Linee guida alla continuitÃ operativa nella Pubblica ... - DigitPA

More documents

Recommendations

Info

A SPETTIMETODOLOGICIPer ogni servizio da proteggere, l’amministrazione deve identificare l’insieme delle risorse(umane, tecnologiche, procedurali e gli spazi di lavoro) necessarie alla sua erogazione.Tale insieme viene, in alcune metodologie, definito “isola”. Nel seguito, per comodità,useremo ancora questa definizione, rappresentata graficamente nella figura seguente.Figura 4Un esempio di “isola” potrebbe essere l’insieme costituito da un sistema server, un apparatodi stampa, una porzione di LAN, alcune postazioni di lavoro, i dipendenti di una specificaunità organizzativa, i locali di un ufficio.Nell’identificare le risorse da proteggere, si deve tener conto anche di alcune tipologie dioggetti che non è intuitivo collegare direttamente a uno specifico servizio. Ad esempio:• documenti di tipo contrattuale (con fornitori, assicurazioni, partner, ecc.);• documentazione operativa (manuali, agende, guide, mappe, schemi tecnici, liste dipassword, configurazioni di sistema);• materiale minuto vario (carte di credito, contante, assegni, timbri e sigilli amministrativi).Da quali eventiNell’identificazione degli eventi da prendere in considerazione, va posta particolare attenzioneagli eventi “non pianificati”, perché sono generalmente la causa principale di interruzionedella continuità operativa.Può essere utile suddividere gli eventi non pianificati in due tipologie:• “eventi fisici”, cioè problemi su risorse infrastrutturali e tecnologiche; spaziano daimalfunzionamenti hardware (problematiche di componente) fino all’indisponibilitàprolungata della sede che ospita l’ambiente considerato;• “eventi logici”, cioè problemi causati dal software, quali errori applicativi, virusinformatici o attacchi da parte di hacker.Gli eventi del primo tipo ricadono propriamente nel tema della continuità operativa.Viceversa, gli eventi logici sono quasi sempre affrontati e risolti tramite soluzioni di altrotipo, quali, ad esempio, politiche di application management o di security management.Con quali livelli di servizioPer ogni servizio da proteggere, è necessario determinare in che misura esso deve esseremantenuto in operatività. Tale misura viene in genere data attraverso i due indicatori19N. 28 I QUADERNI - Centro Nazionale per l’Informatica nella Pubblica Amministrazione - GIUGNO 2006
L INEE GUIDA ALLA CONTINUITÀ OPERATIVANELLA P UBBLICA A MMINISTRAZIONERecovery Time Objective (RTO, massimo tempo di indisponibilità del servizio, ovverotempo entro il quale il servizio da proteggere deve essere ripristinato) e Recovery PointObjective (RPO, perdita dati sostenibile, in termini di distanza temporale tra il verificarsidell’emergenza e l’ultimo salvataggio utile e ripristinabile dei dati).La determinazione del RTO e del RPO dei servizi da proteggere viene in genere effettuatadurante la Business Impact Analysis (vedi paragrafo 1.1.2).I livelli di servizio sono normalmente diversi per i vari servizi da proteggere. Da ciò derivail fatto che le esigenze di continuità di un’amministrazione sono, in generale, soddisfatteda un insieme di soluzioni tecnico-organizzative, piuttosto che da una sola. Adesempio, possono essere realizzate soluzioni che assicurano una perdita dati prossima azero per tutti quei servizi per i quali non è possibile o difficilmente realizzabile la ricostruzioneo re-immissione dei dati, mentre per altri servizi (ad esempio il datawarehouse)possono essere attuate soluzioni meno impegnative e costose, perché i dati sono generalmentericostruibili a partire da altri archivi.Nella letteratura tecnica vi sono alcune proposte di classificazione dei servizi sulla base diRTO e RPO. Ad esempio, Gartner Group propone di classificare i servizi erogati in questomodo:• servizi di classe 1: con RTO e RPO prossimi a zero;• servizi di classe 2: con RTO dell’ordine delle 24 ore, e RPO prossimo a 4 ore;• servizi di classe 3: con RTO dell’ordine delle 72 ore, e RPO prossimo a 24 ore;• servizi di classe 4: con RTO misurabile in giorni, e RPO superiore a 24 ore.I servizi delle prime due classi sono, in generale, quelli definibili “critici”. Quelli appartenentialla terza e quarta classe possono essere protetti anche con soluzioni non appartenentiall’area della continuità operativa (ad esempio semplicemente con un sistema dibackup).Nello studio del contesto vi sono altri aspetti che devono essere considerati: ad esempiosi dovrà stabilire in anticipo l’eventuale degrado di prestazioni o aumento dei tempi dirisposta nei servizi accettabili in caso di emergenza, così come i rischi residui verso i qualil’amministrazione potrebbe continuare ad essere esposta nonostante l’adozione di unasoluzione di continuità. Infatti non tutti i rischi sono eliminabili, sia perché non economicamenteconveniente sia perché si è disposti ad accettare gli effetti, dopo averli valutati,che ne potrebbero conseguire. Questa valutazione viene effettuata durante le fasi descrittenei prossimi due paragrafi.1.1.1 RISK ASSESSMENT20In questa fase (chiamata anche in letteratura tecnica “analisi del rischio”) vanno determinati,analizzati e classificati i rischi a cui è soggetta l’amministrazione, e vanno stimate levulnerabilità dell’amministrazione, in modo che quest’ultima sia poi capace di individuarele salvaguardie più adeguate ed efficaci.Prima di tutto, è indispensabile definire gli oggetti cardine della problematica, fornendo definizionisulle quali esiste, nella letteratura tecnica, un intendimento comune. Nel glossario allegatoal presente documento sono presenti le definizioni di “rischio”, “minaccia”, “vulnerabilità”e “salvaguardia”. Nel seguito si farà ampio riferimento a tali definizioni, eventualmenteN. 28 I QUADERNI - Centro Nazionale per l’Informatica nella Pubblica Amministrazione - GIUGNO 2006
Page 3 and 4: 651.4.2. ATTIVAZIONE DEI MECCANISMI
Page 5 and 6: 5.1.5. LA COPIA LOCALE E LA REPLICA
Page 7 and 8: L INEE GUIDA ALLA CONTINUITÀ OPERA
Page 10 and 11: Obiettivi e scenari della continuit
Page 12: O BIETTIVI E SCENARI DELLA CONTINUI
Page 16 and 17: 1. Aspetti metodologiciNell’accez
Page 18 and 19: A SPETTIMETODOLOGICI• eventi non
Page 22 and 23: A SPETTIMETODOLOGICIestendendole, o
Page 24 and 25: A SPETTIMETODOLOGICIMINACCIA 1 MINA
Page 26 and 27: A SPETTIMETODOLOGICIUna volta class
Page 28 and 29: A SPETTIMETODOLOGICI1.1.2 BUSINESS
Page 30 and 31: A SPETTIMETODOLOGICIIn sintesi, gli
Page 32 and 33: A SPETTIMETODOLOGICI1.2 ESAME DELLE
Page 34 and 35: A SPETTIMETODOLOGICIripristinare il
Page 36 and 37: A SPETTIMETODOLOGICIPuò accadere i
Page 38 and 39: A SPETTIMETODOLOGICINella letteratu
Page 40 and 41: A SPETTIMETODOLOGICI• aumento del
Page 42 and 43: A SPETTIMETODOLOGICIUn’altra poss
Page 44 and 45: A SPETTIMETODOLOGICIticità medio (
Page 46 and 47: A SPETTIMETODOLOGICIMolti di questi
Page 48 and 49: A SPETTIMETODOLOGICI1.2.8 MATRICE T
Page 50 and 51: A SPETTIMETODOLOGICIPer le sedi per
Page 52 and 53: A SPETTIMETODOLOGICILe principali i
Page 54 and 55: A SPETTIMETODOLOGICITra gli aspetti
Page 56 and 57: A SPETTIMETODOLOGICI• allestiment
Page 58 and 59: A SPETTIMETODOLOGICIprogramma di is
Page 60 and 61: A SPETTIMETODOLOGICIAd esempio, anz
Page 62 and 63: A SPETTIMETODOLOGICI- procedure ope
Page 64: A SPETTIMETODOLOGICISito per ripris
Page 71 and 72:
L INEE GUIDA ALLA CONTINUITÀ OPERA
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 84 and 85:
3. Organizzazione delle strutture d
Page 86 and 87:
O RGANIZZAZIONE DELLE STRUTTURE DI
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
4. Strumenti giuridici e operativi
Page 98 and 99:
S TRUMENTI GIURIDICI E OPERATIVI PE
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112:
Page 115 and 116:
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 132:
Appendici
Page 135 and 136:
Page 138 and 139:
Appendice B: Indice tipo per il Pia
Page 140 and 141:
A PPENDICE B: INDICE TIPO PER IL P
Page 142 and 143:
Page 144:
Page 147 and 148:
Page 149 and 150:
Page 151 and 152:
Page 154 and 155:
Appendice D: Modello di contrattoCO
Page 156 and 157:
A PPENDICE D: MODELLO DI CONTRATTOb
Page 158 and 159:
A PPENDICE D: MODELLO DI CONTRATTOA
Page 160 and 161:
A PPENDICE D: MODELLO DI CONTRATTOc
Page 162 and 163:
A PPENDICE D: MODELLO DI CONTRATTOS
Page 164 and 165:
A PPENDICE D: MODELLO DI CONTRATTO
Page 166 and 167:
A PPENDICE D: MODELLO DI CONTRATTOc
Page 168 and 169:
A PPENDICE D: MODELLO DI CONTRATTOf
Page 170 and 171:
Appendice E: Modello di capitolato
Page 172 and 173:
A PPENDICE E: MODELLO DI CAPITOLATO
Page 174 and 175:
Page 176 and 177:
Page 178 and 179:
Appendice F: Standard e link di rif
Page 180 and 181:
Appendice G: GlossarioAAccess Contr
Page 182 and 183:
A PPENDICEG: GLOSSARIOemergenze di
Page 184 and 185:
A PPENDICEG: GLOSSARIOCSOAcronimo d
Page 186 and 187:
A PPENDICEG: GLOSSARIOcesso a un al
Page 188 and 189:
A PPENDICEG: GLOSSARIOMinacciaPoten
Page 190 and 191:
A PPENDICEG: GLOSSARIORegistration
Page 192 and 193:
A PPENDICEG: GLOSSARIOSSLAcronimo d
show all

Linee guida alla continuitÃ operativa nella Pubblica ... - DigitPA

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?