1) Documentazione (sito esterno)
Fonte: MIUR, N.3015, 20-12-2017»

Ministero dell’Istruzione, dell’Università e della Ricerca
Dipartimento per la programmazione e la gestione delle risorse umane, finanziarie e strumentali
Direzione generale per i contratti, gli acquisti e per i sistemi informativi e la statistica
MIUR.AOODGCASIS.REGISTRO UFFICIALE(U).0003015.20-12-2017

Ai Dirigenti delle Istituzioni Scolastiche
LORO SEDI
E, p.c.
Al Capo Dipartimento per la programmazione e la
gestione delle risorse umane, finanziarie e strumentali
SEDE

Oggetto: Misure minime di sicurezza ICT per le pubbliche amministrazioni

Come noto le “Misure minime di sicurezza ICT per le pubbliche amministrazioni” di cui alla circolare Agid 18 aprile 2017, n. 2/2017, devono essere adottate da parte di tutte le pubbliche Amministrazioni entro il 31 dicembre 2017, a cura del responsabile della struttura per l'organizzazione, l'innovazione e le tecnologie di cui all'art. 17 del codice dell’Amministrazione digitale, oppure, in sua assenza, del dirigente allo scopo designato.

Ciò premesso, la presente comunicazione, predisposta d’intesa con l’Agenzia per l’Italia Digitale, ha l’obiettivo di indirizzare le crescenti preoccupazioni provenienti dalle istituzioni scolastiche e dalle associazioni di categoria inerenti le difficoltà di implementazione del provvedimento in oggetto, fornendo chiarimenti e spunti di riflessione. La circolare va infatti considerata come un’opportunità di miglioramento della sicurezza dei sistemi informativi scolastici, considerati gli scenari di crescente utilizzo degli strumenti informatici che sono a disposizione delle scuole.

Generalità

L'obiettivo delle misure minime di sicurezza per le PA è quello di fornire alle Pubbliche Amministrazioni un riferimento pratico per valutare e migliorare il proprio livello di sicurezza informatica, al fine di contrastare le minacce più comuni e frequenti a cui sono soggette le amministrazioni. Le misure minime non sono da intendersi come un obbligo fine a se stesso, né tantomeno come uno strumento ispettivo, sono da considerarsi invece come un importante supporto metodologico, oltre che un mezzo attraverso il quale le Amministrazioni, soprattutto quelle più piccole e dunque con meno possibilità di potersi avvalere di professionalità specifiche, possono verificare autonomamente, anche senza ricorrere a specialisti del settore, la propria situazione attuale e avviare un percorso di monitoraggio e miglioramento. Questa attività di autovalutazione è quanto mai opportuna, considerando che le istituzioni scolastiche, anche in base ai monitoraggi effettuati dagli organismi competenti, risultano spesso carenti dal punto di vista della sicurezza del loro patrimonio informativo. Attraverso le misure minime si intendono perseguire i seguenti risultati:

  • Supportare le Amministrazioni, in particolare a quelle meno preparate, mediante la messa a disposizione di un riferimento operativo direttamente utilizzabile (checklist), nell’attesa della pubblicazione di documenti di indirizzo di più ampio respiro (linee guida, norme tecniche);
  • Stabilire una baseline comune di misure tecniche ed organizzative irrinunciabili;
  • Fornire alle Amministrazioni uno strumento per poter verificare lo stato corrente di attuazione delle misure di protezione contro le minacce informatiche, e poter tracciare un percorso di miglioramento;
  • Responsabilizzare le Amministrazioni sulla necessità di migliorare e mantenere adeguato il proprio livello di protezione cibernetica.

Modalità di applicazione

Per il raggiungimento dei livelli di sicurezza attesi, considerato il contesto delle scuole, la compilazione del modulo di implementazione può essere realizzata distinguendo tra sistemi e personal computer collegati in rete e quelli isolati (eventualmente utilizzando due distinti moduli), in quanto questi ultimi presentano evidentemente caratteristiche di vulnerabilità differenti (come strumenti isolati sono da intendersi, ad esempio, tablet e smartphone, che vengono collegati alla rete solo in precisi momenti).

Si ricorda inoltre di includere nel perimetro dell’analisi anche eventuali servizi erogati in rete dai fornitori tramite la loro infrastruttura tecnologica, ospitanti dati dell’istituzione scolastica (si pensi ad es. al registro elettronico di classe e del docente). In quest’ultimo caso si dovrà richiedere direttamente al fornitore la compilazione delle informazioni relative alla sicurezza del servizio erogato all’istituzione scolastica.

Livelli di applicazione

Le misure di sicurezza, in funzione della complessità del sistema informativo a cui si riferiscono e della realtà organizzativa dell’Amministrazione, possono essere implementate in modo graduale facendo riferimento ai livelli di seguito riportati.

  • Minimo: è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme. Questo livello può ritenersi sufficiente per gli istituti scolastici
  • Standard: può essere assunto come base di riferimento nella maggior parte dei casi.
  • Avanzato: deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni.

Per quanto riguarda l’adempimento relativo alla firma del “modulo di implementazione” si ritiene utile evidenziare che lo stesso assume principalmente la veste di uno strumento di lavoro, in grado di fornire una fotografia dello stato attuale del percorso di adeguamento, e una traccia per l’implementazione di un percorso di miglioramento della sicurezza complessiva del sistema informativo dell’amministrazione. Il modulo, che potrà essere firmato digitalmente dal dirigente scolastico, andrà compilato e conservato dalla scuola che dovrà aggiornarlo proprio in funzione dei cambiamenti e dei miglioramenti conseguiti nel tempo.

IL DIRETTORE GENERALE
Gianna Barbieri


<
Estratto

Fonte dei dati, informazioni, procedure e documenti sono reperibili presso i siti web/portali, esterni, ai link»

MIUR
http://www.miur.gov.it/

Agenzia per l’Italia Digitale
http://www.agid.gov.it/


<
Link/siti
esterni
non
collegati

RS > Il materiale è raccolto come documentazione personale. Il testo non riveste carattere di ufficialità e non è sostitutivo in alcun modo delle pubblicazioni ufficiali, che prevalgono in casi di discordanza. Per una documentazione certa si consiglia di prendere visione dei documenti/siti ufficiali e/o contattare gli enti citati. La documentazione raccolta non è e non deve essere letta come consulenza specialistica e/o legale. Si consiglia sempre di consultare direttamente l’ente/gli enti citati, sindacati/patronati/CAAF o specialisti qualificati/professionisti abilitati per pareri, consulenze e/o assistenza. Vi possono essere limiti/condizioni alla partecipazione. Negli indirizzi mail sostituire [at] con @. Evidenziature e formattazione possono essere non originali.


<
Estratto

Documentazione raccolta da»
ISECO&ReporterScuola.it
Informatica, scuola e comunicazione
www.reporterscuola.it - info[at]reporterscuola.it

Ultimo aggiornamento (Giovedì 28 Dicembre 2017 23:44)

 

Aggiungi commento


Codice di sicurezza
Aggiorna