GAZZETTA UFFICIALE SERIE GENERALE N. 69 DEL 22/3/2002
PRESIDENZA DEL CONSIGLIO DEI MINISTRI
DIPARTIMENTO PER L'INNOVAZIONE E LE TECNOLOGIE
DIRETTIVA 16 gennaio 2002
Sicurezza informatica e delle telecomunicazioni nelle pubbliche
amministrazioni.
A tutte le amministrazioni dello
Stato
Alle aziende ed amministrazioni
autonome dello Stato
A tutti gli enti pubblici non
economici nazionali
IL MINISTRO PER L'INNOVAZIONE E LE TECNOLOGIE di intesa con IL
MINISTRO DELLE COMUNICAZIONI
Visto il decreto-legge 12 giugno 2001, n. 217, recante
"Modificazione al decreto legislativo 30 luglio 1999, n. 300, nonche'
alla legge 23 agosto 1988, n. 400, in materia di organizzazione del
Governo", convertito, con modificazioni, dalla legge 3 agosto 2001,
n. 317, ed in particolare l'art. 6 del decreto-legge;
Visto il decreto del Presidente del Consiglio dei Ministri
9 agosto 2001, recante "Delega di funzioni del Presidente del
Consiglio dei Ministri in materia di innovazione e tecnologie al
Ministro senza portafoglio dott. Lucio Stanca";
Visto il decreto del Presidente del Consiglio dei Ministri
27 settembre 2001, recante "Istituzione del Dipartimento per
l'innovazione e le tecnologie";
E m a n a
la seguente direttiva:
Sicurezza nelle tecnologie dell'informazione e della comunicazione
Le informazioni gestite dai sistemi informativi pubblici
costituiscono una risorsa di valore strategico per il governo del
Paese;
Questo patrimonio deve essere efficacemente protetto e tutelato
al fine di prevenire possibili alterazioni sul significato intrinseco
delle informazioni stesse. E' noto infatti che esistono minacce di
intrusione e possibilita' di divulgazione non autorizzata di
informazioni, nonche' di interruzione e di distruzione del servizio.
Lo stesso processo di innovazione tecnologica produce da un lato
strumenti piu' sofisticati di "attacco", ma d'altro lato idonei
strumenti di difesa e protezione.
Assume quindi importanza fondamentale valutare il rischio
connesso con la gestione delle informazioni e dei sistemi.
Inoltre per poter operare in un mondo digitale sempre piu'
aperto, le pubbliche amministrazioni devono essere in grado di
presentare credenziali di sicurezza nelle informazioni conformi agli
standard internazionali di riferimento.
Nell'ambito delle rispettive responsabilita' il Ministro per
l'innovazione e le tecnologie ed il Ministro delle comunicazioni sono
quindi chiamati ad interpretare il tema rischio-sicurezza non solo
nell'ottica della riduzione della vulnerabilita', per garantire
integrita' e affidabilita' dell'informazione pubblica, ma anche al
fine di creare e mantenere una posizione primaria a livello europeo.
Si raccomanda pertanto a tutte le pubbliche amministrazioni in
indirizzo di avviare nell'immediato alcune azioni prioritarie tali da
consentire il conseguimento di un primo importante risultato di
allineamento ad una "base minima di sicurezza", attraverso:
1) una rapida autodiagnosi, sulla base dell'allegato 1, del
livello di adeguatezza della Sicurezza informatica e delle
telecomunicazioni (ICT), con particolare riferimento alla dimensione
organizzativa operativa e conoscitiva della sicurezza;
2) l'attivazione delle necessarie iniziative per posizionarsi
sulla "base minima di sicurezza", definita nell'allegato 2, che
consenta di costruire con un approccio unitario e condiviso, le
fondamenta della sicurezza della pubblica amministrazione.
Tali fondamenta non pretendono di rappresentare una risposta
completa ed esaustiva, ma vogliono fornire una serie di indicazioni
tecnico-operative utili per avviare la pubblica amministrazione verso
la concreta soluzione dei principali problemi di sicurezza e, nel
contempo, gettare le basi per lo sviluppo di un vero e proprio
sistema nazionale di sicurezza ICT della pubblica amministrazione.
Nel frattempo a tal fine il Dipartimento per l'innovazione per le
tecnologie della Presidenza del Consiglio dei Ministri ed il
Ministero delle comunicazioni stanno promovendo la predisposizione
del programma di azione del Governo per la sicurezza ICT da
sottoporre alla attenzione delle pubbliche amministrazioni,
articolato sulle seguenti linee:
1) promuovere la creazione e la successiva attivazione di un
modello organizzativo nazionale di sicurezza ICT che comprenda tutti
gli organi istituzionali, scientifici ed accademici deputati,
ciascuno per il proprio ruolo, ad assicurare organicita' e
completezza al tema sicurezza;
2) costituire un comitato nazionale della sicurezza ICT per
indirizzare, guidare e coordinare le varie iniziative connesse con il
raggiungimento degli standard di sicurezza che verranno definiti;
3) definire uno schema nazionale di riferimento della sicurezza
sviluppando linee guida, direttive, standard, nonche' i processi di
accreditamento e di certificazione;
4) formulare il piano nazionale della sicurezza ICT della
pubblica amministrazione;
5) realizzare la certificazione di sicurezza ICT nella pubblica
amministrazione.
Data l'importanza ed attualita' del tema in oggetto e nella
consapevolezza del grande impegno richiesto in termini di competenze
e risorse da mobilitare si raccomanda tutte le pubbliche
amministrazioni di agire con la massima priorita' ed urgenza per
quanto riguarda le azioni immediate preventivamente descritte.
Roma, 16 gennaio 2002
Il Ministro per l'innovazione e le tecnologie: Stanca
Registrato alla Corte dei conti il 26 febbraio 2002
Ministeri istituzionali, Presidenza del Consiglio dei Ministri,
registro n. 2, foglio n. 201
Allegato1 Allegato16 Allegato2 Allegato17 Allegato3 Allegato18 Allegato4 Allegato19 Allegato5 Allegato20 Allegato6 Allegato21 Allegato7 Allegato22 Allegato8 Allegato23 Allegato9 Allegato24 Allegato10 Allegato25 Allegato11 Allegato26 Allegato12 Allegato27 Allegato13 Allegato28 Allegato14 Allegato29 Allegato15 Allegato30
Allegato
PROTOCOLLO DI INTESA
SICUREZZA ICT
Le informazioni gestite dai sistemi informativi delle pubbliche
amministrazioni centrali e locali costituiscono una grande risorsa
del Paese sia per il valore strategico di Governo sia come una grande
potenzialita' di sviluppo economico.
Questo patrimonio deve essere opportunamente protetto e tutelato
anche alla luce dei piani di digitalizzazione delle pubbliche
amministrazioni che costituiscono uno dei punti chiave degli
obiettivi di Governo.
Assume quindi importanza fondamentale avviare un piano della
sicurezza ICT che veda coinvolte sia le amministrazioni pubbliche sia
il Paese nella sua globalita' e che risponda a requisiti
internazionali di affidabilita' e di gestione del rischio.
A tal fine il Ministro delle comunicazioni e il Ministro per
l'innovazione e le tecnologie predisporranno programmi congiunti in
cui:
il Ministro delle comunicazioni svolgera' un ruolo di indirizzo
e monitoraggio nell'ambito delle proprie funzioni;
il Ministro per l'innovazione e le tecnologie svolgera' le
funzioni di pianificazione e implementazione che gli sono proprie;
Allo scopo i Ministri incaricano l'avv. Massimo Condemi e l'ing.
Mario Pelosi a predisporre proposte e iniziative ai fini della
definizione del piano nazionale della sicurezza ICT.
Nel frattempo i Ministri promuovono la diffusione della direttiva
della Presidenza del Consiglio dei Ministri concernente la sicurezza
ICT per le PA, adottata d'intesa tra i Ministri stessi.
