Art. 21 - Requisiti generali per la sicurezza del SPC

Articolo

Titolo

Requisiti generali per la sicurezza del SPC

Descrizione

1. L'architettura di sicurezza del SPC è volta a consentire:

a. lo sviluppo del SPC come dominio affidabile (trusted), costituito da una federazione di domini di sicurezza in cui diversi soggetti si impegnano reciprocamente ad adottare le misure minime definite nell'ambito del SPC, atte a garantire i livelli di sicurezza necessari all'intero sistema;

b. la corretta individuazione delle responsabilità e degli ambiti di competenza di ciascun soggetto che partecipa all'erogazione di un servizio composto in ambito SPC;

c. la salvaguardia della integrità, disponibilità e riservatezza delle informazioni veicolate o gestite nell'ambito del SPC, nel rispetto dell'autonomia del patrimonio informativo delle singole Amministrazioni;

d. l'attuazione delle misure minime organizzative e tecniche previste dalle vigenti disposizioni in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196; e. l'accesso ai servizi nel rispetto della normativa vigente in materia di autenticazione informatica.

2. La Commissione, sulla base dell'analisi dei rischi cui sono soggetti il patrimonio informativo ed i dati della pubblica amministrazione, emana le linee guida riguardanti le misure di sicurezza e gli standard da adottare.

3. Le misure di sicurezza sono volte ad assicurare reciproche garanzie tra i soggetti operanti in ambito SPC e sono commisurate, oltre che alla entità delle minacce cui è soggetto il patrimonio informativo delle Amministrazioni, alla esigenza di minimizzare i costi complessivi.

4. I documenti della Commissione che definiscono gli indirizzi strategici ed operativi per l'organizzazione e per la sicurezza fisica e logica del SPC, su proposta degli Organismi di attuazione e controllo, sono classificati e gestiti come atti coperti da «segreto d'ufficio», secondo la normativa vigente.

5. La Commissione, allo scopo di verificare la qualità e la sicurezza dei servizi erogati dai fornitori qualificati del SPC, si avvale degli Organismi di attuazione e controllo, secondo i rispettivi ambiti di competenza, per vigilare sul corretto funzionamento del sistema di sicurezza e per il mantenimento nel tempo della conformità dei requisiti di sicurezza alle specifiche di progetto per i servizi certificati. In attuazione degli indirizzi della Commissione: a. il CERT-SPC-C e i CERT-SPC-R, di concerto con gli Organismi di attuazione e controllo, definiscono le metodologie per la prevenzione, il monitoraggio, la gestione e l'analisi degli incidenti di sicurezza, assicurando la coerenza e l'uniformità in tutto il sistema. Il CERT-SPC (CERT-SPC-C e CERT-SPC-R) svolge i seguenti compiti: i. attività di prevenzione degli incidenti informatici, anche mediante la produzione di documenti tecnici e di bollettini di sicurezza sulle minacce e sui potenziali attacchi che potrebbero incombere sul SPC, al fine di migliorare gli standard e i livelli di sicurezza del sistema stesso e ridurre la probabilità di incidenti; ii. analisi degli incidenti di sicurezza e delle azioni intraprese per la loro gestione al fine di proporre eventuali azioni correttive indirizzate a scongiurare il ripetersi del particolare incidente informatico; iii. collaborazione con le analoghe strutture presenti a livello nazionale ed internazionale, nonché con le autorità di polizia competenti; b. gli Organismi di attuazione e controllo, ognuno nell'ambito delle proprie competenze ed ai sensi dell'art. 13, specificano in appositi documenti da sottoporre all'approvazione della Commissione, le modalità di realizzazione del sistema di sicurezza. In particolare: i. definiscono l'architettura, i requisiti e le funzionalità di sicurezza del SPC; ii. individuano ed attuano le metodologie per le attività di analisi e gestione del rischio; iii. indirizzano le scelte infrastrutturali di maggior impatto, mediante la definizione degli opportuni requisiti di sicurezza; iv. definiscono le specifiche e le convenzioni necessarie ad assicurare l'interoperabilità di ciascuna tipologia di certificati digitali utilizzabili in ambito SPC; v. definiscono, con il supporto del CERT-SPC-C e dei CERT-SPC-R, le metodologie di gestione degli incidenti informatici e le modalità di interazione tra i vari soggetti che devono intervenire in tali eventualità.

6. Per le finalità di cui al comma 1, lettera a), concorrono alla realizzazione del sistema di sicurezza, secondo le linee guida della Commissione, una struttura centrale, dedicata al coordinamento, al mantenimento ed alla verifica del livello di sicurezza minimo garantito per l'intero SPC e più strutture locali distribuite, le Unità locali di sicurezza, una per ogni dominio connesso al SPC, con analoghe funzioni limitatamente al singolo dominio. La struttura centrale del sistema di sicurezza SPC, è costituita dal CG-SPC; le Unità locali di sicurezza, sono realizzate, eventualmente, in via sussidiaria dagli Organismi di attuazione e controllo, responsabili di gestire gli aspetti relativi alla sicurezza delle infrastrutture locali connesse al SPC.

7. Il CG-SPC, ha il compito di:

a. definire e predisporre le procedure operative per la gestione della sicurezza della QXN e di tutte le infrastrutture condivise di rete, ai sensi dell'art. 81, comma 1, del Codice;

b. definire e predisporre le procedure operative per la gestione della sicurezza delle altre infrastrutture di rete direttamente e indirettamente collegate, limitatamente ai profili relativi alla connessione alla QXN; alla definizione delle relative procedure operative, in conformità al modello federato, concorrono anche le Unità locali di sicurezza;

c. per le infrastrutture condivise, individuare e attuare, sentiti gli altri Organismi di attuazione e controllo per i rispettivi ambiti di competenza e sulla base delle indicazioni risultanti dall'analisi del rischio, l'insieme di misure di prevenzione e protezione organizzative, operative e tecnologiche finalizzate ad assicurare, nel rispetto della legislazione vigente, la riservatezza, l'integrità e la disponibilità delle informazioni, delle applicazioni e delle comunicazioni ed a garantire la continuità del servizio;

d. misurare il livello di sicurezza del SPC, aggregando e correlando i dati provenienti dalle componenti distribuite del sistema di sicurezza;

e. identificare e coordinare la gestione degli incidenti di sicurezza, in collaborazione con il CERT-SPC-C, anche al fine del contenimento dei danni e del ripristino delle normali condizioni di operatività;

f. notificare alle strutture del CERT-SPC-C, secondo le modalità stabilite nei documenti di cui al comma 5, lettera b), le informazioni relative agli incidenti informatici o a criticità pertinenti lo svolgimento delle attività di rispettiva competenza;

g. fornire periodici rapporti di riepilogo alla Commissione, agli Organismi di attuazione e controllo per consentire lo svolgimento delle rispettive funzioni di competenza;

h. gestire la PKI impiegata nel SPC per l'erogazione dei servizi di sicurezza, comprensiva delle funzioni per il mutuo riconoscimento con altre PKI eventualmente in uso in SPC e conformi alle norme vigenti in materia di certificati digitali. Con riferimento a tale ambito di azione, svolge, in particolare, le seguenti funzioni:

i. Autorità di Registrazione (AR), consistenti nell'acquisire le informazioni necessarie per l'identificazione del titolare di uno o più certificati, secondo gli attributi forniti e specificati nelle regole di registrazione e certificazione (Certification Practices Statement, CPS) stabilite dalla Commissione. Il processo di verifica della correttezza degli attributi forniti, anch'esso basato sulla politica (CPS) stabilita dalla Commissione, caratterizza il livello di sicurezza garantito sul SPC dall'Autorità di certificazione del Gestore Tecnico della PKI SPC;

ii. Autorità di certificazione (CA), responsabile di attuare i processi di certificazione, sospensione e revoca dei certificati;

iii. Gestore delle TCL (Trusted Certificate List), con il compito di raccogliere in modo sicuro i certificati digitali da distribuire, organizzare le opportune liste, autenticare le liste e distribuirle all'interno del SPC.

8. Il CG SICA di cui all'art. 16, comma 5, ha il compito di gestire la PKI impiegata per l'erogazione dei certificati digitali necessari ai servizi di cooperazione applicativa e garantire la gestione su base federata delle identità digitali di cui all'art. 22.

9. L'Unità locale di sicurezza di cui al comma 6 svolge i seguenti compiti, anche avvalendosi dei fornitori qualificati: a. garantire, anche per il tramite di un fornitore qualificato, la realizzazione ed il mantenimento dei livelli di sicurezza previsti per il dominio di competenza; b. garantire che la politica di sicurezza presso la propria organizzazione sia conforme agli indirizzi e alle politiche di sicurezza definiti dalla Commissione; c. interagire con la struttura centrale per raccogliere, aggregare e predisporre nel formato richiesto le informazioni necessarie per verificare il livello di sicurezza del SPC; d. notificare alla struttura centrale ed al CERT-SPC-C ed ai CERT-SPC-R, secondo le modalità stabilite, eventuali incidenti informatici o situazioni di criticità o vulnerabilità delle infrastrutture SPC locali; e. adottare le necessarie misure volte a limitare il rischio di attacchi informatici ed eliminare eventuali vulnerabilità della rete, causate dalla violazione e utilizzo illecito di sistemi o infrastrutture della pubblica amministrazione.

10. I servizi di sicurezza applicativa, di competenza delle Amministrazioni, consentono la gestione degli aspetti relativi alla sicurezza nell'accesso ed erogazione di servizi applicativi su SPC, in particolare delle funzioni di identificazione, autenticazione ed autorizzazione degli utenti all'uso dei servizi medesimi, secondo i criteri e le modalità individuate nella documentazione di cui all'art. 13.