Avevo raccomandato la lettura sotto l’ombrellone del voluminoso rapporto dell’International Relations and Security Network (ISN) sulla protezione delle infrastrutture critiche (pdf, 1,4 M).
Non so quanti abbiano effettivamente affrontato l’impresa (ma al momento non ho ricevuto nessun follow-up...) e dunque per venire incontro ai miei quatto lettori ho deciso di fare una piccola sintesi del capitolo del rapporto che parla dell’Italia.

Settori critici

Nel nostro paese, i settori più importanti dal punto di vista delle infrastrutture critiche sono:

• banche ed istituzioni finanziarie;
• pubblica sicurezza ed ordine pubblico;
• telecomunicazioni;
• servizi di emergenza
• produzione, trasporto e distribuzione di energia;
• produzione, trasporto e distribuzione di gas;
• pubblica amministrazione
• sistema sanitario;
• trasporti pubblici (cielo, ferrovie, acque, superficie);
• sistema idrico.

Action Plan

Il rapporto richiama le “Linee guida del Governo per lo sviluppo della Società dell'Informazione nella legislatura” (la scorsa) del giugno 2002 (pdf,  505Kb e rtf 3,09Mb) e ne cita il “Piano Nazionale per la Sicurezza ICT e la privacy” ove troviamo scritto che la strategia globale per la sicurezza ICT si fonda su cinque azioni principali:

1. introduzione della direttiva sulla sicurezza ICT (pdf, 87 K) ;
2. creazione di un Comitato Tecnico Nazionale sulla Sicurezza ICT (ppt, 195 K);
3. creazione di un modello organizzativo sulla sicurezza ICT (si veda: il documento: "Linee guida per la sicurezza ICT delle pubbliche amministrazioni" pdf  1,4 M);
4. introduzione di uno Piano Nazionale sulla Sicurezza ICT (vedi punto precedente);
5. certificazione finale della sicurezza ICT (entro 5 anni) per la Pubblica Amministrazione.

Organizzazione

Il rapporto censisce le più importanti strutture organizzative che in Italia si occupano della sicurezza della infrastrutture critiche:

• Centro Nazionale per l’Informatica nella Pubblica Amministrazione (CNIPA)
• Ministero per l'Innovazione e le Tecnologie (MIT)
• Comitato Tecnico Nazionale sulla Sicurezza ICT 
• Ministero delle Comunicazioni 
• l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCOM) che spesso è presente negli articoli di IsacaRoma Newsletter... 
• Polizia postale

I Cert italiani

Sono citati i più importanti “Computer Emergency Response Team ” italiani:

• CERT governativo del CNIPA
• CERT-IT  dell’Università degli Studi di Milano,
• GARR-CERT collegato alla rete delle università e della ricerca scientifica italiana
• MOD-CERT presso il Ministero della Difesa 

Legislazione

Infine l’ultimo paragrafo è dedicato alla legislazione italiana dedicata alla CIIP:

• legge n. 547 del 23 dicembre 1993;
• decreto legislativo n. 518 del 29 dicembre 1992 poi modificato dalla legge 248 del 18 agosto 2000;
• legge 675 del 31 dicembre 1996 poi sostituita dal decreto legislativo n. 196 del 2003 (il famoso codice sulla Privacy)
• decreto legislativo n. 374/2001 poi modificato dalla legge 438/2001 (contrasto del terrorismo)

Compiti per le vacanze

Qualcosa da leggere nelle lunghe serate d’agosto?
Handbook of Legislative Procedures of Computer and Network Misuse in EU Countries (pdf , 897 K). Io lo leggerò! A settembre per la sintesi…

Chi è Manlio Torquato?

Manlio si occupa di sicurezza informatica da tanti anni. Ora ha voluto mettere ordine nelle sue letture.
Per IsacaRoma Newsletter ha scritto:

• Letture sotto l’ombrellone per i Security Manager
• Phishing – attacco all’autenticazione a due fattori
• Zero day attack 

 Contatti?