|
Direttiva del Presidente del Consiglio dei ministri 16 gennaio
2002
Dipartimento per l'innovazione e le tecnologie
Sicurezza Informatica e delle Telecomunicazioni
nelle Pubbliche Amministrazioni Statali
A tutte le Amministrazioni dello Stato
Alle aziende ed amministrazioni autonome dello Stato
A tutti gli enti pubblici non economici nazionali
IL MINISTRO PER L'INNOVAZIONE E LE TECNOLOGIE, DI INTESA CON IL MINISTRO
DELLE COMUNICAZIONI
Visto il decreto legge 12 giugno 2001, n. 217, recante "Modificazione al
decreto legislativo 30 luglio 1999, n. 300, nonché alla legge 23 agosto 1988,
n. 400, in materia di organizzazione del Governo", convertito, con
modificazioni, dalla legge 3 agosto 2001, n. 317, ed in particolare l'articolo 6
del decreto-legge;
Visto il decreto del Presidente del Consiglio dei ministri 9 agosto 2001,
recante "delega di funzioni del Presidente del Consiglio dei Ministri in
materia di innovazione e tecnologie al Ministro senza portafoglio dott. Lucio
Stanca";
Visto il decreto del Presidente del Consiglio dei Ministri 27 settembre 2001,
recante "Istituzione del Dipartimento per l'innovazione e le
tecnologie";
EMANA
la seguente direttiva:
Sicurezza nelle tecnologie dell'informazione e della comunicazione
Le informazioni gestite dai sistemi informativi pubblici costituiscono una
risorsa di valore strategico per il governo del Paese.
Questo patrimonio deve essere efficacemente protetto e tutelato al fine di
prevenire possibili alterazioni sul significato intrinseco delle informazioni
stesse. E' noto infatti che esistono minacce di intrusione e possibilità di
divulgazione non autorizzata di informazioni, nonché di interruzione e di
distruzione del servizio.
Lo stesso processo di innovazione tecnologica produce da un lato strumenti più
sofisticati di "attacco", ma d'altro lato idonei strumenti di difesa e
protezione.
Assume quindi importanza fondamentale valutare il rischio connesso con la
gestione delle informazione e dei sistemi.
Inoltre per poter operare in un mondo digitale sempre più aperto, le pubbliche
amministrazione devono essere in grado di presentare credenziali di sicurezza
nelle informazioni conformi agli standard internazionali di riferimento.
Nell'ambito delle rispettive responsabilità il Ministro per l'innovazione e le
tecnologie ed il Ministro delle comunicazioni sono quindi chiamati ad
interpretare il tema rischio-sicurezza non solo nell'ottica della riduzione
della vulnerabilità, per garantire integrità e affidabilità dell'informazione
pubblica, ma anche al fine di creare e mantenere una posizione primaria a
livello europeo.
Si raccomanda pertanto a tutte le pubbliche amministrazioni in indirizzo di
avviare nell'immediato alcune azioni prioritarie tali da consentire il
conseguimento di un primo importante risultato di allineamento ad una "base
minima di sicurezza", attraverso:
1) una rapida autodiagnosi, sulla base dell'allegato 1, del
livello di adeguatezza della Sicurezza Informatica e delle Telecomunicazioni (ICT),
con particolare riferimento alla dimensione organizzativa operativa e
conoscitiva della sicurezza;
2) l'attivazione delle necessarie iniziative per posizionarsi sulla "base
minima di sicurezza", definita nell'allegato 2, che
consenta di costruire con un approccio unitario e condiviso, le fondamenta della
sicurezza della pubblica amministrazione.
Tali fondamenta non pretendono di rappresentare una risposta completa ed
esaustiva, ma vogliono fornire una serie di indicazioni tecnico-operative utili
per avviare la Pubblica Amministrazione verso la concreta soluzione dei
principali problemi di sicurezza e, nel contempo, gettare le basi per lo
sviluppo di un vero e proprio sistema nazionale di sicurezza ICT della pubblica
amministrazione.
Nel frattempo a tal fine il Dipartimento per l'innovazione per le tecnologie
della Presidenza del Consiglio dei Ministri ed il Ministero delle comunicazioni
stanno promovendo la predisposizione del programma di azione del Governo per la
sicurezza ICT da sottoporre alla attenzione delle pubbliche amministrazioni,
articolato sulle seguenti linee:
1) promuovere la creazione e la successiva attivazione di un modello
organizzativo nazionale di sicurezza ICT che comprenda tutti gli organi
istituzionali, scientifici ed accademici deputati, ciascuno per il proprio
ruolo, ad assicurare organicità e completezza al tema sicurezza;
2) costituire un Comitato nazionale della sicurezza ICT per indirizzare, guidare
e coordinare le varie iniziative connesse con il raggiungimento degli standard
di sicurezza che verranno definiti;
3) definire uno schema nazionale di riferimento della sicurezza sviluppando
linee guida, direttive, standard, nonché i processi di accreditamento e di
certificazione;
4) formulare il Piano nazionale della sicurezza ICT della pubblica
amministrazione;
5) realizzare la certificazione di sicurezza ICT nella pubblica amministrazione.
Data l'importanza ed attualità del tema in oggetto e nella consapevolezza del
grande impegno richiesto in termini di competenze e risorse da mobilitare si
raccomanda tutte le pubbliche amministrazioni di agire con la massima priorità
ed urgenza per quanto riguarda le azioni immediate preventivamente descritte.
Roma, 16 gennaio 2002
|
Pagina stampabile
