Istruzioni del Consiglio federale sulla sicurezza TIC nell'Amministrazione federale del 16 gennaio 2019
Il Consiglio federale svizzero emana le seguenti istruzioni:
1 1.1
Disposizioni generali Oggetto
Le presenti istruzioni disciplinano, in esecuzione dell'articolo 14 lettera d dell'ordinanza del 9 dicembre 20111 concernente l'informatica e la telecomunicazione nell'Amministrazione federale (OIAF), i requisiti e le misure organizzative, in materia di personale e tecniche, al fine di garantire una protezione adeguata della confidenzialità, della disponibilità, dell'integrità e della tracciabilità degli oggetti da proteggere delle tecnologie dell'informazione e della comunicazione (TIC) dell'Amministrazione federale.
1.2
Campo d'applicazione
Il campo d'applicazione delle presenti istruzioni è retto dall'articolo 2 OIAF 2.
1.3
Definizioni
Nelle presenti istruzioni s'intende per:
1 2
a.
oggetti TIC da proteggere: applicazioni, servizi, sistemi, reti, collezioni di dati, infrastrutture e prodotti TIC; più oggetti identici o connessi tra loro possono essere raggruppati in un solo oggetto TIC da proteggere;
b.
procedura di sicurezza: processi e misure per garantire un'adeguata sicurezza TIC durante l'intero ciclo di vita di un oggetto TIC da proteggere;
c.
analisi del bisogno di protezione: rilevamento dei requisiti di sicurezza degli oggetti TIC da proteggere;
RS 172.010.58 RS 172.010.58
2018-2999
1173
FF 2019
d.
piano per la sicurezza dell'informazione e la protezione dei dati (piano SIPD): descrizione delle misure di protezione e della loro attuazione per gli oggetti TIC da proteggere nonché dei rischi residui;
e.
rete: infrastruttura che permette la comunicazione tra diversi sistemi TIC;
f.
zona: un insieme logico di sistemi TIC che presentano requisiti di sicurezza simili e sottostanno alla stessa linea di condotta della zona;
g.
linea di condotta della zona: descrizione, elaborata dal proprietario di una zona, dei requisiti e delle direttive applicabili ai sistemi TIC della zona, alla zona stessa e alla comunicazione interna ed esterna autorizzata per questa zona;
h.
modello di zona Confederazione: modello generico per la costituzione di zone nell'Amministrazione federale;
i.
portafoglio TIC: riepilogo uniforme dei progetti TIC previsti o in corso, nonché delle applicazioni in un determinato settore di competenze.
2 2.1
Competenze Incaricato della sicurezza informatica
I dipartimenti e la Cancelleria federale designano ciascuno un incaricato della sicurezza informatica (ISID).
1
2
Gli ISID svolgono segnatamente i seguenti compiti: a.
coordinano tutti gli aspetti della sicurezza TIC all'interno dei dipartimenti o della Cancelleria federale nonché con i servizi sovradipartimentali e, nel quadro della sicurezza TIC, sono i principali interlocutori dell'Organo direzione informatica della Confederazione (ODIC);
b.
elaborano le basi necessarie per l'attuazione delle direttive in materia di sicurezza TIC e per l'organizzazione a livello di dipartimento o della Cancelleria federale;
Ogni unità amministrativa designa il proprio incaricato della sicurezza informatica (ISIU).
3
4
Gli ISIU svolgono segnatamente i seguenti compiti: a.
coordinano tutti gli aspetti della sicurezza TIC all'interno dell'unità amministrativa nonché con i servizi dipartimentali e sono i principali interlocutori dell'ISID e delle organizzazioni di sicurezza dei fornitori di prestazioni;
b.
elaborano le basi necessarie per l'attuazione delle direttive in materia di sicurezza TIC e per l'organizzazione a livello dell'unità amministrativa;
c.
informano il responsabile dell'unità amministrativa almeno ogni sei mesi sullo stato attuale della sicurezza TIC all'interno dell'unità amministrativa.
I dipartimenti, la Cancelleria federale e le unità amministrative provvedono affinché gli incaricati della sicurezza informatica assumano i loro compiti senza conflitti 5
1174
FF 2019
d'interessi. Essi disciplinano il rapporto tra l'ISID e l'ISIU, segnatamente la responsabilità tecnica per le questioni di sicurezza.
L'ODIC designa un incaricato della sicurezza informatica dei servizi standard (ISI SS). Questi assume i compiti di cui all'articolo 4 per i servizi TIC standard.
6
2.2
Beneficiari di prestazioni
In qualità di beneficiari di prestazioni, le unità amministrative provvedono all'applicazione della procedura di sicurezza.
1
Le persone che nell'unità amministrativa sono responsabili di un'applicazione, di un processo aziendale o di una collezione di dati definiscono in collaborazione con l'ISIU i requisiti di sicurezza per i loro oggetti TIC da proteggere. Le unità amministrative gestiscono il portafoglio TIC con i dati rilevanti per la sicurezza. I requisiti di sicurezza sono convenuti per scritto con i fornitori di prestazioni sia per lo sviluppo e l'esercizio sia per la messa fuori esercizio di mezzi TIC. Le unità amministrative documentano e verificano l'attuazione delle misure di sicurezza nonché la loro efficacia.
2
Le unità amministrative verificano periodicamente il bisogno di protezione degli oggetti TIC da proteggere e adeguano sia la documentazione sulla sicurezza sia le misure di sicurezza.
3
Esse provvedono affinché i collaboratori conoscano le competenze e i processi della sicurezza TIC nel loro ambito lavorativo, a seconda del livello gerarchico e della funzione.
4
I collaboratori dell'Amministrazione federale che utilizzano mezzi TIC sono responsabili del loro utilizzo sicuro. Le unità amministrative devono sensibilizzare e istruire i collaboratori sui temi legati alla sicurezza TIC sia al momento dell'assunzione sia periodicamente.
5
Le unità amministrative provvedono affinché le persone a cui non è applicabile l'OIAF3 abbiano accesso all'infrastruttura TIC della Confederazione solo se si impegnano a rispettare le direttive in materia di sicurezza TIC.
6
D'intesa con l'ISID e l'ISIU, emanano direttive dettagliate o specifiche per un impiego più sicuro dei mezzi TIC e le aggiornano regolarmente; definiscono in particolare un processo per l'elaborazione degli incidenti riguardanti la sicurezza informatica.
7
2.3
Fornitori di prestazioni
Le direttive definite per i beneficiari di prestazioni di cui al numero 2.2 si applicano per analogia ai fornitori di prestazioni.
1
3
RS 172.010.58
1175
FF 2019
I fornitori di prestazioni applicano, documentano e verificano le misure necessarie per l'esercizio di mezzi TIC. Comunicano, in forma adeguata, i risultati ai beneficiari di prestazioni interessati.
2
Le responsabilità e il bisogno di protezione a livello aziendale devono essere definiti negli accordi di progetto e di prestazione tra i fornitori di prestazioni e i beneficiari di prestazioni. Occorre in particolare disciplinare le competenze decisionali per l'adozione di misure urgenti in caso di incidente.
3
I fornitori di prestazioni provvedono affinché siano in grado, mediante organizzazioni di sicurezza permanenti o ad hoc, di far fronte rapidamente ed efficacemente agli incidenti riguardanti la sicurezza TIC. Esse sono competenti di effettuare l'analisi tecnica degli incidenti e di coordinarne la risoluzione. Raccolgono informazioni tecniche e le valutano tenendo conto di eventuali eventi simili e informano l'ISID o l'ISIU competente.
4
3 3.1
Procedura di sicurezza Direttive in materia di sicurezza
A complemento delle presenti istruzioni, l'ODIC emana direttive sulla procedura di sicurezza e sui relativi mezzi ausiliari a livello di Confederazione, segnatamente per quanto concerne: 1
2
a.
l'analisi del bisogno di protezione;
b.
l'elaborazione di un processo di verifica per ridurre lo spionaggio dei servizi di informazione;
c.
la protezione TIC di base;
d.
il piano SIPD.
Definisce il modello di zona Confederazione.
3.2
Analisi del bisogno di protezione, piano SIPD e valutazione dei rischi
Per i progetti TIC occorre dapprima eseguire un'analisi del bisogno di protezione.
Occorre altresì individuare i casi rilevanti in termini di rischi, conformemente a un pertinente processo di verifica volto a ridurre lo spionaggio dei servizi di informazione (n. 3.1 cpv. 1 lett. b).
1
Gli oggetti TIC da proteggere esistenti devono essere stati sottoposti a un'analisi del bisogno di protezione valida.
2
I requisiti minimi di sicurezza (protezione TIC di base) sono attuati per tutti gli oggetti TIC da proteggere; l'attuazione deve essere documentata.
3
Se dall'analisi del bisogno di protezione risulta un bisogno di protezione elevato, in aggiunta alla documentazione relativa all'attuazione della protezione TIC di base deve essere elaborato un piano SIPD corredato di un'analisi dei rischi. Nell'elabora4
1176
FF 2019
zione del piano SIPD si può rinviare a piani di sicurezza già esistenti relativi a tematiche specifiche.
Se vengono individuati casi rilevanti in termini di rischi secondo il processo di verifica per ridurre lo spionaggio dei servizi di informazione, tale processo deve essere svolto integralmente; l'attuazione deve essere documentata.
5
Le analisi del bisogno di protezione, la documentazione relativa all'attuazione della protezione TIC di base, la documentazione del processo di verifica per ridurre lo spionaggio dei servizi di informazione e i piani SIPD devono essere esaminati perlomeno dall'ISIU; per quanto riguarda i servizi standard TIC devono essere esaminati dall'ISI SS. Devono essere approvati dal committente o dai responsabili dei processi aziendali.
6
Se in una fornitura di prestazioni TIC il processo di verifica per ridurre lo spionaggio dei servizi di informazione rileva un'interconnessione con altri sistemi TIC che costituisce una potenziale minaccia, le unità amministrative competenti devono informare l'ODIC.
7
L'unità amministrativa che intende utilizzare nuove tecnologie dell'informazione e della comunicazione (hardware e software) o utilizzare in un nuovo ambito le tecnologie esistenti deve sottoporle a una valutazione dei rischi prima del loro impiego. Il risultato di questa valutazione deve essere presentato all'incaricato della sicurezza informatica competente e all'ODIC.
8
La documentazione sulla sicurezza è valida per cinque anni al massimo. Se l'oggetto TIC da proteggere o la situazione di minaccia subiscono modifiche rilevanti per la sicurezza, essa deve essere immediatamente aggiornata.
9
3.3
Standard internazionali
Le misure di sicurezza TIC si orientano agli attuali standard internazionali, in particolare agli standard ISO concernenti le procedure di sicurezza TIC.
3.4
Rischi residui
I rischi che non possono essere ridotti o possono essere ridotti soltanto in modo insufficiente (rischi residui) devono essere documentati e comunicati per scritto al committente, ai responsabili dei processi aziendali e alla direzione dell'unità amministrativa.
1
Spetta al responsabile dell'unità amministrativa competente decidere se assumere i rischi residui di cui viene a conoscenza.
2
3.5
Costi
I costi per la sicurezza TIC sono parte dei costi di progetto e di esercizio e devono essere debitamente considerati nella pianificazione.
1177
FF 2019
4
Sicurezza della rete, competenze e direttive in materia di sicurezza
Possono essere costituite e gestite soltanto le zone conformi al modello di zona Confederazione e autorizzate dall'ODIC.
1
L'ODIC tiene un elenco di tutte le zone autorizzate. L'elenco contiene segnatamente: 2
a.
il nome della zona;
b.
il nome del proprietario della zona;
c.
il rinvio alla linea di condotta della zona;
d.
il nome del gestore della zona.
Tutte le zone devono disporre di una pertinente linea di condotta. Quest'ultima deve essere approvata dall'ODIC.
3
4
L'ODIC emana le ulteriori direttive sulla sicurezza della rete.
5 5.1
Disposizioni finali Abrogazione di altre istruzioni
Le istruzioni del Consiglio federale del 1° luglio 20154 sulla sicurezza delle TIC nell'Amministrazione federale sono abrogate.
5.2
Disposizioni transitorie
Le analisi del bisogno di protezione e i piani SIPD esistenti al momento dell'entrata in vigore delle presenti istruzioni rimangono validi e devono essere aggiornati nell'ambito di verifiche e revisioni.
1
La procedura e il processo di verifica per ridurre lo spionaggio dei servizi di informazione di cui al numero 3.2 capoversi 1, 5, 6 e 7 non sono applicabili ai progetti TIC per i quali è stato conferito un mandato di progetto prima del 1° gennaio 2016. Gli oggetti TIC da proteggere che erano già in una fase HERMES 5 o in esercizio il 1° gennaio 2016 devono essere controllati dalle unità amministrative competenti e dai loro fornitori di prestazioni entro il 1° gennaio 2021.
2
Le zone che al momento dell'entrata in vigore delle presenti istruzioni adempiono le condizioni di cui al numero 4 capoverso 1 e che dispongono di una linea di condotta della zona6 approvata dall'ODIC secondo il numero 4 capoverso 1 possono continuare ad essere gestite sulla base delle deroghe autorizzate (eccezioni).
3
4 5 6
FF 2015 4787 www.hermes.admin.ch Al riguardo si tratta del dominio di rete blu della Shared Service Zone (SSZ), della Central Access Zone (CAZ), della rete AVS/AI e dei domini di rete della Law Enforcement Monitoring Facility (LEMF).
1178
FF 2019
Le reti che al momento dell'entrata in vigore delle presenti istruzioni sono in esercizio e non fanno parte di una zona conforme alle condizioni di cui al numero 4 capoverso 1 possono rimanere in esercizio, ma devono essere trasferite in una zona gestita secondo il numero 4 capoverso 1 in occasione della prossima riorganizzazione, al più tardi tuttavia dieci anni dopo l'entrata in vigore delle presenti istruzioni.
4
5.3
Entrata in vigore
Le presenti istruzioni entrano in vigore il 15 febbraio 2019.
16 gennaio 2019
In nome del Consiglio federale svizzero: Il presidente della Confederazione, Ueli Maurer Il cancelliere della Confederazione, Walter Thurnherr
1179
FF 2019
1180