Ciao, colgo l’invito di non criticare le MM di AgID, anche se mi prudono le mani.
Innanzitutto bisogna pensare che molte misure sono più di tipo organizzativo che tecnologico. Poi bisognerebbe capire quali MM potrebbero richiedere degli strumenti tecnologici. Non ci hai aiutato molto a dare risposte… Quindi provo io a stilare un elenco, limitandomi a selezionare quelle pertinenti dalle 45 misure minime-minime: - 1.1.1: inventario delle “risorse attive”: un txt qualsiasi; o anche un foglio di calcolo; - 2.1.1: non consentire l’istallazione di software non compreso nell’elenco: configurare le risorse affinché solo gli AdS possano installare; - 2.3.1: “Eseguire regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzato”: non ho in mente strumenti free; - 3.3.1: backup off-line: non ho in mente strumenti free “semplici”; - 4.1.1, 4.4.1: vulnerability scanner: altri ci potrebbero aiutare; ma esiste uno strumento “for dummies”? che possa anche usare una scuola? - 5.11.1: conservare le credenziali degli AdS; tipo Lastpass, KeePass; - 8.1.1: antivirus; se hanno Windows, usare Defender (non sarà il massimo, dicono, ma fa il suo sporco lavoro); - 8.1.2: firewall e IPS personali; come sopra; - 8.9.2 e 13.8.1: filtrare il traffico web; non saprei, ma forse lo Smart Screen di Windows? - 10.1.1: backup; uno script. Penso che “Utilizzare configurazioni sicure standard per la protezione dei sistemi operativi” sia cosa non difficile e non richiede strumenti particolari. Forse non si farà il massimo, ma qualcuno che installa i pc e i server, anche in una piccola realtà, dovrebbe avere un minimo di competenza e dovrebbe documentare le cose che fa (una paginetta di punto elenco). Se no chieda a suo cuggino. Commentate gente, commentate. Ce From: Nick [mailto:[email protected]] Sent: 29 June 2017 18:18 To: [email protected] Subject: [ml] Misure minime di sicurezza informatica per PA Salve a tutti, alcuni di voi sapranno per esperienza diretta e altri forse meno che l'Agenzia per l'Italia Digitale (AgID) ha pubblicato da tempo le misure minime di sicurezza informatica per le Pubbliche Amministrazioni ma con "recente" Gazzetta Ufficiale (il 17 Marzo 2017) sono state rese obbligatorie per tutte le PA (a memoria tra 25 e 30K "enti"; se siete curiosi: http://www.indicepa.gov.it/documentale/index.php ) entro il 31/12/2017 (indistintamente dal Governo centrale ai più piccoli enti pubblici)... [ Rif: http://www.agid.gov.it/notizie/2017/04/07/pubblicate-gazzetta-ufficiale-misure-minime-sicurezza-informatica-pa ] Alla luce di questo sia per ragioni ideologiche (W FLOSS) che per ragioni pratiche (ma voi vi immaginate chi in una scuola possa "Utilizzare configurazioni sicure standard per la protezione dei sistemi operativi." misura minima richiesta necessariamente) mi piacerebbe capire se: - qualcuno abbia già approcciato il problema (in toto o in parte) con strumenti OS - possa nasciere un gruppo di discussione per eventuali sinergie - altro "OS-PA" related (tenendo in considerazione che qualora ci fossero soluzioni dovrebbero essere preferite per logiche di riuso a quelle "closed") Ciao Nick P.S. Eviterei di entrare nel merito del senso ed eventuale discussione delle misure minime in se o eventuale approccio "ma tanto siamo in Italia..." e mi piacerebbe ragionare su "possibili soluzioni open source".
