Harmony

1. Harmony Roberto Cecchini Commissione Calcolo e Reti20 Ottobre 2005

2. Gruppo di lavoro Harmony • Membri: • Silvia Arezzini; • Eleonora Bovo; • Roberto Cecchini; • Paolo Lo Re; • Ombretta Pinazza; • Alessandro Spanu . CCR, 20/10/05

3. Obiettivi originali • Proposta di Documento Programmatico sulla Sicurezza (DPR 28/7/99 n. 318, e DL 30/6/03, n. 196) riguardo il trattamento dei dati personali sensibili (DPS): • criteri per la protezione delle aree e locali; • criteri per l’integrità dei dati; • criteri per la sicurezza delle trasmissioni e restrizioni di accesso; • piano di formazione del personale. • Proposta di regolamento per l’uso delle risorse di calcolo • norme uniformi per tutte le Strutture INFN. CCR, 20/10/05

4. Deliverable 1: DPS • Template per la stesura del DPS • distribuito alle Strutture per la necessaria personalizzazione; • nuova versione a seguito del DL 30/6/03; • completato da quasi tutte le Strutture. CCR, 20/10/05

5. Variazione in corso d’opera • Direttiva del 16/1/02 del Dip. per l’Innovazione e le Tecnologie: Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni • autodiagnosi del livello di adeguatezza della sicurezza; • attivazione delle necessarie iniziative per posizionarsi sulla “base minima di sicurezza”; • programma di azione per la sicurezza: • creazione di un modello organizzativo nazionale di sicurezza; • istituzione comitato nazionale di sicurezza; • definizione schema nazionale di riferimento; • formulazione di un piano nazionale di sicurezza per la PA; • realizzazione della certificazione di sicurezza nella PA. CCR, 20/10/05

6. Deliverable 2: documenti non tecnici • Carta della sicurezza • politiche e strategie di sicurezza; • modello organizzativo; • processi di attuazione; • direttive per lo sviluppo, gestione, controllo e verifica delle misure da adottare. • Politiche specifiche di sicurezza (include il Regolamento per l’uso delle risorse di calcolo) • definizioni e concetti base; • regole per l’organizzazione, il personale ed i sistemi. • Consegnati (nel 2004) al Presidente della CCR CCR, 20/10/05

7. Deliverable 2: documenti tecnici • Specifiche procedure per la gestione operativa: misure da adottare per garantire la sicurezza dei sistemi • host security; • network security; • gestione incidenti; • controllo del sistema di sicurezza. • Documenti tecnici • necessitano aggiornamenti continui: modalità da decidere. • Consegnati (nel 2004) al Presidente della CCR. CCR, 20/10/05

8. Corsi di aggiornamento • Corsi di aggiornamento per addetti alla gestione dei dati personali (richiesti dal DL 30/6/93) • spin-off del gruppo • - A. Spanu, + M. Michelotto; • 4 corsi dal 2004 (Padova, LNF, Napoli e Torino); • in preparazione la nuova serie; • formalizzazione? CCR, 20/10/05

9. Future attività? • Istituzionalizzazione? • importante la combinazione di informatici “sensibili” a problematiche legali con legali “sensibili” a problematiche informatiche; • formalizzazione dei rapporti con il Servizio Legale. • Istituzione di uno CSIRT per l’INFN? • Possibili attività: • gestione corsi di aggiornamento; • interpretazione leggi (ad es. gli ultimi decreti anti terrorismo); • aiuto nella stesura documenti legali (ad es. il documento programmatico sulla sicurezza). CCR, 20/10/05