|
Direttiva del Presidente del consiglio di
ministri 16 gennaio 2002
Dipartimento per
l'innovazione e le tecnologie
Sicurezza informatica e delle
telecomunicazioni nelle pubbliche amministrazioni
statali
A tutte le amministrazioni dello Stato
Alle
aziende ed amministrazioni autonome dello Stato
A
tutti gli enti pubblici non economici nazionali
IL MINISTRO PER L'INNOVAZIONE E LE TECNOLOGIE, DI
INTESA CON IL MINISTRO DELLE COMUNICAZIONI
Visto il decreto legge 12 giugno 2001, n. 217,
recante "Modificazione al decreto legislativo 30 luglio
1999, n. 300, nonché alla legge 23 agosto 1988, n. 400,
in materia di organizzazione del Governo", convertito,
con modificazioni, dalla legge 3 agosto 2001, n. 317, ed
in particolare l'articolo 6 del
decreto-legge;
Visto il decreto del
Presidente del Consiglio dei ministri 9 agosto 2001,
recante "delega di funzioni del Presidente del Consiglio
dei Ministri in materia di innovazione e tecnologie al
Ministro senza portafoglio dott. Lucio Stanca";
Visto il decreto del Presidente del
Consiglio dei Ministri 27 settembre 2001, recante
"Istituzione del Dipartimento per l'innovazione e le
tecnologie";
EMANA
la seguente direttiva:
Sicurezza nelle tecnologie dell'informazione e
della comunicazione
Le informazioni gestite
dai sistemi informativi pubblici costituiscono una
risorsa di valore strategico per il governo del
Paese.
Questo patrimonio deve essere
efficacemente protetto e tutelato al fine di prevenire
possibili alterazioni sul significato intrinseco delle
informazioni stesse. E' noto infatti che esistono
minacce di intrusione e possibilità di divulgazione non
autorizzata di informazioni, nonché di interruzione e di
distruzione del servizio.
Lo stesso processo di
innovazione tecnologica produce da un lato strumenti più
sofisticati di "attacco", ma d'altro lato idonei
strumenti di difesa e protezione.
Assume quindi
importanza fondamentale valutare il rischio connesso con
la gestione delle informazione e dei
sistemi.
Inoltre per poter operare in un mondo
digitale sempre più aperto, le pubbliche amministrazione
devono essere in grado di presentare credenziali di
sicurezza nelle informazioni conformi agli standard
internazionali di riferimento.
Nell'ambito delle
rispettive responsabilità il Ministro per l'innovazione
e le tecnologie ed il Ministro delle comunicazioni sono
quindi chiamati ad interpretare il tema
rischio-sicurezza non solo nell'ottica della riduzione
della vulnerabilità, per garantire integrità e
affidabilità dell'informazione pubblica, ma anche al
fine di creare e mantenere una posizione primaria a
livello europeo.
Si raccomanda pertanto a tutte
le pubbliche amministrazioni in indirizzo di avviare
nell'immediato alcune azioni prioritarie tali da
consentire il conseguimento di un primo importante
risultato di allineamento ad una "base minima di
sicurezza", attraverso:
1) una rapida
autodiagnosi, sulla base dell'allegato 1, del livello di adeguatezza
della Sicurezza Informatica e delle Telecomunicazioni
(ICT), con particolare riferimento alla dimensione
organizzativa operativa e conoscitiva della
sicurezza;
2) l'attivazione delle necessarie
iniziative per posizionarsi sulla "base minima di
sicurezza", definita nell'allegato 2, che consenta di costruire
con un approccio unitario e condiviso, le fondamenta
della sicurezza della pubblica amministrazione.
Tali
fondamenta non pretendono di rappresentare una risposta
completa ed esaustiva, ma vogliono fornire una serie di
indicazioni tecnico-operative utili per avviare la
Pubblica Amministrazione verso la concreta soluzione dei
principali problemi di sicurezza e, nel contempo,
gettare le basi per lo sviluppo di un vero e proprio
sistema nazionale di sicurezza ICT della pubblica
amministrazione.
Nel frattempo a tal fine il
Dipartimento per l'innovazione per le tecnologie della
Presidenza del Consiglio dei Ministri ed il Ministero
delle comunicazioni stanno promovendo la predisposizione
del programma di azione del Governo per la sicurezza ICT
da sottoporre alla attenzione delle pubbliche
amministrazioni, articolato sulle seguenti
linee:
1) promuovere la creazione e la
successiva attivazione di un modello organizzativo
nazionale di sicurezza ICT che comprenda tutti gli
organi istituzionali, scientifici ed accademici
deputati, ciascuno per il proprio ruolo, ad assicurare
organicità e completezza al tema sicurezza;
2)
costituire un Comitato nazionale della sicurezza ICT per
indirizzare, guidare e coordinare le varie iniziative
connesse con il raggiungimento degli standard di
sicurezza che verranno definiti;
3) definire
uno schema nazionale di riferimento della sicurezza
sviluppando linee guida, direttive, standard, nonché i
processi di accreditamento e di
certificazione;
4) formulare il Piano
nazionale della sicurezza ICT della pubblica
amministrazione;
5) realizzare la
certificazione di sicurezza ICT nella pubblica
amministrazione.
Data l'importanza ed attualità
del tema in oggetto e nella consapevolezza del grande
impegno richiesto in termini di competenze e risorse da
mobilitare si raccomanda tutte le pubbliche
amministrazioni di agire con la massima priorità ed
urgenza per quanto riguarda le azioni immediate
preventivamente descritte.
Roma, 16 gennaio 2002
Il Ministro per l'innovazione e le
tecnologie |
