L’AgID pubblica le misure minime di sicurezza informatica per le PA

E’ stato pubblicato da AgID il documento che contiene le indicazioni ufficiali per valutare e innalzare il livello di sicurezza informatica delle PA.

agid

E’ stato pubblicato da AgID il documento che contiene le indicazioni ufficiali per valutare e innalzare il livello di sicurezza informatica delle PA.

Il documento anticipa l’emanazione delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione, con l’obiettivo di fornire un riferimento pratico per valutare e migliorare il proprio livello di sicurezza informatica.

Sono introdotti dei livelli di controllo, gli ABSC (AgID Basic Security Control), che dovrebbero essere implementati per ottenere un determinato livello di sicurezza. I livelli sono tre:

  • La prima, “Minimo”, specifica il livello sotto il quale nessuna amministrazione può scendere: i controlli in essa indicati debbono riguardarsi come obbligatori.
  • La seconda, “Standard”, può essere assunta come base di riferimento nella maggior parte dei casi
  • La terza, “Alto”, può riguardarsi come un obiettivo a cui tendere.

Queste le classi di controlli:

ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l’inventario) in modo che l’accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro impedito l’accesso

ABSC 2 (CSC 2): INVENTARIO DEI SOFTWARE AUTORIZZATI E NON AUTORIZZATI Gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla rete in modo che sia installato ed eseguito solo software autorizzato, mentre il software non autorizzato e non gestito sia individuato e ne venga impedita l’installazione o l’esecuzione

ABSC 3 (CSC 3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER Istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni.

ABSC 4 (CSC 4): VALUTAZIONE E CORREZIONE CONTINUA DELLA VULNERABILITÀ Acquisire, valutare e intraprendere continuamente azioni in relazione a nuove informazioni allo scopo di individuare vulnerabilità, correggere e minimizzare la finestra di opportunità per gli attacchi informatici.

ABSC 5 (CSC 5): USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE Regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi

ABSC 8 (CSC 8): DIFESE CONTRO I MALWARE Controllare l’installazione, la diffusione e l’esecuzione di codice maligno in diversi punti dell’azienda, ottimizzando al tempo stesso l’utilizzo dell’automazione per consentire il rapido aggiornamento delle difese, la raccolta dei dati e le azioni correttive.

ABSC 10 (CSC 10): COPIE DI SICUREZZA Procedure e strumenti necessari per produrre e mantenere copie di sicurezza delle informazioni critiche, così da consentirne il ripristino in caso di necessità.

ABSC 13 (CSC 13): PROTEZIONE DEI DATI Processi interni, strumenti e sistemi necessari per evitare l’esfiltrazione dei dati, mitigarne gli effetti e garantire la riservatezza e l’integrità delle informazioni rilevanti

Qui maggiori informazioni:

Documento AgId sulle misure minime di sicurezza

Per maggiori informazioni sui servizi di Kibernetes, per affiancarti nelle sfide quotidiane, scrivi a info@kibernetes.it.

Seguici su Facebook, Twitter o Linkedin, oppure iscriviti alla nostra newsletter.