Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Attualità

Sicurezza: il "decalogo" dell'AIPA
31.05.2000

  • Il testo che segue è tratto dal "Quaderno" n. 2 pubblicato dall'Autorità per l'informatica nella pubblica amministrazione, intitolato "Linee guida per la definizione di un piano per la sicurezza". Il testo completo in formato .PDF può essere scaricato dal sito dell'AIPA alla URL http://www.aipa.it/servizi[3/pubblicazioni[5/quaderni[3/quaderni_2.pdf

La progettazione di un Sistema Informativo Automatizzato sicuro richiede una buona esperienza nel settore e e la valutazione di una serie di elementi solitamente ignorati durante la predisposizione di un sistema che non abbia pretese di sicurezza.
In particolare si ritiene necessario verificare preliminarmente, ogni aul volta si debba trattare di sistemi sicuri, la validità, a livello generale, dei seguenti assunti:

  1. tutti i componenti, HW e SW, sono "fail safe", tali cioè che ogni loro malfunzionamento o messa fuori operazione non comporti una diminuzione della sicurezza di esercizio, eventualmente anche attraverso una messa fuori uso della particolare stazione interessata;

  2. le responsabilità dell'esercizio e dei controlli interni di sicurezza sono affidate a persone distinte e collocate nella struttura organizzativa in modo tale che in alcun modo il responsabile dell'esercizio possa influire sulla carriera/retribuzione del responsabile dei controlli interni di sicurezza;

  3. sono adeguate le procedure per l'accertamento della qualità delle verifiche effettuate dal responsabile dei controlli interni di sicurezza sull'operato del team di gestione;

  4. è sempre possibile individuare, inequivocabilmente, in un apposito "activity log file", l'autore di una qualsiasi operazione;

  5. è garantita, al di là di ogni dubbio, l'integrità di questo log file e la sua disponibilità nel tempo per il periodo concordato;

  6. è sempre possibile ripristinare il sistema di fronte a guasti od eventi, naturali o dolosi, allo stato in cui si trovava, prima del verificarsi dell'evento stesso, in un certo tempo concordato a priori tra le parti;

  7. è garantita l'integrità del SW, ad ogni livello, dal sistema operativo alle applicazioni, e dei relativi file di configurazione;

  8. è convincente il programma dei test di penetrazione, sia interna che esterna, effettuati periodicamente, secondo la frequenza concordata;

  9. sono adeguate le procedure per l'effettuazione delle varie operazioni di manutenzione e per il trattamento dei supporti di memorizzazione di massa obsoleti;

  10. è convincente il programma di accertamento della qualità dei controlli sull'aggiornamento continuo del HW e del SW, del controllo della completa sincronizzazione delle versioni, aggiornate tempestivamente, dello stesso SW, all'aggiornamento delle varie "patches" distribuite dai fornitori per chiudere i vari "buchi", man mano che vengono scoperti.