Misure di Sicurezza AGID

Agenzia per l’Italia Digitale
CIRCOLARE 17 marzo 2017, n. 1/2017
Misure minime di sicurezza ICT per le pubbliche amministrazioni.

ABSC 1 (CSC 1): Inventario dei dispositivi autorizzati e non autorizzati
Gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l’inventario) in modo che l’accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro impedito l’accesso
ABSC_IDLivelloDescrizioneModalità di implementazione
1.1.1M

Implementare un inventario delle risorse attive correlato a quello ABSC 1.4

Inventario gestito da Infosapienza per i nodi registrati su IPAdmin;
nell'AreaSPV l'inventario è prodotto in modo dinamico, con
l'associazione MAC-Address/IP (di classe privata), dai sistemi firewall.

1.3.1M

Aggiornare l'inventario quando nuovi dispositivi approvati vengono collegati in rete.

Gli inventari di cui al punto 1.1.1 devono essere aggiornati quando nuove risorse attive vengono collegate in rete.

1.4.1M

Gestire l'inventario delle risorse di tutti i sistemi collegati alla rete e dei dispositivi di rete stessi, registrando almeno l'indirizzo IP.

Vedi punti 1.1.1 e 1.3.1.
ABSC 2 (CSC 2): Inventario dei software autorizzati e non autorizzati
Gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla rete in modo che sia installato ed eseguito solo software autorizzato, mentre il software non autorizzato e non gestito sia individuato e ne venga impedita l’installazione o l’esecuzione
ABSC_IDLivelloDescrizioneModalità di implementazione
2.1.1M
Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l'installazione di software non compreso nell'elenco.
Consultare l'Elenco dei Software Autorizzati (si segnala che l’inventario completo, vista la presenza di diversi dispositivi assegnati ai singoli docenti in qualità di amministratori del sistema, è in fase di continuo aggiornamento).
2.3.1M

Eseguire regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzato.

Si effettuano verifiche periodiche sui nodi di competenza da parte dei singoli Amministratori di sistema.
ABSC 3 (CSC 3): Proteggere le configurazioni di hardware e software sui dispositivi mobili, laptop, workstation e server
Istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vul- nerabilità di servizi e configurazioni.
ABSC_IDLivelloDescrizioneModalità di implementazione
3.1.1M

Utilizzare configurazioni sicure standard per la protezione dei sistemi operativi.

Consultare la sezione: Configurazioni sicure standard per la protezione dei sistemi operativi.

3.2.1M

Definire ed impiegare una configurazione standard per workstation, server e altri tipi di sistemi usati dall'organizzazione. 

Implementare la misura di sicurezza in base a quanto previsto al punto 3.1.1.

3.2.2M
Eventuali sistemi in esercizio che vengano compromessi devono essere ripristinati utilizzando la configurazione standard.

Implementare la misura di sicurezza in base a quanto previsto al punto 3.1.1.

3.3.1M
Le immagini d'installazione devono essere memorizzate offline.
Le immagini dei Sistemi Operativi Microsoft (licenze campus) vengono fornite e distribuite da CINFO. 
Le immagini dei sistemi operativi Linux e relative ISO di appliance vengono reperite direttamente dai siti ufficiali di distribuzioni.
3.4.1M

Eseguire tutte le operazioni di amministrazione remota di server, workstation, dispositivi di rete e analoghe apparecchiature per mezzo di connessioni protette (protocolli intrinsecamente sicuri, ovvero su canali sicuri).

Le operazioni di amministrazione remota possono essere eseguite con i seguenti protocolli/sw/modalità previo accesso VPN:
  • HTTPS;
  • SSH;
  • RDP;
  • VNC over SSH;
  • Teamviewer;
  • SFTP.
ABSC 4 (CSC 4): Valutazione e correzione continua della vulnerabilità
Acquisire, valutare e intraprendere continuamente azioni in relazione a nuove informazioni allo scopo di individuare vulnerabilità, correggere e minimizzare la finestra di opportunità per gli attacchi informatici.
ABSC_IDLivelloDescrizioneModalità di implementazione
4.1.1M
Ad ogni modifica significativa della configurazione eseguire la ricerca delle vulnerabilità su tutti i sistemi in rete con strumenti automatici che forniscano a ciascun amministratore di sistema report con indicazioni delle vulnerabilità più critiche.

La misura va adottata, limitatamente ai sistemi operativi, con l’installazione della soluzione AV Kaspersky fornito da CINFO, reperibile su https://campus.uniroma1.it.  
La ricerca di vulnerabilità sulle applicazioni deve essere implementata con specifici software di scansione remota dei dispositivi.

4.4.1M

Assicurare che gli strumenti di scansione delle vulnerabilità utilizzati siano regolarmente aggiornati con tutte le più rilevanti vulnerabilità di sicurezza.

La MS va implementata in base a quanto previsto al punto  4.1.1.

4.5.1M

Installare automaticamente le patch e gli aggiornamenti del software sia per il sistema operativo sia per le applicazioni.

Gli aggiornamenti devono essere automatizzati limitatamente alle postazione di lavoro. In ambito server (appliance) vengono installate automaticamente solo patch critiche e di sicurezza (security updates).

4.5.2M

Assicurare l'aggiornamento dei sistemi separati dalla rete, in particolare di quelli air-gapped, adottando misure adeguate al loro livello di criticità.

La MS va implementata tramite l'utilizzo di procedure off-line e supporti rimovibili.

4.7.1M
Verificare che le vulnerabilità emerse dalle scansioni siano state risolte sia per mezzo di patch, o implementando opportune contromisure oppure documentando e accettando un ragionevole rischio.
Verifica periodica della risoluzione per mezzo di patch/aggiornamenti delle vulnerabilità emerse. Per sistemi obsoleti, dei quali è ancora necessario l'utilizzo, vengono attivate le seguenti misure:
  • installazione dei soli servizi e software strettamente necessari;
  • possibile disconnessione dalla rete, oppure attuazione di controlli e restrizioni su IP e utenze con cui accedere;
  • attivare soltanto utenze di accesso con privilegi minimi;
  • scambio di dati tramite memorie/usb dedicate esterne opportunamente controllate prima e dopo l’utilizzo sui sistemi a rischio.
4.8.1M

Definire un piano di gestione dei rischi che tenga conto dei livelli di gravità delle vulnerabilità , del potenziale impatto e della tipologia degli apparati (e.g. server esposti, server interni, PdL, portatili, etc.).

In considerazione del basso livello di criticità dell'intera infrastruttura e dei dispositivi connessi la MS va implementata, all'occorrenza, con procedure manuali.

4.8.2M

Attribuire alle azioni per la risoluzione delle vulnerabilità un livello di priorità in base al rischio associato.  In particolare applicare le patch per le vulnerabilità a partire da quelle più critiche.

La MS va implementata in base a quanto previsto al punto 4.8.1.
ABSC 5 (CSC 5): Uso appropriato dei privilegi di amministratore
Regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi
ABSC_IDLivelloDescrizioneModalità di implementazione
5.1.1M
Limitare i privilegi di amministrazione ai soli utenti che abbiano le competenze adeguate e la necessità operativa di modificare la configurazione dei sistemi. 
Concedere i privilegi di amministrazione alle utenze solo su richiesta scritta motivata, approvata dall'Amministratore della Risorsa e/o autorizzata dal Responsabile della Struttura.
5.1.2M
Utilizzare le utenze amministrative solo per effettuare operazioni che ne richiedano i privilegi, registrando ogni accesso effettuato.
Sulle postazioni di lavoro in uso a laboratori o centri calcolo vengono usati solo utenti non amministratori, e usati i privilegi amministrativi quando è necessario. 
Dove possibile gli accessi effettuati dalle utenze amministrative sono registrati sul registro eventi del s.o./dominio.
L’accesso al dispositivo con i privilegi di amministratore deve essere effettuato solo in caso di effettiva necessità e da persona autorizzata Amministratore della Risorsa e/o autorizzata dal Responsabile della Struttura.
Sulle console di gestione delle stampanti è consentito l’accesso esclusivamente ad utenti con privilegi di amministratore; per esigenze di carattere gestionale possono essere creati utenti generici senza che questi abbiano privilegi di amministratore.
5.2.1M
Mantenere l'inventario di tutte le utenze amministrative, garantendo che ciascuna di esse sia debitamente e formalmente autorizzata. 
L'Inventario delle utenze amministrative deve essere presente su file aggiornato manualmente, a cura dell'Amministratore, e conservato off-line.
5.3.1M
Prima di collegare alla rete un nuovo dispositivo sostituire le credenziali dell'amministratore predefinito con valori coerenti con quelli delle utenze amministrative in uso.

Ad ogni dispositivo collegato alla rete vanno sostituite le credenziali di default, in maniera coerente con la password policy di Sapienza.

5.7.1M
Quando l'autenticazione a più fattori non è supportata, utilizzare per le utenze amministrative credenziali di elevata robustezza (e.g. almeno 14 caratteri).

Rispettare questa misura adottando la password policy di Sapienza.

5.7.3M
Assicurare che le credenziali delle utenze amministrative vengano sostituite con sufficiente frequenza (password aging).

Rispettare questa misura adottando la password policy di Sapienza.

5.7.4M
Impedire che credenziali già utilizzate possano essere riutilizzate a breve distanza di tempo (password history).

Rispettare questa misura adottando la password policy di Sapienza.

5.10.1M
Assicurare la completa distinzione tra utenze privilegiate e non privilegiate degli amministratori, alle quali debbono corrispondere credenziali diverse.
 
La MS va implementata in base a quanto previsto dai punti 5.1.1 e 5.2.1.
5.10.2M
Tutte le utenze, in particolare quelle amministrative, debbono essere nominative e riconducibili ad una sola persona.
Le utenze amministrative devono essere registrate e riconducibili, in termini di responsabilità, ad una persona fisica.
5.10.3M
Le utenze amministrative anonime, quali "root" di UNIX o "Administrator" di Windows, debbono essere utilizzate solo per le situazioni di emergenza e le relative credenziali debbono essere gestite in modo da assicurare l'imputabilità di chi ne fa uso.
 
La MS va implementata in base a quanto previsto dai punti 5.1.1 e 5.2.1.
5.11.1M
Conservare le credenziali amministrative in modo da garantirne disponibilità e riservatezza.

Le utenze amministrative vanno predisposte su un documento ad accesso limitato al Responsabile della Risorsa.

5.11.2M
Se per l'autenticazione si utilizzano certificati digitali, garantire che le chiavi private siano adeguatamente protette.
Eventuali certificati digitali vanno conservati in archivi crittografati.
ABSC 8 (CSC 8): Difese contro i malware
Controllare l’installazione, la diffusione e l’esecuzione di codice maligno in diversi punti dell’azienda, ottimizzando al tempo stesso l’utilizzo dell’automazione per consentire il rapido aggiornamento delle difese, la raccolta dei dati e le azioni correttive.
ABSC_IDLivelloDescrizioneModalità di implementazione
8.1.1M
Installare su tutti i sistemi connessi alla rete locale strumenti atti a rilevare la presenza e bloccare l'esecuzione di malware (antivirus locali). Tali strumenti sono mantenuti aggiornati in modo automatico.
Sui sistemi connessi alla rete è prevista l’installazione dell’antivirus (campus) fornito da CINFO a tutte le strutture reperibile su https://campus.uniroma1.it.
8.1.2M
Installare su tutti i dispositivi firewall ed IPS personali.
Su tutti i dispositivi va installato e attivato il firewall locale.
8.3.1M
Limitare l'uso di dispositivi esterni a quelli necessari per le attività aziendali.

La MS va implementata mediante gli strumenti previsti al punto 8.1.1.

8.7.1M
Disattivare l'esecuzione automatica dei contenuti al momento della connessione dei dispositivi removibili.

La MS va implementata mediante gli strumenti previsti al punto 8.1.1.

Consultare inoltre il link: https://support.microsoft.com/it-it/help/967715/how-to-disable-the-autorun-functionality-in-windows.

8.7.2M
Disattivare l'esecuzione automatica dei contenuti dinamici (e.g. macro) presenti nei file.

La MS va implementata mediante gli strumenti previsti al punto 8.1.1.

8.7.3M
Disattivare l'apertura automatica dei messaggi di posta elettronica.
La MS va implementata mediante gli strumenti previsti al punto 8.1.1;

l’interfaccia web di Google Mail non consente l’apertura automatica di messaggi di posta, ne consente la visualizzazione di anteprima, senza esecuzione di codice.
8.7.4M
Disattivare l'anteprima automatica dei contenuti dei file.

La MS va implementata mediante gli strumenti previsti al punto 8.1.1.

8.8.1M
Eseguire automaticamente una scansione anti-malware dei supporti rimuovibili al momento della loro connessione.

La MS va implementata mediante gli strumenti previsti al punto 8.1.1.

8.9.1M
Filtrare il contenuto dei messaggi di posta prima che questi raggiungano la casella del destinatario, prevedendo anche l'impiego di strumenti antispam.
La MS è implementata dai server di posta istituzionali.
8.9.2M
Filtrare il contenuto del traffico web.
La MS è implementata da sistemi di frontiera gestiti dal Centro Infosapienza.
8.9.3M
Bloccare nella posta elettronica e nel traffico web i file la cui tipologia non è strettamente necessaria per l'organizzazione ed è potenzialmente pericolosa (e.g. .cab).
La MS è implementata dai server di posta istituzionali.
ABSC 10 (CSC 10): Copie di sicurezza
Procedure e strumenti necessari per produrre e mantenere copie di sicurezza delle informazioni critiche, così da consentirne il ripristino in caso di necessità
ABSC_IDLivelloDescrizioneModalità di implementazione
10.1.1M
Effettuare almeno settimanalmente una copia di sicurezza almeno delle informazioni strettamente necessarie per il completo ripristino del sistema.
Il salvataggio dei dati può essere effettuato su dispositivi rimovibili e/o nel cloud di Google Drive con password ed eventuale cifratura.
10.3.1M
Assicurare la riservatezza delle informazioni contenute nelle copie di sicurezza mediante adeguata protezione fisica dei supporti ovvero mediante cifratura. La codifica effettuata prima della trasmissione consente la remotizzazione del backup anche nel cloud. 
Implementare la MS in base a quanto previsto al punto 10.1.1.
10.4.1M
Assicurarsi che i supporti contenenti almeno una delle copie non siano permanentemente accessibili dal sistema onde evitare che attacchi su questo possano coinvolgere anche tutte le sue copie di sicurezza.
I supporti vanno connessi al PC per effettuare eventuali copie, dopodichè devono essere disconnessi.
ABSC 13 (CSC 13): Protezione dei dati
Processi interni, strumenti e sistemi necessari per evitare l’esfiltrazione dei dati, mitigarne gli effetti e garantire la riservatezza e l’integrità delle informazioni rilevanti
ABSC_IDLivelloDescrizioneModalità di implementazione
13.1.1M
Effettuare un'analisi dei dati per individuare quelli con particolari requisiti di riservatezza (dati rilevanti) e segnatamente quelli ai quali va applicata la protezione crittografica.

Stilare un elendo dei dati, se presenti, che possiedono particolari requisiti di riservatezza e/o richiedono una protezione crittografica.

13.8.1M
Bloccare il traffico da e verso url presenti in una blacklist.
La MS è implementata da sistemi di frontiera gestiti dal Centro Infosapienza.