D.M. 02/08/2005

c) attivazione degli agenti di controllo, monitoraggio e allarme forniti dal Ministero dell'Interno e del software di emissione C.I.E.

d) installazione e attivazione del software di emissione C.I.E.

e) verifica, sulla base della lista fornita con le «quantità di sicurezza, atti vazione e certificazione», che sulla postazione C.I.E. sia presente tutto il software autorizzato e necessario e che non sia presente software non necessario e non autorizzato. A seguito della verifica viene compilato il verbale di cui al comma 10 dell'art. 9. A garanzia del funzionamento in sicurezza della postazione C.I.E., il software autorizzato viene firmato tramite certificati digitali forniti con le «quantità di sicurezza, attivazione e certificazione» al fine di impedirne qualsiasi manomissione. Una postazione C.I.E. su cui sia presente software non autorizzato non viene considerata abilitata alle sue funzioni e quindi qualsiasi operazione effettuata tramite la stessa è da considerare a tutti gli effetti una violazione della sicurezza

f) prova, effettuata tramite dotazione di servizio fornita, della corretta configurazione dei canali di comunicazione. Le relative regole tecniche e di sicurezza di dettaglio sono riportate nell'allegato B al presente decreto.

3. Al termine delle fasi sopra descritte, la postazione C.I.E. si ritiene attivata e, quindi, è autorizzata ad inviare i flussi relativi all'emissione C.I.E. alla porta di accesso. Tramite porta di accesso sono garantiti i servizi di sicurezza per l'accesso ai sistemi distribuiti di verifica dello stato dei certificati C.I.E.

4. Le regole tecniche e di sicurezza di cui agli allegati A e B al presente decreto devono essere rispettate anche dagli eventuali centri di allestimento periferici che potrebbero essere costituiti per la stampa della C.I.E. I Sindaci dei Comuni presso i quali saranno costituiti i centri di allestimento dovranno nominare il responsabile del centro di allestimento per la sicurezza degli accessi al C.N.S.D.

5. Il Ministero dell'Interno controlla e verifica il rispetto dei vincoli di sicurezza relativi all'intero processo di emissione C.I.E. avvalendosi anche delle proprie infrastrutture tecnologiche di controllo, monitoraggio e allarme.

6. Il responsabile comunale per la sicurezza degli accessi al C.N.S.D., ha il compito di controllare l'attivazione e la registrazione delle postazioni C.I.E.

7. I livelli di sicurezza relativi ai sistemi e ai prodotti del circuito di emissione della C.I.E. sono certificati, sulla base degli standard internazionali, dal Ministero dell'Interno. Roma, 2 agosto 2005 Il Ministro: Pisanu Seguono gli Allegati ----> Allegato A LINEE GUIDA E METODOLOGIA PER LA REDAZIONE DEL PIANO INDICE

1. Scopo e campo di applicazione pag. 17

2. Riferimenti pag. 18

3. Definizioni e acronimi pag. 19

4. Introduzione pag. 20

5. Obiettivi pag. 21

6. Principi generali pag. 21

6.1. Responsabilita pag. 22

6.2. Revisione ed adeguamento del piano pag. 22

6.3. Vincoli pag. 22

7. Uso degli allegati e risultati attesi pag. 22

8. La metodologia utilizzata per l'attuazione del piano della sicurezza pag. 23 Allegato 1 RIFERIMENTI NORMATIVI E REGOLAMENTARI

1. Descrizione delle norme relative alla «sicurezza» pag. 27

1.1. Ambiti relativi alla sicurezza pag. 27

1.2. La sicurezza nell'ITC (Tecnologie dell'Informazione e della Comunicazione) pag. 27

1.3. Il contesto internazionale pag. 28

1.3.1. Applicare le BS7799 pag. 29

1.3.2. Composizione delle norme BS7799 pag. 29

1.4. Il contesto nazionale pag. 30

1.5. Prospetto sintetico delle norme e degli standard di riferimento pag. 31 Allegato 2 POLITICHE DI SICUREZZA E METODOLOGIA DI ATTUAZIONE DEL PIANO DELLA SICUREZZA

1. Ambito di applicazione del piano della sicurezza comunale pag. 35

2. Attuazione del piano della sicurezza comunale pag. 35

2.1. Definizione piano di sicurezza versione alfa pag. 35

3. Descrizione dei macroprocessi di emissione ed uso CIE pag. 37

3.1. Macroprocesso di caricamento dell'INA pag. 39

3.2. Macroprocesso di emissione della CIE pag. 40

3.3. Macroprocesso di uso della CIE pag. 44

4. Politiche di sicurezza pag. 45

4.1. Politica e standard di sicurezza (Security Policy) pag. 46

4.2. Organizzazione per la sicurezza (Security Organization) pag. 47 4.3. Classificazione e Controllo delle risorse (Asset Classification and Control) pag. 47

4.3.1. Inventario delle risorse pag. 48

4.4. Sicurezza del personale (Personnel Security) pag. 48

4.5. Sicurezza materiale e ambientale (Physical and Environmental Security) pag. 48

4.6. Gestione dei sistemi e delle reti (Computer and Network Management) pag. 48

4.7. Controllo degli accessi (System Access Control) pag. 49

4.8. Sviluppo e manutenzione dei sistemi (System Development and Maintenance) pag. 50

4.9. Gestione della continuità del servizio (Business Continuity Management) pag. 50

4.10. Conformità (Compliance) pag. 52 Allegato 3 REDAZIONE DEL PIANO DI SICUREZZA VERSIONE ALFA: DEFINIZIONE STRUTTURA DI RIFERIMENTO, ANALISI E CLASSIFICAZIONE DELLE PROCEDURE OPERATIVE

1. Introduzione pag. 55

2. Come si utilizza questo allegato pag. 55

2.1. Descrizione della struttura organizzativa, logistica e tecnologica di riferimento per l'emissione e l'uso della CIE pag. 56

2.2. Descrizione dei macroprocessi di emissione ed uso CIE pag. 56

3. Struttura generale, modalità organizzativa e struttura logistica di riferimento per l'emissione e l'uso della CIE pag. 57

3.1. Presentazione del Comune pag. 57

3.2. Descrizione dei Macroprocessi di emissione ed uso della CIE pag. 57

3.3. Descrizione degli uffici e dei servizi pag. 57

3.4. Ruoli e figure professionali per l'emissione e l'uso della CIE pag. 59

3.5. Descrizione dei dispositivi installati pag. 61

3.6. Altre Informazioni sensibili per la sicurezza pag. 62

3.6.1. Ubicazione dei servizi e degli uffici CIE negli immobili pag. 62

3.6.2. Descrizione dell'infrastruttura di sicurezza per ciascun immobile rilevante ai fini della sicurezza CIE pag. 63

3.6.3. Elenco del personale e sua assegnazione agli uffici pag. 64

4. Macroprocessi e relativi flussi informativi di emissione ed uso CIE pag. 65

4.1. Il macroprocesso di caricamento dell'INA pag. 65

4.1.1. Acquisizione delle «quantità di sicurezza, attivazione e certificazione» pag. 65

4.1.2. Predisposizione Porta di Accesso ai Domini applicativi del CNSD pag. 70

4.1.3. Predisposizione ed attivazione dei sistemi comunali per l'accesso ai servizi applicativi INA del CNSD pag. 75

4.1.4. Allineamento dei codici fiscali con gli archivi dell'Anagrafe Tributaria pag. 78

4.1.5. Primo caricamento dell'Indice Nazionale delle Anagrafi pag. 84

4.1.6. Aggiornamento continuo dell'Indice Nazionale delle Anagrafi pag. 87

4.2. Il macroprocesso di emissione CIE pag. 90

4.2.1. Nomina del responsabile della sicurezza CIE pag. 91

4.2.2. Predisposizione delle Postazioni di Emissione pag. 92

4.2.3. Attivazione delle Postazioni di Emissione ai servizi applicativi di emissione CIE del CNSD pag. 93

4.2.4. Acquisizione delle quantità di sicurezza pag. 95

4.2.5. Acquisizione delle CIE inizializzate pag. 98

4.2.6. Rilascio CIE ai cittadini pag. 100

4.3. Il macroprocesso di uso della CIE pag. 109

4.3.1. Abilitazione di una postazione di lavoro al riconoscimento in rete dei cittadini che accedono tramite CIE ai servizi comunali pag. 110

4.3.2. Abilitazione di un server comunale per l'identificazione in rete dei cittadini che accedono tramite CIE ai servizi in rete del Comune pag. 111 Allegato 4 SCHEDE DI ATTUAZIONE DELLA VERSIONE ALFA DEL PIANO SICUREZZA DEI COMUNI: CLASSIFICAZIONE MINACCE, VULNERABILI- TA' E VALUTAZIONE DEL RISCHIO

1. Introduzione pag. 115

2. Schede di classificazione delle minacce e delle vulnerabilita pag. 115

3. Minacce e vulnerabilita pag. 170

3.1. Minacce pag. 170

3.2. Vulnerabilita pag. 173

4. Valutazione del rischio pag. 176

4.1. Modalità di compilazione ed uso della tabella di valutazione del rischio pag. 176

5. Trattamento del rischio pag. 178

6. Attuazione dei trattamenti pag. 180

7. Definizione delle procedure operative pag. 180

7.1. Modulo di definizione e descrizione delle procedure operative pag. 181

7.2. Procedure operative obbligatorie pag. 182 Allegato 5 MONITORAGGIO E VALIDAZIONE DEL PIANO

1. Introduzione pag. 187

2. Schede di attuazione, monitoraggio e validazione del piano di sicurezza pag. 187

2.1. Schede di attuazione pag. 187 2.2. Schede di monitoraggio e validazione pag. 189 Allegato 6 MANUTENZIONE ED EVOLUZIONE DEL PIANO

1. Descrizione delle attivita pag. 193

1.1. Variazioni della struttura organizzativa, logistica e tecnica pag. 193

1.2. Analisi e classificazione dei processi interessati pag. 194

1.3. Classificazione minacce, vulnerabilità e valutazione del rischio pag. 195

1.4. Variazioni delle procedure operative pag. 197 Allegato 7 DOCUMENTO OPERATIVO PER I COMUNI AI FINI DELLA COMPILAZIONE DEL PIANO DI SICUREZZA

1. Introduzione pag. 201

2. Indice Piano di Sicurezza pag. 201

----> Vedere allegato da pag. 17 a pag. 112 <----

----> Vedere allegato da pag. 113 a pag. 195 <---- Allegato B REGOLE TECNICHE E DI SICUREZZA PER L'ACCESSO AI DOMINI APPLICATIVI DEL CNSD INDICE

1. Introduzione pag. 201

2. Attivazione Porta di accesso ai domini applicativi del CNSD pag. 202

2.1. Requisiti hardware e software di base pag. 203

2.2. Requisiti di connettività della Porta di accesso ai domini applicativi del CNSD pag. 204

3. Accesso al dominio applicativo INA del CNSD pag. 207

3.1. Accesso al dominio applicativo INA del CNSD - Requisiti di connettività tra sistemi comunali e Porta di accesso ai domini applicativi del CNSD pag. 208

4. Accesso al dominio applicativo CIE del CNSD pag. 209

4.1. Accesso al dominio applicativo CIE del CNSD - Requisiti di sicurezza e connettività tra sistemi CIE e Porta di accesso ai domini applicativi del CNSD pag. 211

----> Vedere allegato da pag. 201 a pag. 212 <----