際際滷

際際滷Share a Scribd company logo

Alessandroni Digit Pa 19 Giugno Bsi

Alessandro Alessandroni
Alessandro Alessandroni

Presentazione Convegno BSI 19.06.2012 su ISO22301

1 of 28
Downloaded 13 times
Nuovo Standard ISO22301 per la gestione della continuit operativa. Opportunit per le aziende: business, dati e servizi garantiti EVENTO BSI 19 giugno 2012 Articolo 50-bis del CAD: la continuit operativa delle pubbliche amministrazioni Alessandro Alessandroni progetto Continuit Operativa alessandroni@digitpa.gov.it 1
Prima dellart.50 bis Iniziative prevalentemente limitate alle organizzazioni pi湛 critiche e complesse In molti casi attenzione soprattutto alle soluzioni tecniche 2005 istituzione del Centro di competenza sulla continuit operativa presso CNIPA) 2006 Linee guida alla continuit operativa nella PA Quaderno CNIPA n.28 2008 La Continuit operativa nella PA: Casi di studio Quaderno n. 35 (MEF/Sogei, Min. P.I., Min. Trasporti, Istituti Previdenziali e assicurativi, CSI Piemonte) 2
Il Centro Unico di Back-up degli enti previdenziali e assicurativi 3
Evoluzione del Centro Unico di Back-up degli enti previdenziali e assicurativi 4
Nuovo Codice dellAmministrazione Digitale larticolo 50-bis (Continuit operativa) Dlgs 30.12.2010, n.235 : 1. In relazione ai nuovi scenari di rischio, alla crescente complessit dellattivit istituzionale caratterizzata da un intenso utilizzo della tecnologia dellinformazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuit delle operazioni indispensabili per il servizio e il ritorno alla normale operativit. 2. Il Ministro per la pubblica amministrazione e linnovazione assicura lomogeneit delle soluzioni di continuit operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento. 5
Compiti delle pubbliche amministrazioni 3. A tali fini, le pubbliche amministrazioni definiscono : a) il piano di continuit operativa: fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuit operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticit relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalit del piano di continuit operativa con cadenza biennale; b) il piano di disaster recovery: stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e linnovazione. 6
Compiti delle pubbliche amministrazioni 4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilit tecnica; su tali studi 竪 obbligatoriamente acquisito il parere di DigitPA. 7
Nuovo Codice dellAmministrazione Digitale: Il Ciclo della CO/DR Fase Iniziale (o transitoria) PP.AA.: Implementano le soluzioni e predi-spongono i piani di CO e di DR sulla base dello SFT e del parere di DigitPA; Verificano con cadenza biennale la funzionalit DigitPA: Emette le Linee Guida (LG) del Piano di CO ; Garantiscono la manutenzione della soluzione e informando DigitPA Inviano a DigitPA annualmente laggiornamento del piano di DR PP.AA. : Predispongono e sottopongono al parere di DigitPA studi di fattibilit tecnica (SFT), DigitPA: verifica annualmente iaggiornamento dei piani di DR DigitPA: emette pareri su SFT Il Ministro assicura lomogeneit delle soluzioni informando con cadenza annuale il Parlamento Fase Implementativa (o a regime) 8
Le Linee Guida Le linee guida, approvate definitivamente dal Comitato Direttivo di DigitPA, sono state emanate il 28 nov 2011 Le linee guida sono disponibili nel sito DigitPA ancorch辿 lart. 50-bis preveda la produzione, a cura di DigitPA, delle linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni, di cui questo documento 竪 lattuazione, i contenuti del documento sono stati estesi anche a: - indicazioni nel merito dei contenuti e della produzione del piano di continuit operativa; Aspetti organizzativi indicazioni e schemi di massima dello studio di fattibilit tecnica, per fornire alle Amministrazioni gli elementi necessari al completo adempimento ai dispositivi dellarticolo. 9
Il perimetro di applicazione della CO delle pubbliche amministrazioni Il perimetro di applicazione della continuit operativa ICT deve comprendere almeno: 1. le applicazioni informatiche e i dati del sistema informativo indispensabili allerogazione dei servizi e allo svolgimento delle attivit (informatiche e non); 2. le infrastrutture fisiche e logiche che ospitano sistemi di elaborazione; 3. i dispositivi di elaborazione hw e sw che permettono la funzionalit delle applicazioni realizzanti i servizi dellamministrazione; 4. le componenti di connettivit locale e/o remota/geografica; 5. ci嘆 che serve per consentire lo svolgimento delle attivit del personale informatico, sia interno allamministrazione, sia, se presente, esterno, ma correlato al sistema informativo stesso; 6. le modalit di comunicazione ed informazione al personale utilizzatore del sistema informativo allinterno dellamministrazione e ai fruitori esterni dei servizi del sistema informativo dellamministrazione, siano essi cittadini, imprese, altre amministrazioni; 7. le misure per garantire la disponibilit dei sistemi di continuit elettrica (UPS e gruppi elettrogeni) e pi湛 in generale la continuit di funzionamento del sistema informativo; 8. la gestione dei posti di lavoro informatizzati dellamministrazione; 10 9. i servizi previsti per lattuazione del C.A.D. (fra cui ad es. la PEC; la firma Digitale
Le Linee Guida in sintesi 9 Capitoli Cap.3 Standard per lattuazione della CO Cap.4 Organizzazione delle strutture di gestione della CO Cap.5 La realizzazione della CO e delle soluzioni di DR Cap.6 Strumenti giuridici e operativi per lacquisizione di servizi di DR Cap.7 SFT, Piani di CO e Piani di DR 5 Appendici 1 Breve guida alla lettura (percorso minimo di lettura e glossario) 11
Definizione di business continuity (BC) o continuit operativa (CO) in ambito BSI e DigitPA (Da BS 25999-2:2007) Business Continuity (BC): strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable predefined level (Da Linee Guida per il DR delle PA, DigitPA 2011) Continuit Operativa: linsieme delle attivit e delle politiche adottate per ottemperare allobbligo di assicurare la continuit nel funzionamento dellorganizzazione; 竪 parte integrante dei processi e delle politiche di sicurezza di unorganizzazione; Continuit operativa ICT : la capacit di un organizzazione di adottare, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, allinterno o allesterno dellorganizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali; 12
Definizione di disaster recovery (DR) in ambito BSI e DigitPA (Da BS 25777) ICT disaster recovery: activities and programmes that are invoked in response to a disruption and are intended to restore an organizations ICT services (Da Linee Guida per il DR delle PA, DigitPA 2011) Disaster recovery (DR): nellambito dellart. 50 bis del CAD, linsieme delle misure tecniche e organizzative adottate per assicurare allorganizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dellorganizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilit prolungate 13
Esempio Corrispondenza LG DigitPA e ISO/IEC 22301 LG DigitPA ISO 22301 4.1 - Coinvolgimento dei vertici 5.1 - Leadership and commitment dellamministrazione e ruolo della struttura di gestione 4.4 - Criteri e Indicazioni Organizzative 5.4 - Organizational roles, responsibilities and authorities 5.2-5.4 Strumenti per lautovalutazione 8.2.2 BIA APPENDICE A: LA BUSINESS IMPACT ANALYSIS (BIA) 4.2 - Il Comitato di gestione della crisi 8.4.2 - Incident response structure 4.7 - Indicazioni per il collaudo e per i test 8.5 exercising and testing 4.8 - Indicazioni per Il Piano di Continuit 8.4.4 Business continuity plans Operativa 7.2 Il Piano di Continuit Operativa 4.9 Indicazioni per la gestione e la manutenzione 10.1 Nonconformity and corrective action della soluzione di CO/DR e del Piano di CO/DR 14
Le Linee Guida: Capitolo 5 La realizzazione della CO e delle soluzioni di DR Bassa Media Alta Critica Tier 1 Network Tier 2 Tier 3 Tier 4 Tier 3: soluzione simile a quella di Tier 5 Tier 2 ma il trasferimento dei dati tra il sito primario e quello di DR Tier 6 avviene attraverso un collegamento di rete tra i due siti. CRITICIT 15
CIRCOLARE 1属 dicembre 2011 , n. 58 (G.U. 27-12-2011 n. 300) Attivit di DigitPA e delle Amministrazioni ai fini dellattuazione degli adempimenti previsti dallarticolo 50 -bis (Continuit Operativa) del 束Codice dellAmministrazione Digitale損 (D.lgs. n. 82/2005 cos狸 come modificato dal D.lgs. 235 La prima parte: informazioni che le Amministrazioni devono inviare a DigitPA ai fini del rilascio del parere sugli Studi di Fattibilita Tecnica (SFT) e le modalit di presentazione delle richieste come previsto dal comma 4, art. 50 bis del CAD. La seconda parte: informazioni che le Amministrazioni devono inviare a DigitPA ai fini dellattivita di verifica del costante aggiornamento dei Piani di Disaster Recovery (DR), previste dal comma 3, lettera b), art. 50 bis, del CAD./2010). 16
SFT: tipologie di amministrazione Comuni Aziende sanitarie e ospedaliere Universit Istituti Scolastici Province Regioni PAC Camere di Commercio 17
Esempi di Esempi di servizi per un servizi per una Comune Universita Gestione atti amministrativi (determine, delibere) Consultazione online presenze personale tecnico- Gestione Bilancio amministrativo di Ateneo Gestione Economato (inventario, buoni Controllo di gestione economali) Customer satisfaction Gestione Edilizia Digital signage Gestione Patrimonio Gestione statistiche Gestione Sanzioni, Incidenti, Turni di servizio Portale assistenza rete e servizi di rete Gestione Protocollo Portale di cambio password Gestione Servizi Sociali Portale Spin-Off Gestione SIT (cartografia, civici e toponomastica) Produzione Badge Gestione sito web Affidamenti incarichi attivit didattiche Gestione Stipendi Albo online Gestione SUAP Consultazione OPAC SBN Gestione Personale (giuridico, presenze) Contabilit integrata di Ateneo Servizi Demografici (anagrafe, CIE, stato civile, Dematerializzazione procedimenti amministrativi elettorale) Firma digitale remota docenti . Gestione giuridico-economica del personale Gestione prove di selezione accesso programmato Gestione studenti 18 .
Esempi di servizi per una ASL Esenzione Continuit Assistenziale (ex. guardia medica) Vaccinazioni Scelta e revoca Servizio di Prevenzione e Protezione Laboratorio di analisi Impiantistica e sicurezza sul lavoro Patologie cronico degenerative e tumorali Medicina legale Protesica Consultori SERT Strutture sanitarie accreditate Sanit animale Servizio igiene degli allevamenti e delle produzioni zootecniche Gestione amministrativo-contabile Logistica e Supply Chain Gestione asset aziendali Gestione delle risorse umane Servizi direzionali CUP diretto e/o centralizzato 19 Esposizione referti su FSE
Esempi di servizi per una AO servizio di DEA servizio di Accettazione/Dismissione e Trasferimento ricoveri (ADT) servizio di gestione della Cartella Clinica di ricovero servizio di gestione sale operatorie servizio di gestione delle terapie intensive servizio di gestione ambulatori e casse servizio di gestione dei Laboratori Analisi servizio di gestione della Radiodiagnostica (Radiologia e Medicina Nucleare) servizio di gestione di Anatomia Patologica servizio Centro Trasfusionale (SIMT) servizio di gestione delle Prenotazioni ambulatoriali (CUP provinciale) servizio di gestione del Protocollo e Delibere portale Internet portale Intranet posta Elettronica servizio amministrativo contabile e controllo di gestione servizio gestione Risorse Umane servizio di gestione di Prevenzione e Sicurezza sul Lavoro 20
Esempi di servizi per una Provincia (classi di servizio) Affari Generali Protocollo Affari Generali - Ufficio Giunta/Ufficio Consiglio/Gestione atti/Societ Partecipate Personale - Gestione Economica del Personale Personale - Rilevazione presenze Gestione Economica dell'Ente - Programmazione Finanziaria Gestione Economica dell'Ente - Gestione ordinativi e pagamenti Gestione Economica dell'Ente - Controllo di Gestione Gestione Economale - Gestione Economato, Ordini e Magazzino Sistema bibliotecario della Provincia Settore Lavoro - Portale Sintesi Gestione Sanzioni Polizia Provinciale Rilascio licenze di Pesca Gestione venatoria Servizio zootecnia, agricolo e dell'alimentazione Albo Pretorio Siti Istituzionali Anagrafe Estesa Sovracomunale Sistema Informativo Territoriale Servizi provinciali e-gov 21
criticit Individuazione del responsabile della CO Relazione sul CAD Competenze tecniche non sempre presenti, specialmente nelle amministrazioni di piccole dimensioni Vincoli di budget Armonizzazione delle liste dei servizi e delle valutazioni di criticit per stessa tipologia di amministrazione In molti casi necessit di interventi di razionalizzazione sui siti primari (consolidamento, virtualizzazione,) prima di adottare soluzioni di DR Rischio di moltiplicazione dei data center in assenza di soluzioni 22 condivise
soluzioni Supporto DigitPA (linee guida, tool autovalutazione, schema SFT, seminari e workshop) Supporto organismi di settore ANCI/Ancitel, CISIS, IT4U, per armonizzare valutazioni servizi critici Ricerca soluzioni DR condivise tra pi湛 amministrazioni tramite: Centri Servizi Territoriali, societ in house regionali, consorzi interuniversitari ....................................... Ricorso al mercato per consulenza e servizi di DR Virtualizzazione e cloud? 23
Esempi di soluzioni Tier 1 per istituti scolastici con 1 server e 10 pdl, trasferimento settimanale supporti dati in sede secondaria o di altro istituto e accordo con fornitore per installazione server in caso emergenza Soluzione tier 4 tra due sedi della stessa amministrazione (piccolo o medio comune) con piattaforme virtualizate Soluzione di BC a livello di campus per Universit o azienda ospedaliera e sito per DR geografico presso fornitore esterno (eventuale societ regionale o consorzio) o altra amministrazione (mutuo soccorso) Grande comune o regione: gara per fornitore sito e servizi di DR (a volte inclusi servizi di connettivit) con Tier differenziati Amministrazioni centrali in full outsourcing hanno rivisto le criticit dei servizi, rinegoziato i requisiti di DR e integrato i propri piani e le strutture organizzative di CO e DR con quelle dei fornitori 24
DigitPA: Iniziative in corso e pianificate Sviluppo di modelli di Studi di Fattibilita Tecnica Tavolo Tecnico per i profili di servizio essenziali e dei loro livelli minimi per le soluzioni di disaster recovery Attivita di monitoraggio delle infrastrutture della PA ai fini di una razionalizzazione dei servizi di CO/DR 25
Tavolo tecnico con fornitori: lista servizi DR Consulenza per Studio fattibilit tecnica (SFT) BS25999 ISO/IEC22301 BIA e RA ISO/IEC 27001 Progettazione soluzione DR Realizzazione soluzione DR Predisposizione/manutenzione piani CO e DR Servizi di auditing di soluzioni di DR Disponibilit, gestione e manutenzione: Siti DR (+ connettivit) ANSI/TIA-942 Risorse Hw + sw per DR ISO/IEC 24762 Postazioni di lavoro per DR Servizi dati: Trasporto e conservazione supporti dati presso sito DR Servizi di storage on-line 26
Limportanza del 50-bis (e non solo): una testimonianza Le scrivo di nuovo in tema di disaster recovery visto che in questi ultimi 20 giorni qui a Ferrare abbiamo sperimentato il terremoto. In particolare io abito a Sant'Agostino, e per il momento vivo in un camper perch辿 sono fortunata. Il comune interno non 竪 pi湛 agibile e la Provincia di Ferrara mi ha dislocato a lavorare per il periodo dell'emergenza immediata nel Centro Operativo Comunale di Sant'Agostino. Alla luce di questo ho capito molto bene l'importanza del disaster recovery. Nel nostro caso tutti gli archivi cartacei, tutti i dati, tutta la struttura 竪 rimasta dentro al comune che questa settimana dovr implodere portandosi dietro tutta la conoscenza dell'ufficio tecnico e degli altri suoi servizi. I cittadini chiedono la documentazione per sapere come sono fatte le loro case per cercare di non perderle alla prossima scossa ma noi non possiamo rispondere, abbiamo tutto in comune. Siamo (credo dignitosamente) ripartiti individuando la scuola elementare come sede, ci manca tutto dalle graffette ai pc e dopo aver recuperato un back up le funzioni anagrafe, contabilit, sito e posta sono ripartite. ...abbiamo toccato con mano che la domanda del cittadino, in caso di disastro, cambia molto. ...
Alessandroni Digit Pa 19 Giugno Bsi

More Related Content

Alessandroni Digit Pa 19 Giugno Bsi

  • 1. Nuovo Standard ISO22301 per la gestione della continuit operativa. Opportunit per le aziende: business, dati e servizi garantiti EVENTO BSI 19 giugno 2012 Articolo 50-bis del CAD: la continuit operativa delle pubbliche amministrazioni Alessandro Alessandroni progetto Continuit Operativa alessandroni@digitpa.gov.it 1
  • 2. Prima dellart.50 bis Iniziative prevalentemente limitate alle organizzazioni pi湛 critiche e complesse In molti casi attenzione soprattutto alle soluzioni tecniche 2005 istituzione del Centro di competenza sulla continuit operativa presso CNIPA) 2006 Linee guida alla continuit operativa nella PA Quaderno CNIPA n.28 2008 La Continuit operativa nella PA: Casi di studio Quaderno n. 35 (MEF/Sogei, Min. P.I., Min. Trasporti, Istituti Previdenziali e assicurativi, CSI Piemonte) 2
  • 3. Il Centro Unico di Back-up degli enti previdenziali e assicurativi 3
  • 4. Evoluzione del Centro Unico di Back-up degli enti previdenziali e assicurativi 4
  • 5. Nuovo Codice dellAmministrazione Digitale larticolo 50-bis (Continuit operativa) Dlgs 30.12.2010, n.235 : 1. In relazione ai nuovi scenari di rischio, alla crescente complessit dellattivit istituzionale caratterizzata da un intenso utilizzo della tecnologia dellinformazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuit delle operazioni indispensabili per il servizio e il ritorno alla normale operativit. 2. Il Ministro per la pubblica amministrazione e linnovazione assicura lomogeneit delle soluzioni di continuit operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento. 5
  • 6. Compiti delle pubbliche amministrazioni 3. A tali fini, le pubbliche amministrazioni definiscono : a) il piano di continuit operativa: fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuit operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticit relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalit del piano di continuit operativa con cadenza biennale; b) il piano di disaster recovery: stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e linnovazione. 6
  • 7. Compiti delle pubbliche amministrazioni 4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilit tecnica; su tali studi 竪 obbligatoriamente acquisito il parere di DigitPA. 7
  • 8. Nuovo Codice dellAmministrazione Digitale: Il Ciclo della CO/DR Fase Iniziale (o transitoria) PP.AA.: Implementano le soluzioni e predi-spongono i piani di CO e di DR sulla base dello SFT e del parere di DigitPA; Verificano con cadenza biennale la funzionalit DigitPA: Emette le Linee Guida (LG) del Piano di CO ; Garantiscono la manutenzione della soluzione e informando DigitPA Inviano a DigitPA annualmente laggiornamento del piano di DR PP.AA. : Predispongono e sottopongono al parere di DigitPA studi di fattibilit tecnica (SFT), DigitPA: verifica annualmente iaggiornamento dei piani di DR DigitPA: emette pareri su SFT Il Ministro assicura lomogeneit delle soluzioni informando con cadenza annuale il Parlamento Fase Implementativa (o a regime) 8
  • 9. Le Linee Guida Le linee guida, approvate definitivamente dal Comitato Direttivo di DigitPA, sono state emanate il 28 nov 2011 Le linee guida sono disponibili nel sito DigitPA ancorch辿 lart. 50-bis preveda la produzione, a cura di DigitPA, delle linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni, di cui questo documento 竪 lattuazione, i contenuti del documento sono stati estesi anche a: - indicazioni nel merito dei contenuti e della produzione del piano di continuit operativa; Aspetti organizzativi indicazioni e schemi di massima dello studio di fattibilit tecnica, per fornire alle Amministrazioni gli elementi necessari al completo adempimento ai dispositivi dellarticolo. 9
  • 10. Il perimetro di applicazione della CO delle pubbliche amministrazioni Il perimetro di applicazione della continuit operativa ICT deve comprendere almeno: 1. le applicazioni informatiche e i dati del sistema informativo indispensabili allerogazione dei servizi e allo svolgimento delle attivit (informatiche e non); 2. le infrastrutture fisiche e logiche che ospitano sistemi di elaborazione; 3. i dispositivi di elaborazione hw e sw che permettono la funzionalit delle applicazioni realizzanti i servizi dellamministrazione; 4. le componenti di connettivit locale e/o remota/geografica; 5. ci嘆 che serve per consentire lo svolgimento delle attivit del personale informatico, sia interno allamministrazione, sia, se presente, esterno, ma correlato al sistema informativo stesso; 6. le modalit di comunicazione ed informazione al personale utilizzatore del sistema informativo allinterno dellamministrazione e ai fruitori esterni dei servizi del sistema informativo dellamministrazione, siano essi cittadini, imprese, altre amministrazioni; 7. le misure per garantire la disponibilit dei sistemi di continuit elettrica (UPS e gruppi elettrogeni) e pi湛 in generale la continuit di funzionamento del sistema informativo; 8. la gestione dei posti di lavoro informatizzati dellamministrazione; 10 9. i servizi previsti per lattuazione del C.A.D. (fra cui ad es. la PEC; la firma Digitale
  • 11. Le Linee Guida in sintesi 9 Capitoli Cap.3 Standard per lattuazione della CO Cap.4 Organizzazione delle strutture di gestione della CO Cap.5 La realizzazione della CO e delle soluzioni di DR Cap.6 Strumenti giuridici e operativi per lacquisizione di servizi di DR Cap.7 SFT, Piani di CO e Piani di DR 5 Appendici 1 Breve guida alla lettura (percorso minimo di lettura e glossario) 11
  • 12. Definizione di business continuity (BC) o continuit operativa (CO) in ambito BSI e DigitPA (Da BS 25999-2:2007) Business Continuity (BC): strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable predefined level (Da Linee Guida per il DR delle PA, DigitPA 2011) Continuit Operativa: linsieme delle attivit e delle politiche adottate per ottemperare allobbligo di assicurare la continuit nel funzionamento dellorganizzazione; 竪 parte integrante dei processi e delle politiche di sicurezza di unorganizzazione; Continuit operativa ICT : la capacit di un organizzazione di adottare, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, allinterno o allesterno dellorganizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali; 12
  • 13. Definizione di disaster recovery (DR) in ambito BSI e DigitPA (Da BS 25777) ICT disaster recovery: activities and programmes that are invoked in response to a disruption and are intended to restore an organizations ICT services (Da Linee Guida per il DR delle PA, DigitPA 2011) Disaster recovery (DR): nellambito dellart. 50 bis del CAD, linsieme delle misure tecniche e organizzative adottate per assicurare allorganizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dellorganizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilit prolungate 13
  • 14. Esempio Corrispondenza LG DigitPA e ISO/IEC 22301 LG DigitPA ISO 22301 4.1 - Coinvolgimento dei vertici 5.1 - Leadership and commitment dellamministrazione e ruolo della struttura di gestione 4.4 - Criteri e Indicazioni Organizzative 5.4 - Organizational roles, responsibilities and authorities 5.2-5.4 Strumenti per lautovalutazione 8.2.2 BIA APPENDICE A: LA BUSINESS IMPACT ANALYSIS (BIA) 4.2 - Il Comitato di gestione della crisi 8.4.2 - Incident response structure 4.7 - Indicazioni per il collaudo e per i test 8.5 exercising and testing 4.8 - Indicazioni per Il Piano di Continuit 8.4.4 Business continuity plans Operativa 7.2 Il Piano di Continuit Operativa 4.9 Indicazioni per la gestione e la manutenzione 10.1 Nonconformity and corrective action della soluzione di CO/DR e del Piano di CO/DR 14
  • 15. Le Linee Guida: Capitolo 5 La realizzazione della CO e delle soluzioni di DR Bassa Media Alta Critica Tier 1 Network Tier 2 Tier 3 Tier 4 Tier 3: soluzione simile a quella di Tier 5 Tier 2 ma il trasferimento dei dati tra il sito primario e quello di DR Tier 6 avviene attraverso un collegamento di rete tra i due siti. CRITICIT 15
  • 16. CIRCOLARE 1属 dicembre 2011 , n. 58 (G.U. 27-12-2011 n. 300) Attivit di DigitPA e delle Amministrazioni ai fini dellattuazione degli adempimenti previsti dallarticolo 50 -bis (Continuit Operativa) del 束Codice dellAmministrazione Digitale損 (D.lgs. n. 82/2005 cos狸 come modificato dal D.lgs. 235 La prima parte: informazioni che le Amministrazioni devono inviare a DigitPA ai fini del rilascio del parere sugli Studi di Fattibilita Tecnica (SFT) e le modalit di presentazione delle richieste come previsto dal comma 4, art. 50 bis del CAD. La seconda parte: informazioni che le Amministrazioni devono inviare a DigitPA ai fini dellattivita di verifica del costante aggiornamento dei Piani di Disaster Recovery (DR), previste dal comma 3, lettera b), art. 50 bis, del CAD./2010). 16
  • 17. SFT: tipologie di amministrazione Comuni Aziende sanitarie e ospedaliere Universit Istituti Scolastici Province Regioni PAC Camere di Commercio 17
  • 18. Esempi di Esempi di servizi per un servizi per una Comune Universita Gestione atti amministrativi (determine, delibere) Consultazione online presenze personale tecnico- Gestione Bilancio amministrativo di Ateneo Gestione Economato (inventario, buoni Controllo di gestione economali) Customer satisfaction Gestione Edilizia Digital signage Gestione Patrimonio Gestione statistiche Gestione Sanzioni, Incidenti, Turni di servizio Portale assistenza rete e servizi di rete Gestione Protocollo Portale di cambio password Gestione Servizi Sociali Portale Spin-Off Gestione SIT (cartografia, civici e toponomastica) Produzione Badge Gestione sito web Affidamenti incarichi attivit didattiche Gestione Stipendi Albo online Gestione SUAP Consultazione OPAC SBN Gestione Personale (giuridico, presenze) Contabilit integrata di Ateneo Servizi Demografici (anagrafe, CIE, stato civile, Dematerializzazione procedimenti amministrativi elettorale) Firma digitale remota docenti . Gestione giuridico-economica del personale Gestione prove di selezione accesso programmato Gestione studenti 18 .
  • 19. Esempi di servizi per una ASL Esenzione Continuit Assistenziale (ex. guardia medica) Vaccinazioni Scelta e revoca Servizio di Prevenzione e Protezione Laboratorio di analisi Impiantistica e sicurezza sul lavoro Patologie cronico degenerative e tumorali Medicina legale Protesica Consultori SERT Strutture sanitarie accreditate Sanit animale Servizio igiene degli allevamenti e delle produzioni zootecniche Gestione amministrativo-contabile Logistica e Supply Chain Gestione asset aziendali Gestione delle risorse umane Servizi direzionali CUP diretto e/o centralizzato 19 Esposizione referti su FSE
  • 20. Esempi di servizi per una AO servizio di DEA servizio di Accettazione/Dismissione e Trasferimento ricoveri (ADT) servizio di gestione della Cartella Clinica di ricovero servizio di gestione sale operatorie servizio di gestione delle terapie intensive servizio di gestione ambulatori e casse servizio di gestione dei Laboratori Analisi servizio di gestione della Radiodiagnostica (Radiologia e Medicina Nucleare) servizio di gestione di Anatomia Patologica servizio Centro Trasfusionale (SIMT) servizio di gestione delle Prenotazioni ambulatoriali (CUP provinciale) servizio di gestione del Protocollo e Delibere portale Internet portale Intranet posta Elettronica servizio amministrativo contabile e controllo di gestione servizio gestione Risorse Umane servizio di gestione di Prevenzione e Sicurezza sul Lavoro 20
  • 21. Esempi di servizi per una Provincia (classi di servizio) Affari Generali Protocollo Affari Generali - Ufficio Giunta/Ufficio Consiglio/Gestione atti/Societ Partecipate Personale - Gestione Economica del Personale Personale - Rilevazione presenze Gestione Economica dell'Ente - Programmazione Finanziaria Gestione Economica dell'Ente - Gestione ordinativi e pagamenti Gestione Economica dell'Ente - Controllo di Gestione Gestione Economale - Gestione Economato, Ordini e Magazzino Sistema bibliotecario della Provincia Settore Lavoro - Portale Sintesi Gestione Sanzioni Polizia Provinciale Rilascio licenze di Pesca Gestione venatoria Servizio zootecnia, agricolo e dell'alimentazione Albo Pretorio Siti Istituzionali Anagrafe Estesa Sovracomunale Sistema Informativo Territoriale Servizi provinciali e-gov 21
  • 22. criticit Individuazione del responsabile della CO Relazione sul CAD Competenze tecniche non sempre presenti, specialmente nelle amministrazioni di piccole dimensioni Vincoli di budget Armonizzazione delle liste dei servizi e delle valutazioni di criticit per stessa tipologia di amministrazione In molti casi necessit di interventi di razionalizzazione sui siti primari (consolidamento, virtualizzazione,) prima di adottare soluzioni di DR Rischio di moltiplicazione dei data center in assenza di soluzioni 22 condivise
  • 23. soluzioni Supporto DigitPA (linee guida, tool autovalutazione, schema SFT, seminari e workshop) Supporto organismi di settore ANCI/Ancitel, CISIS, IT4U, per armonizzare valutazioni servizi critici Ricerca soluzioni DR condivise tra pi湛 amministrazioni tramite: Centri Servizi Territoriali, societ in house regionali, consorzi interuniversitari ....................................... Ricorso al mercato per consulenza e servizi di DR Virtualizzazione e cloud? 23
  • 24. Esempi di soluzioni Tier 1 per istituti scolastici con 1 server e 10 pdl, trasferimento settimanale supporti dati in sede secondaria o di altro istituto e accordo con fornitore per installazione server in caso emergenza Soluzione tier 4 tra due sedi della stessa amministrazione (piccolo o medio comune) con piattaforme virtualizate Soluzione di BC a livello di campus per Universit o azienda ospedaliera e sito per DR geografico presso fornitore esterno (eventuale societ regionale o consorzio) o altra amministrazione (mutuo soccorso) Grande comune o regione: gara per fornitore sito e servizi di DR (a volte inclusi servizi di connettivit) con Tier differenziati Amministrazioni centrali in full outsourcing hanno rivisto le criticit dei servizi, rinegoziato i requisiti di DR e integrato i propri piani e le strutture organizzative di CO e DR con quelle dei fornitori 24
  • 25. DigitPA: Iniziative in corso e pianificate Sviluppo di modelli di Studi di Fattibilita Tecnica Tavolo Tecnico per i profili di servizio essenziali e dei loro livelli minimi per le soluzioni di disaster recovery Attivita di monitoraggio delle infrastrutture della PA ai fini di una razionalizzazione dei servizi di CO/DR 25
  • 26. Tavolo tecnico con fornitori: lista servizi DR Consulenza per Studio fattibilit tecnica (SFT) BS25999 ISO/IEC22301 BIA e RA ISO/IEC 27001 Progettazione soluzione DR Realizzazione soluzione DR Predisposizione/manutenzione piani CO e DR Servizi di auditing di soluzioni di DR Disponibilit, gestione e manutenzione: Siti DR (+ connettivit) ANSI/TIA-942 Risorse Hw + sw per DR ISO/IEC 24762 Postazioni di lavoro per DR Servizi dati: Trasporto e conservazione supporti dati presso sito DR Servizi di storage on-line 26
  • 27. Limportanza del 50-bis (e non solo): una testimonianza Le scrivo di nuovo in tema di disaster recovery visto che in questi ultimi 20 giorni qui a Ferrare abbiamo sperimentato il terremoto. In particolare io abito a Sant'Agostino, e per il momento vivo in un camper perch辿 sono fortunata. Il comune interno non 竪 pi湛 agibile e la Provincia di Ferrara mi ha dislocato a lavorare per il periodo dell'emergenza immediata nel Centro Operativo Comunale di Sant'Agostino. Alla luce di questo ho capito molto bene l'importanza del disaster recovery. Nel nostro caso tutti gli archivi cartacei, tutti i dati, tutta la struttura 竪 rimasta dentro al comune che questa settimana dovr implodere portandosi dietro tutta la conoscenza dell'ufficio tecnico e degli altri suoi servizi. I cittadini chiedono la documentazione per sapere come sono fatte le loro case per cercare di non perderle alla prossima scossa ma noi non possiamo rispondere, abbiamo tutto in comune. Siamo (credo dignitosamente) ripartiti individuando la scuola elementare come sede, ci manca tutto dalle graffette ai pc e dopo aver recuperato un back up le funzioni anagrafe, contabilit, sito e posta sono ripartite. ...abbiamo toccato con mano che la domanda del cittadino, in caso di disastro, cambia molto. ...