Sistema CIS: l'importanza delle informazioni classificate riservate

CIS è l'acronimo di Communication and Information System e come descritto nel DPCM n. 5/2015 rappresenta il complesso di apparati, aree ad accesso riservato, personale abilitato, hardware, software e procedure operative, finalizzati all'elaborazione, memorizzazione e trasmissione di informazioni classificate o coperte da segreto di Stato, attraverso sistemi informatici.

In questo articolo viene illustrato quando è richiesto un sistema CIS, quali sono le normative di riferimento e perché è importante rivolgersi a professionisti del settore.

L'argomento trattato non deve essere confuso con la tutela dei dati personali ed il rispetto del Regolamento Europeo per la Protezione dei Dati Personali, il cosiddetto GDPR 2016/679. La sicurezza dei dati personali è sicuramente imprescindibile ed obbligatoria introdurla nella propria organizzazione aziendale o nella PA, ma in questo articolo parliamo di segretezza dei dati e di informazioni classificate che occorre tutelare a livello nazionale, internazionale, industriale, etc..

Cosa sono le informazioni classificate

Prima di parlare di sistema CIS è necessario capire cosa sono le informazioni classificate. Quando una azienda o una Pubblica Amministrazione tratta dati o informazioni cosiddette classificate, si identifica una classificazione sulla segretezza sia materiale che immateriale, analogica o digitale. Tra queste informazioni ovviamente ci sono quelle a tutela della sicurezza nazionale, industriale, etc.

La classificazione è suddivisa in quattro categorie come indicato dalle classifiche di segretezza del sito web della Sicurezza Nazionale:

1. Segretissimo (SS)
2. Segreto (S)
3. Riservatissimo (RR)
4. Riservato (R)

Senza entrare nei dettagli di ciascuna di queste categorie è possibile identificare queste peculiarità come una limitazione all'accesso di informazioni e/o documentazioni da parte di persone, apparati, enti, etc.

Quindi sulla base di questa classificazione vengono delineate delle restrizioni e delle attività da porre in essere per garantire un certo livello di segretezza.

Quando è richiesto un Sistema CIS

Un sistema CIS viene di norma richiesto alle aziende che desiderano partecipare ad un bando dove è richiesto un certo livello di segretezza tra quelli sopra classificati. Questo comporta che l'azienda predisponga una serie di soluzioni interne che impediscano a persone e sistemi informatici non autorizzati di entrare in contatto con informazioni classificate. Ovviamente sulla base della singola categoria sopra indicata sono da porre in atto soluzioni diverse al crescere del livello di segretezza e della sicurezza dei dati.

Il Portale UCSe (Ufficio Centrale per la Segretezza) del Dipartimento delle Informazioni per la Sicurezza fornisce tutte le informazioni alle imprese ed alle PA che necessitano di adottare sistemi CIS ed indica quelli che sono i livelli ed i sistemi di segretezza da realizzare.

In particolare per informazioni classificate fino a "Riservato" che, come sopra indicato è il grado "minimo" di segretezza, non si necessita di alcuna autorizzazione o accreditamento particolare, ma occorre che sia realizzato un sistema CIS come descritto dalla normativa a cui segue una Autocertificazione predisposta su di un modello apposito che identifichi il rispetto degli step richiesti.

Si definisce un sistema CIS isolato, una infrastruttura informatica che non deve essere collegata né all'esterno con reti pubbliche e nemmeno all'interno con linee LAN o intranet. Tra i requisiti viene richiesto anche lo scollegamento del cavo e della scheda di rete o laddove impossibile perché installata ad esempio sulla scheda madre è necessaria la disinstallazione dei driver per inibirne il funzionamento. Idem per le schede di rete WiFi.

Un CIS isolato garantisce anche con l'ausilio di opportune policy di aggiornamento, software di sicurezza, accesso, etc. che non sia attaccabile dall'esterno e che solo le persone realmente incaricate con diverse tipologie di autorizzazioni possano accedervi, senza che le informazioni in esso contenute siano violate e/o trafugate.

La normativa sulle informazioni classificate

La normativa di riferimento è data dal DPCM (Decreto del Presidente del Consiglio dei Ministri) del 6 novembre 2015, n. 5 recante "Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva" con le disposizioni contenute nel DPCM 2 ottobre 2017, n. 3.

Tale decreto composto da 84 articoli è suddiviso in diverse sezioni che delineano i principi di sicurezza delle informazioni, l'organizzazione nazionale per la sicurezza, la classificazione di segretezza, la funzione del NOS (Nulla Osta di Sicurezza), la tutela e diffusione delle informazioni, la sicurezza delle comunicazioni e dei sistemi CIS, identifica la sicurezza fisica, l'accesso agli atti e obblighi di non divulgazione, etc.

L'art. 66 del DPCM 5/2015 elenca i criteri di sicurezza che un CIS deve avere oltre a quelli inerenti al processo di contenimento del rischio come deterrenza, prevenzione, rilevamento, resilienza e ripristino. Sono tutte caratteristiche necessarie per contenere e rilevare rischi ma anche per ridurre le vulnerabilità.

Come già indicato a seconda della classificazione è necessario adottare delle misure atte a contenere e valutare i rischi di diffusione delle informazioni classificate, progettando e realizzando CIS isolati su misura, formando il personale tecnico, amministrativo, di sicurezza, etc., sia di una azienda privata che di PA, oltre ad avere consapevolezza sulla segretezza e sulle azioni da adottare, attivando le necessarie misure preventive ed obbligatorie.

Realizzare un sistema CIS significa (almeno per la classificazione "minima" di Riservato) eseguire delle procedure che siano conformi alla checklist dell'Allegato 6 della Direttiva PCM-ONS n. 3/2019 che elenca le caratteristiche tecniche, funzionali e procedurali di sicurezza che tale soluzione deve possedere. Una volta verificato che tutto sia stato eseguito correttamente è necessario che il funzionario designato alla sicurezza inoltri una autocertificazione secondo un apposito modello unito all'Allegato 6.

La figura dell'Amministratore di Sistema

In questo contesto è fondamentale nonché richiesto anche la nomina di un Amministratore di Sistema, che deve avere specifiche competenze in materia di segretezza delle informazioni e risulti attento nell'applicare tutte le procedure previste dalla normativa. Non basta il "classico" Amministratore di Sistema o di rete, visto che deve avere competenze trasversali su diversi ambiti sistemistici, di sicurezza, reti informatiche, accessi, etc..

Per tale motivo molte aziende scelgono di incaricare un professionista esterno che avrà il compito iniziale di progettare e realizzare il sistema CIS completo e provvedere a manutenerlo, aggiornarlo, massimizzare la sicurezza, etc.

Un sistema CIS isolato proprio perché non è a contatto con il "mondo esterno", necessita di un professionista che adotti accorgimenti particolari per gli aggiornamenti (esempio quelli offline), una procedura di autenticazione delle varie figure molto ristretta e redigere attentamente il Regolamento di Sicurezza Interno che sarà la pietra miliare su cui basarsi nei vari scenari che potranno accadere nel tempo.

Il monitoraggio, l'analisi dei log e tanto altro sono solo alcune attività che l'Amministratore di sistema dovrà curare periodicamente insieme ad altre attività burocratiche necessarie a rendere conformi il sistema di segretezza.

Inoltre l'amministratore di sistema dovrà eseguire tutte le attività in presenza visto che non è possibile avere connessione ai CIS e programmare attentamente in base alle varie esigenze uno schedule lavorativo coerente al mantenimento della segretezza delle informazioni.

Conclusioni

Molte aziende che desiderano partecipare ad alcuni appalti, ma anche in molte PA dove si richiede il trattamento di informazioni classificate è necessario adeguare la propria infrastruttura informatica con procedure delineate dalla normativa vigente in materia con la creazione di sistemi CIS e formazione su misura per la tutela di dati riservati. L'impatto di questo adeguamento è anche e soprattutto sulle persone che vanno formate, incaricate, responsabilizzate, etc.

E' fondamentale valutare tutti gli aspetti procedurali, tecnici, operativi, etc. per rispettare i requisiti sempre più stringenti al crescere della classificazione e spesso all'interno delle aziende, specie per le più piccole, non sono presenti professionisti in grado di progettare e realizzare soluzioni come quelle richieste.

Rivolgersi a professionisti anche esterni è in questi casi un requisito imprescindibile e grazie alla collaborazione con il personale dell'impresa, unita alla formazione ed all'individuazione delle figure di riferimento richieste per la conformità si riesce a strutturare e pianificare attività ed infrastrutture informatiche che garantiscono la tutela delle informazioni classificate e la relativa segretezza secondo normativa.

In questo articolo sono state affrontate solo alcune caratteristiche iniziali inerenti alla segretezza delle informazioni ed alla loro disciplina tecnica e procedurale. Questo testo vuole rappresentare uno spunto di riflessione per esortare le imprese e le PA ed in particolar modo a chi deve curare la classificazione delle informazioni come il Funzionario incaricato a valutare l'importanza di una pianificazione, progettazione ed attuazione in un contesto che mette a repentaglio la sicurezza nazionale e delle imprese. Come recita un famoso slogan: la sicurezza è un processo e non un prodotto. Non basta inserirla successivamente, ma va progettata dall'inizio!

Se pensi che questo articolo sia utile ai tuoi amici, condividilo sui social network.

Aggiungi Studio Tarantelli al tuo feed di Google News.

03-08-2023

Autore: Mirko Tarantelli - consulente informatico e SEO - Data Scientist

© Tutti i diritti sono riservati. È vietato qualsiasi utilizzo, totale o parziale dei contenuti qui pubblicati.