Data l’architettura distribuita del sistema, l’organizzazione per la sicurezza deve essere realizzata con strutture che operano in ciascun dominio, ma interconnesse e coordinate in modo da costituire virtualmente un’unica struttura operativa.

I compiti di armonizzazione, indirizzo generale e coordinamento sono assolti a livello centrale; le funzioni di gestione e monitoraggio sono assolte a
livello locale. La realizzazione di una infrastruttura per la sicurezza si basa su una federazione di “domini di sicurezza”, in cui tutti gli utenti del SPC, nell’ambito di un accordo per la sicurezza, si impegnano reciprocamente a rispettare le regole definite nell’ambito dello stesso. Per garantire la
sicurezza del SPC è assolutamente necessario che le regole e i requisiti minimi di sicurezza, definiti e concordati tra i vari soggetti, vengano, pertanto, applicati su tutte le reti collegate e in tutte le loro omponenti.
Questo porta alla necessità di:

• individuare i soggetti coinvolti nella gestione della sicurezza (centrali e locali);
• definire le responsabilità, i confini e l’ambito di azione di ciascuno;
• definire e stabilire le misure minime di sicurezza e le loro modalità di applicazione.

L’organizzazione del Sistema di Sicurezza del SPC è ispirata al modello proposto dall’International Standard Organization (ISO) nel documento ISO TR 13335-2. La Commissione svolge attività di indirizzo operativo e controllo sull’intero sistema, facendo in modo che vengano assicurati i livelli di sicurezza stabiliti mediante la figura di un Responsabile ella Sicurezza SPC a cui riferisce il Responsabile operativo della Sicurezza SPC del Centro di Gestione della Sicurezza SPC.

In quest’architettura di sicurezza distribuita tra “centro e periferia”, viene ad assumere un ruolo di centrale importanza l’attività di prevenzione degli incidenti informatici, ali-mentata da un flusso informativo constante tra le diverse componenti coinvolte, attuato in modo da valorizzare al massimo le capacità di condivisione delle informazioni e la tempestività delle comunicazioni.
Le attività presupposte all’erogazione di questo servizio da parte del CERT-SPC, dipana-no dalle operazioni di monitoraggio delle fonti, di raccolta ed elaborazione delle infor-mazioni, per arrivare alla realizzazione di differenti bollettini informativi sulle emergenze di sicurezza in ambito SPC: tutto quell’insieme di attività generalmente noto con l’espressione early warning.
Il CERT-SPC è proprio la componente responsabile di questo servizio informativo, erogato a beneficio delle singole Unità Locali di Sicurezza.

Il Computer Emergency Response Team (CERT)

Il CERT del SPC, collocato presso il CNIPA, rappresenta l’organo referente centrale per la prevenzione, il monitoraggio, la gestione e il follow-up degli incidenti di sicurezza, assicurando l’applicazione di metodologie coerenti ed uniformi in tutto il sistema. Il CERT SPC non si sostituisce alle funzioni organizzative degli altri soggetti SPC, ma collabora attivamente con essi, secondo le modalità stabilite d’intesa con la Commissione di Coordinamento SPC e, per gli aspetti perativi, con il Centro di Gestione Sicurezza SPC. Il CERT può inoltre assumere, almeno in parte, un ruolo nella gestione e risoluzione degli incidenti di sicurezza.

Unità locale di sicurezza (ULS)

In ogni amministrazione, in ogni fornitore e nella SC-QXN dovrà essere costituita una struttura organizzativa denominata Unità locale di Sicurezza SPC, per la gestione degli aspetti relativi alla sicurezza. Tali Unità locali, che costituiscono la parte distribuita del sistema di sicurezza SPC, sono ognuna coordinata da un Responsabile operativo locale della Sicurezza SPC che rappresenta l’interfaccia verso le altre strutture organizzative che compongono il sistema di sicurezza del SPC. I responsabili operativi locali Sicurezza SPC cooperano attivamente con il CG-SIC e con il Responsabile Sicurezza SPC della Commissione alla individuazione delle esigenze ed alla definizione delle politiche per la sicurezza dell’intero sistema.