Il giorno 30 giugno 2017 15:33, Cesare Gallotti < [email protected]> ha scritto:
> Ciao, > > colgo l’invito di non criticare le MM di AgID, anche se mi prudono le mani. > Vabbé dai per una volta che si scrivono delle guideline o best practice < 30 pagg... Sennò potrei citare il Framework nazionale per la CyberSecurity. Altro che le mani... > > > Innanzitutto bisogna pensare che molte misure sono più di tipo > organizzativo che tecnologico. Poi bisognerebbe capire quali MM potrebbero > richiedere degli strumenti tecnologici. Non ci hai aiutato molto a dare > risposte… > > > > Quindi provo io a stilare un elenco, limitandomi a selezionare quelle > pertinenti dalle 45 misure minime-minime: > > - 1.1.1: inventario delle “risorse attive”: un txt qualsiasi; o > anche un foglio di calcolo; > Nel momento in cui chiudi il file, l'elenco non è aggiornato. Forse serve qualche strumento di inventory dei software...ma non ho suggerimenti in merito. > - 2.1.1: non consentire l’istallazione di software non compreso > nell’elenco: configurare le risorse affinché solo gli AdS possano > installare; > Condivido: Least privilege. Sembrerà una banalità ma già fare in modo che gli utenti siano "Users" (in un dominio Windows) e non Administrator è una grande conquista (oltre che barriera alla infezione di malware) > - 2.3.1: “Eseguire regolari scansioni sui sistemi al fine di > rilevare la presenza di software non autorizzato”: non ho in mente > strumenti free; > L'inventory di cui al punto 1 > - 3.3.1: backup off-line: non ho in mente strumenti free > “semplici”; > 3 dischi USB e un operatore che faccia un backup in modo schedulato...ogni tanto poi provare a fare dei restore. Uno di questi dischi, metterlo in un'altra sede. > - 4.1.1, 4.4.1: vulnerability scanner: altri ci potrebbero > aiutare; ma esiste uno strumento “for dummies”? che possa anche usare una > scuola? > passo, c'è il mondo. > - 5.11.1: conservare le credenziali degli AdS; tipo Lastpass, > KeePass; > Laspass no IMHO...le password su Internet sono sempre dei ghiotti bottini per DataLeak. KeePass già va meglio. Mi affiderei ad un password wallet a pagamento e possibilmente off-line (nel senso che le password possono anche stare nel TUO cloud, ma non su Internet). > - 8.1.1: antivirus; se hanno Windows, usare Defender (non sarà > il massimo, dicono, ma fa il suo sporco lavoro); > Concordo. Magari una soluzione più evoluta che sicurizza anche il browser... > - 8.1.2: firewall e IPS personali; come sopra; > Dipende in che contesto sei. Firewall sicuramente (ogni router-AP oramai ha un minimo di firewal). IPS già più difficile da regolare e potrebbe introdurre DoS. > - 8.9.2 e 13.8.1: filtrare il traffico web; non saprei, ma forse > lo Smart Screen di Windows? > Ti sposti su roba enterprise...comunque se basta un filtro DNS, OpenDNS a pagamento, altrimenti c'è anche qui il mondo. > - 10.1.1: backup; uno script. > Concordo. > > > Penso che “Utilizzare configurazioni sicure standard per la protezione dei > sistemi operativi” sia cosa non difficile e non richiede strumenti > particolari. Forse non si farà il massimo, ma qualcuno che installa i pc e > i server, anche in una piccola realtà, dovrebbe avere un minimo di > competenza e dovrebbe documentare le cose che fa (una paginetta di punto > elenco). Se no chieda a suo cuggino. > Documentazione essenziale. Possibilmente non tomi ma al massimo poche decine di pagine. Commentato ho. :) > > > Commentate gente, commentate. > > > > Ce > > > > *From:* Nick [mailto:[email protected]] > *Sent:* 29 June 2017 18:18 > *To:* [email protected] > *Subject:* [ml] Misure minime di sicurezza informatica per PA > > > > Salve a tutti, > alcuni di voi sapranno per esperienza diretta e altri forse meno che > l'Agenzia per l'Italia Digitale (AgID) ha pubblicato da tempo le misure > minime di sicurezza informatica per le Pubbliche Amministrazioni ma con > "recente" Gazzetta Ufficiale (il 17 Marzo 2017) sono state rese > obbligatorie per tutte le PA (a memoria tra 25 e 30K "enti"; se siete > curiosi: http://www.indicepa.gov.it/documentale/index.php ) entro il > 31/12/2017 (indistintamente dal Governo centrale ai più piccoli enti > pubblici)... > [ Rif: http://www.agid.gov.it/notizie/2017/04/07/pubblicate- > gazzetta-ufficiale-misure-minime-sicurezza-informatica-pa ] > > Alla luce di questo sia per ragioni ideologiche (W FLOSS) che per ragioni > pratiche (ma voi vi immaginate chi in una scuola possa "Utilizzare > configurazioni sicure standard per la protezione dei sistemi operativi." > misura minima richiesta necessariamente) mi piacerebbe > capire se: > - qualcuno abbia già approcciato il problema (in toto o in parte) con > strumenti OS > - possa nasciere un gruppo di discussione per eventuali sinergie > - altro "OS-PA" related (tenendo in considerazione che qualora ci fossero > soluzioni dovrebbero essere preferite per logiche di riuso a quelle > "closed") > > Ciao > Nick > > P.S. Eviterei di entrare nel merito del senso ed eventuale discussione > delle misure minime in se o eventuale approccio "ma tanto siamo in > Italia..." e mi piacerebbe ragionare su "possibili soluzioni open source". > >
