Compiti ed attività del CERT-SPC

Expand all | Collapse all

  • Quali poteri sono attribuiti al CERT-SPC?

    Il CERT-SPC nell'espletamento dei compiti istituzionali attribuiti dalle regole tecniche non ha nessuna autorità nei confronti della propria Comunità di riferimento (Constituency) composta dalle Unità Locali di Sicurezza delle Pubbliche Amministrazioni connesse a SPC. Le citate Regole Tecniche hanno recepito nell'ambito del Sistema Pubblico di Connettività (SPC) il modello di funzionamento di un CERT che prevede 3 tipi di autorità: piena, condivisa o nessuna come nel caso del CERT-SPC. Tale caratteristica, da alcuni vista come un limite all'efficacia delle azioni del CERT-SPC, può essere spiegata tenendo in considerazione:

    • l'art. 74 del Codice dell'Amministrazione Digitale (CAD) che garantisce piena autonomia al patrimonio informativo delle singole Amministrazioni ed in tal senso anche sulla gestione della sicurezza a questo collegava e pertanto un'azione obbligatoria da parte del CER-SPC potrebbe in alcuni casi minacciare questa autonomia;
    • l'approccio "fiduciario" sul quale si fonda il Sistema Pubblico di Connettività, da un lato, e l'idea stessa del modello di riferimento del CERT, dall'altro. Infatti in un contesto così variegato di realtà la collaborazione e condivisione delle esperienze volte al miglioramento e a benefico di tutto il sistema mal si coniuga con imposizioni autoritarie.

  • Da quali soggetti è composta la Constituency del CERT-SPC

    La constituency del CERT-SPC, ossia la Comunità dei referenti e dunque dei destinatari delle attività del CERT-SPC, è composta dalle Unità Locali di Sicurezza (ULS) costituite ex-lege nell'ambito di ogni Pubblica Amministrazione connessa al Sistema Pubblico di Connettività. Queste operano con personale proprio dell'amministrazione o per il tramite e di concerto con un fornitore (outsourcer) nell'asolvimento di precisi incarichi a tutela e a salvaguardai della sicurezza informatica degli apparati di frontiera di SPC e dell'Amministrazione stessa.

  • Quali sono i compiti delle Unità Locali di Sicurezza?

    I compiti assegnati alle unità locali di Sicurezza sono previsti dal Decreto del Presidente del Consiglio dei Ministri 1 aprile 2008 "
    Regole tecniche e di sicurezza per il funzionamento del Sistema pubblico di connettività" pubblicato sulla G.U. del 21 giugno 2008, n. 144. dove allrt. 21 co 9 si diche che "l'Unità locale di sicurezza [..] svolge i seguenti compiti,  avvalendosi anche dei fornitori qualificati:

    • garantire, anche per il tramite di un fornitore qualificato, la realizzazione ed il mantenimento dei livelli di sicurezza previsti per il dominio di competenza;
    • garantire che la politica di sicurezza presso la propria organizzazione sia conforme agli indirizzi e alle politiche di sicurezza definiti dalla Commissione;
    • interagire con la struttura centrale per raccogliere, aggregare e predisporre nel formato richiesto le informazioni necessarie per verificare il livello di sicurezza del PC;
    • notificare alla struttura centrale ed al CERT-SPC-C ed ai CERT-SPC-R, secondo le modalità stabilite, eventuali incidenti informatici o situazioni di criticità o ulnerabilità delle infrastrutture SPC locali;
    • adottare le necessarie misure volte a limitare il rischio di attacchi informatici ed eliminare eventuali vulnerabilità della rete, causate dalla violazione e utilizzo illecito i sistemi o infrastrutture della pubblica amministrazione."