli di sicurezza relativi alle persone (OCSP; RS 120.4).
                                                                                                                  6/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

3.2         Responsabilità dei collaboratori di ogni livello (7.3.1)
 N.            Requisito                                                                        Responsabile      Tipo
                                                                                                dell’attuazione
 3.2.1           Nella revisione del 2018 il requisito è stato soppresso.                               -          -

4      Gestione di valori specifici all’organizzazione (8)
4.1          Responsabilità per i valori specifici all’organizzazione (8.1)
 N.             Requisito                                                                       Responsabilità    Tipo
                                                                                                dell’attuazione
 4.1.1            Nella revisione del 2018 il requisito è stato soppresso.                             -           -
 4.1.2            Se mezzi TIC privati, inclusi i software acquistati                                 UT           O
 (11.2.6)         privatamente, vengono utilzzati per scopi professionali,
                  deve essere garantita la protezione delle informazioni e dei
                  dati in questione.
 4.1.3            L’elaborazione di informazioni professionali su sistemi TIC                         BP           O
 (11.2.6,         diversi da quelli di proprietà della Confederazione è
 13.2.4)          ammessa solo sulla base di un contratto10 che disciplina le
                  questioni rilevanti sotto il profilo della sicurezza.

5      Utilizzo di supporti di memoria e registrazione (8.3)
 N.             Requisito                                                                       Responsabile      Tipo
                                                                                                dell’attuazione
 5.1            I BP e i FP definiscono un piano per l’utilizzo di oggetti                            BP           O
 (8.3.1,        informatici da proteggere finalizzati alla conservazione di dati
  8.3.2,        (supporti di dati). Esso dovrà focalizzarsi in particolare sulla
  8.3.3)        loro riparazione, sulla loro distruzione e sul loro smaltimento.
                In ogni caso i supporti di dati devono essere smaltiti in modo
                da rendere impossibile il recupero del loro contenuto o dei dati
                memorizzati.
                In linea di principio le riparazioni devono essere
                regolamentate d’intesa con l’ISIU o l’ISID competente.

6      Sistemi di postazioni di lavoro (notebook, desktop ecc.) (8.3)
 N.              Requisito                                                                      Responsabile      Tipo
                                                                                                dell’attuazione
 6.1             I sistemi di postazioni di lavoro (notebook, desktop) devono                         FP           T
 (8.3.3,         essere protetti contro fughe di dati/informazioni (protezione
 18.1.5)         contro i furti) crittografando completamente i dischi.

 6.2             L’utente deve segnalare immediatamente lo smarrimento di                             UT           O
 (16.1.2)        un apparecchio (sistemi di postazioni di lavoro, smart
                 devices ecc.) al service desk del FP.

10
     Ad es. contratti con esterni, direttive delle applicazioni concernenti il lavoro mobile.
                                                                                                                   7/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

7     Controllo dell’accesso (9)
7.1         Requisiti per il controllo dell’accesso (9.1)
 N.           Requisito                                                                     Responsabile      Tipo
                                                                                            dell’attuazione
 7.1.1         Tutti gli accessi ai mezzi TIC devono essere protetti con                            FP         T
 (9.1.1,       un’autenticazione corrispondente al bisogno di protezione.
 9.3.1,        Per l’accesso alle zone si applicano le disposizioni
 9.4.2)        contenute nel documento «Si003 - Sicurezza delle reti
               nell’Amministrazione federale11».
 7.1.2         Nella revisione del 2019 il requisito è stato soppresso.                             FP         T
 7.1.3         Nella revisione del 2017 il requisito è stato soppresso ed è                          -         -
               ora compreso nel requisito 8.1.
 7.1.4         Agli utenti devono essere accordati solo i diritti per l’utilizzo                    BP         O
 (9.4.1,       dei mezzi TIC di cui hanno obbligatoriamente bisogno.
 9.2.5)        I responsabili di applicazioni, sistemi e collezioni di dati
               verificano una volta all’anno la correttezza e la necessità dei
               diritti accordati agli utenti.
 7.1.5         Non sono consentiti diritti di amministratore locali sui sistemi                     FP         T
 (9.2.3,       di postazioni di lavoro.
 12.4.3)       Se indispensabile, l’impiego di diritti di amministratore deve
               essere garantito in modo da essere tracciabile (logging).
               Deve essere definito il relativo piano SIPD.
 7.1.6         La separazione dei poteri tra autorizzazione e assegnazione                          BP         O
 (6.1.2)       di diritti d’accesso deve essere osservata e documentata.
               Le deroghe a questo requisito devono essere descritte nel
               documento «Attuazione delle misure per la protezione di
               base delle TIC nell’Amministrazione federale» o in un piano
               SIPD.
 7.1.7         L’accesso di persone ai sistemi di postazioni di lavoro e di                         FP         T
 (9.2.3)       server dell’Amministrazione federale è consentito solo
               mediante un’autenticazione a due fattori12.
               Per le deroghe si rimanda al documento «Richiesta di
               autorizzazione speciale per account impersonali (account E
               e F)»13.
               Qualora non fosse possibile garantire questo tipo di
               accesso, la soluzione corrispondente deve essere descritta
               in un piano SIPD.
 7.1.8         Per la manutenzione da remoto devono essere predisposti                              FP         T
 (9.1.2,       speciali account degli utenti. Tali account devono essere
 9.2.3,        sorvegliati e il loro utilizzo deve essere tracciabile (logging).
 12.4.3)
 7.1.9         Un accesso senza restrizioni14 può avvenire solo se                                  FP         T
 (9.1.2)       crittografato.

11
   intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Si003 - Sicurezza delle reti
  nell’Amministrazione federale.
12
   DCF del 4.6.2010.
13
   intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base > Si002 - Hi01:
  Richiesta di autorizzazione speciale per account impersonali (account E e F).
14
   Definizione contenuta nel documento «Si003 - Sicurezza delle reti nell’Amministrazione federale»;

                                                                                                               8/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

7.1.10        L’accesso remoto alla postazione di lavoro per fornire                                 FP   O
(9.1.2,       assistenza è autorizzato solo dopo aver chiesto
9.2.3)        esplicitamente il permesso dell’utente.
7.1.11        Gli account di servizio non interattivi (ad es. i «service                             FP   T
              accounts»):
                  • devono essere associati al servizio in modo univoco
                     (un account per servizio);
                  • possono avere soltanto i privilegi minimi di cui
                     necessitano.

intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Si003 - Sicurezza delle reti
nell’Amministrazione federale.
                                                                                                          9/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

8      Mezzi di autenticazione (9.4)
 N.               Requisito                                                                  Responsabile      Tipo
                                                                                             dell’attuazione
 8.1              Requisiti relativi alle password per l’identificazione                           FP           T
 (9.4.3)          personale:                                                                       UT           O
                  • lunghezza:
                     − password utente di almeno 10 caratteri,
                     − password amministratore di almeno 12 caratteri,
                     − per il login con la smart card valgono i requisiti del
                        Certification Service Provider (CSP);
                  • composizione:
                     − maiuscole e minuscole, cifre e caratteri speciali,
                     − devono figurare almeno tre di questi elementi,
                     − è vietato utilizzare password ovvie come ID utente,
                        cognome, nome, data di nascita ecc.,
                     − è vietato utilizzare la stessa password aumentando
                        o diminuendo di un’unità una cifra in essa contenuta
                        (ad es. da Giuseppe_10 a Giuseppe_11);
                  • ripetizione di password:
                     − password iniziale = nessuna ripetizione,
                     − password utente e amministratore = ripetizione dopo
                        10 modifiche;
                  • tentativi:
                     − al massimo 5, dopo di che l’ID utente dovrà essere
                         bloccato;
                  • trasmissione a terzi e conservazione:
                     − la password e il PIN sono personali e non possono
                         essere trasmessi a terzi,
                     − le password devono essere conservate in modo
                         sicuro15;
                  • unicità:
                     − per ogni sistema e account deve essere utilizzata
                         una nuova password, diversa dalle altre.

                  La password o il PIN devono essere modificati
                  immediatamente se vi è il sospetto che una persona non
                  autorizzata ne sia a conoscenza.

                  Deroghe riguardanti la composizione devono essere
                  stabilite per scritto nel documento «Attuazione delle misure
                  per la protezione di base delle TIC nell’Amministrazione
                  federale» o in un piano SIPD.
 8.2              Requisiti relativi alle password per l’identificazione                           BP           O
 (9.4.3)          impersonale16:
                  • ID utente o password impersonali devono essere
                      assegnati il meno possibile;
                  • è possibile derogare ai requisiti in materia di password
                      di cui al requisito 8.1 solo se:
                      − con questo ID utente o password si accede
                           esclusivamente ad applicazioni che presentano un
                           bisogno di protezione generale (protezione di
                           base), o
                      − esiste un piano SIPD approvato nonché
                           un’autorizzazione dell’ISID.

15
     Con un programma di gestione delle password (KeePass ad es.).
16
     Al riguardo, vedi gli aiuti relativi agli account funzionali nella matrice d’accesso.
                                                                                                                10/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

8.3             Gli utenti con un account di servizio non interattivo devono   FP   T
(9.4.2)         autenticarsi con una procedura PKI. La chiave privata
                (private key) deve essere protetta sul sistema con i diritti
                d’accesso necessari.
                Se non è possibile osservare la suddetta regola, occorre
                rispettare le regole seguenti per la creazione della
                password:
                • lunghezza:
                    − almeno 28 caratteri (se tecnicamente fattibile);
                • composizione:
                    − maiuscole e minuscole, cifre e caratteri speciali,
                    − devono figurare almeno tre di questi elementi;
                • rinnovo automatico:
                    − se il sistema prevede un’opzione di rinnovo
                        automatico della password, è necessario attivarla e
                        impostare la maggiore frequenza possibile di
                        rinnovo;
                • unicità:
                    − per ogni sistema e account deve essere utilizzata
                        una nuova password, diversa dalle altre;
                • utilizzo:
                    − è consentito esclusivamente un utilizzo statico. La
                        password non può essere utilizzata da persone per
                        lavorare su sistemi TIC o applicazioni;
                • conservazione / documentazione:
                    − la password deve essere conservata per scritto in
                        un luogo sicuro per emergenze e/o lavori di
                        manutenzione (ad es. in una cassaforte),
                    − la gestione dei cambiamenti di password deve
                        essere descritta nel piano SIPD o nel piano
                        operativo del sistema o dell’applicazione.
8.4             Le UA dispongono di un processo di ripristino dei mezzi di     BP   O
(9.2.1,         autenticazione dimenticati, scaduti o bloccati che viene
9.2.2,          attuato e documentato.
9.4.3)
8.5             Nella revisione del 2018 il requisito è stato soppresso ed è   -    -
                ora compreso nel requisito 7.1.4.

                                                                                    11/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

9     Controllo dell’accesso per sistemi TIC e applicazioni (9.4)
 N.              Requisito                                                                  Responsabile      Tipo
                                                                                            dell’attuazione
 9.1             I compiti amministrativi                                                           FP         T
                 • che richiedono diritti locali di amministratore devono
 (9.4.1,             essere svolti da sistemi TIC dedicati (ad es. Privileged
 9.4.4)              Access Workstation);
                 • devono essere svolti mediante account personali
                     speciali di amministratore.                                                    BP

                 Per le applicazioni con un bisogno di protezione più
                 elevato occorre stabilire nel piano SIPD se e, in caso
                 affermativo, quali attività amministrative devono essere
                 svolte da sistemi TIC dedicati.
 9.2             L’amministrazione di sistemi di server viene effettuata su                         FP         T
                 un’apposita rete (logica) separata e deve essere svolta su
 (9.4.4)
                 sistemi TIC dedicati e dotati di speciali dispositivi di
                 sicurezza. Questa rete non può consentire l’accesso a
                 Internet o alle applicazioni per la comunicazione d’ufficio
                 (cioè alle caselle di posta elettronica). Se l’amministrazione
                 non è attuabile a livello tecnico il tipo di accesso
                 amministrativo deve essere descritto in un piano SIPD.

                 Per accedere a questi livelli di gestione amministrativa e ai
                 relativi sistemi target da amministrare si deve applicare
                 un’autenticazione a due fattori.
 9.3             Il tempo a disposizione per il processo di autenticazione17                        FP         T
 (9.4.2)         deve essere limitato per quanto tecnicamente possibile.
 9.4             L’accesso al sistema deve bloccarsi automaticamente al                             FP         T
 (9.4.2)         massimo dopo 15 minuti di inattività. Anche il blocco
                 manuale deve essere possibile. Se quest’ultimo non è
                 possibile per motivi tecnici, l’accesso alle postazioni di
                 lavoro non sorvegliate con sessioni attive deve essere
                 protetto (ad es. chiusura a chiave del locale).
                 Le deroghe a questo requisito devono essere descritte nel
                 documento «Attuazione delle misure per la protezione di
                 base delle TIC nell’Amministrazione federale» o in un
                 piano SIPD.

10 Crittografia (10)
10.1        Requisiti crittografici (10.1)
 N.            Requisito                                                                    Responsabile      Tipo
                                                                                            dell’attuazione
 10.1.1          I procedimenti e i metodi crittografici impiegati devono                           FP         T
 (10.1.1)        essere tecnologicamente avanzati18.
 10.1.2          Nella revisione del 2016 il requisito è stato soppresso.                           -          -

17
  Dall’inizio della sessione.
18
  I metodi crittografici raccomandati per l’Amministrazione federale si trovano al seguente link:
 intranet.ncsc.admin.ch > Documentazione > Raccomandazioni e Considerazioni tecnologiche.
                                                                                                               12/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

 10.1.3          Nell’impiego di sistemi di crittografia asimmetrici i certificati         FP           T
 (10.1.1,        devono essere emessi da Swiss Government PKI o da una
 13.1.2)         CA autorizzata dal rispettivo FP.
                 Laddove non è tecnicamente fattibile, si possono utilizzare
                 certificati di altri emittenti riconosciuti. Ciò deve essere
                 descritto in un piano SIPD.
 10.1.4          L’amministrazione di chiavi crittografiche, compresi i                    FP           T
 (10.1.1)        metodi per la gestione della loro protezione e del recupero
                 di dati crittografati in caso di chiavi smarrite, compromesse
                 o danneggiate, devono essere documentati e
                 periodicamente testati per verificare la loro affidabilità.
 10.1.5          Gli archivi dei certificati devono essere amministrati dal FP.            FP           T
                 Laddove non è tecnicamente fattibile (ad es. nel caso di
                 dispositivi multifunzione), si possono utilizzare certificati di
                 altri emittenti riconosciuti. Ciò deve essere descritto in un
                 piano SIPD.
 10.1.6          L’elenco delle CA affidabili deve essere amministrato dal                 FP           O
                 FP.

11 Sicurezza fisica e ambientale (11)
11.1        Settori di sicurezza (11.1)
 N.            Requisito                                                             Responsabile      Tipo
                                                                                     dell’attuazione
 11.1.1          La necessità di adottare misure edili e tecniche ai fini della            BP           O
 (11.1)          sicurezza fisica deve essere chiarita di comune accordo
                 con l’UFIT, armasuisse e il Servizio federale di sicurezza.
 11.1.2          I sistemi TIC devono essere protetti per quanto possibile                 FP           O
 (11.2.1,        dall’accesso fisico di persone non autorizzate.
 11.2.3)
 11.1.3          Nella revisione del 2016 il requisito è stato soppresso ed è               -           -
                 ora disciplinato all’interno del requisito 13.1.4.

12 Sicurezza operativa (12)
12.1        Metodi operativi e responsabilità (12.1)
 N.            Requisito                                                             Responsabile      Tipo
                                                                                     dell’attuazione
 12.1.1          I seguenti punti concernenti l’installazione, la gestione, la             FP           O
 (8.1.1,         manutenzione e l’utilizzo degli oggetti informatici da                    BP
 8.1.2,          proteggere devono essere documentati e costantemente
 12.1.1)         aggiornati:
                 • hardware di sistema;
                 • sistema operativo e altri software di sistema;
                 • componenti di applicazioni (ad es. programmi,
                     modifiche, parametrizzazione);
                 • impostazioni e funzioni rilevanti per la sicurezza;
                 • ciclo di vita (life cycle);
                 • persona responsabile.

                                                                                                        13/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

 12.1.2          Nell’ambito della sostituzione di hardware e software si                            BP                O
 (12.1.2,        devono verificare ed eventualmente adeguare le funzioni
 14.2.4)         rilevanti per l’attività e sotto il profilo tecnico della
                 sicurezza.
 12.1.3          Le richieste di modifica (change request) all’ambiente                              BP                O
 (12.1.2)        operativo devono essere tracciabili.
 12.1.4          Gli ambienti riguardanti, ad esempio, lo sviluppo,                                  FP                T
 (12.1.2)        l’integrazione, la formazione e i test devono essere
                 separati sotto il profilo logico dagli ambienti19 di produzione
                 e devono essere protetti anch’essi in maniera adeguata20.
                 Le deroghe a questa misura devono essere descritte nel
                 documento «Attuazione delle misure per la protezione di
                 base delle TIC nell’Amministrazione federale» o in un
                 piano SIPD.

12.2        Protezione contro software dannosi (malware) (12.2)
 N.            Requisito                                                                     Responsabile             Tipo
                                                                                             dell’attuazione
 12.2.1          Tutte le TIC devono essere protette contro attacchi da                              FP                T
 (12.2.1)        software dannosi mantenendo aggiornato il software
                 esistente21.
                 Sulla base della strategia per la protezione contro i
                 malware22, i FP definiscono un apposito piano in cui sono
                 disciplinati almeno i seguenti aspetti:
                 • processi e responsabilità;
                 • aggiornamenti del software per la protezione contro i
                     malware;
                 • definizione delle priorità e della periodicità delle
                     scansioni (ad es. client, server, memoria);
                 • realizzazione tecnica.
 12.2.2          In caso di sospetto di attacco da malware si deve                                   UT                O
 (12.2.1,        informare immediatamente il service desk. Il modo di                                BP
 16.1.2)         procedere dettagliato (compreso lo scollegamento dei
                 sistemi dalla rete) deve essere stabilito nel quadro dei
                 relativi processi.
 12.2.3          Per i sistemi di postazioni di lavoro (ad es. laptop) che non                       UT                O
 (12.2.1)        sono costantemente collegati alla rete, devono essere
                 installati aggiornamenti di sicurezza almeno una volta al
                 mese.
 12.2.4          La funzione di autorun in caso di collegamento di supporti                          FP                T
 (12.2.1         di memoria esterni deve essere disattivata in tutti i sistemi
                 operativi (sistemi di postazioni di lavoro e server).
 14.1.1)

12.3     Backup (12.3)
 N.          Requisito                                                                       Responsabile             Tipo
                                                                                             dell’attuazione

19
   Sistemi, applicazioni, dati.
20
   Ad esempio, accesso a Internet solo tramite browser virtuali e client di posta elettronica per gli ambienti di
  sviluppo.
21
   Vedi «Malwareschutz Strategie für die Bundesverwaltung», disponibile in tedesco.
22
   intranet.isb.admin.ch, Direttive TIC > Strategie e strategie parziali > SB003 – IKT-Teilstrategie Malwareschutz,
  disponibile in tedesco.
                                                                                                                       14/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

 12.3.1          La ricostruzione dei dati e la loro riutilizzabilità dopo che                    FP                 O
 (12.3.1)        sono stati persi devono essere descritte e garantite dal FP
                 responsabile.
 12.3.2          Su incarico del BP, il ripristino dei dati deve essere testato.                  FP                 T
 (12.3.1)        L’utilizzabilità dei dati deve essere confermata dal BP.

12.4        Registrazione e monitoraggio (12.4)
 N.            Requisito                                                                  Responsabile              Tipo
                                                                                          dell’attuazione
 12.4.1          Le seguenti attività per i sistemi TIC e le applicazioni                         FP                 T
 (12.4.1         devono essere registrate, monitorate e valutate
                 tempestivamente (per quanto possibile in forma
 12.4.3)
                 pseudonima) in modo conforme allo scopo e tracciabile:
                 • inizializzazione e spegnimento del sistema;
                 • tentativi di autenticazione falliti (compresa
                     l’identificazione univoca dell’origine);
                 • accessi all’oggetto falliti;
                 • attribuzione e modifica di privilegi;
                 • tutte le azioni che richiedono privilegi più elevati.
 12.4.2          L’ora del sistema deve essere sincronizzata centralmente                         FP                 T
 (12.4.4)        e può essere modificata solo previa autorizzazione.
 12.4.3          Deve essere garantito un adeguato monitoraggio tecnico                           FP                 O
 (12.4.1)        del sistema e della rete.
 12.4.4          Per sistemi di server che necessitano di una protezione                          FP                 T
 (12.5)          elevata deve essere effettuata periodicamente una verifica
                 della loro integrità23 al fine di rilevare eventuali modifiche
                 non autorizzate24.
                 Le modifiche inattese devono successivamente essere
                 analizzate nei dettagli dai sistemisti e dagli specialisti in
                 materia di sicurezza.
                 In ogni caso, i sistemi che sono stati modificati
                 illecitamente devono essere immediatamente scollegati
                 dalla rete e protetti. Dopo un’eventuale analisi forense i
                 sistemi infetti devono comunque essere completamente
                 rimossi e reinstallati.

12.5        Controllo di software operativi (12.5)
 N.            Requisito                                                                  Responsabile              Tipo
                                                                                          dell’attuazione
 12.5.1          Si deve verificare l’autenticità del software (ad es. le firme).                 FP                 T
 (12.5.1)        Le modifiche non autorizzate constatate devono essere
                 analizzate e corrette.

23
   Per maggiori informazioni sull’interpretazione di questo requisito, sulle modalità con cui poterlo adempiere
  attualmente, sugli strumenti esistenti a tale fine e su come questi ultimi devono essere impiegati
  nell’Amministrazione federale vedi la considerazione tecnologica «Integritätsprüfung von Systemen» (disponibile
  solo in tedesco): intranet.ncsc.admin.ch > Documentazione > Raccomandazioni e Considerazioni tecnologiche.
24
   DCF del 16.12.2009.
                                                                                                                     15/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

12.6        Gestione delle vulnerabilità (12.6)
 N.           Requisito                                                          Responsabile      Tipo
                                                                                 dell’attuazione
 12.6.1          Le correzioni di errori (patch) devono essere verificate e            FP           T
 (12.6.1)        installate il più rapidamente possibile. Devono essere
                 implementati processi che garantiscono una correzione
                 rapida degli errori. In particolare, si devono controllare i
                 componenti del sistema, i software della burotica, le
                 applicazioni web, il browser Internet e i relativi software
                 aggiuntivi.
                 Se non è più possibile correggere gli errori poiché i sistemi         BP           O
                 sono obsoleti, si devono adottare misure che consentano
                 di sostituirli (gestione del ciclo di vita). Se ciò non è
                 possibile, si deve descrivere in un piano SIPD come sarà
                 garantita la continuità operativa (due anni al massimo).
 12.6.2          Tutte le applicazioni e i sistemi TIC (compresi i componenti          FP           T
 (12.6.1,        software integrati) devono essere controllati:
 14.2.8,           • nella fase di sviluppo,
 14.2.9)           • prima della loro attivazione e
                   • periodicamente nella loro fase operativa, in particolare
                      in caso di modifiche sostanziali,
                   per accertarsi che non vi siano vulnerabilità.
                 I risultati devono essere documentati. Le vulnerabilità
                 individuate devono essere valutate e adeguatamente
                 eliminate prima dell’attivazione. In particolare le
                 applicazioni e i sistemi TIC con accesso a Internet non
                 possono presentare vulnerabilità critiche nella produzione.
                 Eventuali vulnerabilità riguardanti le applicazioni Internet
                 devono essere verificate e adeguatamente eliminate in
                 base agli attuali rischi definiti dall’OWASP Top 10 (Open
                 Web Application Security Project).
 12.6.3          Nella revisione del 2016 il requisito è stato soppresso ed è           -           -
                 stato integrato nel requisito 12.6.2.

12.7        Ripercussioni degli audit sui sistemi informatici (12.7)
 N.            Requisito                                                         Responsabile      Tipo
                                                                                 dell’attuazione
 12.7.1          I requisiti e le attività di audit correlate ai sistemi TIC           BP           O
 (12.7.1)        rilevanti ai fini dell’operatività devono essere
                 accuratamente pianificati, documentati e convenuti per
                 contratto, in modo da minimizzare le interruzioni dei
                 processi lavorativi.
 12.7.2          Gli audit devono essere effettuati da un servizio                     BP           O
 (18.2)          indipendente.

                                                                                                    16/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

13 Sicurezza della comunicazione (13)
13.1        Gestione della sicurezza delle reti (13.1)
 N.           Requisito                                                                      Responsabile      Tipo
                                                                                             dell’attuazione
 13.1.1        Per le reti devono essere costantemente aggiornati i                                    FP       O
 (13.1.1)      seguenti dati:
               • proprietario e gestore della rete;
               • topologia di rete, inclusi i suoi componenti attivi e le
                   relative configurazioni;
               • requisiti per l’amministrazione dei componenti attivi delle
                   reti.
 13.1.2        Se una o più virtualizzazioni (ad es. sistemi, dati, reti,                              FP       O
 (13.1.2,      memorie delle TIC) vengono gestite su un’unità fisica e non
               appartengono alle stesse zone di rete, si deve dimostrare
 13.1.3)
               mediante un piano SIPD approvato dal FP che i rischi sono
               sostenibili in misura almeno equivalente a una soluzione a
               sé stante.
               Il FP comunica previamente al BP le modifiche che hanno
               ripercussioni sul piano SIPD approvato (ad es. modifiche a
               una piattaforma virtuale).
 13.1.3        I componenti di rete devono essere protetti contro gli                                  FP       T
 (13.1.2)      attacchi. Le misure di sicurezza adottate devono essere
               documentate.

 13.1.4        Tutti i componenti di rete configurabili e attivi devono essere                         FP       T
 (13.1.2)      protetti contro gli accessi da parte di persone non
               autorizzate.
               Si applicano i seguenti requisiti:
               • l’accesso amministrativo a componenti di rete attivi deve
                   essere garantito con misure di autenticazione e
                   autorizzazione appropriate. Se è possibile, si usano
                   autenticazioni a due fattori mediante certificati di classe
                   B, altrimenti devono essere usati altri strumenti di
                   autenticazione forte (ad es. password monouso);
               • l’accesso remoto avviene tramite un collegamento
                   crittografato a partire da una rete di gestione dedicata
                   (analogamente al n. 9.2). L’accesso alla rete di gestione
                   deve essere protetto con crittografia e autenticazione a
                   due fattori;
               • le modifiche delle configurazioni di componenti di rete
                   attivi devono essere effettuate conformemente alla
                   gestione della configurazione e delle modifiche;
               • le configurazioni possono essere trasmesse solo in
                   modalità protetta;
               • eventuali dati d’accesso devono essere salvati nelle
                   configurazioni in modalità protetta;
               • tutti i componenti devono disporre di meccanismi per
                   disattivare interfacce, moduli e funzioni inutilizzati.
 13.1.5        A tutte le comunicazioni in rete si applicano i requisiti                               FP       T
 (13.1.2)      indicati nel documento «Si003 - Sicurezza delle reti
               nell’Amministrazione federale»25, in particolare alle
               comunicazioni con Internet.

25
  intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Si003 - Sicurezza delle reti
 nell’Amministrazione federale.
                                                                                                                17/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

 13.1.6        Tutti i protocolli di comunicazione (logfile e proxy log) di                            FP              O
 (13.1.2,      passaggi di rete (firewall e gateway) devono essere
 12.4.1)       conservati per 2 anni e valutati secondo le regole26.
               I log devono essere protetti contro successive
               manipolazioni.
 13.1.7        La confidenzialità e l’integrità di dati sensibili (ad es. dati di                      FP              T
 (13.1.2,      autenticazione) devono essere protette nella trasmissione
 13.2)         attraverso reti.
 13.1.8        Nella revisione del 2015 il requisito è stato soppresso ed è
               stato integrato nel requisito 7.1.7.
 13.1.9        Nella revisione del 2018 il requisito è stato soppresso.                                 -              -

 13.1.10       I siti Internet della Confederazione liberamente accessibili                            FP              T
               devono essere protetti mediante i certificati SSL/TLS
 (13.2.1)
               (HTTPS). I rispettivi certificati sono ottenibili come descritto
               al requisito 10.1.3. I moduli presenti su questi siti Internet
               devono essere protetti contro eventuali attacchi automatici
               (ad es. mediante CAPTCHA).

14 Acquisto, sviluppo e manutenzione di sistemi informatici (14)
14.1        Requisiti in materia di sicurezza per i sistemi informatici (14.1)
 N.            Requisito                                                                       Responsabile           Tipo
                                                                                               dell’attuazione
 14.1.1          Le periferiche (ad es. tastiere, stampanti o sistemi di                               FP              T
 (14.1.1)        presentazione) che devono essere integrate o installate
                 (driver), devono essere acquistate dai servizi d’acquisto
                 della Confederazione27.
                 L’integrabilità e la sicurezza devono essere previamente
                 chiarite dal servizio d’acquisto del FP.
                 Per quanto riguarda l’utilizzo di apparecchi periferici privati
                 durante il lavoro mobile si applicano le rispettive direttive
                 delle applicazioni.
 14.1.2          Per quanto riguarda la fornitura e la prima installazione di                          FP              T
 (9.2.4)         componenti di applicazioni e sistemi, gli account, le
                 password iniziali, i privilegi o i diritti d’accesso predefiniti
                 devono essere controllati immediatamente ed
                 eventualmente modificati o rimossi.
 14.1.3          Le impostazioni di sicurezza informatica possono essere                               FP              T
 (14.1.1)        riconfigurate, disinstallate o disattivate solo previa
                 autorizzazione.

26
  Al riguardo vedi l’ordinanza del 22.2.2012 sul trattamento di dati personali derivanti dall’utilizzazione
 dell’infrastruttura elettronica della Confederazione, RS 172.010.442.
27
 Al riguardo vedi anche la decisione, disponibile solo in tedesco, «A-IS-Beschluss 66.10: Minimale
 Sicherheitsanforderungen», applicabile a dispositivi per la trasmissione o la copia di documenti nel settore della
 burotica (scanner, stampanti, fax, fotocopiatrici o una combinazione di essi, spesso definiti anche apparecchi
 multifunzione).
                                                                                                                       18/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

 14.1.4          Ogni sistema può avere solo una configurazione minima,                            FP                 T
                 necessaria per il suo funzionamento (per quanto riguarda il
 (14.1.1)
                 software, i servizi, gli account e il pannello di controllo), al
                 fine di ridurre al minimo le aree vulnerabili agli attacchi. A
                 seconda del bisogno di protezione e dell’ambiente, sono
                 opportune misure di protezione avanzata. È necessario
                 prevedere una gestione centralizzata della configurazione.
                 Le deroghe devono essere documentate per scritto e
                 devono essere approvate dall’ISIU del FP e del BP
                 competente.

14.2        Dati di prova (14.3)
 N.            Requisito                                                                   Responsabile              Tipo
                                                                                           dell’attuazione
 14.2.1          I dati di prova devono essere protetti in funzione della loro                     FP                 T
 (14.3.1)        classificazione.
                 Se è indispensabile che i dati produttivi vengano utilizzati a
                 fini sperimentali, essi devono essere protetti in base alla
                 loro classificazione.

15 Relazione con i fornitori (15)
15.1        Regolamentazione della fornitura di prestazioni da parte di terzi (15.2)
 N.            Requisito                                                          Responsabile                       Tipo
                                                                                  dell’attuazione
 15.1.1          Per quanto riguarda le prestazioni di servizi fornite da terzi,                   BP                 O
 (15.1,          i requisiti in materia di sicurezza informatica della
 15.2,           Confederazione devono essere disciplinati in modo
 18.1.1,         vincolante e contrattualmente.
 18.1.2)         Il relativo consenso dell’autorità preposta deve essere
                 acquisito conformemente alle procedure specifiche
                 dell’Ufficio o del dipartimento28.

28
  Il documento «Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso in
 relazione all’articolo 320 CP» contiene una base per le procedure di ottenimento del consenso specifiche
 all’organizzazione. Vedi intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base
 > Si001 - Hi04: Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso.
                                                                                                                      19/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

15.2        Rischi in materia di violazione del segreto d’ufficio (15.2)
 N.            Requisito                                                                    Responsabile              Tipo
                                                                                            dell’attuazione
 15.2.1          La rivelazione di segreti d’ufficio a fornitori esterni di TIC                     BP                 O
 (15.2,          deve essere ridotta al minimo.
 7.1.1)          Devono essere adottate le seguenti misure:
                 • l’assistenza remota sui sistemi TIC avviene
                      possibilmente via jump server. Se occorre, essa viene
                      attivata manualmente e fornita soltanto per il tempo
                      necessario;
                 • l’assistenza remota deve essere monitorata
                      (registrazione e/o principio del doppio controllo);
                 • le connessioni per l’assistenza remota devono essere
                      crittografate;
                 • i dati possono essere consegnati solo previa procedura
                      di autorizzazione o solo dal proprietario dei dati;
                 • deve essere possibile controllare i processi
                      esternalizzati.
                 Il relativo consenso dell’autorità preposta o, se possibile,
                 del titolare dei dati, deve essere acquisito secondo le
                 procedure specifiche dell’Ufficio o del dipartimento29.
                 Ulteriori requisiti sono descritti nel documento «Direttive
                 per evitare i rischi di violazione del segreto d’ufficio
                 nell’Amministrazione federale»30.

16 Come comportarsi in caso di incidenti riguardanti la sicurezza delle
   informazioni (16)
 Nr.             Requisito                                                                  Responsabile              Tipo
                                                                                            dell’attuazione
 16.1            Devono essere sviluppati dei piani per poter reagire in                            BP                 O
 (16.1)          modo adeguato in caso di incidente legato alla sicurezza
                 riferito all’oggetto informatico da proteggere.31
 16.2            In caso di incidenti o di lacune riguardanti la sicurezza che                      FP                 O
 (15.2,          lo riguardano, il FP deve informare immediatamente il
 16.1)           beneficiario delle sue prestazioni. I dati riguardanti lo
                 storico degli eventi corrispondenti devono essere messi a
                 disposizione del BP per effettuare analisi.

29
   Il documento «Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso in
  relazione all’articolo 320 CP» costituisce la base per le procedure di ottenimento del consenso specifiche
  all’organizzazione. Vedi intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base
  > Si001 - Hi04: Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso.
30
   Vedi intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base > Si001-Hi03 -
  Direttive per evitare i rischi di violazione del segreto d’ufficio nell’Amministrazione federale.
31
   Il requisito deve essere conforme al processo per l’elaborazione degli incidenti riguardanti la sicurezza (SVBP)
  dell’UA.
                                                                                                                       20/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

17 Garanzia dell’operatività (17)
17.1        Continuità della sicurezza delle informazioni (17.1)
 N.            Requisito                                                         Responsabile           Tipo
                                                                                 dell’attuazione
 17.1.1          In base alle esigenze dell’oggetto informatico da                      LB               O
 (11.2.2,        proteggere, devono essere sviluppati, documentati e attuati
 17.1,           piani per garantire e ripristinare l’operatività dell’oggetto
 17.2)           stesso in caso di guasti, emergenze e catastrofi (ITSCM).
                 Devono essere definite misure per garantire i processi
                 operativi critici (Business Continuity Management, BCM)32.

3 Ulteriori aspetti riguardanti la protezione di base delle
  TIC
3.1    Condizioni quadro principali

3.1.1 Archiviazione
I requisiti per l’archiviazione di informazioni elettroniche si fondano sulle direttive dell’Archivio
federale (legge del 26 giugno 1988 sull’archiviazione, LGA33). Quest’ultimo coordina la
gestione degli atti e sostiene le unità organizzative nella sua attuazione.

3.1.2 Basi giuridiche, protezione dei dati e sicurezza delle informazioni
Ai sensi dell’articolo 13 della Costituzione federale svizzera e delle disposizioni legali della
Confederazione sulla protezione dei dati ognuno ha diritto al rispetto della sua sfera privata
nonché d’essere protetto da un impiego abusivo dei suoi dati personali. Le autorità federali si
attengono a queste disposizioni.

Le esigenze in materia di protezione dei dati sono disciplinate nella legge federale del
19 giugno 199234 sulla protezione dei dati (LPD) e nell’ordinanza del 14 giugno 199335
relativa alla legge federale sulla protezione dei dati (OLPD).

Gli articoli 4 capoverso 1 e 14 capoverso 3 OCiber sono parte integrante di una base corretta
per un progetto TIC.

3.1.3 Controllo federale delle finanze
Il Controllo federale delle finanze è l’organo superiore di vigilanza finanziaria della
Confederazione e orienta la sua attività di verifica alla legge del 28 giugno 196736 sul
Controllo delle finanze (LCF).

3.1.4 UFCL, armasuisse
Uno dei principali compiti dell’Ufficio federale delle costruzioni e della logistica (UFCL)
consiste nella sistemazione logistica degli edifici dell’Amministrazione federale civile.

32
   Il presente requisito deve essere conforme al BCM dell’UA.
33
   RS 152.1.
34
   RS 235.1.
35
   RS 235.11.
36
   RS 614.0.
                                                                                                         21/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

L’obiettivo è collocare il maggiore numero possibile di UA in immobili di proprietà della
Confederazione. A tal fine, l’UFCL emana le prescrizioni tecniche ed edilizie in
collaborazione con il Servizio federale di sicurezza (SFS).

Armasuisse è responsabile per conto del Dipartimento federale della difesa, della protezione
della popolazione e dello sport (DDPS) degli immobili della Confederazione e della loro
conformità alle disposizioni edilizie.

3.1.5 Servizio specializzato CSP37 DDPS e CSP CaF
Il servizio specializzato per i controlli di sicurezza relativi alle persone in seno al DDPS
(servizio specializzato CSP DDPS) esegue i controlli di sicurezza secondo gli articoli 10, 11 e
12 capoverso 1 OCSP in collaborazione con gli organi di sicurezza della Confederazione e
dei Cantoni.

Il servizio specializzato per i controlli di sicurezza relativi alle persone in seno alla Cancelleria
federale (servizio specializzato CSP CaF) esegue i controlli di sicurezza secondo l’articolo 12
capoverso 2 OCSP con il sostegno del servizio specializzato CSP DDPS.

3.2    Entrata in vigore e aggiornamento continuo
Le direttive dell’NCSC sulla protezione di base delle TIC entrano in vigore il 1° aprile 2021.
L’NCSC esamina periodicamente l’attualità di queste direttive come pure delle disposizioni di
esecuzione. La versione più aggiornata è disponibile sul sito Internet dell’NCSC.
3.3    Definizione degli oggetti informatici da proteggere
Gli oggetti informatici da proteggere sono applicazioni, servizi, sistemi, reti, collezioni di dati,
infrastrutture e prodotti informatici che devono essere impiegati nell’Amministrazione
federale e quindi essere protetti. Di conseguenza vengono trattati nelle istruzioni (art. 3
lett. h OCiber).

Nella definizione e delimitazione di un oggetto informatico da proteggere si devono
considerare gli aspetti operativi e organizzativi. Se necessario, devono essere definiti più
oggetti informatici da proteggere in modo che, con la consegna del progetto per l’attivazione,
le responsabilità possano essere trasferite interamente e in modo univoco alle organizzazioni
operative competenti. È possibile che un oggetto da proteggere di livello superiore contenga
vari oggetti, purché siano affini e richiedano la stessa protezione.

3.4    Portafoglio TIC
La documentazione sulla sicurezza delle applicazioni deve essere tenuta a livello centrale.
Nel portafoglio TIC (Cockpit TIC)38, per ogni applicazione indicata deve essere riportato
almeno il link al rispettivo archivio.

37
  Art. 3 OCSP.
38
  Cfr. n. 2.2 cpv. 5 del documento «W007 - Istruzioni del Consiglio federale del 16.3.2018 concernenti i progetti
 TIC dell’Amministrazione federale e il portafoglio TIC della Confederazione».
                                                                                                                    22/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale

3.5   Abbreviazioni e termini utilizzati
 Abbreviazione             Spiegazione
 AF                        Amministrazione federale
 BP                        Beneficiario di prestazioni
 CA                        Certification Authority
 FP                        Fornitore di prestazioni
 https                     Hypertext Transfer Protocol Secure
 ID                        Identificatore
 ISID                      Incaricato della sicurezza informatica del dipartimento
 ISIU                      Incaricato della sicurezza informatica dell’unità amministrativa
 MDM                       Mobile Device Management
 NCSC                      Centro nazionale per la cibersicurezza
 OCiber                    Ordinanza sui ciber-rischi
 OCSP                      Ordinanza sui controlli di sicurezza relativi alle persone
 OWASP                     Open Web Application Security Project
 PIN                       Personal Identification Number (numero d’identificazione personale)
 PKI                       Public Key Infrastructure (infrastruttura a chiave
                           pubblica)http://de.wikipedia.org/wiki/Public-Key-Infrastruktur
 SIPD                      Piano per la sicurezza dell’informazione e la protezione dei dati
 SSL                       Secure Sockets Layer
 TIC                       Tecnologie dell’informazione e della telecomunicazione
 TLS                       Transport Layer Security
 UA                        Unità amministrativa
 UFCL                      Ufficio federale delle costruzioni e della logistica
 UT                        Utente

 Termine                   Accezione
 Dati                      Nel presente documento il termine «dati» è utlizzato nell’accezione
                           generica. Comprende sia i dati personali sia altri dati, come i dati
                           registrati, collezioni di dati non personali ecc. Se una prescrizione è
                           applicabile esclusivamente a dati personali, si preferirà questo termine.

 Analisi del               Rilevamento dei requisiti di sicurezza degli oggetti informatici da
 bisogno di                proteggere.
 protezione
 Piano per la              Descrizione delle misure di sicurezza e della loro attuazione per gli
 sicurezza                 oggetti informatici da proteggere nonché descrizione dei rischi residui.
 dell’informazione
 e la protezione
 dei dati
 (piano SIPD)
 Rete                      Infrastruttura che permette la comunicazione tra diversi sistemi
                           informatici.
 Dominio (di rete)         Unione logica di sistemi informatici che si contraddistinguono per
                           requisiti di sicurezza simili e soggiacciono alla medesima linea di
                           condotta applicabile al dominio di rete.
 Linea di                  Descrizione redatta dal proprietario di un dominio di rete relativa ai
 condotta                  requisiti e alle direttive riguardanti i sistemi informatici del dominio, il
 applicabile al            dominio stesso nonché la comunicazione interna ed esterna consentita
 dominio di rete           per tale dominio.
 Modello delle             Modello generico utile a definire le zone nell’Amministrazione federale.
                                                                                                          23/25
Puoi anche leggere