FF 2013 Volume 34 P. 5771

Istruzioni del Consiglio federale sulla sicurezza TIC nell'Amministrazione federale del 14 agosto 2013

Il Consiglio federale svizzero emana le seguenti istruzioni:

1 1.1

Disposizioni generali Oggetto

Le presenti istruzioni, in esecuzione dell'articolo 14 lettera d dell'ordinanza del 9 dicembre 20111 concernente l'informatica e la telecomunicazione nell'Amministrazione federale (OIAF), disciplinano le misure organizzative, personali, tecniche ed edilizie, al fine di garantire una protezione adeguata della confidenzialità, della disponibilità, dell'integrità e della tracciabilità degli oggetti da proteggere delle tecnologie dell'informazione e della comunicazione (TIC) dell'Amministrazione federale.

1.2

Campo d'applicazione

Il campo d'applicazione delle presenti istruzioni è disciplinato dall'articolo 2 OIAF.

1.3

Definizioni

Nelle presenti istruzioni s'intende per:

1

a.

oggetti TIC da proteggere: applicazioni, servizi, sistemi, reti, collezioni di dati, infrastrutture e prodotti TIC;

b.

procedura di sicurezza: processi e misure per garantire un'adeguata sicurezza TIC durante l'intero ciclo di vita di un oggetto TIC da proteggere;

c.

analisi del bisogno di protezione: rilevamento dei requisiti di sicurezza degli oggetti TIC da proteggere;

d.

piano per la sicurezza dell'informazione e la protezione dei dati (piano SIPD): descrizione delle misure di protezione e loro attuazione per gli oggetti TIC da proteggere nonché dei rischi residui;

e.

rete: infrastruttura che permette la comunicazione tra diversi sistemi TIC;

f.

dominio di rete: unione logica di tutti i collegamenti e componenti di una rete;

RS 172.010.58

2013-1829

5771

Sicurezza TIC nell'Amministrazione federale

g.

2 2.1

linea di condotta applicabile al dominio di rete: normativa delle condizioni per l'allacciamento e i requisiti per la comunicazione di diverse reti e diversi sistemi.

Competenze Incaricato della sicurezza informatica

1 I dipartimenti e la Cancelleria federale designano ciascuno un incaricato della sicurezza informatica (ISID).

2

Gli ISID assumono segnatamente i seguenti compiti: a.

coordinano tutti gli aspetti della sicurezza TIC all'interno dei dipartimenti e con i servizi sovradipartimentali e nel quadro della sicurezza TIC sono i principali interlocutori dell'Organo direzione informatica della Confederazione (ODIC);

b.

elaborano le basi necessarie per l'attuazione delle direttive in materia di sicurezza TIC e per l'organizzazione a livello dipartimentale.

Le unità amministrative designano ciascuna un incaricato della sicurezza informatica (ISIU).

3

4

Gli ISIU assumono segnatamente i seguenti compiti: a.

coordinano tutti gli aspetti della sicurezza TIC all'interno dell'unità amministrativa nonché con i servizi dipartimentali e sono i principali interlocutori dell'ISID;

b.

elaborano le basi necessarie per l'attuazione delle direttive in materia di sicurezza TIC e per l'organizzazione a livello dell'unità amministrativa.

I dipartimenti, la Cancelleria federale e le unità amministrative provvedono affinché gli incaricati della sicurezza informatica assumano i loro compiti senza conflitti d'interessi.

5

2.2

Beneficiari di prestazioni

In qualità di beneficiarie di prestazioni, le unità amministrative provvedono all'applicazione della procedura di sicurezza.

1

Le persone che nell'unità amministrativa sono responsabili di un'applicazione, di un processo aziendale o di una collezione di dati stabiliscono in collaborazione con l'ISIU i requisiti di sicurezza per i loro oggetti TIC da proteggere. Le unità amministrative gestiscono il portafoglio TIC con i dati rilevanti per la sicurezza. I requisiti di sicurezza devono essere convenuti per iscritto con i fornitori di prestazioni per lo sviluppo e l'esercizio così come per la messa fuori esercizio di mezzi TIC. Le unità amministrative documentano e verificano l'attuazione delle misure di sicurezza nonché la loro efficacia.

2

5772

Sicurezza TIC nell'Amministrazione federale

Le unità amministrative verificano costantemente il bisogno di protezione e adeguano in modo corrispondente le misure di sicurezza.

3

Le unità amministrative provvedono affinché i collaboratori conoscano le competenze e i processi della sicurezza TIC nel loro ambito lavorativo e in funzione delle loro mansioni.

4

I collaboratori dell'Amministrazione federale che utilizzano mezzi TIC, o che ne affidano l'esercizio a terzi, sono responsabili del loro uso sicuro. Le unità amministrative devono istruire e sensibilizzare i collaboratori sui temi della sicurezza TIC sia al momento dell'assunzione sia periodicamente.

5

Le unità amministrative provvedono affinché le persone a cui non è applicabile l'ordinanza sull'informatica nell'Amministrazione federale abbiano accesso all'infrastruttura TIC della Confederazione solo se si impegnano a rispettare le direttive in materia di sicurezza TIC.

6

2.3

Fornitori di prestazioni

Le direttive definite per i beneficiari di prestazioni di cui al numero 2.2 si applicano per analogia ai fornitori di prestazioni.

1

Durante l'esercizio di mezzi TIC i fornitori di prestazioni applicano, documentano e verificano le misure necessarie. Comunicano, in forma adeguata, i risultati ai beneficiari di prestazioni interessati.

2

3 Le responsabilità e il bisogno di protezione a livello aziendale sono definiti negli accordi di progetti e prestazioni tra i fornitori e i beneficiari di prestazioni.

3 3.1 1

Procedura di sicurezza Analisi del bisogno di protezione, piano SIPD e valutazione dei rischi

Per i progetti TIC occorre dapprima eseguire un'analisi del bisogno di protezione.

I progetti TIC esistenti devono essere stati sottoposti a un'analisi del bisogno di protezione valida.

2

I requisiti minimi di sicurezza (protezione di base) devono essere attuati per tutti gli oggetti da proteggere; l'attuazione dev'essere documentata.

3

Se dall'analisi del bisogno di protezione risulta un bisogno elevato, in aggiunta all'attuazione documentata dei requisiti minimi di sicurezza occorre definire un piano SIPD. Nella definizione di quest'ultimo si può rinviare a piani di sicurezza già esistenti relativi a tematiche specifiche.

4

Le analisi del bisogno di protezione, le ampie direttive in materia di sicurezza e i piani SIPD devono essere esaminati per lo meno dall'ISIU e devono essere approvati dal committente o dai responsabili dei processi aziendali.

5

5773

Sicurezza TIC nell'Amministrazione federale

Se un'unità amministrativa intende utilizzare in un nuovo ambito nuove tecnologie dell'informazione e della comunicazione (hardware e software) o tecnologie esistenti, deve sottoporle a un'analisi dei rischi prima del loro impiego. Il risultato della valutazione dei rischi deve essere presentato al competente incaricato della sicurezza informatica e all'ODIC.

6

3.2

Direttive in materia di sicurezza

L'ODIC emana ulteriori direttive sulla procedura di sicurezza e i relativi mezzi ausiliari a livello di Confederazione, segnatamente per l'analisi del bisogno di protezione, per la protezione di base e per il piano SIPD.

3.3

Standard internazionali

Le misure di sicurezza si orientano agli attuali standard ISO concernenti le procedure di sicurezza TIC.

3.4

Rischi residui

I rischi che non possono essere completamente eliminati (rischi residui) devono essere documentati e comunicati per iscritto al committente e ai responsabili dei processi aziendali.

1

La decisione se prendere in considerazione rischi residui noti spetta al responsabile della competente unità amministrativa.

2

3.5

Costi

I costi per la sicurezza TIC sono parte dei costi di progetto e di esercizio e devono essere presi debitamente in considerazione nella pianificazione.

4 4.1

Sicurezza della rete Competenze e direttive in materia di sicurezza

L'ODIC tiene un elenco di tutti i domini di rete, gestiti per conto delle unità amministrative. L'elenco contiene in particolare:

1

a.

i nomi dei domini di rete;

b.

i titolari dei domini di rete;

c.

il rinvio alla linea di condotta applicabile al dominio di rete;

d.

gli accordi sui domini di rete con altri domini di rete.

5774

Sicurezza TIC nell'Amministrazione federale

2 Tutti i domini di rete devono disporre di una linea di condotta. Quest'ultima deve essere approvata dall'ODIC.

Accordi sui domini di rete, conclusi tra unità dell'Amministrazione federale o tra unità dell'Amministrazione federale e terzi, devono essere approvati dall'ODIC.

3

Qualora terzi vengano collegati direttamente a un dominio di rete della Confederazione, la competente unità amministrativa deve disciplinare e verificare regolarmente l'osservanza delle direttive in materia di sicurezza secondo le presenti istruzioni.

Gli accordi devono essere approvati dall'ODIC.

4

5

L'ODIC emana le ulteriori direttive sulla sicurezza della rete.

5 5.1

Disposizioni finali Abrogazione di istruzioni previgenti

Le istruzioni del 27 settembre 2004 del CIC sulla sicurezza informatica nell'Amministrazione federale sono abrogate.

5.2

Disposizioni transitorie

Le analisi del bisogno di protezione e i piani SIPD esistenti al momento dell'entrata in vigore delle presenti istruzioni, sono ulteriormente applicabili e devono essere aggiornati nell'ambito di verifiche e revisioni.

5.3

Entrata in vigore

Le presenti istruzioni entrano in vigore il 1° gennaio 2014.

14 agosto 2013

In nome del Consiglio federale svizzero: Il presidente della Confederazione, Ueli Maurer La cancelliera della Confederazione, Corina Casanova

5775

Sicurezza TIC nell'Amministrazione federale

5776