Oggetto:
Norme provvisorie in materia di
sicurezza dei siti Internet delle Amministrazioni Centrali e degli Enti
Pubblici
Capo I
PROCEDURA ORGANIZZATIVA ED
AMMINISTRATIVA
Articolo 1
1. I siti delle
Amministrazioni Centrali e degli Enti Pubblici con connessione telematica
TCP/IP (Internet), prevedendone la naturale evoluzione verso livelli di
sempre maggiore interattività, sono funzionalmente classificati in due
tipologie:
a) siti di informazione
non connessi con sistemi informativi delle Amministrazioni Centrali e
degli Enti Pubblici:
I) destinati al
dialogo con i cittadini mediante dati, notizie, informazioni la cui
conoscenza può avere interesse o utilità per chi vi accede;
II) caratterizzati da
un flusso informativo monodirezionale dall’amministrazione verso
l'utente;
-
siti di servizio
connessi con sistemi informativi delle Amministrazioni Centrali e
degli Enti Pubblici che permettono al cittadino di:
I) intrattenere
rapporti ufficiali con l'amministrazione, mediante l’inoltro
telematico di denunce, dichiarazioni annuali ed altri atti
previsti per legge;
II) ottemperare ad
altri adempimenti normativi.
2. Per quanto concerne i
siti indicati al punto b del comma 1, oltre a quanto previsto nella
presente raccomandazione, considerata l’avvenuta attivazione della
rete unitaria, saranno oggetto di specifico provvedimento atto a
disciplinare il loro funzionamento e garantire le funzionalità di
sicurezza e riservatezza.
Articolo 2
1. Le raccomandazioni
descritte negli articoli seguenti devono essere rispettate dalle
Amministrazioni Centrali ed Enti Pubblici, a prescindere dal fatto che la
gestione e la manutenzione del sito Internet venga effettuata in proprio o
venga affidata – anche solo in parte – a fornitore esterno; in questo
ultimo caso specifiche caratteristiche di sicurezza, descritti negli
articoli seguenti della presente raccomandazione, dovranno essere parte
ineludibile degli accordi contrattuali tra committente e fornitore in
ragione dell’architettura hardware e software del sito.
2. La mancata assicurazione
di prescrizioni di sicurezza da parte del fornitore terzo:
a) dovrà dar luogo alla
rivisitazione degli accordi in essere,
b) potrà determinare la
revisione delle condizioni stabilite negli accordi vigenti in ordine
alle prestazioni già pattuite o già in fase di somministrazione.
3. La mancata adesione alle
indicazioni di cui al comma 2 del presente articolo può determinare la
corresponsabilità dell’Amministrazione o Ente nelle conseguenze di un
eventuale incidente.
Articolo 3
1. Le Amministrazioni
Centrali e gli Enti interessati devono provvedere ad individuare i
soggetti preposti al presidio del sito Internet, assicurandone la
reperibilità per ogni eventuale esigenza di tempestivo intervento.
2. L’elenco delle utenze
telefoniche, fisse e radiomobili, corrispondenti agli uffici o strutture
preposte al presidio del sito, dovrà essere comunicato, completo delle
modalità di rintraccio, all’Autorità per l’Informatica nella P.A.,
così da permettere eventuali comunicazioni in caso di emergenza.
Articolo 4
1. In attesa della
diramazione del regolamento definitivo concernente gli aspetti di
sicurezza, affidabilità, integrità e continuità di esercizio dei siti
"web" pubblici e delle altre realtà di connessione telematica
TCP-IP aperte al pubblico, le Amministrazioni Centrali dovranno provvedere
a) alla verifica delle
misure di protezione adottate, in accordo con le indicazioni riportate
nelle "Linee guida per la definizione di un piano per la
sicurezza" pubblicate nel n°2 ottobre 1999 de "I
Quaderni" A.I.P.A.;
b) alla compilazione del
questionario (che costituisce l’allegato 1 alla presente
raccomandazione) predisposto per:
I) agevolare la
ricognizione dello stato di fatto,
II) costituire la base
di lavoro per le necessarie iniziative di manutenzione e
miglioramento della sicurezza.
-
Il questionario sarà
inoltrato a:
Al Responsabile del
Progetto intersettoriale Sicurezza Informatica
Autorità per l’Informatica nella Pubblica Amministrazione
Via Isonzo 21b, 00198 Roma
Oppure inviato per e-mail all’indirizzo: sicurezza@aipa.it
Il Responsabile del Progetto
intersettoriale Sicurezza Informatica:
a) provvederà a
valutare le garanzie prospettate;
b) sottoporrà
all’Adunanza dell’Autorità:
I) l’esito delle
attività svolte,
II) le eventuali
proposte di intervento,
III) ogni altra
iniziativa che riterrà necessaria per la salvaguardia del sito
considerato e delle relative informazioni.
Capo II
PROCEDURA DI MONITORAGGIO
Articolo 5
1. Il responsabile del
sistema informativo dell’Amministrazione o Ente deve concordare con il
gestore del sito Internet (o "webmaster"):
a) la predisposizione di
un "log server", ovvero di un apparato destinato
I) a registrare tutti
gli eventi telematici che hanno impatto sul sito,
II) a permettere la
ricostruzione di eventuali comportamenti insidiosi e
l’individuazione di possibili responsabilità penali e civili
conseguenti condotte illecite in danno al sito;
b) le modalità di
monitoraggio delle pagine multimediali con particolare riguardo:
I) alla corretta
funzionalità e aggiornamento continuo dell’hardware e del
software del server,
II) alla efficienza
dei servizi erogati "On line",
-
alla integrità
dell’architettura del sito WEB,
-
alla integrità dei
contenuti.
Articolo 6
-
In caso di incidenti il
gestore del sito redige un rapporto scritto in cui analizza e riepiloga
gli eventi che hanno causato l’interruzione di servizio.
2. Il rapporto, che può
essere costituito da un prospetto riepilogativo realizzato con sistemi
informatici, deve riportare:
a) il numero di accessi
indebiti o tentativi di accesso indebito
b) con evidenza:
b.1 del numero IP
dell’apparato con cui sono stati effettuati gli accessi o i
tentativi,
b.2 del numero della
porta su cui è stata eseguita l’attività non ammessa,
b.3 della tipologia
di azione perpetrata,
b.4 delle
conseguenze tecniche dell’accaduto,
b.5 dei tempi di
rilevazione dell’incidente,
b.6 dei tempi di
ripristino,
b.7 del numero delle
precedenti connessioni effettuate o tentate dal numero IP in
questione,
b.8 del numero di
tentativi analoghi per metodologia,
b.9 di altre
anomalie riscontrate.
3. Il rapporto deve essere
recapitato al Responsabile del Sistema informativo – o alla struttura
da questo delegata alla sicurezza – dell’Amministrazione Centrale e
dell’Ente Pubblico oggetto dell’incidente o attacco, entro e non
oltre le 24 ore successive all'anomalia o incidente.
Copia del rapporto deve
essere inviata immediatamente a:
Al Responsabile del
Progetto intersettoriale Sicurezza Informatica
A.I.P.A. Autorità per l’Informatica nella Pubblica Amministrazione
Via Isonzo 21b, 00195 Roma
Oppure inviato per e-mail
all’indirizzo: sicurezza@aipa.it
-
Il Responsabile del
Progetto Intersettoriale Sicurezza Autorità per l’Informatica nella
Pubblica Amministrazione offrirà supporto tecnico per la disamina
dell’accaduto.
Articolo 7
1. Le Amministrazioni
Centrali e gli Enti Pubblici devono concordare con il gestore del sito le
modalità di
a) intervento immediato,
b) ripristino delle
funzionalità.
2. Le indicazioni di massima
in ordine alle relative procedure di emergenza sono descritte nei
successivi Capi delle presenti norme.
Capo III
PROCEDURA DI INTERVENTO E
RIPRISTINO
Articolo 8
1. In caso di incidente il
gestore deve provvedere
a) all’immediata
sospensione del collegamento del sito web coinvolto nell’incidente.
b) alla comunicazione
telefonica al responsabile del sistema informativo
dell’Amministrazione o Ente, facendo riserva di tempestivo invio del
rapporto di cui all’articolo 6,
-
alla attivazione delle
iniziative per il ripristino delle ordinarie funzionalità.
-
ad informare l’Autorità
Giudiziaria se si ravvisa condotta dolosa
Articolo 9
1. Le attività innescate in
conseguenza dell’incidente devono essere verbalizzate, con la
descrizione di
a) azioni cui si è dato
corso,
b) figure professionali
coinvolte, con indicazione dei rispettivi compiti svolti nella specifica
occasione,
c) fasi operative e
relativo sviluppo,
d) sintesi di
ricostruzione della dinamica offensiva con indicazione dei tempi
impiegati da chi ha operato l’attacco,
e) indicazione degli oneri
sostenuti per il ripristino,
f) stima degli eventuali
danni subiti.
g) dandone comunicazione
a:
Al Responsabile del
Progetto intersettoriale Sicurezza Informatica
Autorità per l’Informatica nella Pubblica Amministrazione
Via Isonzo 21b, 00198 Roma
Oppure inviato per e-mail
all’indirizzo: sicurezza@aipa.it
Capo IV
PROCEDURA DI CERTIFICAZIONE
Articolo 10
1. Il gestore del sito deve
offrire garanzia scritta dell’impegno espletato a tutela delle relative
informazioni, così da autocertificare la rispondenza del sito ai
requisiti di sicurezza e delle procedure in osservanza della tempestività
e della professionalità.
2. Nel caso il gestore sia
esterno all’Amministrazione, tale garanzia dovrà essere prevista
contrattualmente.
|
![[Home Page]](../../images/homepage.jpg){kind=small}
![[Torna all'inizio della pagina]](../../images/inizio_new.gif){kind=small}