Misure minime di sicurezza ICT per le pubbliche amministrazioni
06/03/2018
Dal 31 dicembre 2017 le Pubbliche Amministrazioni e le aziende partecipate dal pubblico si sono dovute adeguare alle prescrizioni minime in ambito ICT contenute nel documento realizzato dall'AGID - Agenzia per l'Italia Digitale - Circolare 18 aprile 2017, n. 2/2017.
Segnaliamo che fino all'anno scorso alcune partecipate non erano presenti nel bilancio consolidato delle regioni, e quindi non sarebbero state obbligate all'adeguamento. E' bene peró accertarsi se ne é stata data comunicazione attraverso una Delibera della Giunta Regionale, poiché la richiesta dei dati finanziari relativi all'esercizio precedente, non rappresenta piú adeguata segnalazione, in quanto giá oltre la scadenza per l'adeguamento.
Il documento contiene una serie di indicazioni suddivise in 3 categorie:
- controlli minimi (obbligatori dal 31 dicembre 2017)
- controlli standard
- controlli avanzati
GENESI DEI CONTROLLI PREVISTI
I controlli previsti sono quelli giá definiti dal SANS Institute (SysAdmin, Audit, Networking and Security), fondato nel 1989 negli USA.
In partcolare AGID ha deciso di utilizzare i controlli "SANS 20" basandosi sulla versione 5.1 e 6.0 di ottobre 2015", che presentano il miglior rapporto costi/benefici, ovvero che con un numero limitato di azioni riescono a rafforzare enormemente il livello di sicurezza.
Perché due diverse versioni? AGID ha ritenuto che molti controlli eliminati nella versione 6 siano ancora importanti nel contesto della pubblica amministrazione italiana. Alla data di questo articolo i controlli sono alla vesione 6.1 e il 19 marzo 2018 verranno rilasciati i controlli 7.0.
CONTROLLI CIS VS CONTROLLI AGID Evidenziamo in grassetto i controlli selezionati da AGID tra i controlli SANS 20. Poiché ogni controllo SANS 20 prevede numerosi "sotto-controlli", riportiamo tra parentesi i controlli selezionati dall'AGID.
CIS1 - Inventory of Authorized and Unauthorized Devices (13)
CIS2 - Inventory of Authorized and Unauthorized Software (8)
CIS3 - Secure Configurations for Hardware and Software (15)
CIS4 - Continuous Vulnerability Assessment and Remediation (19)
CIS5 - Controlled Use of Administrative Privileges (26)
CIS6 - Maintenance, Monitoring, and Analysis of Audit Logs
CIS7 - Email and Web Browser Protections CIS8 - Malware Defenses (23)
CIS9 - Limitation and Control of Network Ports CIS10 - Data Recovery Capability (6)
CIS11 - Secure Configurations for Network Devices
CIS12 - Boundary Defense CIS13 - Data Protection (11)
CIS14 - Controlled Access Based on the Need to Know
CIS15 - Wireless Access Control
CIS16 - Account Monitoring and Control
CIS17 - Security Skills Assessment and Appropriate Training to Fill Gaps
CIS18 - Application Software Security
CIS19 - Incident Response and Management
CIS20 - Penetration Tests and Red Team Exercises
CONTROLLI AGID I controlli selezionati e sopra riportati sono stati ulteriormente suddivisi da AGID nelle 3 categorie: minimi, standard e avanzati.
Ne riportiamo numerositá nella tabella sottostante.
Nome Controllo
MINIMI
STANDARD
AVANZATI
CIS 1
3
5
5
CIS 2
2
3
3
CIS 3
5
4
6
CIS 4
7
11
1
CIS 5
12
11
3
CIS 8
11
8
4
CIS 10
3
1
2
CIS 13
2
1
8
I controlli minimi risultano essere quindi 45. Per comoditá li riportiamo per esteso di seguito.
1 - Implementare un inventario delle risorse attive correlato a quello ABSC 1.4 2 - Aggiornare l’inventario quando nuovi dispositivi approvati vengono collegati in rete 3 - Gestire l’inventario delle risorse di tutti i sistemi collegati alla rete e dei dispositivi di rete stessi, registrando almeno l’indirizzo IP 4 - Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l’installazione di software non compreso nell’elenco 5 - Eseguire regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzato 6 - Utilizzare configurazioni sicure standard per la protezione dei sistemi operativi 7 - Definire ed impiegare una configurazione standard per workstation, server e altri tipi di sistemi usati dall’organizzazione 8 - Eventuali sistemi in esercizio che vengano compromessi devono essere ripristinati utilizzando la configurazione standard 9 - Le immagini d’installazione devono essere memorizzate offline 10 - Eseguire tutte le operazioni di amministrazione remota di server, workstation, dispositivi di rete e analoghe apparecchiature per mezzo di connessioni protette (protocolli intrinsecamente sicuri, ovvero su canali sicuri) 11 - Ad ogni modifica significativa della configurazione eseguire la ricerca delle vulnerabilità su tutti i sistemi in rete con strumenti automatici che forniscano a ciascun amministratore di sistema report con indicazioni delle vulnerabilità più critiche 12 - Assicurare che gli strumenti di scansione delle vulnerabilità utilizzati siano regolarmente aggiornati con tutte le più rilevanti vulnerabilità di sicurezza 13 - Installare automaticamente le patch e gli aggiornamenti del software sia per il sistema operativo sia per le applicazioni 14 - Assicurare l’aggiornamento dei sistemi separati dalla rete, in particolare di quelli air-gapped, adottando misure adeguate al loro livello di criticità 15 - Verificare che le vulnerabilità emerse dalle scansioni siano state risolte sia per mezzo di patch, o implementando opportune contromisure oppure documentando e accettando un ragionevole rischio 16 - Definire un piano di gestione dei rischi che tenga conto dei livelli di gravità delle vulnerabilità, del potenziale impatto e della tipologia degli apparati (e.g. server esposti, server interni,PdL, portatili, etc.) 17 - Attribuire alle azioni per la risoluzione delle vulnerabilità un livello di priorità in base al rischio associato. In particolare applicare le patch a partire da quelle piú critiche 18 - Limitare i privilegi di amministrazione ai soli utenti che abbiano le competenze adeguate e la necessità operativa di modificare la configurazione dei sistemi 19 - Utilizzare le utenze amministrative solo per effettuare operazioni che ne richiedano i privilegi, registrando ogni accesso effettuato 20 - Mantenere l’inventario di tutte le utenze amministrative, garantendo che ciascuna di esse sia debitamente e formalmente autorizzata 21 - Prima di collegare alla rete un nuovo dispositivo sostituire le credenziali dell’amministratore predefinito con valori coerenti con quelli delle utenze amministrative in uso 22 - Quando l’autenticazione a più fattori non è supportata, utilizzare per le utenze amministrative credenziali di elevata robustezza (e.g. almeno 14 caratteri) 23 - Assicurare che le credenziali delle utenze amministrative vengano sostituite con sufficiente frequenza (password aging) 24 - Impedire che credenziali già utilizzate possano essere riutilizzate a breve distanza di tempo (password history) 25 - Assicurare la completa distinzione tra utenze privilegiate e non privilegiate degli amministratori, alle quali debbono corrispondere credenziali diverse 26 - Tutte le utenze, in particolare quelle amministrative, debbono essere nominative e riconducibili ad una sola persona 27 - Le utenze amministrative anonime, quali “root” di UNIX o “Administrator” di Windows, debbono essere utilizzate solo per le situazioni di emergenza e le relative credenziali debbono essere gestite in modo da assicurare l’imputabilità di chi ne fa uso 28 - Conservare le credenziali amministrative in modo da garantirne disponibilità e riservatezza 29 - Se per l’autenticazione si utilizzano certificati digitali, garantire che le chiavi private siano adeguatamente protette 30 - Installare su tutti i sistemi connessi alla rete locale strumenti atti a rilevare la presenza e bloccare l’esecuzione di malware (antivirus locali). Tali strumenti sono mantenuti aggiornati in modo automatico 31 - Installare su tutti i dispositivi firewall ed IPS personali 32 - Limitare l’uso di dispositivi esterni a quelli necessari per le attività aziendali 33 - Disattivare l’esecuzione automatica dei contenuti al momento della connessione dei dispositivi removibili 34 - Disattivare l’esecuzione automatica dei contenuti dinamici (e.g. macro) presenti nei file 35 - Disattivare l’apertura automatica dei messaggi di posta elettronica 36 - Disattivare l’anteprima automatica dei contenuti dei file 37 - Eseguire automaticamente una scansione anti-malware dei supporti rimuovibili al momento della loro connessione 38 - Filtrare il contenuto dei messaggi di posta prima che questi raggiungano la casella del destinatario, prevedendo anche l’impiego di strumenti antispam 39 - Filtrare il contenuto del traffico web 40 - Bloccare nella posta elettronica e nel traffico web i file la cui tipologia non è strettamente necessaria per l’organizzazione ed è potenzialmente pericolosa (e.g. .cab) 41 - Effettuare almeno settimanalmente una copia di sicurezza almeno delle informazioni strettamente necessarie per il completo ripristino del sistema 42 - Assicurare la riservatezza delle informazioni contenute nelle copie di sicurezza mediante adeguata protezione fisica dei supporti ovvero mediante cifratura. La codifica effettuata prima della trasmissione consente la remotizzazione del backup anche nel cloud 43 - Assicurarsi che i supporti contenenti almeno una delle copie non siano permanentemente accessibili dal sistema onde evitare che attacchi su questo possano coinvolgere anche tutte le sue copie di sicurezza 44 - Effettuare un’analisi dei dati per individuare quelli con particolari requisiti di riservatezza (dati rilevanti) e segnatamente quelli ai quali va applicata la protezione crittografica 45 - Bloccare il traffico da e verso url presenti in una blacklist
In relazione quanto sopra esposto a nostro parere:
- La maggioranza dei controlli sono praticabili dal responsabile IT senza particolari complessitá o aggravi economici
- L'implementazione di questi 45 controlli richiede la modifica delle procedure esistenti, o l'introduzione di una gestione piú attenta e formalizzata delle operazioni degli IT manager. Al fine di rendere disponibili e verificabili le informazioni in sede di audit/ispezione
- I controlli 11, 14, 16, 17, sono realizzabili solo attraverso software dedicati, generalmente non in uso all'interno di pubbliche amministrazioni o aziende anche di grandi dimensioni, e devono essere gestiti da tecnici specializzati.
Per qualsiasi informazione restiamo a disposizione.