Si001 - Protezione di base delle TIC nell'Amministrazione federale
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Dipartimento federale delle finanze DFF
Centro nazionale per la cibersicurezza NCSC
Sicurezza informatica della Confederazione
Versione 4.6
Si001 – Protezione di base delle TIC
nell’Amministrazione federale
del 19 dicembre 2013 (stato: 1° aprile 2021)
Ai sensi dell’articolo 11 capoverso 1 lettera e dell’ordinanza del 27 maggio 2020 sui ciber-
rischi (OCiber), il delegato alla cibersicurezza emana la seguente direttiva per la protezione di
base di cui all’articolo 14c OCiber.
Figura 1: Riepilogo delle basi per la sicurezza informaticaSi001 – Protezione di base delle TIC nell’Amministrazione federale
Indice
1 Disposizioni generali sulla protezione di base delle TIC .......................... 3
1.1 Campo d’applicazione ........................................................................................... 3
1.2 Deroghe alle direttive della protezione di base delle TIC .................................... 3
1.3 Disposizioni di esecuzione concernenti la protezione di base delle TIC ........... 4
1.4 Rinvio agli standard ISO ........................................................................................ 4
1.5 Impiego di nuove tecnologie dell’informazione e della comunicazione............. 4
2 Requisiti minimi di sicurezza e responsabilità in merito al bisogno di
protezione generale ...................................................................................... 5
1 Direttive concernenti la sicurezza delle informazioni (5)..................................... 5
2 Organizzazione della sicurezza informatica (6).................................................... 5
3 Sicurezza del personale e responsabilità dirigenziale (7) ................................... 6
4 Gestione di valori specifici all’organizzazione (8) ............................................... 7
5 Utilizzo di supporti di memoria e registrazione (8.3) ........................................... 7
6 Sistemi di postazioni di lavoro (notebook, desktop ecc.) (8.3) ........................... 7
7 Controllo dell’accesso (9) ...................................................................................... 8
8 Mezzi di autenticazione (9.4) ............................................................................... 10
9 Controllo dell’accesso per sistemi TIC e applicazioni (9.4)............................... 12
10 Crittografia (10) .................................................................................................... 12
11 Sicurezza fisica e ambientale (11) ....................................................................... 13
12 Sicurezza operativa (12) ...................................................................................... 13
13 Sicurezza della comunicazione (13).................................................................... 17
14 Acquisto, sviluppo e manutenzione di sistemi informatici (14) ........................ 18
15 Relazione con i fornitori (15) ............................................................................... 19
16 Come comportarsi in caso di incidenti riguardanti la sicurezza delle
informazioni (16) .................................................................................................. 20
17 Garanzia dell’operatività (17)............................................................................... 21
3 Ulteriori aspetti riguardanti la protezione di base delle TIC ................... 21
3.1 Condizioni quadro principali ............................................................................... 21
3.1.1 Archiviazione .......................................................................................................... 21
3.1.2 Basi giuridiche, protezione dei dati e sicurezza delle informazioni .......................... 21
3.1.3 Controllo federale delle finanze .............................................................................. 21
3.1.4 UFCL, armasuisse ................................................................................................. 21
3.2 Entrata in vigore e aggiornamento continuo...................................................... 22
3.3 Definizione degli oggetti informatici da proteggere .......................................... 22
3.4 Portafoglio TIC ..................................................................................................... 22
3.5 Abbreviazioni e termini utilizzati ......................................................................... 23
2/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
1 Disposizioni generali sulla protezione di base delle TIC
La protezione di base delle TIC disciplina in maniera vincolante i requisiti minimi di sicurezza
definiti nelle direttive (protezione di base) dal punto di vista organizzativo, personale e
tecnico nel settore della sicurezza informatica.
L’attuazione delle direttive e delle misure in materia di sicurezza deve essere documentata e
verificata dalle unità amministrative (UA) incaricate (art. 14 cpv. 3 e art. 14c OCiber).
I requisiti di sicurezza sono convenuti per scritto con i fornitori di prestazioni, sia per lo
sviluppo e l’esercizio sia per la messa fuori esercizio di mezzi informatici. Le UA
documentano e verificano l’attuazione delle misure di sicurezza.
La documentazione relativa all’attuazione della protezione di base TIC deve essere verificata
almeno dall’incaricato della sicurezza informatica dell’UA (ISIU)1 nonché approvata dal
committente e dal responsabile dei processi aziendali.
Inoltre, si deve provvedere affinché la documentazione come i manuali operativi e gli elenchi
delle autorizzazioni sia gestita in modo da tenere conto delle esigenze di revisione.
1.1 Campo d’applicazione
Il campo d’applicazione della presente direttiva è disciplinato dall’articolo 2 OCiber.
1.2 Deroghe alle direttive della protezione di base delle TIC
Il Centro nazionale per la cibersicurezza (NCSC) può autorizzare deroghe (art. 11 cpv. 1
lett. f OCiber) e tiene un elenco aggiornato di tutte le deroghe accordate.
Se nel singolo caso, per motivi organizzativi, tecnici o economici, un’UA intende derogare
alla protezione di base delle TIC, nel senso che i requisiti minimi non sono più soddisfatti
(scostamenti), si è in presenza di una deroga che necessita di un’autorizzazione (art. 11
cpv. 1 lett. f OCiber).
L’UA ha identificato, quantificato e sottoposto all’NCSC o all’incaricato della sicurezza
informatica del dipartimento (ISID) per valutazione e decisione, sotto forma di una richiesta
dettagliata, i rischi connessi a tale deroga.
L’ISID può:
a) autorizzare autonomamente deroghe (scostamenti) dalla protezione di base delle
TIC, se vengono osservate (cumulativamente) le condizioni quadro indicate di
seguito;
b) delegare all’ISIU la competenza di autorizzare deroghe (scostamenti) alla protezione
di base delle TIC, se vengono osservate (cumulativamente) le condizioni quadro
indicate di seguito ed è garantito il suo coinvolgimento o quello dell’ISID nel processo
di deroga, affinché quest’ultimo possa assumersene in ogni momento la
responsabilità.
• L’oggetto informatico da proteggere non presenta un elevato bisogno di protezione.
• Lo scostamento dalla protezione di base delle TIC non riguarda i servizi standard e
mette in pericolo esclusivamente la propria UA.
• L’incaricato della sicurezza informatica ha verificato che nessuna disposizione legale,
interna all’Ufficio o al dipartimento impedisca/vieti una deroga alla protezione di base
delle TIC.
• Il richiedente ha identificato, quantificato e sottoposto all’incaricato della sicurezza
1
Nel caso dei servizi standard, la verifica compete al pertinente incaricato della sicurezza informatica.
3/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
informatica per verifica e approvazione, sotto forma di una richiesta dettagliata, i
rischi connessi a tale deroga. Il committente (ad es. nel caso di progetti) e il
responsabile dei processi aziendali/delle applicazioni decidono quindi in
collaborazione con l’incaricato della sicurezza informatica in merito a una possibile
deroga (scostamento) dalla protezione di base delle TIC.
• I rischi legati allo scostamento dalla protezione di base delle TIC devono essere
ridotti, nel limite del possibile, con misure complementari/alternative. Analogamente a
quanto descritto all’articolo 14d capoverso 2 OCiber, i rischi residui2 noti devono
essere documentati e comunicati per scritto ai committenti, ai responsabili dei
processi aziendali e alla direzione dell’UA.
• Il responsabile dell’UA decide se assumere i rischi residui di cui viene a conoscenza
(art. 14d cpv. 3 OCiber).
• L’ISID tiene un elenco aggiornato e comunica all’NCSC, su richiesta, le decisioni sulle
deroghe.
Solitamente vengono autorizzate solo deroghe limitate nel tempo.
1.3 Disposizioni di esecuzione concernenti la protezione di base delle TIC
Con il documento «Si003 - Sicurezza delle reti nell’Amministrazione federale», l’NCSC
emana disposizioni di esecuzione vincolanti concernenti la protezione di base delle TIC.
Inoltre, pubblica raccomandazioni per la protezione di base delle TIC. È possibile consultare
questi documenti sul sito Internet dell’ODIC3 nella relativa rubrica.
1.4 Rinvio agli standard ISO
Le misure di sicurezza si orientano agli attuali standard ISO concernenti le procedure di
sicurezza informatica. Il rinvio alla numerazione ISO/IEC 27002:20134 è riportato in corsivo e
tra parentesi accanto al relativo numero. Per maggiori chiarimenti è possibile consultare
anche le spiegazioni dettagliate nello standard ISO/IEC 27002:2013.
1.5 Impiego di nuove tecnologie dell’informazione e della comunicazione
L’UA che intende utilizzare in un nuovo ambito nuove tecnologie dell’informazione e della
comunicazione (hardware e software) o tecnologie esistenti deve sottoporle a un’analisi dei
rischi prima del loro impiego. Il risultato della valutazione dei rischi deve essere presentato
all’incaricato della sicurezza informatica competente e all’NCSC.
2
Rischi che non possono essere ridotti o possono essere ridotti soltanto in modo insufficiente.
3
intranet.ncsc.admin.ch
4
intranet.ncsc.admin.ch, Documentazione > Documenti dei partner rilevanti ai fini della sicurezza > Norme ISO.
4/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
2 Requisiti minimi di sicurezza e responsabilità in merito
al bisogno di protezione generale
1 Direttive concernenti la sicurezza delle informazioni (5)
1.1 Indirizzo della gestione della sicurezza delle informazioni (5.1)
N. Requisito Responsabile Tipo6
dell’attuazione5
1.1.1 Nella revisione del 2019 il requisito è stato soppresso. - -
1.1.2 Nella revisione del 2019 il requisito è stato soppresso. - -
1.1.3 Nella revisione del 2019 il requisito è stato soppresso. - -
2 Organizzazione della sicurezza informatica (6)
2.1 Dispositivi intelligenti (smart devices: smartphone e tablet) (6.1)
N. Requisito Responsabile Tipo
dell’attuazione
2.1.1 Soltanto gli smart devices che vengono gestiti mediante un BP O
7
(6.2.1) Mobile Device Management (MDM) possono comunicare
con i sistemi dell’Amministrazione federale.
Il presente requisito non riguarda le possibilità di accesso
anonimo e personalizzato alle applicazioni di Governo
elettronico o le pagine Internet pubbliche
dell’Amministrazione federale.
2.1.2 È vietato elaborare e salvare su smart devices informazioni UT O
(6.2.1) classificate con il livello di protezione CONFIDENZIALE o
SEGRETO nonché dati personali degni di particolare
protezione o profili della personalità.
Il presente requisito non riguarda le applicazioni autorizzate
a tal fine (ad es. applicazioni per la comunicazione
crittografata8).
2.1.3 Nella revisione del 2018 il requisito è stato soppresso. - -
2.1.4 Nella revisione del 2018 il requisito è stato soppresso. - -
2.1.5 Nella revisione del 2018 il requisito è stato soppresso ed è - -
ora compreso nel requisito 6.2.
5
Responsabile dell’attuazione: beneficiario di prestazioni (BP), fornitore di prestazioni (FP), utente (UT). La
presente ripartizione ha valore indicativo. Se si adotta una ripartizione diversa, ciò deve essere concordato per
scritto tra i soggetti interessati.
6
Tipo: organizzativo (O), tecnico (T), indicativo (I).
7
Vedi la direttiva TIC «E021 – Direttiva delle applicazioni concernente l’impiego di smartphone/smarttablet Sync»
(disponibile solo in tedesco e francese) sul sito intranet.isb.admin.ch, Direttive TIC, Direttive delle applicazioni >
E021 - Einsatzrichtlinie Smartphone/Smarttablet Sync.
8
Vedi la direttiva TIC «E027 – Direttiva delle applicazioni concernente le comunicazioni vocali crittografate»
(disponibile solo in tedesco e francese) sul sito intranet.isb.admin.ch, Direttive TIC > Direttive delle applicazioni
> E027 - Einsatzrichtlinie Verschlüsselte Sprachkommunikation (VSK).
5/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
2.1.6 Il FP implementa un processo per regolamentare il FP O
(6.2.1) trattamento degli smart devices da riparare, smarriti o
rubati.
Questa regolamentazione deve essere comunicata in modo
appropriato alle UA.
Il processo deve prevedere almeno il resettaggio dello
smart device (ripristino delle impostazioni di fabbrica =
perdita di tutti i dati).
2.1.7 Nella revisione del 2018 il requisito è stato soppresso. - -
2.1.8 L’accesso agli smart devices deve essere protetto mediante FP T
(6.2.1) password, PIN o elementi biometrici (touch ID ecc.). UT O
Password e/o PIN devono contenere almeno sei caratteri.
Sono vietate combinazioni ovvie come ID dell’utente,
cognome, nome, data di nascita o serie di numeri del tipo
111111, 123456.
Lo smart device deve essere bloccato al più tardi dopo tre
minuti di inattività. L’accesso sarà di nuovo possibile
digitando la password o il PIN o utilizzando gli elementi
biometrici.
2.1.9 Nella revisione del 2018 il requisito è stato soppresso ed è - -
ora compreso nel requisito 2.1.1.
2.1.10 Nella revisione del 2016 il requisito è stato soppresso. - -
2.1.11 Nella revisione del 2018 il requisito è stato soppresso ed è - -
ora contenuto nella Strategia TIC parziale per il lavoro
mobile nell’Amministrazione federale.
2.1.12 Nella revisione del 2018 il requisito è stato soppresso. - -
3 Sicurezza del personale e responsabilità dirigenziale (7)
3.1 Responsabilità della gestione (7.2.1)
N. Requisito Responsabile Tipo
dell’attuazione
3.1.1 I collaboratori devono essere istruiti e sensibilizzati secondo BP O
(7.2.2) il loro livello e la loro funzione sull’oggetto informatico da
proteggere nell’ambito della sicurezza informatica, in modo
che sappiano quali sono le loro responsabilità.
3.1.2 I diritti dell’utente che spettano ai collaboratori per i vari tipi BP O
(7.3.1, di accesso agli oggetti informatici da proteggere devono
9.2.1) essere sempre aggiornati. Se il rapporto lavorativo, il
mandato o l’accordo di utilizzo con i collaboratori muta o
termina, i diritti dell’utente devono essere adeguati
immediatamente alle nuove circostanze. Occorre istituire
una procedura per il trattamento degli account non utilizzati.
3.1.3 Occorre verificare la necessità di un controllo di sicurezza BP O
(7.1) relativo alle persone per quanto riguarda l’accesso
all’oggetto informatico da proteggere.9
9
Vedi l’ordinanza del 4.3.2011 sui controlli di sicurezza relativi alle persone (OCSP; RS 120.4).
6/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
3.2 Responsabilità dei collaboratori di ogni livello (7.3.1)
N. Requisito Responsabile Tipo
dell’attuazione
3.2.1 Nella revisione del 2018 il requisito è stato soppresso. - -
4 Gestione di valori specifici all’organizzazione (8)
4.1 Responsabilità per i valori specifici all’organizzazione (8.1)
N. Requisito Responsabilità Tipo
dell’attuazione
4.1.1 Nella revisione del 2018 il requisito è stato soppresso. - -
4.1.2 Se mezzi TIC privati, inclusi i software acquistati UT O
(11.2.6) privatamente, vengono utilzzati per scopi professionali,
deve essere garantita la protezione delle informazioni e dei
dati in questione.
4.1.3 L’elaborazione di informazioni professionali su sistemi TIC BP O
(11.2.6, diversi da quelli di proprietà della Confederazione è
13.2.4) ammessa solo sulla base di un contratto10 che disciplina le
questioni rilevanti sotto il profilo della sicurezza.
5 Utilizzo di supporti di memoria e registrazione (8.3)
N. Requisito Responsabile Tipo
dell’attuazione
5.1 I BP e i FP definiscono un piano per l’utilizzo di oggetti BP O
(8.3.1, informatici da proteggere finalizzati alla conservazione di dati
8.3.2, (supporti di dati). Esso dovrà focalizzarsi in particolare sulla
8.3.3) loro riparazione, sulla loro distruzione e sul loro smaltimento.
In ogni caso i supporti di dati devono essere smaltiti in modo
da rendere impossibile il recupero del loro contenuto o dei dati
memorizzati.
In linea di principio le riparazioni devono essere
regolamentate d’intesa con l’ISIU o l’ISID competente.
6 Sistemi di postazioni di lavoro (notebook, desktop ecc.) (8.3)
N. Requisito Responsabile Tipo
dell’attuazione
6.1 I sistemi di postazioni di lavoro (notebook, desktop) devono FP T
(8.3.3, essere protetti contro fughe di dati/informazioni (protezione
18.1.5) contro i furti) crittografando completamente i dischi.
6.2 L’utente deve segnalare immediatamente lo smarrimento di UT O
(16.1.2) un apparecchio (sistemi di postazioni di lavoro, smart
devices ecc.) al service desk del FP.
10
Ad es. contratti con esterni, direttive delle applicazioni concernenti il lavoro mobile.
7/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
7 Controllo dell’accesso (9)
7.1 Requisiti per il controllo dell’accesso (9.1)
N. Requisito Responsabile Tipo
dell’attuazione
7.1.1 Tutti gli accessi ai mezzi TIC devono essere protetti con FP T
(9.1.1, un’autenticazione corrispondente al bisogno di protezione.
9.3.1, Per l’accesso alle zone si applicano le disposizioni
9.4.2) contenute nel documento «Si003 - Sicurezza delle reti
nell’Amministrazione federale11».
7.1.2 Nella revisione del 2019 il requisito è stato soppresso. FP T
7.1.3 Nella revisione del 2017 il requisito è stato soppresso ed è - -
ora compreso nel requisito 8.1.
7.1.4 Agli utenti devono essere accordati solo i diritti per l’utilizzo BP O
(9.4.1, dei mezzi TIC di cui hanno obbligatoriamente bisogno.
9.2.5) I responsabili di applicazioni, sistemi e collezioni di dati
verificano una volta all’anno la correttezza e la necessità dei
diritti accordati agli utenti.
7.1.5 Non sono consentiti diritti di amministratore locali sui sistemi FP T
(9.2.3, di postazioni di lavoro.
12.4.3) Se indispensabile, l’impiego di diritti di amministratore deve
essere garantito in modo da essere tracciabile (logging).
Deve essere definito il relativo piano SIPD.
7.1.6 La separazione dei poteri tra autorizzazione e assegnazione BP O
(6.1.2) di diritti d’accesso deve essere osservata e documentata.
Le deroghe a questo requisito devono essere descritte nel
documento «Attuazione delle misure per la protezione di
base delle TIC nell’Amministrazione federale» o in un piano
SIPD.
7.1.7 L’accesso di persone ai sistemi di postazioni di lavoro e di FP T
(9.2.3) server dell’Amministrazione federale è consentito solo
mediante un’autenticazione a due fattori12.
Per le deroghe si rimanda al documento «Richiesta di
autorizzazione speciale per account impersonali (account E
e F)»13.
Qualora non fosse possibile garantire questo tipo di
accesso, la soluzione corrispondente deve essere descritta
in un piano SIPD.
7.1.8 Per la manutenzione da remoto devono essere predisposti FP T
(9.1.2, speciali account degli utenti. Tali account devono essere
9.2.3, sorvegliati e il loro utilizzo deve essere tracciabile (logging).
12.4.3)
7.1.9 Un accesso senza restrizioni14 può avvenire solo se FP T
(9.1.2) crittografato.
11
intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Si003 - Sicurezza delle reti
nell’Amministrazione federale.
12
DCF del 4.6.2010.
13
intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base > Si002 - Hi01:
Richiesta di autorizzazione speciale per account impersonali (account E e F).
14
Definizione contenuta nel documento «Si003 - Sicurezza delle reti nell’Amministrazione federale»;
8/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
7.1.10 L’accesso remoto alla postazione di lavoro per fornire FP O
(9.1.2, assistenza è autorizzato solo dopo aver chiesto
9.2.3) esplicitamente il permesso dell’utente.
7.1.11 Gli account di servizio non interattivi (ad es. i «service FP T
accounts»):
• devono essere associati al servizio in modo univoco
(un account per servizio);
• possono avere soltanto i privilegi minimi di cui
necessitano.
intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Si003 - Sicurezza delle reti
nell’Amministrazione federale.
9/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
8 Mezzi di autenticazione (9.4)
N. Requisito Responsabile Tipo
dell’attuazione
8.1 Requisiti relativi alle password per l’identificazione FP T
(9.4.3) personale: UT O
• lunghezza:
− password utente di almeno 10 caratteri,
− password amministratore di almeno 12 caratteri,
− per il login con la smart card valgono i requisiti del
Certification Service Provider (CSP);
• composizione:
− maiuscole e minuscole, cifre e caratteri speciali,
− devono figurare almeno tre di questi elementi,
− è vietato utilizzare password ovvie come ID utente,
cognome, nome, data di nascita ecc.,
− è vietato utilizzare la stessa password aumentando
o diminuendo di un’unità una cifra in essa contenuta
(ad es. da Giuseppe_10 a Giuseppe_11);
• ripetizione di password:
− password iniziale = nessuna ripetizione,
− password utente e amministratore = ripetizione dopo
10 modifiche;
• tentativi:
− al massimo 5, dopo di che l’ID utente dovrà essere
bloccato;
• trasmissione a terzi e conservazione:
− la password e il PIN sono personali e non possono
essere trasmessi a terzi,
− le password devono essere conservate in modo
sicuro15;
• unicità:
− per ogni sistema e account deve essere utilizzata
una nuova password, diversa dalle altre.
La password o il PIN devono essere modificati
immediatamente se vi è il sospetto che una persona non
autorizzata ne sia a conoscenza.
Deroghe riguardanti la composizione devono essere
stabilite per scritto nel documento «Attuazione delle misure
per la protezione di base delle TIC nell’Amministrazione
federale» o in un piano SIPD.
8.2 Requisiti relativi alle password per l’identificazione BP O
(9.4.3) impersonale16:
• ID utente o password impersonali devono essere
assegnati il meno possibile;
• è possibile derogare ai requisiti in materia di password
di cui al requisito 8.1 solo se:
− con questo ID utente o password si accede
esclusivamente ad applicazioni che presentano un
bisogno di protezione generale (protezione di
base), o
− esiste un piano SIPD approvato nonché
un’autorizzazione dell’ISID.
15
Con un programma di gestione delle password (KeePass ad es.).
16
Al riguardo, vedi gli aiuti relativi agli account funzionali nella matrice d’accesso.
10/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
8.3 Gli utenti con un account di servizio non interattivo devono FP T
(9.4.2) autenticarsi con una procedura PKI. La chiave privata
(private key) deve essere protetta sul sistema con i diritti
d’accesso necessari.
Se non è possibile osservare la suddetta regola, occorre
rispettare le regole seguenti per la creazione della
password:
• lunghezza:
− almeno 28 caratteri (se tecnicamente fattibile);
• composizione:
− maiuscole e minuscole, cifre e caratteri speciali,
− devono figurare almeno tre di questi elementi;
• rinnovo automatico:
− se il sistema prevede un’opzione di rinnovo
automatico della password, è necessario attivarla e
impostare la maggiore frequenza possibile di
rinnovo;
• unicità:
− per ogni sistema e account deve essere utilizzata
una nuova password, diversa dalle altre;
• utilizzo:
− è consentito esclusivamente un utilizzo statico. La
password non può essere utilizzata da persone per
lavorare su sistemi TIC o applicazioni;
• conservazione / documentazione:
− la password deve essere conservata per scritto in
un luogo sicuro per emergenze e/o lavori di
manutenzione (ad es. in una cassaforte),
− la gestione dei cambiamenti di password deve
essere descritta nel piano SIPD o nel piano
operativo del sistema o dell’applicazione.
8.4 Le UA dispongono di un processo di ripristino dei mezzi di BP O
(9.2.1, autenticazione dimenticati, scaduti o bloccati che viene
9.2.2, attuato e documentato.
9.4.3)
8.5 Nella revisione del 2018 il requisito è stato soppresso ed è - -
ora compreso nel requisito 7.1.4.
11/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
9 Controllo dell’accesso per sistemi TIC e applicazioni (9.4)
N. Requisito Responsabile Tipo
dell’attuazione
9.1 I compiti amministrativi FP T
• che richiedono diritti locali di amministratore devono
(9.4.1, essere svolti da sistemi TIC dedicati (ad es. Privileged
9.4.4) Access Workstation);
• devono essere svolti mediante account personali
speciali di amministratore. BP
Per le applicazioni con un bisogno di protezione più
elevato occorre stabilire nel piano SIPD se e, in caso
affermativo, quali attività amministrative devono essere
svolte da sistemi TIC dedicati.
9.2 L’amministrazione di sistemi di server viene effettuata su FP T
un’apposita rete (logica) separata e deve essere svolta su
(9.4.4)
sistemi TIC dedicati e dotati di speciali dispositivi di
sicurezza. Questa rete non può consentire l’accesso a
Internet o alle applicazioni per la comunicazione d’ufficio
(cioè alle caselle di posta elettronica). Se l’amministrazione
non è attuabile a livello tecnico il tipo di accesso
amministrativo deve essere descritto in un piano SIPD.
Per accedere a questi livelli di gestione amministrativa e ai
relativi sistemi target da amministrare si deve applicare
un’autenticazione a due fattori.
9.3 Il tempo a disposizione per il processo di autenticazione17 FP T
(9.4.2) deve essere limitato per quanto tecnicamente possibile.
9.4 L’accesso al sistema deve bloccarsi automaticamente al FP T
(9.4.2) massimo dopo 15 minuti di inattività. Anche il blocco
manuale deve essere possibile. Se quest’ultimo non è
possibile per motivi tecnici, l’accesso alle postazioni di
lavoro non sorvegliate con sessioni attive deve essere
protetto (ad es. chiusura a chiave del locale).
Le deroghe a questo requisito devono essere descritte nel
documento «Attuazione delle misure per la protezione di
base delle TIC nell’Amministrazione federale» o in un
piano SIPD.
10 Crittografia (10)
10.1 Requisiti crittografici (10.1)
N. Requisito Responsabile Tipo
dell’attuazione
10.1.1 I procedimenti e i metodi crittografici impiegati devono FP T
(10.1.1) essere tecnologicamente avanzati18.
10.1.2 Nella revisione del 2016 il requisito è stato soppresso. - -
17
Dall’inizio della sessione.
18
I metodi crittografici raccomandati per l’Amministrazione federale si trovano al seguente link:
intranet.ncsc.admin.ch > Documentazione > Raccomandazioni e Considerazioni tecnologiche.
12/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
10.1.3 Nell’impiego di sistemi di crittografia asimmetrici i certificati FP T
(10.1.1, devono essere emessi da Swiss Government PKI o da una
13.1.2) CA autorizzata dal rispettivo FP.
Laddove non è tecnicamente fattibile, si possono utilizzare
certificati di altri emittenti riconosciuti. Ciò deve essere
descritto in un piano SIPD.
10.1.4 L’amministrazione di chiavi crittografiche, compresi i FP T
(10.1.1) metodi per la gestione della loro protezione e del recupero
di dati crittografati in caso di chiavi smarrite, compromesse
o danneggiate, devono essere documentati e
periodicamente testati per verificare la loro affidabilità.
10.1.5 Gli archivi dei certificati devono essere amministrati dal FP. FP T
Laddove non è tecnicamente fattibile (ad es. nel caso di
dispositivi multifunzione), si possono utilizzare certificati di
altri emittenti riconosciuti. Ciò deve essere descritto in un
piano SIPD.
10.1.6 L’elenco delle CA affidabili deve essere amministrato dal FP O
FP.
11 Sicurezza fisica e ambientale (11)
11.1 Settori di sicurezza (11.1)
N. Requisito Responsabile Tipo
dell’attuazione
11.1.1 La necessità di adottare misure edili e tecniche ai fini della BP O
(11.1) sicurezza fisica deve essere chiarita di comune accordo
con l’UFIT, armasuisse e il Servizio federale di sicurezza.
11.1.2 I sistemi TIC devono essere protetti per quanto possibile FP O
(11.2.1, dall’accesso fisico di persone non autorizzate.
11.2.3)
11.1.3 Nella revisione del 2016 il requisito è stato soppresso ed è - -
ora disciplinato all’interno del requisito 13.1.4.
12 Sicurezza operativa (12)
12.1 Metodi operativi e responsabilità (12.1)
N. Requisito Responsabile Tipo
dell’attuazione
12.1.1 I seguenti punti concernenti l’installazione, la gestione, la FP O
(8.1.1, manutenzione e l’utilizzo degli oggetti informatici da BP
8.1.2, proteggere devono essere documentati e costantemente
12.1.1) aggiornati:
• hardware di sistema;
• sistema operativo e altri software di sistema;
• componenti di applicazioni (ad es. programmi,
modifiche, parametrizzazione);
• impostazioni e funzioni rilevanti per la sicurezza;
• ciclo di vita (life cycle);
• persona responsabile.
13/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
12.1.2 Nell’ambito della sostituzione di hardware e software si BP O
(12.1.2, devono verificare ed eventualmente adeguare le funzioni
14.2.4) rilevanti per l’attività e sotto il profilo tecnico della
sicurezza.
12.1.3 Le richieste di modifica (change request) all’ambiente BP O
(12.1.2) operativo devono essere tracciabili.
12.1.4 Gli ambienti riguardanti, ad esempio, lo sviluppo, FP T
(12.1.2) l’integrazione, la formazione e i test devono essere
separati sotto il profilo logico dagli ambienti19 di produzione
e devono essere protetti anch’essi in maniera adeguata20.
Le deroghe a questa misura devono essere descritte nel
documento «Attuazione delle misure per la protezione di
base delle TIC nell’Amministrazione federale» o in un
piano SIPD.
12.2 Protezione contro software dannosi (malware) (12.2)
N. Requisito Responsabile Tipo
dell’attuazione
12.2.1 Tutte le TIC devono essere protette contro attacchi da FP T
(12.2.1) software dannosi mantenendo aggiornato il software
esistente21.
Sulla base della strategia per la protezione contro i
malware22, i FP definiscono un apposito piano in cui sono
disciplinati almeno i seguenti aspetti:
• processi e responsabilità;
• aggiornamenti del software per la protezione contro i
malware;
• definizione delle priorità e della periodicità delle
scansioni (ad es. client, server, memoria);
• realizzazione tecnica.
12.2.2 In caso di sospetto di attacco da malware si deve UT O
(12.2.1, informare immediatamente il service desk. Il modo di BP
16.1.2) procedere dettagliato (compreso lo scollegamento dei
sistemi dalla rete) deve essere stabilito nel quadro dei
relativi processi.
12.2.3 Per i sistemi di postazioni di lavoro (ad es. laptop) che non UT O
(12.2.1) sono costantemente collegati alla rete, devono essere
installati aggiornamenti di sicurezza almeno una volta al
mese.
12.2.4 La funzione di autorun in caso di collegamento di supporti FP T
(12.2.1 di memoria esterni deve essere disattivata in tutti i sistemi
operativi (sistemi di postazioni di lavoro e server).
14.1.1)
12.3 Backup (12.3)
N. Requisito Responsabile Tipo
dell’attuazione
19
Sistemi, applicazioni, dati.
20
Ad esempio, accesso a Internet solo tramite browser virtuali e client di posta elettronica per gli ambienti di
sviluppo.
21
Vedi «Malwareschutz Strategie für die Bundesverwaltung», disponibile in tedesco.
22
intranet.isb.admin.ch, Direttive TIC > Strategie e strategie parziali > SB003 – IKT-Teilstrategie Malwareschutz,
disponibile in tedesco.
14/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
12.3.1 La ricostruzione dei dati e la loro riutilizzabilità dopo che FP O
(12.3.1) sono stati persi devono essere descritte e garantite dal FP
responsabile.
12.3.2 Su incarico del BP, il ripristino dei dati deve essere testato. FP T
(12.3.1) L’utilizzabilità dei dati deve essere confermata dal BP.
12.4 Registrazione e monitoraggio (12.4)
N. Requisito Responsabile Tipo
dell’attuazione
12.4.1 Le seguenti attività per i sistemi TIC e le applicazioni FP T
(12.4.1 devono essere registrate, monitorate e valutate
tempestivamente (per quanto possibile in forma
12.4.3)
pseudonima) in modo conforme allo scopo e tracciabile:
• inizializzazione e spegnimento del sistema;
• tentativi di autenticazione falliti (compresa
l’identificazione univoca dell’origine);
• accessi all’oggetto falliti;
• attribuzione e modifica di privilegi;
• tutte le azioni che richiedono privilegi più elevati.
12.4.2 L’ora del sistema deve essere sincronizzata centralmente FP T
(12.4.4) e può essere modificata solo previa autorizzazione.
12.4.3 Deve essere garantito un adeguato monitoraggio tecnico FP O
(12.4.1) del sistema e della rete.
12.4.4 Per sistemi di server che necessitano di una protezione FP T
(12.5) elevata deve essere effettuata periodicamente una verifica
della loro integrità23 al fine di rilevare eventuali modifiche
non autorizzate24.
Le modifiche inattese devono successivamente essere
analizzate nei dettagli dai sistemisti e dagli specialisti in
materia di sicurezza.
In ogni caso, i sistemi che sono stati modificati
illecitamente devono essere immediatamente scollegati
dalla rete e protetti. Dopo un’eventuale analisi forense i
sistemi infetti devono comunque essere completamente
rimossi e reinstallati.
12.5 Controllo di software operativi (12.5)
N. Requisito Responsabile Tipo
dell’attuazione
12.5.1 Si deve verificare l’autenticità del software (ad es. le firme). FP T
(12.5.1) Le modifiche non autorizzate constatate devono essere
analizzate e corrette.
23
Per maggiori informazioni sull’interpretazione di questo requisito, sulle modalità con cui poterlo adempiere
attualmente, sugli strumenti esistenti a tale fine e su come questi ultimi devono essere impiegati
nell’Amministrazione federale vedi la considerazione tecnologica «Integritätsprüfung von Systemen» (disponibile
solo in tedesco): intranet.ncsc.admin.ch > Documentazione > Raccomandazioni e Considerazioni tecnologiche.
24
DCF del 16.12.2009.
15/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
12.6 Gestione delle vulnerabilità (12.6)
N. Requisito Responsabile Tipo
dell’attuazione
12.6.1 Le correzioni di errori (patch) devono essere verificate e FP T
(12.6.1) installate il più rapidamente possibile. Devono essere
implementati processi che garantiscono una correzione
rapida degli errori. In particolare, si devono controllare i
componenti del sistema, i software della burotica, le
applicazioni web, il browser Internet e i relativi software
aggiuntivi.
Se non è più possibile correggere gli errori poiché i sistemi BP O
sono obsoleti, si devono adottare misure che consentano
di sostituirli (gestione del ciclo di vita). Se ciò non è
possibile, si deve descrivere in un piano SIPD come sarà
garantita la continuità operativa (due anni al massimo).
12.6.2 Tutte le applicazioni e i sistemi TIC (compresi i componenti FP T
(12.6.1, software integrati) devono essere controllati:
14.2.8, • nella fase di sviluppo,
14.2.9) • prima della loro attivazione e
• periodicamente nella loro fase operativa, in particolare
in caso di modifiche sostanziali,
per accertarsi che non vi siano vulnerabilità.
I risultati devono essere documentati. Le vulnerabilità
individuate devono essere valutate e adeguatamente
eliminate prima dell’attivazione. In particolare le
applicazioni e i sistemi TIC con accesso a Internet non
possono presentare vulnerabilità critiche nella produzione.
Eventuali vulnerabilità riguardanti le applicazioni Internet
devono essere verificate e adeguatamente eliminate in
base agli attuali rischi definiti dall’OWASP Top 10 (Open
Web Application Security Project).
12.6.3 Nella revisione del 2016 il requisito è stato soppresso ed è - -
stato integrato nel requisito 12.6.2.
12.7 Ripercussioni degli audit sui sistemi informatici (12.7)
N. Requisito Responsabile Tipo
dell’attuazione
12.7.1 I requisiti e le attività di audit correlate ai sistemi TIC BP O
(12.7.1) rilevanti ai fini dell’operatività devono essere
accuratamente pianificati, documentati e convenuti per
contratto, in modo da minimizzare le interruzioni dei
processi lavorativi.
12.7.2 Gli audit devono essere effettuati da un servizio BP O
(18.2) indipendente.
16/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
13 Sicurezza della comunicazione (13)
13.1 Gestione della sicurezza delle reti (13.1)
N. Requisito Responsabile Tipo
dell’attuazione
13.1.1 Per le reti devono essere costantemente aggiornati i FP O
(13.1.1) seguenti dati:
• proprietario e gestore della rete;
• topologia di rete, inclusi i suoi componenti attivi e le
relative configurazioni;
• requisiti per l’amministrazione dei componenti attivi delle
reti.
13.1.2 Se una o più virtualizzazioni (ad es. sistemi, dati, reti, FP O
(13.1.2, memorie delle TIC) vengono gestite su un’unità fisica e non
appartengono alle stesse zone di rete, si deve dimostrare
13.1.3)
mediante un piano SIPD approvato dal FP che i rischi sono
sostenibili in misura almeno equivalente a una soluzione a
sé stante.
Il FP comunica previamente al BP le modifiche che hanno
ripercussioni sul piano SIPD approvato (ad es. modifiche a
una piattaforma virtuale).
13.1.3 I componenti di rete devono essere protetti contro gli FP T
(13.1.2) attacchi. Le misure di sicurezza adottate devono essere
documentate.
13.1.4 Tutti i componenti di rete configurabili e attivi devono essere FP T
(13.1.2) protetti contro gli accessi da parte di persone non
autorizzate.
Si applicano i seguenti requisiti:
• l’accesso amministrativo a componenti di rete attivi deve
essere garantito con misure di autenticazione e
autorizzazione appropriate. Se è possibile, si usano
autenticazioni a due fattori mediante certificati di classe
B, altrimenti devono essere usati altri strumenti di
autenticazione forte (ad es. password monouso);
• l’accesso remoto avviene tramite un collegamento
crittografato a partire da una rete di gestione dedicata
(analogamente al n. 9.2). L’accesso alla rete di gestione
deve essere protetto con crittografia e autenticazione a
due fattori;
• le modifiche delle configurazioni di componenti di rete
attivi devono essere effettuate conformemente alla
gestione della configurazione e delle modifiche;
• le configurazioni possono essere trasmesse solo in
modalità protetta;
• eventuali dati d’accesso devono essere salvati nelle
configurazioni in modalità protetta;
• tutti i componenti devono disporre di meccanismi per
disattivare interfacce, moduli e funzioni inutilizzati.
13.1.5 A tutte le comunicazioni in rete si applicano i requisiti FP T
(13.1.2) indicati nel documento «Si003 - Sicurezza delle reti
nell’Amministrazione federale»25, in particolare alle
comunicazioni con Internet.
25
intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Si003 - Sicurezza delle reti
nell’Amministrazione federale.
17/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
13.1.6 Tutti i protocolli di comunicazione (logfile e proxy log) di FP O
(13.1.2, passaggi di rete (firewall e gateway) devono essere
12.4.1) conservati per 2 anni e valutati secondo le regole26.
I log devono essere protetti contro successive
manipolazioni.
13.1.7 La confidenzialità e l’integrità di dati sensibili (ad es. dati di FP T
(13.1.2, autenticazione) devono essere protette nella trasmissione
13.2) attraverso reti.
13.1.8 Nella revisione del 2015 il requisito è stato soppresso ed è
stato integrato nel requisito 7.1.7.
13.1.9 Nella revisione del 2018 il requisito è stato soppresso. - -
13.1.10 I siti Internet della Confederazione liberamente accessibili FP T
devono essere protetti mediante i certificati SSL/TLS
(13.2.1)
(HTTPS). I rispettivi certificati sono ottenibili come descritto
al requisito 10.1.3. I moduli presenti su questi siti Internet
devono essere protetti contro eventuali attacchi automatici
(ad es. mediante CAPTCHA).
14 Acquisto, sviluppo e manutenzione di sistemi informatici (14)
14.1 Requisiti in materia di sicurezza per i sistemi informatici (14.1)
N. Requisito Responsabile Tipo
dell’attuazione
14.1.1 Le periferiche (ad es. tastiere, stampanti o sistemi di FP T
(14.1.1) presentazione) che devono essere integrate o installate
(driver), devono essere acquistate dai servizi d’acquisto
della Confederazione27.
L’integrabilità e la sicurezza devono essere previamente
chiarite dal servizio d’acquisto del FP.
Per quanto riguarda l’utilizzo di apparecchi periferici privati
durante il lavoro mobile si applicano le rispettive direttive
delle applicazioni.
14.1.2 Per quanto riguarda la fornitura e la prima installazione di FP T
(9.2.4) componenti di applicazioni e sistemi, gli account, le
password iniziali, i privilegi o i diritti d’accesso predefiniti
devono essere controllati immediatamente ed
eventualmente modificati o rimossi.
14.1.3 Le impostazioni di sicurezza informatica possono essere FP T
(14.1.1) riconfigurate, disinstallate o disattivate solo previa
autorizzazione.
26
Al riguardo vedi l’ordinanza del 22.2.2012 sul trattamento di dati personali derivanti dall’utilizzazione
dell’infrastruttura elettronica della Confederazione, RS 172.010.442.
27
Al riguardo vedi anche la decisione, disponibile solo in tedesco, «A-IS-Beschluss 66.10: Minimale
Sicherheitsanforderungen», applicabile a dispositivi per la trasmissione o la copia di documenti nel settore della
burotica (scanner, stampanti, fax, fotocopiatrici o una combinazione di essi, spesso definiti anche apparecchi
multifunzione).
18/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
14.1.4 Ogni sistema può avere solo una configurazione minima, FP T
necessaria per il suo funzionamento (per quanto riguarda il
(14.1.1)
software, i servizi, gli account e il pannello di controllo), al
fine di ridurre al minimo le aree vulnerabili agli attacchi. A
seconda del bisogno di protezione e dell’ambiente, sono
opportune misure di protezione avanzata. È necessario
prevedere una gestione centralizzata della configurazione.
Le deroghe devono essere documentate per scritto e
devono essere approvate dall’ISIU del FP e del BP
competente.
14.2 Dati di prova (14.3)
N. Requisito Responsabile Tipo
dell’attuazione
14.2.1 I dati di prova devono essere protetti in funzione della loro FP T
(14.3.1) classificazione.
Se è indispensabile che i dati produttivi vengano utilizzati a
fini sperimentali, essi devono essere protetti in base alla
loro classificazione.
15 Relazione con i fornitori (15)
15.1 Regolamentazione della fornitura di prestazioni da parte di terzi (15.2)
N. Requisito Responsabile Tipo
dell’attuazione
15.1.1 Per quanto riguarda le prestazioni di servizi fornite da terzi, BP O
(15.1, i requisiti in materia di sicurezza informatica della
15.2, Confederazione devono essere disciplinati in modo
18.1.1, vincolante e contrattualmente.
18.1.2) Il relativo consenso dell’autorità preposta deve essere
acquisito conformemente alle procedure specifiche
dell’Ufficio o del dipartimento28.
28
Il documento «Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso in
relazione all’articolo 320 CP» contiene una base per le procedure di ottenimento del consenso specifiche
all’organizzazione. Vedi intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base
> Si001 - Hi04: Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso.
19/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
15.2 Rischi in materia di violazione del segreto d’ufficio (15.2)
N. Requisito Responsabile Tipo
dell’attuazione
15.2.1 La rivelazione di segreti d’ufficio a fornitori esterni di TIC BP O
(15.2, deve essere ridotta al minimo.
7.1.1) Devono essere adottate le seguenti misure:
• l’assistenza remota sui sistemi TIC avviene
possibilmente via jump server. Se occorre, essa viene
attivata manualmente e fornita soltanto per il tempo
necessario;
• l’assistenza remota deve essere monitorata
(registrazione e/o principio del doppio controllo);
• le connessioni per l’assistenza remota devono essere
crittografate;
• i dati possono essere consegnati solo previa procedura
di autorizzazione o solo dal proprietario dei dati;
• deve essere possibile controllare i processi
esternalizzati.
Il relativo consenso dell’autorità preposta o, se possibile,
del titolare dei dati, deve essere acquisito secondo le
procedure specifiche dell’Ufficio o del dipartimento29.
Ulteriori requisiti sono descritti nel documento «Direttive
per evitare i rischi di violazione del segreto d’ufficio
nell’Amministrazione federale»30.
16 Come comportarsi in caso di incidenti riguardanti la sicurezza delle
informazioni (16)
Nr. Requisito Responsabile Tipo
dell’attuazione
16.1 Devono essere sviluppati dei piani per poter reagire in BP O
(16.1) modo adeguato in caso di incidente legato alla sicurezza
riferito all’oggetto informatico da proteggere.31
16.2 In caso di incidenti o di lacune riguardanti la sicurezza che FP O
(15.2, lo riguardano, il FP deve informare immediatamente il
16.1) beneficiario delle sue prestazioni. I dati riguardanti lo
storico degli eventi corrispondenti devono essere messi a
disposizione del BP per effettuare analisi.
29
Il documento «Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso in
relazione all’articolo 320 CP» costituisce la base per le procedure di ottenimento del consenso specifiche
all’organizzazione. Vedi intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base
> Si001 - Hi04: Raccomandazione per l’applicazione operativa della procedura di ottenimento del consenso.
30
Vedi intranet.ncsc.admin.ch, Direttive e ausili > Procedura di sicurezza > Protezione di base > Si001-Hi03 -
Direttive per evitare i rischi di violazione del segreto d’ufficio nell’Amministrazione federale.
31
Il requisito deve essere conforme al processo per l’elaborazione degli incidenti riguardanti la sicurezza (SVBP)
dell’UA.
20/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
17 Garanzia dell’operatività (17)
17.1 Continuità della sicurezza delle informazioni (17.1)
N. Requisito Responsabile Tipo
dell’attuazione
17.1.1 In base alle esigenze dell’oggetto informatico da LB O
(11.2.2, proteggere, devono essere sviluppati, documentati e attuati
17.1, piani per garantire e ripristinare l’operatività dell’oggetto
17.2) stesso in caso di guasti, emergenze e catastrofi (ITSCM).
Devono essere definite misure per garantire i processi
operativi critici (Business Continuity Management, BCM)32.
3 Ulteriori aspetti riguardanti la protezione di base delle
TIC
3.1 Condizioni quadro principali
3.1.1 Archiviazione
I requisiti per l’archiviazione di informazioni elettroniche si fondano sulle direttive dell’Archivio
federale (legge del 26 giugno 1988 sull’archiviazione, LGA33). Quest’ultimo coordina la
gestione degli atti e sostiene le unità organizzative nella sua attuazione.
3.1.2 Basi giuridiche, protezione dei dati e sicurezza delle informazioni
Ai sensi dell’articolo 13 della Costituzione federale svizzera e delle disposizioni legali della
Confederazione sulla protezione dei dati ognuno ha diritto al rispetto della sua sfera privata
nonché d’essere protetto da un impiego abusivo dei suoi dati personali. Le autorità federali si
attengono a queste disposizioni.
Le esigenze in materia di protezione dei dati sono disciplinate nella legge federale del
19 giugno 199234 sulla protezione dei dati (LPD) e nell’ordinanza del 14 giugno 199335
relativa alla legge federale sulla protezione dei dati (OLPD).
Gli articoli 4 capoverso 1 e 14 capoverso 3 OCiber sono parte integrante di una base corretta
per un progetto TIC.
3.1.3 Controllo federale delle finanze
Il Controllo federale delle finanze è l’organo superiore di vigilanza finanziaria della
Confederazione e orienta la sua attività di verifica alla legge del 28 giugno 196736 sul
Controllo delle finanze (LCF).
3.1.4 UFCL, armasuisse
Uno dei principali compiti dell’Ufficio federale delle costruzioni e della logistica (UFCL)
consiste nella sistemazione logistica degli edifici dell’Amministrazione federale civile.
32
Il presente requisito deve essere conforme al BCM dell’UA.
33
RS 152.1.
34
RS 235.1.
35
RS 235.11.
36
RS 614.0.
21/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
L’obiettivo è collocare il maggiore numero possibile di UA in immobili di proprietà della
Confederazione. A tal fine, l’UFCL emana le prescrizioni tecniche ed edilizie in
collaborazione con il Servizio federale di sicurezza (SFS).
Armasuisse è responsabile per conto del Dipartimento federale della difesa, della protezione
della popolazione e dello sport (DDPS) degli immobili della Confederazione e della loro
conformità alle disposizioni edilizie.
3.1.5 Servizio specializzato CSP37 DDPS e CSP CaF
Il servizio specializzato per i controlli di sicurezza relativi alle persone in seno al DDPS
(servizio specializzato CSP DDPS) esegue i controlli di sicurezza secondo gli articoli 10, 11 e
12 capoverso 1 OCSP in collaborazione con gli organi di sicurezza della Confederazione e
dei Cantoni.
Il servizio specializzato per i controlli di sicurezza relativi alle persone in seno alla Cancelleria
federale (servizio specializzato CSP CaF) esegue i controlli di sicurezza secondo l’articolo 12
capoverso 2 OCSP con il sostegno del servizio specializzato CSP DDPS.
3.2 Entrata in vigore e aggiornamento continuo
Le direttive dell’NCSC sulla protezione di base delle TIC entrano in vigore il 1° aprile 2021.
L’NCSC esamina periodicamente l’attualità di queste direttive come pure delle disposizioni di
esecuzione. La versione più aggiornata è disponibile sul sito Internet dell’NCSC.
3.3 Definizione degli oggetti informatici da proteggere
Gli oggetti informatici da proteggere sono applicazioni, servizi, sistemi, reti, collezioni di dati,
infrastrutture e prodotti informatici che devono essere impiegati nell’Amministrazione
federale e quindi essere protetti. Di conseguenza vengono trattati nelle istruzioni (art. 3
lett. h OCiber).
Nella definizione e delimitazione di un oggetto informatico da proteggere si devono
considerare gli aspetti operativi e organizzativi. Se necessario, devono essere definiti più
oggetti informatici da proteggere in modo che, con la consegna del progetto per l’attivazione,
le responsabilità possano essere trasferite interamente e in modo univoco alle organizzazioni
operative competenti. È possibile che un oggetto da proteggere di livello superiore contenga
vari oggetti, purché siano affini e richiedano la stessa protezione.
3.4 Portafoglio TIC
La documentazione sulla sicurezza delle applicazioni deve essere tenuta a livello centrale.
Nel portafoglio TIC (Cockpit TIC)38, per ogni applicazione indicata deve essere riportato
almeno il link al rispettivo archivio.
37
Art. 3 OCSP.
38
Cfr. n. 2.2 cpv. 5 del documento «W007 - Istruzioni del Consiglio federale del 16.3.2018 concernenti i progetti
TIC dell’Amministrazione federale e il portafoglio TIC della Confederazione».
22/25Si001 – Protezione di base delle TIC nell’Amministrazione federale
3.5 Abbreviazioni e termini utilizzati
Abbreviazione Spiegazione
AF Amministrazione federale
BP Beneficiario di prestazioni
CA Certification Authority
FP Fornitore di prestazioni
https Hypertext Transfer Protocol Secure
ID Identificatore
ISID Incaricato della sicurezza informatica del dipartimento
ISIU Incaricato della sicurezza informatica dell’unità amministrativa
MDM Mobile Device Management
NCSC Centro nazionale per la cibersicurezza
OCiber Ordinanza sui ciber-rischi
OCSP Ordinanza sui controlli di sicurezza relativi alle persone
OWASP Open Web Application Security Project
PIN Personal Identification Number (numero d’identificazione personale)
PKI Public Key Infrastructure (infrastruttura a chiave
pubblica)http://de.wikipedia.org/wiki/Public-Key-Infrastruktur
SIPD Piano per la sicurezza dell’informazione e la protezione dei dati
SSL Secure Sockets Layer
TIC Tecnologie dell’informazione e della telecomunicazione
TLS Transport Layer Security
UA Unità amministrativa
UFCL Ufficio federale delle costruzioni e della logistica
UT Utente
Termine Accezione
Dati Nel presente documento il termine «dati» è utlizzato nell’accezione
generica. Comprende sia i dati personali sia altri dati, come i dati
registrati, collezioni di dati non personali ecc. Se una prescrizione è
applicabile esclusivamente a dati personali, si preferirà questo termine.
Analisi del Rilevamento dei requisiti di sicurezza degli oggetti informatici da
bisogno di proteggere.
protezione
Piano per la Descrizione delle misure di sicurezza e della loro attuazione per gli
sicurezza oggetti informatici da proteggere nonché descrizione dei rischi residui.
dell’informazione
e la protezione
dei dati
(piano SIPD)
Rete Infrastruttura che permette la comunicazione tra diversi sistemi
informatici.
Dominio (di rete) Unione logica di sistemi informatici che si contraddistinguono per
requisiti di sicurezza simili e soggiacciono alla medesima linea di
condotta applicabile al dominio di rete.
Linea di Descrizione redatta dal proprietario di un dominio di rete relativa ai
condotta requisiti e alle direttive riguardanti i sistemi informatici del dominio, il
applicabile al dominio stesso nonché la comunicazione interna ed esterna consentita
dominio di rete per tale dominio.
Modello delle Modello generico utile a definire le zone nell’Amministrazione federale.
23/25Puoi anche leggere
