[Personaleta] Adozione degli standard minimi di prevenzione e reazione a eventi cibernetici

[personaleta a list.uniparthenope.it]

Gent.mi,

Vi rendo noto che la Direttiva del 1° agosto 2015 del Presidente del 
Consiglio dei ministri impone l’adozione di standard minimi di 
prevenzione e reazione a eventi cibernetici. Al fine di agevolare tale 
processo, è stata individuata nell’Agenzia per l’Italia digitale (di 
seguito AgID) l’organismo che avrebbe dovuto rendere disponibili gli 
indicatori degli standard di riferimento.
Tali indicazioni sono state fornite con l’Allegato I della Circolare 18 
aprile 2017, n. 2/2017.
Nello specifico sono stati forniti i seguenti Agid Basic Security Control:
·       .       ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E 
NON AUTORIZZATI
  ·         ABSC 2 (CSC 2): INVENTARIO DEI SOFTWARE AUTORIZZATI E NON 
AUTORIZZATI
  ·         ABSC 3 (CSC 3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E 
SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER
  ·         ABSC 4 (CSC 4): VALUTAZIONE E CORREZIONE CONTINUA DELLA 
VULNERABILITÀ
  ·         ABSC 5 (CSC 5): USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE
  ·         ABSC 8 (CSC 8): DIFESE CONTRO I MALWARE
  ·         ABSC 10 (CSC 10): COPIE DI SICUREZZA
  ·         ABSC 13 (CSC 13): PROTEZIONE DEI DATI
*Attualmente la strumentazione fornita al PTA risulta essere non 
corrispondente a nessuno di questi dettami.* In particolare, tutti gli 
utenti godono dei privilegi di amministrazione indipendentemente dalla 
necessità operativa di modificare le configurazioni delle macchine.
*Questo stato di cose espone la rete di Ateneo *alle sempre più evolute 
minacce cibernetiche che possono compromettere il funzionamento dei 
sistemi informatici. Infatti, elemento comune e caratteristico degli 
attacchi più pericolosi è l’assunzione del controllo remoto della 
macchina attraverso una scalata ai privilegi.
Senza dimenticare la protezione dei dati, in considerazione del fatto 
che l’obiettivo principale degli attacchi più gravi è la sottrazione di 
informazioni.
In questo contesto, e in ottemperanza agli indicatori di cui sopra, si 
sta  procedendo alla pianificazione e all'avvio delle attività di messa 
a dominio delle macchine a disposizione del PTA che, tra tutte, 
garantiranno l’utilizzo di configurazioni standard limitando i privilegi 
di amministrazione ai soli utenti che abbiano le competenze adeguate e 
la necessità operativa di modificare la configurazione dei sistemi 
assegnando a ciascuna utenza PTA solo i privilegi necessari per svolgere 
le attività previste per essa e la messa in sicurezza dell’intera 
infrastruttura.
Si chiede pertanto la massima collaborazione.
Il Responsabile per la Transizione al Digitale
Giuseppe Aiello


*RIFERIMENTI normativi*
  - art. 14 /-bis /del decreto legislativo 7 marzo 2005, n. 82, di 
seguito C.A.D., al comma 2, lettera /a)/, tra le funzioni attribuite 
all’AgID, prevede, tra l’altro, l’emanazione di regole, standard e guide 
tecniche, nonché di vigilanza e controllo sul rispetto delle norme di 
cui al medesimo C.A.D., anche attraverso l’adozione di atti 
amministrativi generali, in materia di sicurezza informatica.
  - art. 17 del C.A.D.
  - Direttiva del 1° agosto 2015 del Presidente del Consiglio dei ministri
  - Circolare 18 Aprile 2017, n. 2/2017, che sostituisce la circolare 
AgID n. 1/2017 del 17 marzo 2017 (pubblicata nella /Gazzetta Ufficiale 
/n. 79 del 4 aprile 2017).
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://list.uniparthenope.it/pipermail/personaleta/attachments/20240719/12771d6f/attachment.htm>