Le misure minime per la sicurezza ICT sono emesse in attuazione della Direttiva 1° agosto 2015 del Presidente del Consiglio dei Ministri.
Entro il 31 dicembre 2017 tutte le amministrazioni dovranno attuare gli adempimenti richiesti.

Nel recente passato si è assistito ad una rapida evoluzione della minaccia informatica, in particolare sulla pubblica amministrazione, che è divenuta un bersaglio specifico per alcune tipologie di intrusioni particolarmente pericolose.
Le misure minime, pur tenendo nella massima considerazione le difese tradizionali, quali gli antivirus e i firewall, pongono l’accento sulle misure rivolte ad assicurare che le attività degli utenti rimangano sempre all’interno dei limiti previsti. Infatti elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi.

Il documento – pubblicato in Gazzetta Ufficiale numero 79 del 4 aprile 2017 – ha lo scopo di fornire alle pubbliche amministrazioni un riferimento pratico per valutare e migliorare il proprio livello di sicurezza informatica, al fine di contrastare le minacce più comuni e frequenti a cui sono soggette le PA.

Le misure minime per la sicurezza ICT sono emesse in attuazione della Direttiva 1° agosto 2015 del Presidente del Consiglio dei Ministri,

Entro il 31 dicembre 2017 tutte le amministrazioni dovranno attuare gli adempimenti richiesti.

Le modalità con cui ciascuna misura è implementata presso l’amministrazione debbono essere sinteticamente riportate nel modulo di implementazione allegato 2 del documento pubblicato in Gazzetta ufficiale.

Il modulo di implementazione è suddiviso in 8 classi, per ciascuna di esse viene sviluppata una griglia con una serie di requisiti, alcuni dei quali sono obbligatori per raggiungere il livello di attuazione “minimo” per la sicurezza; i livelli successivi, auspicabili per ogni PA, sono “standard” e “alto”.

1. Inventario dei dispositivi autorizzati e non autorizzati
   «Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l’inventario) in modo che l’accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro impedito l’accesso».
2. Inventario dei software autorizzati e non autorizzati
   «Gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla rete in modo che sia installato ed eseguito solo software autorizzato, mentre il software non autorizzato e non gestito sia individuato e ne venga impedita l’installazione o l’esecuzione
3. Proteggere le configurazioni hardware e software sui dispositivi mobili, laptop, workstation e server
   «Istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni».
4. Valutazione e correzione continua della vulnerabilità
   «Acquisire, valutare e intraprendere continuamente azioni in relazione a nuove informazioni allo scopo di individuare vulnerabilità, correggere e minimizzare la finestra di opportunità per gli attacchi informatici».
5. Uso appropriato dei privilegi di amministratore
   «Regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi».
6. Difese contro i malaware
   «Controllare l’installazione, la diffusione e l’esecuzione di codice maligno in diversi punti dell’azienda, ottimizzando al tempo stesso l’utilizzo dell’automazione per consentire il rapido aggiornamento delle difese, la raccolta dei dati e le azioni correttive».
7. Copie di sicurezza
   «Procedure e strumenti necessari per produrre e mantenere copie di sicurezza delle informazioni critiche, così da consentirne il ripristino in caso di necessità».
8. Protezione dati
   «Processi interni, strumenti e sistemi necessari per evitare l’esfiltrazione dei dati, mitigarne gli effetti e garantire la riservatezza e l’integrità delle informazioni rilevanti».

Il modulo di implementazione deve essere firmato digitalmente con marcatura temporale dal responsabile dei sistemi informativi (ovvero, in sua assenza, il dirigente allo scopo designato) e dal responsabile legale della struttura. Dopo la sottoscrizione esso deve essere conservato e, in caso di incidente informatico, trasmesso al CERT-PA (Computer Emergency Response Team della Pubblica Amministrazione) insieme con la segnalazione dell’incidente stesso.