Si001 - Protezione di base delle TIC nell'Amministrazione federale
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Dipartimento federale delle finanze DFF Centro nazionale per la cibersicurezza NCSC Sicurezza informatica della Confederazione Versione 4.6 Si001 – Protezione di base delle TIC nell’Amministrazione federale del 19 dicembre 2013 (stato: 1° aprile 2021) Ai sensi dell’articolo 11 capoverso 1 lettera e dell’ordinanza del 27 maggio 2020 sui ciber- rischi (OCiber), il delegato alla cibersicurezza emana la seguente direttiva per la protezione di base di cui all’articolo 14c OCiber. Figura 1: Riepilogo delle basi per la sicurezza informatica
Si001 – Protezione di base delle TIC nell’Amministrazione federale Indice 1 Disposizioni generali sulla protezione di base delle TIC .......................... 3 1.1 Campo d’applicazione ........................................................................................... 3 1.2 Deroghe alle direttive della protezione di base delle TIC .................................... 3 1.3 Disposizioni di esecuzione concernenti la protezione di base delle TIC ........... 4 1.4 Rinvio agli standard ISO ........................................................................................ 4 1.5 Impiego di nuove tecnologie dell’informazione e della comunicazione............. 4 2 Requisiti minimi di sicurezza e responsabilità in merito al bisogno di protezione generale ...................................................................................... 5 1 Direttive concernenti la sicurezza delle informazioni (5)..................................... 5 2 Organizzazione della sicurezza informatica (6).................................................... 5 3 Sicurezza del personale e responsabilità dirigenziale (7) ................................... 6 4 Gestione di valori specifici all’organizzazione (8) ............................................... 7 5 Utilizzo di supporti di memoria e registrazione (8.3) ........................................... 7 6 Sistemi di postazioni di lavoro (notebook, desktop ecc.) (8.3) ........................... 7 7 Controllo dell’accesso (9) ...................................................................................... 8 8 Mezzi di autenticazione (9.4) ............................................................................... 10 9 Controllo dell’accesso per sistemi TIC e applicazioni (9.4)............................... 12 10 Crittografia (10) .................................................................................................... 12 11 Sicurezza fisica e ambientale (11) ....................................................................... 13 12 Sicurezza operativa (12) ...................................................................................... 13 13 Sicurezza della comunicazione (13).................................................................... 17 14 Acquisto, sviluppo e manutenzione di sistemi informatici (14) ........................ 18 15 Relazione con i fornitori (15) ............................................................................... 19 16 Come comportarsi in caso di incidenti riguardanti la sicurezza delle informazioni (16) .................................................................................................. 20 17 Garanzia dell’operatività (17)............................................................................... 21 3 Ulteriori aspetti riguardanti la protezione di base delle TIC ................... 21 3.1 Condizioni quadro principali ............................................................................... 21 3.1.1 Archiviazione .......................................................................................................... 21 3.1.2 Basi giuridiche, protezione dei dati e sicurezza delle informazioni .......................... 21 3.1.3 Controllo federale delle finanze .............................................................................. 21 3.1.4 UFCL, armasuisse ................................................................................................. 21 3.2 Entrata in vigore e aggiornamento continuo...................................................... 22 3.3 Definizione degli oggetti informatici da proteggere .......................................... 22 3.4 Portafoglio TIC ..................................................................................................... 22 3.5 Abbreviazioni e termini utilizzati ......................................................................... 23 2/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 1 Disposizioni generali sulla protezione di base delle TIC La protezione di base delle TIC disciplina in maniera vincolante i requisiti minimi di sicurezza definiti nelle direttive (protezione di base) dal punto di vista organizzativo, personale e tecnico nel settore della sicurezza informatica. L’attuazione delle direttive e delle misure in materia di sicurezza deve essere documentata e verificata dalle unità amministrative (UA) incaricate (art. 14 cpv. 3 e art. 14c OCiber). I requisiti di sicurezza sono convenuti per scritto con i fornitori di prestazioni, sia per lo sviluppo e l’esercizio sia per la messa fuori esercizio di mezzi informatici. Le UA documentano e verificano l’attuazione delle misure di sicurezza. La documentazione relativa all’attuazione della protezione di base TIC deve essere verificata almeno dall’incaricato della sicurezza informatica dell’UA (ISIU)1 nonché approvata dal committente e dal responsabile dei processi aziendali. Inoltre, si deve provvedere affinché la documentazione come i manuali operativi e gli elenchi delle autorizzazioni sia gestita in modo da tenere conto delle esigenze di revisione. 1.1 Campo d’applicazione Il campo d’applicazione della presente direttiva è disciplinato dall’articolo 2 OCiber. 1.2 Deroghe alle direttive della protezione di base delle TIC Il Centro nazionale per la cibersicurezza (NCSC) può autorizzare deroghe (art. 11 cpv. 1 lett. f OCiber) e tiene un elenco aggiornato di tutte le deroghe accordate. Se nel singolo caso, per motivi organizzativi, tecnici o economici, un’UA intende derogare alla protezione di base delle TIC, nel senso che i requisiti minimi non sono più soddisfatti (scostamenti), si è in presenza di una deroga che necessita di un’autorizzazione (art. 11 cpv. 1 lett. f OCiber). L’UA ha identificato, quantificato e sottoposto all’NCSC o all’incaricato della sicurezza informatica del dipartimento (ISID) per valutazione e decisione, sotto forma di una richiesta dettagliata, i rischi connessi a tale deroga. L’ISID può: a) autorizzare autonomamente deroghe (scostamenti) dalla protezione di base delle TIC, se vengono osservate (cumulativamente) le condizioni quadro indicate di seguito; b) delegare all’ISIU la competenza di autorizzare deroghe (scostamenti) alla protezione di base delle TIC, se vengono osservate (cumulativamente) le condizioni quadro indicate di seguito ed è garantito il suo coinvolgimento o quello dell’ISID nel processo di deroga, affinché quest’ultimo possa assumersene in ogni momento la responsabilità. • L’oggetto informatico da proteggere non presenta un elevato bisogno di protezione. • Lo scostamento dalla protezione di base delle TIC non riguarda i servizi standard e mette in pericolo esclusivamente la propria UA. • L’incaricato della sicurezza informatica ha verificato che nessuna disposizione legale, interna all’Ufficio o al dipartimento impedisca/vieti una deroga alla protezione di base delle TIC. • Il richiedente ha identificato, quantificato e sottoposto all’incaricato della sicurezza 1 Nel caso dei servizi standard, la verifica compete al pertinente incaricato della sicurezza informatica. 3/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale informatica per verifica e approvazione, sotto forma di una richiesta dettagliata, i rischi connessi a tale deroga. Il committente (ad es. nel caso di progetti) e il responsabile dei processi aziendali/delle applicazioni decidono quindi in collaborazione con l’incaricato della sicurezza informatica in merito a una possibile deroga (scostamento) dalla protezione di base delle TIC. • I rischi legati allo scostamento dalla protezione di base delle TIC devono essere ridotti, nel limite del possibile, con misure complementari/alternative. Analogamente a quanto descritto all’articolo 14d capoverso 2 OCiber, i rischi residui2 noti devono essere documentati e comunicati per scritto ai committenti, ai responsabili dei processi aziendali e alla direzione dell’UA. • Il responsabile dell’UA decide se assumere i rischi residui di cui viene a conoscenza (art. 14d cpv. 3 OCiber). • L’ISID tiene un elenco aggiornato e comunica all’NCSC, su richiesta, le decisioni sulle deroghe. Solitamente vengono autorizzate solo deroghe limitate nel tempo. 1.3 Disposizioni di esecuzione concernenti la protezione di base delle TIC Con il documento «Si003 - Sicurezza delle reti nell’Amministrazione federale», l’NCSC emana disposizioni di esecuzione vincolanti concernenti la protezione di base delle TIC. Inoltre, pubblica raccomandazioni per la protezione di base delle TIC. È possibile consultare questi documenti sul sito Internet dell’ODIC3 nella relativa rubrica. 1.4 Rinvio agli standard ISO Le misure di sicurezza si orientano agli attuali standard ISO concernenti le procedure di sicurezza informatica. Il rinvio alla numerazione ISO/IEC 27002:20134 è riportato in corsivo e tra parentesi accanto al relativo numero. Per maggiori chiarimenti è possibile consultare anche le spiegazioni dettagliate nello standard ISO/IEC 27002:2013. 1.5 Impiego di nuove tecnologie dell’informazione e della comunicazione L’UA che intende utilizzare in un nuovo ambito nuove tecnologie dell’informazione e della comunicazione (hardware e software) o tecnologie esistenti deve sottoporle a un’analisi dei rischi prima del loro impiego. Il risultato della valutazione dei rischi deve essere presentato all’incaricato della sicurezza informatica competente e all’NCSC. 2 Rischi che non possono essere ridotti o possono essere ridotti soltanto in modo insufficiente. 3 intranet.ncsc.admin.ch 4 intranet.ncsc.admin.ch, Documentazione > Documenti dei partner rilevanti ai fini della sicurezza > Norme ISO. 4/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 2 Requisiti minimi di sicurezza e responsabilità in merito al bisogno di protezione generale 1 Direttive concernenti la sicurezza delle informazioni (5) 1.1 Indirizzo della gestione della sicurezza delle informazioni (5.1) N. Requisito Responsabile Tipo6 dell’attuazione5 1.1.1 Nella revisione del 2019 il requisito è stato soppresso. - - 1.1.2 Nella revisione del 2019 il requisito è stato soppresso. - - 1.1.3 Nella revisione del 2019 il requisito è stato soppresso. - - 2 Organizzazione della sicurezza informatica (6) 2.1 Dispositivi intelligenti (smart devices: smartphone e tablet) (6.1) N. Requisito Responsabile Tipo dell’attuazione 2.1.1 Soltanto gli smart devices che vengono gestiti mediante un BP O 7 (6.2.1) Mobile Device Management (MDM) possono comunicare con i sistemi dell’Amministrazione federale. Il presente requisito non riguarda le possibilità di accesso anonimo e personalizzato alle applicazioni di Governo elettronico o le pagine Internet pubbliche dell’Amministrazione federale. 2.1.2 È vietato elaborare e salvare su smart devices informazioni UT O (6.2.1) classificate con il livello di protezione CONFIDENZIALE o SEGRETO nonché dati personali degni di particolare protezione o profili della personalità. Il presente requisito non riguarda le applicazioni autorizzate a tal fine (ad es. applicazioni per la comunicazione crittografata8). 2.1.3 Nella revisione del 2018 il requisito è stato soppresso. - - 2.1.4 Nella revisione del 2018 il requisito è stato soppresso. - - 2.1.5 Nella revisione del 2018 il requisito è stato soppresso ed è - - ora compreso nel requisito 6.2. 5 Responsabile dell’attuazione: beneficiario di prestazioni (BP), fornitore di prestazioni (FP), utente (UT). La presente ripartizione ha valore indicativo. Se si adotta una ripartizione diversa, ciò deve essere concordato per scritto tra i soggetti interessati. 6 Tipo: organizzativo (O), tecnico (T), indicativo (I). 7 Vedi la direttiva TIC «E021 – Direttiva delle applicazioni concernente l’impiego di smartphone/smarttablet Sync» (disponibile solo in tedesco e francese) sul sito intranet.isb.admin.ch, Direttive TIC, Direttive delle applicazioni > E021 - Einsatzrichtlinie Smartphone/Smarttablet Sync. 8 Vedi la direttiva TIC «E027 – Direttiva delle applicazioni concernente le comunicazioni vocali crittografate» (disponibile solo in tedesco e francese) sul sito intranet.isb.admin.ch, Direttive TIC > Direttive delle applicazioni > E027 - Einsatzrichtlinie Verschlüsselte Sprachkommunikation (VSK). 5/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 2.1.6 Il FP implementa un processo per regolamentare il FP O (6.2.1) trattamento degli smart devices da riparare, smarriti o rubati. Questa regolamentazione deve essere comunicata in modo appropriato alle UA. Il processo deve prevedere almeno il resettaggio dello smart device (ripristino delle impostazioni di fabbrica = perdita di tutti i dati). 2.1.7 Nella revisione del 2018 il requisito è stato soppresso. - - 2.1.8 L’accesso agli smart devices deve essere protetto mediante FP T (6.2.1) password, PIN o elementi biometrici (touch ID ecc.). UT O Password e/o PIN devono contenere almeno sei caratteri. Sono vietate combinazioni ovvie come ID dell’utente, cognome, nome, data di nascita o serie di numeri del tipo 111111, 123456. Lo smart device deve essere bloccato al più tardi dopo tre minuti di inattività. L’accesso sarà di nuovo possibile digitando la password o il PIN o utilizzando gli elementi biometrici. 2.1.9 Nella revisione del 2018 il requisito è stato soppresso ed è - - ora compreso nel requisito 2.1.1. 2.1.10 Nella revisione del 2016 il requisito è stato soppresso. - - 2.1.11 Nella revisione del 2018 il requisito è stato soppresso ed è - - ora contenuto nella Strategia TIC parziale per il lavoro mobile nell’Amministrazione federale. 2.1.12 Nella revisione del 2018 il requisito è stato soppresso. - - 3 Sicurezza del personale e responsabilità dirigenziale (7) 3.1 Responsabilità della gestione (7.2.1) N. Requisito Responsabile Tipo dell’attuazione 3.1.1 I collaboratori devono essere istruiti e sensibilizzati secondo BP O (7.2.2) il loro livello e la loro funzione sull’oggetto informatico da proteggere nell’ambito della sicurezza informatica, in modo che sappiano quali sono le loro responsabilità. 3.1.2 I diritti dell’utente che spettano ai collaboratori per i vari tipi BP O (7.3.1, di accesso agli oggetti informatici da proteggere devono 9.2.1) essere sempre aggiornati. Se il rapporto lavorativo, il mandato o l’accordo di utilizzo con i collaboratori muta o termina, i diritti dell’utente devono essere adeguati immediatamente alle nuove circostanze. Occorre istituire una procedura per il trattamento degli account non utilizzati. 3.1.3 Occorre verificare la necessità di un controllo di sicurezza BP O (7.1) relativo alle persone per quanto riguarda l’accesso all’oggetto informatico da proteggere.9 9 Vedi l’ordinanza del 4.3.2011 sui controlli di sicurezza relativi alle persone (OCSP; RS 120.4). 6/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 3.2 Responsabilità dei collaboratori di ogni livello (7.3.1) N. Requisito Responsabile Tipo dell’attuazione 3.2.1 Nella revisione del 2018 il requisito è stato soppresso. - - 4 Gestione di valori specifici all’organizzazione (8) 4.1 Responsabilità per i valori specifici all’organizzazione (8.1) N. Requisito Responsabilità Tipo dell’attuazione 4.1.1 Nella revisione del 2018 il requisito è stato soppresso. - - 4.1.2 Se mezzi TIC privati, inclusi i software acquistati UT O (11.2.6) privatamente, vengono utilzzati per scopi professionali, deve essere garantita la protezione delle informazioni e dei dati in questione. 4.1.3 L’elaborazione di informazioni professionali su sistemi TIC BP O (11.2.6, diversi da quelli di proprietà della Confederazione è 13.2.4) ammessa solo sulla base di un contratto10 che disciplina le questioni rilevanti sotto il profilo della sicurezza. 5 Utilizzo di supporti di memoria e registrazione (8.3) N. Requisito Responsabile Tipo dell’attuazione 5.1 I BP e i FP definiscono un piano per l’utilizzo di oggetti BP O (8.3.1, informatici da proteggere finalizzati alla conservazione di dati 8.3.2, (supporti di dati). Esso dovrà focalizzarsi in particolare sulla 8.3.3) loro riparazione, sulla loro distruzione e sul loro smaltimento. In ogni caso i supporti di dati devono essere smaltiti in modo da rendere impossibile il recupero del loro contenuto o dei dati memorizzati. In linea di principio le riparazioni devono essere regolamentate d’intesa con l’ISIU o l’ISID competente. 6 Sistemi di postazioni di lavoro (notebook, desktop ecc.) (8.3) N. Requisito Responsabile Tipo dell’attuazione 6.1 I sistemi di postazioni di lavoro (notebook, desktop) devono FP T (8.3.3, essere protetti contro fughe di dati/informazioni (protezione 18.1.5) contro i furti) crittografando completamente i dischi. 6.2 L’utente deve segnalare immediatamente lo smarrimento di UT O (16.1.2) un apparecchio (sistemi di postazioni di lavoro, smart devices ecc.) al service desk del FP. 10 Ad es. contratti con esterni, direttive delle applicazioni concernenti il lavoro mobile. 7/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 7 Controllo dell’accesso (9) 7.1 Requisiti per il controllo dell’accesso (9.1) N. Requisito Responsabile Tipo dell’attuazione 7.1.1 Tutti gli accessi ai mezzi TIC devono essere protetti con FP T (9.1.1, un’autenticazione corrispondente al bisogno di protezione. 9.3.1, Per l’accesso alle zone si applicano le disposizioni 9.4.2) contenute nel documento «Si003 - Sicurezza delle reti nell’Amministrazione federale11». 7.1.2 Nella revisione del 2019 il requisito è stato soppresso. FP T 7.1.3 Nella revisione del 2017 il requisito è stato soppresso ed è - - ora compreso nel requisito 8.1. 7.1.4 Agli utenti devono essere accordati solo i diritti per l’utilizzo BP O (9.4.1, dei mezzi TIC di cui hanno obbligatoriamente bisogno. 9.2.5) I responsabili di applicazioni, sistemi e collezioni di dati verificano una volta all’anno la correttezza e la necessità dei diritti accordati agli utenti. 7.1.5 Non sono consentiti diritti di amministratore locali sui sistemi FP T (9.2.3, di postazioni di lavoro. 12.4.3) Se indispensabile, l’impiego di diritti di amministratore deve essere garantito in modo da essere tracciabile (logging). Deve essere definito il relativo piano SIPD. 7.1.6 La separazione dei poteri tra autorizzazione e assegnazione BP O (6.1.2) di diritti d’accesso deve essere osservata e documentata. Le deroghe a questo requisito devono essere descritte nel documento «Attuazione delle misure per la protezione di base delle TIC nell’Amministrazione federale» o in un piano SIPD. 7.1.7 L’accesso di persone ai sistemi di postazioni di lavoro e di FP T (9.2.3) server dell’Amministrazione federale è consentito solo mediante un’autenticazione a due fattori12. Per le deroghe si rimanda al documento «Richiesta di autorizzazione speciale per account impersonali (account E e F)»13. Qualora non fosse possibile garantire questo tipo di accesso, la soluzione corrispondente deve essere descritta in un piano SIPD. 7.1.8 Per la manutenzione da remoto devono essere predisposti FP T (9.1.2, speciali account degli utenti. Tali account devono essere 9.2.3, sorvegliati e il loro utilizzo deve essere tracciabile (logging). 12.4.3) 7.1.9 Un accesso senza restrizioni14 può avvenire solo se FP T (9.1.2) crittografato. 11 intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Si003 - Sicurezza delle reti nell’Amministrazione federale. 12 DCF del 4.6.2010. 13 intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base > Si002 - Hi01: Richiesta di autorizzazione speciale per account impersonali (account E e F). 14 Definizione contenuta nel documento «Si003 - Sicurezza delle reti nell’Amministrazione federale»; 8/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 7.1.10 L’accesso remoto alla postazione di lavoro per fornire FP O (9.1.2, assistenza è autorizzato solo dopo aver chiesto 9.2.3) esplicitamente il permesso dell’utente. 7.1.11 Gli account di servizio non interattivi (ad es. i «service FP T accounts»): • devono essere associati al servizio in modo univoco (un account per servizio); • possono avere soltanto i privilegi minimi di cui necessitano. intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Si003 - Sicurezza delle reti nell’Amministrazione federale. 9/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 8 Mezzi di autenticazione (9.4) N. Requisito Responsabile Tipo dell’attuazione 8.1 Requisiti relativi alle password per l’identificazione FP T (9.4.3) personale: UT O • lunghezza: − password utente di almeno 10 caratteri, − password amministratore di almeno 12 caratteri, − per il login con la smart card valgono i requisiti del Certification Service Provider (CSP); • composizione: − maiuscole e minuscole, cifre e caratteri speciali, − devono figurare almeno tre di questi elementi, − è vietato utilizzare password ovvie come ID utente, cognome, nome, data di nascita ecc., − è vietato utilizzare la stessa password aumentando o diminuendo di un’unità una cifra in essa contenuta (ad es. da Giuseppe_10 a Giuseppe_11); • ripetizione di password: − password iniziale = nessuna ripetizione, − password utente e amministratore = ripetizione dopo 10 modifiche; • tentativi: − al massimo 5, dopo di che l’ID utente dovrà essere bloccato; • trasmissione a terzi e conservazione: − la password e il PIN sono personali e non possono essere trasmessi a terzi, − le password devono essere conservate in modo sicuro15; • unicità: − per ogni sistema e account deve essere utilizzata una nuova password, diversa dalle altre. La password o il PIN devono essere modificati immediatamente se vi è il sospetto che una persona non autorizzata ne sia a conoscenza. Deroghe riguardanti la composizione devono essere stabilite per scritto nel documento «Attuazione delle misure per la protezione di base delle TIC nell’Amministrazione federale» o in un piano SIPD. 8.2 Requisiti relativi alle password per l’identificazione BP O (9.4.3) impersonale16: • ID utente o password impersonali devono essere assegnati il meno possibile; • è possibile derogare ai requisiti in materia di password di cui al requisito 8.1 solo se: − con questo ID utente o password si accede esclusivamente ad applicazioni che presentano un bisogno di protezione generale (protezione di base), o − esiste un piano SIPD approvato nonché un’autorizzazione dell’ISID. 15 Con un programma di gestione delle password (KeePass ad es.). 16 Al riguardo, vedi gli aiuti relativi agli account funzionali nella matrice d’accesso. 10/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 8.3 Gli utenti con un account di servizio non interattivo devono FP T (9.4.2) autenticarsi con una procedura PKI. La chiave privata (private key) deve essere protetta sul sistema con i diritti d’accesso necessari. Se non è possibile osservare la suddetta regola, occorre rispettare le regole seguenti per la creazione della password: • lunghezza: − almeno 28 caratteri (se tecnicamente fattibile); • composizione: − maiuscole e minuscole, cifre e caratteri speciali, − devono figurare almeno tre di questi elementi; • rinnovo automatico: − se il sistema prevede un’opzione di rinnovo automatico della password, è necessario attivarla e impostare la maggiore frequenza possibile di rinnovo; • unicità: − per ogni sistema e account deve essere utilizzata una nuova password, diversa dalle altre; • utilizzo: − è consentito esclusivamente un utilizzo statico. La password non può essere utilizzata da persone per lavorare su sistemi TIC o applicazioni; • conservazione / documentazione: − la password deve essere conservata per scritto in un luogo sicuro per emergenze e/o lavori di manutenzione (ad es. in una cassaforte), − la gestione dei cambiamenti di password deve essere descritta nel piano SIPD o nel piano operativo del sistema o dell’applicazione. 8.4 Le UA dispongono di un processo di ripristino dei mezzi di BP O (9.2.1, autenticazione dimenticati, scaduti o bloccati che viene 9.2.2, attuato e documentato. 9.4.3) 8.5 Nella revisione del 2018 il requisito è stato soppresso ed è - - ora compreso nel requisito 7.1.4. 11/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 9 Controllo dell’accesso per sistemi TIC e applicazioni (9.4) N. Requisito Responsabile Tipo dell’attuazione 9.1 I compiti amministrativi FP T • che richiedono diritti locali di amministratore devono (9.4.1, essere svolti da sistemi TIC dedicati (ad es. Privileged 9.4.4) Access Workstation); • devono essere svolti mediante account personali speciali di amministratore. BP Per le applicazioni con un bisogno di protezione più elevato occorre stabilire nel piano SIPD se e, in caso affermativo, quali attività amministrative devono essere svolte da sistemi TIC dedicati. 9.2 L’amministrazione di sistemi di server viene effettuata su FP T un’apposita rete (logica) separata e deve essere svolta su (9.4.4) sistemi TIC dedicati e dotati di speciali dispositivi di sicurezza. Questa rete non può consentire l’accesso a Internet o alle applicazioni per la comunicazione d’ufficio (cioè alle caselle di posta elettronica). Se l’amministrazione non è attuabile a livello tecnico il tipo di accesso amministrativo deve essere descritto in un piano SIPD. Per accedere a questi livelli di gestione amministrativa e ai relativi sistemi target da amministrare si deve applicare un’autenticazione a due fattori. 9.3 Il tempo a disposizione per il processo di autenticazione17 FP T (9.4.2) deve essere limitato per quanto tecnicamente possibile. 9.4 L’accesso al sistema deve bloccarsi automaticamente al FP T (9.4.2) massimo dopo 15 minuti di inattività. Anche il blocco manuale deve essere possibile. Se quest’ultimo non è possibile per motivi tecnici, l’accesso alle postazioni di lavoro non sorvegliate con sessioni attive deve essere protetto (ad es. chiusura a chiave del locale). Le deroghe a questo requisito devono essere descritte nel documento «Attuazione delle misure per la protezione di base delle TIC nell’Amministrazione federale» o in un piano SIPD. 10 Crittografia (10) 10.1 Requisiti crittografici (10.1) N. Requisito Responsabile Tipo dell’attuazione 10.1.1 I procedimenti e i metodi crittografici impiegati devono FP T (10.1.1) essere tecnologicamente avanzati18. 10.1.2 Nella revisione del 2016 il requisito è stato soppresso. - - 17 Dall’inizio della sessione. 18 I metodi crittografici raccomandati per l’Amministrazione federale si trovano al seguente link: intranet.ncsc.admin.ch > Documentazione > Raccomandazioni e Considerazioni tecnologiche. 12/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 10.1.3 Nell’impiego di sistemi di crittografia asimmetrici i certificati FP T (10.1.1, devono essere emessi da Swiss Government PKI o da una 13.1.2) CA autorizzata dal rispettivo FP. Laddove non è tecnicamente fattibile, si possono utilizzare certificati di altri emittenti riconosciuti. Ciò deve essere descritto in un piano SIPD. 10.1.4 L’amministrazione di chiavi crittografiche, compresi i FP T (10.1.1) metodi per la gestione della loro protezione e del recupero di dati crittografati in caso di chiavi smarrite, compromesse o danneggiate, devono essere documentati e periodicamente testati per verificare la loro affidabilità. 10.1.5 Gli archivi dei certificati devono essere amministrati dal FP. FP T Laddove non è tecnicamente fattibile (ad es. nel caso di dispositivi multifunzione), si possono utilizzare certificati di altri emittenti riconosciuti. Ciò deve essere descritto in un piano SIPD. 10.1.6 L’elenco delle CA affidabili deve essere amministrato dal FP O FP. 11 Sicurezza fisica e ambientale (11) 11.1 Settori di sicurezza (11.1) N. Requisito Responsabile Tipo dell’attuazione 11.1.1 La necessità di adottare misure edili e tecniche ai fini della BP O (11.1) sicurezza fisica deve essere chiarita di comune accordo con l’UFIT, armasuisse e il Servizio federale di sicurezza. 11.1.2 I sistemi TIC devono essere protetti per quanto possibile FP O (11.2.1, dall’accesso fisico di persone non autorizzate. 11.2.3) 11.1.3 Nella revisione del 2016 il requisito è stato soppresso ed è - - ora disciplinato all’interno del requisito 13.1.4. 12 Sicurezza operativa (12) 12.1 Metodi operativi e responsabilità (12.1) N. Requisito Responsabile Tipo dell’attuazione 12.1.1 I seguenti punti concernenti l’installazione, la gestione, la FP O (8.1.1, manutenzione e l’utilizzo degli oggetti informatici da BP 8.1.2, proteggere devono essere documentati e costantemente 12.1.1) aggiornati: • hardware di sistema; • sistema operativo e altri software di sistema; • componenti di applicazioni (ad es. programmi, modifiche, parametrizzazione); • impostazioni e funzioni rilevanti per la sicurezza; • ciclo di vita (life cycle); • persona responsabile. 13/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 12.1.2 Nell’ambito della sostituzione di hardware e software si BP O (12.1.2, devono verificare ed eventualmente adeguare le funzioni 14.2.4) rilevanti per l’attività e sotto il profilo tecnico della sicurezza. 12.1.3 Le richieste di modifica (change request) all’ambiente BP O (12.1.2) operativo devono essere tracciabili. 12.1.4 Gli ambienti riguardanti, ad esempio, lo sviluppo, FP T (12.1.2) l’integrazione, la formazione e i test devono essere separati sotto il profilo logico dagli ambienti19 di produzione e devono essere protetti anch’essi in maniera adeguata20. Le deroghe a questa misura devono essere descritte nel documento «Attuazione delle misure per la protezione di base delle TIC nell’Amministrazione federale» o in un piano SIPD. 12.2 Protezione contro software dannosi (malware) (12.2) N. Requisito Responsabile Tipo dell’attuazione 12.2.1 Tutte le TIC devono essere protette contro attacchi da FP T (12.2.1) software dannosi mantenendo aggiornato il software esistente21. Sulla base della strategia per la protezione contro i malware22, i FP definiscono un apposito piano in cui sono disciplinati almeno i seguenti aspetti: • processi e responsabilità; • aggiornamenti del software per la protezione contro i malware; • definizione delle priorità e della periodicità delle scansioni (ad es. client, server, memoria); • realizzazione tecnica. 12.2.2 In caso di sospetto di attacco da malware si deve UT O (12.2.1, informare immediatamente il service desk. Il modo di BP 16.1.2) procedere dettagliato (compreso lo scollegamento dei sistemi dalla rete) deve essere stabilito nel quadro dei relativi processi. 12.2.3 Per i sistemi di postazioni di lavoro (ad es. laptop) che non UT O (12.2.1) sono costantemente collegati alla rete, devono essere installati aggiornamenti di sicurezza almeno una volta al mese. 12.2.4 La funzione di autorun in caso di collegamento di supporti FP T (12.2.1 di memoria esterni deve essere disattivata in tutti i sistemi operativi (sistemi di postazioni di lavoro e server). 14.1.1) 12.3 Backup (12.3) N. Requisito Responsabile Tipo dell’attuazione 19 Sistemi, applicazioni, dati. 20 Ad esempio, accesso a Internet solo tramite browser virtuali e client di posta elettronica per gli ambienti di sviluppo. 21 Vedi «Malwareschutz Strategie für die Bundesverwaltung», disponibile in tedesco. 22 intranet.isb.admin.ch, Direttive TIC > Strategie e strategie parziali > SB003 – IKT-Teilstrategie Malwareschutz, disponibile in tedesco. 14/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 12.3.1 La ricostruzione dei dati e la loro riutilizzabilità dopo che FP O (12.3.1) sono stati persi devono essere descritte e garantite dal FP responsabile. 12.3.2 Su incarico del BP, il ripristino dei dati deve essere testato. FP T (12.3.1) L’utilizzabilità dei dati deve essere confermata dal BP. 12.4 Registrazione e monitoraggio (12.4) N. Requisito Responsabile Tipo dell’attuazione 12.4.1 Le seguenti attività per i sistemi TIC e le applicazioni FP T (12.4.1 devono essere registrate, monitorate e valutate tempestivamente (per quanto possibile in forma 12.4.3) pseudonima) in modo conforme allo scopo e tracciabile: • inizializzazione e spegnimento del sistema; • tentativi di autenticazione falliti (compresa l’identificazione univoca dell’origine); • accessi all’oggetto falliti; • attribuzione e modifica di privilegi; • tutte le azioni che richiedono privilegi più elevati. 12.4.2 L’ora del sistema deve essere sincronizzata centralmente FP T (12.4.4) e può essere modificata solo previa autorizzazione. 12.4.3 Deve essere garantito un adeguato monitoraggio tecnico FP O (12.4.1) del sistema e della rete. 12.4.4 Per sistemi di server che necessitano di una protezione FP T (12.5) elevata deve essere effettuata periodicamente una verifica della loro integrità23 al fine di rilevare eventuali modifiche non autorizzate24. Le modifiche inattese devono successivamente essere analizzate nei dettagli dai sistemisti e dagli specialisti in materia di sicurezza. In ogni caso, i sistemi che sono stati modificati illecitamente devono essere immediatamente scollegati dalla rete e protetti. Dopo un’eventuale analisi forense i sistemi infetti devono comunque essere completamente rimossi e reinstallati. 12.5 Controllo di software operativi (12.5) N. Requisito Responsabile Tipo dell’attuazione 12.5.1 Si deve verificare l’autenticità del software (ad es. le firme). FP T (12.5.1) Le modifiche non autorizzate constatate devono essere analizzate e corrette. 23 Per maggiori informazioni sull’interpretazione di questo requisito, sulle modalità con cui poterlo adempiere attualmente, sugli strumenti esistenti a tale fine e su come questi ultimi devono essere impiegati nell’Amministrazione federale vedi la considerazione tecnologica «Integritätsprüfung von Systemen» (disponibile solo in tedesco): intranet.ncsc.admin.ch > Documentazione > Raccomandazioni e Considerazioni tecnologiche. 24 DCF del 16.12.2009. 15/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 12.6 Gestione delle vulnerabilità (12.6) N. Requisito Responsabile Tipo dell’attuazione 12.6.1 Le correzioni di errori (patch) devono essere verificate e FP T (12.6.1) installate il più rapidamente possibile. Devono essere implementati processi che garantiscono una correzione rapida degli errori. In particolare, si devono controllare i componenti del sistema, i software della burotica, le applicazioni web, il browser Internet e i relativi software aggiuntivi. Se non è più possibile correggere gli errori poiché i sistemi BP O sono obsoleti, si devono adottare misure che consentano di sostituirli (gestione del ciclo di vita). Se ciò non è possibile, si deve descrivere in un piano SIPD come sarà garantita la continuità operativa (due anni al massimo). 12.6.2 Tutte le applicazioni e i sistemi TIC (compresi i componenti FP T (12.6.1, software integrati) devono essere controllati: 14.2.8, • nella fase di sviluppo, 14.2.9) • prima della loro attivazione e • periodicamente nella loro fase operativa, in particolare in caso di modifiche sostanziali, per accertarsi che non vi siano vulnerabilità. I risultati devono essere documentati. Le vulnerabilità individuate devono essere valutate e adeguatamente eliminate prima dell’attivazione. In particolare le applicazioni e i sistemi TIC con accesso a Internet non possono presentare vulnerabilità critiche nella produzione. Eventuali vulnerabilità riguardanti le applicazioni Internet devono essere verificate e adeguatamente eliminate in base agli attuali rischi definiti dall’OWASP Top 10 (Open Web Application Security Project). 12.6.3 Nella revisione del 2016 il requisito è stato soppresso ed è - - stato integrato nel requisito 12.6.2. 12.7 Ripercussioni degli audit sui sistemi informatici (12.7) N. Requisito Responsabile Tipo dell’attuazione 12.7.1 I requisiti e le attività di audit correlate ai sistemi TIC BP O (12.7.1) rilevanti ai fini dell’operatività devono essere accuratamente pianificati, documentati e convenuti per contratto, in modo da minimizzare le interruzioni dei processi lavorativi. 12.7.2 Gli audit devono essere effettuati da un servizio BP O (18.2) indipendente. 16/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 13 Sicurezza della comunicazione (13) 13.1 Gestione della sicurezza delle reti (13.1) N. Requisito Responsabile Tipo dell’attuazione 13.1.1 Per le reti devono essere costantemente aggiornati i FP O (13.1.1) seguenti dati: • proprietario e gestore della rete; • topologia di rete, inclusi i suoi componenti attivi e le relative configurazioni; • requisiti per l’amministrazione dei componenti attivi delle reti. 13.1.2 Se una o più virtualizzazioni (ad es. sistemi, dati, reti, FP O (13.1.2, memorie delle TIC) vengono gestite su un’unità fisica e non appartengono alle stesse zone di rete, si deve dimostrare 13.1.3) mediante un piano SIPD approvato dal FP che i rischi sono sostenibili in misura almeno equivalente a una soluzione a sé stante. Il FP comunica previamente al BP le modifiche che hanno ripercussioni sul piano SIPD approvato (ad es. modifiche a una piattaforma virtuale). 13.1.3 I componenti di rete devono essere protetti contro gli FP T (13.1.2) attacchi. Le misure di sicurezza adottate devono essere documentate. 13.1.4 Tutti i componenti di rete configurabili e attivi devono essere FP T (13.1.2) protetti contro gli accessi da parte di persone non autorizzate. Si applicano i seguenti requisiti: • l’accesso amministrativo a componenti di rete attivi deve essere garantito con misure di autenticazione e autorizzazione appropriate. Se è possibile, si usano autenticazioni a due fattori mediante certificati di classe B, altrimenti devono essere usati altri strumenti di autenticazione forte (ad es. password monouso); • l’accesso remoto avviene tramite un collegamento crittografato a partire da una rete di gestione dedicata (analogamente al n. 9.2). L’accesso alla rete di gestione deve essere protetto con crittografia e autenticazione a due fattori; • le modifiche delle configurazioni di componenti di rete attivi devono essere effettuate conformemente alla gestione della configurazione e delle modifiche; • le configurazioni possono essere trasmesse solo in modalità protetta; • eventuali dati d’accesso devono essere salvati nelle configurazioni in modalità protetta; • tutti i componenti devono disporre di meccanismi per disattivare interfacce, moduli e funzioni inutilizzati. 13.1.5 A tutte le comunicazioni in rete si applicano i requisiti FP T (13.1.2) indicati nel documento «Si003 - Sicurezza delle reti nell’Amministrazione federale»25, in particolare alle comunicazioni con Internet. 25 intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Si003 - Sicurezza delle reti nell’Amministrazione federale. 17/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 13.1.6 Tutti i protocolli di comunicazione (logfile e proxy log) di FP O (13.1.2, passaggi di rete (firewall e gateway) devono essere 12.4.1) conservati per 2 anni e valutati secondo le regole26. I log devono essere protetti contro successive manipolazioni. 13.1.7 La confidenzialità e l’integrità di dati sensibili (ad es. dati di FP T (13.1.2, autenticazione) devono essere protette nella trasmissione 13.2) attraverso reti. 13.1.8 Nella revisione del 2015 il requisito è stato soppresso ed è stato integrato nel requisito 7.1.7. 13.1.9 Nella revisione del 2018 il requisito è stato soppresso. - - 13.1.10 I siti Internet della Confederazione liberamente accessibili FP T devono essere protetti mediante i certificati SSL/TLS (13.2.1) (HTTPS). I rispettivi certificati sono ottenibili come descritto al requisito 10.1.3. I moduli presenti su questi siti Internet devono essere protetti contro eventuali attacchi automatici (ad es. mediante CAPTCHA). 14 Acquisto, sviluppo e manutenzione di sistemi informatici (14) 14.1 Requisiti in materia di sicurezza per i sistemi informatici (14.1) N. Requisito Responsabile Tipo dell’attuazione 14.1.1 Le periferiche (ad es. tastiere, stampanti o sistemi di FP T (14.1.1) presentazione) che devono essere integrate o installate (driver), devono essere acquistate dai servizi d’acquisto della Confederazione27. L’integrabilità e la sicurezza devono essere previamente chiarite dal servizio d’acquisto del FP. Per quanto riguarda l’utilizzo di apparecchi periferici privati durante il lavoro mobile si applicano le rispettive direttive delle applicazioni. 14.1.2 Per quanto riguarda la fornitura e la prima installazione di FP T (9.2.4) componenti di applicazioni e sistemi, gli account, le password iniziali, i privilegi o i diritti d’accesso predefiniti devono essere controllati immediatamente ed eventualmente modificati o rimossi. 14.1.3 Le impostazioni di sicurezza informatica possono essere FP T (14.1.1) riconfigurate, disinstallate o disattivate solo previa autorizzazione. 26 Al riguardo vedi l’ordinanza del 22.2.2012 sul trattamento di dati personali derivanti dall’utilizzazione dell’infrastruttura elettronica della Confederazione, RS 172.010.442. 27 Al riguardo vedi anche la decisione, disponibile solo in tedesco, «A-IS-Beschluss 66.10: Minimale Sicherheitsanforderungen», applicabile a dispositivi per la trasmissione o la copia di documenti nel settore della burotica (scanner, stampanti, fax, fotocopiatrici o una combinazione di essi, spesso definiti anche apparecchi multifunzione). 18/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 14.1.4 Ogni sistema può avere solo una configurazione minima, FP T necessaria per il suo funzionamento (per quanto riguarda il (14.1.1) software, i servizi, gli account e il pannello di controllo), al fine di ridurre al minimo le aree vulnerabili agli attacchi. A seconda del bisogno di protezione e dell’ambiente, sono opportune misure di protezione avanzata. È necessario prevedere una gestione centralizzata della configurazione. Le deroghe devono essere documentate per scritto e devono essere approvate dall’ISIU del FP e del BP competente. 14.2 Dati di prova (14.3) N. Requisito Responsabile Tipo dell’attuazione 14.2.1 I dati di prova devono essere protetti in funzione della loro FP T (14.3.1) classificazione. Se è indispensabile che i dati produttivi vengano utilizzati a fini sperimentali, essi devono essere protetti in base alla loro classificazione. 15 Relazione con i fornitori (15) 15.1 Regolamentazione della fornitura di prestazioni da parte di terzi (15.2) N. Requisito Responsabile Tipo dell’attuazione 15.1.1 Per quanto riguarda le prestazioni di servizi fornite da terzi, BP O (15.1, i requisiti in materia di sicurezza informatica della 15.2, Confederazione devono essere disciplinati in modo 18.1.1, vincolante e contrattualmente. 18.1.2) Il relativo consenso dell’autorità preposta deve essere acquisito conformemente alle procedure specifiche dell’Ufficio o del dipartimento28. 28 Il documento «Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso in relazione all’articolo 320 CP» contiene una base per le procedure di ottenimento del consenso specifiche all’organizzazione. Vedi intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base > Si001 - Hi04: Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso. 19/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 15.2 Rischi in materia di violazione del segreto d’ufficio (15.2) N. Requisito Responsabile Tipo dell’attuazione 15.2.1 La rivelazione di segreti d’ufficio a fornitori esterni di TIC BP O (15.2, deve essere ridotta al minimo. 7.1.1) Devono essere adottate le seguenti misure: • l’assistenza remota sui sistemi TIC avviene possibilmente via jump server. Se occorre, essa viene attivata manualmente e fornita soltanto per il tempo necessario; • l’assistenza remota deve essere monitorata (registrazione e/o principio del doppio controllo); • le connessioni per l’assistenza remota devono essere crittografate; • i dati possono essere consegnati solo previa procedura di autorizzazione o solo dal proprietario dei dati; • deve essere possibile controllare i processi esternalizzati. Il relativo consenso dell’autorità preposta o, se possibile, del titolare dei dati, deve essere acquisito secondo le procedure specifiche dell’Ufficio o del dipartimento29. Ulteriori requisiti sono descritti nel documento «Direttive per evitare i rischi di violazione del segreto d’ufficio nell’Amministrazione federale»30. 16 Come comportarsi in caso di incidenti riguardanti la sicurezza delle informazioni (16) Nr. Requisito Responsabile Tipo dell’attuazione 16.1 Devono essere sviluppati dei piani per poter reagire in BP O (16.1) modo adeguato in caso di incidente legato alla sicurezza riferito all’oggetto informatico da proteggere.31 16.2 In caso di incidenti o di lacune riguardanti la sicurezza che FP O (15.2, lo riguardano, il FP deve informare immediatamente il 16.1) beneficiario delle sue prestazioni. I dati riguardanti lo storico degli eventi corrispondenti devono essere messi a disposizione del BP per effettuare analisi. 29 Il documento «Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso in relazione all’articolo 320 CP» costituisce la base per le procedure di ottenimento del consenso specifiche all’organizzazione. Vedi intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base > Si001 - Hi04: Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso. 30 Vedi intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base > Si001-Hi03 - Direttive per evitare i rischi di violazione del segreto d’ufficio nell’Amministrazione federale. 31 Il requisito deve essere conforme al processo per l’elaborazione degli incidenti riguardanti la sicurezza (SVBP) dell’UA. 20/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 17 Garanzia dell’operatività (17) 17.1 Continuità della sicurezza delle informazioni (17.1) N. Requisito Responsabile Tipo dell’attuazione 17.1.1 In base alle esigenze dell’oggetto informatico da LB O (11.2.2, proteggere, devono essere sviluppati, documentati e attuati 17.1, piani per garantire e ripristinare l’operatività dell’oggetto 17.2) stesso in caso di guasti, emergenze e catastrofi (ITSCM). Devono essere definite misure per garantire i processi operativi critici (Business Continuity Management, BCM)32. 3 Ulteriori aspetti riguardanti la protezione di base delle TIC 3.1 Condizioni quadro principali 3.1.1 Archiviazione I requisiti per l’archiviazione di informazioni elettroniche si fondano sulle direttive dell’Archivio federale (legge del 26 giugno 1988 sull’archiviazione, LGA33). Quest’ultimo coordina la gestione degli atti e sostiene le unità organizzative nella sua attuazione. 3.1.2 Basi giuridiche, protezione dei dati e sicurezza delle informazioni Ai sensi dell’articolo 13 della Costituzione federale svizzera e delle disposizioni legali della Confederazione sulla protezione dei dati ognuno ha diritto al rispetto della sua sfera privata nonché d’essere protetto da un impiego abusivo dei suoi dati personali. Le autorità federali si attengono a queste disposizioni. Le esigenze in materia di protezione dei dati sono disciplinate nella legge federale del 19 giugno 199234 sulla protezione dei dati (LPD) e nell’ordinanza del 14 giugno 199335 relativa alla legge federale sulla protezione dei dati (OLPD). Gli articoli 4 capoverso 1 e 14 capoverso 3 OCiber sono parte integrante di una base corretta per un progetto TIC. 3.1.3 Controllo federale delle finanze Il Controllo federale delle finanze è l’organo superiore di vigilanza finanziaria della Confederazione e orienta la sua attività di verifica alla legge del 28 giugno 196736 sul Controllo delle finanze (LCF). 3.1.4 UFCL, armasuisse Uno dei principali compiti dell’Ufficio federale delle costruzioni e della logistica (UFCL) consiste nella sistemazione logistica degli edifici dell’Amministrazione federale civile. 32 Il presente requisito deve essere conforme al BCM dell’UA. 33 RS 152.1. 34 RS 235.1. 35 RS 235.11. 36 RS 614.0. 21/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale L’obiettivo è collocare il maggiore numero possibile di UA in immobili di proprietà della Confederazione. A tal fine, l’UFCL emana le prescrizioni tecniche ed edilizie in collaborazione con il Servizio federale di sicurezza (SFS). Armasuisse è responsabile per conto del Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) degli immobili della Confederazione e della loro conformità alle disposizioni edilizie. 3.1.5 Servizio specializzato CSP37 DDPS e CSP CaF Il servizio specializzato per i controlli di sicurezza relativi alle persone in seno al DDPS (servizio specializzato CSP DDPS) esegue i controlli di sicurezza secondo gli articoli 10, 11 e 12 capoverso 1 OCSP in collaborazione con gli organi di sicurezza della Confederazione e dei Cantoni. Il servizio specializzato per i controlli di sicurezza relativi alle persone in seno alla Cancelleria federale (servizio specializzato CSP CaF) esegue i controlli di sicurezza secondo l’articolo 12 capoverso 2 OCSP con il sostegno del servizio specializzato CSP DDPS. 3.2 Entrata in vigore e aggiornamento continuo Le direttive dell’NCSC sulla protezione di base delle TIC entrano in vigore il 1° aprile 2021. L’NCSC esamina periodicamente l’attualità di queste direttive come pure delle disposizioni di esecuzione. La versione più aggiornata è disponibile sul sito Internet dell’NCSC. 3.3 Definizione degli oggetti informatici da proteggere Gli oggetti informatici da proteggere sono applicazioni, servizi, sistemi, reti, collezioni di dati, infrastrutture e prodotti informatici che devono essere impiegati nell’Amministrazione federale e quindi essere protetti. Di conseguenza vengono trattati nelle istruzioni (art. 3 lett. h OCiber). Nella definizione e delimitazione di un oggetto informatico da proteggere si devono considerare gli aspetti operativi e organizzativi. Se necessario, devono essere definiti più oggetti informatici da proteggere in modo che, con la consegna del progetto per l’attivazione, le responsabilità possano essere trasferite interamente e in modo univoco alle organizzazioni operative competenti. È possibile che un oggetto da proteggere di livello superiore contenga vari oggetti, purché siano affini e richiedano la stessa protezione. 3.4 Portafoglio TIC La documentazione sulla sicurezza delle applicazioni deve essere tenuta a livello centrale. Nel portafoglio TIC (Cockpit TIC)38, per ogni applicazione indicata deve essere riportato almeno il link al rispettivo archivio. 37 Art. 3 OCSP. 38 Cfr. n. 2.2 cpv. 5 del documento «W007 - Istruzioni del Consiglio federale del 16.3.2018 concernenti i progetti TIC dell’Amministrazione federale e il portafoglio TIC della Confederazione». 22/25
Si001 – Protezione di base delle TIC nell’Amministrazione federale 3.5 Abbreviazioni e termini utilizzati Abbreviazione Spiegazione AF Amministrazione federale BP Beneficiario di prestazioni CA Certification Authority FP Fornitore di prestazioni https Hypertext Transfer Protocol Secure ID Identificatore ISID Incaricato della sicurezza informatica del dipartimento ISIU Incaricato della sicurezza informatica dell’unità amministrativa MDM Mobile Device Management NCSC Centro nazionale per la cibersicurezza OCiber Ordinanza sui ciber-rischi OCSP Ordinanza sui controlli di sicurezza relativi alle persone OWASP Open Web Application Security Project PIN Personal Identification Number (numero d’identificazione personale) PKI Public Key Infrastructure (infrastruttura a chiave pubblica)http://de.wikipedia.org/wiki/Public-Key-Infrastruktur SIPD Piano per la sicurezza dell’informazione e la protezione dei dati SSL Secure Sockets Layer TIC Tecnologie dell’informazione e della telecomunicazione TLS Transport Layer Security UA Unità amministrativa UFCL Ufficio federale delle costruzioni e della logistica UT Utente Termine Accezione Dati Nel presente documento il termine «dati» è utlizzato nell’accezione generica. Comprende sia i dati personali sia altri dati, come i dati registrati, collezioni di dati non personali ecc. Se una prescrizione è applicabile esclusivamente a dati personali, si preferirà questo termine. Analisi del Rilevamento dei requisiti di sicurezza degli oggetti informatici da bisogno di proteggere. protezione Piano per la Descrizione delle misure di sicurezza e della loro attuazione per gli sicurezza oggetti informatici da proteggere nonché descrizione dei rischi residui. dell’informazione e la protezione dei dati (piano SIPD) Rete Infrastruttura che permette la comunicazione tra diversi sistemi informatici. Dominio (di rete) Unione logica di sistemi informatici che si contraddistinguono per requisiti di sicurezza simili e soggiacciono alla medesima linea di condotta applicabile al dominio di rete. Linea di Descrizione redatta dal proprietario di un dominio di rete relativa ai condotta requisiti e alle direttive riguardanti i sistemi informatici del dominio, il applicabile al dominio stesso nonché la comunicazione interna ed esterna consentita dominio di rete per tale dominio. Modello delle Modello generico utile a definire le zone nell’Amministrazione federale. 23/25
Puoi anche leggere