benvenuto/a su SNALS - Brindisi
ORGANIZZAZIONI SINDACALI CONFSAL
Sindacato Nazionale Autonomo Lavoratori Scuola

Segreteria Provinciale - via Monopoli, 11 - 72100 Brindisi
tel: 0831 528339 - fax: 0831 523467 - email:puglia.br@snals.it

Organigramma SNALS  Orari di apertura delle sedi SNALS  Servizi del Patronato INPAS  Servizi del CAF Confsal  I legali dello SNALS  L'assicurazione SNALS per gli iscritti 

  Utente_non_iscritto      Visite: 1914264  

HOME PAGE

Torna in Home Page



RICERCA NEL SITO




VISITE AL SITO


Statistiche


Riservato agli amministratori

Pagina di Amministrazione



ARGOMENTI, TEMI E MATERIE


UTILITY

Utilità


La scuola attraverso
gli acronimi

di Carmelo Nesta

L'iter della Buona Scuola
(dal 3/9/14 al 16/7/15)
di Carmelo Nesta


RASSEGNA STAMPA

Rassegna stampa


QUOTIDIANI OnLine


FORUM


Entra nel Forum



CHAT



Entra in chat



GUESTBOOK

Lascia un messaggio nel guestbook

Lascia un messaggio sul

Lascia un messaggio nel guestbook

dello SNALS di Brindisi


NORMATIVA


FEEDS RSS

CONSULENZA ON LINE

consulenza on line SNALS Brindisi

Richiedi la consulenza
di un esperto dello SNALS


QUESITI PUBBLICATI




  Articolo n. 3624 - © News SNALS-Confsal Brindisi - 248 letture
ATTUAZIONE DELLE MISURE MINIME PER LA SICUREZZA INFORMATICA
Postato Martedì, 19 Dicembre 2017, ore 15:15:00 da Amministratore

SCUOLA E UNIVERSITÀ

Un'altra molestia burocratica si abbatte sulle scuole. L’AGID (AGenzia per l’Italia Digitale), con la circolare 2/17, ha inteso dare attuazione a quanto previsto dal CAD (Codice Amministrazione Digitale). La circolare prevede che entro il 31 dicembre 2017 le Amministrazioni dovranno attuare gli adempimenti relativi alle misure minime per la sicurezza ICT (Information and Communications Technology) che debbono essere adottate al fine di contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi. ...




In sintesi, tutte le amministrazioni pubbliche devono procedere alla nomina di un responsabile della transizione al digitale.

Vediamo in dettaglio cosa dice la citata circolare.

Vengono introdotti dei controlli denominati ABSC (AgID Basic Security Controls) che dovrebbero essere implementati per ottenere un determinato livello di sicurezza. A seguito dei controlli devono essere identificati livelli:

  • Minimo”, al di sotto il quale nessuna amministrazione può scendere;

  • Standard”, che costituisce la base di riferimento nella maggior parte dei casi;

  • Alto”, che potrebbe essere un obiettivo a cui tendere.

La circolare raggruppa i controlli in classi. Vediamo brevemente quali sono i controlli minimi che le PA devono effettuare:

ABSC1(CSC1): INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI
Il livello minimo prevede l’implementazione, l’aggiornamento e la gestione dell’inventario di tutti i sistemi di rete (compresi i dispositivi di rete stessi) registrando almeno l’indirizzo IP.

ABSC2(CSC2): INVENTARIO DEI SOFTWARE AUTORIZZATI E NON AUTORIZZATI
Il livello minimo prevede la realizzazione dell’elenco dei software autorizzati (e relative versioni), con regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzati. L’installazione di software non presenti nell’elenco è vietata.

ABSC3(CSC3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER
Il livello minimo di questa classe di controlli prevede le definizione di configurazioni standard per tutti i sistemi (server, workstation, ecc.), con il tassativo rispetto di tali standard nelle fasi di installazione o ripristino dei sistemi. Le immagini di installazione dei sistemi devono essere memorizzate offline e tutte le operazioni di amministrazione remota devono essere eseguite tramite connessioni protette.

ABSC4(CSC4): VALUTAZIONE E CORREZIONE CONTINUA DELLA VULNERABILITÀ
Il livello minimo prevede la ricerca delle vulnerabilità tramite strumenti automatici ad ogni modifica della configurazione; detti strumenti devono fornire agli amministratori di sistema report con indicazione delle vulnerabilità più critiche. Non solo i sistemi devono essere aggiornati, ma anche gli stessi strumenti di scansione. Questa classe di controlli impone l’installazione sistematica di patch e contromisure idonee a contrastare le vulnerabilità riscontrate. Va inoltre implementato un adeguato piano di gestione dei rischi che tenga conto dei livelli di gravità delle vulnerabilità, del potenziale impatto e della tipologia degli apparati; tale piano deve anche prevedere le azioni da svolgere per la risoluzione delle vulnerabilità individuate.

ABSC5(CSC5): USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE
Il livello minimo della classe di controlli relativa agli amministratori di sistema definisce una specifica policy di gestione degli utenti con diritti amministrativi, che disciplini i limiti nei privilegi attribuiti e l’inventario dei profili abilitati. Tale policy prevede tutte le accortezze che si rendono necessarie per l’adeguata gestione degli amministratori di sistema, dai controlli sulle scadenze delle password alla creazione di profili nominativi e individuali (non generici). E’ curioso rilevare come in questa classe di controlli, le azioni relative al tracciamento dei log degli amministratori siano definite come livello “standard”, mentre rappresentano un obbligo di legge sancito da un provvedimento del Garante Privacy sugli amministratori di sistema del 2008.

ABSC8(CSC8): DIFESE CONTRO I MALWARE
Il livello minimo impone l’installazione e l’aggiornamento automatico di sistemi antimalware, firewall e Intrusion Prevention Systems (IPS). Si deve inoltre disabilitare inoltre l’esecuzione automatica delle procedure che possano attivare una minaccia (es. apertura degli allegati delle email, esecuzione di macro, eseguibili lanciati da chiavette USB, ecc). Sempre in chiave preventiva, si deve prevedere l’adozione di strumenti di filtraggio dei contenuti, sia sulla navigazione internet che sulla posta elettronica.

ABSC10(CSC10): COPIE DI SICUREZZA
Il livello minimo di sicurezza contempla una copia almeno settimanale delle informazioni strettamente necessarie per il completo ripristino del sistema (in linea con le misure minime di sicurezza previste dal Codice della Privacy, anche se perdere una settimana di lavoro potrebbe essere troppo penalizzante per una PA). Si pone una certa attenzione anche alla riservatezza delle informazioni contenute nelle copie di sicurezza, tramite adeguata protezione fisica o mediate cifratura delle informazioni sottoposte a salvataggio. Infine, è necessario garantire che almeno una delle copie non sia permanentemente accessibile dal sistema stesso, onde evitare che eventuali attacchi al sistema possano coinvolgere anche le sue copie di sicurezza.

ABSC13(CSC13): PROTEZIONE DEI DATI
Il livello minimo da garantire stabilisce di effettuare un’analisi dei dati per individuare quelli con particolari requisiti di riservatezza, ai quali applicare una protezione crittografica. Inoltre, si deve prevedere il blocco del traffico da e verso url presenti in una blacklist.

Dal quadro degli obblighi esposti ne derivano alcune considerazioni sui limiti e le criticità connessi alla loro attuazione:

  • Elevati  costi per munirsi di Hardware idoneo a monitore e gestire  la rete ed i  dispositivi connessi

  • Mancanza di personale formato per la gestione delle reti. Nella scuola non esiste rispetto ad altre PA il System administrator o Amministratore di rete che si occupa di gestire, adattare e mettere a punto i sistemi collegati in rete. In particolare, per il primo ciclo non è prevista nemmeno la figura del tecnico di laboratorio

  • le Norme Minime previste anche se realizzate (con uno sforzo non indifferente), sono applicabili  a macchine “amministrative”, cioè non utilizzate per la ricerca o la didattica e nella scuola ci sono laboratori dedicati alla didattica.

  • In ottica BYOD, come prevista dal Rapporto sulla Buona scuola (pag. 76) e dal PNSD, dove è consentito l’uso di propri device a scuola, si richiederebbe la presenza costante di una figura che non solo controlli la rete, ma analizzi i device di alunni/docenti in quanto potrebbero essere portatori di un malware e successivamente  autorizzi gli accessi .

Aldilà delle considerazioni che portano ad escludere le scuole in virtù del semplice fatto che esse non sono gestite da uffici dirigenziali di livello generale e non possono disporre al loro interno delle professionalità necessarie all’adempimento degli obblighi di cui alla citata circolare, ci preme far presente, e sosterremo questa posizione in ogni sede di confronto sindacale, che lo SNALS Confsal ritiene che le scuole non possano essere distratte dai loro compiti istituzionali da adempimenti che devono essere ricondotti alle funzioni dell’amministrazione scolastica centrale e periferica, le quali devono assicurare risorse strumentali e professionali adeguate ai compiti richiesti.

LA CIRCOLARE AGID 2/2017 CON ALLEGATI

 






Se l'articolo è stato di tuo gradimento, condividilo su Facebook!




 
Login

Inserisci nickname e password
Nickname


Password


Non sei ancora iscritto allo SNALS?
Fai qui la richiesta di iscrizione al Sindacato!
Come utente registrato
potrai sfruttare appieno i servizi offerti dal sito.

Sei già registrato e hai dimenticato la password?
Clicca qui

Links Correlati
· Altre SCUOLA E UNIVERSITÀ
· News by admin


Articolo più letto relativo a SCUOLA E UNIVERSITÀ:
REVISIONE DELLE CLASSI DI CONCORSO - COMUNICATO DEL MIUR


Stampa/Condividi articolo
 
Pagina stampabile
Pagina Stampabile

Condividi su FB

Condivisione su Facebook


Valutazione Articolo
Punteggio Medio: 0
Voti: 0

Dai un voto a questo articolo:

Eccellente
Ottimo
Buono
Sufficiente
Insufficiente


" ATTUAZIONE DELLE MISURE MINIME PER LA SICUREZZA INFORMATICA" | Login/Crea Account | 0 commenti
I commenti sono di proprietà dell'inserzionista. Noi non siamo responsabili per il loro contenuto.

Commenti NON Abilitati per gli Anonimi, registrati


Amministratore - Webmaster

(Carmelo NESTA)
webmaster@snalsbrindisi.it



PHP-Nuke Copyright © 2005 by Francisco Burzi. This is free software, and you may redistribute it under the GPL. PHP-Nuke comes with absolutely no warranty, for details, see the license.
Generazione pagina: 0.19 Secondi
torna su